Gobierno Riesgo Cumplimiento

Gobierno, Riesgo y Cumplimiento
GRC
Mayo, 2017
Agenda
• Qué es GRC y para qué sirve
• Modelos de referencia para GRC
• Enfoque de solución
• Antecedentes y catalizadores para

modernizar la función de Cumplimiento
• Camino desde un programa base de

Gestión del Riesgo de Cumplimiento a
una función de Cumplimiento Integrado
• Beneficios de la modernización de la
función de Cumplimiento
©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 2

GRC
¿Qué es GRC?
¿Para qué sirve?

GRC
¿Qué es GRC?
GRC integra componentes ya existentes en la organizaciones, buscando
formalizarlos y armonizarlos en un solo modelo
• Alineamiento estratégico
• Estructura y efectividad
organizacional
• Definir roles y
responsabilidades, reducir o
eliminar silos
• Identificar procesos claves que
Gobierno soportan el cumplimiento de
• Proceso sistemático objetivos estratégicos y la
adecuada gestión de riesgos
• Identificar y evaluar
estratégicos.
riesgos
• Dueños de procesos (riesgos,
• Administrar y monitorear
controles)
los riesgos del negocio
• Procesos GRC viables y útiles
• Probar y administrar
(pruebas, autoevaluaciones)
controles Riesgo
• Priorizar y racionalizar
riesgos y controles
• La segregación funcional
es un conjunto de riesgos
• Tener un proceso definido
• Unificar esfuerzos
Cumplimiento • Aprovechar sinergias con la
gestión de riesgos
• El riesgo es no cumplir
• Empleados y accionistas se
adhieren y cumplen con políticas,
procedimientos, leyes y
regulaciones que le aplican
GRC
Necesidad de GRC
Principales
Observaciones
Desconocimient • Falta de capacitación del talento humano :

o de nuevos - Nuevos riesgos que afectan a la industria / empresa.
riesgos /
requisitos - Riesgo de cumplimiento debido a cambios permanentes en la regulación.
Definiciones • Falta de programa de cumplimiento.

inconsistentes
de riesgos • Diferentes mediciones / percepción del grado de riesgo al interior de la organización.
Duplicación de • Duplicación de pruebas y actividades de auditoria interna (aprox. 10%-30%1)

esfuerzos • Duplicación de esfuerzos entre riesgo y cumplimiento (aprox. 40%-50%1).
• Falta de integración funcional /integración de los sistemas - extra costo (aprox. 15%) de
Ineficiencias los programas de administración de riesgo y cumplimiento.
tecnológicas
• Dificultad de tener una visión integral.
• Aproximadamente 35%1 del tiempo se gasta en reportes manuales por falta de

Reportes automatización.
manuales
• Soluciones parciales, por falta de visión organizacional.
• Muy pocas organizaciones conocen exactamente:

Relación costos
/ beneficio - El costo interno de actividades requeridas para cumplir con exigencias regulatorias.
- El beneficio estratégico logrado por los programas de riesgo y cumplimiento.

GRC
Necesidad de GRC
Estas son algunas de las preguntas que recibimos constantemente de nuestros clientes
con respecto a la adopción del programa de GRC
¿Cómo puedo gestionar

miles de riesgos e
¿Cómo reducir los informar
costos de permanentemente a los
cumplimiento? ¿Cómo moverse a un ejecutivos de la
enfoque de cumplimiento Organización?
basado en riesgo?
¿Estamos tomando
buenas decisiones? ¿Para mejorar Hasta ahora no
nuestra hemos sido
¿Cómo medimos medición de impactados por
el impacto / ningún riesgo
riesgo, no es
beneficio que significativamen
suficiente
tiene hoy en día te, ¿porqué
simplemente
nuestro cambiar nuestra
invertir en
¿Cómo desarrollamos una programa de metodología de
cultura inteligente frente a GRC?
tecnología?
GRC?
los riesgos?

GRC
Necesidad de GRC
El modelo de negocio para un programa de GRC debe identificar las correlaciones entre diferentes
tipos de riesgos, agentes internos de la compañía y entes regulatorios, considerando que el
ambiente es dinámico, y tanto los riesgos como los requerimientos de cumplimiento están
evolucionando permanentemente
Riesgo regulatorio
(SOX, Seguridad y Riesgo Riesgo de Riesgo Capital
Control Interno) Operacional Proyectos Humano
Cumplimiento y riesgo en cada país
Junta Directores
Cumplimiento Finanzas
Gobierno
Governance
Gobierno Legal
Manejo
Riesgos Manejo Ventas
CumplimientoRiesgos
Contratos
Manejo
Risk Mgmt.
Riesgos HR
Cumplimiento
Compliance
Cumplimiento Contraloria
Manejo
Riesgos. IT
Manejo
Gobierno Riesgos Politicas
Cumplimiento
Auditoria y
Gobierno Manejo
Riesgos Cumplimiento
Tesoreria
Seguridad Proyectos. Document Contratos Planif Clientes ERP Producc Facturac

GRC
Necesidad de GRC
Diferentes normas y marcos de referencia comparten requerimientos comunes, resultando en
actividades redundantes y uso ineficiente de recursos
Regulaciones SOX Seguridad y

diferentes Operacional Privacidad
Requerimientos
separados R1 R2 R3 R4 R1 R2 R3 R4 R1 R2 R3 R4
C1a C2a C3a C4a C1b C2b C3b C4b C1c C2c C3c C4c
Actividades &
controles C5a C6a C7a C8a C5b C6b C7b C8b C5c C6c C7c C8c
duplicados
C9a C10a C11a C12a C9b C10b C11b C12b C9c C10c C11c C12c

GRC
¿Qué es GRC?
Desarrollar un enfoque empresarial integrado para cumplimiento – requerimientos comunes,
controles comunes – reduce la complejidad, controles duplicados, redundancia de esfuerzos y
costos
Portafolio de SOX Operacional Seguridad y

Regulaciones Privacidad
Requerimientos
Comunes R1 R2 R3 R4
C1 C2 C3 C4
Actividades &
Controles C5 C6 C7 C8
Consolidados
C9 C10 C11 C12
Una vez que los controles redundantes son consolidados, el caso de negocio para automatizar los
controles y actividades de cumplimiento es más favorable
GRC
Modelos de referencia para
GRC

GRC
Modelos de referencia para GRC
OCEG GRC Capability Model: considera 8 componentes integrados, conformados a su vez por
elementos y prácticas sugeridas para implementar y optimizar un modelo de GRC

GRC
Modelo de las 3 líneas de defensa del IIA
Órganos de gobierno / Junta Directiva
Ente Regulador, de vigilancia o control

Presidencia
Auditor externo / revisor fiscal

3ª línea de defensa
1ª línea de defensa 2ª línea de defensa

Control financiero
Seguridad
Controles Medidas Gestión de riesgos Auditoría Interna
de la de control
gerencia interno Calidad
Inspección
Cumplimiento
Adaptado de la publicación del Instituto de Auditores Internos “The three lines of defense in
effective risk management and control” de enero de 2013

GRC
Estructura y modelo de gobierno ©

GRC
Riesgo – Gestión por proceso
Gestión de Riesgos
Entidad Vista por Proceso
Macroproceso
Empresarial (N1)
Política
Proceso Cuenta
Empresarial (N2) contable*
Sistemas
Subproceso
Empresarial (N3) Indicador
Procedimient (ICR) Vista por Producto / Centro de
o Costo
Producto /
Pérdidas
Centro de Costo
Gestor Capturadas
Evaluación de
Categoría Riesgo
Riesgos
Categoría Control
Test de
Notas
efectividad (TOE)
Plan de Test
Test de Diseño
(TOD)
* Todos los niveles de proceso pueden estar relacionados con una o más cuentas de Contabilidad.
GRC
Riesgo – Taxonomía
¿Qué es?
Define un lenguaje común el cual debe incluir definiciones de los riesgos y eventos de riesgos.
¿Cómo se hace?
Incluye la creación de un diccionario de riesgos con una definición de cada categoría y
ejemplos de eventos de riesgos inherentes para garantizar que toda la Entidad utilice una misma
nomenclatura y clasificación de riesgo, es importante que el reporte de riesgos también utilice
esta misma nomenclatura.
Beneficios
Integración de las Enfocado en la Reportes unificados Valor y confianza por

funciones reducción de pérdidas para una toma de parte de los
de riesgos, cumplimiento o potenciales decisiones eficaz accionistas
y controles

GRC
Taxonomía – Uso del diccionario de riesgos de referencia
Los dueños de procesos (1ª línea de defensa), en conjunto con un oficial de riesgos (2ª
línea de defensa), deben consultar el diccionario durante el mapeo de sus procesos e
identificar los riesgos aplicables a sus procesos.
Flujo de proceso
N
Relaciona riesgo Hay identificado Diccionario oficial de Riesgos

al proceso nuevos riesgos?
Referencia de diccionario de Riesgos Incluye el riesgo Informa al oficial

en el diccionario de riesgos
Responsable: Dueño de proceso Oficial de riesgos

GRC
Riesgo – Integración con cumplimiento
Gestor Controles Internos / Compliance (CCO) Auditoria

Interna
Mapa de procesos Evaluar Normas Identificar riesgos de

Proceso Externas Compliance y ELC
Evaluación
(Controles a nivel
independiente
Entidad)
Certifica
Ambiente de
Control Interno
Controles Riesgos
Riesgos Documentar Control Prueba de
Matriz clave Control Grado de
exposición
Funciones de Riesgos
Etapa 2 - Ejecución
Identificar Controles
riesgos
operacionales
Evaluar Evaluar el grado
riesgos de confianza de los Medir grado de
controles exposición Riesgos
Identificar Etapa 3 - Gestión de eventos
otros riesgos
Identifica Recomendación Acompañar

Identificar ocurrencias
causas de la retorno a la
relevantes
ocurrencia normalidad

GRC
Funciones de la herramienta GRC
La solución GRC integra las diferentes partes del modelo como se muestra a
continuación:
Diccionario de riesgos Matrices de Riesgo

(Taxonomía) y control
Grupo de sistemas Cadena de valor

(Software, hardware)
Cuentas contables Normas internas

significativas y externas
Reportes
generados por la
herramienta
Evaluación de riesgos, control interno y cumplimiento

GRC
Solución tecnológica para la gestión integrada de riesgos
Estructura integrada de las líneas de defensa:
Gobierno Corporativo
Negocio
Soporte
1º Línea de Defensa: Procesos de Negocio y Soporte
Identificar Riesgos Responder Monitorear os Reportar

y Controles los Riesgos Riesgos los Riesgos
2º Línea de Defensa: Riesgos, Control Internos y Cumplimiento

Monitorear
Definir lenguaje de Evaluar y medir Evaluar y certificar
regulaciones y
riesgos riesgos ambiente de CI
políticas
3º Línea de Defensa: Auditoría interna
Auditar Identificar Certificar ambiente

Certificar riesgos
procesos Fallas de control de CI
Auditoria externa
Auditar la compañía Certificar la compañía

GRC
Enfoque de solución

GRC
Diagnóstico, diseño e implementación de un programa GRC
Planeación Diagnóstico Diseño Implementación
Objetivo
Definir los lineamientos, Implementar las iniciativas

Identificar el estado actual de
Iniciar el proyecto, definir y basados en las buenas críticas o que serán la base
Gobierno, Riesgo y
aprobar el plan de trabajo prácticas, para una estructura para que el Cliente pueda
Cumplimiento frente a los
detallado y modelo de Gobierno, seguir madurando su modelo
marcos de referencia
Riesgos y Cumplimiento GRC
• Realizar 4 sesiones de
• Validar expectativas de los • Solicitar y revisar • Realizar mesas de trabajo para • RealizarQA sobrede
sesiones lasQAacciones
sponsors del proyecto documentación requerida de definir el modelo GRC, sobre lasdesarrolladas
acciones por
• Confirmar alcance, acuerdo con los marcos de considerando: Avianca,
desarrolladas, en relación con
en relación
objetivos y expectativas referencia, por ejemplo: ‒ Resultados del diagnóstico la implementación
con la implementación de las de
Actividades principales
‒ Documentación asociada al ‒ Buenas prácticas sugeridas las iniciativas críticas.

iniciativas críticas.
• Conformar equipo de programa de ética y por los marcos de referencia
trabajo • Evaluar • Evaluar las
las herramientas
cumplimiento
• Confirmar entregables ‒ Cadena de valor • Presentar y aprobar el modelo herramientas
GRC disponibles en el GRC
GRC sugerido. mercadodisponibles en el
(alto nivel), para
• Preparar y revisar el plan ‒ Metodologías de gestión de
riesgos mercado
que la Entidad (alto
cuente connivel),
de trabajo detallado • Priorizar las iniciativas que para que Avianca
una selección preliminar,
• Presentar y acordar permitirán implementar el cuente con una
considerando:
estándares de • Realizar mesas de trabajo modelo GRC definido. ‒ Modeloselección
GRC sugerido preliminar,
en la
documentación para aclarar inquietudes y etapa deconsiderando:
diseño
confirmar las brechas • Talleres de sensibilización ‒ Herramientas existentes
• Formalizar comités de existentes frente a los marcos sobre el modelo GRC a • Modelo GRC
actualmente
seguimiento de referencia. implementar sugerido en la
• Realizar reunión de etapa de diseño
• Presentar y aprobar los
lanzamiento del proyecto resultados del diagnóstico • Herramientas
existentes
actualmente en
Avianca
• Plan de trabajo detallado Diagnóstico del estado actual • Diseño del Modelo de • Actas de las sesiones de
Entregables
del modelo GRC, incluyendo Gobierno, Riesgos y QA, incluyendo las

• Project Charter
los aspectos a mejorar de Cumplimiento sugerido recomendaciones que surjan
acuerdo con los marcos de • Ruta de implementación de las mismas.
referencia sugerida, de acuerdo con la • Herramientas GRC
©2017 Deloitte Touche Tohmatsu Limited criticidad de las iniciativas. sugeridas,
Gobierno, Riesgocriterios utilizados21
y Cumplimiento
y siguientes pasos GRC
Curva de madurez herramientas GRC
• Realizar mesas de trabajo para • RealizarQA sobrede
sesiones lasQAacciones
definir el modelo GRC, sobre lasdesarrolladas
acciones por
considerando: Avianca,
desarrolladas, en relación con
en relación
‒ Resultados del diagnóstico la implementación
con la implementación de las de
‒ Buenas prácticas sugeridas las iniciativas críticas.
iniciativas críticas.
por los marcos de referencia • Evaluar • Evaluar las
las herramientas
• Presentar y aprobar el modelo herramientas
GRC disponibles en el GRC
GRC sugerido. mercadodisponibles en el
(alto nivel), para
mercado
que la Entidad (alto
cuente connivel),
• Priorizar las iniciativas que para que Avianca
una selección preliminar,
permitirán implementar el cuente con una
considerando:
modelo GRC definido. ‒ Modeloselección
GRC sugerido preliminar,
en la
• Talleres de sensibilización
etapa deconsiderando:
diseño
‒ Herramientas existentes
sobre el modelo GRC a • Modelo GRC
actualmente
implementar sugerido en la
etapa de diseño
• Herramientas
existentes
actualmente en
Avianca
• Plan de trabajo detallado • Actas de las sesiones de
QA, incluyendo las
• Project Charter
recomendaciones que surjan
de las mismas.
• Herramientas GRC
©2017 Deloitte Touche Tohmatsu Limited sugeridas,
y Cumplimiento
Antecedentes y
catalizadores para
modernizar la función de
cumplimiento

GRC
La necesidad de modernizar
Las funciones de cumplimiento y regulación tienen la oportunidad de alinearse
mejor con la estrategia empresarial y responder a las oportunidades/presiones
externas en un camino hacia la eficiencia/efectividad
Tecnología Regulatoria (RegTech) Big data y analytics

Cumplimiento cognitivo; Detección del Aumento del uso de datos no
riesgo; Automatización / Robótica; estructurados y de alto volumen para
Gobierno, riesgo y cumplimiento (GRC) • Realizarimpulsar la identificación
mesas de trabajo para deQA
riesgos y acciones
sobre las
la mejora de procesos
definir el modelo GRC, desarrolladas por
considerando: Avianca, en relación con
‒ Resultados del diagnóstico la implementación de
• Falta de liderazgo ejecutivo ‒ Buenas prácticas sugeridas las iniciativas críticas.
• Gestión de cambio Tecnologías
por los marcos de referencia • Aumento de los estándares y
• Evaluardado
las expectativas las el tamaño
fragmentado en
regulación/cumplimiento
emergentes
• Presentar y aprobar el modelo herramientas
y la complejidad de las GRC
GRC sugerido. operaciones / serviciosen el
disponibles
• Falta de visión estratégica de
cumplimiento • Aumentomercado (alto nivel),
en exámenes
e inspecciones
• Falta de claridad y compromiso permitirán implementar el regulatorias
cuente con una
de los grupos de la primera modelo GRC definido.
línea de defensa • Aumentoselección
de las preliminar,
acciones coercitivas
considerando:
• Desafíos de • Talleres de sensibilización y/o multas y
recursos/personal con sobre el modelo GRC a sanciones • Modelo GRC
procesamiento manual implementar sugerido en la
significativo.
Retos Presiones • Nuevos requerimientos
regulatorios
etapa de diseño
• Gobierno y supervisión débiles
internos regulatorias • • Herramientas
Supervisión de múltiples
• Coordinación ineficaz en reguladores existentes
múltiples jurisdicciones actualmente en
• Múltiples jurisdicciones con
• Metodologías de riesgo leyes/regulacionesAvianca
• Plan de trabajo detallado
erróneas • Actas de las sesiones de
complejas o conflictivas
• Interacción/apalancamient QA, incluyendo las
• Project Charter
o ineficaz en la tecnología recomendaciones que surjan
de las mismas.
y Cumplimiento
La necesidad de modernizar (cont.)
La competencia empuja a las organizaciones a buscar todas las fuentes
de ventaja - el cumplimiento puede ser una de esas fuentes
• Supervisión y ejecución proactiva en lugar de reactiva

• Realizar mesas de trabajo para
• Estrategia de gestión del riesgo de conformidad con la estrategia de negocio
definir el modelo GRC,
QA sobre las acciones
desarrolladas por
considerando: Avianca, en relación con
• Asociarse con las empresas para impulsar el‒ crecimiento de la organización
Resultados del diagnóstico mientras de
la implementación
se mantiene conforme por los marcos de referencia
• Evaluar las
• Presentar y aprobar el modelo herramientas GRC
• Mejora de la integración y racionalización a través de las tres
GRC sugerido. disponibles en el
líneas de defensa (LOD) mercado (alto nivel),
• Mejora en la gestión de cambio en los procesosmodelodeGRC definido.
selección preliminar,
cumplimiento regulatorio considerando:
sobre el modelo GRC a • Modelo GRC
• Modelos de ejecución alternativos y despliegue
de tecnologías / analytics etapa de diseño
• Herramientas
existentes
actualmente en
Avianca
• Project Charter Evolución deQA,prácticas
incluyendo las
de las mismas.
y Cumplimiento
Catalizadores para modernizar y / o transformar el cumplimiento
Hipótesis
Las funciones de
cumplimiento se
considerarán cada vez La primera y segunda
más como una fuente Se requerirán funciones líneas de defensa
de ventaja competitiva de cumplimiento para tenderán a •ser menos
Realizar 4 sesiones de
para las organizaciones ayudar a conducir y mesas de trabajoreactivas

• Realizar para QA sobre las acciones
definir el modelo GRC, desarrolladas por
medir la cultura considerando:
de ética Avianca, en relación con
de cumplimiento generaldel diagnóstico
‒ Resultados la implementación de
Las instituciones por los marcos de referencia
• Evaluar las
incluirán al Ejecutivo de • Presentar y aprobar el modelo herramientas GRC
Cumplimiento en los La amplitud y elen el
disponibles
El análisis de
GRC sugerido.
procesos de planificación alcance de las(alto nivel),
mercado
datos
• Priorizar y la que
las iniciativas para que Avianca
estratégica de toda la permitirán implementar el multas cuente
y con una
tecnología
empresa
modelo GRC definido.
sanciones,
Requerimientos• madurarán considerando:
Talleres de sensibilización incluidos las
y expectativas sobrepara permitir • Modelo GRC
el modelo GRC a
contingencias
regulatorias la eficiencia de
personales, etapa de diseño
aumentarán los los procesos
La función de cumplimiento seguirán • Herramientas
requerimientos críticos de
se integrará en toda la ampliándoseexistentes
en
de divulgación ejecución del actualmente en
empresa para mejorar la contra de lasAvianca
• Plan de trabajo detallado cumplimiento • Actas de las sesiones de
eficiencia y la eficacia organizaciones
QA, incluyendo las
• Project Charter
de las mismas.
y Cumplimiento
Camino desde un programa
base de Gestión del Riesgo
de Cumplimiento hacia
una función de
Cumplimiento Integrado

GRC
Un vistazo a la madurez de la función cumplimiento
Las organizaciones tienen diferentes opciones: ¿qué tan avanzadas
quieren que sean sus funciones de cumplimiento y qué retorno esperan
de las inversiones necesarias para lograr llegar ahí?
Gestión del • Realizar 4 sesiones de

Retorno
Robótica y • Realizar mesastalento
de trabajo para QA sobre las acciones
definir el modelo GRC, sobre lapor
desarrolladas
uso de la considerando:
inversión
Avianca, en relación con
tecnología ‒ Resultados del diagnóstico la implementación de
(ROI)
Cumplimiento ‒ Buenas prácticas sugeridas las iniciativas críticas.
básico
por los marcos de referencia y creación
• Evaluar las
• Analítica
Presentar y aprobarpredictiva
el modelo de valorGRC
herramientas
GRC sugerido. disponibles en el
mercado (alto nivel),
modelo GRC definido. selección preliminar,
Fundamento Creación de valor considerando:
Mejor sobre el modelo GRC a • Modelo GRC
integración implementar sugerido en la
etapa de diseño
Más
Analytics • Herramientas
estratégico existentes
actualmente en
Avianca
• Plan de trabajo detallado Modernización • Actas de las sesiones de
QA, incluyendo las
• Project Charter
de las mismas.
y Cumplimiento
Marco de la Gestión del Riesgo de Cumplimiento
De extremo a extremo, el marco de la Gestión de Riesgo de Cumplimiento y
el modelo operacional relacionado han evolucionado para satisfacer las
expectativas aumentadas y establecen una manera estándar de diseñar,
evaluar, implementar y mejorar continuamente la función de cumplimiento
de una organización para impulsar la modernización
Facilitadores
desarrolladas por
Políticas y
del Programa
Avianca,de en relación con
la implementación de
Gobierno procedimientos Cumplimiento
las iniciativas críticas.
• Evaluar las
Genteherramientas GRC
disponibles en el
Evaluación mercado (alto nivel),
Interacción y de riesgo y para que Avianca
coordinación cambio
reguladora
cuente con una
regulatorio
Estrategia Procesos
considerando:
Cultura • Modelo GRC
sugerido en la
etapa de diseño
Comunicación
, Monitoreo y Tecnología
• Herramientas
sensibilizació pruebas existentes
n y formación
actualmente en
Avianca
QA, incluyendo las
• Project Charter Escalamiento, Datos, Analytics
investigación y medición e
resolución de las mismas.
informes
y Cumplimiento
Elementos fundamentales
La vinculación de la visión y la estrategia de cumplimiento con la estrategia
general de la organización es fundamental para desarrollar un programa de
gestión del riesgo de cumplimiento de toda la empresa, al igual que desarrollar
una cultura sana de ética y cumplimiento
Estrategia
desarrolladas por
Cultura Avianca, en relación con
la implementación de
las iniciativas críticas.
• Evaluar las
Cultura y estrategia herramientas GRC
disponibles en el
• Basar una fuerte cultura organizacional en un conjunto de valores y un “tono de la Gerencia”
mercado (alto nivel),
que proactivamente lidera la importancia del cumplimiento normativo y la conducta ética
para que Avianca
cuente con una
• Desarrollar y ejecutar mensajes consistentes en toda la organización selección preliminar,
considerando:
• Establecer y fomentar una "cultura de cumplimiento", incluyendo la supervisión de la junta
• Modelo GRC
directiva y la gerencia senior
sugerido en la
• Fomentar la rendición de cuentas en todos los niveles organizacionales etapa de diseño
• Herramientas
• Establecer una estrategia anual de cumplimiento, asignar los recursos a las prioridades
existentes
acordadas y lograr las medidas de éxito definidas actualmente en
Avianca
• •Desarrollar
Plan de trabajoydetallado
comunicar incentivos y acciones disciplinarias apropiados • Actas de las sesiones de
QA, incluyendo las
• Project Charter
de las mismas.
y Cumplimiento
Palancas para permitir la transformación y modernización
La automatización y las mejoras deben ser consideradas dentro de un
ecosistema mas amplio de personas, procesos, tecnología y analítica.
Gente Tecnología
Soporte de Capacidade Seguridad

Soporte a de la
terceros y s de
distancia
servicios automatización información
gestionados Gente Tecnología
Sistemas Herramienta
Especialistas Programas integrados de cambio
en la materia rotacionales normativo
Procesos Analítica
Rastreo Interacción Monitoreo y

regulatoria y Monitoreo y
robusto de seguimiento
preparación pruebas
problemas de límites /
prioritarias
Procesos de pruebas Analítica umbrales

Proceso
de cambio Identificación y Visión
• Project Charter Gobierno análisis de amplia de la
regulatorio
mejorado tendencias empresa

GRC
¿Qué significa modernizar?
“Desde la protección de valor hasta la creación de valor” es una
afirmación familiar. Una hoja de ruta clara puede ayudar a hacerla
realidad
1 Elevada a la alta gerencia
2 Eficiente
3 Efectiva
4
• Project Charter Proactiva y Predictiva
GRC
¿Cómo se moderniza?
Pasos sugeridos para determinar el camino hacia la modernización
Desarrollar y actualizar
Dar prioridad a las
la estrategia de
áreas que se deben Cumplimiento;
Determinar el estado abordar con base en Asegurar que se alinea
"modernizado" los resultados de la con la estrategia
deseado para el evaluación, el nivel de general de la
Programa de Gestión riesgo y el cambio compañía; Determinar
del Riesgo de esperado en la las medidas apropiadas
Cumplimiento organización de éxito
Realizar una evaluación Desarrollar y Determinar qué

del Programa de actualizar la visión / palancas (inversiones,
Cumplimiento existente misión general de iniciativas, recursos,
en comparación con el cumplimiento para herramientas,
estado "modernizado" alinearse con el tecnología, etc.) son
deseado estado "modernizado" necesarias para lograr el
deseado estado "modernizado"
deseado
• Project Charter

GRC
Beneficios de la
modernización de la Función
de Cumplimiento

GRC
¿Por qué modernizar?
Retorno sobre la inversión: La proposición de valor evolutiva del
cumplimiento
Hoy Mañana
• Inversión en el capital reputacional
de la organización
• Administrador de reputación
• Contribución estratégica y apoyo de
Cualitativo • “Defensor del regulador” la estrategia empresarial para
fomentar la innovación
• Organizar la agenda regulatoria de

la junta
• Menos multas y penalidades y

• Multas y penalidades como menores costos legales
costo de hacer negocios
• Mayor eficiencia de cumplimiento
• Menos casos de perjuicio
Cuantitativo al consumidor • Experiencia mejorada del cliente
• Mitigación del cumplimiento
• Alineación del cumplimiento con los
de detección objetivos de rendimiento empresarial
• Ahorro preventivo de cumplimiento

GRC
Modernización de la propuesta de valor de cumplimiento
Principios ilustrativos para posicionar efectivamente la propuesta
de valor de cumplimiento
• Conexión directa con la • Permitir que “el negocio”

visión, las metas y las sea propietario del
estrategias de cumplimiento y utilice
cumplimiento de la datos, métricas y analítica
Planificación
organización Visión y metas estratégica de para respaldar la
de cumplimiento cumplimiento transparencia y permitir
• Incorporar dentro de la que la empresa crezca
organización de una • Aprovechar
manera que promueva estratégicamente tanto
el cumplimiento y la los datos internos como
asignación de tiempo / los externos disponibles
recursos para el para presentar información
cumplimiento efectivo Propuesta de valor y y análisis significativos
ROI del cumplimiento
Un enfoque en la propuesta de valor y ROI de la función de cumplimiento
El cumplimiento se esfuerza por:

Asociarse y habilitar Crear valor para la organización Identificar y remediar de forma
el negocio proactiva el potencial riesgo de
cumplimiento
GRC
Componentes para ayudar a definir el ROI y la propuesta de
valor del cumplimiento
Consideraciones Ejemplos de métricas

Habilitación • ¿El cumplimiento permite el • Desempeño empresarial
del negocio y crecimiento?
creación de • Encuestas de negocio
• ¿La función de cumplimiento es
valor
eficiente? • Métricas de productividad
• ¿Puede cuantificar el panorama • Cuantificar/medir la complejidad
regulatorio de cumplimiento? del panorama de cumplimiento
• ¿El cumplimiento es eficaz • Multas monetarias (y su reducción

Prevenir y para reducir las multas? en el tiempo) / en relación con la
mantenerse industria
fuera del área • ¿El cumplimiento ha reducido
• Número de no conformidades de la
las fallas y los problemas?
de penalti auditoría relacionadas con el
• ¿El monitoreo del cumplimiento
cumplimiento está evitando • Causas de raíz identificadas por el
riesgos regulatorios? monitoreo del cumplimiento
• Métricas de la cultura
Fuentes de los datos: Resultados de las pruebas de cumplimiento, resultados de auditoría, problemas auto-identificados, datos
de referencia de la industria sobre problemas / multas, encuestas de la industria, desempeño empresarial, métricas de riesgo
reputacional, datos de cumplimiento del cliente.

GRC
¿Por qué modernizar?
Al considerar modernizarse, si su organización se compromete, se
pueden lograr los siguientes resultados para la función de cumplimiento
Resultados de la modernización
Cambio transformativo: re-ingeniería de los procesos core y automatización de la función
para ser más proactiva y predictiva; Las empresas modernas necesitan estrategias de alto
nivel y modelos de confianza
Flexibilidad: Escalamiento rápido hacia arriba o hacia abajo dependiendo de la naturaleza

del cumplimiento y / o la necesidad de negocio
Incremento en la capacidad: re-ingeniería del modelo tradicional de recursos y los
métodos de asignación y utilización de tecnología, análisis, servicios gestionados y recursos
tercerizados para lograr un mayor y mejor uso de los recursos
Nuevas competencias: Los profesionales de cumplimiento son vistos como verdaderos

socios del negocio y asesores
Potencial reducción de costos: nuevas oportunidades de reducción de costos creando
eficiencias y buscando maneras de ser más efectivas con mayor capacidad en toda la
organización a través del uso de herramientas, tecnología y asignación de recursos
Visión de riesgos y cumplimiento en toda la empresa: Desde la predicción y la

detección hasta la actuación y la supervisión, las líneas divisorias entre estas funciones
empiezan a desaparecer rápidamente

GRC
Esta presentación contiene información general solamente y Deloitte no
esta, mediante esta presentación, prestando servicios de consultoría,
contabilidad, negocios, financieros, de inversión, legales, fiscales u
otros profesionales. Esta presentación no es un sustituto de tal
asesoramiento profesional o servicios, ni debe utilizarse como base para
cualquier decisión o acción que pueda afectar a su negocio.
Antes de tomar cualquier decisión o tomar cualquier acción que pueda

afectar a su negocio, debe consultar a un asesor profesional cualificado.
Deloitte no será responsable de ninguna pérdida sufrida por cualquier

persona que se base en esta presentación.

GRC
Deloitte se refiere a una o más de las firmas miembro de Deloitte Touche Tohmatsu Limited (“DTTL”), una
compañía privada del Reino Unido limitada por garantía ("DTTL"), su red de firmas miembro, y a sus
entidades relacionadas. DTTL y cada una de sus firmas miembro son entidades legalmente separadas e
independientes. DTTL (también denominada “Deloitte Global”) no presta servicios a clientes. Una descripción
detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y de sus firmas miembro puede verse
en el sitio web www.deloitte.com/about
Deloitte presta servicios de auditoría, consultoría, asesoramiento financiero, gestión de riesgos, impuestos,
legal, y servicios relacionados a organizaciones públicas y privadas de diversas industrias. Deloitte presta sus
servicios a cuatro de cada cinco de las empresas listadas en el ranking Fortune Global 500®, a través de una
red global de firmas miembro en más de 150 países, brindando sus capacidades de clase mundial y servicios
de alta calidad a clientes, suministrando el conocimiento necesario para que los mismos puedan hacer frente
a sus más complejos retos de negocios. Para conocer más acerca de cómo los más de 225.000 profesionales
generan un impacto que trasciende, conéctese con nosotros a través de Facebook, LinkedIn o Twitter.
Esta comunicación contiene únicamente información general, ni Deloitte Touche Tohmatsu Limited, ni sus
firmas miembro o sus entidades relacionadas (colectivamente, la "Red Deloitte") están, por medio de la
presente comunicación, prestando asesoría o servicios profesionales. Previo a la toma de cualquier decisión o
ejecución de acciones que puedan afectar sus finanzas o negocios, usted deberá consultar un asesor
profesional cualificado. Ninguna entidad de la Red Deloitte se hace responsable por pérdidas que pueda sufrir
cualquier persona que tome como base el contenido de esta comunicación.
©2017 Deloitte Touche Tohmatsu Limited

Gobierno Riesgo Cumplimiento

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gobierno Riesgo Cumplimiento

Cargado por

Copyright:

Formatos disponibles

Gobierno, Riesgo y Cumplimiento

• Qué es GRC y para qué sirve

• Modelos de referencia para GRC

• Antecedentes y catalizadores para

• Camino desde un programa base de

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 2

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 3

Desconocimient • Falta de capacitación del talento humano :

Definiciones • Falta de programa de cumplimiento.

Duplicación de • Duplicación de pruebas y actividades de auditoria interna (aprox. 10%-30%1)

• Aproximadamente 35%1 del tiempo se gasta en reportes manuales por falta de

• Muy pocas organizaciones conocen exactamente:

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 5

¿Cómo puedo gestionar

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 6

Seguridad Proyectos. Document Contratos Planif Clientes ERP Producc Facturac

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 7

Regulaciones SOX Seguridad y

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 8

Portafolio de SOX Operacional Seguridad y

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 10

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 11

Órganos de gobierno / Junta Directiva

Ente Regulador, de vigilancia o control

Auditor externo / revisor fiscal

1ª línea de defensa 2ª línea de defensa

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 12

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 13

Integración de las Enfocado en la Reportes unificados Valor y confianza por

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 15

Relaciona riesgo Hay identificado Diccionario oficial de Riesgos

Referencia de diccionario de Riesgos Incluye el riesgo Informa al oficial

Responsable: Dueño de proceso Oficial de riesgos

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 16

Gestor Controles Internos / Compliance (CCO) Auditoria

Mapa de procesos Evaluar Normas Identificar riesgos de

Identifica Recomendación Acompañar

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 17

Diccionario de riesgos Matrices de Riesgo

Grupo de sistemas Cadena de valor

Cuentas contables Normas internas

Evaluación de riesgos, control interno y cumplimiento

1º Línea de Defensa: Procesos de Negocio y Soporte

Identificar Riesgos Responder Monitorear os Reportar

2º Línea de Defensa: Riesgos, Control Internos y Cumplimiento

3º Línea de Defensa: Auditoría interna

Auditar Identificar Certificar ambiente

Auditar la compañía Certificar la compañía

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 19

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 20

Definir los lineamientos, Implementar las iniciativas

‒ Documentación asociada al ‒ Buenas prácticas sugeridas las iniciativas críticas.

del modelo GRC, incluyendo Gobierno, Riesgos y QA, incluyendo las

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 23

Tecnología Regulatoria (RegTech) Big data y analytics

• Supervisión y ejecución proactiva en lugar de reactiva

para las organizaciones ayudar a conducir y mesas de trabajoreactivas

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 27

Gestión del • Realizar 4 sesiones de

Soporte de Capacidade Seguridad

Rastreo Interacción Monitoreo y

• Plan de trabajo detallado

©2017 Deloitte Touche Tohmatsu Limited Gobierno, Riesgo y Cumplimiento 31