1 Metodología y solución de Optimización de GRC www.GRCMaX.com

¿Cómo determinar, de manera sistemática, el Estado de Madurez del Gobierno, Riesgo y Cumplimiento –GRC de mi Empresa?

¿Cómo definir un proceso de optimización del GRC de alto desempeño?

Presentado por: Ricardo Vásquez Socio Director del Comité de GRC Baker Tilly LATAM 1

1

Nota: Este documento fue preparado con el apoyo del equipo de consultores expertos de GRC en Baker Tilly Colombia. 2

Metodología y solución de Optimización de GRC www.GRCMaX.com

Contenido Contenido ................................................................................... 3 Introducción y Presentación ....................................................... 4 Resultados y Objetivos de GRC. ................................................ 5 Elementos de la Metodología. .................................................... 7 Paso 1: Entrénese y comprenda................................................. 9 Paso 2: Diagnostique su Estado. .............................................. 10 Diagnóstico de Alto Nivel ...................................................... 10 Diagnóstico Estructurado ...................................................... 12 Diagnóstico del Sistema........................................................ 14 Diagnóstico por Marco Normativo ......................................... 18 Paso 3 Diseñe un plan de Acción ............................................. 19 Paso 4 Evalúe el Salto de Madurez .......................................... 21 Contáctenos ............................................................................. 23

3 Metodología y solución de Optimización de GRC www.GRCMaX.com

Introducción y Presentación Las preguntas que introduce este documento son claves en el marco de la operación y los desafíos actuales de las empresas. Primero, porque muy pocas organizaciones entienden el verdadero significado de GRC, más allá del simple acrónimo de gobierno, riego y cumplimiento. Y las pocas que lo entienden, lo interpretan como un conjunto de normas y estatutos que se deben cumplir. Segundo, porque si de cumplir normas se tratara, las empresas están abrumadas con la cantidad de normas, prácticas, regulaciones, estándares y buenas prácticas que de manera obligatoria y voluntaria deben cumplir, independientemente de los costos asumidos. Ahora bien, las organizaciones requieren formar capacidades para operar de manera integrada y holística su modelo de negocios, para hacer más eficiente, más rentable y menos costosa su operación, y eso requiere eliminar deficiencias, retirar redundancias, suspender acciones y reordenar silos que no generan valor. Eso lo pueden tener claro. El tema es que cuando la empresa empieza a hacer consciencia de la necesaria integración de GRC, encuentra altamente complejo adelantar un proyecto por el nudo ciego de actividades, información, indicadores, roles y funciones, estructurar, métricas e indicadores, tecnologías o aplicativos que se entrecruzan con fines y objetivos distintos. Tanto que no sabe por dónde comenzar. El método y la solución denominada GRCMaX™ que desarrolla, de manera general, el presente documento es un tremendo recurso de alto valor, porque permite entender y aplicar acciones y prácticas de alto impacto de GRC para optimizar y apoyar la sostenibilidad futura de un negocio, en términos del ahorro costos, eliminación de redundancias y logro de objetivos en un contexto de incertidumbre e integridad requerido. 2

2

Baker Tilly. Fundamentos de GRC. Vásquez, Ricardo. Este documento desarrolla el concepto, el modelo y el método de GRC y se puede consultar en www.grcenespanol.com.

4 Metodología y solución de Optimización de GRC www.GRCMaX.com

Resultados y Objetivos de GRC. Hablar, en consecuencia, de GRC implica reconocer diversos objetivos que se desprenden de distintos “resultados universales” 3 que un organización quiere alcanzar y van desde el logro de metas de alto nivel del negocio hasta optimizar los valores y beneficios económicos, pasando por enfrentar las pérdidas adversas de la incertidumbre y establecer gobiernos efectivos y transparentes. Estos resultados se vuelven objetivos cuando incorporan, métricas alcanzables, recursos, actividades y planes de intervención. El caso es que se mueven entre proyectos de optimización del desempeño, los riesgos, el cumplimiento, los controles, la sostenibilidad, y el gobierno entre otros.

Sin embargo, perseguir estos objetivos, de una manera común y transversal, requiere de una capacidad de integración, que sólo es posible a partir de un método y un modelo de GRC, que lo hace sistémico –estructurado- y sistemático –recurrente. El método se centra en una serie de pasos que garantiza un logro y el modelo, en la forma en que se adapta a un contexto para resolver problemas y asuntos complejos de la organización. En otras palabras, el método se desprende del concepto y el

3

OCEG. Pág. 14 del Modelo de Capacidad de GRC.

5 Metodología y solución de Optimización de GRC www.GRCMaX.com

modelo de la aplicación particular del método, como se desarrolla en el análisis más adelante. El método implica reconocer la presencia de una serie de ejes que se interrelacionan de manera multidimensional y se desprenden de conceptos tales como el desempeño en principios, la arquitectura empresarial y la gobernanza. El modelo implica la manera como se adapta, a partir de diferentes marcos internacionales para resolver asuntos relacionados con la gestión integral de riesgos, el gobierno corporativo, la gestión de auditoría interna, la gestión del control, entre otros, mediante la aplicación de normas propias y particulares.

Podría entenderse, entonces, que adelantar un proyecto de GRC es plantear un programa con uno o algunos de los objetivos comentados, para identificar y asignar tareas, recursos e indicadores y más nada. Pero no. GRC condiciona a que cualquiera de los programas vistos considere las condiciones de la integración y orquestación con todos los ejes en cuestión. Es decir, un modelo de gobierno Corporativo debe tener la capacidad de integrarse con los sistemas de gestión de riesgos, controles y cumplimiento, porque una de sus responsabilidades frente a cualquier marco de referencia – OCDE, por ejemplo6 Metodología y solución de Optimización de GRC www.GRCMaX.com

consiste en garantizar la gobernabilidad del riesgo, el control y el cumplimiento. El asunto, entonces, es como hacerlo.

Elementos de la Metodología. La metodología denominada GRCMaX™ se desarrolló, justamente, con la capacidad de apoyar a una organización en la instrumentación, definición y formulación de estos modelos complejos de integración, de manera que le permita identificar con celeridad, estados de madurez de GRC, establecer brechas de prácticas frente a estándares y prácticas reconocidas de clase mundial, identificar los objetivos de optimización y obtener los logros esperados de sistema integrados, en términos de efectividad, agilidad y eficiencia en la aplicación de diversas prácticas.

El método que desarrolla GRCMaX™ y se soporta en una solución en la nube, es altamente sofisticado, porque se basa en el alineamiento inteligente de las prácticas de los diferentes marcos de referencia que afectan la operación e intención de las organizaciones, la integración con las prácticas reconocidas de madurez y la definición y optimización de prácticas específicas para resolver los problemas en un contexto de complejidad, que trasciende el simple cumplimiento. El método se compone, en 7 Metodología y solución de Optimización de GRC www.GRCMaX.com

consecuencia, de la definición de capacidades, dimensiones, atributos y prácticas. Esta infraestructura tiene la capacidad de apoyar, de manera significativa, el logro de cualquiera de los objetivos que un proyecto de GRC pueda identificar, siendo un medio para que la organización se concentre más que en la aplicación de normas, en su análisis, integración e implementación en condiciones de alto desempeño, máxima rentabilidad y minimización de los costos. Nuestra propuesta de valor consiste en aportar la solución con la experiencia y práctica de los consultores apoyado en modelos de Consultoría Virtual y/o Presencial. El método se desarrolla en 4 etapas que soportan la dirección de un proyecto comenzando con el conocimiento del concepto y las capacidades de GRC, hasta la implementación y seguimiento de las prácticas para lograr saltos de madurez.

8 Metodología y solución de Optimización de GRC www.GRCMaX.com

Paso 1: Entrénese y comprenda La primera etapa en un proyecto enfocado en GRC requiere interpretar el concepto, el método de integración y los mecanismos para desarrollar y optimizar las capacidades de GRC en beneficio de logros específicos esperados. Baker Tilly ha desarrollado un conjunto de recursos para apoyar este entrenamiento, que de manera intencional, se han puesto como el primer paso en cualquier proyecto de GRC. Esto, por cuanto, es la organización la que, en principio, conoce y reconoce la condición y estado de un GRC, por precario e intuitivo que este sea. En efecto, la solución se ha dotado, de acuerdo con nuestra experiencia, de distintos recursos que apoyan el entendimiento de GRC y las potencialidades que resultan claves para el beneficio de cualquier proyecto que se acometa. Se han cargado, a manera ilustrativa, distintos temas y recursos que tienen que ver con Fundamentos de GRC. Arquitectura de Procesos, Alineamiento Estratégico y otros contenidos que se incorporarán en el futuro. De manera complementaria, la solución incorpora algunas ayudas que desarrollan el marco conceptual basado en lineamientos y prácticas de OCEG 4, desarrollos de Baker Tilly 5 y bases y casos de éxito para la integración de proyectos de GRC 6. Entre los aspectos claves que resultan imperativos que la organización conozca, y de manera particular los distintos directivos y ejecutivos de las diferentes líneas de negocio, el consejo de directores, los directores de áreas de riesgo, control, auditoría, procesos, tecnología e información, entre otros, son: Concepto de GRC • • • •

Beneficios y oportunidades de un proyecto de GRC El Desempeño basado en Principios La Arquitectura Empresarial Las Tres líneas de defensa

4

Ver www.oceg.org Ver www.grcenespanol.com 6 Ver www.bakertilly.co 5

9 Metodología y solución de Optimización de GRC www.GRCMaX.com

• • •

Las capacidades y niveles de madurez de GRC Los ejes del modelo de capacidad. El modelo de capacidad de GRC de OCEG.

Paso 2: Diagnostique su Estado. Posterior a nivelar las bases de conocimiento y formación sobre GRC, se requiere desarrollar los diagnósticos para entender el estado de madurez existente en la Organización, y conducir las diferentes acciones de mejoramiento mediante la aplicación de diversas prácticas de alto impacto. La solución GRCMaX ha desarrollado cuatro tipos de diagnósticos que, a diferentes niveles, deben ser aplicados para comprender, alinear e implementar con eficacia cualquier proyecto de GRC, los cuales se explican a continuación, en forma general.

Diagnóstico de Alto Nivel El Diagnóstico de Alto nivel que desarrolla nuestra metodología GRCMaX™, es lo más parecido a una visita con un médico general. Pretende reconocer la capacidad global de madurez de GRC que tiene la empresa, a partir de los grandes temas e hitos que una organización debe mostrar para garantizar ciertos niveles de madurez, de integración y de sostenibilidad. La estructuración de 20 preguntas que desarrollan veinte temas y ochenta posibilidades de respuesta, enfocadas a los diferentes aspectos fundamentales de desempeño, riesgo,

10 Metodología y solución de Optimización de GRC www.GRCMaX.com

control, cumplimiento, estrategia, gobierno y gestión, entre otros, son un marco suficiente para interpretar, de manera general, el estado que, en principio, puede estar presentando una entidad frente a los objetivos y derroteros de optimización y orquestación que privilegia GRC. La evaluación del Diagnóstico de Alto Nivel permite generar una vista del Resultado Global de la Capacidad de GRC de la empresa, así como los niveles de madurez de las 3 capacidades de GRC: Integralidad, Alineamiento y Gobernanza, en el marco

de nuestra metodología. Estas capacidades, de alguna manera, explican la capacidad de GRC para:

a. Integrar el desempeño, el riesgo y el control y el cumplimiento (Integralidad), b. Alinear la estrategia y directrices con la operación: procesos, información, aplicativos y tecnología (Alineamiento) c. Gobernar, gestionar y asegurar la organización (Gobernanza) Sobre estos resultados de las capacidades vistas y de la capacidad global, se puede tener una mirada preliminar del estado de madurez de la organización, para cada una de las capacidades señaladas, así como los factores críticos que pueden estar presentándose en la organización, y que explican, ciertamente, el estado de optimización de los principales sistemas (riesgos, gestión, desempeño, gobierno, control, cumplimiento, aseguramiento y arquitectura empresarial). La 11 Metodología y solución de Optimización de GRC www.GRCMaX.com

metodología desarrolla, de manera coherente, para todos los niveles, ejes y dimensiones cinco niveles de madurez. Con base en los resultados arrojados por el Diagnóstico de Alto Nivel, se pueden identificar los aspectos, factores y sistemas más críticos que pueden requerir un estudio más profundo para

identificar causas y correlaciones de solución basado en grandes iniciativas, y es lo que da origen a un Diagnóstico Estructurado de GRC.

12 Metodología y solución de Optimización de GRC www.GRCMaX.com

Diagnóstico Estructurado El Diagnóstico Estructurado permite evaluar cada uno de los ejes (15) que conforman la metodología GRCMaX™ y, siguiendo con el argot médico, podremos decir que es el examen técnico y de laboratorio al que debe someterse la organización para identificar, con precisión, las causas de los problemas más que los síntomas. A partir de los principios y componentes principales que enmarcan cada uno de los respectivos marcos de referencia, estándares o buenas prácticas internacionales se han identificado, en la solución, las dimensiones que deben ser objeto de evaluación y medición para cada eje que, sin duda, aportan con mayor precisión elementos para interpretar la problemática específica y el estado de madurez por eje y capacidad de GRC. 7 Teniendo claro que son 15 ejes, en promedio; que cada eje, consta de 5 dimensiones y que cada dimensión desarrolla, por lo menos tres preguntas, es cierto considerar que este diagnóstico requiere evaluar, por lo menos, más de 225 preguntas. Estas preguntas no son solo cuestionamientos de existencia sino también de grado de profundidad y efectividad.

7

Para el caso de control, por ejemplo, las dimensiones y preguntas de evaluación se basan en el marco del COSO. Así mismo, en el caso de riesgos, los marcos de referencia aplicados fueron ISO 31000 y RIMS, además de Basilea para el sector financiero.

13 Metodología y solución de Optimización de GRC www.GRCMaX.com

Los resultados de un Diagnóstico estructurado de GRC, tienen la virtud de demostrar no sólo la madurez de cada eje, sino también de las dimensiones que lo conforman, y de las causas determinantes, explicado por el conjunto de atributos que debe tener cada dimensión, basado en los estándares y prácticas internacionales. En igual sentido, son los resultados del examen de laboratorio médico que pretenden explicar, en mayor profundidad y con bases científicas, la situación del paciente.

Diagnóstico del Sistema El diagnóstico del sistema, es tal vez, uno de los hitos más contundentes en las evaluaciones de GRC, por cuanto pretende explicar la causa de los problemas, las correlaciones y efectos entre prácticas, y la evidencia de las prácticas necesarias y requeridas de implementación. Siguiendo con el argot médico, será la visita y el tratamiento con el especialista médico. Es coherente admitir, que en función de un diagnóstico de alto nivel, y de un diagnóstico estructurado, la organización comprenda cual es el sistema que debe enfrentar para lograr una optimización y salto de madurez corporativa. Un sistema, más que un eje, implica considerar no sólo dimensiones, atributos y prácticas de marcos de referencia propios, sino también de otros marcos de referencia reconocidos que exigen y requieren una intervención del sistema para fines complementarios y colaterales.

14 Metodología y solución de Optimización de GRC www.GRCMaX.com

Las buenas prácticas de un Sistema de Riesgos, por ejemplo, no sólo requieren la aplicación de intervención de prácticas propias como es el caso de los estándares ISO 31000 o Basilea, así

como prácticas de madurez RIMS, sino también de las prácticas de riesgo que requieren marcos complementarios como es el caso de COSO -control-, OCDE –Gobierno Corporativo- e ISO 9004 – desempeño-, sólo por citar algunos.

15 Metodología y solución de Optimización de GRC www.GRCMaX.com

La evaluación mediante un diagnóstico de sistemas de GRC, implica considerar el sistema o sistemas que serán objeto de análisis, primero. Cada sistema está conformado por un conjunto de dimensiones propias o de los marcos de referencia propios, y de un conjunto de dimensiones adquiridas de otros marcos de referencia. En forma general se tiene que, cada sistema puede estar conformado por cerca de 15 dimensiones, derivadas de cuatro o cinco marcos de referencia, algunos de los cuales son propios de la disciplina y otros, de otras disciplinas, como se explicó. Ahora bien, como cada dimensión tiene, en promedio, 4 atributos que deben ser evaluadas y, a su vez, cada atributo tiene por lo menos 5 preguntas o criterios de evaluación, se colige que un diagnóstico de un sistema requerirá la evaluación de más de 300 preguntas. Estas preguntas, al igual que el diagnóstico de estructura, no son solo cuestionamientos de existencia sino también de grado de profundidad y efectividad de aplicación.

Un aspecto importante a considerar, también, es que cada dimensión desarrolla una o varias capacidades de GRC y es esa la razón por el cual en los resultados de este diagnóstico puede establecerse el estado de capacidad de cada sistema, la madurez de cada dimensión, el grado de implementación y aplicación de los atributos y, por ende, de las prácticas que promueven los marcos de referencia.

16 Metodología y solución de Optimización de GRC www.GRCMaX.com

Así mismo, cómo las evaluaciones por práctica pretenden establecer su grado de aplicación, la solución tiene la capacidad de identificar: a. La prioridad de la práctica para establecer si afecta los resultados o medios del sistema- coordenada y. b. El impacto de la práctica, para considerar si afecta la intención u operación del sistema – coordenada x. c. La madurez de la práctica para establecer su grado de implementación en el sistema. – color. d. El tamaño de la práctica para establecer su importancia o jerarquía en el sistema –volumen. Estos resultados, sin ninguna duda, son un tremendo indicador para potenciar y desarrollar los planes de acción.

17 Metodología y solución de Optimización de GRC www.GRCMaX.com

Diagnóstico por Marco Normativo El diagnóstico por Marco Normativo pretende evaluar el grado de aplicación de determinada normativa como lo puede ser NTCISO/IEC 27001 para un sistema de gestión de seguidad de la información, ISO 9004 para los sistemas de gestión de la calidad, THEIIA para las normas internacionales de auditoría, entre otros.

Esto permitirá identificar aquellas brechas posibles entre portar una certificación y una verdadera orquestación y desarrollo integral de un sitema de gestión. Como resultado se tendrá un estado de madurez de GRC y un programa con las prácticas a desarrollar.

18 Metodología y solución de Optimización de GRC www.GRCMaX.com

Paso 3 Diseñe un plan de Acción Los resultados del Diagnóstico del Sistema permiten tomar decisiones para diseñar, asignar los recursos e implementar un plan de acción que este orientado, además de perseguir los logros esperados del sistema, a alcanzar un salto de madurez GRC. Teniendo en cuenta que los distintos sistemas de GRC contienen diferentes fuentes de prácticas por marcos de referencia, los planes de acción son establecidos a partir de la organización del análisis de las prácticas, atributos y dimensiones requeridas. Son varios criterios los que mueven los planes de acción: a. El ordenamiento de la práctica en función del componente del Modelo de Capacidad de GRC: Comprender, Alinear, Ejecutar y Examinar. 8 Atendiendo que los componentes de GRC respetan el ciclo PHVA (Planear, Hacer, Verificar y Actuar), b. El objeto, entregable e impacto que una práctica aporta. De esta manera, las prácticas identificadas con mayor impacto y prioridad para el sistema, se encuentran categorizadas con mayor relevancia. c. El grado de profundidad y efectividad de una práctica implementada. d. La definición de recursos disponibles y objetivos que la Organización pretende alcanzar en el corto, mediano y largo plazo.

8

http://www.oceg.org/resources/modelo-de-capacidad-de-grc-version3-red-book/

19 Metodología y solución de Optimización de GRC www.GRCMaX.com

Cada práctica cuenta una precisa definición de su importancia, jerarquía, alcance y enfoque que hace parte de la hoja de vida de la práctica, para fines de su seguimiento, mejoramiento y evaluación recurrente, en función de las fechas asignadas, de cara al programa, proyecto o plan de acción.

Con las definiciones específicas de cada práctica, la solución construye un cronograma de trabajo – roadmap- que está conformado por iniciativas. Cada iniciativa puede ser un conjunto de prácticas preparadas con objetivos diversos y responde a 20 Metodología y solución de Optimización de GRC www.GRCMaX.com

soluciones coherentes que requiere la organización y se desprenden del análisis de los distintos diagnósticos.

21 Metodología y solución de Optimización de GRC www.GRCMaX.com

Paso 4 Evalúe el Salto de Madurez La implementación efectiva de las prácticas, en función de su jerarquía, atributo, dimensión, eje y capacidad conduce a la organización al logro de distintos saltos de madurez, siendo éste último, uno de los indicadores de diseño y ejecución de un proyecto de GRC. Los saltos de madurez se logran a nivel global, por sistemas, por capacidades, por marcos normativos, por dimensiones o atributos, comoquiera que la consistencia, coherencia y relacionamiento de las prácticas, de manera transversal, dentro de los marcos, lo permite. Esto significa que es la Organización quien establece como potenciar sus proyectos de GRC, a partir de considerar: • ¿Qué quiere lograr? • ¿Cómo lo quiere lograr? • ¿Cuándo lo quiere lograr? y • ¿Con qué recursos, métricas esperados?.

e

impactos

La metodología GRCMaX es un medio de valor estratégico para hacer estas definiciones. Cuente con nosotros. Baker Tilly - Julio de 2016. 22 Metodología y solución de Optimización de GRC www.GRCMaX.com

Contáctenos

www.grcmax.com Baker Tilly Colombia Tel: +57 1 616 7788 [email protected]

Baker Tilly México Tel: +52 55 50281900 [email protected]

Baker Tilly República Dominicana Tel: +809 621 3306 [email protected]

Baker Tilly Argentina Tel: +54 11 5352 2400 [email protected]

Baker Tilly Costa Rica Tel: +506 4031-3300 [email protected]

Baker Tilly España Tel: +34 91 365 05 42 [email protected]

23 Metodología y solución de Optimización de GRC www.GRCMaX.com

Créditos

Elaborado por: Baker Tilly Business Consulting Colombia Julio, 2016

Este documento es gratuito, para obtener una copia solo debe solicitarla a través del sitio: www.grcmax.com Queda prohibida la reproducción total o parcial de esta publicación, por cualquier medio o procedimiento, sin para ello contar con la autorización previa, expresa y por escrito de Baker Tilly. Toda forma de utilización no autorizada será perseguida con lo establecido en la ley del derecho de autor. Derechos Reservados Conforme a la ley, ©. Todos los derechos reservados ® Para más información visite: www.grcmax.com

2016

24 Metodología y solución de Optimización de GRC www.GRCMaX.com