Nuevo Enfoque de la Auditoría Empresarial a través de GRC

“INTEGRAR EXPERIENCIAS PARA PROGRESAR”

XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS

I

O

M

R

D

A

P

C

Nuevo Enfoque de la Auditoría Empresarial a través de GRC

Bruno Alejandre González Archer eGRC Technical Consultant Latin America & Caribbean



Agenda

• Situación actual y requerimientos • Contexto eGRC • Flujo Típico de Riesgo – Cumplimiento – Auditoría • Modelo de Madurez de Implementación GRC • Caso de Negocio y ROI • Analistas: Plataformas GRC



Situación Actual



Escenario Organizacional



Requerimientos de Auditoría

• Basada en el monitoreo proactivo del escenario de riesgos de la empresa.

• Capacidad de ajustar el alcance y tipo de la auditoría con base en el resultado del análisis del riesgo.

• Alcance que rebasa el típico enfoque financiero. • Competencia requerida por las guías de IIA. • Seguimiento a observaciones recurrentes. • Visibilidad sobre el efecto de la auditoría en el riesgo

residual. • Robustecimiento del equipo de auditores internos.



Estándares IIA



Contexto GRC



Gobierno, Riesgo y Cumplimiento

• Gobierno: La cultura, los objetivos, procesos, políticas y leyes por las cuales las empresas son dirigidas y controladas.

• Riesgo: La probabilidad e impacto de la materialización de un evento, el cual puede tener efecto en la consecusión de los objetivos.

• Cumplimento: El acto de adherirse a y demostrar adherencia con leyes externas y reglamentos, así como con políticas y procedimientos corporativos.



I

O

M

R

D

A

P

CContexto y Cultura Organizar y Supervisar

Monitorear y Medir Alinear y Evaluar

Responder y Resolver Prevenir y Promover

Informar e Integrar Detectar y Discernir

Marco de Referencia OCEG



Plataforma eGRC



Flujo GRC



Marco Normativo y Aplicabilidad

Normativa Interna

(Controles)

Normativa Externa

(Leyes/Estándares)

Proceso A

Proceso B

Proceso C

Ad

min

istr

ació

n E

mp

resa

rial

Administración de Políticas

Aplicabilidad Normativa



Gestión de Riesgos/Cumplimiento

2

2 1 1

1

1

Probabilidad

Imp

acto

•Clasificación •Estimación $$

Análisis Respuesta Tratamiento Monitoreo

Normativa Interna (Controles)

Normativa Externa (Leyes/Estándares)

Proceso A

Proceso B

Proceso C

Gestión de Tareas •Notificaciones por correo •Fechas límite •Escalamientos •Flujos de revisión •Monitoreo en sistema

Evaluación de operación •Control Interno •Inspección ocular •Evidencia de aplicación

Cuestionarios Personalizados •Control Interno / Propietario •Inspección ocular •Evidencia de aplicación

Evaluación de Diseño •Control Interno / Propietario •Inspección ocular •Evidencia de aplicación

Gestión de Hallazgos •Identificación de hallazgos •Evaluación de riesgos •Definición de estrategias •Notificaciones por correo •Definición de nuevos controles

Reportes •Ejecutivos •Para Autoridades •Analíticos

Ley/Std



Auditoría Integrada

Gestión de Auditorías •Definición de Universo Auditable •Planeación basada en criticidad •Librería de Auditorías •Plantillas de hojas de trabajo •Emisión y seguimiento a observaciones •Encuestas de Satisfacción del Cliente

Gestión de Personal •Definición de certificaciones •Administración plan de carrera •Gestión de cargas de trabajo



Modelo de Madurez



Básico

Definido

Fundamentado

Liderado

•Casos de Uso definidos

Perfil de Implementación

•Casos de Uso enfocados

•Dominio único

• Fundamentalmente enfocado

en cumplimiento

• Todos los elementos básicos

• Identificar estado actual de

objetivos y casos de usos

•Procesos identificados

•Requerimientos documentados

•Planes de implementación

desarrollados

•Equipo de implementación

identificado


•Casos de Uso alineados al

modelo OOTB

•Dominio único

• Fundamentalmente enfocado

en cumplimiento

• Todos los elementos definidos

•Objetivos futuros establecidos y

coordinados

•Procesos y contenidos

integrados y en flujo, dominio

único

•Plan de infraestructura

escalable

• Involucrados clave entrenados


•Casos de Uso mixtos: OOTB y

Llave en mano

•Dominio único

•Enfocado en cumplimiento y

riesgos

• Todos los elementos

fundamentados

•Visión, alcance y estrategia

eGRC

•Adopción corporativa

•Procesos y contenidos

integrados y en flujo, dominios

múltiples

•Entendimiento del riesgo del

negocio

• Taxonomía y visibilidad de

contenidos completas

• Involucrados habilitados


•Múltiples Casos de Uso de

negocio/industria

•Dominios múltiples

•Enfoque GRC

Modelo de Madurez



Comenzar pequeño - Victorias rápidas

Visión empresarial- Establecer bases

GRC Estrategias delPrograma



Caso de Negocio - ROI



Caso de Negocio

Oportunidad de Implementación

Estado Actual

Solución Propuesta Implementación del

Proyecto

Definición de Visión Estado Ideal



Maximización del ROI

Implementación

Definir requerimientos y diseño

Diseño comprometido con involucrados

Procesos, contenido e infraestructura

Estrategia del programa



Evolución de Escenario

Alineación con el Negocio y Organización del Programa GRC

ROI de Implementación

Definición de proyecto

Vista del plan de implementación (Corto vs Largo plazos)

Estrategia Cross-Dominios

Apalancamiento Tecnológico (Suite Completa)

Habilidad de vincular gente, procesos y tecnología

Consideraciones del Programa

Costos de Implementación



Beneficios Cuantitativos

Valor Generado Mecanismo de Medición

Eficiencia en procesos

Ahorros anuales debido a reducción de esfuerzo: $125,000 USD Ahorros anuales por la reutilización de cuestionarios de evaluación: $50,000 USD

Colaboración Redución de costos por la consolidación de esfuerzos y recursos dispersos: 97% del costo

Velocidad y agilidad

Reducción en el tiempo requerido para completar una revisión: de 2 meses a 1 día Incremento en el tamaño de la muestra auditable: 50% Reducción de riesgos inherentes: 25%

Visibilidad Reducción del tiempo de reporteo: 90% Ahorros anuales por optimización de esfuerzos corporativos: $ 2.5 MUSD Ahorros por negociación de contratos integrales: $1 MUSD

Seguridad Reducción de eventos de pérdida anuales de la gestión del riesgo: $1.5 MUSD Reducción de impacto anual al negocio por riesgos de imagen: $500,000 USD Reducción de impacto anual al negocio por fuga de información: $175,000 USD

Fuente: The total Economic Impact of RSA Archer IT GRC, Forrester, Abril 2012



ROI en Cifras

ROI Periodo de Retorno

Beneficios Totales (VP)

Costos Totales (VP)

Valor Presente Neto

572% < 12 Meses $22,966 KUSD ($3,149 KUSD) $19,546 KUSD




ROI Proyectado

-2000

0

2000

4000

6000

8000

10000

12000

14000

16000

Inicial Año 1 Año 2 Año 3

Series1

Series2

Total de Costos Total de Beneficios




Analistas



Analistas: Gartner

Fuente: Gartner. Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms



Analistas: Forrester

Fuente: The Forrester Wave™: Enterprise Governance, Risk, And Compliance Platforms, Q4 2011 The Forrester Wave™: IT Governance, Risk, And Compliance Platforms, Q4 2011



Bruno Alejandre Archer eGRC Technical Consultant

[email protected]

Nuevo Enfoque de la Auditoría Empresarial a través de GRC

Documents

Transcript of Nuevo Enfoque de la Auditoría Empresarial a través de GRC