Nuevo Enfoque de la Auditoría Empresarial a través de GRC
-
Upload
balejandre -
Category
Documents
-
view
315 -
download
5
description
Transcript of Nuevo Enfoque de la Auditoría Empresarial a través de GRC
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
I
O
M
R
D
A
P
C
Nuevo Enfoque de la Auditoría Empresarial a través de GRC
Bruno Alejandre González Archer eGRC Technical Consultant Latin America & Caribbean
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Agenda
• Situación actual y requerimientos • Contexto eGRC • Flujo Típico de Riesgo – Cumplimiento – Auditoría • Modelo de Madurez de Implementación GRC • Caso de Negocio y ROI • Analistas: Plataformas GRC
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Situación Actual
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Escenario Organizacional
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Requerimientos de Auditoría
• Basada en el monitoreo proactivo del escenario de riesgos de la empresa.
• Capacidad de ajustar el alcance y tipo de la auditoría con base en el resultado del análisis del riesgo.
• Alcance que rebasa el típico enfoque financiero. • Competencia requerida por las guías de IIA. • Seguimiento a observaciones recurrentes. • Visibilidad sobre el efecto de la auditoría en el riesgo
residual. • Robustecimiento del equipo de auditores internos.
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Estándares IIA
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Contexto GRC
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Gobierno, Riesgo y Cumplimiento
• Gobierno: La cultura, los objetivos, procesos, políticas y leyes por las cuales las empresas son dirigidas y controladas.
• Riesgo: La probabilidad e impacto de la materialización de un evento, el cual puede tener efecto en la consecusión de los objetivos.
• Cumplimento: El acto de adherirse a y demostrar adherencia con leyes externas y reglamentos, así como con políticas y procedimientos corporativos.
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
I
O
M
R
D
A
P
CContexto y Cultura Organizar y Supervisar
Monitorear y Medir Alinear y Evaluar
Responder y Resolver Prevenir y Promover
Informar e Integrar Detectar y Discernir
Marco de Referencia OCEG
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Plataforma eGRC
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Flujo GRC
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Marco Normativo y Aplicabilidad
Normativa Interna
(Controles)
Normativa Externa
(Leyes/Estándares)
Proceso A
Proceso B
Proceso C
Ad
min
istr
ació
n E
mp
resa
rial
Administración de Políticas
Aplicabilidad Normativa
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Gestión de Riesgos/Cumplimiento
2
2 1 1
1
1
Probabilidad
Imp
acto
•Clasificación •Estimación $$
Análisis Respuesta Tratamiento Monitoreo
Normativa Interna (Controles)
Normativa Externa (Leyes/Estándares)
Proceso A
Proceso B
Proceso C
Gestión de Tareas •Notificaciones por correo •Fechas límite •Escalamientos •Flujos de revisión •Monitoreo en sistema
Evaluación de operación •Control Interno •Inspección ocular •Evidencia de aplicación
Cuestionarios Personalizados •Control Interno / Propietario •Inspección ocular •Evidencia de aplicación
Evaluación de Diseño •Control Interno / Propietario •Inspección ocular •Evidencia de aplicación
Gestión de Hallazgos •Identificación de hallazgos •Evaluación de riesgos •Definición de estrategias •Notificaciones por correo •Definición de nuevos controles
Reportes •Ejecutivos •Para Autoridades •Analíticos
Ley/Std
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Auditoría Integrada
Gestión de Auditorías •Definición de Universo Auditable •Planeación basada en criticidad •Librería de Auditorías •Plantillas de hojas de trabajo •Emisión y seguimiento a observaciones •Encuestas de Satisfacción del Cliente
Gestión de Personal •Definición de certificaciones •Administración plan de carrera •Gestión de cargas de trabajo
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Modelo de Madurez
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Básico
Definido
Fundamentado
Liderado
•Casos de Uso definidos
Perfil de Implementación
•Casos de Uso enfocados
•Dominio único
• Fundamentalmente enfocado
en cumplimiento
• Todos los elementos básicos
• Identificar estado actual de
objetivos y casos de usos
•Procesos identificados
•Requerimientos documentados
•Planes de implementación
desarrollados
•Equipo de implementación
identificado
Perfil de Implementación
•Casos de Uso alineados al
modelo OOTB
•Dominio único
• Fundamentalmente enfocado
en cumplimiento
• Todos los elementos definidos
•Objetivos futuros establecidos y
coordinados
•Procesos y contenidos
integrados y en flujo, dominio
único
•Plan de infraestructura
escalable
• Involucrados clave entrenados
Perfil de Implementación
•Casos de Uso mixtos: OOTB y
Llave en mano
•Dominio único
•Enfocado en cumplimiento y
riesgos
• Todos los elementos
fundamentados
•Visión, alcance y estrategia
eGRC
•Adopción corporativa
•Procesos y contenidos
integrados y en flujo, dominios
múltiples
•Entendimiento del riesgo del
negocio
• Taxonomía y visibilidad de
contenidos completas
• Involucrados habilitados
Perfil de Implementación
•Múltiples Casos de Uso de
negocio/industria
•Dominios múltiples
•Enfoque GRC
Modelo de Madurez
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Comenzar pequeño - Victorias rápidas
Visión empresarial- Establecer bases
GRC Estrategias delPrograma
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Caso de Negocio - ROI
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Caso de Negocio
Oportunidad de Implementación
Estado Actual
Solución Propuesta Implementación del
Proyecto
Definición de Visión Estado Ideal
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Maximización del ROI
Implementación
Definir requerimientos y diseño
Diseño comprometido con involucrados
Procesos, contenido e infraestructura
Estrategia del programa
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Evolución de Escenario
Alineación con el Negocio y Organización del Programa GRC
ROI de Implementación
Definición de proyecto
Vista del plan de implementación (Corto vs Largo plazos)
Estrategia Cross-Dominios
Apalancamiento Tecnológico (Suite Completa)
Habilidad de vincular gente, procesos y tecnología
Consideraciones del Programa
Costos de Implementación
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Beneficios Cuantitativos
Valor Generado Mecanismo de Medición
Eficiencia en procesos
Ahorros anuales debido a reducción de esfuerzo: $125,000 USD Ahorros anuales por la reutilización de cuestionarios de evaluación: $50,000 USD
Colaboración Redución de costos por la consolidación de esfuerzos y recursos dispersos: 97% del costo
Velocidad y agilidad
Reducción en el tiempo requerido para completar una revisión: de 2 meses a 1 día Incremento en el tamaño de la muestra auditable: 50% Reducción de riesgos inherentes: 25%
Visibilidad Reducción del tiempo de reporteo: 90% Ahorros anuales por optimización de esfuerzos corporativos: $ 2.5 MUSD Ahorros por negociación de contratos integrales: $1 MUSD
Seguridad Reducción de eventos de pérdida anuales de la gestión del riesgo: $1.5 MUSD Reducción de impacto anual al negocio por riesgos de imagen: $500,000 USD Reducción de impacto anual al negocio por fuga de información: $175,000 USD
Fuente: The total Economic Impact of RSA Archer IT GRC, Forrester, Abril 2012
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
ROI en Cifras
ROI Periodo de Retorno
Beneficios Totales (VP)
Costos Totales (VP)
Valor Presente Neto
572% < 12 Meses $22,966 KUSD ($3,149 KUSD) $19,546 KUSD
Fuente: The total Economic Impact of RSA Archer IT GRC, Forrester, Abril 2012
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
ROI Proyectado
-2000
0
2000
4000
6000
8000
10000
12000
14000
16000
Inicial Año 1 Año 2 Año 3
Series1
Series2
Total de Costos Total de Beneficios
Fuente: The total Economic Impact of RSA Archer IT GRC, Forrester, Abril 2012
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Analistas
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Analistas: Gartner
Fuente: Gartner. Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Analistas: Forrester
Fuente: The Forrester Wave™: Enterprise Governance, Risk, And Compliance Platforms, Q4 2011 The Forrester Wave™: IT Governance, Risk, And Compliance Platforms, Q4 2011
“INTEGRAR EXPERIENCIAS PARA PROGRESAR”
XXIX ENCUENTRO NACIONAL DE AUDITORES INTERNOS
Bruno Alejandre Archer eGRC Technical Consultant