EGRC Software Consideraciones en la selección de una solución GRC GRC - Gobierno, Riesgo y Cumplimiento Noviembre, 2015

2 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

CONTENIDO

I. ¿Que es GRC?.

ü  ¿Para que sirve?.

ü  ¿Qué requiere? y ¿Cuáles son los beneficios?.

ü  Metodología.

II.  Objetivos generales de las herramientas GRC.

IV.  Principales funcionalidades.

V.  Consideraciones para la selección.

VI.  Opciones.

VII.  Plataforma GRC Protiviti.

VIII.  Propuesta de valor PGP.

IX.  PGP en LATAM.

3 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

I. ¿Qué es GRC?.

3

Gobierno, Administración de Riesgos y Cumplimiento (Governance, Risk Management, and Compliance o "GRC“) refleja una nueva manera de como las Organizaciones pueden adoptar un enfoque integral que relacione estas tres áreas; esta integración incluye muchas actividades dentro de una organización tales como: auditoria interna, programas de cumplimiento como SOX, administración del riesgo, riesgo operativo, administración de incidentes, políticas y procedimientos, etc. GRC busca que en una organización se actúe de manera ética de acuerdo con sus riesgos, políticas internas y regulaciones externas, a través de la alineación de estrategias, procesos, tecnología y personas mejorando con ello la eficacia y eficiencia de sus operaciones.

4 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

I. ¿Qué es GRC? (cont.)

4

¿Qué es Gobierno? Proceso por el cual se definen e implementan las políticas de la Organización y la toma de decisión es ejecutada, basada en éstas. ¿Qué es Administración de riesgos? Es el proceso por el cual una organización define su tolerancia al riesgo, los identifica y los prioriza de acuerdo a su tolerancia y objetivos de negocio. La administración, mediante controles internos, se encarga de mitigarlos a través de toda la organización. ¿Qué es Cumplimiento? Es el proceso de adherencia o cumplimiento a las políticas de la Organización. Las políticas pueden ser derivadas de directivas, procedimientos y requerimientos internos o leyes, regulaciones, estándares y acuerdos externos.

5 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

I. ¿Qué es GRC? - ¿Para qué sirve?

5

•  De manera inicial, el sistema GRC fue impulsado por SOX, como una necesidad / capacidad de poder administrar toda la información generada y requerida para poder cumplir con este marco regulatorio.

•  Hoy en día las Organizaciones, se han dado cuenta que para cumplir sus objetivos de negocio y/o cumplir con las expectativas de sus inversionistas y/o cumplir las regulaciones de su sector o industria, se requiere integrar como parte de su administración, las actividades y funciones de gobierno corporativo, la administración de riesgos y las responsabilidades de cumplimiento, mejorando con esto su capacidad.

•  Un sistema GRC es una herramienta integradora (end-to-end), que permite que las funciones asociadas al Gobierno Corporativo, Administración de Riesgos y Cumplimiento Regulatorio se “hablen”, se “sincronicen” y se “estandaricen” con el objetivo último de aumentar el rendimiento de la organización y que esté protegida interna y externamente.

6 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

I. ¿Qué es GRC?

6

Características  de  un  programa  integral  de  GRC

0% 20% 40% 60% 80% 100%

Adoptar un lenguaje común Comunicación entre los

diferentes equipos de trabajo relacionados

Supervisión centralizada de riesgos y cumplimiento Utilización de una sola

plataforma GRC Estandarización y

consolidación de las métricas de riesgos

Barreras  para  implementar  exitósamente  GRC

0% 20% 40% 60% 80% 100%

Alto costos y tiempos largos de implementación

Falta de una sola visión y un

lenguaje común de riesgos

Gestión del cambio para apoyar la implementación

Falta de solución tecnológica

Alineado con la estrategia del

negocio

Dominios aislados de GRC

Práctica integrada de

riesgos y cumplimiento

• Alineación estrategias, sistemas de información

• KPI/KRIs • Tableros de control de empresa

• Soporte de múltiples componentes de GRC

• Vista central de Riesgos

• Reporte consolidado

• Puntos de vista centralizados de políticas

• Cumplimiento automatizado

Madurez de la correlación programa de GRC

Requerimientos clave - plataforma de GRC

Investigación de ISACA •  17% + ingreso •  14% + utilidad •  96% - pérdidas

financieras •  50% - gasto en el

programa anual de cumplimiento

Investigación de Aberdeen Group

•  20% + en la habilidad para priorizar inversiones

•  16% + al optimizar procesos actuales

•  Ventaja competitiva •  Resultados optimizados •  Proteger la inversión de

terceros

•  Cumplimiento regulatorio de informes y reportes públicos

•  Ventaja competitiva de gestión del cumplimiento

•  Reducción de pérdidas operativas e incidentes

•  Disminuir el costo total del cumplimiento

Objetivo del programa GRC Valor

Optimización de costos

Cumplimiento demostrable

Asignación efectiva de activos / recursos

¿QUE REQUIERE? ¿CUALES SON SUS BENEFICIOS?

7 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

II. Objetivos generales de las herramientas GRC

7

•  Algunos de los objetivos de una plataforma de GRC: –  El negocio (entiéndase los dueños de los procesos) pueda hacerse responsable

de administrar sus riesgos y controles. –  Las áreas normativas y de cumplimiento (AI, Control Interno, Riesgos,

Cumplimiento, etc.), se dediquen a estar cuidando lo que realmente es importante para el negocio.

–  Los procesos de cumplimiento y entrega de información regulatoria se vuelvan más eficientes y efectivos.

–  Las principales áreas usuarias de este tipo de herramientas son: •  Auditoria Interna •  Los diferentes comités de Gobierno Corporativo. •  Riesgo y cumplimiento. •  Control interno. •  Normatividad, Políticas y Procedimientos. •  Usuarios de las áreas de negocio, responsables de la administración de los

riesgos. •  Altos Ejecutivos.

8 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

III. Principales funcionalidades

8

•  Las principales funciones que soporta una plataforma GRC son: –  Administración de riesgos:

•  Identificación de riesgos y su calificación, basados en los modelos de riesgos definidos por la organización.

•  Definición de controles y sus pruebas; así como las actividades y planes de trabajo que permitan fortalecer el ambiente de control.

•  Riesgo operativo. Administrar la materialización de los riesgos (pérdidas). –  Administración del cumplimiento:

•  Soportar diferentes marcos regulatorios, normas, leyes, etc.(COSO 2013, SOX, JSOX, EuroSOX, ISO9000, estándares de industria, regulaciones ambientales, etc.).

•  Documentación, reportes, definición de objetivos de control, y administración de los riesgos y controles asociados.

•  Concientización hacia toda la organización (políticas, código de ética, evaluaciones del conocimiento asociado al cumplimiento, etc.).

9 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

III. Principales funcionalidades (cont.)

9

–  Administración de Políticas y Procedimientos: •  Administración documental que permite mantener el ciclo de vida de las

políticas y procedimientos, desde su creación, revisión, cambios, publicación y archivo.

–  Administración de Auditorias: •  Planeación y programación de auditorias y actividades relacionadas. •  Identificación, seguimiento y mitigación de hallazgos. •  Administración y reportes de tiempo de actividades y personal. •  Administración y estandarización de papeles de trabajo.

–  Autoevaluación: •  Capacidad de recolectar información, de manera rápida y oportuna, a

través de toda la organización, de temas como: –  Autoevaluación de riesgos y controles. –  Comunicación y entendimiento de políticas y procedimientos. –  Evaluación de las funciones de: Auditoría Interna, Riesgos,

Cumplimiento, etc.

10 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

III. Principales funcionalidades (cont.)

10

–  Seguimiento •  Definición de flujos de trabajo, planes de acción, tareas, con responsables

y fechas compromiso de solución. •  Alertas automatizadas. •  Bitácoras de cambios.

–  Explotación de la información: •  Mapas de calor. •  Tableros de control con indicadores de desempeño:

–  Auditoría –  Cumplimiento –  Riesgos –  Etc.

•  Reportes de cumplimiento. •  Informes de auditoría. •  Etc.

11 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

IV. Consideraciones para la selección

11

•  Actividades previas a la selección –  Definir el estado futuro de la Compañía:

•  ¿Gobierno Corporativo? •  ¿Cumplimiento de regulaciones? •  ¿Automatizar funciones maduras (AI, Administración de riesgos, Control

interno)? –  Identificar a los principales promotores en la Alta Dirección. –  Identificar los marcos regulatorios a cumplir:

•  Situación interna actual con respecto a estos. •  Costos de una potencial exposición por incumplimiento.

–  Establecimiento de marco de trabajo de GRC: •  Organización con funciones y actividades de administración de riesgos. •  Definición del tipo de información requerida (interna y externa). •  Establecimiento de un lenguaje común de riesgos.

12 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

IV. Consideraciones para la selección. Proceso de selección de la solución.

12

13 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

V. Opciones

13

14 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

VI. Plataforma GRC Protiviti

14

Portal de Gobierno de Protiviti. Plataforma integral de tecnología diseñada para apoyar de manera constante, sustentable y eficaz el gobierno corporativo, la administración de riesgos y los programas de cumplimiento, abarcando las diversas disposiciones regulatorias, que incluyen entre otros: la Ley del Mercado de Valores, Sarbanes-Oxley, Basilea III, etc. Los seis pilares necesarios para un gobierno corporativo,

son soportados por el portal, con los siguientes módulos: Administración de controles: Administración de procesos y conocimiento que soporta Sarbanes-Oxley (Secciones 404 y 302). Administración de riesgos: Evaluación de controles y riesgos, fuertemente integrado con el sistema de eventos de pérdida. Administración de eventos de pérdida: Recolección de eventos de pérdida reales, estimados e incidentes (potenciales pérdidas). Administración de autoevaluación: “Motor” de entrevistas y cuestionarios que permite autoevaluar múltiples actividades de gobierno y cumplimiento. Auditoría interna: Administración de papeles electrónicos de trabajo, apoya evaluaciones de riesgos, planeación, ejecución, hallazgos y reportes de auditorías.

15 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

VII. La propuesta de valor del PGP (Software GRC de Protiviti)

15

Generalidades: El portal de Gobierno de Protiviti integra el contenido y los más aceptados marcos de referencia basados en la experiencia en consultoría a nivel mundial integrados tecnológicamente, dando a las organizaciones la habilidad de gestionar el riesgo y temas de cumplimiento al día de hoy y en el futuro. Los clientes escogen nuestro portal porque les permite alcanzar sus objetivos corporativos reduciendo el riesgo mediante una relación costo-efectiva en el cumplimiento con políticas, procedimientos y regulaciones. Asimismo, le provee con la solución que se necesita el día de hoy, y lo ayuda a convertir sus prácticas GRC en una base estratégica dentro de la organización.

Portal de Gobierno de Protiviti (PGP)

Gente – Equipo de implementación, expertos en el cliente, industria y tema.

Contenido – Biblioteca de marcos de referencia de Protiviti y del cliente

Tecnología – Recursos de ayuda del Portal de Gobierno de Protiviti

Tiempo de Implementación: • Diagnósticos diarios que definen el camino a seguir • Implementación básica en 20 días, la mayoría de los proyectos se terminan de 2 a 3 meses.

Tiempo de Beneficios: • Los beneficios serán identificados durante la fase de implementación y al comienzo de cada proceso.

Recursos Requeridos: • Mínimos recursos tecnológicos serán requeridos. El equipo del proyecto se involucrará en el establecimiento, diseño y posicionamiento a través de capacitación constante en el empleo de la herramienta.

Tiempo de Resultados Medidas KPI Beneficios Estratégicos

•  Tiempo para completar el proceso de certificación (p.e sección 302)

•  Participación en programas de auto evaluación

•  # de hallazgos identificados •  Días vencidos de las

observaciones •  # de auditorias al año •  Satisfacción del auditado •  % de riesgos principales

cubiertos •  Técnicas de cobertura para

los riesgos principales

•  Expansión de cobertura de riesgos estratégicos/operacionales principales

•  Reducción de costos de cumplimiento vía gestión de políticas, objetivo y excepción.

•  Diseño holístico de respuesta a riesgos con niveles de tolerancia.

•  Prevención de fraude y de no cumplimiento con regulaciones

•  Alineación de la estrategia, administración del riesgo, capacidades y desarrollo de los procesos de la gerencia.

Algunos Beneficios: •  Crea una base de datos compartida de un marco de referencia medible de GRC •  Unifica estrategias de riesgos estratégicos, financieros, operacionales y de

cumplimiento. •  Refuerza la rendición de cuentas, minimiza la demanda del tiempo de los

usuarios. •  Consistencia, calidad y ejecución de las auditorías/programas de cumplimiento. •  Reduce tiempo del proyecto, generando entrenamiento y cumplimiento profesional •  Consolida información entre líneas multidisciplinarias de negocios, permitiendo

análisis en tiempo, administración de los reportes y la generación de reportes ejecutivos.

•  Administración de las observaciones y su remediación en tiempo

Beneficios Cuantificables: Costo •  Minimiza los honorarios de los auditores externos, gasto en consultoría,

ineficiencia interna. 5 to 10% Tiempo •  Incrementa la eficiencia de los auditores 10% •  Corta duración de la evaluación de los ciclos 15% •  Reduce esfuerzos en la generación de reportes y en

su seguimiento 20% •  Desarrolla eficiencia en auditores 10%

16 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

VIII. PGP en LATAM

16

EGRC Software Consideraciones en la implementación de una solución GRC GRC - Gobierno, Riesgo y Cumplimiento Noviembre, 2015

18 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

Contactos

Roberto Abad Managing Director Paseo de la Reforma 243 Piso 18,Col Cuauhtémoc México, D.F. 06500 Conmutador: 5255.6729.8070 roberto.abad@protivitiglobal.com.mx

Luis Cabrera Director Paseo de la Reforma 243 Piso 18,Col Cuauhtémoc México, D.F. 06500 Conmutador: 5255.6729.8070 luis.cabrera@protivitiglobal.com.mx

Iván Torres Manager Paseo de la Reforma 243 Piso 18,Col Cuauhtémoc México, D.F. 06500 Conmutador: 5255.6729.8070 Ivan.torres@protivitiglobal.com.mx

19 © 2015 P México Operativa, S. de R.L. de C.V. (Firma miembro de Protiviti,, Inc.) CONFIDENCIAL: Este documento es para uso interno del Cliente y no puede ser copiado o distribuido a terceras partes.

19