Caso Universidad del Mar y las fallas de gobierno corporativo en sectoreducación chileno

Al revisar la prensa de nuestro país este último tiempo, nos hemos podido dar cuenta como siguen apareciendo escándalos relacionados a fallas en los "gobiernos corporativos" y la "transparencia" de las entidades, lo que hace tomar cartas en el asunto al gobierno de manera ex-post, dado a que se tiende a confiar en el autocontrol que pudieran aplicar las entidades en ciertas industrias y la verdad es que los hechos o escándalos que hemos visto, hacen que las autoridades piensen en más regulaciones para evitar que sigan proliferando situaciones como la ocurrida en la Universidad del Mar (Chile), donde claramente debido a las fallas en el gobierno corporativo de la casa de estudios, se gatillaron una serie de ilícitos que hoy ha implicado su cierre, dejando en graves aprietos a cerca de 12.000 estudiantes que confiaron su futuro a esta universidad.

En este escándalo, han existido fallas a nivel de los órganos estatales que tienen la misión de velar por la calidad del sistema educativo y es así como a partir de la colusión de ciertos actores, se han entregado acreditaciones universitarias cuestionables y se llega a descubrir públicamente que la Universidad del Mar en estricto rigor, no calificaba para acreditar calidad en ciertos ámbitos de docencia de pregrado y gestión institucional (ámbitos obligatorios) para una acreditación mínima que exige la Comisión Nacional de Acreditación (CNA-Chile).

Todos recordamos el escándalo reciente denominado "caso La Polar" y que implicó que el gobierno de Chile, pensará en nuevas regulaciones orientadas a mitigar este tipo de situaciones y es así como hace muy poco, ha entrado en vigencia la norma de la Superintendencia de Valores y Seguros (SVS-NCG Nro. 341 de fecha 29.11.2012) relativa a buenas prácticas de gobiernos corporativos, por lo que ciertas industrias que son muy sensibles como es la educacional, al parecer tendrán que ser reguladas al igual que las sociedades anónimas abiertas y supervisadas de forma mucho más rigurosa, porque si bien en el caso de la Universidad del Mar, los afectados no son los "inversionistas", aquí claramente tenemos estudiantes afectados, docentes, trabajadores, las familias que hay detrás de cada uno de ellos y por cierto acreedores, lo que socialmente exacerba la problemática y la pérdida de confianza para la industria educacional no es menor.

Frente a esto, la pregunta que nos queda es ¿Cómo mejoramos ahora la confianza de cara a los estudiantes y la transparencia o confiabilidad de ciertas entidades educacionales y de gobierno?. La respuesta más obvia que nos queda es: Aplicando mayor regulación por parte del estado a la industria educacional y monitoreo continuo tanto gubernamental como de entidades independientes y de clase mundial, que acrediten la veracidad de los estándares aplicados por cada entidad. Esto es lo que se está haciendo en las entidades que cotizan en bolsa y al menos la evidencia empírica indica que mejora el ambiente de confianza, transparencia y las entidades tienden a tomar conciencia respecto a la aplicación de buenas prácticas de gobierno corporativo, por lo que la regulación también debe ser aplicada estrictamente a entidades que en teoría no persiguen fines de lucro.

En los países de la Organización para la Cooperación y el Desarrollo Económico (OCDE), existen modelos de cumplimiento bastante estrictos para efectos de acreditación en entidades educacionales y si somos parte de este selecto grupo, ¿Por qué no hacemos "benchmarking" y rescatamos lo mejor de esas experiencias?.

En las próximas semanas seguiremos conociendo diversas medidas que el gobierno comenzará a implementar con miras a remediar este tipo de fallas y que muchos temen de que el caso Universidad del Mar, sea solamente la "punta del iceberg" en el sistema de educación superior chileno.

Funciones SAP GRC Access Control "La forma segura de otorgarprivilegios en SAP"

¿Qué son las funciones SAP GRC Access Control?

La solución SAP GRC Access Control, no solamente nos sirve para hacer análisis de riesgos cuando se hace el aprovisionamiento de privilegios a los usuarios tanto de SAP ERP como de otras soluciones SAP, sino que también nos sirve para hacer uso de la propuesta de funciones por procesos de negocio que posee como línea base de buenas prácticas, las que se pueden usar para el desarrollo de los roles que deben ser asignados a los usuarios.

Este enfoque de desarrollo de roles por funciones SAP GRC Access Control, está siendo implementado de manera creciente en las empresas, lo cual además es vinculado con el módulo HCM (Recursos Humanos) de SAP, a fin de automatizar el provisioning de privilegios en un marco controlado, a partir de los movimientos de altas o bajas que se realiza en el maestro de personal de la entidad.

Esta vinculación se hace a nivel de roles funcionales (por procesos de negocio) y cargos, lo que se relaciona con las posiciones y/o funciones de HCM para lograr la automatización del modelo.

Las ventajas que podemos encontrar en el uso de este modelo de roles por funciones SAP GRC Access Control son:

- Los roles construidos y relacionados a las funciones de SAP GRC Access Control, no poseen problemas de incompatibilidades y ya vienen segregados funcionalmente, por lo que pueden ser asignados de forma limpia a los usuarios.

- Las funciones SAP GRC Access Control están relacionadas a procesos de negocios y funcionalidades estándar dentro de estos, por lo que llevarlo a roles de privilegios para usuarios, nos ayuda a estandarizar procesos en la entidad y en forma segura.

- La administración de los roles emanados de funciones SAP GRC Access Control, es mucho más óptima y sustentable en el tiempo, sobre todo si la entidad posee implementada la solución SAP GRC Access Control.

- Se erradica de la entidad los roles híbridos, modelos atomizados y los trajes a la medida para usuarios, que al no estar relacionados a una lógica de procesos de negocio, siempre es complejo administrarlo y se termina dependiendo de los administradores de roles, por lo que se disminuye o mitiga el riesgo de dependencia funcionaria.

Para que este o cualquier modelo de roles en SAP, perdure en el tiempo, sin tener que hacer reingeniería de roles o rediseño de privilegios cada tres años promedio, es necesario apoyarse por una herramienta de monitoreo continuo como SAP GRC Access Control para su administración, sobre todo considerando que esta solución de SAP, es un verdadero sistema experto que contiene set de reglas estándares para análisis de segregación funcional y accesos críticos.

Si quieres conocer una estrategia de implementación de la solución SAP GRC Access Control para tu entidad, puedes ver acá:

SAP BusinessObjects Access Control

Norma SVS de Gobiernos Corporativos. ¿Nos podemos apoyar en solucionesTI GRC? - Aplica en Chile

NORMA SVS (NCG Nro. 341 29.11.2012) PARA LA DIFUSIÓN DE INFORMACIÓN RESPECTO DE LOS ESTÁNDARES DE GOBIERNO CORPORATIVO ADOPTADOS POR LAS SOCIEDADES ANÓNIMAS ABIERTAS   
 

Frente a la pregunta: ¿Nos podemos apoyar por medio de una solución TI para Governance, Risk & Compliance (GRC), que nos permita facilitar el cumplimiento de esta norma de la SVS? La respuesta es SI.

¿Por qué podemos apoyar el cumplimiento de la norma por medio de una solución TI para GRC?

Esto porque la nueva norma de carácter general de la Superintendencia de Valores y Seguros (SVS) NCG Nro. 341 de fecha 29.11.2012, dentro de sus obligaciones menciona que se debe informar respecto a las prácticas aplicadas para un buen gobierno corporativo en las sociedades anónimas, a fin de mejorar la transparencia para los inversionistas y así tender a evitar que ocurran escándalos producto de materialización de malas prácticas en este ámbito.

Para este propósito, la norma contempla un check list de cumplimiento que debe llenar cada sociedad en donde se cubrirán las siguientes prácticas de gobierno corporativo:

1.- Funcionamiento del Directorio.

2.- Relación entre la sociedad, los accionistas y el público en general.

3.- Sustitución y compensación de ejecutivos principales.

4.- Definición, implementación y supervisión de políticas y procedimientos de control interno y gestión de riesgos en la empresa.

5.- Otras prácticas adoptadas por la sociedad, que no están referidas a las anteriores. (No más de 5) 

Para poder hacer una adecuada gestión del cumplimiento de estas normas, las sociedades necesitarán implementar soluciones tecnológicas GRC, que le permita tanto a la administración como a los directores, tener una adecuada visibilidad del estatus de cumplimiento de cada uno de estos principios, considerando también que esto se deberá reportar a más tardar el 31 de marzo de cada año, por el ejercicio terminado al 31 de diciembre del año anterior.

La primera remisión y publicación que deberán hacer las sociedades anónimas abiertas a la SVS, será referida al 31 de marzo del 2013 (con plazo máximos hasta el 30 de junio 2013) por el ejercicio terminado al 31 de diciembre del 2012.

Si revisamos el principio Nro. 4.- relativo a "Definición, implementación y supervisión de políticas y procedimientos de control interno y gestión de riesgos en la empresa", para poder tener un adecuado cumplimiento de estos ámbitos, se hace absolutamente necesario poder hacerlo a través de una solución tecnológica de GRC.

Las ventajas que tendrán las sociedades al hacer uso de tecnológicas de la información para el cumplimiento de estos principios son:

- Podrá contar con información integra y relacionada a todos los ámbitos de la gestión del negocio, es decir, niveles estratégicos y tácticos (procesos de negocio).

- Podrá contar con un repositorio o base única y centralizada de información relativa a procesos, riesgos y controles del modelo de control interno de la sociedad.

- Los directores y altos ejecutivos de la sociedad, podrán contar con tableros de control con gráficos y estadísticas de rápida visibilidad del rendimiento del modelo de control interno, alineado con el cumplimiento de la norma como "framework" de compliance.

- La información relativa al cumplimiento de los principios de buenas prácticas de gobiernos corporativos, podrá ser revisada en tiempo real tanto por directores, ejecutivos y administradores del modelo de control interno desde cualquier lugar y por medio de dispositivos móviles.

- Directores y ejecutivos podrán acceder a la información con medidas de seguridad y privacidad, de tal forma de poder segmentar los accesos a la información alineado con la funcionalidad que le corresponde a cada usuario y velando por un adecuado control por oposición de interés.

- Fiscalizadores, auditores internos y externos, podrán acceder a la evidencia que sustenta el cumplimiento de los principios reportados a la SVS, en forma rápida, ordenada y metódica. Esto es relevante, considerando que en las sociedades será parte del monitoreo que deberá reportar continuamente durante el año el comité de auditoría.

Uno de los aspectos crecientes y que además lo indica Gartner como tendencia tecnológica para el año 2013, es el uso de soluciones Cloud Computing (en la nube) y a través de dispositivos móviles, considerando que la mayoría de los directores y ejecutivos utilizan estos dispositivos para acceder a la información en el día a día desde diversos lugares en el mundo.

Las soluciones en la nube, ya son una realidad en el mundo en diversas industrias y con alta demanda en ciertos ámbitos del negocio. En Chile, cada día van tomando mayor relevancia y se colocan en la mente de los CIO, CFO y CEO, considerando además las economías que esto implica en su modalidad de software como servicio "Software as a Service (SaaS)", en donde las empresas pagando un fee mensual, pueden acceder a la solución tecnológica sin necesidad de desembolsar dinero en licencias de software, hardware y contratar personal experto para la mantención y disponibilidad, lo que conlleva a un ahorro no despreciable.

Para revisar la norma puedes ir a esta dirección:

http://www.svs.cl/normativa/ncg_341_2012.pdf

Si quieres conocer una solución GRC Cloud Computing que soporta este framework, puedes informarte acá:

http://www.deloitte.com/assets/Dcom-Chile/Local%20Assets/Documents/Brochures%20Consulting%20Technology/brochure_grc_on_demand_2012.pdf

¿Cómo innovar en las unidades de auditoría interna? Innovar agregando valor

Muchas veces hemos escuchado en diversos foros de gestión de negocios, que las unidades de auditoría interna de las organizaciones, son percibidas por la alta administración como entes que "no agregan valor" o que son un "mal necesario", dado a que actúan como un control disuasivo en la entidad, pero sin percibirse una contribución sustancial.

Para poder cambiar esta opinión y que definitivamente las unidades de auditoría interna sean vistas con otros ojos tanto por los dueños, inversionistas, directores y alta administración en cualquier entidad, sea esta pública o privada, es que se ha venido trabajando tanto en el instituto americano de auditores internos (The Institute of Internal Auditor - TheIIA - en sus siglas en inglés) como en los congresos especializados de contadores públicos y de auditores tecnológicos (Information System Audit Control Association - ISACA - en sus siglas en inglés) de tal forma de buscar mecanismos o iniciativas que permitan cambiar ese prejuicio.

Es por ello, que actualmente ya se habla del concepto de innovación en las unidades de auditoría interna (I+D+i), que está orientado a desarrollar iniciativas tendientes a cambiar la forma tradicional de hacer las cosas y adoptar enfoques más proactivos en el monitoreo de los modelos de control interno de las organizaciones. Por esta razón, el monitoreo continuo de los procesos de negocio por medio de herramientas o soluciones tecnológicas GRC (Governance, Risk & Compliance), pasan hoy por hoy a convertirse en el mejor aliado del auditor, para que este adopte iniciativas automatizadas y que le permita ayudar a las organizaciones a proteger y/o preservar el valor de la misma de forma más sustentable y por ende contribuir indirectamente en el incremento del valor en forma sistemática y continua.

Las formas como son utilizadas estas soluciones tecnológicas GRC en empresas públicas y privadas, son variadas y a continuación les mencionamos algunas:

- Gestión integral de los riesgos de la entidad tanto estratégicos como operativos (procesos) ERM (Enterprise Risk Management): Esto se logra a partir de un repositorio centralizado de riesgos, automatizando la forma como estos se administran y evalúan en el tiempo, haciendo uso de formularios inteligentes o de input, que permiten obtener la opinión tanto de los altos ejecutivos como de los dueños de procesos, acerca del impacto y probabilidad de ocurrencia de estos y utilizando modelos cualitativos o cuantitativos de evaluación. De esta manera, tanto ejecutivos como dueños de procesos mantienen una visibilidad mucho más fina del comportamiento de sus riesgos y por ende las medidas de mitigación son abordadas en forma oportuna, no poniendo en riesgo el incremento sustentable del valor. En algunos países en donde los modelos de gobernabilidad corporativa están más avanzados (ejemplo países de la OCDE), estas encuestas de evaluación, son dirigidas a los directores de empresas, a fin de que proporcionen su opinión respecto a los riesgos estratégicos del negocio, considerando que por mandato de los dueños o inversionistas, estos directores tienen la misión de velar por sus intereses y en muchas ocasiones estos intereses se han puesto seriamente en riesgo producto de escándalos financieros o ilícitos de diversa índole.

- Administración eficiente y racional de controles ECM (Enterprise Control Management): Siempre cuando en cualquier organización se identifican y administran riesgos, es necesario identificar y gestionar controles, los que pueden ser manuales, semiautomáticos o automáticos, por lo que mientras menos controles manuales gestione, más racional o eficiente será su administración y por ende, más efectiva será la mitigación de los riesgos. Asimismo, es necesario hacer uso de herramientas que desde un repositorio centralizado, permita mantener ciertos controles claves monitoreados en tiempo real y que en la medida que los mismos sean vulnerados o se intente alterarlos, se activen las alertas necesarias para actuar en forma inmediata. De esta forma, la cantidad de fraudes o ilícitos de cualquier índole disminuirá de manera significativa, haciendo que su organización sea mucho más confiable para los inversionistas, sin tener que invertir mucho dinero en el monitoreo de las transacciones críticas de sus procesos en forma manual.

Otro beneficio que tiene este tipo de soluciones tecnológicas, es que permite a los dueños de procesos realizar autoevaluaciones de los controles de su ámbito cada cierto tiempo, con el propósito de que estos puedan reflejar de forma autónoma su percepción respecto al comportamiento de sus controles. Este enfoque (CSA Control Self-Assessment en sus siglas en inglés), ha dado muy buenos resultados, porque ayuda también a que la organización logre sensibilizarse respecto a la dinámica del modelo de control interno y ayuda a mejorar el ambiente de control al igual que la gestión integral de riesgos mencionada anteriormente.

Por último y en relación al monitoreo continuo, se han desarrollado motores de análisis automáticos con reglas de riesgos de segregación funcional, que están orientados a monitorear en tiempo real el comportamiento relacionado con accesos a transacciones críticas y/o conflictivas que pudieran alterar el flujo transaccional de los procesos de negocio. Asociado a este ámbito, han habido muchos fraudes e ilícitos en empresas de diversas industrias, producto del exceso de privilegios otorgados a los usuarios, lo que hace más sencillo para estos materializar algún error o ilícito, siendo los riesgos con mayor probabilidad de ocurrencia en los procesos de cualquier entidad.

Como pueden ver, las formas como se puede aplicar innovación efectiva (I+D+i) en las unidades de auditoría interna, son variadas y depende del liderazgo y posicionamiento que estas áreas tengan en la organización, puesto que claramente para llevar a cabo esto, se requiere convencer desde el directorio, pasando por los altos ejecutivos y dueños de procesos, de que por esta vía se puede conseguir incrementar el valor en las empresas de forma mucho más sustentable y por ende cambiar definitivamente el prejuicio que existe respecto de que los auditores no contribuyen con el incremento de valor en las organizaciones.

Monitoreo Continuo "el fin de la auditoría interna ex-post"

Desde hace un tiempo se habla del concepto de "monitoreo continuo" o (CM Continuous Monitoring en sus siglas en inglés) tanto en los congresos de auditores, de control interno o en las aulas y la importancia de esto, es que permite racionalizar los modelos de control interno (MCI) en las empresas y ayuda a identificar ilícitos o deficiencias de control de forma más rápida y antes de que un riesgo se materialice con impacto alto en la organización, para que esto no ponga en jaque el incremento del valor.

Ahora bien, lo otro que se viene escuchando con fuerza, es el fin de la auditoría interna ex-post (de los hechos pasados o realizados), a partir de la aplicación del monitoreo continuo, por lo que las unidades de auditoría interna en las empresas, en su afán por ayudar a mantener o preservar el valor de manera más racional, están migrando de los métodos tradicionales o convencionales de auditoría a enfoques más preventivos o detectivos, por medio de herramientas de monitoreo continuo. Estas innovaciones, permiten optimizar los procesos de revisión y ampliar los alcances, considerando que siempre los recursos de auditoría son escasos y la forma de maximizarlos, es por medio de herramientas que permiten monitorear los controles en tiempo real y así obtener evidencia confiable de la efectividad de los mismos, en línea con la dinámica transaccional de la organización.

Claramente, para conseguir un monitoreo continuo de controles en tiempo real, se requiere de apoyo de las tecnologías de información, dado a que un porcentaje importante de los flujos de procesos, se realiza en sistemas ya sea ERPs (sistemas de clase mundial que integran todas las operaciones de los procesos) o sistemas específicos que cubren transacciones "core business" por ejemplo. Es por este motivo, que se hace necesario conectar las herramientas de monitoreo continuo con estos sistemas aplicativos, a nivel de bases de datos y así obtener en línea dicho monitoreo y desde la fuente de origen de la información.

Esto le permite tanto a auditores como dueños de procesos (responsables del control interno), poder por un lado obtener evidencia en línea del comportamiento de los controles y monitorear que los mismos operen en forma adecuada.

Asimismo, los auditores internos al hacer uso de tecnologías de monitoreo continuo, podrán reportar a la administración las deficiencias de control u oportunidades de mejora de los procesos, en línea y no esperar que estas debilidades en el control interno, produzcan una destrucción del valor de la compañía al no detectarse en forma oportuna los problemas. Esta dinámica en la organización, permite un flujo mucho más eficiente y práctico entre auditor y auditado, posibilitando que los seguimientos de los planes de mejora sean monitoreados por medio de estas herramientas y así mantener los riesgos siempre mitigados de la mejor forma posible, acotando al máximo la exposición.

Es por este motivo, que ya se habla del "fin de la auditoría interna ex-post", a partir de la aplicación del concepto de innovación en la forma como se mantiene los modelos de control intento en las organizaciones, aplicando monitoreo continuo, sean estas públicas o privadas, las que independiente de su carácter, deben incrementar su valor en el tiempo de forma sustentable y en línea con las directrices de gobernabilidad corporativa y de cumplimiento.

Atendiendo a esa necesidad y tendencia del mercado, las grandes compañías proveedoras de soluciones tecnológicas como SAP AG, Oracle e IBM por ejemplo, han incluido dentro de su offering las soluciones GRC (Governance, Risk & Compliance) que están destinadas justamente a mantener monitoreo continuo de los modelos de control interno (MCI), de la gestión integral de riesgos (ERM) y de la gestión de cumplimiento de leyes y regulaciones que están bajo el paraguas de la gobernabilidad corporativa de las organizaciones.

Autoevaluación del Cumplimiento de Estándares de Buen Gobierno Corporativo de la SVS

Actualmente en Chile, se está revisando una norma de la Superintendencia de Valores y Seguros (SVS) denominada "Autoevaluación del Cumplimiento de Estándares de Buen Gobierno Corporativo" para las sociedades anónimas abiertas. Esto claramente, para evitar o disminuir la probabilidad de escándalos financieros, los que han puesto en tela de juicio la real efectividad y/o aplicabilidad de prácticas de gobiernos corporativos en las empresas chilenas, a partir de escándalos recientemente ocurridos.

Respecto a esta normativa, el superintendente de valores y seguros Fernando Coloma, se ha referido recientemente en relación a los comentarios que ha recibido del borrador de la norma desde el mercado y dado a que se han considerado razonables algunos de ellos, han decidido "eliminar" la evaluación individual de los directores.

Esta norma considera la necesidad de que las sociedades anónimas abiertas, cuenten con altos estándares de gobiernos corporativos y que los inversionistas cuenten con información suficiente respecto a aquellas sociedades en donde estarán mejor resguardados sus intereses.

La norma además, se refiere a la obligación de las sociedades anónimas abiertas, de realizar y difundir de forma amplia su propia evaluación respecto del grado de cumplimiento de estos estándares.

Esto permitirá que las entidades como las bolsas, puedan generar indices, estadísticas o ranking, que faciliten a los diversos actores del mercado, conocer y evaluar el compromiso de las empresas con estos estándares y/o buenas prácticas.

En este contexto, las sociedades anónimas abiertas, deberán remitir a la SVS, una autoevaluación respecto de los principios contenidos en los anexos de la norma, en relación a que la entidad está adoptando los mismos y en caso de haber decidido no acogerlos total o parcialmente y las razones de tales decisiones.

Esta información, deberá estar referida al año calendario anterior al de su envío y su remisión a la SVS, se deberá realizar el 31.03 de cada año, correspondiendo el primer envío a más tardar 31.03.2013 en relación al ejercicio terminado al 31.12.2012. Esta información deberá a su vez ser publicada en la web de la empresa, a fin de darla a conocer a los inversionistas y/o stakeholders.

Entre los principios de buen gobierno corporativo, se considera:

Grados de cumplimiento:

1.- No cumplimiento
2.- Cumple parcialmente
3.- Cumple ampliamente
4.- Cumple completamente

Principios:

1.- Adecuado ejercicio del cargo de directores de empresas y de la inducción y preparación para el mismo.

2.- De la relación entre la sociedad, los accionistas y el público en general.

3.- De la sustitución, retención y compensación de ejecutivos principales.

4.- De la definición, implementación y supervisión de políticas y procedimientos de control interno y gestión de riesgos en la empresa.

Cabe mencionar, que esta norma está siendo revisada por diversos actores del mercado, entre ellos los centros de gobiernos corporativos de las principales universidades chilenas y una vez que se ajuste, será emitida por la SVS en carácter oficial.

Monitoreo Continuo a través de soluciones IT GRC "Cloud Computing"

Actualmente las soluciones TI Cloud Computing (en la nube), están en forma creciente siendo utilizadas para cubrir diversas necesidades de las organizaciones y es así como Gartner lo menciona en su último reporte relativo a las tendencias en soluciones tecnológicas (Gartner Identifies the Top 10 Strategic Technologies for 2012). Por este motivo, que han comenzado a proliferar las soluciones TI para la gestión de Governance, Risk & Compliance (GRC) en modalidad "Cloud Computing" y ¿Qué significa esto?

Esto significa que las organizaciones para poder automatizar sus modelos de control interno, requieren de soluciones TI GRC de clase mundial, que le permitan optimizar la gestión de riesgos, controles y cumplimiento, de tal forma de darle efectividad y eficiencia a las directrices de gobiernos corporativos, que se ven fuertemente apalancadas haciendo uso de estas tecnologías, lo que se traduce en "crecer, preservando el valor", es decir, crecer sostenidamente en el tiempo.

Por esta tendencia creciente y dado a la necesidad de hacer uso de estas tecnologías, que si bien ayudan a preservar el valor de las organizaciones, no generan valor por si solo, es que a las organizaciones les hace cada día más sentido, contar con una solución GRC en la nube y en modalidad SaaS (Software as a Service), que le permita poder automatizar todos los ámbitos relativos a la gestión de los riesgos y controles que mitigan los mismos, tanto a nivel estratégico como operativo. Asimismo, cada día las organizaciones están sometidas a cumplir diversas regulaciones, ya sea producto de la globalización o por directrices locales, lo que implica que deben hacer gestión del cumplimiento de leyes y regulaciones (ej.: Ley SOX -USA, JSOX-Japón globales o Ley 20.393 aplicable en Chile o directrices de gobiernos corporativos locales). Esta gestión de cumplimiento, debe contar con apoyo tecnológico, dado a que el cumplimiento es "cross entity" lo que implica que todos los procesos de negocio o algunos, eventualmente se podrían ver impactados por estas disposiciones de compliance, por lo que es necesario hacer uso de workflows de aprobaciones, certificaciones, auto evaluaciones, etc.

Lo otro que es necesario tener para asegurar la integridad y disponibilidad de la información para GRC, son bases de datos centralizadas o catálogos de objetivos de control, riesgos, controles para cada uno de los frameworks de cumplimiento que posea la organización, para que la misma, haga uso en forma coordinada de estos datos maestros y por ende, los procesos de GRC fluyan adecuadamente en toda la entidad.

Al contar con estos datos maestros de objetivos de control, riesgos, actividades de control y cumplimiento, se podrá generar un modelo de monitoreo continuo del control intento de toda la organización, dado a que estás soluciones GRC, las puedes conectar con los sistemas back office o core business y así por medio de reglas de negocio, mantener un adecuado monitoreo continuo de los procesos de negocio de la entidad.

Es por esta razón, que lo mencionado por Gartner en relación a las tendencias TI Cloud Computing, se está viendo reflejado para la gestión de GRC en las organizaciones y de forma creciente en todo el mundo.

Integración de Balanced Scorecard (BSC) y Governance, Risk & Compliance (GRC). Incrementar el valor con sustentabilidad

Hace ya un tiempo se viene hablando de los conceptos Balanced Scorecard (BSC) y Governance, Risk & Compliance (GRC), los cuales se complementan absolutamente cuando pensamos en la gestión de negocios y cómo la misma, puede ayudar a incrementar el valor de las entidades tanto públicas como privadas. A continuación comentaremos como estos dos conceptos se relacionan.

La esencia de los BSC es ayudar a las entidades a mejorar su rendimiento (performance) por medio de iniciativas tendientes a monitorear el comportamiento de las diversas perspectivas organizacionales, tales como: Financiera, Del Cliente, Interna de la Entidad e Innovación y Aprendizaje, por medio de indicadores claves de rendimiento denominados por sus siglas en inglés KPIs (Key Performance Indicators).

Ahora bien, qué relación tienen los BSC con GRC entonces? Como mencionábamos anteriormente, el concepto BSC lleva consigo los KPIs y GRC se relaciona con los Key Risk Indicators (KRIs sus siglas en inglés) y estos últimos indicadores son aquellos que le ayudan a las empresas a monitorear el comportamiento de la gestión integral de los riesgos del negocio ERM (Enterprise Risk Management), que es parte del concepto GRC. Estos KRIs necesariamente deben estar relacionados con los KPIs, dado a que existen factores que impactan en el rendimiento de las diversas perspectivas de negocio o entidades y esos factores en muchos casos están relacionados a la materialización de riesgos que no son administrados en forma adecuada o simplemente no son abordados, lo cual conlleva a que el rendimiento de la estrategia y de los procesos de negocio relacionados con las perspectivas, se vean alterados y por ende se merme la creación de valor.

Es por este motivo, que tanto los KPIs como los KRIs se deben administrar y monitorear de manera conjunta, tanto a nivel estratégico (alto nivel) como de procesos (táctico u operativo), a fin de inyectarle sustentabilidad a la generación de valor de la entidad.

Hay otro concepto que es parte de GRC y que ya lleva un tiempo aplicándose en diversas organizaciones, denominado "monitoreo continuo" de los modelos de control interno y esto está siendo medido con los KCI (Key Control Indicators), que permiten medir el rendimiento de las medidas de control que se aplican para mitigar los riesgos top-down en la organización.

Es por esta razón, que las iniciativas de implementación de los BSC en las organizaciones, deben ir alineados con las acciones relativas a GRC y apoyado idealmente con herramientas TI para la gestión integrada de estos conceptos, que ayudan a las organizaciones a incrementar el valor y de manera sustentable en el tiempo.

Solución SAP GRC Access Control: Beneficios de hacer upgrade desde versiones 5.2, 5.3 a la última versión 10.0

Desde hace un tiempo, SAP liberó la versión 10.0 de la solución SAP GRC Access Control y entre los beneficios que hemos podido identificar, podemos mencionar lo siguiente: 

- Mejora la interfaz gráfica de usuario final, dado a que los dashboard son más intuitivos para el uso de dueños de procesos y/o usuarios que aprueban y que requieren un mecanismo práctico y eficiente para cumplir su tarea. 

- Mejora la funcionalidad para el análisis de riesgo reduciendo significativamente la probabilidad de falsos positivos en los resultados de los análisis de riesgo por concepto de segregación funcional (SoD), dado a que las reglas SoD vienen más depuradas. 

- Mejora el número de reglas SoD, por lo que podemos ampliar el alcance a más variantes transaccionales críticas o conflictivas. 

- Mejora la funcionalidad relativa a mantención de usuarios, roles, perfiles y autorizaciones de usuario en SAP, por medio de la herramienta mantenedora de privilegios, por lo que se pueden hacer las simulaciones de autorizaciones en forma más rápida y efectiva. 

- Mejora la funcionalidad relativa a los workflows (WF) de aprobaciones, dado a que ofrece mayor versatilidad para los mismos, pudiendo desarrollar desde WF simples a complejos, dependiendo de las necesidades de la organización. 

- Mejora el hecho de que las versiones 5.2 y 5.3 se han caracterizado por la cantidad de parches que es necesario incorporarle para que la misma funcione en forma adecuada. En el caso de la versión 10.0, está bastante depurada en ese sentido, por lo que los dolores de cabeza producto de parches recurrentes ya no son un tema. 

- Mejora el hecho de que la administración Basis es similar a la que se realiza en el ERP, dado a que requiere el mismo landscape del ERP para efectos de la administración tecnológica (BC), es decir, se requiere un ambiente de desarrollo, prueba y productivo, lo que implica que los cambios o customizaciones se hacen en un ambiente ABAP para que luego queden replicados automáticamente para el usuario final en la web. En este sentido, el usuario final interactúa con una interfaz web de GRC Access Control bastante intuitiva. 

- Mejora el hecho que ofrece más reglas SoD para soluciones de industria por ejemplo Telco RMCA y reglas especificas estándar para otras soluciones SAP, como CRM, BI, etc. 

- Mejora el hecho que la conectividad con otros aplicativos "no SAP" para el control de la segregación funcional y los accesos críticos es mucho menos complejo que las versiones anteriores. 

Si quieres migrar desde las versiones 5.2 o 5.3 a la última versión 10.0 de SAP GRC Access Control, te puedes asesorar con los especialistas SAP GRC de Emerging Solutions en Deloitte Chile, que poseen vasta experiencia en implementación de este tipo de soluciones en importantes empresas en Chile y el extranjero. Puedes enviar tus requerimientos a: emergingsolutionscl@deloitte.com

Monitoreo Continuo en Tiempo Real “Preservando el Valor de los Negocios”

Muchas empresas se cuestionan el hecho de incorporartecnología para el monitoreo del control interno de sus procesos de negocio yla forma como este tipo de inversiones les podría generar retorno. La verdad,son muy pocas las compañías que se preguntan ¿Qué pasa si nos anticipamos a losfraudes o errores que nos pudieran destruir el valor de nuestra empresa y asípreservamos el mismo usando las TI?

Entonces cuando vienen estas preguntas, la respuesta es muysimple cuando se piensa en herramientas de TI, que le permitan a las empresastener visibilidad en tiempo real de los controles de los procesos de negocio,se podrían prevenir muchos dolores de cabeza, considerando que estasherramientas estarían alertando en línea acerca de ilícitos y por endemanteniendo un monitoreo continuo del control intento. Lo bueno que tieneesto, es que cuando la empresa se ve enfrentada a un problema, puede tomar medidasen forma inmediata y no esperar que un riesgo llegue a consecuenciassignificativas o catastróficas para el valor de la compañía.

Actualmente se habla de las soluciones TI GRC “Governance,Risk & Compliance” que están destinadas justamente a ayudar a las empresasa mantener o preservar el valor por medio de monitoreo continuo en tiempo real.

Estas soluciones denominadas "GRC" ya son unarealidad y permiten administrar y monitorear los controles de los procesos denegocio en tiempo real y por ende racionalizar el modelo de control de lasempresas, dado a que permiten cambiar controles manuales por automáticos y/osemiautomáticos.

La otra componente que poseen estas soluciones, es el hechode poder administrar los riesgos tanto estratégicos como los que se asocian alos procesos y de esta forma se integran con los controles mencionados en elpunto anterior, permitiendo llevar a cabo una gestión integral de riesgos enforma automatizada y sustentable en el tiempo, permitiendo la interacción enlínea de todos los actores que participan tanto en el modelo de control internocomo de gestión integral de riesgos. Esta interacción se logra por medio de workflows donde los dueños deproceso se pueden auto evaluar los riesgos y controles de forma muy práctica eintuitiva.

Asimismo, estas tecnologías permiten monitorear en tiemporeal el comportamiento de los riesgos y controles relacionados a la segregaciónfuncional y/o privilegios de accesos a los sistemas, que siempre en lasempresas constituye un tema de mucha complejidad poder administrarlomanualmente.

Todo lo mencionado anteriormente, es posible conseguirlohaciendo uso de las tecnologías destinadas a automatizar la gestión deGovernance, Risk & Compliance en las empresas y así se hace posible queestas incrementen su valor en el tiempo de forma sustentable.

¿Cómo preservar el valor de su empresa por medio de soluciones TI para la gestión de GRC?

Esteúltimo tiempo, se ha comentado recurrentemente tanto en el aula como en losmedios de prensa, la forma cómo las empresas a partir deun escándalo financiero, fraudes o ilícitos que impacten enla imagen y/o reputación del negocio, hace que estos pierdan valor y el mismose destruya en el tiempo.  En relación a esto podemos mencionar una largalista de ejemplos relativos a hechos ocurridos en nuestro país y en el mundo.


Hayempresas que a partir de los escándalos financieros de principios de ladécada del 2000 en Estados Unidos (Enron, Worldcom) y que cotizan ADRs en labolsa de Nueva York, han tenido que implementar ciertos modelos de controlinterno, orientados al reporte financiero (Alineados con la Ley SarbanesOxley).  Estas empresas en el último tiempo, han sido menossusceptibles a verse involucradas en ilícitos relativos al reporte desus estados financieros, dado a que al implementar este tipo de modelos, setiende a mitigar los riesgos inherentes a este ámbito y por ende, el riesgode pérdida de valor por este concepto tiende a reducirse, lo queimplica que se le da sustentabilidad al incremento sistemático ycontinuo de valor que va experimentando la empresa.


Unade las tendencias que se está dando actualmente en el mundo y con mucha fuerzaen nuestro país, está relacionada con el concepto de monitoreo continuo de losmodelos de control interno, apoyado por soluciones tecnológicas, en los ámbitosestratégicos, operacionales, financieros y de cumplimiento de las empresas.


Unaspecto que apalanca este tipo de tendencias, es el hecho de contar consoluciones denominadas “GRC” (Governance, Risk & Compliance) acrónimo relacionadoal concepto de Gobernabilidad Corporativa, Gestión de Riesgos y Cumplimiento,que hoy en día las grandes empresas proveedoras de software TI del mundo, hanrecogido y llevado a soluciones tecnológicas destinadas a sustentar estos ámbitos,entre ellas tenemos: SAP GRC, Oracle GRC, IBM GRC OpenPages, Methodware GRC.

Otracosa que se observa en el mercado, es que a las empresas les cuesta llegar ajustificar la inversión en soluciones TI para GRC, dado a que las mismas, nocontribuyen directamente al incremento de valor, porque se suele priorizar lainversión en soluciones tecnológicas relacionadas con los procesos"core business" de la cadena de valor y todo lo que tiene que ver concontrol interno o unidades más bien de staff, siempre tiende a tener menosprioridad en cualquier organización de la industria que sea, peroclaramente las industrias más reguladas como la financiera, telecomunicacionesy energía por ejemplo, son más proclives a invertir en soluciones TI paraGRC, pero única y exclusivamente por la naturaleza de sus operaciones y por lafuerte necesidad de cumplimiento con aspectos regulatorios.


Sien las empresas se hicieran mediciones como parte de la gestiónde negocios tomando por ejemplo Indicadores Claves de Desempeño (KPI) oIndicadores Claves de Riesgo (KRI), con énfasis en la medición delcosto total de falla asociado a los procesos tanto estratégicos,operacionales, financieros y de cumplimiento, podríamos tener entidadesmás dispuestas a llevar a cabo este tipo de inversión producto a la exposicióna pérdida de valor que podría tener la empresa.


Podemossostener también, que la evidencia empírica nos indica que lasempresas cuando tienen materialización de riesgos relativos por ejemplo afraudes por fallas en la segregación funcional (otorgamiento de privilegios ausuarios en los sistemas acorde a sus funciones) o de sus procesos que sonparte de la cadena de valor, recién piensan en automatizar oimplementar ciertos dashboard (tableros de control) o soluciones TI paraGRC que permitan otorgar mayor visibilidad y control más bien preventivo y asídisminuir el grado de exposición a esos riesgos y por ende a la destrucción devalor.
Finalmente, hemos observadoque las grandes empresas en todo el mundo, cada día están más sensibles aestas temáticas y han optado por implementar soluciones TI para GRC,dando cumplimiento a un “road map” u hoja de ruta  alineado con el cambio cultural que vaexperimentando la organización a partir de este tipo de proyectos y asícontribuir a preservar o mantener el valor permitiendo un crecimiento sostenibleen el tiempo.