Desde hace un tiempo se habla del concepto de "monitoreo continuo" o (CM Continuous Monitoring en sus siglas en inglés) tanto en los congresos de auditores, de control interno o en las aulas y la importancia de esto, es que permite racionalizar los modelos de control interno (MCI) en las empresas y ayuda a identificar ilícitos o deficiencias de control de forma más rápida y antes de que un riesgo se materialice con impacto alto en la organización, para que esto no ponga en jaque el incremento del valor.
Ahora bien, lo otro que se viene escuchando con fuerza, es el fin de la auditoría interna ex-post (de los hechos pasados o realizados), a partir de la aplicación del monitoreo continuo, por lo que las unidades de auditoría interna en las empresas, en su afán por ayudar a mantener o preservar el valor de manera más racional, están migrando de los métodos tradicionales o convencionales de auditoría a enfoques más preventivos o detectivos, por medio de herramientas de monitoreo continuo. Estas innovaciones, permiten optimizar los procesos de revisión y ampliar los alcances, considerando que siempre los recursos de auditoría son escasos y la forma de maximizarlos, es por medio de herramientas que permiten monitorear los controles en tiempo real y así obtener evidencia confiable de la efectividad de los mismos, en línea con la dinámica transaccional de la organización.
Claramente, para conseguir un monitoreo continuo de controles en tiempo real, se requiere de apoyo de las tecnologías de información, dado a que un porcentaje importante de los flujos de procesos, se realiza en sistemas ya sea ERPs (sistemas de clase mundial que integran todas las operaciones de los procesos) o sistemas específicos que cubren transacciones "core business" por ejemplo. Es por este motivo, que se hace necesario conectar las herramientas de monitoreo continuo con estos sistemas aplicativos, a nivel de bases de datos y así obtener en línea dicho monitoreo y desde la fuente de origen de la información.
Esto le permite tanto a auditores como dueños de procesos (responsables del control interno), poder por un lado obtener evidencia en línea del comportamiento de los controles y monitorear que los mismos operen en forma adecuada.
Asimismo, los auditores internos al hacer uso de tecnologías de monitoreo continuo, podrán reportar a la administración las deficiencias de control u oportunidades de mejora de los procesos, en línea y no esperar que estas debilidades en el control interno, produzcan una destrucción del valor de la compañía al no detectarse en forma oportuna los problemas. Esta dinámica en la organización, permite un flujo mucho más eficiente y práctico entre auditor y auditado, posibilitando que los seguimientos de los planes de mejora sean monitoreados por medio de estas herramientas y así mantener los riesgos siempre mitigados de la mejor forma posible, acotando al máximo la exposición.
Es por este motivo, que ya se habla del "fin de la auditoría interna ex-post", a partir de la aplicación del concepto de innovación en la forma como se mantiene los modelos de control intento en las organizaciones, aplicando monitoreo continuo, sean estas públicas o privadas, las que independiente de su carácter, deben incrementar su valor en el tiempo de forma sustentable y en línea con las directrices de gobernabilidad corporativa y de cumplimiento.
Atendiendo a esa necesidad y tendencia del mercado, las grandes compañías proveedoras de soluciones tecnológicas como SAP AG, Oracle e IBM por ejemplo, han incluido dentro de su offering las soluciones GRC (Governance, Risk & Compliance) que están destinadas justamente a mantener monitoreo continuo de los modelos de control interno (MCI), de la gestión integral de riesgos (ERM) y de la gestión de cumplimiento de leyes y regulaciones que están bajo el paraguas de la gobernabilidad corporativa de las organizaciones.
miércoles, 15 de agosto de 2012
domingo, 12 de agosto de 2012
Autoevaluación del Cumplimiento de Estándares de Buen Gobierno Corporativo de la SVS
Actualmente en Chile, se está revisando una norma de la Superintendencia de Valores y Seguros (SVS) denominada "Autoevaluación del Cumplimiento de Estándares de Buen Gobierno Corporativo" para las sociedades anónimas abiertas. Esto claramente, para evitar o disminuir la probabilidad de escándalos financieros, los que han puesto en tela de juicio la real efectividad y/o aplicabilidad de prácticas de gobiernos corporativos en las empresas chilenas, a partir de escándalos recientemente ocurridos.
Respecto a esta normativa, el superintendente de valores y seguros Fernando Coloma, se ha referido recientemente en relación a los comentarios que ha recibido del borrador de la norma desde el mercado y dado a que se han considerado razonables algunos de ellos, han decidido "eliminar" la evaluación individual de los directores.
Esta norma considera la necesidad de que las sociedades anónimas abiertas, cuenten con altos estándares de gobiernos corporativos y que los inversionistas cuenten con información suficiente respecto a aquellas sociedades en donde estarán mejor resguardados sus intereses.
La norma además, se refiere a la obligación de las sociedades anónimas abiertas, de realizar y difundir de forma amplia su propia evaluación respecto del grado de cumplimiento de estos estándares.
Esto permitirá que las entidades como las bolsas, puedan generar indices, estadísticas o ranking, que faciliten a los diversos actores del mercado, conocer y evaluar el compromiso de las empresas con estos estándares y/o buenas prácticas.
En este contexto, las sociedades anónimas abiertas, deberán remitir a la SVS, una autoevaluación respecto de los principios contenidos en los anexos de la norma, en relación a que la entidad está adoptando los mismos y en caso de haber decidido no acogerlos total o parcialmente y las razones de tales decisiones.
Esta información, deberá estar referida al año calendario anterior al de su envío y su remisión a la SVS, se deberá realizar el 31.03 de cada año, correspondiendo el primer envío a más tardar 31.03.2013 en relación al ejercicio terminado al 31.12.2012. Esta información deberá a su vez ser publicada en la web de la empresa, a fin de darla a conocer a los inversionistas y/o stakeholders.
Entre los principios de buen gobierno corporativo, se considera:
Grados de cumplimiento:
1.- No cumplimiento
2.- Cumple parcialmente
3.- Cumple ampliamente
4.- Cumple completamente
Principios:
1.- Adecuado ejercicio del cargo de directores de empresas y de la inducción y preparación para el mismo.
2.- De la relación entre la sociedad, los accionistas y el público en general.
3.- De la sustitución, retención y compensación de ejecutivos principales.
4.- De la definición, implementación y supervisión de políticas y procedimientos de control interno y gestión de riesgos en la empresa.
Cabe mencionar, que esta norma está siendo revisada por diversos actores del mercado, entre ellos los centros de gobiernos corporativos de las principales universidades chilenas y una vez que se ajuste, será emitida por la SVS en carácter oficial.
Respecto a esta normativa, el superintendente de valores y seguros Fernando Coloma, se ha referido recientemente en relación a los comentarios que ha recibido del borrador de la norma desde el mercado y dado a que se han considerado razonables algunos de ellos, han decidido "eliminar" la evaluación individual de los directores.
Esta norma considera la necesidad de que las sociedades anónimas abiertas, cuenten con altos estándares de gobiernos corporativos y que los inversionistas cuenten con información suficiente respecto a aquellas sociedades en donde estarán mejor resguardados sus intereses.
La norma además, se refiere a la obligación de las sociedades anónimas abiertas, de realizar y difundir de forma amplia su propia evaluación respecto del grado de cumplimiento de estos estándares.
Esto permitirá que las entidades como las bolsas, puedan generar indices, estadísticas o ranking, que faciliten a los diversos actores del mercado, conocer y evaluar el compromiso de las empresas con estos estándares y/o buenas prácticas.
En este contexto, las sociedades anónimas abiertas, deberán remitir a la SVS, una autoevaluación respecto de los principios contenidos en los anexos de la norma, en relación a que la entidad está adoptando los mismos y en caso de haber decidido no acogerlos total o parcialmente y las razones de tales decisiones.
Esta información, deberá estar referida al año calendario anterior al de su envío y su remisión a la SVS, se deberá realizar el 31.03 de cada año, correspondiendo el primer envío a más tardar 31.03.2013 en relación al ejercicio terminado al 31.12.2012. Esta información deberá a su vez ser publicada en la web de la empresa, a fin de darla a conocer a los inversionistas y/o stakeholders.
Entre los principios de buen gobierno corporativo, se considera:
Grados de cumplimiento:
1.- No cumplimiento
2.- Cumple parcialmente
3.- Cumple ampliamente
4.- Cumple completamente
Principios:
1.- Adecuado ejercicio del cargo de directores de empresas y de la inducción y preparación para el mismo.
2.- De la relación entre la sociedad, los accionistas y el público en general.
3.- De la sustitución, retención y compensación de ejecutivos principales.
4.- De la definición, implementación y supervisión de políticas y procedimientos de control interno y gestión de riesgos en la empresa.
Cabe mencionar, que esta norma está siendo revisada por diversos actores del mercado, entre ellos los centros de gobiernos corporativos de las principales universidades chilenas y una vez que se ajuste, será emitida por la SVS en carácter oficial.
lunes, 6 de agosto de 2012
Monitoreo Continuo a través de soluciones IT GRC "Cloud Computing"
Actualmente las soluciones TI Cloud Computing (en la nube), están en forma creciente siendo utilizadas para cubrir diversas necesidades de las organizaciones y es así como Gartner lo menciona en su último reporte relativo a las tendencias en soluciones tecnológicas (Gartner Identifies the Top 10 Strategic Technologies for 2012). Por este motivo, que han comenzado a proliferar las soluciones TI para la gestión de Governance, Risk & Compliance (GRC) en modalidad "Cloud Computing" y ¿Qué significa esto?
Esto significa que las organizaciones para poder automatizar sus modelos de control interno, requieren de soluciones TI GRC de clase mundial, que le permitan optimizar la gestión de riesgos, controles y cumplimiento, de tal forma de darle efectividad y eficiencia a las directrices de gobiernos corporativos, que se ven fuertemente apalancadas haciendo uso de estas tecnologías, lo que se traduce en "crecer, preservando el valor", es decir, crecer sostenidamente en el tiempo.
Por esta tendencia creciente y dado a la necesidad de hacer uso de estas tecnologías, que si bien ayudan a preservar el valor de las organizaciones, no generan valor por si solo, es que a las organizaciones les hace cada día más sentido, contar con una solución GRC en la nube y en modalidad SaaS (Software as a Service), que le permita poder automatizar todos los ámbitos relativos a la gestión de los riesgos y controles que mitigan los mismos, tanto a nivel estratégico como operativo. Asimismo, cada día las organizaciones están sometidas a cumplir diversas regulaciones, ya sea producto de la globalización o por directrices locales, lo que implica que deben hacer gestión del cumplimiento de leyes y regulaciones (ej.: Ley SOX -USA, JSOX-Japón globales o Ley 20.393 aplicable en Chile o directrices de gobiernos corporativos locales). Esta gestión de cumplimiento, debe contar con apoyo tecnológico, dado a que el cumplimiento es "cross entity" lo que implica que todos los procesos de negocio o algunos, eventualmente se podrían ver impactados por estas disposiciones de compliance, por lo que es necesario hacer uso de workflows de aprobaciones, certificaciones, auto evaluaciones, etc.
Lo otro que es necesario tener para asegurar la integridad y disponibilidad de la información para GRC, son bases de datos centralizadas o catálogos de objetivos de control, riesgos, controles para cada uno de los frameworks de cumplimiento que posea la organización, para que la misma, haga uso en forma coordinada de estos datos maestros y por ende, los procesos de GRC fluyan adecuadamente en toda la entidad.
Al contar con estos datos maestros de objetivos de control, riesgos, actividades de control y cumplimiento, se podrá generar un modelo de monitoreo continuo del control intento de toda la organización, dado a que estás soluciones GRC, las puedes conectar con los sistemas back office o core business y así por medio de reglas de negocio, mantener un adecuado monitoreo continuo de los procesos de negocio de la entidad.
Es por esta razón, que lo mencionado por Gartner en relación a las tendencias TI Cloud Computing, se está viendo reflejado para la gestión de GRC en las organizaciones y de forma creciente en todo el mundo.
Esto significa que las organizaciones para poder automatizar sus modelos de control interno, requieren de soluciones TI GRC de clase mundial, que le permitan optimizar la gestión de riesgos, controles y cumplimiento, de tal forma de darle efectividad y eficiencia a las directrices de gobiernos corporativos, que se ven fuertemente apalancadas haciendo uso de estas tecnologías, lo que se traduce en "crecer, preservando el valor", es decir, crecer sostenidamente en el tiempo.
Por esta tendencia creciente y dado a la necesidad de hacer uso de estas tecnologías, que si bien ayudan a preservar el valor de las organizaciones, no generan valor por si solo, es que a las organizaciones les hace cada día más sentido, contar con una solución GRC en la nube y en modalidad SaaS (Software as a Service), que le permita poder automatizar todos los ámbitos relativos a la gestión de los riesgos y controles que mitigan los mismos, tanto a nivel estratégico como operativo. Asimismo, cada día las organizaciones están sometidas a cumplir diversas regulaciones, ya sea producto de la globalización o por directrices locales, lo que implica que deben hacer gestión del cumplimiento de leyes y regulaciones (ej.: Ley SOX -USA, JSOX-Japón globales o Ley 20.393 aplicable en Chile o directrices de gobiernos corporativos locales). Esta gestión de cumplimiento, debe contar con apoyo tecnológico, dado a que el cumplimiento es "cross entity" lo que implica que todos los procesos de negocio o algunos, eventualmente se podrían ver impactados por estas disposiciones de compliance, por lo que es necesario hacer uso de workflows de aprobaciones, certificaciones, auto evaluaciones, etc.
Lo otro que es necesario tener para asegurar la integridad y disponibilidad de la información para GRC, son bases de datos centralizadas o catálogos de objetivos de control, riesgos, controles para cada uno de los frameworks de cumplimiento que posea la organización, para que la misma, haga uso en forma coordinada de estos datos maestros y por ende, los procesos de GRC fluyan adecuadamente en toda la entidad.
Al contar con estos datos maestros de objetivos de control, riesgos, actividades de control y cumplimiento, se podrá generar un modelo de monitoreo continuo del control intento de toda la organización, dado a que estás soluciones GRC, las puedes conectar con los sistemas back office o core business y así por medio de reglas de negocio, mantener un adecuado monitoreo continuo de los procesos de negocio de la entidad.
Es por esta razón, que lo mencionado por Gartner en relación a las tendencias TI Cloud Computing, se está viendo reflejado para la gestión de GRC en las organizaciones y de forma creciente en todo el mundo.
sábado, 4 de agosto de 2012
Integración de Balanced Scorecard (BSC) y Governance, Risk & Compliance (GRC). Incrementar el valor con sustentabilidad
Hace ya un tiempo se viene hablando de los conceptos Balanced Scorecard (BSC) y Governance, Risk & Compliance (GRC), los cuales se complementan absolutamente cuando pensamos en la gestión de negocios y cómo la misma, puede ayudar a incrementar el valor de las entidades tanto públicas como privadas. A continuación comentaremos como estos dos conceptos se relacionan.
La esencia de los BSC es ayudar a las entidades a mejorar su rendimiento (performance) por medio de iniciativas tendientes a monitorear el comportamiento de las diversas perspectivas organizacionales, tales como: Financiera, Del Cliente, Interna de la Entidad e Innovación y Aprendizaje, por medio de indicadores claves de rendimiento denominados por sus siglas en inglés KPIs (Key Performance Indicators).
Ahora bien, qué relación tienen los BSC con GRC entonces? Como mencionábamos anteriormente, el concepto BSC lleva consigo los KPIs y GRC se relaciona con los Key Risk Indicators (KRIs sus siglas en inglés) y estos últimos indicadores son aquellos que le ayudan a las empresas a monitorear el comportamiento de la gestión integral de los riesgos del negocio ERM (Enterprise Risk Management), que es parte del concepto GRC. Estos KRIs necesariamente deben estar relacionados con los KPIs, dado a que existen factores que impactan en el rendimiento de las diversas perspectivas de negocio o entidades y esos factores en muchos casos están relacionados a la materialización de riesgos que no son administrados en forma adecuada o simplemente no son abordados, lo cual conlleva a que el rendimiento de la estrategia y de los procesos de negocio relacionados con las perspectivas, se vean alterados y por ende se merme la creación de valor.
Es por este motivo, que tanto los KPIs como los KRIs se deben administrar y monitorear de manera conjunta, tanto a nivel estratégico (alto nivel) como de procesos (táctico u operativo), a fin de inyectarle sustentabilidad a la generación de valor de la entidad.
Hay otro concepto que es parte de GRC y que ya lleva un tiempo aplicándose en diversas organizaciones, denominado "monitoreo continuo" de los modelos de control interno y esto está siendo medido con los KCI (Key Control Indicators), que permiten medir el rendimiento de las medidas de control que se aplican para mitigar los riesgos top-down en la organización.
Es por esta razón, que las iniciativas de implementación de los BSC en las organizaciones, deben ir alineados con las acciones relativas a GRC y apoyado idealmente con herramientas TI para la gestión integrada de estos conceptos, que ayudan a las organizaciones a incrementar el valor y de manera sustentable en el tiempo.
La esencia de los BSC es ayudar a las entidades a mejorar su rendimiento (performance) por medio de iniciativas tendientes a monitorear el comportamiento de las diversas perspectivas organizacionales, tales como: Financiera, Del Cliente, Interna de la Entidad e Innovación y Aprendizaje, por medio de indicadores claves de rendimiento denominados por sus siglas en inglés KPIs (Key Performance Indicators).
Ahora bien, qué relación tienen los BSC con GRC entonces? Como mencionábamos anteriormente, el concepto BSC lleva consigo los KPIs y GRC se relaciona con los Key Risk Indicators (KRIs sus siglas en inglés) y estos últimos indicadores son aquellos que le ayudan a las empresas a monitorear el comportamiento de la gestión integral de los riesgos del negocio ERM (Enterprise Risk Management), que es parte del concepto GRC. Estos KRIs necesariamente deben estar relacionados con los KPIs, dado a que existen factores que impactan en el rendimiento de las diversas perspectivas de negocio o entidades y esos factores en muchos casos están relacionados a la materialización de riesgos que no son administrados en forma adecuada o simplemente no son abordados, lo cual conlleva a que el rendimiento de la estrategia y de los procesos de negocio relacionados con las perspectivas, se vean alterados y por ende se merme la creación de valor.
Es por este motivo, que tanto los KPIs como los KRIs se deben administrar y monitorear de manera conjunta, tanto a nivel estratégico (alto nivel) como de procesos (táctico u operativo), a fin de inyectarle sustentabilidad a la generación de valor de la entidad.
Hay otro concepto que es parte de GRC y que ya lleva un tiempo aplicándose en diversas organizaciones, denominado "monitoreo continuo" de los modelos de control interno y esto está siendo medido con los KCI (Key Control Indicators), que permiten medir el rendimiento de las medidas de control que se aplican para mitigar los riesgos top-down en la organización.
Es por esta razón, que las iniciativas de implementación de los BSC en las organizaciones, deben ir alineados con las acciones relativas a GRC y apoyado idealmente con herramientas TI para la gestión integrada de estos conceptos, que ayudan a las organizaciones a incrementar el valor y de manera sustentable en el tiempo.
Suscribirse a:
Entradas (Atom)