141 cumplimiento multiregulatorio - diego pulido.pdf
TRANSCRIPT
Cumplimiento Multi-
regulatorio“Navegando en la complejidad
de la regulación”
Diego Pulido M.
CCI, Puerto de Barranquilla
DIEGO PULIDO
VP ISACA Medellín Chapter
CISA, CFC, PMP, AIRM
EL RETO
Cumplimiento
Legislación
Optimización del riesgo
Atención entes externos
Universo de cumplimiento
• Legislación
• Normas
• Estándares
Levantamiento de requisitos
• Exigencias
• Requerimientos
Gestión
CMS
¿Qué hay que cumplir?
• Normas internacionales (Ej. SOX).
• Normas nacionales (Ej. regulación de
industria).
• Leyes del marco jurídico (Ej. Leyes sobre
datos personales), estándares de industria
(Ej. PCI-DSS), Regulaciones internas (Ej.
ELC)
SISTEMA DE CUMPLIMIENTO - CMS
UNIVERSO DE CUMPLIMIENTO
ACTORES
Actores Exigencias de cumplimiento (Ej.)
Entidades sectorizadas Estándares de industria (PCI-DSS).
AutoridadesReportes de cumplimiento de licencias ambientales
Reguladores de sector Circulares normativas SIFC
Leyes Marco constitucional y legal
Normatividad internacional
SOX
UNIVERSO DE CUMPLIMIENTO
INVENTARIO
Reportes de ley
•Reportes de obligatoria remisión a autoridades (supervisores, entidades de impuestos, departamentos gubernamentales, etc.)
Marco legal
•Leyes, decretos, circulares.
Requerimientos externos
•Ordinarios
•Extraordinarios
Estándares/ normas de industria
•Certificables
•No certificables
Objetivo • ¿Qué
pretende?
Principios• ¿Sobre qué se
fundamenta?
Exigencias• ¿Cuáles son
los puntos de cumplimiento?
Requisitos de
cumplimiento
LEVANTAMIENTO DE REQUISITOS
REQUISITOS DE CUMPLIMIENTO
Específico
• Dar claridad de qué se trata (Ej. registrar todas las actas de comité directivo).
Desambigüedad
• Aclarar los términos ambiguos con el apoyo de la autoridad o en su defecto con el apoyo de un especialista legal.
Alcance
• Hasta donde llega (entidad, procesos, periodo, etc.).
Naturaleza
• De marco
• De reporte
• De supervisión
GESTIÓN POR REQUISITOS
Mapeo - ¿Cómo cumplimos?
Indicadores claves de cumplimiento (KCI)
Compliance owners (CO)
Integración con la gestión de procesos (BPM)
MAPA DE CUMPLIMIENTO
Mapeo políticas y procedimientos
Exigencia Requisito Unidad Indicador
Ley XY
L01.01 - Registro
de operaciones
Sistema de
transacciones en
línea.
% de registro de
operaciones
L01.02 - Registro
de número de
identificación fiscal
Formulario de
creación de cliente
% de formularios
adecuadamente
diligenciados
L01.03 – Requisito
XY
YYYY N/A
Decreto ZY01 D01.01 – Informe
de inversiones.
Mesa de dinero # de informes
remitidos
oportuna,ente
Circular XX C01.01 – Sistema
de prevención
LA/FT
Coord. de ERM # de evaluaciones
efectivas del
sistema
GESTIÓN DEL CAMBIO
Identificación de impactos
Valoración de impactos
Aprobación / negación
Ejecución
Evaluación posterior
ESCENARIOS DEL CAMBIO
Cambios a la regulación
Nueva legislación.
Modificación de legislación
Legislación complementaria
Cambios a las unidades
Cambios de ubicación
Cambios de tecnología
Cambios de estructura
Nuevas unidades
Unidades de negocio
Compras / fusiones de negocios
Nuevas áreas organizacionales.
Proyectos Estratégicos
Tácticos
Operativos
Procesos Cambios en los SLA
Cambios de proceso
Automatización de procesos
Re-ingeniería
CUMPLIMIENTO CON TERCEROS
RC que impactan terceros
Tercero/RC
L01.01 D01.01 … RC00.00
Tercero A X X
Tercero B X X
…
Tercero N X X X
Matriz Terceros Vs. Requisitos de cumplimiento
Monitoreo cumplimiento
RCs
COSTO DEL CUMPLIMIENTO
Personas
•Equipo administrador CMS
•% tiempo líderes de unidad
TI
•Aplicaciones específicas
•Cambios a aplicativos de negocio
Otros
•Rediseño de procesos
• Inversiones (ej. cámaras, locaciones).
•Modificación de productos/servicios
COMUNICACIÓN
El modelo de cumplimiento debe ser el frente único para el negocio, por lo que para
los líderes de unidad las legislaciones son “transparentes”.
CMS
Empleados
Clientes
Proveedores
Asociados de negocio
Autoridades
Auditores
Comunidad
Accionistas
RIESGOS
• Conceptos difusos entre normas. (Ej. CA)Ambigüedad
• Normatividad que entra en conflicto con otra (diferentes autoridades).Conflictos
• ¿Pone en riesgo la viabilidad del negocio?
• ¿Las implicaciones del incumplimiento de qué nivel son?
Razonabilidad
SOLICITUDES ENTES EXTERNOS
Exigencias puntuales realizadas por entes externos de carácter
obligante (solicitudes de las autoridades, requerimientos de
información del auditor externo, etc.)
PUC GRE
CMS
Governance
BPM
BCM
ERM
INTEGRACIÓN DEL CMS
Definir Monitorear Reportar
Value drivers
Multas
Inspecciones
Calificación de riesgo
CUMPLIMIENTO GENERADOR DE VALOR
FACTORES CRÍTICOS DE ÉXITO
Enfoque holístico
• Entender que el CMS es transversal a toda la entidad.
• Cubrir todos los recursos involucrados en seguimiento.
Integración
• Desarrollar el CMS como un componente integrado a todo el modelo de gestión del negocio.
• No venderlo como un “sistema de gestión”, sino como un componente de la estrategia de gestión.
ANÁLISIS Y REPORTE
CUADRO DE CONTROL REGULATORIO
Regulación Estado Evolución
XXXX
NNN
KCI Estado Accountable
Reportes Oportunos Función A
Requerimientosextraordinarios
Función C
Incumplimientos asumidos
1% Función R
Denuncias por incumplimiento
Función X
GRACIAS