¿Qué es GRC? (Gobierno, Riesgo y Cumplimiento)
Es un hecho que las empresas de hoy no pueden administrase como antes. No importa su tamaño, su responsabilidad, su producto, su mercado todas terminan comprometidas, tarde o temprano, con desafíos para sostenerse o crecer (gobierno), amén de más regulaciones y estándares que se imponen para operar o competir (cumplimiento), asumiendo los costos y/o beneficios que involucra la incertidumbre que requieren análisis y evaluación (riesgo).
Entonces ¿Qué es GRC?
Podría interpretarse, en consecuencia, que GRC es un simple acrónimo de las actividades señaladas que implican gobierno, riesgo y cumplimiento. No obstante, es más que eso, por cuanto una primera mirada es que son actividades que no pueden entenderse separadas. Asimismo, es un camino, espinoso, que involucra decisiones de disposición/ adquisición de recursos y personal, valoración permanente de estrategias de financiamiento y políticas de dirección para perseguir metas y resultados en el corto o largo plazo (gestión), que requieren controles, ajustes en procesos y acciones de supervisión y monitoreo (aseguramiento).
Dirigir y administrar una organización, es por definición un problema complejo. Implica asumir la responsabilidad de manejar una jungla de metas, cuando debe considerar cosas como maximizar el desempeño financiero, con restricciones de recursos, marcos regulados de operación y fuertes incertidumbres de factores críticos externos como clientes, competidores y mercados, aunado a cumplir con los compromisos regulatorios. En suma, son las tareas de gobernar, gestionar y asegurar una empresa frente a los derroteros impuestos por el medio y las expectativas de partes interesadas. Es decir, que no sólo es gobierno, debe ser también gestión y aseguramiento.
Ahora bien, es común advertir decisiones del Consejo de Directores, en cabeza de miembros liberales, exigiendo a la Alta Gerencia, a la luz de los números, aplicar acciones agresivas para aumentar el posicionamiento en el mercado y crecer en ventas de bienes y servicios. En palabras coloquiales exigiendo un mejor desempeño.
La tarea que acometerá la Administración, en consecuencia, se orientaría a considerar los estudios de mercado, encuestas de posicionamiento e intereses de consumidores, tomando como base la capacidad de producción, los requerimientos de tecnología para mejorar significativamente la calidad y la disminución de los costos del producto frente a los volúmenes y perfiles requeridos. Este esfuerzo debe requerir la evaluación de los costos de financiación y flujos de liquidez disponibles, así como la determinación de cambios en procesos, funcionalidades de las actividades, procedimientos y flujos de información necesarios para sostener el nuevo modelo de operación. (Desempeño).
La evaluación, sin embargo, no está completa, hasta cuando se establezcan e identifiquen los nuevos riesgos que aparecerán en la operación, en la liquidez y en el negocio (Riesgo), así como los controles que deberán implementarse para perseguir los resultados en un marco prudencial.(Control) La conclusión es que el proyecto debe incorporar los elementos que permitan salvaguardar los riesgos y controles, disponiendo de la información de monitoreo que será preciso, orientar y proponer para asegurar las nuevas tareas y desafíos que asumirá la empresa, así como los nuevos requerimientos y compromisos obligatorios y voluntarios que deberá honrar la empresa. (Cumplimiento).
El conjunto de tensiones que se deben gobernar, gestionar y asegurar en una organización para el logro de los objetivos y que involucra desafíos de desempeño, riesgo, control y cumplimiento requiere herramientas, prácticas y métodos que hagan posible un manejo holístico e integral sobre la disposición y adquisición de recursos, las intervenciones y ajustes en las áreas, funciones, procesos, información y tecnología. GRC es una disciplina que aporta esos instrumentos, bajo un enfoque, holístico, integral e integrado, que cuenta con los fundamentos, desde el punto de vista teórico, y las prácticas necesarias para resolver este entramado de relaciones complejas.
El Concepto, el Método y el Modelo de GRC
Dicen que identificar un problema, implica reconocer el 50% de la solución. Esta es una afirmación clave para GRC: Gobierno, Riesgo y Cumplimiento, porque es de hecho, una de las causas por las cuales las organizaciones no encuentran efectividad en muchos de sus proyectos corporativos relacionados con el logro de objetivos, la optimización de procesos, la gestión del riesgo operativo, la efectividad de los controles, la suficiencia del cumplimiento, las implementaciones de soluciones de tecnología, por citar algunos. El asunto es natural porque los problemas de las organizaciones son de origen complejo y con multitud de causas y consecuencias correlacionadas e interrelacionadas.
Así, adelantar un proyecto de GRC debe considerar tres elementos claves: El concepto, El método y el modelo. El concepto implica entender integralmente los elementos, alcances y beneficios de GRC, y cuáles son sus potencialidades. El método se refiere a la forma como debe encararse un proyecto de GRC, y el modelo es la definición de prácticas de referencia que apoyan el logro de un objetivo.
El concepto de GRC debe partir de reconocer que GRC no se limita a la aplicación de buenas prácticas de gobierno, riesgo y aseguramiento, soportados en las distintas regulaciones, como muchos lo entienden. Va mucho más allá. Es la capacidad de armonizar esas y otras prácticas para gestionar y asegurar, además de gobernar, no sólo el riesgo y el cumplimiento, sino también el desempeño para el logro de objetivos. Así, el valor agregado de la capacidad de GRC es la “armonización” por medio de una alineación, integración u orquestación de los conceptos, dependiendo del grado de madurez e involucramiento de los conceptos en acción.
De acuerdo con OCEG[1], la estructura general de GRC se puede ilustrar en un marco de referencia como el que se muestra a continuación, que debe conducir al desempeño basado en principios: el logro confiable de objetivos, abordando la incertidumbre y actuando con integridad.
GobiernoGetionAseguramiento-01El método de GRC aporta la forma cómo debe encararse un problema para identificar soluciones y alternativas viables. Se planteó que la organización es de naturaleza sistémica y por ende incorpora múltiples y complejas interrelaciones y correlaciones del gobierno, la gestión y el aseguramiento del desempeño, el riesgo y el cumplimiento que se evidencian en forma distinta en las estrategias, los procesos, las personas, la tecnología y la información. La premisa es que identificar alternativas requiere decantar un problema en su causa original.
La aplicación de un método de GRC exige separar una problemática en sus partes para identificar el origen. Baker Tilly desarrolló una metodología denominada GRCMaX[2] que apoya este proceso mediante un análisis sistémico basado en cuatro perspectivas: El desempeño basado en principios, la gobernanza, la arquitectura empresarial y el alcance.
Cubo-01Como se advierte, todas las perspectivas están interrelacionadas de manera que será preciso identificar los elementos que pueden estar comprometidos[3]. Esta visión permitirá identificar un problema y encontrar una solución a partir de varios puntos de vista convergentes. La perspectiva de desempeño basado en principios se refiere al carácter de un objetivo basado en el desempeño, riesgo y cumplimiento. Un elemento clave a considerar es que incorpora el eje de control. Por su parte, la perspectiva de gobernanza se refiere al carácter de aseguramiento para el logro y por ende, desarrolla los ejes de alta dirección, operación y supervisión, como elementos de la gestión, en coherencia, con las buenas prácticas y estándares de gobierno y aseguramiento. La perspectiva de arquitectura empresarial considera el carácter de los objetos intervenidos o dominios que pueden estar comprometidos, bien desde la intención: la estrategia o directrices, hasta su operación: la organización y recursos, los procesos, la información o la tecnología. Finalmente, la perspectiva del alcance se refiere al carácter de una jurisdicción específica de un problema, que puede ser la organización entera, un área, un proyecto, un proceso o una función.[4]
El método deberá identificar el origen de un problema y las alternativas de solución. Para tal efecto, plantea una serie de pasos que parten de la construcción de un diagnóstico de situación o estado de madurez – as is- y la definición de rutas críticas y resultados esperados. La dinámica posterior implica estructurar las etapas consecuentes como un proyecto.
metodologiaGRC-01Finalmente, el modelo de GRC es un conjunto de prácticas que debe apoyar la alternativa y solución identificada para el logro de un objetivo específico. OCEG ha emitido un modelo de capacidad conformado por componentes y elementos que definen las prácticas que permiten el desarrollo eficiente de un proyecto. La versión reciente – 3.0, en proceso de emisión, incorpora cuatro componentes y sus prácticas para entender, alinear, ejecutar y examinar los avances y resultados propuestos en un proyecto específico de GRC.
redbook3.0-01 Las prácticas se organizan de manera que permitirá identificar las acciones más convenientes para entender los contextos y definir los objetivos, alinear los requerimientos y desafíos, ejecutar acciones y controles requeridos y examinar y monitorear los resultados esperados. Por supuesto, estás prácticas son una referencia y deben complementar, todas las otras que la organización considere de naturaleza específica ante un problema identificado, a partir de su causa origina[:en]What is GRC? (Governance, Risk and Compliance)
It is a fact that companies today can not be given as before. No matter your size, your responsibility, your product, your market all end up compromised, sooner or later, with challenges to sustain or grow (government), in addition to more regulations and standards imposed to operate or compete (compliance), assuming the costs and / or benefits involving uncertainty that require analysis and evaluation (risk).
So what is GRC?
It could be interpreted, therefore, that GRC is a simple acronym for the aforementioned activities involving governance, risk and compliance. However, it is more than that, because a first glance is that they are activities that can not be understood apart. It is also a road, thorny, involving decisions disposition / acquisition of resources and personnel, ongoing assessment of financing strategies and management policies to pursue goals and outcomes in the short or long term (management) which require controls, adjustments processes and actions of supervision and monitoring (assurance).
Leading and managing an organization, it is by definition a complex problem. Involves taking responsibility for managing a jungle of goals, when should consider things like maximizing financial performance, with resource constraints, regulated operating frameworks and strong uncertainties of external such as customers, competitors and markets critical factors combined to meet commitments regulatory. In short, they are the tasks to govern, manage and secure an undertaking compared with the paths imposed by the environment and the expectations of stakeholders. That is, it is not only government, must also management and assurance.
Now it is common to note decisions of the Board of Directors, headed by liberal members, requiring senior management, in light of the numbers, apply aggressive to increase market positioning and growth in sales of goods and services shares. In colloquialisms demanding better performance.
The task to be undertaken by the Administration therefore be oriented to consider market research, surveys positioning and interests of consumers, based on production capacity, technology requirements to significantly improve quality and lower costs product over volumes and profiles required. This effort must require the assessment of financing costs and available cash flows and determining changes in processes, functionalities of activities, procedures and information flows needed to support the new operating model. (Performance).
The evaluation, however, is not complete, until they are established and identify new risks that appear in the operation, liquidity and business (Risk) and controls to be implemented to pursue the results in a frame prudential. (Control) the conclusion is that the project should incorporate elements to safeguard the risks and controls, providing the monitoring information that is necessary, guide and propose to ensure the new tasks and challenges assume the company as well as the new requirements and mandatory and voluntary commitments that will honor the company. (Fulfillment).
The set of voltages to govern, manage and secure an organization to achieve the objectives and involving performance challenges, risk, control and compliance requires tools, practices and methods that enable a holistic and integrated management of the arrangement and acquisition of resources, interventions and adjustments in the areas, functions, processes, information and technology. GRC is a discipline that brings these instruments, under a, holistic, comprehensive and integrated approach, with the basics, from the theoretical point of view, and practices necessary to solve this complex web of relationships.
Concept, Method and Model GRC
They say that identifying a problem, involves recognizing 50% of the solution. This is a key statement for GRC: Governance, Risk and Compliance, because it is in fact one of the reasons why organizations do not find effectiveness in many of its corporate projects related to the achievement of objectives, optimizing processes, operational risk management, the effectiveness of controls, the adequacy of compliance, implementations of technology solutions, to name a few. The matter is natural because the issues are complex organizations with multiple origin and correlated and interrelated causes and consequences.
So, fast forward a draft GRC must consider three key elements: concept, method and model. The concept involves fully understand the elements, scope and benefits of GRC, and what their potential is. The method refers to how a project should be approached GRC, and the model is the definition of reference practices that support the achievement of a goal.
The concept of GRC must begin to recognize that GRC is not limited to the implementation of good governance, risk and assurance, supported in the regulations, as many understand. It goes far beyond. It is the ability to harmonize these and other practices to manage and secure, plus govern not only the risk and compliance, but also the performance in achieving objectives. Thus, the added value of the capacity of GRC is the «harmonization» through alignment, integration or orchestration of concepts, depending on the degree of maturity and involvement of the concepts in action.
According to OCEG [1], the overall structure of GRC can be illustrated in a framework like the one shown below, which should lead to performance based on principles: the reliable achievement of objectives, addressing uncertainty and acting integrity.
GobiernoGetionAseguramiento-01The method GRC provides the way how a problem should be addressed to identify viable solutions and alternatives. It was suggested that the organization is systemic in nature and therefore incorporates multiple and complex interrelations and correlations of governance, management and assurance of performance, risk and compliance are evident in different ways in the strategies, processes, people , technology and information. The premise is to identify alternatives requires decanting a problem in their original cause.
The application of a method of separating a GRC requires problematic parts to identify the source. Baker Tilly developed a methodology called GRCMaX [2] supporting this process through a systemic analysis based on four perspectives: The principled performance, governance, enterprise architecture and scope.
Cube-01Como warns, all perspectives are interrelated so that it will be necessary to identify elements that may be involved [3]. This vision will identify a problem and find a solution from several converging views. The performance perspective based on principles refers to the character of a performance-based, risk and compliance target. A key element to consider is that it incorporates the control shaft. Meanwhile, the prospect of governance refers to the character assurance for achievement and therefore develops the axes of senior management, operation and supervision as elements of management, consistent with good practices and standards of governance and ensuring. Enterprise architecture perspective considers the character of the seized objects or domains that can be engaged either from the intention: the strategy or guidelines to its operation: the organization and resources, processes, information and technology. Finally, the perspective of scope refers to the character of a specific jurisdiction problem, which may be the entire organization, an area, a project, a process or function. [4]
The method should identify the source of a problem and alternative solutions. To this end, it raises a number of steps that start construction of a diagnosis of the situation or state of maturity – as ischemic and defining critical paths and expected results. The subsequent dynamic structure involves the consequent stages as a project.
metodologiaGRC-01Finalmente, GRC model is a set of practices that should support alternative solution identified for achieving a specific goal. OCEG has issued a capability model consisting of components and elements that define practices that enable the efficient development of a project. The latest version – 3.0, emission process, incorporates four components and practices to understand, align, implement and review progress and results proposed in a specific project of GRC.
Practices are organized so that will identify the most convenient to understand the contexts and actions define goals, align the requirements and challenges, implement actions and controls required and to review and monitor the expected results. Of course, you are a referral practices and should complement all the others that the organization consider specific nature to an identified problem, from their cause originates[:]