¿Qué es GRC? (Gobierno, Riesgo y Cumplimiento)
Es un hecho que las empresas de hoy no pueden administrase como antes. No importa su tamaño, su responsabilidad, su producto, su mercado todas terminan comprometidas, tarde o temprano, con desafíos para sostenerse o crecer (gobierno), amén de más regulaciones y estándares que se imponen para operar o competir (cumplimiento), asumiendo los costos y/o beneficios que involucra la incertidumbre que requieren análisis y evaluación (riesgo).
Entonces ¿Qué es GRC?
Podría interpretarse, en consecuencia, que GRC es un simple acrónimo de las actividades señaladas que implican gobierno, riesgo y cumplimiento. No obstante, es más que eso, por cuanto una primera mirada es que son actividades que no pueden entenderse separadas. Asimismo, es un camino, espinoso, que involucra decisiones de disposición/ adquisición de recursos y personal, valoración permanente de estrategias de financiamiento y políticas de dirección para perseguir metas y resultados en el corto o largo plazo (gestión), que requieren controles, ajustes en procesos y acciones de supervisión y monitoreo (aseguramiento).
Dirigir y administrar una organización, es por definición un problema complejo. Implica asumir la responsabilidad de manejar una jungla de metas, cuando debe considerar cosas como maximizar el desempeño financiero, con restricciones de recursos, marcos regulados de operación y fuertes incertidumbres de factores críticos externos como clientes, competidores y mercados, aunado a cumplir con los compromisos regulatorios. En suma, son las tareas de gobernar, gestionar y asegurar una empresa frente a los derroteros impuestos por el medio y las expectativas de partes interesadas. Es decir, que no sólo es gobierno, debe ser también gestión y aseguramiento.
Ahora bien, es común advertir decisiones del Consejo de Directores, en cabeza de miembros liberales, exigiendo a la Alta Gerencia, a la luz de los números, aplicar acciones agresivas para aumentar el posicionamiento en el mercado y crecer en ventas de bienes y servicios. En palabras coloquiales exigiendo un mejor desempeño.
La tarea que acometerá la Administración, en consecuencia, se orientaría a considerar los estudios de mercado, encuestas de posicionamiento e intereses de consumidores, tomando como base la capacidad de producción, los requerimientos de tecnología para mejorar significativamente la calidad y la disminución de los costos del producto frente a los volúmenes y perfiles requeridos. Este esfuerzo debe requerir la evaluación de los costos de financiación y flujos de liquidez disponibles, así como la determinación de cambios en procesos, funcionalidades de las actividades, procedimientos y flujos de información necesarios para sostener el nuevo modelo de operación. (Desempeño).
La evaluación, sin embargo, no está completa, hasta cuando se establezcan e identifiquen los nuevos riesgos que aparecerán en la operación, en la liquidez y en el negocio (Riesgo), así como los controles que deberán implementarse para perseguir los resultados en un marco prudencial.(Control) La conclusión es que el proyecto debe incorporar los elementos que permitan salvaguardar los riesgos y controles, disponiendo de la información de monitoreo que será preciso, orientar y proponer para asegurar las nuevas tareas y desafíos que asumirá la empresa, así como los nuevos requerimientos y compromisos obligatorios y voluntarios que deberá honrar la empresa. (Cumplimiento).
El conjunto de tensiones que se deben gobernar, gestionar y asegurar en una organización para el logro de los objetivos y que involucra desafíos de desempeño, riesgo, control y cumplimiento requiere herramientas, prácticas y métodos que hagan posible un manejo holístico e integral sobre la disposición y adquisición de recursos, las intervenciones y ajustes en las áreas, funciones, procesos, información y tecnología. GRC es una disciplina que aporta esos instrumentos, bajo un enfoque, holístico, integral e integrado, que cuenta con los fundamentos, desde el punto de vista teórico, y las prácticas necesarias para resolver este entramado de relaciones complejas.
El Concepto, el Método y el Modelo de GRC
Dicen que identificar un problema, implica reconocer el 50% de la solución. Esta es una afirmación clave para GRC: Gobierno, Riesgo y Cumplimiento, porque es de hecho, una de las causas por las cuales las organizaciones no encuentran efectividad en muchos de sus proyectos corporativos relacionados con el logro de objetivos, la optimización de procesos, la gestión del riesgo operativo, la efectividad de los controles, la suficiencia del cumplimiento, las implementaciones de soluciones de tecnología, por citar algunos. El asunto es natural porque los problemas de las organizaciones son de origen complejo y con multitud de causas y consecuencias correlacionadas e interrelacionadas.
Así, adelantar un proyecto de GRC debe considerar tres elementos claves: El concepto, El método y el modelo. El concepto implica entender integralmente los elementos, alcances y beneficios de GRC, y cuáles son sus potencialidades. El método se refiere a la forma como debe encararse un proyecto de GRC, y el modelo es la definición de prácticas de referencia que apoyan el logro de un objetivo.
El concepto de GRC debe partir de reconocer que GRC no se limita a la aplicación de buenas prácticas de gobierno, riesgo y aseguramiento, soportados en las distintas regulaciones, como muchos lo entienden. Va mucho más allá. Es la capacidad de armonizar esas y otras prácticas para gestionar y asegurar, además de gobernar, no sólo el riesgo y el cumplimiento, sino también el desempeño para el logro de objetivos. Así, el valor agregado de la capacidad de GRC es la “armonización” por medio de una alineación, integración u orquestación de los conceptos, dependiendo del grado de madurez e involucramiento de los conceptos en acción.
De acuerdo con OCEG[1], la estructura general de GRC se puede ilustrar en un marco de referencia como el que se muestra a continuación, que debe conducir al desempeño basado en principios: el logro confiable de objetivos, abordando la incertidumbre y actuando con integridad.
GobiernoGetionAseguramiento-01El método de GRC aporta la forma cómo debe encararse un problema para identificar soluciones y alternativas viables. Se planteó que la organización es de naturaleza sistémica y por ende incorpora múltiples y complejas interrelaciones y correlaciones del gobierno, la gestión y el aseguramiento del desempeño, el riesgo y el cumplimiento que se evidencian en forma distinta en las estrategias, los procesos, las personas, la tecnología y la información. La premisa es que identificar alternativas requiere decantar un problema en su causa original.
La aplicación de un método de GRC exige separar una problemática en sus partes para identificar el origen. Baker Tilly desarrolló una metodología denominada GRCMaX[2] que apoya este proceso mediante un análisis sistémico basado en cuatro perspectivas: El desempeño basado en principios, la gobernanza, la arquitectura empresarial y el alcance.
Cubo-01Como se advierte, todas las perspectivas están interrelacionadas de manera que será preciso identificar los elementos que pueden estar comprometidos[3]. Esta visión permitirá identificar un problema y encontrar una solución a partir de varios puntos de vista convergentes. La perspectiva de desempeño basado en principios se refiere al carácter de un objetivo basado en el desempeño, riesgo y cumplimiento. Un elemento clave a considerar es que incorpora el eje de control. Por su parte, la perspectiva de gobernanza se refiere al carácter de aseguramiento para el logro y por ende, desarrolla los ejes de alta dirección, operación y supervisión, como elementos de la gestión, en coherencia, con las buenas prácticas y estándares de gobierno y aseguramiento. La perspectiva de arquitectura empresarial considera el carácter de los objetos intervenidos o dominios que pueden estar comprometidos, bien desde la intención: la estrategia o directrices, hasta su operación: la organización y recursos, los procesos, la información o la tecnología. Finalmente, la perspectiva del alcance se refiere al carácter de una jurisdicción específica de un problema, que puede ser la organización entera, un área, un proyecto, un proceso o una función.[4]
El método deberá identificar el origen de un problema y las alternativas de solución. Para tal efecto, plantea una serie de pasos que parten de la construcción de un diagnóstico de situación o estado de madurez – as is- y la definición de rutas críticas y resultados esperados. La dinámica posterior implica estructurar las etapas consecuentes como un proyecto.
metodologiaGRC-01Finalmente, el modelo de GRC es un conjunto de prácticas que debe apoyar la alternativa y solución identificada para el logro de un objetivo específico. OCEG ha emitido un modelo de capacidad conformado por componentes y elementos que definen las prácticas que permiten el desarrollo eficiente de un proyecto. La versión reciente – 3.0, en proceso de emisión, incorpora cuatro componentes y sus prácticas para entender, alinear, ejecutar y examinar los avances y resultados propuestos en un proyecto específico de GRC.
redbook3.0-01 Las prácticas se organizan de manera que permitirá identificar las acciones más convenientes para entender los contextos y definir los objetivos, alinear los requerimientos y desafíos, ejecutar acciones y controles requeridos y examinar y monitorear los resultados esperados. Por supuesto, estás prácticas son una referencia y deben complementar, todas las otras que la organización considere de naturaleza específica ante un problema identificado, a partir de su causa origina