El concepto, el método y el modelo de Gobierno, Riesgo y Cumplimiento- GRC

El concepto, el método y el modelo de Gobierno, Riesgo y Cumplimiento - GRC

Dicen que identificar un problema, implica reconocer el 50% de la solución. Esta es una afirmación clave para GRC: Gobierno, Riesgo y Cumplimiento, porque es de hecho, una de las causas por las cuales las organizaciones no encuentran efectividad en muchos de sus proyectos corporativos relacionados con el logro de objetivos, la optimización de procesos, la gestión del riesgo operativo, la efectividad de los controles, la suficiencia del cumplimiento, las implementaciones de soluciones de tecnología, por citar algunos. El asunto es natural porque los problemas de las organizaciones son de origen complejo y con multitud de causas y consecuencias correlacionadas e interrelacionadas.

Así, adelantar un proyecto de GRC debe considerar tres elementos claves: El concepto, El método y el modelo. El concepto se orienta a entender integralmente los elementos, alcances y beneficios de GRC, y cuáles son sus potencialidades. El método se refiere a la forma como debe encararse un proyecto de GRC, y el modelo es la definición de prácticas de referencia que apoyan el logro de un objetivo.

El concepto de GRC debe partir de reconocer que GRC no se limita a la aplicación de buenas prácticas de gobierno, riesgo y aseguramiento, soportados en las distintas regulaciones, como muchos lo entienden. Va mucho más allá.

Es la capacidad de armonizar esas y otras prácticas para gobernar, gestionar y asegurar, no sólo el riesgo y el cumplimiento, sino también el desempeño para el logro de objetivos. Así, el valor agregado de la capacidad de GRC es la “articulación” por medio de una alineación, integración u orquestación de los conceptos, dependiendo del grado de madurez e involucramiento de los conceptos en acción.

De acuerdo con Open Compliance and Ethics Group – OCEG, la estructura general de GRC se puede ilustrar en un marco de referencia como el que se muestra a continuación, que debe conducir al desempeño basado en principios, entendido como el logro confiable de objetivos, abordando la incertidumbre y actuando con integridad.

El método de GRC aporta la forma cómo debe enfrentarse un problema para identificar soluciones y alternativas viables. Se planteó que la organización es de naturaleza sistémica y por ende incorpora múltiples y complejas interrelaciones y correlaciones del gobierno, la gestión y el aseguramiento, con el desempeño, el riesgo y el cumplimiento que se evidencian en forma distinta en las estrategias, los procesos, las personas, la tecnología y la información. La premisa es que identificar alternativas requiere decantar un problema en su causa original.

La aplicación de un método de GRC exige separar una problemática en sus partes para identificar el origen y comprender su articulación. Baker Tilly gestiona una metodología con ese propósito, denominada GRCMaX©, la cual mediante un análisis sistémico basado en tres perspectivas: El desempeño basado en principios, la gobernanza y la arquitectura empresarial.

Como se advierte, todas las perspectivas están interrelacionadas de manera que será preciso identificar los elementos que pueden estar comprometidos. Esta visión permite identificar un problema y encontrar una solución a partir de varios puntos de vista convergentes.

La perspectiva de desempeño basado en principios se refiere al carácter de un objetivo basado en el desempeño, riesgo y cumplimiento. Un elemento clave a considerar es que incorpora el eje de control.

Por su parte, la perspectiva de gobernanza se refiere al carácter de aseguramiento para el logro y por ende, desarrolla los ejes de alta dirección, operación y supervisión, como elementos de la gestión, en coherencia, con las buenas prácticas y estándares de gobierno y aseguramiento.

La perspectiva de arquitectura empresarial, por último, considera el carácter de los objetos intervenidos o dominios que pueden estar comprometidos, bien desde la intención: la estrategia o directrices, hasta su operación: la organización y recursos, los procesos, la información o la tecnología. Finalmente, estas perspectivas se pueden aplicar para la institución corporativa o para un área, un proyecto, un proceso o una función.

El método deberá identificar el origen de un problema y las alternativas de solución. Para tal efecto, plantea una serie de pasos que parten de la construcción de un diagnóstico de situación o estado de madurez – as is- y la definición de rutas críticas y resultados esperados. La dinámica posterior implica estructurar las etapas consecuentes como un proyecto.

Finalmente, el modelo de GRC es un conjunto de prácticas que debe apoyar la alternativa y solución identificada para el logro de un objetivo específico. OCEG ha emitido un modelo de capacidad conformado por componentes y elementos que definen las prácticas que permiten el desarrollo eficiente de un proyecto. La versión reciente – 3.0 incorpora cuatro componentes y sus prácticas para entender, alinear, ejecutar y examinar los avances y resultados propuestos en un proyecto específico de GRC.

Las prácticas se organizan de manera que permitirá identificar las acciones más convenientes para entender los contextos y definir los objetivos, alinear los requerimientos y desafíos, ejecutar acciones y controles requeridos y examinar y monitorear los resultados esperados.

Por supuesto, estás prácticas son una referencia y deben complementar, todas las otras que la organización considere de naturaleza específica ante un problema identificado, a partir de su causa original y los marcos de referencia aplicables.