¿En qué consiste el GRC?

Concepto de Gobierno, Riesgo y Cumplimiento.

Este concepto es extremadamente importante para influenciar la formulación de la estrategia empresarial y la articulación de todo tipo de decisiones de negocios. El concepto de GRC fue difundido originalmente por consultoras hace varios años para soluciones de sistemas, software y servicios. Con el tiempo, se fue extendiendo a servicios de consultoría y en la investigación científica sobre temas empresariales. El objetivo de la alineación de los tres elementos de GRC es mejorar el desempeño corporativo facilitando la toma de decisiones.

De forma resumida:

1. El término Governance se relaciona con el contexto de la alta dirección por la delegación de la autoridad y control y supervisión entre el comité ejecutivo, los directores y los accionistas sobre el tratamiento de los riesgos de negocios.
2. El término Risk se relaciona a la capacidad de identificar y tratar los riesgos empresariales.
3. El término Compliance se relaciona a la adherencia de las acciones de negocios a las reglas que permiten cumplir con las leyes y regulaciones externas, los compromisos voluntarios, las políticas internas y, en general, la observancia de la ética empresarial.

Cada uno de sus componentes se solapa con el resto a través de la articulación de la estrategia de negocios en acciones y procesos concretados por todos los niveles de una organización desde el directivo hasta el operativo. Las palancas de G, R y C favorecen la colaboración.

El Compliance Officer deberá entender las tres palancas del GRC, alineando los procesos de gobierno corporativo, la gestión de riesgos y el cumplimiento a través de políticas y controles que permitan mejorar la colaboración entre departamentos. Este nuevo concepto integrador nos permite, por ejemplo, explotar proactivamente la información del big data para combinarla con el conocimiento de nuestras políticas para investigar alarmas por riesgos. Una función de Compliance fragmentada imposibilita operar en negocios globales.

En este ambiente global, parece una opción tentadora orientar la función de Compliance a generar políticas más restrictivas en algunos países muy regulados, y políticas más permisivas en otros países con menos imposiciones. Sin embargo, este enfoque nos lleva a problemas de comunicación y nos imposibilita para desplegar programas de cumplimiento globales.

Enfoque GRC: automatización + centralización + coordinación.

Cultura de GRC.

Nuestras políticas y procedimientos detallan solamente cómo queremos que se actúe, mientas que la cultura determina qué ocurre realmente en la realidad.

La adopción de acciones integradas sobre GRC está dada por el tono de los superiores, dejando un papel predominante al presidente o director general de la empresa. La salud de la empresa depende del mensaje dado desde lo más alto de pirámide jerárquica, que impide racionalizar decisiones contrarias a la ley, la ética o la capacidad técnica y financiera, priorizando pequeñas ganancias en el corto plazo sobre pérdidas mayores a largo plazo.

Una sólida cultura empresarial consiste en difundir el mensaje que todas las decisiones que toman los ejecutivos y empleados de una empresa deben ser ejemplares a todos los niveles. Si una falta llega a la alta dirección, probablemente ya sea demasiado tarde o costosa.

La cultura, moldeada a través de las acciones del Compliance Officer y de miles de decisiones de negocios, permite prevenir errores y fraudes antes de que sean costosos. La centralización a través de GRC permite la consistencia de criterios y políticas para construir una cultura uniforme. Ningún control, por efectivo que sea, compensa una mala cultura.

En momentos de crisis profundas, aumentan las presiones por el fraude operacional y de reporte contable. Los objetivos por conseguir metas económicas redundaron en manipulaciones contables, soborno y corrupción. Lo conveniente preponderó sobre lo correcto. La necesidad de los ejecutivos a mantener su estilo de vida o crecer en sus carreras es un peligroso factor de riesgo de fraude durante las crisis. Compliance no es un código, ni un programa, ni políticas, es una cultura a respetar.

La avidez por resultados, motor de la innovación empresarial, debe tener una aceptación ética para ser beneficiosa en la sociedad.

El GRC de las tres culturas.

El concepto de GRC tiene como objetivo poder interrelacionar tres aspectos de la cultura empresarial que hemos tratado previamente. La cultura influencia a todos los que toman decisiones en una empresa, desde ejecutivos hasta empleados, y resguarda los intereses de los grupos de interés. Los empleados deben entender que las reglas de organización afectan a todos, así como se alienan para alcanzar los mismos objetivos, ejecutando estrategias coordinadas.

Los gestores de riesgos llaman tolerancia al riesgo a esta frontera:

1. Cultura de riesgo. La definimos como el sistema de valores y conductas que afectan la forma en que se evalúan los riesgos al tomar decisiones. En términos prácticos, los empleados necesitan entender la exposición de riesgos de la empresa para determinar qué deben hacer o qué deben evitar hacer.
2. Cultura de cumplimiento. La definimos como el ambiente general que afecta a cómo la empresa responde a sus requerimientos internos, externos y principios éticos. Una sólida cultura de cumplimiento requiere a sus empleados que efectúen los controles necesarios sobre sus procedimientos a cargo, aunque no necesiten ser vigilados.
3. Cultura de buen gobierno corporativo. La definimos como las medidas organizativas y sus acciones que sostienen la creación de valor de empresa para sus grupos de interés. Una sólida cultura de buen gobierno corporativo permite brindar una ventaja competitiva, resguardando los activos intangibles por la reputación. Este aspecto de la cultura involucra al sistema de creencias que permiten conducir negocios de una forma ética por parte de la dirección y los empleados.

La cultura de Compliance es hacer lo correcto, aunque nadie esté vigilando.

Para entender la extensión de la cultura, debemos pensar que los empleados siguen cierta conducta, en primer lugar, por el ejemplo que, de su jefe directo, luego porque las siguen sus pares y, en último lugar, por las políticas.

Las fronteras de estos tres aspectos de la cultura de GRC son difíciles de establecer, así como toda cultura es difícil de delinear. La construcción de una cultura consistente es un proceso largo que requiere comunicación efectiva sobre la ética y las prácticas de negocios aceptadas, así como el sistema de disciplina e incentivos.

Conceptos básicos sobre gobierno corporativo.

La función de gobierno corporativo, también llamada de gobernanza, describe la organización jerárquica entre el consejo de administración, sus ejecutivos y las estructuras de control. Esta función requiere de un sistema de comunicación que eleve la información hacia aquellos que tomen decisiones para que puedan hacerlo sobre reportes completos y oportunos, así como que descienda la información de las estrategias y direcciones a las áreas ejecutantes. La función de gobierno surge de establecer la misión y visión que requiere un modelo de negocio, la definición de valores compartidos y la supervisión de la delegación de autoridad a través de la empresa.

La función de gestión de riesgos describe el proceso de identificar, analizar y responder, de ser necesario, a los eventos que afectan la certidumbre sobre el cumplimiento de los objetivos establecidos. Las respuestas a los riesgos generan planes de acción para reducir la exposición a los mismos, reduciendo su impacto cuando se materializan a través de planes de contingencia o reduciendo la frecuencia esperada a que ocurran a través de planes de prevención. Estas respuestas se priorizan en base a la criticidad del riesgo, medida como el impacto por la probabilidad de que ocurran.

Un sistema de riesgos empresariales, generalmente nombrado como ERM Enterprise Risk Management, gestiona en forma holística todos los riesgos de una empresa, incluyendo los financieros, operativos, de fraude, por incumplimientos, de sistemas, políticos, de la naturaleza y estratégicos. Un mapa de riesgos es efectivo cuando nos da una visión en 360 grados de las amenazas a los planes futuros. Las soluciones parciales no permiten relacionar eventos ni factores de riesgos.

La función de Compliance describe el proceso de identificar los requerimientos aplicables a nivel de empresa originados por regulaciones, estándares de calidad y ética, normas voluntarias, contratos, estrategias y políticas.

La integración de los elementos del GRC permite mejorar el desempeño:

1. La consistencia en la toma de decisiones sobre una tolerancia común.
2. La identificación de riesgos y oportunidades en decisiones estratégicas.
3. El desempeño de la organización a través de procesos organizados.
4. El control de que no se duplican tareas redundantes.
5. Los costes de cumplimiento, auditoría e inspecciones regulatorias y de calidad.
6. La innovación, al hacer trabajar en conjunto a departamentos con diferentes visiones.
7. El consenso sobre cómo gestionar los factores de riesgos.

Software de GRC.

Un software de GRC integra soluciones para mejorar la asignación de responsabilidad, también soporta explícitamente el cumplimiento de obligaciones de privacidad de datos. Bajo un mismo software de GRC, principalmente se mejora la asignación de responsabilidades de identificar riesgos, de asignar recursos a planes de acción y de reportar avances e indicadores.

La integración en un software de GRC común permite:

1. Fortalecer la toma de decisiones.
2. Mejorar la colaboración y la comunicación entre los equipos.
3. Simplificar el proceso de gestión integral.
4. Establecer controles consistentes y armonizados, evitando redundancias.
5. Consolidar datos y procesos en una plataforma visible.
6. Importar y exportar datos de varios sistemas.
7. Acelerar el flujo de documentación.
8. Simplificar la experiencia del usuario con un solo acceso y mejorar su productividad.
9. Ahorro de costes al tener una licencia única.

Funcionalidades del software de GRC:

1. Compliance y creación de normas:
   1. Centralización del sistema normativo.
   2. Centralización de la delegación de tareas.
   3. Administración y seguimiento de poderes internos y externos.
   4. Seguimiento de los conflictos de interés.
   5. Integración de normas a cumplir.
   6. Seguimiento de tareas preparatorias para cumplir nuevas regulaciones.
   7. Servicio de actualización de normas externas.
   8. Gestión del business process management para el mapeo flujos.
   9. Repositorio de normas accesibles por entidades locales, regionales y corporativas.
   10. Seguimiento de versiones de normas y aprobación de cambios.
   11. Protocolo de gestión de crisis.
2. Gestión de riesgos y seguros:
   1. Repositorio de todos los riesgos empresariales. Descripción del riesgo, de sus causas y consecuencias, valuación del impacto y frecuencia, clasificación y planes de acción.
   2. Identificación de riesgos.
   3. Universo de riesgos común (taxonomía).
   4. Seguimiento de key risk indicators.
   5. Detalle y seguimiento de planes de acción.
   6. Solución para riesgos en proyectos, riesgos en ofertas comerciales, riesgos emergentes y riesgos de país.
   7. Aprobación de riesgos y planes de acción.
   8. Análisis de seguros y coberturas.
   9. Base de pérdidas e incidentes.
3. De auditoría interna, control interno y calidad:
   1. Gestión de proyectos de auditoría con cronogramas, presupuestos y personas.
   2. Repositorio de programas de trabajo y papeles de auditoría.
   3. Aprobación de revisiones y reportes.
   4. Gestión de Control Self Assessments, cuestionarios de autoevaluación de controles y guías de controles.
   5. Seguimiento de planes de acción. Alarmas automáticas cuando un plan de acción no es actualizado o cerrado.
   6. Reporte de fraudes detectados.
4. De reporte contable y financiero:
   1. Calendario de cierre y controles.
   2. Soporte de la carpeta de cierre con los análisis de cuentas y conciliaciones.
   3. Ingreso y seguimiento de checklists sobre procesos contables.
   4. Análisis de cumplimiento de obligaciones fiscales y estatutarias.
   5. Aprobación de papeles de trabajo y saldos.
   6. Funciones de visualización y reporte de movimientos contables.
   7. Seguimiento de revisiones de controles financieros.
5. Gobierno de tecnología de información:
   1. Cumplimiento con el marco de control de tecnologías de información.
   2. Gestión de riesgos informáticos.
   3. Escaneo de vulnerabilidades.
   4. Gestión de auditorías informáticas.
   5. Automatización de tareas de aseguramiento de privacidad de datos.
   6. Controles de validez y de segregación de permisos de usuarios.
   7. Gestión de incidentes.
   8. Control de proveedores informáticos.
   9. Plan de continuidad de negocio y recuperación de datos.
   10. Seguimiento de respaldos.
   11. Seguimiento de licencias e inventario de software.
   12. Seguimiento de hardware e inventario.
6. De proveedores y terceras partes:
   1. Agrupación de perfiles de proveedores por criticidad y por clases.
   2. Seguimiento de cumplimientos (proveedores listados o restringidos, certificados de seguros y licencias, declaraciones éticas, contratos, acuerdos marcos).
   3. Due-diligence de proveedores.
   4. Gestión de auditorías de proveedores.
   5. Proveedores y materiales alternativos.
   6. Riesgos de proveedores y de la cadena de suministro.
7. Integración con business intelligence:
   1. Visualización dinámica y flexible de todos los datos del GRC.
   2. Reportes interactivos, tablero de mandos y Analytics.
   3. Self-Service de reportes ad hoc.