GRC: Gobierno, Riesgo Corporativo y Cumplimiento Normativo.

Aquellos que hayan estado involucrados recientemente en iniciativas o tecnologías GRC habrán percibido, un “punto de inflexión” manifestado de forma que el grado de comprensión del GRC ha madurado notablemente, sus propuestas de valor y casos de uso se han hecho mucho más evidentes y para un mayor número de organizaciones.

Aún y así, a los firmes creyentes en su valor estratégico, nos toca seguir esperando… En lo que llevamos de 2011, innumerables leyes, normas y regulaciones han aparecido en los radares de los gestores de riesgo, ejecutivos y empresarios que permiten aventurar un fuerte aumento de expectativas que ayudarán a impulsar sustancialmente los programas GRC y al mercado de software que lo soporta.

Si bien para cada compañía y para cada área de funcional, GRC significa algo distinto y una gran cantidad de ellas está en fases competenciales muy tempranas, para los profesionales de la gestión del riesgo y el cumplimiento que promulgan y lidian constantemente con los valores operativos y estratégicos del GRC, el éxito provendrá de su habilidad para atender a los objetivos internos aunque no sean conformes con las definiciones existentes en el mercado.

Probad a preguntar a vuestros CEO, CFO, e incluso al CIO por el significado de GRC en su organización. Su respuesta, (si cada uno tiene respuesta) será sorprendentemente distinta. De todas maneras, si preguntas por sus prioridades para el 2011, no debería sorprenderos oír algo parecido a “Mejorar nuestras prácticas de Gestión del Riesgo”, “Permanecer al día de los cambios reglamentarios” o “Incrementar la visibilidad y supervisión a lo ancho de la organización”.

Al mismo tiempo, innumerables y sonados fracasos en la Gestión del Riesgo y el Cumplimiento, continúan plagando el mundo de los negocios y tanto el impacto como la visibilidad de éstos fracasos continúa creciendo de forma consistente. Desde bancarrotas en los servicios financieros pasando por desastres medioambientales y de retiradas masivas de productos por problemas de salud pública hasta vergonzantes pérdidas de información confidencial, inversores, ejecutivos, directivos, empleados, proveedores y clientes buscan asegurar que su empresa no sea la próxima en ser cazada con los “pantalones bajos”.

Y así crecen las expectativas sobre los profesionales de la gestión del riesgo y el cumplimiento, su capacidad de influencia y el potencial de fallo!

Ya sea que le llamen GRC o no, estos profesionales están en serias dificultades para cumplir con las crecientes demandas de supervisión internas y externas, nuevas restricciones regulatorias y mayor complejidad en los negocios (Extended Enterprise) con el agravante de la eterna queja de los negocios en la que sitúan el Cumplimiento y la Gestión de riesgo como una barrera hacia los negocios.

Por suerte para nosotros, esta perspectiva está cambiando, aunque muy lentamente.

Mis recomendaciones

  • No todos los proveedores que se etiquetan GRC son competidores.

El aumento de competencia, aunque desordenada, traerá mejores soluciones para los profesionales del riesgo y el cumplimiento, mientras sean capaces de separar las soluciones relevantes de las que lo pretenden ser. Y esto no mejorará a lo largo de éste año.

Existe una gran cantidad de fabricantes que etiquetan su SW con GRC y no tienen nada en común ni en el foco ni en la función. Debéis aseguraros que utilizáis alguno de los mejores de su clase y que vuestras necesidades esperadas en 12-24 meses pueden ser cubiertas, en especial auditores, gestores de riesgo corporativo, de procesos y otros clave que de acuerdo con la naturaleza de vuestro negocio deban estar involucrados en GRC.

  • Adoptar un conjunto de estándares para crear consistencia.

En la medida que los programas GRC se expanden horizontalmente, será necesarios para los diversos grupos funcionales involucrados, tales como Riesgo, TIC, Legal, DRP, Auditores, Compras, etc. Disponer de guías o parámetros comunes de trabajo. Establecer, en fases muy tempranas, que significa riesgo, incidente, evento y sus parámetros de control y escalado, ayudarán a desarrollar eficientemente una vista agregada a niveles más altos de la organización y supervisión.

  • No perder de vista la alineación con el negocio mientras se focaliza en el cumplimiento normativo.

Reformas y nuevas reglamentaciones nos forzarán a mantenernos en el terreno táctico. Mientras esto ocurre, reaparecerá la eterna lucha para demostrar el valor empresarial del cumplimiento y de la gestión del riesgo por derecho propio, no solo cubrir los mínimos regulados. Es de vital importancia trabajar y demostrar que los esfuerzos en GRC soportan la consecución de los objetivos de negocio.

Por ejemplo, mostrar como el análisis de riesgo en las ventas ayuda a mejorar los ratios y costes de impagados o como una política muy afinada en educación y sensibilización puede ayudar a RRHH a alinear más rápidamente los nuevos empleados a los criterios establecidos.

  • Buscar oportunidades para colaborar e integración con las iniciativas de Business Intelligence.

Es importante involucrarse en iniciativas de data governance relacionado con clientes, proveedores, empleados, procesos financieros y otras áreas significativas del GRC en su empresa/sector.

Es necesario encontrar vías para incorporar las métricas GRC en los sistemas corporativos de medición del rendimiento (CMI-dashboards) y dar preferencia a proveedores y partners que puedan ayudarnos a hacer de los indicadores GRC una fuente más útil y relevante para la toma de decisiones.

  • Abrazar, no dificultar ni negar, las oleadas tecnológicas.

Deberéis aceptar que las tecnologías móviles, sociales, el cloud computing, etc. se harán pervasivas en vuestras empresas ya sea que las homologuéis o no. El desarrollo de políticas claras sobre su uso es esencial. Pero, también, es necesario pensar como se pueden utilizar estas nuevas capacidades para mejorar nuestro perfil y cultura de riesgo y cumplimiento. Utilizar las redes sociales para distribuir políticas y material formativo, dar soporte a dispositivos móviles para el desarrollo de las auditorías o los análisis de riesgo en el terreno o crear nuevos canales de comunicación como mensajes cortos o whistleblower para la gestión de ciertos incidentes/eventos puede mejorar el nivel de participación de ciertos empleados que, de otra forma, sería muy difícil involucrar.

Artículo externo relacionado: Norman Marks on a KPMG Risk Management Report

Descargar Informe KPMG: Risk Management: A Driver of Enterprise Value in the Emerging Environment Related Materials

 

Tagged with →  
Share →