Si bien las empresas más adelantadas se han percatado del potencial económico y estratégico existente en la Reputación (actitudes positivas y de soporte que los diversos grupos de interés clave dispensan a sus marcas) su gestión eficaz requiere dedicar importantes recursos, exige nuevas métricas, no siempre directamente observables o la aplicación de controles operativos a sistemas complejos que garanticen el cumplimiento de los Códigos Éticos,  Políticas Corporativas, Procedimientos o derivadas de las Auditorias ex post facto.

A pesar de los ingentes esfuerzos en ésta dirección, la Inteligencia de Gobierno y Riesgo de las organizaciones y su capacidad de acción en Tiempo Real y por Excepción, continúa siendo muy limitada. Esto es, en si mismo, un factor de riesgo adicional que, según la industria o sector empresarial, no permite lograr riesgos residuales aceptables o de gestión fiable.

Dotar a las empresas de un sistema integrador (end-to-end) y en tiempo real para que su Gobierno, su Gestión del Riesgo y el Cumplimiento, tanto normativo como voluntario sean efectivos, inteligentes y eficientes ha originado una nueva disciplina, el GRC.

Muchos de vosotros recordareis el tiempo que han requerido las siglas ERP (Enterprise Resource Planning) para ser interiorizadas y llegar convertirse en sinónimo de todo aquello necesario, en términos de gestión de la información, para ser capaces de controlar y maximizar el output de la cadena de valor, tanto de entrada como de salida.
Las siglas GRC (Gobierno, Riesgo Corporativo y Cumplimento) están sufriendo el mismo proceso de definición y asimilación.

Dado el abanico de definiciones existentes, a finales del año pasado y junto a Norman Marks, hemos solicitado la participación a 25 profesionales del sector con el objetivo de determinar el estado de maduración del concepto y averiguar cómo lo explicarían a su Consejero Delegado en un ascensor. En éste post

Primero permitidme abrir el debate, al que amablemente os invito a participar, con mi descripción del concepto GRC.

 

De forma concisa (de ascensor):

“GRC es cómo los diversos componentes de la organización son orquestados para maximizar el valor de las oportunidades y optimizar su rendimiento a través de la gestión del Riesgo y la Incertidumbre, mientras se mantienen dentro de los límites del Cumplimiento con las obligaciones legales y voluntarias. (como un paraguas)”

 

Conceptos y aclaraciones (fuera del ascensor):

Gobierno: Es la transparencia del Management en su adhesión operativa a los requisitos de los procesos, las políticas corporativas,  regulaciones externas y su alineación estratégica y acciones respecto al establecimiento de una capacidad de monitorización y control de los límites operativos.

Gestión del Riesgo: Es el proceso por el cual la empresa establece su nivel de apetito y tolerancia al riesgo, identifica y mitiga riesgos potenciales, prioriza las tolerancias de riesgo y controles internos de las diversas iniciativas de negocio. El objetivo último de la gestión del riesgo no es riesgo cero, sino su optimización en términos de riesgo residual aceptable vs oportunidad.

Gestión del Cumplimiento: Es el proceso que registra y monitoriza los controles, ya sean físicos, lógicos u organizacionales, necesarios para permitir el cumplimiento de los mandatos legislativos o industriales y las políticas internas. Este asegurará que los límites están adecuadamente establecidos y que la organización evidencia respeto en su operación. En el contexto del GRC, cumplimiento es el acto de adhesión a y la habilidad de demostrar esa adhesión a los mandatos o requisitos definidos por las leyes y regulaciones así como todos  aquellos requisitos derivados de obligaciones contractuales y políticas internas. En otras palabras, cumplimiento es todo aquello relacionado con la identificación de requerimientos, legales u otros y los pasos para asegurar que la organización los toma en cuenta.

GRC es acerca del todo, no de las partes. Ni siquiera de la suma de las partes! Es acerca de cómo trabaja, conjuntamente, para conseguir el éxito de la organización. Esto puede incluir sub-óptimos locales para asegurar la optimización del conjunto, a modo de la filosofía LEAN, pero con el riesgo residual y los límites auto/impuestos.

GRC es una filosofía de gestión. Es una forma de mirar hacia la organización e identificar problemas alrededor de sus diferentes silos, sus fragmentos, sus fallos de información o de colaboración en búsqueda de eslabones débiles en la cadena.

Optimizar el GRC no se trata de la mejora en el Riesgo y el Cumplimiento, las Políticas Corporativas o los Procedimientos Operativos. Es la mejora de todo el rompecabezas, no de cada pieza. Por tanto, un programa corporativo de GRC se encuadra en la orquestación, en las personas y en el punto de toma de decisión.

 

2 comparten mi definición “de ascensor”:

“GRC es un conjunto de Capacidades que, es esencia, permiten a la organización establecer y progresar hacia sus objetivos mientras permanece dentro de los límites establecidos, ya sean legales o voluntarios.
GRC permite la integración y orquestación de procesos clave para convertirse en una organización más fiable, íntegra y reputada mientras considera la incertidumbre y aprovecha las oportunidades que le presenta el mercado.”

Por otra parte, ya fuera del ascensor, debemos tener en cuenta que…

Actuar de forma ética implica hacer lo correcto y por las razones correctas, incluso cuando nadie nos está vigilando. Un programa corporativo de GRC adecuado debe permitir definir que significa “correcto” y establecer expectativas y limites de rendimiento claros y, además, ser capaz de incorporarlos en los procesos de negocio para maximizar su performance y optimizar el riesgo. Las áreas de gobierno, gestión del riesgo y el cumplimiento son particularmente criticas para el éxito de una organización en la consecución de sus objetivos.

GRC se apoya, a través de una metodología “People, Process, Technology”, en la cooperación entre los grupos de dirección, supervisión y los de operaciones de negocio para definir que es “correcto” de acuerdo con los principios corporativos y los limites impuestos por terceros permitiendo:

  • Entender y priorizar expectativas;
  • Alcanzar objetivos optimizando el riesgo y protegiendo el valor;
  • Operar dentro de las fronteras legales, contractuales, internas, sociales y éticas;
  • Proveer información relevante y oportuna a interesados internos y externos y
  • Permitir la medición del rendimiento y eficacia de los procesos en el cumplimiento de los objetivos propios del programa GRC.

 

7 describieron GRC como sinónimo de ERM :

“Para mi, GRC es virtualmente equivalente al simple y clásico Enterprise Risk Management.
es más, de forma más concisa podría decir…GRC = Generalized Risk Confusion (Confusión Generalizada sobre el Riesgo)”

 

2 piensan que el GRC es la fusión de la Gestión del Riesgo y el Cumplimiento.

“GRC puede ser definido como un marco, procesos y actividades establecidas a lo largo y ancho de la empresa para asegurar al top management y los stakeholders que mecanismos de gobierno han sido activados para asegurar que las funciones de gestión del riesgo y el cumplimiento están integradas y optimizadas y que colaboran y operan de forma efectiva. Todo esto, reduciendo los esfuerzos y costes de mitigación de los riesgos y el cumplimiento mientras se alcanzan los objetivos y se cumplen las obligaciones de la empresa.”

 

Para uno, la esencia del GRC es la Integridad.

“Gobierno, Riesgo y Control, como lo define este encuestado, es un nuevo Mantra para los negocios y el ecosistema empresarial o económico.  Repetidos fallos corporativos, fraudes, irregularidades contables, etc. son escándalos todos relacionados con mecanismos inadecuados de gestión y control del Gobierno y el Riesgo.  Todas las economías globales, las del este y las del oeste sufren de la misma carencia o ineptitud.
La base o “root cause” de todo esto es la codicia del hombre. Por tanto, más allá del GRC es necesario tener integridad, honestidad personal y disciplina, como rasgos fundamentales de ciudadanía y sociedad. La sociedad y la cultura determinan estos valores y, personalmente creo, que el crecimiento económico y las oportunidades han erosionado los valores sociales y humanos.
Es tiempo de hacer una introspección y decidir a que tipo de empresa hemos de apoyar y por que razones. A modo de revolución de clientes.”

 

 

5 personas han considerado que GRC es simplemente eficiencias.

La diferencia entre este concepto y el mío, propuesto al principio,  es que el mío está más enfocado al rendimiento total que incluye, además, mejoras en el top line.

“Para mi, GRC es aprovechar procesos comunes de información, controles y sistemas (y personas) para que trabajen juntos utilizando un marco común que les permita transparencia y compartir información.”

 

 

 

3 han tenido ideas completamente distintas.

“GRC es: Gobierno, Gestión del Riesgo y Controles. Implica a los directivos de las corporaciones. Estos deben asegurar que su GRC funciona adecuadamente así como sus auditores internos, quienes deben enfatizar el GRC en sus informes. La Gestión del Riesgo y los Controles son los que apuntalan el Gobierno, si no existen controles robustos y un adecuado análisis y control de los riesgos, el gobierno falla.”

Un segundo aporta…

“ Gobierno = Gente Adecuada tomando decisiones Adecuadas.
Gestión del Riesgo = Mantener Informada a la gente Adecuada cuales son las Mejores Opciones.
Cumplimiento = Informar a la gente Adecuada que han tomado las decisiones Correctas”

El tercero y de alguna forma mi favorito…

“Buena pregunta! He oído a tantos mencionar que estos términos son utilizados de forma distinta que uno debe ser prudente, tanto al definir el término como al utilizarlo. Creo también que en la medida que este espacio continúe madurando, una forma más común de ser entendida emergerá. Solo espero que no le ocurra lo mismo que a la RSC.”

 

Finalmente, 3 personas piensan que es una farsa.

“No hay duda que el GRC es una fabricación del Complejo Industrial de la Consultoría Contable (ACIC, en sus siglas en inglés). Es, como máximo, un modelo ineficiente y absurdo de la realidad corporativa.
Si la industria de la consultoría contable pretende mantenerse relevante, deben buscar la manera de promover la innovación en la gestión racional en vez de retardarla.”

Otro sugiere…

“GRC = Great Risk Consequences o Great Revenue Opportunity!! (Riesgos con Grandes Consequencias o Gran Oportunidad de Ingresos)”

El último resume…

“Tiendo a estar de acuerdo con la idea que GRC significa algo distinto para cada persona. Dado el enorme ruido alrededor del término, como si del último disco o tendencia de moda se tratase capaz de solucionar todos los problemas. Creo que para alguno de ellos significa Growing Revenue Channel (Canal de Crecimiento de los Ingresos)”

 

Entonces, que significa todo esto?

Me gusta aquello que Lee Dittmar de Deloitte dice sobre los acrónimos y similares:

“En el cambiante y complejo océano de acrónimos, abreviaciones y otras abstracciones, siempre hay uno capaz de, simultáneamente encontrarse con afirmación y apatía, confirmación y confusión y con reconocimiento y rechazo.”

Para desmitificar el término GRC, CFO.com publicó un artículo que decía:

“GRC es una definición académica de la palabra ‘desorden’”

Personalmente me quedo con la definición de la OCEG y mi definición del principio. Creo que todo, especialmente la gestión del Riesgo, tiene que estar dentro del contexto de la mejora de los resultados, no tanto con su aumento, y eso es la esencia del Gobierno corporativo. Pero está claro que ésta NO es compartida por la mayoría de los que han participado en la consulta.

 

Mis conclusiones son:

  1. Cualquier conversación sobre el término GRC debería comenzar con una definición que explique cómo se utilizará el término. Es imposible establecer una comunicación efectiva mientras pensamos de forma distinta acerca de su significado.
  2. Cuando los fabricantes de soluciones de software utilizan el término GRC de forma que les facilita vender sus productos y servicios, esto solo añade confusión e incrementa la sensación que GRC es solo publicidad o una nueva manera de mejorar sus ingresos.
  3. Creo firmemente en el valor de la perspectiva GRC (Principled Performance) como forma de integrar operaciones de supervisión fragmentadas, incoherentes o redundantes.
  4. Como toda disciplina o término nuevo, su ejercicio y discusión acabará reuniendo a su comunidad alrededor de una definición común, ya sea ésta u otra que tenga sentido para todos.

Cómo definirías vosotros el GRC?

Aqui podréis leer todas las respuestas.
Aqui en el Blog de Norman Marks

 

Tagged with →  
Share →