Gobierno, Riesgo y Cumplimiento es un estándar superior que se ha venido desarrollando e implementando, en varias organizaciones públicas y privadas del planeta, promovido por instituciones de origen gubernamental y académicas para promover la integridad, la gestión de la incertidumbre y el logro de objetivos, de una manera racional y basada en principios. La razón fundamental se centra en que, de lejos, es una práctica que resuelve tres de los problemas más significativos que vienen afectando la sostenibilidad de las empresas contemporáneas:
a) Excesivos costos de operación que se derivan de ineficiencias de procesos, actividades redundantes, silos de operación, controles inefectivos, modelos y metodologías dispersas para la generación y acumulación de información y prestación de servicios, desarticulación entre los objetivos estratégicos y el modelo de operación. La condición es que cuando las empresas crecen se van haciendo más ineficientes porque estos mayores costos no pueden trasladarse a los ingresos, de manera que empiezan a asumir problemas de capacidad financiera y patrimonial. Este factor puede entenderse como el impacto del gobierno y gestión del desempeño.
b) Volumen de requerimientos de normas y procedimientos sobre temas fiscales, comerciales, de servicio, para partes interesadas y terceros que deben ajustarse a distintas regulaciones de control, gestión de calidad, reportes financieros, riesgos y gobierno corporativo, que implica, entre otros aspectos la aplicación de prácticas, asignación de áreas, responsabilidades y roles, así como presiones tecnológicas. Este factor puede interpretarse como el impacto de la integridad.
c) Exposición a riesgos e incertidumbres que la empresa no está en condiciones de identificar, y mucho menos medir para mitigar, que en muchos casos tienen el efecto demoledor sobre la reputación, los objetivos del negocio, la liquidez, los activos y la operación. Las acciones que las empresas aplican son planes de continuidad, contingencias y controles que, en muchos casos, son de poco impacto frente a las pérdidas que deben asumir por la materialización de eventos adversos. Este factor puede interpretarse como el impacto de la incertidumbre.
Para enfrentar estos factores, de manera integral y orquestada, es que se propone el estándar de Gobierno, Cumplimiento y Riesgo – GRC- y se define como “la capacidad” que tiene la empresa para lograr sus objetivos empresariales, de una manera confiable, abordando la incertidumbre y actuando con integridad. Es decir, mediante la orquestación de las distintos estándares y prácticas que afectan el orden y la operación empresarial: a) Gobierno Corporativo, b) Desempeño, c) Control Interno, d) Gestión de Calidad, d) Riesgos empresariales, e) Cumplimiento y f) Auditoría y aseguramiento. La propuesta, entonces, del estándar de GRC es que las empresas deben gobernar, gestionar y asegurar el desempeño, el riesgo y el cumplimiento de manera orquestada e integrada. Es decir, que además de gestionar el desempeño, debe gobernarlo y asegurarlo, pero en el mismo sentido debe gobernar, gestionar y asegurar el riesgo, como se advierte en la gráfica siguiente. Es la condición de hacer y forma de ser de la organización.
Pero implementar esta estrategia de integración y orquestación requiere conocer, previamente, el estado de maduración de un concepto denominado “arquitectura empresarial”, que es la infraestructura que configuran la organización: a) la tecnología, b) los procesos, c) la información, d) los recursos físicos, humanos y financieros, y e) el conocimiento, la estructura y la estrategia.
En otras palabras, el modelo de negocio se refiere a la forma de ser y hacer -GRC- sobre una determinada arquitectura empresarial. De manera que no sólo se trata de gobernar, gestionar y asegurar el desempeño, riesgo y cumplimiento sino, también considerar el estado de maduración y eficiencia de los procesos, la tecnología y la información, así como la disponibilidad y suficiencia de los recursos. Esto lo que quiere representar, es que las empresas tienen distintos niveles de maduración que pueden explicarse en distintas combinaciones que pueden explicarse en situaciones como:
a) eficientes sistemas de gobierno y gestión pero sobre pobres condiciones de arquitectura como son procesos débiles e incoherentes o tecnología de bajo impacto. La triste conclusión es que lo primero no tiene la capacidad de cambiar lo segundo, y la empresa, por más esfuerzos que haga estará sumida en la mediocridad.
b) eficientes sistemas de información, procesos y tecnología pero montados sobre frágiles sistemas de gobierno, gestión y aseguramiento del riesgo, por ejemplo. Otra vez una conclusión de poco valor para la empresa y es que lo segundo no es capaz de potenciar lo primero, y la empresa, por más esfuerzos que haga no verá resultados impactantes en sus objetivos empresariales. De hecho, es probable que la eficiencia de procesos se pierda en gestiónes burocráticas.
El corolario es que el crecimiento, mejoramiento continuo, desarrollo empresarial, gestión del cambio o como se quiera llamar, en el mundo empresarial, debe incorporar un diagnóstico del estado de madurez del GRC Integral, de manera que incorpore tanto la situación individual como integrada de los elementos de su GRC – gobierno, gestión, aseguramiento, desempeño, riesgo, control y cumplimiento, como de la situación individual e integrada de los elementos de su arquitectura empresarial: procesos, tecnología, información, recursos y estrategia, aplicando alguna de las metodologías reconocidas para el efecto- riskocam.
Un diagnóstico integral puede establecer, como en un chequeo médico, cual es el comportamiento global de los distintos órganos y cuál puede ser la enfermedad que padece una empresa, desde el punto de vista integral, antes de recomendar el tratamiento. Sólo así se entenderá cual será el sentido del esfuerzo futuro que deberá asumir la empresa, y con mayor consciencia establecer el plan estratégico de GRC.
Ricardo Vásquez Bernal
Magister en Economía y Finanzas
Socio de Baker Tilly Colombia Consulting
rvasquez@bakertillycolombia.com