Dicen que identificar un problema, implica reconocer el 50% de la solución. Esta es una afirmación clave para GRC: Gobierno, Riesgo y Cumplimiento, porque es de hecho, una de las causas por las cuales las organizaciones no encuentran efectividad en muchos de sus proyectos corporativos relacionados con el logro de objetivos, la optimización de procesos, la gestión del riesgo operativo, la efectividad de los controles, la suficiencia del cumplimiento, las implementaciones de soluciones de tecnología, por citar algunos. El asunto es natural porque los problemas de las organizaciones son de origen complejo y con multitud de causas y consecuencias correlacionadas e interrelacionadas.
Así, adelantar un proyecto de GRC debe considerar tres elementos claves: El concepto, El método y el modelo. El concepto implica entender integralmente los elementos, alcances y beneficios de GRC, y cuáles son sus potencialidades. El método se refiere a la forma como debe encararse un proyecto de GRC, y el modelo es la definición de prácticas de referencia que apoyan el logro de un objetivo.
El concepto de GRC debe partir de reconocer que GRC no se limita a la aplicación de buenas prácticas de gobierno, riesgo y aseguramiento, soportados en las distintas regulaciones, como muchos lo entienden. Va mucho más allá. Es la capacidad de armonizar esas y otras prácticas para gestionar y asegurar, además de gobernar, no sólo el riesgo y el cumplimiento, sino también el desempeño para el logro de objetivos. Así, el valor agregado de la capacidad de GRC es la “armonización” por medio de una alineación, integración u orquestación de los conceptos, dependiendo del grado de madurez e involucramiento de los conceptos en acción.
De acuerdo con OCEG[1], la estructura general de GRC se puede ilustrar en un marco de referencia como el que se muestra a continuación, que debe conducir al desempeño basado en principios: el logro confiable de objetivos, abordando la incertidumbre y actuando con integridad.
El método de GRC aporta la forma cómo debe encararse un problema para identificar soluciones y alternativas viables. Se planteó que la organización es de naturaleza sistémica y por ende incorpora múltiples y complejas interrelaciones y correlaciones del gobierno, la gestión y el aseguramiento del desempeño, el riesgo y el cumplimiento que se evidencian en forma distinta en las estrategias, los procesos, las personas, la tecnología y la información. La premisa es que identificar alternativas requiere decantar un problema en su causa original.
La aplicación de un método de GRC exige separar una problemática en sus partes para identificar el origen. Baker Tilly desarrolló una metodología denominada GRCMaX[2] que apoya este proceso mediante un análisis sistémico basado en cuatro perspectivas: El desempeño basado en principios, la gobernanza, la arquitectura empresarial y el alcance.
Como se advierte, todas las perspectivas están interrelacionadas de manera que será preciso identificar los elementos que pueden estar comprometidos[3]. Esta visión permitirá identificar un problema y encontrar una solución a partir de varios puntos de vista convergentes. La perspectiva de desempeño basado en principios se refiere al carácter de un objetivo basado en el desempeño, riesgo y cumplimiento. Un elemento clave a considerar es que incorpora el eje de control. Por su parte, la perspectiva de gobernanza se refiere al carácter de aseguramiento para el logro y por ende, desarrolla los ejes de alta dirección, operación y supervisión, como elementos de la gestión, en coherencia, con las buenas prácticas y estándares de gobierno y aseguramiento. La perspectiva de arquitectura empresarial considera el carácter de los objetos intervenidos o dominios que pueden estar comprometidos, bien desde la intención: la estrategia o directrices, hasta su operación: la organización y recursos, los procesos, la información o la tecnología. Finalmente, la perspectiva del alcance se refiere al carácter de una jurisdicción específica de un problema, que puede ser la organización entera, un área, un proyecto, un proceso o una función.[4]
El método deberá identificar el origen de un problema y las alternativas de solución. Para tal efecto, plantea una serie de pasos que parten de la construcción de un diagnóstico de situación o estado de madurez – as is- y la definición de rutas críticas y resultados esperados. La dinámica posterior implica estructurar las etapas consecuentes como un proyecto.
Finalmente, el modelo de GRC es un conjunto de prácticas que debe apoyar la alternativa y solución identificada para el logro de un objetivo específico. OCEG ha emitido un modelo de capacidad conformado por componentes y elementos que definen las prácticas que permiten el desarrollo eficiente de un proyecto. La versión reciente – 3.0, en proceso de emisión, incorpora cuatro componentes y sus prácticas para entender, alinear, ejecutar y examinar los avances y resultados propuestos en un proyecto específico de GRC.
Las prácticas se organizan de manera que permitirá identificar las acciones más convenientes para entender los contextos y definir los objetivos, alinear los requerimientos y desafíos, ejecutar acciones y controles requeridos y examinar y monitorear los resultados esperados. Por supuesto, estás prácticas son una referencia y deben complementar, todas las otras que la organización considere de naturaleza específica ante un problema identificado, a partir de su causa original.
Ricardo Vásquez Bernal
Business Consulting
GRC Services
Baker Tilly Latam.
Julio de 2015.
———————-
Notas al pie
[1] Open Compliance and Ethics Group. www.oceg.org
[2] GRMaX es una metodología para optimizar la madurez de GRC.
[3] Las perspectivas se desarrollan en ejes. Los ejes se dividen en dimensiones, atributos, prácticas y subprácticas que se determinan por los estándares y buenas prácticas de aplicación y madurez de cada eje.
[4] Ver fundamentos de GRC. www.grcenespanol.com.