Se ha señalado que gobierno, riesgo y cumplimiento: GRC es una capacidad que habilita la efectiva armonización para el logro de los objetivos abordando la incertidumbre y actuando con integridad, concepto que OCEG reconoce como Desempeño basado en principios. Es decir, el medio para el fin.
En otra palabras, GRC es la capacidad de armonizar el desempeño, enfocado al logro de los objetivos estratégicos, con los riesgos del negocio y operacionales que se asumen, dando cumplimiento a los requerimientos obligatorios y voluntarios. Esta perspectiva potencia el concepto del desempeño basado en principios y en la metodología GRCMaX® requiere armonizar cuatro ejes: desempeño, riesgo, control y cumplimiento.
Ahora la pregunta es cómo gobernar, gestionar y asegurar la efectividad del desempeño basado en principios, de manera que se logren estos derroteros propuestos. Pues es esa la misión de la perspectiva de Gobernanza que se desarrolla en el método GRCMaX a partir de cinco ejes: Gobierno, Dirección, Operación, Supervisión y Auditoría y es un conjunto de prácticas claves en el modelo de capacidad de GRC. Estos ejes materializan los roles y responsabilidades que van desde la identificación, definición y emisión de directrices y políticas para el logro de los objetivos estratégicos hasta monitorear y supervisar los resultados, pasando por las acciones y controles requeridos para lograrlo.
Estos ejes de la Gobernanza separan las actividades de Gobierno y Dirección, de las tres líneas de defensa: la primera que se centra en la operación misma que debe tener la capacidad de autocontrol, la segunda que se refiere a la supervisión y desarrolla las intervenciones de funciones y áreas de la organización que complementan la inspección y evaluación periódica, y la tercera que se fundamenta en la gestión de la auditoría interna.
Gobierno y Dirección. El objetivo del Gobierno y Dirección, puede referirse a toda la organización, o a un proyecto particular, se basa en aportar los criterios para la toma decisiones, emisión de objetivos a alto nivel y guías que permitan desarrollar estrategias y objetivos en forma más detallada. Estos objetivos no deben ser sólo para el logro del desempeño de la entidad en desarrollo de su modelo de negocios, sino también de cada área, de suerte que sus operaciones desarrollen e incluyan metas de desempeño, riesgo, control y cumplimiento. Establecer objetivos, en el marco de GRC, requiere el entendimiento del contexto en el cual opera la organización, los riesgos y requerimientos que aplica y las características de la organización que pueden afectar la capacidad de logro.
Estas funciones, roles y responsabilidades claves del Gobierno, deben ser consecuentes con los principios o buenas prácticas de gobierno corporativo, tratándose de proyectos que se acometen a nivel de toda la organización. De esta suerte, aspectos como garantizar la efectividad del control, formular y orientar las estrategias, asegurar el cumplimiento normativo, garantizar la confiabilidad de la información para terceros, imponer condiciones de trasparencia son parte de las directrices y políticas que se deben emitir y perseguir en la organización.[1]
Operación. El objetivo de la Operación, en igual sentido, puede referirse a toda la organización, o a un proyecto particular, y consiste en implementar las acciones y controles requeridos en las áreas o unidades de negocio, aplicando las guías e instructivos para el logro de metas tácticas y operacionales relacionadas con el desempeño, riesgo, control y cumplimiento. Estas funciones, roles y responsabilidades claves de la operación deben tener la capacidad de soportar el modelo de negocio y toman lugar en los procesos, los recursos, la información y la tecnología. Acciones de control, gestión y cumplimiento que se desarrollan en procesos, procedimientos e instructivos deben hacer efectivas las directrices y políticas.[2]
Supervisión y Auditoría. El objetivo de la Supervisión y Auditoría, ciertamente se basa en el aseguramiento de los objetivos y directrices que emanan del Gobierno y Dirección, evaluando la coherencia de las intervenciones de la Operación. El aseguramiento es una pieza clave de GRC. La diferencia, entonces, entre la Supervisión y la Auditoría, radica en el carácter de independencia y objetividad del examen. La objetividad se basa en la aplicación de estándares internacionales reconocidos y la independencia por el carácter del evaluador. Para el caso de la auditoría interna que soporta, de manera clave la gobernanza de GRC, se tienen que aplicar los principios relativos a la competencia del profesional, al desempeño del trabajo y a la efectividad de sus resultados.[3]
Ricardo Vásquez Bernal
Business Consulting
GRC Services
Baker Tilly Latam.
Julio de 2015.
[1] Dimensiones del eje de Gobierno en GRCMaX.
[2] Dimensiones del eje de Operación en GRCMaX.
[3] Dimensiones del eje de Auditoría en GRCMaX.