No sobra advertir, como introducción que entendemos GRC, como un medio, con la capacidad de armonizar el desempeño, enfocado al logro de los objetivos estratégicos, con los riesgos del negocio y operacionales que se asumen, dando cumplimiento a los requerimientos obligatorios y voluntarios. Esta perspectiva potencia el concepto del desempeño integral que bien puede alinearse con el concepto basado en principios y en nuestra metodología GRCMaX® [1] requiere armonizar cuatro ejes: desempeño, riesgo, control y cumplimiento.
Estos ejes materializan el fondo y la forma de lograr los objetivos estratégicos, asumiendo y monitoreando los riesgos del negocio y operacionales pertinentes, enfrentando los niveles de efectividad de control requeridos y la conformidad esperada de cumplimiento, tanto de los requerimientos obligatorios como voluntarios. Es por ende, una perspectiva fundamental en el desarrollo de GRC, que se desarrolla en los dominios de la arquitectura empresarial: las decisiones, información, procesos, recursos y tecnología, salvaguardando los principios de gobernanza que requieren separar el gobierno, la gestión y el aseguramiento.
La madurez de la perspectiva de desempeño integral, a partir de los ejes comentados del desempeño basado en principios, debe demostrar cuatro condiciones:
a. La aplicación de los estándares y buenas prácticas inherentes al desempeño, el riesgo, control y cumplimiento.
b. La coherencia de tales prácticas con el modelo de capacidad de orquestación de GRC.
c. La integración de los ejes con las prácticas reconocidas de estrategia, procesos, organización, información, recursos y tecnología.
d. La aplicación de los principios y requerimientos de la perspectiva de gobernanza.
Desempeño. El objetivo del eje del desempeño es, sin duda, el logro de los objetivos del negocio. Cumplir con esta misión hace preciso tomar en cuenta las dimensiones propias de la gestión de calidad, del desempeño estratégico y de la efectividad del modelo de operación. Las dimensiones propias de la gestión de calidad incorporan un modelo de negocio enfocado al cliente, de origen sistémico, basado en procesos, el mejoramiento continuo e información relevante para la toma de decisiones. Por otra parte, considera el liderazgo, la participación del personal y el adecuado relacionamiento con las partes interesadas.[2]
Ahora bien, las dimensiones requeridas del desempeño estratégico imponen precisiones a la definición, gestión y monitoreo de los objetivos basados en indicadores generados de la operación. Así mismo, las dimensiones del modelo de operación se refieren a los requerimientos de los procesos, la información, la tecnología, la organización y los recursos para soportar la gestión de los recursos y la toma de decisiones para el logro de los objetivos propuestos.[3]
Riesgo. El objetivo del eje de riesgo es hacer de la organización un modelo de negocio sostenible en el largo plazo, monitoreando, asumiendo y gestionando las desviaciones propias de la incertidumbre. Las dimensiones propias del eje en comentario que hacen posible este objetivo, deben basarse en los requerimientos que impone un estándar de gestión de riesgos, así como las prácticas propias de un modelo de madurez de riesgo, por lo menos.
En efecto, elementos como la identificación, evaluación y medición de los riesgos, propios de un estándar regular[4] que tiende a estructurar un proceso de gestión de riesgos, juegan un papel clave, a la par de otros elementos propios de prácticas de madurez como una la existencia de una disciplina analítica de datos, causas y consecuencias, la alineación de los riesgos con objetivos estratégicos y operacionales, el establecimiento de niveles de apetito y capacidad de riesgo y la capacidad de resiliencia organizacional, teniendo en cuenta planes de contingencia y continuidad.[5]
Control. El objetivo del eje de control implica la preservación y protección de los recursos tangibles e intangibles que conforman el negocio en marcha. Las dimensiones propias del eje de control, deben basarse en los componentes que impone un estándar de gestión de control, teniendo en consideración las prácticas para el aseguramiento de tecnología y gestión de la información.
Componentes reconocidos como ambiente de control, la evaluación de riesgos, las actividades de control, las actividades de supervisión y monitoreo, y la información y comunicación configuran las dimensiones del eje de control[6], en coherencia con los estándares que orientan le requerida efectividad del sistema de control para enfrentar, primero, los riesgos y segundo, para continuar al logro de los objetivos[7].
Cumplimiento. El objetivo del eje de cumplimiento, implica no solo la garantía del cumplimiento sobre los requerimientos normativos de origen obligatorio, sino también de la conformidad organizacional sobre los compromisos voluntarios, incluyendo niveles óptimos de integridad y trasparencia en el desarrollo de las operaciones de la organización. En suma, es más que cumplir normas.
Las dimensiones propias del eje de cumplimiento, deben basarse en el conjunto de normas, requerimientos y compromisos que la organización asume. Las regulaciones imponen obligaciones que deben estructurarse en prácticas y estás, a su vez, conforman el carácter de una dimensión. Si se toma, por ejemplo, una norma de reporte debe garantizarse el proceso de generación, la consistencia e integridad [8]. Así mismo, normas como de personal requieren condiciones de contratación, formación y aseguramiento.
Ricardo Vásquez Bernal
Business Consulting
GRC Services
Baker Tilly Latam.
Agosto de 2015.
Notas al pie:
_____________
[1] GRCMaX es un método de optimización de GRC.
[2] Estándar ISO 9000 de gestión de calidad es una base reconocida.
[3] Prácticas de Arquitectura TOGAF y modelos de estrategia como Balanced Scorecard.
[4] Estándar ISO 31000 y Basilea.
[5] Prácticas de madurez de riesgo RISM.
[6] Estándares COSO.
[7] Estándares COBIT.
[8] Norma SOX, IFRS.