OCEG emitió hace varios años una versión del modelo de capacidad de GRC: V2.1, con el objetivo de apoyar a las organizaciones a desarrollar, a partir de prácticas y componentes, acciones y controles que contribuyeran a la integración del gobierno, la gestión y el aseguramiento del desempeño, riesgo y cumplimiento, con el objetivo de alcanzar el desempeño basado en principios.
En efecto, GRC no sólo puede describirse en término de su acrónimo: Gobierno, Riesgo y Cumplimiento, por cuanto es un concepto que involucra, por un lado, las responsabilidades inherentes y propias de la gestión y el aseguramiento para el desarrollo y logro de las políticas y directrices que sustentan la labor de gobierno. Por otro lado, no sólo se basa en potenciar las actividades del riesgo y cumplimiento, sino también del desempeño, que resultan fundamentales, por decir lo menos, para el logro de los objetivos del negocio. Estos elementos se acuñan en un concepto conocido como el desempeño basado en principios que emana de OCEG y significa el logro de objetivos confiable, abordando la incertidumbre y actuando con integridad.
Hablar de un modelo de capacidad implica reconocer una estructura y alineamiento de componentes y elementos que permiten la integración y orquestación de los procesos, información, recursos y tecnología con las estrategias corporativas, y éstas a su vez con las condiciones de incertidumbre que impone el contexto del modelo de negocio y los requerimientos obligatorios y voluntarios frente a las partes interesadas. Así pues, un modelo de capacidad es una herramienta estructural de apoyo para entender qué hacer y cómo ejecutar un proyecto de GRC, frente a objetivos puntuales de carácter general o específico.
La versatilidad requerida de este recurso ha exigido modificaciones a la anatomía y estructura del modelo de capacidad anterior -versión 2.1-, para presentar un nuevo esquema – versión 3.
La versión anterior -2.1- proponía una serie de componentes, elementos y prácticas que permitían potenciar varias acciones de diseño, evaluación, ejecución y monitoreo. Sin embargo, era complejo entender la interacción y alineación de componentes y prácticas. La nueva versión del modelo de capacidad -3.0- permite entender, en mejor forma, las relaciones entre la planeación estratégica y desempeño de los objetivos de negocios, así como entre estos y la gestión del riesgo y el cumplimiento. En igual sentido, presenta un lenguaje y una estructura más simplificada para precisar varios alcances y objetivos específicos de GRC.
Ricardo Vásquez Bernal
Business Consulting
GRC Services
Baker Tilly Latam.
Julio de 2015.