Empecemos por definir una sería de conceptos que nos pongan en contexto.
¿Qué es el Gobierno Corporativo?
"El concepto de gobierno corporativo se refiere al conjunto de principios y normas que regulan el diseño, integración y funcionamiento de los órganos de gobierno de la empresa, como son los tres poderes dentro de una sociedad: los Accionistas, Directorio y Alta Administración." Wikipedia.
El alcance del Gobierno corporativo podemos visualizarlo de una manera general en la siguiente imagen:
· Los ejecutivos y directores están siendo obligados a mantener altos estándares y niveles de responsabilidad dentro de la organización desarrollando estrategías que aporten beneficios a la misma.
· Los costos de cumplimiento se han incrementado a raíz del volumen y la complejidad de las leyes, normas y regulaciones.
· Los grupos de interés (Gente) son más activos y más demandantes de información.
· Se demanda mayor transparencia por parte de toda la organización
· El riesgo existe, pero es necesario gestionarlo y no evitarlo para obtener beneficios
· La rapidez y consecuencia con la que se dan los eventos de riesgo se incrementa día a día.
GRC: Gobernance & Risk & Compliance
Lógicamente en cada organización abarca responsabilidades diferentes. En este documento trataremos de dar una visión general del mismo. Las siglas de GRC se traducen en integrar el Gobierno, la administración de riesgos y el cumplimiento de la normativa de una organización integrando personas, procesos y tecnología.
Gobierno: (Governance): describe el enfoque general de gestión a través del cual los altos directivos dirigen la organización, mediante la combinación de información y estructuras de control de gestión que permitan la toma de decisiones adecuada garantizando la estrategia definida.
Riesgo (Risk): es la gestión del conjunto de procesos mediante los cuales la administración identifica, analiza y, en su caso, responde a los riesgos que puedan afectar negativamente a la consecución de los objetivos identificados en la estrategia de la organización. Las organizaciones deben controlar una amplia gama de riesgos: riesgos tecnológicos; riesgos comerciales / financieros; riesgos de seguridad de la información...etc. Los riesgos legales y regulatorios externos son posiblemente, la cuestión clave en GRC.
Cumplimiento (Compliance): significa "conforme a los requisitos establecidos". Se trata de la gestión de procesos que permiten identificar los requisitos que se deben aplicar (definidos por ejemplo en leyes, reglamentos, contratos, estrategias y políticas), evaluar el estado de su cumplimiento, evaluar los riesgos y los costos potenciales que nos puede ocasionar el no cumplimiento de los mismos y por tanto poder priorizar y poner en marcha las medidas correctoras que se consideren necesarias
El enfoque que aporta GRC, cubre la gestión tipificada en: La gerencia estratégica, La gerencia de procesos y la gerencia de costos.
En definitiva, se trata de:
· Conocer y priorizar expectativas de los grupos de interés (personas)
· Fijar objetivos de negocio congruentes con su valor y su riesgo
· Alcanzar objetivos mientras se optimiza el perfil de riesgo y la protección del valor
· Operar dentro de límites legales, contractuales, sociales y éticos
· Proveer información apropiada, relevante y confiable a los grupos de interés
· Posibilitar la medición del desempeño y la efectividad del propio sistema
Segmentación de GRC:.
Un programa de GRC puede ser constituido e integrado en el gobierno corporativo de la organización, utilizando un marco único que evite la posibilidad de gestionar correcciones duplicadas. Aun así, la mayoría de las organizaciones optan por segmentar este programa en tres: GRC Financiero, GRC TI y GRC Legal, aunque existen otros "subprogramas" que son implementados también frecuentemente en las organizaciones como por ejemplo: GRC Riesgos (Gestión de Riesgos Corporativos).
· GRC Financiero: Garantiza el correcto funcionamiento de todos los procesos financieros, así como el cumplimiento de las regulaciones relacionadas con el mundo de las finanzas.
· GRC TI: Garantiza que la TI (Tecnología de la información) apoya las necesidades actuales y futuras de la organización, cumpliendo con todas las políticas y leyes regulatorias.
· GRC Legal: Se centra en unificar los tres programas a través de un departamento Jurídico y de cumplimiento de la organización.
GRC: Metodologías y Procesos.
El enfoque que realiza GRC se basa en la implementación de metodologías que ayuden al Gobierno Corporativo a:
· Identificar la Responsabilidad de los órganos de gobierno
· Identificar Roles y Responsabilidades claramente identificados en la organización
· Definir de manera común el riesgo
· Generar un enfoque común en la visión de los objetivos de la organización
· Posibilitar responsabilidad en la gerencia ejecutiva y en las unidades de Negocio
· Disponer de una Arquitectura e Infraestructura acorde a la demanda
· Asegurar y Monitorizar la Infraestructura
· Asegurar una buena gestión y escalado con los grupos de soporte de la organización.
Estado actual de GRC
En algunas organizaciones el estado actual del GRC es desorganizado, innecesariamente complejo y con una estructura fragmentada, que se traduce en una organización:
· Manejada en silos
· Mayormente reactiva
· Gestión de Proyectos unitarios (Task-Force) en vez de Programas
· No integrada con procesos centrales y la toma de decisiones
· Propensa a errores - TI fragmentada y limitada
· Ofreciendo Soluciones "puntuales" usadas para diferentes proyectos
Proceso de mejora continua GRC
Existen modelos de mejora continua para el GRC. Personalmente creo que el que detallo a continuación expone las características básicas de mejora continua que pueden aportar madurez al programa GRC. Este modelo se divide en tres fases fundamentales:
· Fase 1: Aplicar enfoque basado en riesgos
· Fase 2: Racionalizar controles existentes y rediseñar los procedimientos si es necesario
· Fase 3: Apoyarse en la Tecnología
· Fase 4: Estandarizar y centralizar procesos de GRC
La Fase 1 consiste en identificar oportunidades de ahorro eliminando "waste" (residuo) como dicen metodologías como LEAN. Este análisis consiste en identificar áreas de bajo riesgo que tienen alojados esfuerzos y costos desproporcionados.
Para ello, se tienen que tener en cuenta los siguientes aspectos:
· ¿Se realizó una evaluación previa de riesgos?
· ¿Han sido establecidas las definiciones de control en forma estandarizada a lo largo de toda la organización?
· ¿Se ha desarrollado un programa para el traspaso de la responsabilidad de cumplimiento a las áreas de negocio?
· ¿Están entendidas las áreas de mayor riesgo de cumplimiento?
· ¿Fueron identificadas las áreas de mayor esfuerzo de cumplimiento?
· ¿Fueron gestionadas los "gaps" de manera efectiva (desde el punto de vista costo-beneficio)?
Una correcta consideración de estos aspectos permitirá alinear las soluciones con el programa de cumplimiento de la organización, aumentando los beneficios y reduciendo los costos en diferentes áreas.
La Fase 2 consiste en racionalizar controles existentes.
Las diferentes regulaciones a las que nos enfrentamos día a día, tienen muchos requerimientos comunes entre sí. Seguir gestionando el cumplimiento con aproximaciones "ad-hoc" individuales en cada área de trabajo y con cada una de las regulaciones existentes, genera actividades redundantes y un uso ineficiente de recursos. Esta fragmentación que se suele utilizar en las organizaciones, lo que genera que esta gestión se haga insostenible en cuanto a tiempo y costes.
Así mismo esta fragmentación no permite que los ejecutivos dispongan de una foto completa de los riesgos y los costos que se derivan del cumplimiento. Sólo disponen de aproximaciones del rendimiento que dedican las áreas de trabajo individuales para el cumplimiento de los controles.
Desarrollar una aproximación a un proceso de Cumplimiento unificado e integrado con los procesos de Gobierno Corporativo y la Gestión de Riesgos reduce la complejidad, los controles duplicados, además de evitar esfuerzos y costos redundantes.
La Fase 3 Apoyarse en la Tecnología
Deben considerarse herramientas y tecnologías que nos ayuden a gestionar el cumplimiento, realizar controles automatizados y poder monitorizar de manera continua los activos y recursos de la organización.
Esta gestión ofrece mayor confiabilidad, un mejor diseño de control a través del mayor uso de controles preventivos y estandarizados, una mejor eficiencia en el funcionamiento y operación de los controles, y por tanto una mayor transparencia en el proceso de cumplimiento, pudiendo aportar mayor claridad en la responsabilidad de cada área.
La Fase 4 Estandarizar y centralizar procesos GRC
Teniendo en cuenta aspectos que pueden diferenciar a cada organización como pueden ser la cultura interna, el ámbito y contexto del desarrollo de la actividad, en cuanto a la gestión y el cumplimiento de determinadas leyes, políticas y regulaciones, siempre va a ser necesario realizar una centralización y estandarización de los procesos GRC que nos ayuden a conseguir resultados orientados a :
· Lograr objetivos marcados por la organización
· Mejorar la cultura organizacional
· Incrementar la confianza de los grupos de interés
· Preparar y proteger la organización
· Prevenir, detectar y reducir la adversidad
· Motivar e inspirar una conducta deseada
· Mejorar la responsabilidad y eficiencia
· Optimizar el valor social y económico
Habitualmente a la hora de conseguir esta estandarización o centralización nos encontramos con los siguientes problemas o desafíos a los que adjunto inicialmente una aproximación a la solución:
· Problema / Desafío: Mantener una gran cantidad y diversidad de documentación -> Aproximación / Solución: Estandarizar y Consolidar la documentación en un único repositorio interrelacionado
· Problema / Desafío: Probar gran cantidad de controles en forma rutinaria y confiar en el cumplimiento en el tiempo de controles manuales -> Aproximación / Solución: Robustecer procesos de self -assessment, automatizar controles e incrementar controles de supervisión.
· Problema / Desafío: Interactuar con procesos y sistemas no estandarizados -> Aproximación / Solución: Estandarizar controles y contenidos de control
· Problema / Desafío: Gestionar la segregación de funciones -> Implementar controles preventivos y detección proactiva (Gestión de roles y responsabilidades, realizar evaluaciones periódicas, remplazos, etc...)
· Problema / Desafío: Gestionar y monitorizar el proceso de compliance -> Incorporar certificaciones periódicas por parte de los owners
· Problema / Desafío: Lograr la transición del ownership a las unidades del negocio -> Apoyar el cumplimiento de las obligaciones en herramientas y tecnología de mercado.
Estado Futuro
Se puede conseguir. Todos los días mejoramos actividades que realizamos. Centrémonos en madurar aquellas que impactan de manera general en el organización que nos facilite:
· Aproximación integral de toda la organización
· Un proceso de GRC integrado con los procesos centrales y la toma de decisiones
· Uso efectivo de TI
· Reducción de costos de cumplimiento
· Mejor Gestión de Riesgos
No hay comentarios:
Publicar un comentario