Actualmente las organizaciones están bajo fuertes presiones para mejorar sus gobiernos corporativos, alcanzar altos niveles de rendimiento, cumplir con los requerimientos regulatorios e implementar una gestión integral de administración de riesgo. Sin embargo, a menudo la implementación de estas buenas prácticas es algo esquiva dentro de una empresa. Entre las razones que explican el fenómeno está el que la gobernabilidad a menudo se encuentra separada de los procesos de negocio y del flujo de información. También que la administración de riesgos se basa en evaluaciones estáticas y por silos dentro de alguna unidad de negocio o área funcional, generalmente con esfuerzos aislados, sin una mirada integral. A su vez, el cumplimiento, ya sea regulatorio o autodefinido, posee un enfoque redundante, con controles manuales e informes duplicados acerca del negocio.
GRC, el nuevo concepto
Una de las formas de evitar estos problemas es el establecimiento de un marco conceptual que integre las visiones de Gobernabilidad, Gestión de Riesgo y Cumplimiento (GRC – Governance, Risk & Compliance), que les permita trabajar como funciones relacionadas, con perspectivas comunes y de una manera integrada. Un enfoque integrado de GRC ayudará a las organizaciones a superar los silos existentes, sean éstos a nivel de unidades de negocio, organizacionales o procesos de negocio, mejorando a su vez el proceso de toma de decisiones.
Dicho de otro modo, las funciones de GRC deben avanzar desde una situación aislada, separada de los procesos de negocios y de la toma de decisiones, con una baja utilización de tecnología; hacia un enfoque integral, con un marco definido, con mejor calidad de la información, integración con los procesos de negocio y toma de decisiones, y utilización más extensa de la tecnología.
Sin embargo, esto no es posible si no se aborda, en forma simultánea, el necesario cambio en la cultura de la organización (GRC + C), que permita establecer un clima organizacional que promueva la confianza, la integridad y la responsabilidad.
Por qué las TI son un factor de éxito clave
Ya que la mayoría de los datos que soportan el modelo de GRC residen en aplicaciones tecnológicas, las TI juegan un rol central en su implementación. Su incorporación permite transformar los datos en información poderosa para toma de decisiones, y monitorear su comportamiento con indicadores de riesgo.
Los beneficios de la utilización extensiva de TI en la implementación y sustentación de GRC son:
• Sustentar el cumplimiento de las leyes, regulaciones, estándares y políticas.
• Proveer información de alta calidad para un gobierno corporativo y administración del riesgo efectivos.
• Disminuir el impacto e implicancias de los aspectos de gobernabilidad, administración de riesgo y cumplimiento, considerando el grado de dominancia que poseen las TI en las organizaciones.
Plan Director
Para implementar y sustentar el marco conceptual de GRC y su tecnología asociada, las organizaciones deben definir un Plan Director:
• Establecer una visión y marco conceptual de cómo se integra GRC dentro de los procesos de negocio.
• Identificar dónde pueden ser automatizados los procedimientos de gestión de riesgo y cumplimiento.
• Evaluar las capacidades de los actuales sistemas e identificar cómo podrían ser mejoradas.
• Presentar alternativas para establecer las prácticas GRC actuales y/o futuras, como parte de las actividades rutinarias de la organización.
• Identificar áreas donde la tecnología puede ser capaz de proveer una proactiva administración de riesgo.
• Sugerir cómo se puede mejorar la seguridad e integridad de los sistemas e información crítica.
Es importante destacar que un nivel más avanzado de GRC permite beneficios como menores costos de cumplimiento, menos exposición al riesgo, mayor calidad de la información y confianza de los inversionistas y organismos reguladores.
