En la actualidad las empresas requieren establecer marcos de gobierno corporativo, riesgo y cumplimiento (GRC) correctos, no solo para lograr una mayor transparencia entre los diferentes órganos de Gobierno Corporativo, sino para cumplir con las regulaciones relacionadas.
En este artículo se darán a conocer los tres elementos claves en las estrategias de implementación y mejoramiento de estos marcos de GRC incluyendo ejemplos. Estos tres elementos claves son el Concepto, el Método y el Modelo.
Concepto:
El primero es el Concepto de GRC, el cual implica entender integralmente sus elementos, alcances, beneficios y potencialidades.
GRC es la capacidad de armonizar la aplicación de buenas prácticas de gobierno, riesgo y aseguramiento, soportados en las distintas regulaciones, y otras prácticas para gobernar, gestionar y asegurar, no solo el riesgo y el cumplimiento, sino también el desempeño para el logro de los objetivos.
Elementos:
La estructura general del GRC se puede ilustrar en un marco de referencia como el que se muestra a continuación, pues conduce al logro confiable de objetivos, abordando la incertidumbre y actuando con integridad.
Alcances:
- Definición clara de roles del Consejo de Administración y sus Comités, la Dirección y el resto de la empresa, en relación con la supervisión, estrategias de gestión de riesgos y ejecución estratégica del cumplimiento de leyes, regulaciones, políticas y procedimientos internos.
- Mayor entendimiento de los requerimientos de los accionistas en términos de desempeño, cumplimiento y alineamiento de la organización para lograr objetivos institucionales.
- Mayor coordinación para la medición de los objetivos, valoración de riesgos y cumplimiento para alcanzar la mejora continua.
Beneficios:
- Mediante la incorporación de medidas de control y participación de los accionistas, se favorece la gestión responsable de la compañía.
- Confianza en los mercados y entre los inversores, que prefieren depositar sus activos en empresas que demuestren tener un gobierno sólido.
- Las empresas que disponen de buenos códigos de Gobierno Corporativo suelen llevar una administración más eficiente, aprovechan mejor los recursos y disponen de políticas laborales más justas, lo que redunda en mayor competitividad y más valor dentro del mercado.
- Las compañías adquieren estructuras más sólidas, en las que se toman decisiones ágiles y se evitan riesgos.
Potencialidades:
- Un correcto código de Gobierno Corporativo, riesgo y cumplimiento (GRC) creará una cultura adecuada en la compañía. Esto no solo aumenta el valor de la misma frente a los mercados y los inversores, sino que llamará la atención de todos los stakeholders. Como consecuencia, también aumentará la reputación frente a clientes, proveedores, empleados y la sociedad en general.
- La puesta en marcha de normativas y códigos de buenas prácticas buscan fomentar el equilibrio entre los intereses de las compañías y el de la sociedad.
Método:
El método se refiere a la forma en que debe encararse una estrategia de implementación o mejoramiento de GRC, analizando un problema para identificar soluciones y alternativas viables.
Este método está basado en que la organización es de naturaleza sistémica y por ende incorpora múltiples y complejas relaciones entre el gobierno, la gestión, el aseguramiento del desempeño, el riesgo y el cumplimiento; lo que se evidencia en forma distinta en las estrategias, los procesos, las personas, la tecnología y la información.
La aplicación de este método exige separar una problemática en sus partes para identificar el origen y sus alternativas de solución.
Según lo definido por Baker Tilly, las capacidades que deben ser integradas y articuladas para realizar un análisis sistémico en determinada problemática son:
- Gobernanza: La capacidad de gobernar, gestionar y asegurar los resultados. Se desarrolla mediante los ejes de Gobierno, Dirección, Operación, Supervisión y Auditoría.
- Desempeño Integral: La capacidad de lograr los objetivos abordando la incertidumbre y actuando con Integridad. Se desarrolla mediante los ejes de Desempeño, Riesgo, Control, Cumplimiento.
- Arquitectura Empresarial: La capacidad de alinear la intención del negocio con la operación. Se desarrolla mediante los ejes de Estrategia, Recursos, Procesos, Información, Aplicativos y Tecnología.
Una perspectiva adicional para tener en cuenta es el Alcance, que se refiere a la ubicación específica de un problema, que puede abarcar la organización entera, un área, un proyecto, un proceso o una función.
Para identificar el problema y las alternativas de solución se deben seguir una serie de pasos que parten de la construcción de un diagnóstico de situación o estado de madurez y la definición de rutas críticas y resultados esperados. Posteriormente, se estructuran las etapas consecuentes como un proyecto.
Diagnósticos:
Se han definido 4 tipos de diagnósticos:
- Diagnóstico de Alto Nivel: Pretende reconocer la capacidad global de GRC que tiene la empresa, a partir de los grandes temas e hitos que una organización debe mostrar para garantizar ciertos niveles de madurez, de integración y de sostenibilidad.
La evaluación del Diagnóstico de Alto Nivel permite generar una vista del Resultado Global de la Capacidad de GRC de la empresa, así como los niveles de madurez de las 3 capacidades de GRC: Desempeño Integral, Arquitectura empresarial y Gobernanza - Diagnóstico Estructurado: Permite evaluar cada uno de los ejes (15) que conforman la metodología (Gobierno, Dirección, Operación, Supervisión, Auditoría, Desempeño, Riesgo, Control, Cumplimiento, Estrategia, Recursos, Procesos, Información, Aplicativos y Tecnología). Los resultados de un Diagnóstico estructurado de GRC tienen la virtud de demostrar no solo la madurez de cada eje, sino también de las dimensiones que lo conforman y de las causas determinantes. Esto se logra a partir del conjunto de atributos que debe tener cada dimensión con base en los estándares y prácticas internacionales.
- Diagnóstico del Sistema: Pretende explicar la causa de los problemas, las correlaciones y efectos entre métodos, y la evidencia de las prácticas necesarias y requeridas de implementación. En función de un diagnóstico de alto nivel, y de un diagnóstico estructurado, la organización comprende cuál es el sistema que debe enfrentar para lograr una optimización y salto de madurez corporativa. Un sistema, más que un eje, implica considerar no solo dimensiones, atributos y prácticas de marcos de referencia propios, sino también de otros marcos de referencia reconocidos que exigen y requieren una intervención del sistema para fines complementarios y colaterales.
- En los resultados de este diagnóstico puede establecerse el estado de capacidad de cada sistema, la madurez de cada dimensión, el grado de implementación y aplicación de los atributos y, por ende, de las prácticas que promueven los marcos de referencia.
- Diagnóstico por marco normativo: Pretende evaluar el grado de aplicación de determinada normativa como lo puede ser NTC ISO/IEC 27001 para un sistema de gestión de seguridad de la información, ISO 9004 para los sistemas de gestión de la calidad, entre otros. Como resultado se obtendrá un estado de madurez de GRC y un programa con las prácticas a desarrollar.
Diseño:
Los resultados de los Diagnósticos permiten tomar decisiones para diseñar un plan de acción que esté orientado, además de perseguir los logros esperados del sistema, a alcanzar un salto de madurez GRC. Con las definiciones específicas de cada práctica se construye un cronograma de trabajo que está conformado por iniciativas. Cada iniciativa puede ser un conjunto de prácticas preparadas con objetivos diversos y responde a soluciones coherentes que requiere la organización y se desprenden del análisis de los distintos diagnósticos.
Implementación:
La implementación efectiva de las prácticas, en función de su jerarquía, atributo, dimensión, eje y capacidad conduce a la organización al logro de distintos saltos de madurez, siendo este último, uno de los indicadores de diseño y ejecución de un proyecto de GRC.
La secuencia cronológica de la implementación corresponde a las respuestas dadas por la organización a las siguientes preguntas:
- ¿Qué quiere lograr?
- ¿Cómo lo quiere lograr?
- ¿Cuándo lo quiere lograr?
- ¿Con qué recursos, métricas e impactos esperados?
Resultado:
Los resultados se reflejan en saltos de madurez que se logran a nivel global a través de sistemas, capacidades, marcos normativos, dimensiones o atributos; como quiera que la consistencia, coherencia y relacionamiento de las prácticas, de manera transversal, dentro de los marcos, lo permite.
Modelo:
El modelo es un conjunto de prácticas que debe apoyar la solución identificada para el logro de un objetivo específico. OCEG ha emitido un modelo de capacidad conformado por componentes y elementos que definen las prácticas que permiten el desarrollo eficiente de GRC.
Componentes:
Comprender:
Examinar y analizar el contexto, la cultura y las partes relacionadas para comprender lo que la organización necesita conocer para soportar las estrategias y los objetivos.- Contexto externo:
- Analizar los factores que influyen en el contexto externo.
- Analizar las necesidades de los agentes que influencian la opinión y las partes interesadas.
- Observar continuamente los cambios en el contexto externo que pueden tener un efecto directo, indirecto o acumulativo sobre los objetivos estratégicos.
- Contexto interno:
- Analizar los factores que influyen en el contexto interno.
- Observar continuamente los cambios en el contexto externo que pueden tener un efecto directo, indirecto o acumulativo en los objetivos o estrategias, de manera continua.
- Cultura:
Entender la cultura existente, incluyendo cómo el liderazgo modela la cultura, el clima organizacional y la mentalidad de los individuos sobre el gobierno, el aseguramiento y la gestión del desempeño, riesgo y cumplimiento.
- Partes interesadas:
Interactuar con las partes interesadas para entender expectativas, requerimientos y perspectivas que impactan a la organización.
Alinear:
Alinear el desempeño, riesgo y cumplimiento de los objetivos, estrategias, criterios para la toma de decisiones, acciones y controles con el contexto, la cultura y los requerimientos de las partes interesadas.
- Dirección:
Proveer dirección mediante el establecimiento claro de una declaración de misión, visión y valores, objetivos de alto nivel, así como guías para la toma de decisiones. - Objetivos:
Definir un conjunto balanceado de objetivos medibles, consistentes con los criterios para la toma de decisiones y apropiado para el marco de referencia establecido. - Identificación:
Identificar los factores que pueden causar efectos deseables (oportunidades) o indeseables (amenazas) sobre el logro de los objetivos, así como los factores que pueden obligar a la organización a operar de una forma particular (requerimiento). - Evaluación:
Analizar el enfoque actual y actualizarlo para direccionar las oportunidades, amenazas y requerimientos aplicando los criterios para la toma de decisiones con métodos cuantitativos y cualitativos. - Diseño:
Desarrollar planes estratégicos y tácticos para lograr los objetivos abordando la incertidumbre y actuando con integridad, en consistencia con los criterios para la toma de decisiones.
Ejecutar:
Abordar las amenazas, oportunidades y requerimientos para fomentar los eventos y las conductas deseables y prevenir las indeseables, mediante la aplicación de acciones y controles proactivos, detectivos y de respuesta.
- Controles:
Establecer una mezcla de acciones y controles de gestión, procesos, capital humano, tecnología y físicos que sirvan a las necesidades de gobierno, gestión y aseguramiento. - Políticas:
Implementar políticas y procedimientos asociados para abordar las oportunidades, amenazas y requerimientos y establecer claras expectativas de conducta para la autoridad de gobierno, la gestión, el personal y la empresa. - Comunicación:
Aportar y recibir información relevante, confiable y oportuna de y para las audiencias apropiadas, tal como es requerido por la reglamentación, o como se necesita para desarrollar competencias. - Educación:
Educar la autoridad de gobierno, la gerencia, el personal y la empresa extendida sobre las conductas esperadas, el incremento de las destrezas y la motivación necesaria para ayudar a la organización a direccionar las oportunidades, amenazas y requerimientos. - Incentivos:
Implementar incentivos que motiven las conductas deseadas y reconocer a quienes contribuyen con los resultados positivos, para reforzar las conductas deseadas. - Notificación:
Proveer múltiples canales para reportar el progreso hacia los objetivos propuestos y la ocurrencia actual o potencial de condiciones, eventos y conductas deseadas e indeseables. - Indagación:
Analizar datos periódicamente y buscar recursos que fomenten la orientación hacia los objetivos y adviertan sobre la existencia de conductas, condiciones y eventos indeseables. - Responder:
Diseñar y, cuando sea necesario, ejecutar actividades de respuesta a acciones y eventos indeseables identificados o sospechosos, así como en caso de que se presenten debilidades en las capacidades.
Examinar:
Conducir actividades para monitorear y mejorar la efectividad del diseño y la operación de todas las acciones y controles.
- Monitoreo:
Monitorear y evaluar periódicamente el desempeño de la capacidad para asegurar que su diseño y operación es efectivo, eficiente y responde al cambio. - Aseguramiento:
Proveer aseguramiento a la gerencia, la autoridad de gobierno y otras partes interesadas sobre la confiabilidad, efectividad, eficiencia y respuesta de la capacidad. - Mejoramiento:
Examinar la información de monitoreo, evaluación periódica, aseguramiento y acciones y controles detectivos, para identificar oportunidades para el mejoramiento de la capacidad.
En este artículo hemos visto en qué consisten los marcos de Gobierno corporativo, Riesgo y Cumplimiento (GRC), los beneficios que obtiene la empresa al implementar y mejorar continuamente estos marcos y una de las metodologías para su implementación y mejoramiento. Esperamos que haya sido una lectura de provecho.
La Suite Visión empresarial, enfocada en solucionar las necesidades de grandes organizaciones, es un Software que integra la Gestión de las diferentes prácticas tales como Gestión de Calidad, Gestión de Riesgos y Balanced scorecard, para lograr una Gestión de GCR exitosa.
Contamos con una amplia experiencia para acompañarlo en el proceso de implementación de la solución que mejor se adapte a sus necesidades. Si tiene dudas o desea asesoría sobre cómo hacerlo, no olvide contactarnos.