A la industria del riesgo le encantan los TLA, incluso más que a la tecnología (un «TLA» es un acrónimo de tres letras, uno más que añadir a tu arsenal).
Hacemos rebotar el GRC. Mucho. Pero, ¿qué significa realmente?
Yo lo veo así:
- Gobernanza
La G de GRC puede ser cualquier cosa, desde normativas gubernamentales hasta políticas organizativas, pasando por obligaciones contractuales y exigencias sociales. Comprender las obligaciones impuestas y el impacto potencial en la organización es fundamental para su supervivencia. Hay muchos ejemplos de fracasos de la gobernanza, como la aplicación deficiente de los requisitos legislativos contra el soborno o la simple ineptitud de las prácticas empresariales. Quizás el peor infractor sea el lenguaje contractual no específico («No sabía nada de eso» no es una respuesta útil). - Riesgo
Aquí es fundamental considerar el riesgo y la recompensa; en su estado más simple es «no arriesgues mucho por poco». En realidad, se trata de un equilibrio entre lo que es un riesgo suficiente y un riesgo insuficiente. Cuando el riesgo potencial supera la recompensa potencial, más vale que tengas un control realmente eficaz de los riesgos o que estés preparado para perderlo todo. Los ejemplos más sencillos pueden encontrarse en los numerosos acontecimientos mediáticos en los que la gente hace las cosas más estúpidas con la esperanza de obtener alguna recompensa, como un poco de dinero o una fama fugaz. Desde el punto de vista empresarial, las cosas son un poco más dolorosas: desde noticias en los medios de comunicación sobre sobornos para conseguir contratos hasta recortes de gastos sin sentido que acaban en indemnizaciones masivas por lesiones. - Cumplimiento
Sencillamente, asegurarse de que se hacen las cosas correctas de la forma correcta y en el momento adecuado. El truco está en no gastar tanto esfuerzo que la organización se paralice.
Extraer el retorno de la inversión (ROI) del GRC es un poco como encontrar la ciudad perdida de la Atlántida, el Santo Grial, o incluso una forma fácil de completar una declaración de la renta. Es importante establecer al menos algunos parámetros defendibles en torno al valor para la organización antes de molestarse siquiera en todo esto de la gobernanza, el riesgo y el cumplimiento. Esto puede parecer un poco negativo, pero estamos en un punto de inflexión sobre cómo reunir todo esto de forma racional y rentable. La tecnología ha cambiado todo el sector, incluso en los últimos 5-10 años. La creación de una visión única de la gobernanza, el riesgo y el cumplimiento en toda la organización hace que los solapamientos y las carencias salten a la vista. Con la conectividad actual, disponible a costes mucho más bajos y en menos tiempo, los directivos pueden ver ahora todas las piezas móviles y tomar medidas para gestionar la gobernanza sobre su organización, comprender y responder adecuadamente a los riesgos que esta gobernanza conlleva, y llevar a cabo el nivel óptimo de cumplimiento. Sin embargo, aunque el retorno de la inversión es difícil de definir con precisión, el coste básico de la tecnología que impulsa los sistemas integrados de gestión de riesgos puede repartirse a medida que se amplía a toda la empresa. La capacidad de trabajar con otras partes de la organización para obtener esta visión integrada aumenta el valor de la función de Riesgo para la organización. Lejos de ser un centro de costes, el Riesgo puede convertirse en parte integrante de la estrategia de la organización y funcionar como se espera. Nada de esto sustituye la dependencia de la dirección para gestionar, pero hará que esa función sea más manejable.
