Un programa de gobierno, riesgo y cumplimiento puede ayudar a una organización a hacer frente a la incertidumbre, evitar sorpresas y alcanzar los objetivos empresariales. Todas las organizaciones tienen alguna forma de GRC, aunque no se llame así. Al fin y al cabo, ¿a quién no le importan las reglas y normas para dirigir la organización, identificar y gestionar los peligros potenciales y cumplir los requisitos normativos para evitar multas y sanciones? Sin embargo, con demasiada frecuencia, cada departamento -riesgos asegurables, finanzas, controles internos, salud y seguridad, y cumplimiento corporativo- hace lo suyo. Algunos utilizan software, otros hojas de cálculo y otros correo electrónico. Nada es coherente ni está conectado. La organización actual necesita poder ver el panorama completo de la GRC. Necesita comprender cada riesgo, cómo se interconectan sus riesgos y cómo se alinean con sus objetivos. Si sigues operando en silos, puede que debas actualizarte. A continuación te explicamos cómo crear un caso empresarial para un mejor programa de GRC.

¿Cómo gestionas actualmente la GRC?

Antes de que puedas definir las mejoras y construir tu caso empresarial, necesitas tener una comprensión clara de cómo se gestionan actualmente los componentes de la GRC en tu organización. Empieza con un examen exhaustivo de tus procesos, personas y sistemas actuales en torno al riesgo empresarial, el cumplimiento, las relaciones con terceros y las políticas. Tenlo en cuenta:

  • ¿Qué procesos y tecnología tienes en marcha? ¿A quién pertenecen esos procesos? ¿Qué hacen realmente?
  • ¿Cómo se comparte la información relacionada con la GRC en tu organización? ¿Todos consultáis la misma información o está aislada en diferentes departamentos? ¿Se repiten las tareas porque la información no se comparte fácilmente? Puedes encontrarte, por ejemplo, con que TI gestiona el riesgo y el cumplimiento en hojas de cálculo, el cumplimiento gestiona los requisitos normativos con una base de datos heredada, y el riesgo asegurable utiliza un software, ¿hay solapamiento?
  • ¿Qué funciona y qué no? Si ciertos departamentos están haciendo las cosas bien, extiéndelo a otros que puedan estar luchando por gestionar los riesgos que les son propios.
  • ¿Cómo sirven tus procesos a las necesidades de tu empresa? ¿Tienes suficiente información sobre el riesgo para tomar decisiones sobre el futuro de la empresa? ¿Tienes la información que necesitas para tomar medidas a tiempo para evitar o mitigar las pérdidas? ¿Conoces tu exposición al riesgo a nivel de empresa, proceso y tecnología?

¿Qué mejoras GRC necesitas?

Incluso los programas GRC más maduros suelen tener margen de mejora. Encuentra esos puntos conflictivos en los que tu programa no es eficaz, eficiente o ágil. Michael Rasmussen, experto en GRC y colaborador del seminario web Risk@Work, lo denomina el Infierno de Dante de la GRC. «Hay complejidad innecesaria, información desperdiciada, recursos malgastados, costes elevados, duplicación, redundancia, fragmentación y cosas que se escapan de las manos porque todo el mundo va en direcciones diferentes». ¿Dónde puedes hacer evolucionar tu arquitectura para apoyar las necesidades de gobierno, riesgo y cumplimiento de la organización, y dónde puedes aprovechar la tecnología para agilizar los procesos manuales? La gestión del riesgo depende de la gobernanza para establecer el contexto, y del cumplimiento para el seguimiento que garantice que los controles están en su sitio y funcionan. Debes ser capaz de reunir las tres piezas de la GRC para lograr objetivos de forma fiable, abordar la incertidumbre y actuar con integridad. ¿Cuál es tu hoja de ruta para conseguir este cristal único? Considéralo:

  • ¿Cuáles son tus procesos comunes de identificación de riesgos, evaluación de riesgos y gestión de riesgos, cumplimiento, supervisión de controles, gestión de políticas y gestión de proveedores?
  • ¿Cómo deben funcionar esos procesos en cada departamento, así como entre departamentos?
  • ¿Qué tecnología se necesita para apoyar esos procesos?

¿Cómo llegarás allí?

«Muchas organizaciones abordan la GRC con procesos manuales y montones de documentos, hojas de cálculo y correos electrónicos. Es lo que yo llamo la inevitabilidad del fracaso», dice Rasmussen. También advierte del peligro de comprar primero la tecnología y luego intentar resolver los procesos de GRC. «Pero necesitas una tecnología y una arquitectura de la información que puedan tomar y distribuir puntos de datos GRC, proporcionar contexto, analizar relaciones y elaborar elementos de acción. La tecnología es el pegamento que mantiene unido todo lo demás». La tecnología GRC te ayuda:

  • Definir un vocabulario común para el riesgo en todas las disciplinas.
  • Establece una única fuente de verdad.
  • Normalizar procesos, prácticas y políticas.
  • Aclarar las funciones y responsabilidades de las tareas de GRC.
  • Facilitar la comunicación y la colaboración entre funciones.
  • Proporcionar transparencia en la toma de decisiones y en el intercambio de información.

Construye tu caso para una GRC de siguiente nivel

Ahora que sabes adónde quieres ir y qué necesitas para llegar allí, el siguiente paso es comunicar tu estrategia, el valor y lo que las partes interesadas pueden esperar en el futuro. Empieza por la eficiencia. Se trata de un cálculo tradicional del retorno de la inversión en tiempo y dinero ahorrados. Piensa en el duro coste de gestionar documentos, hojas de cálculo y correos electrónicos y perseguir cosas que están a medio rellenar o que no se rellenan en lugar de gestionar el riesgo. Puede que un informe que actualmente te lleva 200 horas elaborar, te lleve un minuto con los procesos y la tecnología adecuados. Eso supone un ahorro significativo para la organización. La eficacia es mayor precisión. Ganas eficacia cuando se te escapan menos cosas, cuando se reduce la exposición al riesgo y cuando disminuyes la probabilidad de una multa o sanción por incumplimiento. Eficacia es mayor integridad, precisión y conseguir más. Y conoce quiénes son tus partes interesadas y qué pueden conseguir con un programa GRC actualizado. Tienes que comunicar el valor a cada miembro de tu comunidad de partes interesadas. ¿Qué quieren realmente?

  • La gobernanza quiere buenos datos e información enrollados en su contexto.
  • El riesgo quiere la capacidad de integrar la gestión del riesgo con la planificación estratégica, mantener una visión de 360 grados de los riesgos organizativos y asignar eficazmente recursos para hacer frente a esos riesgos.
  • La ética y el cumplimiento quieren una cultura corporativa y unas prácticas establecidas para prevenir la mala conducta, inspirar integridad, detectar problemas y mejorar los resultados.
  • Finanzas quiere reducir costes y optimizar cómo se asigna el capital a los procesos de gobierno, riesgo y cumplimiento para que la GRC esté mejor alineada con el negocio.
  • Las funciones de auditoría y seguros quieren ir más allá de los procesos financieros y evaluar el diseño y el funcionamiento de los controles para la gobernanza, el riesgo y el cumplimiento.
  • El departamento Jurídico quiere establecer prácticas sólidas para hacer frente a sus riesgos legales, mejorando al mismo tiempo la capacidad de defensa de la organización.

A nivel ejecutivo, la mayoría de los oídos se aguzarán ante el ROI de las eficiencias obtenidas de un programa GRC elevado. La eficacia, sin embargo, puede pasar desapercibida a menos que se explique en términos relacionables. Por ejemplo, una gestión de riesgos más eficaz podría reducir el riesgo residual, lo que teóricamente permitiría a la empresa asumir más riesgo estratégico dentro del mismo apetito de riesgo. Un mayor riesgo estratégico puede conducir a una mayor rentabilidad. Eso es algo que sin duda interesará a la dirección ejecutiva. Para que un caso empresarial de GRC tenga éxito, es necesario contar con el equipo adecuado y con el liderazgo adecuado que pueda hacer que la gente trabaje junta para ofrecer una perspectiva empresarial, utilizando hechos claros y convincentes en torno a la eficiencia, la eficacia y la agilidad. Eso constituye tu argumento empresarial a favor de la GRC.

Para más información sobre GRC, descarga Gobierno, Riesgo y Cumplimiento: La Guía Definitiva, y echa un vistazo a las soluciones de software GRC de Riskonnect.