Índice
Por qué las hojas de cálculo son peligrosas para la GRC
3 razones por las que las hojas de cálculo son un obstáculo
Cómo evitar que las hojas de cálculo amenacen la GRC
Cómo mejorar el ROI de una inversión en GRC
Se calcula que 1.000.000.000 de personas utilizan hojas de cálculo Excel.
Está claro que la comunidad empresarial se ha creído su eficacia. Y no es de extrañar: Excel tiene muchas funciones estupendas. Sin embargo, cuando se trata de gestionar la Gobernanza, el Riesgo y el Cumplimiento (GRC), las hojas de cálculo pueden ser en realidad una herramienta peligrosa.
El uso de Excel u otras hojas de cálculo puede crear más problemas de los que resuelve. Aunque para un listado inicial de riesgos y quizá algunas evaluaciones, son muy útiles.
Pero para crear un proceso continuo, pronto queda claro que estas herramientas no están a la altura a largo plazo.
¿Qué es la GRC?
- Gobernanza
La G de GRC puede ser cualquier cosa, desde normativas gubernamentales hasta políticas organizativas, pasando por obligaciones contractuales y exigencias sociales. Comprender las obligaciones impuestas y el impacto potencial en la organización es fundamental para su supervivencia. - Hay muchos ejemplos de fallos de gobernanza, como la aplicación deficiente de los requisitos legislativos contra el soborno o la simple ineptitud de las prácticas empresariales.
- Tal vez el peor infractor sea el lenguaje contractual no específico («No sabía nada de eso» no es una respuesta útil).
- Riesgo
Aquí es fundamental considerar el riesgo y la recompensa; en su estado más simple es «no arriesgues mucho por poco». - Se trata realmente de un equilibrio entre lo que es un riesgo suficiente en comparación con un riesgo insuficiente.
- Cuando el riesgo potencial supera la recompensa potencial, más te vale tener un control realmente eficaz de los riesgos o estar preparado para perderlo todo.
- Los ejemplos más sencillos pueden encontrarse en los numerosos acontecimientos mediáticos en los que la gente hace las cosas más estúpidas con la esperanza de obtener alguna recompensa, como un poco de dinero o una fama fugaz.
- Desde el punto de vista empresarial, las cosas son un poco más dolorosas: desde informes de los medios de comunicación sobre sobornos para conseguir contratos hasta recortes de gastos sin sentido que acaban en indemnizaciones masivas por lesiones.
- Cumplimiento
Sencillamente, asegurarse de que se hacen las cosas correctas de la forma correcta y en el momento adecuado. El truco está en no gastar tanto esfuerzo que la organización se paralice. -
¿Por qué cumplir la GRC?
-
¿Cómo se compara el coste de cumplir la normativa con el coste de las tasas y multas en que se incurre cuando se es sorprendido incumpliendo la normativa? Pues bien, recientemente, un fabricante mundial fue multado con una sanción multimillonaria por haber sido declarado culpable de incumplimiento de varias normativas.
Vamos a desglosarlo un poco:
- Población de EE.UU.: aprox. 325.000.0001
- Población mundial: aprox. 7.400.000.0002
- Total multas/indemnizaciones pagadas por el fabricante: 21.300.000.000$3
Utilizando estas cifras, cada persona del mundo (en agosto de 2016) tendría que incurrir en una media de 2,87 $ para cubrir estas multas, y si sólo Estados Unidos fuera responsable de esta pérdida directa, equivaldría a 23 $ por persona.
Y estos son sólo los costes directos. El daño a la reputación y el coste de rediseñar los procesos añadirán probablemente otros cuantos miles de millones al total.
En términos de GRC para este caso, la gobernanza era en última instancia las diversas normativas que la empresa debía cumplir.
- También puede haber existido otro tipo de gobernanza dentro de la empresa, como políticas para no intentar engañar o confundir al público, o incluso puede haber existido una gobernanza contractual en forma de contrato entre el comprador y el vendedor del producto para que se cumplieran unas normas mínimas.El riesgo era que, si se descubría que no se cumplían las normas, podría haber sanciones y costes para remediarlo.
- Sería interesante ver la evaluación de riesgos de este caso (si la hubo), incluida la evaluación de las posibles acciones penales y los costes de reparación.
- ¿Se habría acercado el coste de cumplimiento durante el periodo de incumplimiento a estas cifras, que equivalen a casi el 14% de los ingresos de la empresa? Es difícil comprender la magnitud de los costes y será interesante ver cómo se recupera la empresa.
- Así pues, cabe preguntarse si podemos esperar que en muchas organizaciones se haga más hincapié en la evaluación completa de los riesgos de determinadas acciones, y en la forma de aplicar y mantener una supervisión eficaz del cumplimiento.
Retos de la GRC
La GRC no es un reto singular para las organizaciones. De hecho, la gobernanza, el riesgo y el cumplimiento no son más que categorías para toda una serie de retos y riesgos integrados en cada una de esas categorías.
Aunque no existe una definición universalmente aceptada de GRC, sus tres elementos suelen caracterizarse aproximadamente como sigue:
- La gobernanza se refiere a los procesos generales de gestión de una organización determinada, que está dirigida esencialmente por el equipo de alta dirección (nivel C).
- La Gestión de Riesgos se refiere a los intentos de una organización por identificar y analizar las amenazas a sus operaciones. A menudo, estas amenazas implican el incumplimiento de la normativa gubernamental.
- El cumplimiento se refiere a las acciones correctivas realizadas por la organización para mitigar los riesgos que se han identificado previamente.
-
La importancia de la ISO
- ISO, la Organización Internacional de Normalización[1], ha publicado más de 21.000 normas que abarcan casi cualquier cosa que se te ocurra y probablemente unas cuantas que nunca imaginarías. Es una organización mundial, y cuenta con 163 organismos nacionales de normalización como miembros.
- Eso es mucho poder, ya que hay casi 200 países en el mundo. Aunque muchas de sus normas se parecen más a directrices que a mandatos inamovibles, a menudo se utilizan para ayudar a los compradores y a otras personas a determinar si es una buena idea comprar el producto o servicio al que se aplican.Desde la introducción de la ISO 31000 sobre gestión de riesgos[2] en 2009, el riesgo se ha ido incorporando cada vez más a estas normas. En parte, se supone, para evitar malgastar recursos en imponer ciegamente el cumplimiento de la última letra de la norma.En abril de 2016, la ISO 37001 pasó a la fase final antes de su aplicación[3]. La norma se aplica a los sistemas de gestión antisoborno, y está estrechamente alineada con muchas normas gubernamentales. Lo que diferencia a esta norma de muchas otras es que las organizaciones pueden obtener un certificado de cumplimiento.
Así que esperamos ver una avalancha de oportunidades para formarse como «certificador». Probablemente esto no sea malo en sí mismo, pero hay que ser consciente de dos componentes clave: Riesgo y Proceso. Ambos deben estar respaldados por un nivel adecuado de eficacia, transparencia y auditabilidad.
El riesgo es esencialmente una combinación de tres factores:
- La probabilidad de que se produzca el suceso.
- El impacto si se produce.
- El momento del acontecimiento.
La mayoría de la gente está familiarizada con una inundación 1:100, pero nadie es capaz de decir exactamente cuándo se producirá esa inundación. Del mismo modo, ¿cuál es la magnitud del impacto? ¿Un suceso muy costoso y ruinoso, o tal vez un tirón de orejas y no volver a hacerlo?
Consulta la norma ISO 31000 para obtener una descripción detallada de estos componentes y de muchos otros relacionados con el riesgo.Las preguntas son, esencialmente, «¿puede ocurrir el suceso (sí/no/quizás)?» y «si ocurre, ¿cómo de graves pueden ser las consecuencias?». Ninguno de estos valores puede ser exacto. Hacerlo significaría que hay certeza total, lo contrario del riesgo.Para obtener la certificación, las organizaciones requieren procesos que demuestren que su organización ha hecho lo suficiente para evitar que se produzcan sobornos. Por supuesto, no parece haber mucho esfuerzo en minimizar el tamaño de los sobornos, sólo la probabilidad de que ocurran. Es análogo a los aspersores contra incendios que nunca han impedido que se inicie un fuego, pero que suelen hacer un gran trabajo para evitar que el fuego crezca hasta convertirse en un infierno. La ISO 37001 aborda la probabilidad, pero no el impacto. Para ello, la organización debe ser capaz de comprender claramente la gobernanza pertinente(por ejemplo, la normativa antisoborno de cualquier país en el que opere), el nivel de riesgo (no siempre determinado por el volumen de ventas en un país concreto) y su capacidad para obtener garantías de todos los participantes pertinentes (empleados, clientes, proveedores, etc.) de forma eficaz, sencilla y segura. Esto tiene toda la pinta de ser otro impulso para la función del Director de Cumplimiento, con una gran dependencia de la tecnología para apoyar el proceso.
Por qué las hojas de cálculo son peligrosas para la gobernanza, el riesgo y el cumplimiento normativo
Para empezar, muchas personas que necesitan interactuar con los datos no lo hacen a diario, a menudo con mucha menos frecuencia, y esperar que probablemente >el 95% de las personas que necesitan proporcionar datos y responder a la información, suele ser pedir demasiado, aunque las hojas de cálculo tengan celdas protegidas y desplegables.
Además, la necesidad de realizar cambios en estos desplegables y celdas crea enormes problemas en un entorno basado en Excel. Por ejemplo, el simple proceso de realizar un cambio en un desplegable.
Es fácil hacerlo en una hoja de cálculo, pero luego está el requisito de que todos los usuarios tengan la misma versión o la recogida de datos se convertirá en un lío y la información recopilada será errónea.
Considera también la necesidad de poder aportar pruebas al amplio abanico de partes interesadas sobre la procedencia de los datos: sin duda es posible ver los datos más actuales, pero ¿de dónde proceden esos datos y cómo han cambiado?
En un entorno excel, esto pronto carece de sentido y resulta insostenible. Una pista de auditoría segura es fundamental para respaldar un proceso de ERM, sobre todo porque la integración de los datos de riesgo de casi todas las partes de una organización se está convirtiendo en la norma, no en la excepción.
Aunque hay muchos otros factores que hacen que un proceso de ERM soportado por hojas de cálculo sea imposible de mantener correctamente, considera sólo otro factor: «una sola fuente de la verdad«.
Con una miríada de hojas de cálculo, los datos clave están a menudo en varios lugares y un cambio en un componente no se reflejará en todos los datos agregados hasta que, o si, la hoja de cálculo correspondiente se carga en algún tipo de mega hoja de cálculo.
¿Cómo va a tener el usuario de estos datos alguna esperanza de saber que son actuales y exactos si utiliza muchas hojas de cálculo? Las hojas de cálculo sólo conducen a una falsa sensación de conocimiento y exactitud, e inevitablemente dan lugar a decisiones erróneas basadas en datos defectuosos.
La GRC es compleja. Y si utilizas hojas de cálculo que inducen al silo, que «hablan el idioma» de un solo departamento o un solo tipo de conjunto de datos en cada documento, la probabilidad de poder gestionar esa complejidad es casi nula.
3 razones por las que las hojas de cálculo son un obstáculo
1. Las hojas de cálculo son difíciles de gestionar
Buscar en una hoja de cálculo es fácil. Buscar en muchas de ellas, no tanto. Teniendo esto en cuenta, ¿son las resmas de hojas de cálculo una forma eficaz de encontrar información?
La verdad es que no. Por supuesto, siempre podrías consolidar tus muchas hojas de cálculo en una sola, pero esto es igual de laborioso.
Es probable que los miembros de tu equipo de gestión de riesgos de cumplimiento pasen enormes cantidades de horas elaborando, contabilizando, editando e informando mediante hojas de cálculo. Es un trabajo crítico, pero ¿es eficiente? ¿O rentable? ¿O fácil elaborar buenos informes? Y, por último, ¿se escalan bien? La mayoría de las veces, la respuesta a estas preguntas es «no».
Las hojas de cálculo queman tu nómina, consumen tiempo y recursos: obligan a tu personal a ser magos de Excel en lugar de verdaderos expertos en GRC que podrían aprovecharse para resolver retos críticos.
2. Las hojas de cálculo son propensas a cometer errores
Una miríada de hojas de cálculo suele significar una miríada de errores. Las investigaciones sugieren incluso que el 88% de las hojas de cálculo empresariales contienen errores.
Los errores suelen deberse a la interpretación errónea de los datos al evaluar una multitud de hojas de cálculo en distintos formatos, o a errores cometidos al volver a introducir manualmente los datos para consolidar muchas hojas de cálculo en una sola.
Como tales, las hojas de cálculo conducen a una falsa sensación de conocimiento y precisión o, por el contrario, conducen a una total desconfianza en los datos. En cualquier caso, el resultado suele ser una toma de decisiones deficiente.
3. Las hojas de cálculo no proporcionan una cadena de pruebas
El control de versiones y la seguridad de los datos son verdaderos problemas con las hojas de cálculo. Existe mucha incertidumbre sobre si la información se ha actualizado y cuándo, y sobre quién la ha actualizado. Esto puede hacer que los usuarios se pregunten
- ¿Es ésta la fecha correcta? ¿O se cambió?
- ¿Es esta una entrada correcta? ¿O se modificó?
- ¿Hice yo esta entrada? ¿O lo hizo otra persona?
Esto puede contribuir aún más a que los datos estén cargados de errores, así como a una falta de responsabilidad por la información defectuosa que podría afectar negativamente a tu negocio.
Cómo evitar que las hojas de cálculo amenacen la GRC
Las hojas de cálculo tienen muchas ventajas, pero no cuando se trata de gestionar la gobernanza, el riesgo o el cumplimiento. En cambio, la tecnología de Gestión Integrada de Riesgos resuelve muchos de los problemas que crean las hojas de cálculo, simplemente por su diseño. En primer lugar, esta tecnología opera en la nube, recopilando y actualizando automáticamente los datos en tiempo real. Hace aflorar la información GRC relevante desde cualquier lugar de tu organización donde se oculte; la conecta con otros datos internos y externos; y luego la normaliza con herramientas de procesamiento de datos para garantizar la coherencia entre los datos que estás comparando. De este modo, es fácil acceder y analizar datos actualizados de gestión de riesgos con unos pocos clics, en lugar de reunir un montón de hojas de cálculo en una mega hoja de cálculo que, en esencia, estará desfasada cuando llegue el momento de informar. Es más, la tecnología de Gestión Integrada de Riesgos adecuada se adaptará específicamente a la gestión de la GRC, proporcionando todo un conjunto de aplicaciones para mejorar la eficacia y la coherencia de todos los procesos y decisiones empresariales relacionados con la gobernanza, el riesgo y el cumplimiento corporativos. No dejes que las hojas de cálculo se interpongan en tu camino. La tecnología de Gestión Integrada de Riesgos puede simplificar y automatizar tus programas de GRC, permitiéndote implantar, adaptar, ampliar y escalar tus capacidades de GRC.
Cómo mejorar el ROI de tu inversión en GRC
Extraer el retorno de la inversión (ROI) del GRC es un poco como encontrar la ciudad perdida de la Atlántida, el Santo Grial, o incluso una forma fácil de completar una declaración de la renta. Es importante establecer al menos algunos parámetros defendibles en torno al valor para la organización antes de molestarse siquiera en todo esto de la gobernanza, el riesgo y el cumplimiento. Esto puede parecer un poco negativo, pero estamos en un punto de inflexión sobre cómo reunir todo esto de forma racional y rentable. La tecnología ha cambiado todo el sector, incluso en los últimos 5-10 años. La creación de una visión única de la gobernanza, el riesgo y el cumplimiento en toda la organización hace que los solapamientos y las carencias salten a la vista. Con la conectividad actual, disponible a un coste mucho menor y en menos tiempo, los directivos pueden ver ahora todas las piezas móviles y tomar medidas para gestionar la gobernanza sobre su organización, comprender y responder adecuadamente a los riesgos que esta gobernanza conlleva, y llevar a cabo el nivel óptimo de cumplimiento.
Consigue gratis el informe Proving the ROI of Automating Risk and Compliance .
Sin embargo, aunque el ROI es difícil de definir con precisión, el coste básico de la tecnología que impulsa los sistemas integrados de gestión de riesgos puede extenderse a medida que se amplía a toda la empresa. La capacidad de trabajar con otras partes de la organización para obtener esta visión integrada aumenta el valor de la función de Riesgo para la organización. Lejos de ser un centro de costes, el Riesgo puede convertirse en parte integrante de la estrategia de la organización y funcionar como se espera. Nada de esto sustituye la dependencia de la dirección para gestionar, pero hará que esa función sea más manejable. Más información sobre cómo el software de gestión de riesgos puede mantenerte conforme y ético.
