Ser o tener: gobernar o cumplir

Ricardo Vásquez Bernal CP - Magister en Economía y Finanzas  Socio de Baker Tilly Colombia Consulting  rvasquez@bakertillycolombia.com

A propósito del tema de Interbolsa se advierte en los diarios que la Fiscalía ordenará investigaciones por posibles irregularidades que se refieren a: la no información adecuada del carácter integral de los riesgos asumidos, infracciones administrativas por posibles conflictos de interés y aplicar estrategias de compra de compañías sin aplicar los procesos adecuados definidos en la regulación. En suma, se adelantará una investigación sobre el grado de efectividad y capacidad del GRC: Gobierno, Riesgo y Cumplimiento de Interbolsa, que implicará, seguramente, evaluar no solo las intervenciones de los directores, sino también de las autoridades de supervisión, vigilancia y control.

Más allá del proceso y sus resultados, es pertinente comentar un par de reflexiones sobre lo que significa la capacidad de un GRC de una institución. Muchos creen que GRC, como advierte su sigla de Gobierno, Riesgo y Cumplimiento, es eso: tener políticas y documentos que acreditan la presencia de un gobierno corporativo (Gobierno), el establecimiento de políticas de riesgo adecuadas (Riesgo) y el cumplimiento de las normas (Cumplimiento), al paso que muchos los tratan como responsabilidades y roles independientes.

Este entendimiento es apenas un nivel primitivo de un GRC institucional, porque este no se mide, propiamente en términos de “tener”; se interpreta verdaderamente  como una capacidad de “ser” que, en otras palabras, implica una capacidad para alcanzar el desempeño basado en principios, entendido este como el logro de objetivos estratégicos de una forma confiable, abordando la incertidumbre y actuando con integridad (definición de OCEG-www.oceg.org).

En efecto, alcanzar este concepto de principled performance como se conoce en inglés, implica niveles de madurez del GRC, que requieren orquestar el gobierno, la gestión, los riesgos, los controles, los procesos, la auditoría, el desempeño, el cumplimiento, la ética y la cultura corporativa. Hablar en consecuencia en términos de capacidad de GRC es hablar de capacidad de integración y orquestación de estos roles y no propiamente de tenerlos, por cuanto por definición se espera que todas las instituciones, en condiciones normales, tengan gobierno, gestión de riesgos y cumplan normas. Es decir, es inviable considerar que Interbolsa no tuviese gobierno, riesgo y cumplimiento. La pregunta que se hace, más bien, es si estos roles estaban suficientemente orquestados para evitar la debacle que enfrentaron. Es decir, si la capacidad de su GRC estaba habilitada para permitirles acercarse a los umbrales que fueron su detonante.

Orquestar un GRC requiere integrar metodologías, estándares y prácticas que incorporan procesos, tecnología, información, recursos y objetivos para asegurar que, por ejemplo, ninguna política de riesgo, para el caso que se analiza, esté desconectada de un proceso e información que, no solo persigue el logro de un objetivo, sino que incorpora los niveles de cumplimiento, controles y acciones de gestión que producen información transversal de un mismo hecho en varias perspectivas: a) forma de gobierno; b) grado de riesgo; c) tipo de control; d) nivel de conformidad de cumplimiento; e) aseguramiento del proceso; f) confiabilidad de información, y g) indicador o tendencia de desempeño. Lograr esta visión transversal de un mismo asunto, es en verdad la personalidad: el ser de un GRC. No simplemente demostrar que se tienen políticas de riesgo, acciones de cumplimiento y manuales de gobierno corporativo.

Responder, de hecho, al problema que colapsó a Interbolsa: la iliquidez generada en operaciones repo sobre acciones de Fabricato, a la luz de una visión adecuada de GRC, implicaría una consideración sobre todos y cada uno de los tópicos planteados para el mismo hecho, que vistos desde una forma integral, permitiría calificar adecuados niveles de aseguramiento sobre la operación en comento. Son estos los aspectos que no solo parecen cuestionar las autoridades judiciales, sino que también será esa misma pregunta la que harán, en consecuencia, a los organismos de supervisión y vigilancia para determinar si se vigila el cumplimiento del GRC o el Gobierno del GRC.