Columnistas
El profundo malentendido del GRC
09 de Agosto de 2013
Ricardo Vásquez Bernal CP - Magister en Economía y Finanzas Socio de Baker Tilly Colombia Consulting rvasquez@bakertillycolombia.com
|
Gobierno, Riesgo y Cumplimiento, GRC, conforman un estándar superior que se ha venido desarrollando e implementando en varias organizaciones públicas y privadas del planeta, a través de instituciones de origen gubernamental y académicas que promueven la integridad, la gestión de la incertidumbre y el logro de objetivos, de una manera racional y basada en principios.
Pero nada más lejos de la realidad el entendimiento popular y común de la sigla, que evidenciar el tremendo esfuerzo que significará su aplicación para el desarrollo integral de las empresas en el contexto actual de profunda regulación, responsabilidad e integridad ante partes relacionadas, así como la búsqueda de ganancias por vía de la eficiencia de procesos y de monitoreo y control de costos, más que por el incremento en precios.
Apoyándome en algunas encuestas preparadas por expertos en el tema (Shliemann-Marks: 2012), que adelantaron, con un grupo de profesionales, un ejercicio para identificar el estado de maduración del concepto, que consistía en averiguar cómo le explicarían a un miembro de la junta directiva en un ascensor el sentido del término para un proyecto que debería llevarse a cabo. Las respuestas son realmente contundentes sobre el grado de confusión de la expresión.
Primero, la precisión de referencia. GRC, de acuerdo con las definiciones contemporáneas, es una capacidad de la empresa para lograr sus objetivos empresariales de una manera confiable, abordando la incertidumbre y actuando con integridad, a partir de la orquestación del Gobierno –no solo corporativo–, la gestión y el aseguramiento del desempeño, el riesgo, el control y el cumplimiento, interviniendo los procesos, la información, la tecnología, la información y la estrategia (arquitectura empresarial). Es tremendamente holístico, al punto que no se puede hablar de un proyecto simple de GRC sin pensar en integrar u orquestar. De hecho, la sigla en español no sería solo GRC, sino la impronunciable “GGADRCC”. Con esto se garantiza el logro de un desempeño basado en principios para beneficio de las partes interesadas (Principled Performance).
Una visión integral como la que propone la definición anterior está lejos de ser entendida, no solo por empresarios, sino también por los mismos reguladores locales y las autoridades de control y vigilancia. Para la muestra un botón: los resultados de las encuestas sobre la explicación al jefe, en el ascensor:
– Cerca de una tercera parte de los encuestados le manifestaron a su miembro de junta que el GRC era un proyecto de gestión integral de riesgos-ERM para disminuir y controlar las pérdidas y evitar la confusión de los eventos de pérdida que vienen manejando. En otras palabras, se podría decir que es un proyecto para enfrentar la confusión generalizada sobre la gestión de riesgos.
– Otra parte importante de los encuestados manifestaron a su jefe que GRC era un proyecto de tecnología para asegurar la consistencia de información y comunicación entre diferentes áreas de gestión, permitiendo fusionar en un mismo marco los procesos y actividades establecidas para garantizar el cumplimiento de las normas, haciendo más eficientes los procesos. En otras palabras, es un proyecto para gobernar el cumplimiento desde los procesos.
– Por su parte, otro grupo importante se refirió a GRC como un proyecto para soportar y fortalecer la responsabilidad del gobierno corporativo con información pertinente sobre el grado de gestión de riesgos, la eficiencia en los procesos y el aseguramiento de la información. Un proyecto para dar garantías y evitar exponer el cuerpo directivo y a la organización a sanciones indebidas y reputacionales.
– Una parte menor de los encuestados manifestó a su jefe que GRC era un proyecto para potenciar la integridad y la conducta ética del personal en los procesos y roles, por cuanto es “un nuevo mantra para los negocios y el ecosistema empresarial”, que le permite a la organización enfrentar el fraude y las irregularidades. Otra parte menos significativa se refirió a GRC como el proyecto que permitía, simplemente, integrar actividades separadas de ciertos departamentos y áreas para conseguir eficiencias.
– Unas últimas definiciones de encuestados para poner el tema en condiciones extremas ante el miembro de la junta fueron estas definiciones: “GRC es un proyecto de Gobierno, gestión del riesgo y controles que le exige a sus directores asegurar que (...) funcione adecuadamente, así como a sus auditores internos reportar su funcionamiento en los informes, (...) porque si no existen controles robustos y un adecuado análisis y control de los riesgos, el Gobierno falla”, o “GRC es un proyecto para asegurar que (...) la gente tome decisiones adecuadas; (...) se mantenga la información adecuada frente a las mejores opciones y (...) se informe que se han tomado las decisiones correctas”.
Sin embargo, esta última definición es la más contundente, no para viabilizar el proyecto, sino por el contrario, para liquidarlo: “Es un proyecto (...) de maduración que emergerá para el beneficio de la empresa (...) que no se espera que sea igual que el proyecto de RSC: Responsabilidad Social Corporativa (...)”. Con seguridad, el señor miembro de la junta directiva canceló el proyecto cuando llegó al Pent-House.
Opina, Comenta