Hoy en día, la variedad de riesgos a los que se enfrenta una organización hace que la gestión del riesgo empresarial (ERM) sea una parte vital de un programa de gobierno, riesgo y cumplimiento (GRC).
¿Qué significa ERM? ¿Y qué significa GRC? Aunque los programas de ERM y GRC tradicionales pretenden resolver los mismos problemas, los abordan desde ángulos diferentes. ERM y GRC pueden verse como alternativas que compiten entre sí o que hipotéticamente pueden existir de forma independiente, pero son más eficaces cuando trabajan juntos a través de prácticas centradas en el riesgo y basadas en datos.
ERM es creación de valor
En esencia, la ERM es una visión global de una organización centrada en el riesgo que comparte el mismo objetivo final que la GRC: la consecución continuada de los objetivos de una empresa. Así pues, el ERM abarca todas las funciones, incluidas las de gobierno y cumplimiento, simplificándolas en un marco común que incluye la identificación y evaluación de objetivos, requisitos y riesgos de raíz.
Algunos riesgos tienen implicaciones interfuncionales, lo que significa que ciertas actividades de mitigación pueden beneficiar a más de un departamento. Esto significa que un marco de ERM eficaz permite racionalizar los controles, reducir la redundancia y reforzarlos garantizando su madurez interfuncional.
ERM es, por tanto, creación de valor. Si la gestión de riesgos es independiente y está orientada al valor, la ERM puede contribuir a los objetivos de GRC y a la cuenta de resultados simultáneamente. Cuando la atención se centra en el cumplimiento o hay demasiada preocupación por marcar casillas, es menos probable que haga algo más que mantener el statu quo. Pero si el enfoque es la gestión de riesgos, su organización puede lograr una cultura eficaz de gestión de riesgos y una ventaja competitiva sostenible.
La GRC es protección del valor
GRC se define a menudo como el enfoque alternativo a ERM centrado en el cumplimiento, un término de la industria utilizado en gran medida para describir una solución de software. Se trata de un término global que engloba todos los esfuerzos de gobierno, riesgo y cumplimiento, incluida la ERM.
El término "GRC" se ha utilizado como una clasificación amplia de los esfuerzos de una organización -a través de estas tres disciplinas distintas- para garantizar la satisfacción continua de los objetivos a corto y largo plazo. El enfoque tradicional implica clasificar los componentes de GRC como sus propios conjuntos de procesos. Naturalmente, esto significa que cada componente -riesgo, cumplimiento y cada función de gobierno, como auditoría, seguridad informática y gestión de políticas- se trata como su propio silo, con sus propios profesionales, expertos en la materia y gestores.
Más recientemente, los programas de GRC han empezado a desviarse del enfoque tradicional de silos. Un enfoque empresarial ("eGRC") mantiene el programa general más en línea con las soluciones de gestión de riesgos empresariales, que pretenden romper los silos y eliminar redundancias y otras ineficiencias.
GRC es, en consecuencia, protección de valores. En una organización centrada en la GRC, se da prioridad a los objetivos ejecutivos, de gobierno y de cumplimiento por encima de una sólida inteligencia empresarial basada en el riesgo. Debido a este enfoque, la GRC por sí sola tiene dificultades para impulsar de forma eficaz y eficiente una organización centrada en el riesgo. En lugar de ser proactiva, a menudo funciona como un programa reactivo de mantenimiento de registros.
No se puede hacer ERM sin GRC
ERM y GRC están cada vez más cerca. eGRC está impulsando un enfoque más similar a ERM para GRC, y el modelo de Tres Líneas de Defensa (3LOD) de gestión de riesgos sugiere que ya no se puede hacer ERM sin hacer GRC. Este modelo integra intrínsecamente el cumplimiento, la supervisión ejecutiva y la auditoría en la gestión de riesgos y está siendo impulsado por los reguladores, enseñado por asociaciones, conferencias, expertos y consultores.
El modelo 3LOD, que ya prevalece en las grandes instituciones financieras, también se está abriendo camino en los bancos más pequeños. Puede que el modelo 3LOD no sea un tema candente fuera del sector de los servicios financieros, pero a menudo se encuentra en la base de modelos más complejos de gestión de riesgos que prevalecen en otros sectores, como el RCSA.
Lo importante de las naturalezas de ERM y GRC es que la gestión de riesgos requiere una visión holística y una colaboración y coordinación eficaces en toda la empresa. Es necesario disponer de un método organizado e inteligente para evaluar los riesgos de forma coherente, gestionar el cumplimiento y coordinar las auditorías.
Póngase en contacto con nosotros
Defiéndase contra los riesgos de proveedores y empresas
Conozca nuestras soluciones VRM/ERM, las mejores de su categoría.
