Hoy en día, la variedad de riesgos a los que se enfrenta una organización hace que la gestión de riesgos empresariales (ERM) sea una parte fundamental de un programa de gobernanza, riesgo y cumplimiento (GRC).
¿Qué significa ERM? ¿Y qué significa GRC? Aunque los programas ERM y GRC tradicionales tienen como objetivo resolver los mismos problemas, los abordan desde ángulos diferentes. ERM y GRC pueden considerarse alternativas competitivas o, hipotéticamente, pueden existir de forma independiente, pero son más eficaces cuando se combinan mediante prácticas centradas en el riesgo y basadas en datos.
ERM es creación de valor
Básicamente, el ERM es una visión integral centrada en los riesgos de una organización que comparte el mismo objetivo final que el GRC: el logro continuo de los objetivos de una empresa. Por lo tanto, el ERM abarca todas las funciones, incluidas la gobernanza y el cumplimiento, simplificándolas en un marco común que incluye la identificación y evaluación de los objetivos, los requisitos y los riesgos de causa raíz.
Algunos riesgos tienen implicaciones interfuncionales, lo que significa que ciertas actividades de mitigación pueden beneficiar a más de un departamento. Esto significa que un marco de ERM eficaz permite racionalizar los controles, reduce la redundancia y refuerza los controles al garantizar su maduración interfuncional.
Por lo tanto, la ERM es creación de valor. Si la gestión de riesgos es independiente y está orientada al valor, la ERM puede contribuir simultáneamente a los objetivos de GRC y a los resultados finales. Cuando la atención se centra en el cumplimiento normativo o se presta demasiada atención a marcar casillas, es menos probable que se consiga algo más que mantener el statu quo. Pero si la atención se centra en la gestión de riesgos, su organización puede lograr una cultura de gestión de riesgos eficaz y una ventaja competitiva sostenible.
GRC es protección del valor
El GRC se define a menudo como el enfoque alternativo al ERM centrado en el cumplimiento normativo, un término del sector que se utiliza principalmente para describir una solución de software. Es un término general que abarca todas las iniciativas de gobernanza, riesgo y cumplimiento normativo, incluido el ERM.
El término «GRC» se ha utilizado como una clasificación amplia de los esfuerzos de una organización —en estas tres disciplinas distintas— para garantizar el cumplimiento continuo de los objetivos a corto y largo plazo. El enfoque tradicional consiste en clasificar los componentes de GRC como conjuntos de procesos independientes. Naturalmente, esto significa que cada componente (riesgo, cumplimiento y cada función de gobernanza, como auditoría, seguridad de TI y gestión de políticas) se trata como un silo independiente, con sus propios profesionales, expertos en la materia y gestores.
Más recientemente, los programas de GRC han comenzado a alejarse del enfoque tradicional basado en silos. Un enfoque empresarial («eGRC») mantiene el programa general más en línea con las soluciones de gestión de riesgos empresariales, cuyo objetivo es romper los silos y eliminar redundancias y otras ineficiencias.
Por consiguiente, el GRC es protección del valor. En una organización centrada en el GRC, se da prioridad a los objetivos ejecutivos, de gobernanza y de cumplimiento por encima de una sólida inteligencia empresarial basada en el riesgo. Debido a este enfoque, el GRC por sí solo tiene dificultades para impulsar de forma eficaz y eficiente una organización centrada en el riesgo. En lugar de ser proactivo, a menudo funciona como un programa reactivo para el mantenimiento de registros.
No se puede implementar ERM sin GRC.
El ERM y el GRC se están acercando cada vez más. El eGRC está impulsando un enfoque más similar al ERM para el GRC, y el modelo de gestión de riesgos de las tres líneas de defensa (3LOD) sugiere que ya no se puede aplicar el ERM sin aplicar el GRC. Este modelo integra de forma inherente el cumplimiento normativo, la supervisión ejecutiva y la auditoría en la gestión de riesgos, y está siendo impulsado por los reguladores e impartido por asociaciones, conferencias, expertos y consultores.
Ya predominante en las instituciones financieras más grandes, ahora también se está abriendo camino en los bancos más pequeños. El modelo 3LOD puede no ser un tema candente fuera del sector de los servicios financieros, pero a menudo se encuentra en la base de modelos más complejos de gestión de riesgos que prevalecen en otros sectores, como el RCSA.
La conclusión importante que se desprende de la naturaleza del ERM y el GRC es que la gestión de riesgos requiere una visión holística y una colaboración y coordinación eficaces en toda la empresa. Es necesario disponer de un método organizado e inteligente para evaluar los riesgos de forma coherente, gestionar el cumplimiento normativo y coordinar las auditorías.
Contacte con nosotros
Defiéndase contra los riesgos de proveedores y empresas
Conozca nuestras soluciones VRM/ERM, las mejores de su categoría.
