Por qué el futuro del GRC es un centro de mando, y no un conjunto de módulos

Deja de gestionar el GRC como un conjunto de módulos inconexos. Descubre por qué Michael Rasmussen cree que el futuro del GRC pasa por un centro de mando coordinado que conecte el análisis, la acción y la toma de decisiones.

Imagen decorativa

El mercado ha superado el modelo de «colección de módulos»

Durante años, la gobernanza, la gestión de riesgos y el cumplimiento normativo (GRC) se han basado en una suposición que ahora hay que cuestionar: que si se suman suficientes módulos, de alguna manera se crea una plataforma empresarial. Las organizaciones han acumulado soluciones para la gestión de riesgos empresariales, el cumplimiento normativo, la gestión de políticas, los riesgos de terceros, la ética, la auditoría, los riesgos cibernéticos, la continuidad del negocio y la resiliencia operativa. Los proveedores han ampliado sus carteras, han realizado adquisiciones complementarias y han envuelto estas capacidades en un mensaje más amplio. Pero, en demasiados casos, lo que surgió no fue una verdadera plataforma, sino una gran colección de piezas inconexas.

Esa distinción es importante. Una interfaz compartida no es lo mismo que la coordinación. Un inicio de sesión común no es una transformación. Una cartera más amplia no es, por sí sola, un centro de mando para la empresa. Puede parecer que todo converge, pero la realidad subyacente suele seguir estando fragmentada. Los datos se transfieren de forma imperfecta. Se pierde el contexto. La dirección recibe informes, pero no siempre tiene una visión clara de cómo se relacionan los problemas en el conjunto de la empresa.

Por eso sigo defendiendo que el mercado está entrando en una nueva fase: GRC 7.0 – GRC Orchestrate. La próxima era del GRC no viene definida por el número de módulos de una cartera, sino por la eficacia con la que una organización es capaz de conectar la información, la acción y la toma de decisiones en toda la empresa. Es la diferencia entre un conjunto de instrumentos dispersos por una sala y un auténtico puente de mando de la empresa, desde el que el equipo directivo y las operaciones pueden ver con claridad, coordinarse de forma inteligente y responder con integridad.

El GRC nunca se concibió como una carga administrativa

En esencia, el GRC no se reduce a formularios, repositorios y flujos de trabajo inconexos. El GRC es la capacidad de alcanzar objetivos de forma fiable, hacer frente a la incertidumbre y actuar con integridad. Cuando las organizaciones pierden de vista esto, el GRC se convierte en una carga administrativa, un proceso que se impone al negocio. Cuando lo aplican correctamente, el GRC se convierte en una capacidad empresarial vital que orienta la estrategia, refuerza la resiliencia y permite un mejor rendimiento bajo presión.

Precisamente por eso está cambiando la orientación del mercado. Las organizaciones reconocen cada vez más que el riesgo, el cumplimiento normativo, los aspectos legales, los recursos humanos, la ética, la ciberseguridad, la auditoría y la resiliencia operativa no son temas independientes que se traten en paralelo. Son dimensiones interconectadas de cómo se gestiona la empresa y de cómo funciona. Un cambio normativo afecta a las políticas, los controles, la formación y la garantía de cumplimiento. Un incidente cibernético no es solo un problema de TI; puede tener implicaciones operativas, legales, de cumplimiento normativo y de reputación. Un problema relacionado con un tercero puede convertirse rápidamente en una cuestión de resiliencia, conducta o estrategia. La empresa vive estas situaciones como realidades interconectadas, incluso cuando la tecnología sigue tratándolas como módulos independientes.

Para muchas organizaciones, la presión proviene de varias fuentes a la vez:

  • Mayores expectativas en materia de gobernanza y rendición de cuentas en el control interno
  • Aumenta la preocupación por las perturbaciones cibernéticas y la resiliencia operativa
  • La creciente complejidad de los riesgos relacionados con terceros y con la cadena de suministro
  • Una mayor demanda de visibilidad integrada en los ámbitos jurídico, de cumplimiento normativo, de riesgos y de ética

El auge del centro de mando de GRC

Lo que se necesita no es simplemente una mayor integración. Lo que se necesita es un centro de mando de GRC.

Un verdadero centro de mando no es solo una capa de panel de control situada por encima de sistemas inconexos. Es un entorno operativo que aúna las señales, las relaciones, las decisiones y las acciones que son importantes para la empresa. Proporciona continuidad entre lo que la organización pretende lograr, la incertidumbre a la que se enfrenta, las obligaciones que debe cumplir y las medidas que debe adoptar.

La mayoría de las organizaciones no adolecen de falta de datos. Lo que les pasa es que no son capaces de ver las relaciones que existen entre esos datos. Reciben constantemente alertas, incidentes, evaluaciones, excepciones, problemas, reclamaciones, conclusiones de auditorías, fallos de control y novedades normativas. Sin embargo, estas señales suelen quedar atrapadas en flujos de trabajo y sistemas independientes. Los directivos ven un volumen cada vez mayor de información, pero no siempre cuentan con el contexto necesario para darle sentido.

Aquí es donde la idea de la «orquestación» cobra tanta importancia. La futura plataforma debe hacer algo más que recopilar información. Debe hacer visibles las relaciones. Debe ayudar a la empresa a comprender cómo un problema influye en otro y dónde están surgiendo patrones de riesgo, rendimiento, conducta y resiliencia. Debe ir más allá de los informes aislados y ofrecer una visión más dinámica de la empresa.

Unos cuantos ejemplos sencillos lo dejan claro:

  • Un problema relacionado con un tercero también puede constituir un problema de resiliencia si dicho proveedor da soporte a un proceso crítico
  • Un incidente cibernético puede dar lugar a obligaciones legales, la presentación de informes reglamentarios y problemas relacionados con el control interno.
  • Una denuncia por motivos éticos puede poner de manifiesto una deficiencia más general en la gobernanza o revelar fallos en la cultura y la supervisión de la organización.

No se trata de hechos aislados. Son indicadores interrelacionados que reflejan lo bien —o lo mal— que funciona la organización como sistema.

La visión, la acción y la decisión deben ir de la mano

En mi opinión, el futuro del GRC se basa en tres capacidades interrelacionadas: análisis continuo, acción coordinada y decisiones seguras.

Una visión continua significa que la organización ya no se limita a la elaboración de informes estáticos y a revisiones periódicas. Adquiere una comprensión más dinámica de los cambios que se producen en materia de riesgos, cumplimiento normativo, controles, terceros y resiliencia. El objetivo no es obtener más datos por el mero hecho de hacerlo, sino comprender mejor el contexto de lo que es importante y por qué.

La acción coordinada implica que la plataforma no se limita a poner de manifiesto un problema. Son demasiados los entornos heredados que adoptan una actitud pasiva. Muestran el estado y señalan los problemas, pero siguen dejando que sean las personas las que organicen manualmente la respuesta. En un mundo en constante cambio, eso no es suficiente. La siguiente fase del GRC debe ayudar a traducir la información obtenida en un seguimiento estructurado, conectando tareas, partes interesadas, dependencias y medidas correctivas con menos fricciones.

El objetivo final es tomar decisiones con seguridad. Los consejos de administración y los directivos no necesitan más informes fragmentados. Necesitan una visión global de la empresa en la que puedan confiar, que relacione los objetivos, las obligaciones, los riesgos, los incidentes, los controles y las dependencias de forma oportuna, transparente y lista para la toma de decisiones. El buen gobierno empresarial depende de algo más que de la visibilidad. Depende de la inteligencia conectada.

El futuro es un modelo empresarial vivo

De cara al futuro, esta evolución seguirá avanzando hacia modelos empresariales más completos, datos conectados y visiones más dinámicas de la organización y sus interdependencias. Algunos lo denominarán «enfoque del gemelo digital», otros utilizarán un lenguaje diferente, pero la dirección es clara. El futuro del GRC no consiste en una documentación estática de políticas, riesgos y controles a posteriori. Se trata de un modelo vivo que refleja cómo funciona la organización, a qué riesgos está expuesta y cómo debe responder ante perturbaciones, conductas indebidas o cambios.

Esa es la promesa de GRC 7.0: GRC Orchestrate. No se trata simplemente de un nuevo conjunto de funciones superpuesto a supuestos obsoletos. Es el próximo modelo operativo para un mundo en el que los objetivos, la incertidumbre y la integridad están profundamente interrelacionados. Las organizaciones que comprendan esto no se limitarán a disponer de más tecnología. Contarán con un mejor nexo de unión en toda la empresa, y eso marcará la diferencia.