Este artículo resume el ameno conversatorio que llevamos a cabo hace unos días con Andres Ricardo Almanza Junco en su espacio de CISOS.CLUB en su Diflexión del CyberWorld sobre lo divino y lo humano de GRC. No pretende ser una colección de Likes, sino una mirada sincera al no entendimiento generalizado de lo que es (acrónimo de Gobierno, Riesgo y Cumplimiento) con base en las preguntas realizadas en la sesión.

Pregunta: ¿Qué es lo no entendido de los sistemas GRC?

Respuesta: Considero que esta NO es la pregunta correcta (aunque la voy a responder más adelante)? Devolviéndome hacia los conceptos base, la pregunta podría ser: “Qué es lo NO entendido de las capacidades GRC?” Y aquí podríamos tener todo un mes de Diflexiones. La aclaración proviene del concepto de GRC: Según la OCEG (Open Compliance and Ethics Group) GRC (Gobernanza, Riesgo y Cumplimiento) es el conjunto integrado de capacidades que permiten a una organización alcanzar objetivos de manera confiable, abordar la incertidumbre y actuar con integridad para lograr un desempeño basado en principios.

Haciendo una analogía con el BMIS de ISACA, un modelo integral GRC debería estar conformado por los siguientes recursos:

1) La Organización,

2) Los Procesos (en este caso procesos de Gobierno, Riesgos y Cumplimiento),

3) Las Personas (Directores, consultores, personal operativo de GRC, etc.), y

4) La Tecnología (aquí es donde aparecen las soluciones GRC).

Por ende, si p. ej. la organización no está preparada, no posee cultura GRC o no se habla de GRC a alto nivel; si los procesos de GRC son inexistentes o inmaduros; si las personas no tienen el conocimiento, experiencia o competencias requeridas, o una combinación de todas estas... es válido pretender que una herramienta GRC perse supla estas falencias ? Es como si a una mesa de cuatro patas, le pides estabilidad cuando hay una o más patas inexistentes o cortadas (!) Por ende, el modelo debe ser integral y cohesionado y va más allá de una solución de software.

Con esta precisión, ahora sí respondo la pregunta inicial: ¿Qué es lo no entendido de los sistemas GRC?

Aplicando modelos de madurez al apoyo tecnológico para GRC, buena parte de los interesados está en los niveles 1-Inconsistente o 2-Fragmentado. Y cuando adquieren este tipo de soluciones no se percibe valor por:

a) Se implementa como otros software, no como herramienta de gestión. Muchas organizaciones adquieren una herramienta GRC creyendo que están comprando “cumplimiento automatizado”. Pero GRC no es tecnología: es un marco de gestión que debe estar claro antes de digitalizarse.

b) Se perciben como herramientas de control, no como herramienta para toma de decisiones: En muchas organizaciones GRC se asocia con sistemas que revisan/vigilan, no con sistemas que apoyan decisiones estratégicas.

 c) Falta de apropiación cultural y liderazgo transversal: GRC por naturaleza debe ser transversal, pero en la práctica se queda “encerrado” en silos. El problema no es técnico, es cultural.

Pregunta: Por qué los sistemas GRC son entendidos como una regla inflexible de cumplimiento y nada más?

Respuesta: Gran pregunta. Te desgloso la respuesta en 3 causas principales:

a) Nacen desde el dolor regulatorio, no desde la estrategia: En muchos sectores la adopción de GRC no surge por visión estratégica sino por presión normativa. El mensaje que prima es: “Necesitamos esto para cumplir.”, No: “Necesitamos esto para tomar mejores decisiones.”

b) Se implementan desde áreas de control, no desde la alta dirección: Muchas veces el patrocinador es: Auditoría interna, Cumplimiento, Riesgos. Rara vez el CEO o el comité estratégico lo presenta como herramienta de gestión.

c) No se conectan con decisiones reales: La organización no ve el GRC como un habilitador de negocio, sino como un mecanismo de vigilancia. Y eso cambia completamente la relación emocional con la herramienta.

Pregunta: Cómo pasar la barrera para que se conviertan en instrumentos ejecutivos y de toma de decisiones?

Respuesta Aquí entramos en un terreno bastante espinoso. Porque pasar de “sistema de cumplimiento” a “instrumento ejecutivo” no es un ajuste técnico… es un cambio de posicionamiento organizacional. Menciono 2 elementos claves a tener en cuenta:

a) Patrocinio visible de la alta dirección. Sin patrocinio visible del CEO o la Junta, el GRC seguirá siendo funcional.

La transformación se obtiene cuando el sistema GRC se convierte en instrumento ejecutivo y la pregunta cambia de “¿Estamos cumpliendo?” a ¿Estamos asumiendo riesgos coherentes con nuestra estrategia?” o “como se ve afectado nuestro EBITDA por la materialización de un riesgo crítico?”

b) Cambiar el momento de uso: Normalmente cuándo se consulta un GRC?:

·         Cuando lo pide el regulador

·         Antes de una auditoría

·         Cuando ocurre algo (incidentes, evento de riesgo, crisis)

Un GRC debería estar presente en:

·       - Comité estratégico

·       - Comité de Riesgos

·       - Comité de Crisis

Cuando se usa el GRC en decisiones reales a alto nivel, cambia su estatus!

Por último: Una reflexión final: Una herramienta GRC no transforma una organización. Un proceso y modelo de gestión claro, sí.

Si desea ver la entrevista completa, la puede encontrar en:

- https://www.linkedin.com/event/manage/7429982072397529088, o

- https://www.youtube.com/watch?v=qkgjM2W7j84

Cómo podemos ayudarle?

A través de los servicios de Gestionar Asesores podemos ayudarle en:

·         Evaluación de madurez en GRC y diagnóstico situacional

·         Definición e implementación de procesos GRC y alineación con objetivos del negocio

·         Acompañamiento para la puesta en marcha de GlobalSuite GRC