fbpx

El modelo GRC integrado: gobernanza, riesgo y cumplimiento

Posted in Gestión del riesgo de fraude on febrero 19, 2024
The Integrated Grc Model

El modelo GRC integrado, o el modelo de capacidad de gobernanza, riesgo y cumplimiento tiene sus componentes. El clima de negocios actual es complejo y está sujeto a cambios. Incluso las pequeñas empresas, las organizaciones sin fines de lucro y las instituciones estatales enfrentan problemas que históricamente han afectado solo a las compañías internacionales más grandes.

Los requisitos regulatorios actuales son extensos y cambian constantemente, con efectos rápidos en la sostenibilidad de una organización. Para resolver estos problemas, las organizaciones han adoptado la visión de «Desempeño basado en principios», que es un enfoque para hacer negocios que ayuda a alcanzar los objetivos al tiempo que aborda las incertidumbres. El término «Rendimiento basado en principios» no tiene análogos en el idioma ucraniano, como «gestión del rendimiento».

Centrarse en el «Desempeño basado en principios» en todos los niveles de la organización establece un objetivo común y una cultura que apoya el éxito y permite el logro del objetivo establecido, teniendo en cuenta las amenazas y oportunidades y cumpliendo con todos los requisitos reglamentarios aplicables.

En la actualidad, los modelos integrados de Gobernanza, Riesgo y Cumplimiento están ganando más popularidad en el ámbito internacional, uno de los cuales es el Modelo de Capacidad GRC. Este modelo fue desarrollado por la famosa estadounidense OSEG.

La organización que se esfuerce por lograr un «desempeño basado en principios» tendrá varias oportunidades integradas para el desarrollo sostenible. 

El Modelo Grc Integrado

Las capacidades del modelo GRC integrado

El modelo de capacidad de GRC describe las siguientes capacidades: aprender, alinear, realizar y revisar. El modelo contiene cuatro componentes principales y 20 elementos que definen cada uno de los componentes.

Los componentes del modelo de capacidad GRC

Los componentes del modelo describen un proceso iterativo de mejora continua para lograr un «Rendimiento basado en principios». Los componentes del modelo funcionan simultáneamente siempre que haya una secuencia implícita.

La lista de los componentes del modelo

  • APRENDER– Aprender y analizar el contexto, la cultura y las necesidades de las partes interesadas para determinar lo que la organización debe saber para establecer y mantener objetivos y estrategias.
  • ALINEAR– Alinear con valores comparables los resultados de las actividades, los objetivos de gestión de riesgos y cumplimiento, los objetivos estratégicos, los criterios de toma de decisiones, las acciones y los medios de control sobre el contexto, la cultura y los requisitos de las partes interesadas.
  • REALIZAR– Abordar amenazas, oportunidades y requisitos, fomentando la celebración deseada de eventos y previniendo lo no deseado mediante la adopción de medidas proactivas/detectivesivas/adaptativas y la aplicación de controles.
  • REVISIÓN– Realizar actividades de monitoreo e incremento de la efectividad del diseño y explotación de todas las acciones y medios de control, incluyendo su alineación constante con metas y estrategias.

El componente «LEARN» 

Comprender los contextos externos e internos en los que opera la organización y la cultura de la organización es un paso prioritario en la definición de los objetivos, la estrategia y la estructura de la organización. Las organizaciones existen para lograr ciertos objetivos, que a menudo están dictados por las oportunidades y necesidades identificadas en el contexto externo. El contexto interno y la cultura a menudo determinan qué medidas elige la organización para lograr estos objetivos.

Aprender y comprender el contexto es crucial para desarrollar metas, estrategias y oportunidades apropiadas. Las organizaciones deben asegurarse de que los cambios significativos se supervisen adecuadamente a medida que el contexto evoluciona y cambia constantemente. También deben darse cuenta de que, aunque pueden influir en el contexto, algunos aspectos están fuera de su control.

Es importante comprender el contexto y la cultura de la organización, así como las necesidades y requisitos de las diversas partes interesadas, para crear y mantener las capacidades de GRC de la organización correspondiente.

Los aspectos exactos del contexto variarán según el ámbito de aplicación, la escala y el estilo de la organización. Sin embargo, en cada caso, es esencial:

  • Comprender el contexto externo e interno y las oportunidades de cambio;
  • Considerar que un cambio en el contexto puede llevar a la necesidad de revisar los objetivos, la estrategia, la evaluación de riesgos o las acciones y medios de control identificados;
  • Definir la cultura de la organización en gestión, gestión de riesgos y capital humano;
  • Comprender las necesidades y requisitos de las diversas partes interesadas; y
  • Identificar y planificar las relaciones con los grupos de interés.
El Modelo Grc Integrado

El componente «ALIGN»

El rendimiento basado en principios requiere alineación. Las decisiones sobre oportunidades, amenazas y requisitos de cumplimiento deben ajustarse al contexto, la cultura organizacional y los criterios de toma de decisiones. Los indicadores clave de rendimiento son indicadores clave de riesgo. Los indicadores clave de cumplimiento deben ser coherentes con los objetivos estratégicos establecidos y los criterios de toma de decisiones. La determinación del apetito y la tolerancia al riesgo y los criterios de toma de decisiones proporcionarán un enfoque unificado para evaluar los riesgos financieros y la eficacia de los controles de cumplimiento, proporcionando a la administración información sobre los actos requeridos.

Las organizaciones deben considerar las fuerzas, eventos y condiciones que pueden afectar el logro de los objetivos a través de las estrategias definidas. Deben evaluar los niveles inherentes y residuales de riesgo y el cumplimiento de los requisitos, lo cual es necesario para garantizar que las acciones y los medios de control apropiados permanezcan dentro de los niveles de tolerancia definidos, al tiempo que se alcanzan los niveles deseados de rendimiento y cumplimiento.

Los aspectos exactos de la coordinación variarán según el ámbito de aplicación, la escala y el tipo de organización. Sin embargo, es importante:

  • Asegurar la dirección de la toma de decisiones a través de la misión, la visión y los criterios de toma de decisiones;
  • Definir estrategias para alcanzar los objetivos que cumplan con los criterios de toma de decisiones;
  • Identificar y monitorear oportunidades, amenazas y requisitos de cumplimiento y evaluar cómo afectan los objetivos de la organización;
  • Crear planes de acción asignando los recursos necesarios y financiando la influencia de los elementos disuasorios que dificultan el logro de los objetivos;
  • Asegurar la gestión corporativa y desarrollar directrices para la administración sobre los criterios apropiados de toma de decisiones; y
  • Establecer objetivos estratégicos y ponerlos en cascada en todos los niveles de la organización.

El componente «PERFORM»

Para lograr el Desempeño Basado en Principios, la organización debe tomar procedimientos y utilizar medios de control para garantizar que se minimice la incertidumbre y que se alcancen escrupulosamente los objetivos establecidos. Es necesario fomentar activamente el comportamiento apropiado y las medidas que apoyan estos objetivos y tratar de prevenir los factores que amenazan el logro de estos objetivos. Es posible analizar el progreso de las metas para identificar comportamientos indeseables.

La organización debe reaccionar adecuadamente al comportamiento deseable e indeseable. La reacción incluye disciplina, motivación para el comportamiento apropiado y el análisis y recomendación de cambios relacionados con las debilidades identificadas en el proyecto o la efectividad operativa de las acciones y el control.

Las acciones y los medios de control se clasifican, por regla general, en procesos, capital humano, tecnología y tipos físicos de control. La forma en que cada organización integra y toma diferentes tipos de acciones y utiliza diferentes medios de control en la práctica dependerá de las oportunidades, amenazas y requisitos de cumplimiento identificados, así como de la influencia que cada tipo de control tiene en la actividad de la organización en función de diferentes evaluaciones y consideraciones.

Hoy en día, muchas organizaciones tienen la tecnología que les permite recopilar, clasificar y analizar datos como nunca antes. Esta capacidad puede apoyar los esfuerzos para detectar, prevenir e incluso predecir los eventos y comportamientos que se pueden resolver a través de diversas acciones y medios de control.

Varias acciones clave y medios de control se aplican en casi todas las organizaciones, y son, por regla general, respaldados por diferentes tipos de tecnología.

El Modelo Grc Integrado

El componente «REVIEW»

Para lograr el Desempeño Basado en Principios, la organización debe monitorear y medir la efectividad de los medios de control utilizados, asegurar su mejora continua y proporcionar seguridad de las acciones y medios de control establecidos para garantizar que se utilicen correctamente.

Los cambios en el contexto externo e interno pueden alterar los riesgos inherentes y residuales y los objetivos de cumplimiento. Cuando la efectividad operacional es baja en el contexto interno o externo, la organización debe actualizar sus acciones y controles que cumplan con los requisitos de los criterios de toma de decisiones. En algunos casos, también deberá revisar los objetivos y las estrategias.

En este caso, se pueden aplicar varias acciones clave y medios de control que tienen la mayor efectividad. Entre ellos se encuentran:

  • Supervisar la eficacia de todas las acciones y medios de control identificados;
  • Asegurar una garantía del correcto diseño y eficacia de las acciones de control y medios de control, determinando su influencia en la consecución del objetivo (procedimientos clave de control). La auditoría interna de la organización proporciona principalmente tales garantías;
  • Proporcionar ciclos de retroalimentación y la evaluación de las «lecciones aprendidas»; y
  • Si es necesario, mejorar el diseño y la eficacia operativa de las acciones identificadas y los medios de control.

En general, los modelos GRC brindan a las empresas la oportunidad de adoptar un enfoque integral del concepto GRC, permitiéndoles resolver las siguientes tareas:

  • Estructurar, automatizar y aumentar la eficacia de los procesos de negocio;
  • Proporcionar almacenamiento centralizado y acceso a la información;
  • Formar informes de gestión detallados y agregados;
  • Administrar eficazmente los derechos de acceso de los usuarios;
  • Automatizar modelos de cálculo; y
  • Reduzca los gastos de soporte a los procesos de negocio.

A su vez, la implementación de un modelo GRC integrado es un proceso que requiere mucho tiempo. Sin embargo, según la investigación realizada por OCEG, en más del 70 por ciento de los casos, los resultados obtenidos de la implementación de sistemas GRC cumplieron plenamente con las expectativas de los clientes.

Los resultados más significativos de la implementación de sistemas integrados GRC fueron los siguientes:

  • Reducción del número de deficiencias en los procesos de gestión de riesgos y cumplimiento en un 71%;
  • Reducción de la duplicación de funciones/medidas en un 62%;
  • Aumento de la eficacia del suministro de información en un 58%;
  • Aumento de la eficacia del acceso a la información requerida en un 57%;
  • Aumento de la efectividad de los procesos en un 48%;
  • Reducción de la influencia de la divergencia de los enfoques de evaluación del riesgo en un 35%; y
  • Reducción de los gastos en el mantenimiento de procesos GRC en un 32%.

La implementación de GRC integrado requiere madurez en los procesos comerciales, gestión de riesgos y requisitos de cumplimiento. La implementación de un modelo GRC integrado es la elección de las organizaciones de alta tecnología y progresistas que buscan transformar la información acumulada en ventajas competitivas.

Reflexiones finales

Gobernanza, riesgo y cumplimiento, o GRC es una estrategia integrada que permite a las organizaciones administrar el gobierno, el riesgo y el cumplimiento organizacional de manera más efectiva. Un programa integral de GRC consta de dos componentes: una estrategia integrada que ayuda a las organizaciones a administrar el gobierno, los riesgos y el cumplimiento de la industria, y las herramientas y procesos utilizados para centralizar, administrar e implementar una solución de GRC en toda la empresa.