Qué es un sistema GRC y por qué es cada vez más necesario en el entorno corporativo
El sistema GRC es relativamente nuevo en el escenario corporativo. Apenas en 2007 se empieza a hablar de esta sigla que, a grandes rasgos, define la integración de esfuerzos que permiten lograr objetivos, dentro de un marco de seguridad y respetando los más estrictos cánones éticos y de cumplimiento.
Los elementos que se integran en el sistema son tres, y cada uno de ellos está definido en cada letra de la sigla: Gobernanza, Riesgo y Cumplimiento. A continuación, explicamos qué significa cada uno de estos elementos, cómo funciona el sistema y por qué es necesario en el entorno corporativo moderno.
¿Cuáles son los elementos que conforman el sistema GRC?
Gobierno, riesgo y cumplimiento, componentes del sistema GRC, tienen alcance sobre todas las áreas y todos los niveles de la organización. Desde el área de servicios generales, hasta la Alta Dirección, pasando por contabilidad, Recursos Humanos, financiera o comercial, todos tienen que ver con GRC.
Es importante entender qué significa cada uno de estos elementos, dentro del contexto del Sistema:
1. Gobernanza
Por ‘gobernanza’ se entiende la implementación de políticas, creadas desde la Alta Dirección, para asegurar que todos los procesos de la organización, en todos los departamentos, ubicaciones y niveles, se alineen con los objetivos de negocio de la organización.
Estas políticas se comunican de forma precisa, completa, comprensible y en el momento indicado, a todos los gerentes y directores de departamento o de área, con el fin de que tomen decisiones que apoyen las directrices procedentes de la Alta Dirección.
2. Riesgo
La ‘gestión de riesgos’ es un elemento esencial en toda organización. Sin embargo, en un sistema GRC implica que todas las decisiones que se tomen, todos los procesos que se implementen, todos los controles que se adopten, se hagan considerando los riesgos y las oportunidades.
3. Cumplimiento
El ‘cumplimiento‘ implica que la organización considere, en todos sus procesos y actividades, cumplir con las leyes y normas, pero también con los requisitos de organismos reguladores, los acuerdos suscritos con terceros o los compromisos que la organización haya asumido de manera unilateral con sus trabajadores, con la comunidad o con cualquier otro vinculado externo.
¿Qué es un sistema GRC?
Con estos tres elementos en mente, un sistema GRC es la integración estratégica de estos en un único sistema, con alcance sobre toda la organización. Los tres elementos son omnipresentes en todas las áreas operacionales. Sin embargo, con mayor énfasis en algunas áreas concretas:
- Gestión de Riesgos.
- TI.
- Protección de Datos y Seguridad de la Información.
- Gestión de Calidad.
- Gestión de Cumplimiento.
- Área legal.
- Contabilidad.
- Finanzas.
- Recursos Humanos.
¿Por qué es importante implementar un sistema GRC?
Para una organización moderna, generar ingresos no lo es todo. Es apenas uno de varias obligaciones. Es necesario cumplir con muchas normas –cada vez más-, producir productos y servicios de calidad, cuidar el planeta y asegurar el bienestar de muchas personas, empezando por los trabajadores.
Un sistema GRC es la herramienta apropiada para cubrir tantos frentes. Las razones específicas que impulsan la adopción de un sistema GRC son:
1. Marco regulatorio estricto
Las organizaciones enfrentan un marco regulatorio cada vez más estricto y la tendencia es que la regulación siga en aumento. Temas como la Seguridad de la Información, Protección de Datos o Seguridad en el Trabajo tendrán aún mayores controles y requisitos por parte de organismos reguladores en años venideros.
2. Cambios culturales
Los estallidos sociales, cada vez más frecuentes, de sectores que reclaman mayores garantías laborales, para las diferentes expresiones sexuales, para los grupos étnicos minoritarios, también impactan la forma de operar de las organizaciones.
Los consumidores quieren proveedores de productos y servicios que respeten los derechos de todas las personas, y que protejan sus datos y su información.
3. Ataques y amenazas digitales
Los ciberataques y las amenazas digitales preocupan a la organización, pero también a sus clientes, a sus trabajadores y a sus proveedores. Se trata de incidentes que se presentan cada día en mayor número, y que tienen un alto impacto negativo sobre la reputación de la organización.
4. Solicitudes de las partes interesadas
Inversores, empleados, contratistas, representantes comerciales, proveedores e, incluso, clientes y miembros de la comunidad, quieren que las organizaciones escuchen su voz y que se les permita verificar que se observa la transparencia, la ética y las mejores prácticas de negocio en todos los procesos.
5. Globalización
Los riesgos de cumplimiento, de corrupción o de infracciones a la seguridad informática, entre los más relevantes, incrementan como resultado de la posibilidad de tener clientes, contratistas, empleados, inversores y otros terceros, en cualquier lugar del mundo. Esos lugares, vale la pena resaltar, cuentan con leyes diferentes que implican riesgos de cumplimiento adicionales.
6. Altos costes de gestión
En el caso de la gestión de riesgos y la gestión de cumplimiento, desarrollarlas en silos, separadas y aisladas, suele incrementar los costes ya que existe duplicidad en la gestión en muchos procesos. El sistema GRC, al integrar la gestión de cumplimiento con la gestión de riesgos, permite disminuir costes y aumentar la efectividad.
7. Protección ante eventos disruptivos
El enfoque permanente en el riesgo hace que las organizaciones que implementan un sistema GRC estén preparadas para afrontar eventos disruptivos inesperados que pueden interrumpir la operación de muchas empresas.
¿Qué aporta la tecnología a un sistema GRC?
El sistema ofrece muchos beneficios, pero también plantea complejos desafíos. En particular, la gestión de riesgos y la gestión de cumplimiento necesitarán sustituir procesos manuales por soluciones informáticas que los automaticen.
El uso de un software que automatice la gestión GRC permite digitalizar y agilizar los procesos, funciones y operaciones típicas de un sistema GRC:
- Gestión de documentos.
- Gestión oportuna de riesgos.
- Gestión de flujos de trabajo.
- Gestión de auditorías.
- Visión panorámica de la gestión a través de un panel central.
- Generación de informes con indicadores clave de rendimiento.
Software ISO 37301 de ISOTools
La tecnología adecuada permite a las organizaciones enfrentar estos desafíos con mucha mayor eficiencia y control centralizado, reemplazando los procesos manuales obsoletos (y los riesgos inherentes a ellos).
El Software ISO 37301 de ISOTools es una herramienta avanzada que permite asegurar el cumplimiento legal y mantener los riesgos bajo control de forma integrada con otras áreas clave de gestión.
Si tu organización quiere impulsar su gestión hacia el futuro, solicita ahora más información acerca de ISOTools.