En el año 2001 la empresa energética Enron protagonizaba un escándalo sin precedentes, tras descubrirse que había falseado sus estados financieros de forma reiterada durante años. Esta situación no sólo provocó el desmoronamiento bursátil del grupo, sino que también acabó con consecuencias penales para los principales administradores y fue el detonante para que las autoridades decidieran tomar cartas en el asunto.
Cinco años después nace el concepto GRC, formulado como una disciplina focalizada en el gobierno corporativo, la gestión de riesgos y el cumplimiento normativo. Su finalidad era clara: evitar que se repitieran acontecimientos como los del caso Enron.
GRC vive sus primeros compases en enero de 2007, con la aprobación de la normativa SOX (Sarbanes-Oxley), de obligatorio cumplimiento para toda empresa cotizada en Estados Unidos. Desde este momento hasta hoy se han ido formulando multitud de normativas que afectan a todos los ámbitos y tipologías de empresa (SCIIF, LOPD, FDA, entre otras).
En la actualidad, existe un entorno altamente regulado tanto por los mercados, como por las administraciones y entidades reguladoras allí donde operan. Un entorno que no debe contemplarse como una imposición o un obstáculo, sino como un aliado de la empresa, sobre todo para las áreas de dirección financiera, control interno, dirección de auditoría interna, dirección de riesgos o seguridad IT.
Problemas para adaptar los principios de GRC
Sin embargo, son muchas las organizaciones que tienen todavía problemas para adaptar los principios de GRC a su actividad sin asegurar el menor impacto en su modelo de negocio.
Entre otros aspectos, encuentran dificultades a la hora de componer el mapa de riesgos de la compañía de forma centralizada. Esto impide analizar, cuantificar y cualificar el impacto del riesgo con el objetivo de evitar o reducir su alcance.
En algunos casos tampoco tienen en cuenta la necesidad de contar con un sistema de control efectivo que se adapte a las normativas de obligado cumplimiento, que evalúe la efectividad, identifique defectos basados en la ejecución, establezca planes de subsanación de errores y, en definitiva, que asegure la calidad de los procesos.
La gestión del ciclo completo de supervisión de las áreas de auditoría interna es otro de los puntos flacos de muchas empresas. El objetivo de este procedimiento no es otro que reducir la carga administrativa, mejorar la calidad de las auditorías, brindar información clave para la organización y simplificar y organizar la documentación generada.
Por último, aunque pueda parecer un factor secundario, son muchas las organizaciones que olvidan la importancia de definir las reglas de segregación de funciones y accesos críticos que debe cumplir toda persona que acceda a los sistemas de la empresa, así como facilitar de forma centralizada y con criterios unificados la gestión de accesos a sistemas.
En definitiva, y a pesar de que la normativa y, por tanto su cumplimiento, es una realidad desde hace tiempo, el control corporativo y la gestión de riesgos requiere de un enfoque estratégico y tecnológico que simplifique la adopción de los estándares impuestos por las entidades reguladoras; la evaluación y monitorización de los procesos para conseguir los objetivos establecidos y la optimización de los procesos internos para reducir así las cargas administrativas y la gestión eficaz de los modelos de riesgo y control.
En este sentido, realizar una gestión integral del proceso GRC con soluciones tecnológicas especializadas, evitará a la organización malgastar tiempo y recursos, pero también incurrir en deficiencias que deriven en consecuencias graves para la viabilidad del negocio. El mercado ofrece distintas alternativas adaptadas a las necesidades de negocio y económicas de cada compañía, por lo que no hay excusa para no cumplir con estos principios.
Autor: Manuel Puerta Sánchez
Project Team Leader – Area GRC (Governance, Risk & Compliance) de Stratesys
La entrada GRC, ¿obstáculo o aliado de la empresa? aparece primero en Diario Jurídico.
Fuente: Diario Jurídico
