GRC e IRM son términos relativamente nuevos, aunque ambos han sido practicados por empresas mucho antes de que se acuñaran los términos.

Aunque a veces se usan indistintamente, se puede pensar en IRM como la ampliación del componente de riesgo de GRC. Veamos más de cerca las similitudes y diferencias a continuación.

¿Qué es la gobernanza, el riesgo y el cumplimiento?

La gobernanza, el riesgo y el cumplimiento se refiere a un conjunto integrado de capacidades para cumplir con los objetivos organizacionales, gestionar el riesgo y mantener el cumplimiento normativo.

Michael Rasmussen, de Forrester Research, etiquetó por primera vez GRC en 2002.

Se puede dividir en tres componentes principales (aunque otras disciplinas también caen bajo GRC). Estos tres componentes son:

• Gobernanza: las reglas, procesos y políticas que dirigen una organización y ayudan a cumplir sus objetivos
• Riesgo: los procesos técnicos diarios que existen para mitigar y monitorear el riesgo
• Cumplimiento: pasos que una empresa toma para cumplir con los estándares y regulaciones para operar de manera segura y legal

¿Qué es la gestión integrada de riesgos?

La gestión integrada de riesgos se refiere al conjunto integrado de capacidades para gestionar específicamente el riesgo. Estas capacidades incluyen prácticas, procesos, principios y tecnologías para mejorar la toma de decisiones y el rendimiento en torno a la gestión de riesgos.

Gartner acuñó el término en 2016 después de realizar una encuesta a finales de 2015, que mostró que la mayoría de los CEO y altos ejecutivos no estaban utilizando software de GRC o ni siquiera conocían el término. Sin embargo, muchos entendieron la importancia de las herramientas y prácticas de gestión de riesgos, por lo que Gartner redefinió su cobertura de GRC como Gestión Integrada de Riesgos (IRM).

Según Gartner, IRM tiene seis atributos que los líderes de riesgo y seguridad deben abordar para entender el alcance completo de los riesgos de su organización. Estos atributos forman un marco de gestión integrada de riesgos y se detallan a continuación.

• Estrategia: Esto se refiere a la habilitación e implementación de un marco que define cómo se identifica, evalúa, mide, monitorea y mitiga el riesgo. Un marco de IRM también debería ayudar a los individuos a entender cómo los riesgos están directamente relacionados con los objetivos empresariales y sus responsabilidades personales.
• Evaluación: Esto se refiere a la identificación, evaluación y priorización de riesgos según su impacto evaluado.
• Respuesta: Esto se refiere a la identificación e implementación de procesos para mitigar el riesgo o su impacto si ocurre un evento de riesgo.
• Comunicación e informes: Esto se refiere al seguimiento y la información a las partes interesadas de una organización sobre los mecanismos de respuesta a riesgos identificados previamente, así como los eventos de riesgo.
• Monitoreo: Esto se refiere a la identificación e implementación de procesos para rastrear los objetivos de gobernanza, la propiedad y responsabilidad del riesgo, la conformidad con las políticas y decisiones establecidas a través del proceso de gobernanza, los riesgos para esos objetivos y la eficacia de la mitigación de riesgos y controles.
• Tecnología: Esto se refiere al diseño e implementación de una arquitectura IRM a través del software IRM que puede actuar como una única fuente de verdad para los riesgos únicos de su organización, flujos de trabajo de mitigación de riesgos, propietarios de riesgos, protocolos de informes y procesos de monitoreo.

GRC vs IRM

¿Cuáles son las similitudes entre GRC e IRM?

Tanto GRC como IRM tienen el mismo objetivo: el logro continuo y confiable de los objetivos de la organización.

Para lograr este objetivo, ambos requieren una vista integral de todas las unidades de negocio, así como de los socios comerciales clave, proveedores y entidades externalizadas.

El software puede ayudar a proporcionar esta visibilidad al desglosar los silos de datos y conectar sistemas. También puede eliminar el trabajo redundante y manual para ayudar a la organización a alcanzar sus objetivos más rápido.

¿Cuáles son las diferencias entre GRC e IRM?

La diferencia clave entre GRC e IRM es su enfoque en el riesgo. Con GRC, la gobernanza, el riesgo y el cumplimiento son todas prioridades interrelacionadas. Primero, la gobernanza proporciona a una organización dirección y objetivos, que luego se utilizan para identificar y gestionar los riesgos que pueden impedir que la organización vaya en esa dirección o logre esos objetivos.

La gestión de riesgos no solo identifica la incertidumbre en torno al cumplimiento de sus objetivos, sino que también establece límites sobre cómo opera una organización. Estos límites pueden estar determinados por obligaciones voluntarias (como la ética o los contratos) u obligaciones obligatorias (como las leyes).

El cumplimiento es entonces cómo una organización demuestra que se ha mantenido dentro de esos límites y ha cumplido con sus obligaciones.

Con IRM, el riesgo está en primer plano. La tecnología, los procesos y los datos, así como las iniciativas de gobernanza y cumplimiento, se alinean en torno al objetivo de simplificar, automatizar e integrar la gestión de riesgos estratégicos, operativos y de TI en toda una organización.

A continuación, se muestra una tabla que resume otras diferencias clave.