En un estudio histórico, se descubrió que la mala conducta en el lugar de trabajo le cuesta a las empresas de EE. UU. 20 mil millones de dólares al año.
Esa cifra impactante no incluye el costo del error humano, el incumplimiento, los ciberataques y otros problemas que enfrentan las organizaciones.
GRC aborda todos estos aspectos y puede ayudar a una organización a alcanzar sus objetivos comerciales, gestionar y reducir riesgos, y mantenerse en cumplimiento con los estándares y regulaciones de la industria. A continuación, profundizaremos en este concepto importante.
¿Qué es GRC?
GRC se refiere a una estrategia a nivel organizacional que combina las funciones de gobernanza corporativa, riesgo y cumplimiento.
Individualmente, cada una de estas funciones tiene su propio conjunto de reglas, regulaciones y responsabilidades. Esto hace que sea fácil para las organizaciones tratar estas funciones como algo que pertenece a un departamento o persona, pero aislarlas de esta manera puede conducir a la fragmentación, una mala integración y una pérdida de información, entre otros problemas.
En lugar de mantener aislados los elementos de gobernanza, riesgo y cumplimiento, una estrategia de GRC reconoce la superposición entre estos tres componentes y fomenta la colaboración entre equipos.
Al alinear a los principales interesados, idealmente de los departamentos de gobernanza, riesgo, cumplimiento, seguridad, auditoría, finanzas, legal, TI y RRHH, así como de la suite ejecutiva y la junta directiva, una estrategia de GRC puede ayudar a su organización a identificar, abordar y reducir los problemas mencionados anteriormente, y lograr sustentabilidad y eficiencia.
¿Por qué es importante GRC?
GRC es importante porque combina las funciones de gobernanza corporativa, riesgo y cumplimiento en una sola estrategia. Los beneficios de esto son significativos e incluyen lo siguiente.
Mayor visibilidad de los riesgos que enfrenta una organización
Las empresas de hoy operan en ambientes distribuidos, dinámicos y disruptivos. Esto significa que incluso riesgos pequeños pueden convertirse en grandes problemas si no se entienden o gestionan correctamente. Con una estrategia de GRC, las organizaciones pueden identificar mejor los riesgos individuales, entender cómo pueden afectar el desempeño y los objetivos, y responder a ellos.
Mejora de la eficiencia operativa
Una estrategia de GRC anima a los principales interesados a abordar las actividades de gobernanza, riesgo y cumplimiento de manera madura y a apoyarse mutuamente para lograr continuamente los objetivos organizacionales. Esto puede ayudar a las organizaciones a repetir procesos de manera coherente, eliminar actividades duplicadas y reducir costos, todo lo cual mejorará significativamente la eficiencia operativa.
Recolección de información de alta calidad sobre riesgos, oportunidades y objetivos para ayudar a informar las estrategias de la empresa
Un programa GRC, especialmente uno que aproveche el software GRC, puede permitir a su organización recopilar información de alta calidad sobre riesgos, oportunidades y objetivos. Esto puede ayudar a su organización a tomar decisiones basadas en datos que aceleren su crecimiento.
Garantía de cumplimiento continuo con los estándares y regulaciones requeridos.
Un programa de GRC puede ayudar a alinear a las partes interesadas clave para implementar controles de seguridad que protejan los datos de los clientes y cumplan con los requisitos de cumplimiento, incluso a medida que estos evolucionen con el tiempo.
Lectura recomendada
Guía esencial de marcos de seguridad y 14 ejemplos
Read MoreHistoria de GRC
GRC fue definido, modelado y etiquetado por primera vez por Michael Rasmussen en 2002, cuando trabajaba como vicepresidente y analista en Forrester Research. Luego trabajó con el Open Compliance and Ethics Group (OCEG) para desarrollar y refinar el Modelo de Capacidad GRC.
Según el OCEG, el objetivo de GRC es ayudar a las organizaciones a lograr un Rendimiento Principled® (Rendimiento Basado en Principios), que abarca lo siguiente:
- lograr objetivos de manera confiable
- abordar la incertidumbre
- actuar con integridad.
Cada una de estas se alinea con los tres componentes de GRC: “lograr objetivos de manera confiable” es el componente de gobernanza, “abordar la incertidumbre” es el componente de gestión de riesgos, y “actuar con integridad” es el componente de cumplimiento.
Lograr los tres, o el Rendimiento Principled, debería permitir a las organizaciones de todas las formas y tamaños operar en el contexto de condiciones volátiles, inciertas, complejas y ambiguas, que conforman el entorno empresarial actual.