cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 

A continuación compartimos el resumen de la sesión con las preguntas hechas por nuestra directora de servicios a Michael Rasmussen.


¿Cuál es la definición personal de Michael Rasmussen de GRC, para qué sirve el GRC y por qué las empresas deberían implementarlo?

Rasmussen se apoya en la definición de "OCEG" para GRC que se encuentra en el modelo de capacidad de GRC que es muy popular en América Latina; así que GRC es una capacidad para lograr objetivos de manera confiable, abordar la incertidumbre y la integridad activa. Al final del día, las organizaciones hacen GRC, no compran GRC; gobierno, gestión de riesgos y cumplimiento, estas son acciones, actividades y comportamientos en la organización. Plataformas de GRC- como la de MEGA- habilitan el GRC, lo hace más eficiente, efectivo y ágil. MEGA tiene una gran propuesta de valor para hacer que las organizaciones estén mejor gobernadas para lograr sus objetivos, gestionar la incertidumbre y el riesgo en esos objetivos dentro de los sistemas y procesos, y la integridad activa en ese contexto.

 

En la región de América Latina se percibe que las organizaciones ven a la gestión de riesgos principalmente como un ejercicio regulatorio y no entienden que, de hecho, respalda la estrategia de la organización.

M.R. comentó que el hecho de que las organizaciones lo vean solo como un ejercicio regulatorio y de cumplimiento es realmente desafortunado, el riesgo debe tener una perspectiva empresarial y debemos ser capaces de centrarnos en eso y comprender qué es el "riesgo"… El riesgo es gestionar la incertidumbre para que la organización logre sus objetivos, esos objetivos pueden ser objetivos a nivel de entidad para toda la organización, pueden ser objetivos a nivel de división o departamento, pueden ser procesos o proyectos, u objetivos a nivel de activos como información personal y activos. El riesgo es el efecto de la incertidumbre en el logro de esos objetivos; es necesario ser competitivos en el entorno, asumimos riesgos para obtener mayores ganancias y beneficios para la organización, el riesgo nunca debe ser solo un ejercicio regulatorio, el riesgo debe ser aceptado por la organización como una forma de alcanzar los objetivos de negocio.

 

¿Qué es el modelo de 3 líneas y cómo se alinea dentro de una organización?

M.R. encuentra el modelo de tres líneas muy útil y práctico para entender el GRC y aplicarlo a la organización. La tercera línea es el rol de auditoría y aseguramiento, ese departamento de auditoría interna, está ahí para garantizar que los controles en las organizaciones funcionen de manera efectiva y operativa, y que la organización está administrando el riesgo de manera efectiva y apegándose a las obligaciones de cumplimiento. La segunda línea comenta que es probablemente de lo que muchos de nosotros aquí somos parte, y esa es la oficina administrativa, operaciones de riesgo y cumplimiento, seguridad de TI, riesgo empresarial y operativo, cumplimiento corporativo, controles internos, son las funciones que son responsables de administrar el riesgo de gobierno y cumplimiento, GRC, día tras día. La primera línea es lo que le parece más interesante, porque de acuerdo con el instituto de auditores internos, incluye desde la dirección ejecutiva hasta la dirección media y la gestión operativa, pero M.R. argumenta que esta se extiende hasta el empleado de primera línea, el cajero del banco toma decisiones de riesgo y cumplimiento sobre el manejo de efectivo, lavado de dinero, privacidad y más todos los días, el médico y la enfermera en un hospital toman decisiones de seguridad y privacidad del paciente todos los minutos del día, son los empleados de primera línea los que también están preocupados porque están tomando y administrando riesgos, así como la gerencia media y ejecutiva, es la primera línea la que posee el riesgo.

 

¿Cómo el GRC habilita la agilidad y cómo podemos identificar mejor los riesgos con una metodología ágil?

M.R. comenta que actualmente hay mucho enfoque en la resiliencia, y la resiliencia es importante, pero también se necesita de la agilidad, por ejemplo, si estoy corriendo por la calle y me tropiezo con un obstáculo como un tronco que está en mi camino o hay un hoyo, la resiliencia es el concepto de qué tan rápido puedo levantarme y empezar a correr de nuevo, la resiliencia es la capacidad de recuperarme de un evento de riesgo, y los eventos de riesgo ocurren, y las organizaciones necesitan ser resilientes para que cuando haya desastres como huracanes y terremotos, o riesgos económicos y geopolíticos y mucho más, podamos recuperarnos de ellos, necesitamos ser resilientes para recuperarnos rápidamente y poner a los sistemas, procesos y operaciones de vuelta en su lugar, pero cuánto más se necesita que un beneficio también sea ágil, para poder ver más allá, de nuevo usando esa analogía de correr, si estoy corriendo por el camino y hay un tronco o algún tipo de agujero, si puedo ver eso con anticipación y puedo saltar sobre él o rodearlo, donde no me impacte, eso es agilidad, agilidad es la capacidad de ver lo que viene hacia nosotros en la organización y poder preparar a la organización para ese potencial evento de riesgo, para ser evitado o mitigado en su impacto sobre nosotros, por lo que las organizaciones deben ser resilientes, pero también sostiene que deberían invertir en agilidad, y esa agilidad requerirá una buena comprensión de nuestras operaciones, nuestros objetivos , procesos, sistemas, cómo funcionan y fluyen las cosas en la organización, lo que requiere de una arquitectura empresarial sólida y un enfoque de modelado de procesos comerciales para GRC, y poder ver lo que se avecina en la organización y pasar por esos escenarios, preparar a la organización para que pueda ser ágil, debemos comenzar a pensar en la agilidad del riesgo empresarial en el contexto de GRC.

 

¿Cómo se puede fomentar un enfoque más integrado para gestionar todos esos riesgos?

M.R. dice que se necesita una buena estrategia, proceso y tecnología que pueda ayudarnos a ver una perspectiva completa del riesgo, necesitamos una conciencia situacional completa para poder ver todo lo que se nos viene encima y cómo se interrelacionan. Hay riesgos que están interconectados e interdependientes, covid 19 es un ejemplo, lo que comienza como riesgos de salud y seguridad, impacta los riesgos de seguridad de TI en el entorno de trabajo desde el hogar, impacta la privacidad en el entorno de trabajo desde el hogar, hay riesgos culturales en la organización debido a la incertidumbre, existe un mayor riesgo de soborno y corrupción porque la importación y exportación no se cierra y los bienes están pasando de forma limitada, y hay límites en los contratos y permisos gubernamentales, hay tantos riesgos que es un entorno de riesgo interconectado, las organizaciones fallan cuando gestionan el riesgo en silos que no se comunican entre sí. Necesitamos mostrar las relaciones de riesgo en esta interconectividad de riesgos y debemos hacerlo desde un contexto comercial y comprender cómo la variedad de riesgos se cruza y caen en cascada unos sobre otros.

 

¿Cuáles son los marcos regulatorios que las empresas deben conocer para establecer una buena gestión de riesgos y prácticas de cumplimiento?

M.R. comenta que hay marcos de control interno como el marco de control interno COSO y el marco de gestión de riesgos, el instituto de auditores internos tiene el modelo de 3 líneas que nos ayuda a brindar perspectiva allí, me gusta el Modelo de capacidad de GRC de la OCEG para la estructura y el programa general de riesgo y cumplimiento de gobierno, ISO tiene una variedad de estándares que debemos conocer, tienen el ISO 31000, que es el estándar de gestión de riesgos, tienen el ISO 27000, que es el estándar de seguridad de la información, hay otros estándares ISO para soborno y corrupción, cumplimiento y ética corporativos, ESG, pero lo que es realmente importante es abordar el GRC como el cuerpo humano, cuando observamos el cuerpo humano, tenemos el sistema esquelético, un sistema muscular, un sistema circulatorio, un sistema digestivo, un sistema nervioso, cualquiera de estos sistemas no forma un cuerpo humano completo, son todos esos sistemas en conjunto lo que hacen el cuerpo humano en sí, lo mismo sucede con GRC, para abordar y construir un buen programa de GRC, significa que necesitamos traer un buen marco de gestión de riesgos, necesitamos traer un marco de control interno, cumplimiento y traer todos estos marcos que se unen para formar un cuerpo de GRC dentro de nuestra organización, estos diferentes marcos funcionan juntos y se pueden integrar, y la otra cosa acerca de los marcos es que necesita personalizarlos para que se ajusten a su organización, su cultura y sus necesidades específicas también, no existe una solución única que pueda abordar las necesidades y la complejidad de la gestión de riesgos en GRC en organizaciones de diferentes tamaños e industrias, debemos asegurarnos de que construimos e integramos estos diferentes marcos para que se ajusten a lo que estamos tratando de lograr en nuestra organización en particular .

 

¿Cómo percibe el mercado de GRC en América Latina y ha tenido alguna experiencia previa con proyectos de GRC en la región?

Una de las cosas que encuentra es que el enfoque de América Latina para GRC tiende a estar en algún punto intermedio entre lo que veo en América del Norte y lo que veo en Europa, Europa adopta una perspectiva de riesgo muy empresarial en GRC, mientras que en América del Norte, con demasiada frecuencia, el riesgo se ve como un ejercicio de cumplimiento, como comentamos hace algunas preguntas, en América Latina veo una especie de mezcla de ambos, existe este enfoque de marcar las casillas de cumplimiento para el riesgo, pero también veo muchas consultas e interacciones que toman el riesgo desde una perspectiva comercial, y es por eso que soluciones como MEGA tienen mucho impulso en América Latina porque en muchas de las RFP, las personas quieren poder modelar procesos comerciales y comprender el riesgo en un contexto de procesos comerciales y también en contexto de la arquitectura empresarial. Eso es algo de lo que he visto en

América Latina en lo que respecta a GRC.

 

¿Podría compartir su opinión sobre la relación que existe entre la arquitectura empresarial y las prácticas de GRC? 

M.R.: Primero, soluciones como la de MEGA, proporcionan una perspectiva muy comercial del riesgo y el cumplimiento de los controles, proporciona un derecho al contexto del proceso comercial o un servicio comercial, M.R. comenta que él ha estado argumentando durante más de 15 años que las organizaciones deberían incluir el modelado de procesos comerciales y requisitos de arquitectura empresarial en sus RFP, él ha sido independiente como analista, sus competidores han sido Gartner y Forrester durante 15 años, pero antes de eso pasó 7 años en la investigación de Forrester y escribió las dos primeras oleadas de GRC de Forrester, la última oleada que escribió fue a finales del 2007, en donde mencionó que las organizaciones necesitaban poder modelar procesos comerciales y comprender GRC en un contexto de cómo opera y funciona el negocio, desafortunadamente muchas organizaciones no se dieron cuenta de eso hasta hace poco. Es como si en los últimos 5 años han comenzado a ver un crecimiento constante de los requisitos en las RFP en América Latina, pero también en todo el mundo que buscan comprender los requisitos que para la Arquitectura Empresarial, el Análisis de Procesos Comerciales, y el modelado de procesos comerciales en un contexto GRC, todo esto es crítico, si lo piensa desde el punto de vista del control interno, como Sarbanes Oxley  en los Estados Unidos, poder diseñar los procesos de contabilidad, los procesos de nómina, los procesos de adquisición, entenderlos visualmente y comprender los puntos de riesgo y control en el camino, eso es realmente crítico, si vemos algo como la privacidad, como el GDPR de la Unión Europea, la regulación global de protección de datos, cualquier regulación de privacidad con la que usted esté tratando, la base es la misma, los diagramas de flujo de datos, cómo se procesan los datos personales, ya sea de un empleado, de un cliente o de otra persona, cómo ingresa esa información a la organización, cómo se mueve y transita dentro de la organización, cómo se usa en la organización, es decir, el modelado de datos, ahora en el contexto de la resiliencia, tiene una amplia gama de tipos de regulaciones de operaciones de resiliencia alrededor de todo el mundo, en el Reino Unido, en la Unión Europea, en el Banco de Pagos Nacionales y otros, hay mucho enfoque en la resiliencia operativa, si voy a ser una organización resiliente, se exige, es necesario definir cuáles son mis procesos comerciales, cuáles son mis servicios comerciales, cómo se entregan, cuáles son mis tolerancias de impacto y el rango de lo que se acepta dentro de ellos, la resiliencia operativa y la resiliencia empresarial son mandatos absolutos y requieren algún tipo de arquitectura empresarial y capacidades de modelado de procesos comerciales para definir esos servicios y procesos comerciales, y poder administrar el riesgo y el cumplimiento en su contexto.

 

Para concluir la sesión, M.R. compartió mejores prácticas para empresas que estén por iniciar proyectos de GRC.

M.R.: Lo primero sería comprender el estado actual, , cada organización está haciendo GRC, ya sea que lo llamen GRC o de otra manera, ERM, IRM, tal vez ni siquiera usted tenga un nombre para pero algo está sucediendo hoy, entonces, ¿cuál es su estado actual? Podrían ser procesos manuales con hojas de cálculo de documentos y correos electrónicos, podría ser una solución de GRC que no funcione para usted o que no proporcione valor, podría ser una combinación de ambos, pero ¿cuál es su estado actual y luego cuál es el estado que quiere conseguir en el futuro? Dentro de dos años, ¿cómo quiere que sea GRC en su organización? Si tuviera que diseñarlo, cómo funcionaría y operaría el GRC en su organización, así que tiene su estado actual y su estado futuro, luego tiene que planear los pasos para llegar allí, la siguiente pieza es comprender quién debe estar en el equipo, quién lidera la estrategia, pero también quién está en el equipo, desde auditoría interna, empresarial y operativa, riesgo para la seguridad de TI, cumplimiento y ética corporativa, ESG, otros departamentos y funciones que son todos parte de la estrategia, ¿quiénes son los jugadores principales? ¿Quiénes son los otros jugadores que pueden no ser jugadores principales pero que también deben participar? ¿Cómo logramos que trabajen juntos en la estrategia? La tercera cosa que realmente debe entender y que es de vital importancia es que necesita comenzar con la tecnología adecuada, si está escalando una montaña, por ejemplo, y solo tiene el equipo suficiente para llegar a la mitad de la montaña, tendría que escalar todo el camino hacia abajo para obtener más equipo y comenzar de nuevo, esa es una expedición fallida, quiere asegurarse de comenzar con el equipo que necesita, en este caso la tecnología GRC, entonces ¿cuál es esa etapa futura que está tratando de lograr?, quiere asegurarse de que la base tecnológica sobre la que está construyendo pueda cumplir con ese estado futuro, y luego necesita dividir las cosas en etapas que sean alcanzables en su organización y estar listo para el cambio, porque el mundo es dinámico, hay riesgos geopolíticos, hay fusiones y adquisiciones, hay nuevas regulaciones y requisitos que se incorporan, necesitamos poder ajustar nuestro programa a medida que comenzamos a construirlo y a ejecutarlo también.

 

Si desea ver la sesión completa, lo puede hacer en nuestro canal de YouTube.