Administración de riesgos: GRC vs ERM, ¿cuál le conviene más?

Publicado por Rodrigo Ayala el 15 de agosto de 2019

En este blog post hablaremos de algo que interesa a todo aquel responsable de (o en relación con) la administración de riesgos: hablaremos de los dos enfoques principales al momento de implementar en una organización alguna estrategia y sus correspondientes tácticas al momento de encarar apropiadamente el también llamado manejo de riesgos.
Conocidos por sus siglas en inglés, GRC: Governance, Risk Management and Compliance (Gobierno, administración/manejo de Riesgo y Cumplimiento en español) y ERM: Enterprise Risk Management (administración de riesgos empresariales en español) son, como decíamos, términos que se usan de manera regular en los ambientes organizacionales al momento de hablar sobre manejo de riesgos.

Sin embargo, en más de una ocasión suelen confundirse: ya sea que se piense que son lo mismo o que, aun a sabiendas de que alguna diferencia debe haber entre ambos, estas no sean claramente entendidas. Esto puede llevarnos a no tomar la mejor de las decisiones frente a ambas opciones para encarar los riesgos y sus consecuencias.

Veremos a continuación cuáles son los puntos en común y cuales sus especificidades, para que al final sea usted mismo quien decida qué enfoque conviene mejor a los intereses de su organización.

Administración de riesgos: dos caminos, una meta

Comencemos por ver las similitudes que ambos presentan, porque en efecto ambos caen dentro de la semántica propia de los riesgos. Podemos decir que ambos:


· Persiguen objetivos estratégicos, es decir, aquellos impuestos por la junta directiva o la alta administración y que son el norte del camino que siguen los esfuerzos conjuntos de toda la organización para lograr su misión

· Promueven la toma de decisiones basada en información (data-based decision-making)

· Conllevan identificación y priorización de riesgos asociados con la consecución de los objetivos estratégicos por parte de la organización

· Ambas son metodologías o lo que es lo mismo, son un conjunto de acciones encadenadas que suceden a lo largo del tiempo

· Como procesos que son, buscan y evalúan la posibilidad de mejorar continuamente

Ahora avancemos a las diferencias entre ambos, que se desprenden de un análisis de cada uno de estos que hemos llamado enfoques

GRC

El principal objetivo de la metodología GRC es conseguir interconectar todas las áreas de una organización bajo los tres pilares que constituyen el enfoque, consiguiendo así ventajas operativas como pueden ser la reducción de silos de información (gracias a la interdependencia de las áreas a través de los pilares o “hilos” GRC), lo que a su vez consigue eliminar la duplicación de tareas y reducir las redundancias.

Un aspecto clave de GRC es que este proviene siempre de la junta directiva o de la alta dirección, es decir, que su dirección o flujo es de la cima a la base, lo cual suele representar un continuo esfuerzo por apegarse a las resoluciones tomadas por los directivos, con una clara ponderación de la transparencia y la rendición de cuentas. Al ser un enfoque holístico, persigue la homologación de procesos, controles y reportes en todas las áreas, con la finalidad de lograr obtener más información de la organización en general para su ulterior mejora en varios aspectos.


En resumen, podemos decir que lo que caracteriza al enfoque GRC es:

· Visión holística de la organización (áreas, procesos, activos, personas, etc.)

· Flujo de arriba hacia abajo respecto del organigrama

· Tiene en alto valor la transparencia y la rendición de cuentas

· Implica estructuras de control genéricas y aplicables a cualquier área, rol y proceso

· Se apega al cumplimiento normativo de su sector correspondiente, llegando incluso a modificar planes integrales para ajustarse y cumplir.

ERM

Toca el turno al ERM, cuyo principal objetivo es puntualmente el manejo de riesgos empresariales (bastante obvio por su nombre) y al poner a estos en el centro de sus esfuerzos advertimos ya la primera diferencia contra el GRC: un enfoque centrado en identificar y evaluar los riesgos, contra la visión holística del GRC.

Como proceso que es, se desenvuelve de manera transversal a todas las áreas, es decir, que su dirección o flujo no sería de “arriba hacia abajo” sino más bien transversal, “horizontal” (para continuar con las alegorías al eje X e Y). El valor central del ERM está en el análisis exhaustivo de los riesgos, es decir, en la recabación, tratamiento y definición de los datos que arrojen activos y procesos que impliquen riesgos, estos para cumplir con su objetivo, que es dar información vasta y suficiente para tomar una decisión basada en indicadores que no son genéricos, sino por el contrario, altamente específicos. Para conseguir esta finalidad, el ERM es un enfoque más cargado a la parte operativa, indagando en las particularidades de cada proceso.


En resumen, lo que caracteriza a este enfoque lo encontramos resumido en estos puntos:

· Visión primordialmente centrada en los riesgos que rodean a la organización

· Flujo transversal que cruza todas las áreas y sus riesgos específicos

· Su máximo valor radica en la puntual recaudación de datos sólidos sobre riesgo

· Los hallazgos que aporta a la organización la enriquecen, toda vez que no se quedan en lo previsto en planes holísticos

· Su acercamiento desde lo operativo suma datos empíricos que pueden luego teorizarse y así enriquecer y actualizar la cultura de prevención de la organización

Como podrá observar en este breve análisis, no se trata de cuál es el mejor, sino justamente como mencionamos ya desde el título, cuál conviene más a nuestros intereses.

Ahondando en las diferencias con ejemplos

Si usted busca un enfoque holístico que le haga ver el panorama y la alta dirección está resuelta a involucrarse activamente en el procedimiento para mejorar las tres grandes aristas (Gobierno, Riesgo y Cumplimiento) de su organización, con controles homologables al resto de las áreas siempre apegado a la normatividad, necesita un enfoque GRC; si por otro lado busca un enfoque específico para riesgos empresariales, capaz de poner el acento en cada proceso de manera transversal a todas las áreas y que ponga “nombre y apellido” a cada riesgo para dar la mayor cantidad de elementos posibles para el momento de la toma de decisión, así como enriquecer su cultura de prevención con lo hallazgos operativos, usted busca un enfoque ERM.

Hasta aquí hemos revisado lo que aporta uno y otro enfoque. Si usted lo desea, puede aumentar su conocimiento al respecto al descargar nuestra guía Identifique y controle los riesgos en su organización haciendo clic en la imagen debajo; la obtendrá de manera gratuita con sólo dejar su correo de contacto.

Nueva llamada a la acción

Suscríbete al blog

Publicaciones Recientes

Publicaciones por etiqueta