Blog ORCA GRC

Enterprise Risk Management vs GRC para el control de riesgos

Escrito por Equipo de Investigación ORCA | 15 de agosto de 2019

En este blog abordaremos algo de interés a todo aquel responsable de, o relacionado con, la gestión de riesgos organizacionales: 

Los dos enfoques principales al implementar en una organización alguna estrategia de gestión de riesgos. Así como sus tácticas correspondientes al momento de encarar apropiadamente el, también llamado, manejo de riesgos.

Conocidos por sus siglas en inglés, estos enfoques son:

 

  • GRC: Governance, Risk Management and Compliance, que en español se traduce como Gobierno, Gestión de Riesgo y Cumplimiento.
  • ERM: Enterprise Risk Management, conocido en español como Gestión de Riesgos Empresariales.

 

Estos términos se usan de manera regular en los ambientes organizacionales al momento de abordar la  prevención, control y mitigación de riesgos.

Sin embargo, suelen confundirse; ya sea que se piensa que son lo mismo o que las diferencias entre ambas no sean entendidas del todo. Esto puede llevar a una toma equivocada de decisiones entre ambas opciones, en la gestión del riesgo.

Veremos a continuación, cuáles son los puntos en común y cuáles son las especificidades de cada una.

 

GRC vc ERM

Similitudes

Comencemos por ver las similitudes que se presentan, porque en efecto, ambos caen dentro de la semántica propia de los riesgos:

 

  • Persiguen objetivos estratégicos, es decir, aquellos impuestos por la junta directiva o la alta administración y que son la guía del camino que siguen los esfuerzos conjuntos de toda la organización para lograr su misión.
  • Promueven la toma de decisiones basada en información (data-based decision-making).
  • Conllevan identificación y priorización de riesgos asociados con la consecución de los objetivos estratégicos por parte de la organización.
  • Ambas son metodologías o lo que es lo mismo, son un conjunto de acciones encadenadas que suceden a lo largo del tiempo.
  • Como procesos que son, buscan y evalúan la posibilidad de mejorar continuamente.

Diferencias

Ahora detallaremos las diferencias entre ambos, mismas que se desprenden de un análisis de cada uno de estos enfoques.

 

Governance, Risk Management and Compliance

El principal objetivo de la metodología GRC es conseguir interconectar todas las áreas de una organización, bajo los tres pilares que constituyen el enfoque, consiguiendo así ventajas operativas como pueden ser:

 

  • La reducción de silos de información, gracias a la interdependencia de las áreas a través de los pilares o “hilos” GRC.
  • Asimismo, eliminar la duplicación de tareas y reducir las redundancias, logrando una mayor eficiencia operativa y mejores resultados.

Un aspecto clave de GRC es que proviene siempre de la junta directiva o de la alta dirección, es decir, que su dirección o flujo es de la cima a la base; lo cual suele representar un continuo esfuerzo por apegarse a las resoluciones tomadas por los directivos.

Al ser un enfoque holístico, persigue la homologación de procesos, controles y reportes en todas las áreas, con la finalidad de lograr obtener más información de la organización en general para su ulterior mejora en todos aspectos.

En resumen, podemos concluir que lo que caracteriza al enfoque GRC es:

 

  • Visión holística de la organización (áreas, procesos, activos, personas, etc.).
  • Flujo de arriba hacia abajo respecto del organigrama.
  • Tiene en alto valor la transparencia y la rendición de cuentas.
  • Implica estructuras de control genéricas y aplicables a cualquier área, rol y proceso.
  • Se apega al cumplimiento normativo del sector correspondiente, llegando incluso a modificar planes integrales para ajustarse y cumplir con lo aplicable.

Enterprise Risk Management

Toca el turno al ERM, cuyo principal objetivo es puntualmente el manejo de riesgos empresariales; y al poner a estos en el centro de sus esfuerzos advertimos ya la primera diferencia contra el GRC: Un enfoque centrado en identificar y evaluar los riesgos, contra la visión holística del GRC. 

Como proceso que es, se desenvuelve de manera transversal a todas las áreas, es decir, que su dirección o flujo no es de “arriba hacia abajo”, sino más bien transversal, “horizontal”.

El valor central del ERM está en el análisis exhaustivo de los riesgos, es decir, en:

 

  • La recabación.
  • El tratamiento. 
  • La definición de los datos que arrojen activos y procesos que impliquen riesgos.

Lo anterior, para cumplir con su objetivo, que es dar información vasta y suficiente para tomar una decisión basada en indicadores que no son genéricos, sino por el contrario, altamente específicos.

Para conseguir esta finalidad, el ERM es un enfoque orientado a la parte operativa, indagando en las particularidades de cada proceso.

En resumen, lo que caracteriza a este enfoque son los siguientes puntos:

 

  • Visión primordialmente centrada en los riesgos que rodean a la organización.
  • Flujo transversal que cruza todas las áreas y sus riesgos específicos.
  • Su máximo valor radica en la puntual recaudación de datos sólidos sobre riesgo.
  • Los hallazgos que aporta enriquecen a la organización, toda vez que no se quedan en lo previsto en planes holísticos.
  • Su acercamiento desde lo operativo suma datos empíricos que pueden luego aprovecharse y así actualizar la cultura de prevención en la organización.

¿GRC o ERM?

Si en tu organización buscan un enfoque holístico que permita ver el panorama;  y la alta dirección está resuelta a involucrarse activamente en el procedimiento para mejorar las tres grandes aristas internas, Gobierno, Riesgo y Cumplimiento, con controles homologables:

 

Entonces necesitan el enfoque de governance, risk management and compliance.

 

Si por otro lado, lo que se busca un enfoque específico para riesgos empresariales, capaz de poner el acento en cada proceso de manera transversal a todas las áreas y de identificar cada riesgo, para dar la mayor cantidad de elementos posibles para una mejor toma de decisiones: 

 

Lo conveniente en este caso es el enfoque de enterprise risk management.

 

Ya hemos revisado lo que aporta uno y otro enfoque. Pero aún puedes profundizar en estos temas para tomar la mejor decisión para tu organización. Solicita hoy mismo una demostración gratuita de nuestra solución y decide la mejor opción para tu empresa.