Enterprise Risk Management (ERM) y Governance, Risk, and Compliance (GRC), respectivamente gestión de riesgos empresariales/organizacionales y gobierno/gobernanza, riesgo y cumplimiento, son dos enfoques estratégicos que muchas organizaciones utilizan para manejar y controlar los riesgos y asegurar el cumplimiento con las leyes y regulaciones.
Aunque este par de términos se suelen utilizar indistintamente y, de hecho, están interrelacionados, tienen diferencias significativas en cuanto a su alcance, enfoque y objetivos.
En este artículo ahondamos en las principales diferencias entre ambos y te damos algunas claves si estás en un momento crucial de decidir cambiar -o mantener- uno u otro. Así que comencemos su análisis por separado, para después ver los criterios de decisión para seguir con uno u otro.
¿Qué es ERM?
ERM es un enfoque integrado y holístico para gestionar todos los riesgos a los que se enfrenta una organización. Su objetivo principal es identificar, evaluar, monitorear y mitigar los riesgos de manera, no solo para protegerse de ellos, sino para crear valor para los stakeholders de la organización.
ERM se enfoca en la alineación de las estrategias de riesgo con los objetivos empresariales y la optimización del rendimiento organizacional.
Características principales de ERM
- Integración total: ERM busca integrar la gestión de riesgos en todos los aspectos de la organización y en su toma de decisiones estratégicas.
- Amplio espectro: considera una amplia variedad de riesgos (estratégicos, operacionales, financieros, de cumplimiento, reputacionales, etc.) y cómo estos riesgos pueden interconectarse.
- Proactividad: promueve un enfoque proactivo para prever riesgos futuros y gestionarlos antes de que afecten a la organización.
- Creación de valor: más allá de evitar pérdidas, ERM también se enfoca en cómo los riesgos pueden ser gestionados para crear o aprovechar oportunidades donde el beneficio supere ampliamente los riesgos; es decir, generar valor a la organización.
¿Qué es GRC?
GRC es un enfoque estructurado para alinear la gobernanza o gobierno corporativo, la gestión de riesgos y el cumplimiento normativo, con las regulaciones y políticas internas y externas.
Aunque GRC también trata la gestión de riesgos -como ERM- su alcance es más amplio, ya que también enfatiza la gobernanza y el cumplimiento.
Características principales de GRC
- Integración de funciones relacionadas: GRC integra la gestión de riesgos, la gobernanza corporativa y los procesos de cumplimiento en un marco unificado para evitar silos de información y mejorar la eficiencia operativa.
- Cumplimiento y control: pone un énfasis particular en el cumplimiento de leyes y regulaciones, así como en la implementación de controles internos adecuados para evitar infracciones y penalizaciones.
- Gobierno corporativo: incluye la estructura y políticas para dirigir y controlar una organización, asegurando que sus objetivos se cumplan, que los recursos se utilicen de manera responsable y que el comportamiento de la organización cumpla con las expectativas legales, éticas y normativas.
Principales diferencias resumidas
-
Enfoque
ERM está más centrado en la gestión de todo tipo de riesgos desde una perspectiva estratégica para ayudar a la organización a alcanzar sus objetivos.
GRC, en cambio, tiene un enfoque más amplio que incluye no solo la gestión de riesgos, sino también asegurar el buen gobierno corporativo y un compliance.
-
Objetivos
ERM busca crear valor al optimizar el enfoque de la organización hacia la gestión de sus riesgos.
GRC, por su parte, se enfoca en asegurar la eficacia de los procesos de toma de decisiones en la organización, así como la conformidad con entes a los que debe responder, todo, al tiempo que también controla los riesgos y mejora su gestión.
-
Integración operativa
ERM se integra a nivel estratégico y desde ahí influye en las decisiones corporativas a gran escala.
GRC a su vez, tiende a integrarse más profundamente en los procesos operativos de sus tres grandes pilares, gobierno, riesgo y cumplimiento, teniendo un cariz más práctico y cercano a la producción misma.
Ambos enfoques son complementarios y cruciales para una gestión organizacional efectiva.
En la práctica, hemos visto que las organizaciones tienden a encontrar valor en la implementación de ambos enfoques, cuando esto se hace coordinadamente, aprovechando así sus fortalezas únicas y llevando el enfoque de riesgos para asegurar desde tal enfoque, tanto el cumplimiento como la gestión eficaz de los riesgos.
Para un director de riesgos, decidir entre la implementación de uno u otro enfoque requiere una evaluación cuidadosa de las necesidades específicas, objetivos y estructura de la organización.
A continuación, te dejamos algunos de los pasos que siempre recomendamos a nuestros clientes para tomar una decisión informada.
Recomendaciones expertas para decidir entre ERM o GRC
Evalúa el contexto y necesidades de la organización
- Objetivos y estrategia: revisa los objetivos estratégicos y operacionales de la organización. Identifica cómo la gestión de riesgos y el cumplimiento pueden apoyar estos objetivos.
- Entorno regulatorio: evalúa el entorno regulatorio en el que opera la organización. Si la empresa está en una industria altamente regulada, el enfoque GRC es el que más recomendamos.
Identifica las prioridades en gestión de riesgos
- Tipología de riesgos: primero, identifica los tipos de riesgos más críticos para la organización (financieros, operacionales, de cumplimiento, reputacionales, en cadena de suministro, de procesos, etc.).
- Capacidad y madurez: evalúa la capacidad y madurez actual de la gestión de riesgos en la organización, y pregúntate, ¿existen sistemas y procesos establecidos? Si sí, ¿cuál es su nivel de sofisticación?
Evalúa la alineación de cada enfoque con la estrategia
- ERM: si la organización busca una visión integral y estratégica de la gestión de riesgos que abarque todas las áreas del negocio, ERM podría ser más adecuado.
- GRC: si el cumplimiento normativo y la gobernanza son prioridades críticas debido a la naturaleza regulada de la industria o la estructura organizativa, GRC puede ser más apropiado.
Analiza los beneficios y desafíos
- Beneficios de ERM: proporciona una visión holística de los riesgos, fomenta una cultura de riesgo en toda la organización, y ayuda en la toma de decisiones estratégicas.
- Desafíos de ERM: requiere una integración significativa de la capa más estratégica de la organización y de ella dependen los cambios culturales necesarios, lo que puede ser costoso y llevar tiempo.
- Beneficios de GRC: mejora la eficiencia y la coherencia entre gestión de riesgos, cumplimiento y gobierno corporativo.
- Desafíos de GRC: puede ser percibido como demasiado centrado en el cumplimiento, y los silos en la organización pueden ser resistencias significativas parea la integración que su naturaleza demanda.
Evalúa recursos y capacidades
- Personal: ¿la organización cuenta con el talento con las habilidades necesarias para implementar y mantener un enfoque ERM o GRC?
- Tecnología: ¿se dispone en la organización de las plataformas tecnológicas necesarias? La tecnología especializada en GRC suele ser robusta y, por tanto, difícil de suplir con alguna otra.
- Presupuesto: considera el presupuesto disponible para la implementación y el mantenimiento de cada enfoque.
Recaba e interpreta toda la información
- Análisis de costos-beneficios: realiza un análisis de costo-beneficio para cada enfoque basado en los pasos anteriores; es de gran ayuda que tu próximo proveedor de solución GRC te ayude a armar un caso de retorno de inversión al negocio, para demostrar el valor en términos numéricos.
- Consulta con stakeholders: presenta tus hallazgos y recomendaciones a la alta dirección y otras partes interesadas clave para obtener su feedback y alineación.
Ahora sí: la decisión informada
Basado en el análisis y el feedback, toma una decisión informada sobre cuál enfoque implementar.
Asegúrate de tener un plan de implementación claro que detalle los pasos necesarios, los recursos requeridos y un cronograma.
¿ERM o GRC?... Ese era el dilema
La elección entre ERM y GRC depende en gran medida de la estructura de la organización, su entorno regulatorio, sus objetivos estratégicos y sus capacidades actuales.
Si sigues estos pasos, verás un camino mejor trazado para tener mayores probabilidades de éxito, con base en una decisión informada, que se alinee mejor con las necesidades y objetivos de la organización y de tu rol, asegurando una gestión efectiva de riesgos y cumplimiento.
En ORCA, somos consultores especializados en prácticas de control de riesgos, y podemos ayudarte a bajar un caso de negocio ajustado a la realidad y requisitos específicos de tu organización. Simplemente haz clic debajo y obtén una asesoría gratuita para decidir juntos el mejor enfoque para aplicar en tu organización.