Hace ya más de una década que se viene hablando de GRC, acrónimo que contempla los conceptos de Gobierno Corporativo, Gestión Integral de Riesgos y Cumplimiento Regulatorio (En inglés Governance, Risk & Compliance) y algunos lo asocian a soluciones de software, funcionalidades de un sistema de clase mundial, etc., pero en estricto rigor, se trata de la evolución de los conceptos COSO, COBIT, entre otros, ya que integra una triada que de manera implícita contempla estos frameworks o buenas prácticas.
¿Qué busca GRC como modelo integral?
Busca de forma holística armonizar y darle vida en las organizaciones a las diversas iniciativas de gobiernos corporativos, gestión integral de riesgos y cumplimiento regulatorio, de manera tal de que las mismas, funcionen alineadas con la estrategia, visión y misión de las entidades, orientado a la generación de valor de forma sustentable.
En consecuencia, podríamos decir además que los modelos GRC, buscan integrar las iniciativas emanadas de las tres líneas de defensa de control interno.
Dicho lo anterior, cabe preguntarse: ¿Cuál ha sido la realidad en Chile y Latinoamérica respecto a estos conceptos o modelo?
Es muy diverso lo que está pasando en las organizaciones en nuestro país y el resto de Latinoamérica considerando que, dependiendo de la industria, las entidades han ido evolucionando hacia modelos GRC más integrados, pudiendo evidenciar que la industria financiera es la más madura básicamente por exigencias regulatorias, pero falta bastante aún y a continuación les comentaré las principales brechas que hay en nuestro país y en general en Latinoamérica:
- Iniciativas de las unidades de negocio, tienden a estar desalineadas con la estrategia de la entidad en materia de gobiernos corporativos.
- Las unidades de negocio tienden aún a funcionar en silos.
- La gestión del cambio o sensibilización respecto a estas iniciativas, presentan fallas en relación con la ejecución eficaz de las actividades.
- Ausencia de políticas, normas y/o procedimientos que permitan hacer que estos modelos se cumplan y funcionen independiente de las personas que los operan.
- Ausencia de definición de roles y responsabilidades claras respecto a la operatoria de estos modelos.
- Los procesos de negocio operan desalineados y sin directrices de gobernabilidad de los modelos de control interno.
- Falta de estandarización en los procesos de negocio de las distintas unidades de negocio respecto a iniciativas de control interno o gestión de riesgos.
- Unidades funcionales desarrollan iniciativas de riesgos en forma aislada y no a nivel compañía.
- No hay conciencia a nivel operativo de la importancia de los modelos de control interno, incluida obviamente la gestión integral de riesgos y el cumplimiento regulatorio.
- A nivel de algunos directorios, basta solamente con la existencia de un comité de auditoría y unidad de auditoría interna, no importando mucho implementar funciones de segunda línea de defensa como: Gestión de riesgos, cumplimiento regulatorio, seguridad de información, prevención de fraudes, etc.
- Los escasos modelos implementados en entidades con mayor madurez en materia de control interno, no cuentan con métricas o soluciones que permitan sistematizar la gestión de los riesgos y controles de forma sostenida, salvo lo que se ve en grandes instituciones financieras.
- Muchas entidades privilegian el hecho de tener iniciativas más bien reactivas, correctivas que preventivas, ya que no le ven agregación de valor a las mismas, perdiendo de vista la contribución en preservación de valor de estas funciones.
En fin, podemos seguir enumerando brechas o debilidades que se ven en las entidades estatales y privadas tanto en Chile como en Latinoamérica, lo cual permite explicar la sistemática materialización de ilícitos, fraudes corporativos o destrucción de valor producto de riesgos no mitigados o gestionados en forma errada y, en consecuencia, la exacerbación de la corrupción al interior de las entidades.
No hay comentarios:
Publicar un comentario
Comentarios blog GRC Chile