Guía para un plan de compliance legal efectivo

¿Qué es GRC (Gobierno, Riesgos y Cumplimiento)?

El gobierno de una empresa, en este sentido, es un conjunto de procesos establecidos por la junta directiva y sus asesores, que reflejan la manera en que la empresa se organiza, administra y dirige para lograr sus objetivos.

La gestión de riesgos se refiere a la capacidad de la organización para predecir y gestionar los riesgos que podrían impedir que la organización lograra sus objetivos de manera fiable.

El significado de compliance (cumplimiento) se refiere a cómo garantizar que una organización se adhiera a los límites establecidos, leyes o reglamentos, así como a límites voluntarios, como pueden ser las políticas de la compañía diseñadas para lograr ciertos resultados.

GRC, por su parte, define como el conjunto de capacidades que permiten a las organizaciones lograr objetivos, mitigar riesgos y actuar de manera consistente.

¿Cómo implementar un plan de GRC?

La gestión eficaz de GRC requiere un enfoque integrado, que une distintos departamentos como Finanzas, IT, RR.HH, Legal y Auditoría dentro de una organización.
Para tener éxito, cualquier enfoque de GRC debe operar de manera efectiva en los tres dominios, sincronizando la información y la actividad, garantizar que las partes interesadas estén debidamente informadas en todo momento y evitar filtraciones o ineficiencias que obstaculicen la acción satisfactoria.

Si bien la estructura exacta de GRC varía mucho de una organización a otra, a menudo toma la forma de un plan de gestión de riesgos empresariales, también conocido como ERM, por sus siglas en inglés (Enterprise Risk Management).

El ERM recoge las preocupaciones mencionadas anteriormente y crea métodos y procesos para administrar cada aspecto de GRC. ERM permite a los ejecutivos y gerentes identificar riesgos y oportunidades únicos, evalúa su nivel de impacto, ya sea amenaza o beneficio, y determina una estrategia de respuesta. Al buscar de manera proactiva los riesgos y las oportunidades, una organización evita que la descubran desprevenida.

Al igual que el GRC, un marco de gestión de riesgos empresariales dado variará de una organización a otra, pero hay algunas funciones comunes compartidas en la mayoría de ellas.

Por ejemplo:

• Planificación estratégica: Para identificar las amenazas de la competencia, los reguladores o las condiciones cambiantes del mercado, así como las oportunidades de los mismos.
• Marketing: Comprender las necesidades del mercado objetivo de una organización y cómo garantizar el ajuste de los productos al mercado de productos
• Auditoría / Ética: Supervisar el cumplimiento de la política de la empresa y supervisar el fraude.
• Contabilidad / Finanzas: Dirigir las evaluaciones obligatorias por normativa, buscando riesgos de información financiera.
• Legal: Gestionar posibles litigios y tendencias legales relevantes para las operaciones de la organización. Garantizar el cumplimiento de los requisitos legales siempre cambiantes para la presentación de informes
• Seguro: Determinar el nivel de cobertura apropiado para el perfil de riesgo de una organización.
• Tesorería: Administrar el flujo de efectivo de manera responsable para satisfacer las necesidades de la organización, así como para mitigar los riesgos derivados de los cambios de divisa.
• Control de calidad: Verificar que la producción cumpla con las especificaciones que respondan a las necesidades del cliente.
• Gestión de crédito: Garantizar que se ofrezcan a los clientes niveles de crédito adecuados en relación con su capacidad de pago.
• Servicio al cliente: Garantizar que se respondan las quejas de los clientes y que se identifique el origen de las mismas para solucionar el problema en el futuro.

Foto de Piotr Chrobot en Unsplash

Los desafíos de un plan ERM

Pese a establecerse mejores prácticas, estas evolucionan con el tiempo; por eso, entre los desafíos a los que se enfrentan los gerentes en la implementación de un marco ERM, se encuentran los siguientes en distintas fases:

1. Identificar y confirmar el respaldo clave para la iniciativa desde el comité ejecutivo. Sin su aceptación, los esfuerzos de ERM generalmente fallan.
2. El responsable del plan ha de trabajar con su equipo en el desarrollo de un conjunto de términos compartidos para hablar sobre los posibles riesgos. Si todos definen el riesgo de manera diferente, será imposible establecer y cumplir objetivos mutuos.
3. La organización debe establecer el ámbito de riesgo que le afecta. Esto generalmente se traduce en una lista de riesgos que asumirá o no asumirá, en función de criterios como el coste, sus competencias u otros factores que hacen que algunos riesgos sean más o menos atractivos.
4. Una vez que se delimita la tolerancia al riesgo de la organización, el equipo de ERM determinará lo que se conoce como inventario de riesgo: una lista de los riesgos a los que se enfrenta actualmente y su clasificación de acuerdo con los límites previamente establecidos.
5. Cuando los riesgos han sido identificados y priorizados, se establece un comité de riesgos para coordinar las actividades necesarias para manejarlos adecuadamente. El comité asignará las tareas y las respuestas a los gerentes capaces de llevarlas a cabo.
6. El comité de riesgos deberá se responsabilizará de que dichos gerentes cumplan los procesos de control y sus objetivos.

Todo esto puede parecer sencillo, sin embargo, cualquier paso en falso puede hacer que un ERM sea completamente ineficiente. Por ejemplo, si todos los riesgos identificados y los procesos de gestión son apropiados, pero no hay un ejecutivo clave que lo defienda, nadie lo seguirá. Del mismo modo, un ejecutivo entusiasta no tiene sentido si los principales riesgos se han pasado por alto durante el período de evaluación.

En conclusión, es recomendable que las empresas revisen la organización de su auditoría y el proceso de ERM, tanto trimestralmente, como anualmente, para afrontar el desafío que supone una implementación exitosa.