GRC-ERM-IRM ¿Cuál modelo se adapta más a la organización?

GRC

En la medida en que se van automatizando los procesos que desarrolla una organización, los cambios en el medio ambiente externo (Económicos- Salud (pandemias)-Políticos, entré otros) también cambian los riesgos a los que deben establecer medidas, controles, respuestas, por ellos se desarrollan metodologías que brindan un horizonte, que se constituyen en guía para una gestión del riesgo efectiva, alguno de los enfoques que encontraos son:

• GRC: Gobernabilidad, riesgo y cumplimiento.
• ERM (Enterprise Risk Management): Gestión de riesgos empresariales.
• IRM (Integrated Risk Management): gestión integrada de riesgos.

Cabe aclarar que, con el paso del tiempo, estas metodologías en un gran porcentaje sino en su totalidad, tienen un alto componente de automatización, el cuál integra la gestión de riesgos con softwares especializados para tal fin que permiten gestionar todas las etapas de la misma (Identificación- Análisis – Evaluación-controles-retroalimentación)

A continuación, se describe brevemente cada uno de ellos y parte de su historia con el fin de identificar similitudes y diferencias que puedan aportarle al lector elementos de comparación y poder identificar si aplica alguno en especial para su organización o si esta requiere de la aplicación de varios conceptos que se establecen en cada uno de ellos.

GRC (Gobernabilidad, riesgo y cumplimiento): si bien la gobernabilidad, los riesgos y el cumplimiento son términos que siempre han estado inmersos en la gestión de las organizaciones, se podría decir que este término fue desarrollado por el líder de riesgos Michael Rasmussen, en esencia se basa en la integración y gestión de políticas controles y riesgos, si bien al inicio, entre los años 20002 y 20027 el enfoque era hacia temáticas financieras y los controles tecnológicos relacionados, ha venido presentando una evolución y se encaminó a temas de auditorías, gestión de riesgos operativos y empresariales hacia los años 2013-desde el año 2018 incluye la gestión de riesgos de toda la empresa , y desde allí hasta la fecha la automatización a través de modelos del mismo.

Características:

Visión global de la organización, aporta a una rendición de cuentas de forma transparente, se alinea al cumplimiento normativo de tal manera que sus prácticas, actividades den respuesta al cumplimiento del mismo.

ERM (Enterprise Risk Management): en el inicio los riesgos, peligros,  hacia los que se enfocaban la gestión eran los de origen natural (terremotos, incendios, inundaciones), en el sector de las finanzas el incumplimiento de pagos, no pasaría mucho tiempo para que el enfoque cambiara y se diera paso hacia una visión más global del riesgo, de allí nace en el año de 1992 el modelo COSO (Comité de Organizaciones Patrocinadas de la Comisión Treadway) la cual establece el Marco Integrado para el control interno , proporcionando también metodologías para evaluar la efectividad de los controles.

Con la evolución de los mercados y de las prácticas empresariales en torno a la contabilidad y las auditorias financieras se va presentando una actualización del modelo cuya última versión se tiene del año 2017 COSO ERM 2017 el cual constituye uno de los modelos más utilizados para la gestión de riesgos.

Características: visión enfocada en los riesgos de la organización, información y análisis de datos de riesgos      , se establecen planes de acción concretos.

IRM (Integrated Risk Management): gestión integrada de riesgos: este es un término acuñado por la firma de investigación Gartner y nace como parte del modelo de cuadrante mágico cuya finalidad es aportar una metodología para seleccionar los mejores proveedores de servicios de tecnología para llevar a cabo la transformación digital, la definieron como: un sistema apalancado en tecnologías y en una cultura responsable de riesgos, enfocada a todo tipo de riesgos en la organización.

Los anteriores nos ofrecen un enfoque que lejos de verse como excluyentes pueden constituirse como complementarios unos a otros, adicional a ello la gestión de riesgos se complementa con metodologías como lo son la ISO 31000: Gestión de Riesgos, ISO 27005: Riesgos relacionados con la seguridad de la información, ISO 31022: guía para desarrollar actividades de gestión de riesgos, Mapa de riesgos, PMI entre otras, es decir cada organización deberá evaluar según el sector al que pertenece, entre otras variables la manera de integrar esas metodologías o incluso desarrollar nuevas teniendo como base las anteriores de tal manera que tanto enfoques como metodologías den respuesta y ayuden a una gestión adecuada de riesgos.

Software GRCTools de ESG Suite

Las organizaciones para su mejora, hacen uso de herramientas tecnológicas para la gestión de Gobierno, Riesgo y Cumplimiento (GRC). 

Con el software GRCTools de ESG Suite, ningún proceso está sin controlar ya que permite identificar y administrar los riesgos que cruzan la organización, integrándose en todos los procesos y permitiendo la gestión de riesgos en proyectos, aspectos operativos, financieros, legales, gubernamentales, ambientales, de seguridad y salud o de seguridad TI, entre otros. Además, alinea la estrategia con el apetito por el riesgo.

Además, con GRCTools las organizaciones pueden realizar la gestión del ciclo de vida de los riesgos. Desde el establecimiento de su contexto, su identificación, análisis y tratamiento hasta la implementación de los procesos necesarios para el seguimiento y medición. Y lo mejor: todo centralizado en un único espacio y con posibilidad de reutilizar de forma intuitiva elementos de su propio inventario de riesgos.