Transcription
GRC como mejor prácticaBoletín Gobierno Corporativo Otoño 2009Contenido1IntroducciónGRC no solo es tecnología de información2El modelo GRC3Implementación del GRC4El Coordinador de GRC6Reflexiones finalesIntroducciónGobierno, Riesgo y Cumplimiento (GRC)ha sido un tema que hasta en los últimosaños no se le había dado la importanciaque requiere. Si bien el término GRC esnuevo, en lo individual las organizacioneshan mostrado poco interés en su adopción,desconociendo quizá los beneficios decontar con esta eficaz práctica.Para descubrir los beneficios que genera elGRC, es necesario entender que dentro desu modelo de gestión, cada concepto seintegra para formar uno solo, que a su vezconllevará a una adecuada toma dedecisiones y por consecuencia, al logro delos objetivos de la compañía.Debe entenderse que el establecer unmodelo de GRC no es un lujo para lasempresas, actualmente es una necesidad.Sin embargo, no se puede decir que alestablecer este modelo se incrementaránlas ventas de una compañía o que sucrecimiento se realizará en un tiempodeterminado, los resultados dependerándel grado de importancia que se le dé almodelo pues como tal, éste no es un bientangible sino una inversión reflejada en elfortalecimiento de la estructura decualquier empresa.Por otro lado, mucho se ha hablado delGobierno Corporativo como cumplimientoregulatorio y como mejor práctica pero nose le ha dado la importancia que realmenteGobierno Corporativotiene en el establecimiento de unaestructura de vigilancia que asegure laadecuada conducción de la empresa.En este artículo se intentará dar aconocer cómo funciona el modelo deGestión de GRC, cuáles son susbeneficios, los responsables de suaplicación y monitoreo, así como lospasos a seguir para desarrollarlo dentrode las organizaciones.GRC no solo es tecnología deinformaciónLa tecnología de información ha idoevolucionando constantemente y losgrandes líderes de las compañías nopueden quedarse estáticos ante estoscambios. Con el flujo de información loscanales se han vuelto más eficientes,tanto en la implementación de sistemasinternos para el área operativa, como enla sofisticación de los sistemas externospara revelar información financiera a losmercados, la cual sirve de apoyo a losórganos de gobierno para la toma dedecisiones. Sin embargo, aún cuando latecnología de información es un factorclave para la optimización de lasoperaciones, el esfuerzo humanocontinúa siendo imprescindible y suconcientización y compromiso, sonfactores decisivos para laimplementación del modelo de GRC.Si bien parte de los datos que soportan elmodelo de GRC residen en aplicaciones
tecnológicas y su incorporación permitetransformar los datos de una informaciónpoderosa a la toma de decisiones y almonitoreo de su comportamiento a travésde indicadores de riesgos, GRC no es solotecnología de información.Es importante que los órganos de gobiernose mantengan en constante comunicacióncon la administración y con losresponsables del modelo, para monitorearlas actividades y determinar los planes deacción en caso de ser necesario.De igual forma, es importante que elenfoque de GRC sea conceptualizadocomo un solo término para evitar lacreación de silos de información que setraduzcan en costos innecesarios y difícilesde mantener.El modelo GRCGRC es un modelo de gestión que integralas actividades y funciones de gobiernocorporativo, la gestión del desempeño, laadministración de riesgos y lasresponsabilidades de cumplimiento,mejorando con esto la capacidad de lasempresas para lograr sus objetivos denegocio.Las empresas pueden enfrentardificultades al no contar con un modelo degestión adecuado a sus características ynecesidades, entre los principalesproblemas se encuentran: Perder el control del negocio al notener una clara definición de los roles yresponsabilidades; Inadecuada toma de decisiones porparte de los órganos de gobierno alcontar con limitados canales decomunicación; Infraestructura de control interno débilo mal documentada; Esfuerzos de cumplimiento regulatorioaislados y sin valor agregado; Costos innecesarios por duplicidad deesfuerzos.Con objeto de implementar un modelo deGRC dentro de las organizaciones, esnecesario reflexionar en primerainstancia sobre el papel que tendrá cadauno de sus elementos en este esfuerzo:El Gobierno Corporativo no sólo serefiere a la estructura en la que se tienendefinidos los órganos de gobierno y laslíneas de reporte; es el sistema por elcual las empresas son dirigidas ycontroladas. A través del GobiernoCorporativo los órganos de gobiernoestablecen y comunican la visión que hade seguirse para la adecuada gestiónefectiva de riesgos y cumplimiento,además de vigilar constantemente que laadministración dé cumplimiento a estavisión.Con las variaciones de mercadoreportadas en los últimos años, laevaluación de riesgos se ha consideradoun tema central para todas las empresas,por ello, es recomendable que pararealizar una evaluación efectiva deriesgos se tome en cuenta su impacto yvulnerabilidad. A través de laAdministración de Riesgos, el modelo degestión de GRC deberá abarcar todos losriesgos a los que la empresa estáexpuesta: estratégicos, operativos,financieros, fiscales, regulatorios, legalesy tecnológicos; para lo cual los órganosde gobierno y principalmente el Comitéde Riesgos vigilarán y establecerán lasestrategias necesarias para enfrentarposibles situaciones que pongan enriesgo la continuidad del negocio.Una vez identificados los principalesriesgos, la empresa deberá evaluar laefectividad de su control interno. Trasdicha revisión y en caso de que siganexistiendo riesgos no cubiertos, esrecomendable que se diseñen eimplementen mecanismos de controlinterno que los mitigue.El Comité de Auditoría será elresponsable de vigilar el adecuadosistema de control interno, para lo cual seapoyará de la función de AuditoríaInterna a efecto de ejecutar pruebas quepermitan medir la eficiencia y eficacia dedichos controles e implementar planes demejora ante las deficiencias identificadas.El cumplimiento consiste en laidentificación de responsabilidades yobligaciones tanto internas como2
externas, así como en la definición yseguimiento a los pasos necesarios parasatisfacerlas. Dentro del modelo de gestiónde GRC, el cumplimiento abarca elconocimiento del marco legal al cual estásujeta la empresa, así como sunormatividad interna, la cual permitepromover una cultura organizacionalsustentada en principios éticos. Promover una cultura orientada allogro de los objetivos de laorganización y al apego a loslineamientos establecidos; Incrementar el conocimiento de losórganos de gobierno en temas deriesgo y cumplimiento, mejorando conesto la toma de decisiones;El programa de cumplimiento se genera apartir del monitoreo y registro de lasdiversas obligaciones y responsabilidadesde la empresa como son la normatividadinterna, el marco regulatorio general yespecífico y los estándares externos; endicho programa es recomendableestablecer el control y seguimiento de lasacciones a ejecutar y los plazos decumplimiento. El Director de Cumplimientoen caso de contar con él (recomendable),en coordinación con el área legal, será elresponsable de vigilar y dirigir la función decumplimiento desde el punto de vista delos ordenamientos y las regulacionesaplicables a la empresa. Hacer más eficiente la comunicacióna lo largo y ancho de la organización,mejorando la calidad y oportunidadde la información para la toma dedecisiones; Considerar los riesgos yoportunidades de forma integral; Contar con una infraestructura decontrol interno eficaz y eficiente conbase en el perfil de la organización y; Simplificar los programas decumplimiento, mejorar la capacidadde respuesta ante las regulaciones yreducir los costos relacionados.Después de haber revisado a detalle cadaconcepto que integra el modelo de gestiónde GRC, es importante conocer cuáles sonlos beneficios de su implementación dadoque, como ya se ha mencionadoanteriormente, los resultados dependerándel grado de importancia que cadaempresa le otorgue a este modelo. Entrelos beneficios que podemos mencionar seencuentran:Implementación del GRCPara el desarrollo de un proyecto deGRC se consideran cinco fases estándarque se adaptan al alcance de cadacompromiso: Diagnóstico, Planeación yDefinición del alcance, Desarrollo eimplementación, Herramientas y,Seguimiento al desempeño.3
1.En la etapa de diagnóstico seconocerá el grado de madurez actualde la organización respecto de losocho componentes definidos por laOCEG. Para ello, se utilizará elmodelo de madurez de GRC y apartir del modelo de madurez actual yde los objetivos específicos de laempresa, se obtendrá el grado demadurez deseado.2.En la planeación y definición delalcance, se determinarán lasactividades necesarias para llevar ala empresa al nivel de madurezdeseado.3.En el desarrollo e implementación, serealizarán talleres y reuniones con elequipo directivo y los distintosórganos de gobierno para diseñar elmodelo de GRC y documentar el planrector (este último incluirá entre otrascosas la asignación de roles yresponsabilidades), así como laaplicación de un enfoque basado enriesgos y la implementación de unprograma de cumplimiento.4.5.En las herramientas, se definirácuáles son los mecanismostecnológicos más adecuados a lasnecesidades de la empresa, parafacilitar y hacer más eficientes losprogramas de GRC, con una visiónde disminución de costos ygeneración de información con altacalidad y confiabilidad.Después de haber implementado elmodelo GRC, entrará en función laúltima etapa que es la deseguimiento al desempeño, en lacual se diseñará un programa quepermita estar actualizandoconstantemente el modelo con baseen los cambios que se vayangenerando en la empresa.El Coordinador de GRCLa responsabilidad de lograr un eficientemodelo de gestión de GRC es de todos losniveles de la empresa, desde sus órganosde gobierno hasta su personal operativo.Cada nivel apoyará dependiendo de sugrado de responsabilidad pero finalmenteencaminados al mismo objetivo.Es importante que la administración estéplenamente convencida que GRC lepermitirá tener estrategias bien definidasy enfocadas a su crecimiento, unaidentificación de los principales riesgosque pueden afectar su continuidad, asícomo una mayor eficiencia en susoperaciones y un eficaz sistema decontrol interno. Es por esto que laadministración debe mantener unaconstante comunicación ascendente ydescendente para hacer partícipe de susobjetivos y planes de trabajo a todos losmiembros de la empresa, con la finalidadde obtener de ellos su participación ycolaboración.Como mejor práctica para la aplicación yvigilancia del modelo de gestión de GRC,la empresa podrá definir a un“Coordinador de GRC”, el cual seráresponsable de lo siguiente: Facilitar la comunicación entre losinvolucrados en el modelo de gestiónde GRC; Coordinar el análisis y preparación dela información para los diversosComités y tomadores de decisiones; Dar seguimiento a los acuerdos ycompromisos de los Comitésrespecto al tema de GRC; Coordinar la interacción entreRiesgos, Control Interno y AuditoríaInterna, los esfuerzos decumplimiento y los temasrelacionados con ética y conducta; Dar seguimiento al mantenimiento yactualización de la informaciónrelativa a GRC.Mientras los órganos de gobiernoestablecen las estrategias generales parala conducción del negocio, elCoordinador de GRC tiene laresponsabilidad de comunicarlas deforma ordenada y consistente, a lasáreas, direcciones, funciones ydepartamentos. Es recomendable que lacomunicación sea documentada y que seestablezcan responsabilidades, tiempos yformas de reporte.4
Estructura de Gobierno CorporativoLas áreas, direcciones, funciones ydepartamentos en la organizaciónaplicarán en su operación diaria lasestrategias para la gestión y control de lasactividades; dando seguimiento de formacoordinada a los riesgos inherentes yaplicando los controles mitigantes,generando así la información requeridapara el monitoreo por parte de los órganosde gobierno.La presencia de un Coordinador de GRCfacilita la recopilación, conciliación eintegración de la información que espresentada a los órganos de gobierno paraque de esta forma solo les llegue lainformación más importante a la cualtienen que dar seguimiento. Con base enello y como parte de su proceso de tomade decisiones, definirán la necesidad decontinuar con las estrategias actuales o delo contrario podrán redefinir las estrategiaspara la conducción del negocio.en temas de gobierno corporativo,evaluación y administración de riesgos,desempeño corporativo, control interno,auditoría interna, cumplimientoregulatorio y normatividad interna.Otro tema trascendente es laindependencia que debe tener elCoordinador de GRC; debido a laimportancia de sus funciones, él debemantener lealtad hacia la administracióny los órganos de gobierno. Si bien escierto que el coordinador de GRC estaráen constante comunicación con las áreasfuncionales, su prioridad no son lasrelaciones personales, sino estarvigilando el cumplimiento del modelo degestión de GRC. Por tal motivo, loscomités a los que les reporte, deberánincluir en sus planes de trabajo lasrevisiones de los informes que elCoordinador les presente, para que éstosa su vez informen al consejo deadministración.La designación de un Coordinador de GRCno es tema sencillo por ser GRC unanueva mejor práctica. Es necesario por lotanto que la empresa defina un perfil ydescripción de puesto que se adapte a susnecesidades y que le permita estarcontinuamente actualizado. El candidatocomo requisitos deberá cubrir experiencia5
Fuente: “Curso GRC 07 jul 09” DeloitteMéxico.Reflexiones finalesLa administración también juega un papelmuy importante dentro la gestión de GRC,pues es responsable de estar en constantecomunicación con los involucrados paraasegurar que la gestión se encuentreencaminada a los objetivos planteadosinicialmente.Finalmente podemos concluir que elmodelo de gestión de GRC, es un modeloestándar adaptable a las características ynecesidades de cada empresa, losresultados dependerán del grado decompromiso de la administración y de losórganos de gobierno.El artículo sobre institucionalización de unaempresa con enfoque GRC, incluido eneste boletín, presenta un panorama másdetallado de esta fase, donde se explicanlos medios para la implementación ycontinuidad del modelo.6
AguascalientesUniversidad 1001, piso 12-1, Bosques del Prado20127 Aguascalientes, Ags.Tel: 52 (449) 910 8600, Fax: 52 (449) 910 8601HermosilloFrancisco Eusebio Kino 309-9, Colonia Country Club83010 Hermosillo, Son.Tel: 52 (662) 109 1400, Fax: 52 (662) 109 1414CancúnAvenida Tulúm 269, PH-3, SM 15-A, M 3, lote 2-0377500 Cancún, Q. RooTel: 52 (998) 892 3675, Fax: 52 (998) 892 3679LeónPaseo de los Insurgentes 303, piso 1, Colonia Los Paraísos37320 León, Gto.Tel: 52 (477) 214 1400, Fax: 52 (477) 214 1405CelayaEdificio Deloitte, pisos 1 y 2, Blvd. A. López Mateos 1206Ote., Colonia Las Insurgentes38080 Celaya, Gto.Tel: 52 (461) 159 5300, Fax: 52 (461) 159 5333MazatlánAvenida Camarón Sábalo 133, Fraccionamiento Lomasde Mazatlán82110 Mazatlán, Sin.Tel: 52 (669) 989 2100, Fax: 52 (669) 989 2120ChihuahuaCentro Ejecutivo Punto Alto IIAv. Valle Escondido 5500, Fracc. Des. El Saucito E-2, piso 1,31125 Chihuahua, Chih.Tel: 52 (614) 180 1100, Fax: 52 (614) 180 1110MexicaliCalzada Justo Sierra 1101-A, Fraccionamiento Los Pinos21230 Mexicali, B.C.Tel: 52 (686) 905 5200, Fax: 52 (686) 905 5231Ciudad JuárezPaseo de la Victoria 3751, piso 2, Colonia Partido Senecú32540 Ciudad Juárez, Chih.Tel: 52 (656) 688 6500, Fax: 52 (656) 688 6536CuliacánCalz. Insurgentes 847 Sur, Local 3, Colonia Centro Sinaloa80128 Culiacán, Sin.Tel: 52 (667) 761 4339, Fax: 52 (667) 761 4338GuadalajaraAvenida Américas 1685, piso 10, Colonia JardinesProvidencia44638 Guadalajara, Jal.Tel: 52 (33) 3669 0404, Fax: 52 (33) 3669 0469México, D.F.Paseo de la Reforma 505, piso 28, Colonia Cuauhtémoc06500 México, D.F.Tel: 52 (55) 5080 6000, Fax: 52 (55) 5080 6001MonclovaSan Buenaventura 505, Colonia Los Pinos25720 Monclova, Coah.Tel: 52 (866) 635 0075, Fax: 52 (866) 635 1761MonterreyLázaro Cárdenas 2321 Poniente, PB, Residencial SanAgustín66260 Garza García, N.L.Tel: 52 (81) 8133 7300, Fax: 52 (81) 8133 7383NogalesApartado Postal 384-2Sucursal de Correos “A”84081 Nogales, Son.Tel: 52 (631) 320 1673, Fax: 52 (631) 320 1673PueblaEdificio Deloitte, vía Atlixcayotl 5506, piso 5, ZonaAngelópolis72190 Puebla, Pue.Tel: 52 (222) 303 1000, Fax: 52 (222) 303 1001QuerétaroAvenida Tecnológico 100-901, Colonia San Ángel76030 Querétaro, Qro.Tel: 52 (442) 238 2900, Fax: 52 (442) 238 2975, 238 2968ReynosaCarr. Monterrey-Reynosa 210-B, PAFracc. Portal San Miguel88730 Reynosa, Tamps.Tel: 52 (899) 921 2460, Fax: 52 (899) 921 2462San Luis PotosíCarranza 2076-22, piso 2, Colonia Polanco78220 San Luis Potosí, S.L.P.Tel: 52 (444) 811 8889, Fax: 52 (444) 811 8922TijuanaAgua Caliente 4558, piso 1, Colonia Aviación22420 Tijuana, B.C.Tel: 52 (664) 622 7878, Fax: 52 (664) 681 7813TorreónIndependencia 1819-B Oriente, Colonia San Isidro27100 Torreón, Coah.Tel: 52 (871) 747 4400, Fax: 52 (871) 747 4409Este material y la información aquí incluida es proporcionada por Deloitte Touche Tohmatsu con el fin de mostrar un aspectogeneral sobre uno o varios temas en particular, y no son un tratamiento exhaustivo sobre el(los) mismo(s).Por lo tanto, la información presentada no sustituye a la asesoría o a nuestros servicios profesionales en materia contable, fiscal,legal, financiera, de consultoría o de otro tipo. No es recomendable considerar esta información como la única base para cualquierresolución que pudiese afectarle a usted o a su negocio. Antes de tomar cualquier decisión o acción que pudiese afectar a susfinanzas personales o a su empresa debe consultar a un asesor profesional.Este material y la información incluida se proporcionan sin interpretación alguna, Deloitte Touche Tohmatsu no hace ningunadeclaración ni otorga garantía alguna, de manera expresa o implícita, sobre el mismo y la información proporcionada. Sin limitar loanterior, Deloitte Touche Tohmatsu no garantiza que el material o el contenido estén libres de error o que cumplan con criteriosparticulares de desempeño o calidad. Deloitte Touche Tohmatsu renuncia expresamente a cualesquier garantías implícitas,incluidas de manera enunciativa mas no limitativa, garantías de comercialización, propiedad, adecuación para un propósito enparticular, no infracción, compatibilidad, seguridad y exactitud.Al utilizar este material y la información aquí incluida lo hace bajo su propio riesgo y asume completa responsabilidad sobre lasconsecuencias que pudieran derivar por el uso de los mismos. Deloitte Touche Tohmatsu no se responsabiliza por dañosespeciales, indirectos, incidentales, derivados, punitivos o cualesquier otros deterioros resultantes de una acción de contrato,estatuto, extracontractual (incluyendo, sin limitación, negligencia) o de otro tipo, relacionados con el uso de este material o de lainformación proporcionada. Si alguna parte de lo anterior no es completamente ejecutoria, la parte remanente seguirá siendoaplicable.deloitte.com/mxEsta publicación es para uso exclusivo de clientes y personal de la firma.Se prohíbe su distribución, copia y/o reproducción total o parcial sin previa autorización por escrito. 2009 Galaz, Yamazaki, Ruiz Urquiza, S.C. Todos los derechos reservados.Deloitte se refiere a Deloitte Touche Tohmatsu –asociación suiza– y a su red de firmas miembro, cada una como una entidad
líneas de reporte; es el sistema por el cual las empresas son dirigidas y controladas. A través del Gobierno Corporativo los órganos de gobierno establecen y comunican la visión que ha de seguirse para la adecuada gestión efectiva de riesgos y cumplimiento, además de vigilar constantemente que la administración dé cumplimiento a esta
