Gobernanza, riesgo y cumplimiento como ventaja estratégica

EN RESUMEN:

• La gobernanza, el riesgo y el cumplimiento (GRC) está pasando del control de riesgo administrativo a una función estratégica que anticipa riesgos, protege el valor y guía las decisiones ejecutivas en un mundo volátil.

• Los programas GRC maduros cuentan con un liderazgo sólido, información rápida y confiable, propiedad clara por parte de la primera línea y líderes de GRC que desafían las decisiones de la junta directiva y la administración.

• Si bien la IA y las nuevas tecnologías mejoran la detección de riesgos, la verdadera ventaja proviene de integrar los conocimientos sobre riesgos en toda la organización para permitir una gobernanza oportuna y práctica para las juntas directivas y la administración.

En noviembre, miembros de juntas directivas, ejecutivos senior, directores de auditoría, oficiales de cumplimiento, directores de riesgo y otros profesionales se reunieron en el foro del SGV Knowledge Institute y SGV Consulting, "Navegando la Resiliencia Empresarial a través de la Sinergia de Gobernanza, Riesgo y Cumplimiento". Se examinó cómo la gobernanza, el riesgo y el cumplimiento (GRC) están siendo remodelados por realidades empresariales que son más rápidas, más volátiles y menos tolerantes que nunca.

La primera sesión del panel, "Integración GRC: Alineando Gobernanza, Riesgo y Cumplimiento con la Estrategia Empresarial", se centró en cómo el GRC puede evolucionar de una función de control de riesgo defensivo a una fuente de claridad estratégica.

REDEFINIENDO EL RIESGO
Un tema dominó la discusión: la definición tradicional de riesgo se ha vuelto inadecuada. El riesgo de cumplimiento, que alguna vez fue el punto focal de los programas GRC, ahora es solo una parte de un universo de riesgos más amplio que incluye exposiciones de liquidez, mercado y operaciones. Por encima de estos se encuentran los riesgos estratégicos y reputacionales, que los panelistas describen como una de las amenazas más importantes para el valor a largo plazo.

El riesgo hoy, argumentaron, se describe mejor como NAVI: no lineal, acelerado, volátil e interconectado. Una sola interrupción puede propagarse rápidamente a través de funciones, geografías y partes interesadas. Una brecha cibernética se convierte en un problema operacional y regulatorio; un problema operacional o regulatorio se convierte en una crisis reputacional; una crisis reputacional erosiona la confianza de los accionistas.

"Los GRC maduros aseguran la colaboración y son capaces de abordar eventos que desencadenan múltiples riesgos", dijo Vicky Lee Salas, Vicepresidenta Senior de Proyectos Especiales y Directora de Riesgo y Cumplimiento de SM Investments Corp. La implicación para los ejecutivos es clara: gestionar riesgos en silos no es meramente ineficiente, también es peligroso.

LA VELOCIDAD COMO ACTIVO ESTRATÉGICO
En un entorno de riesgo NAVI, la velocidad de la información es importante. El panel volvió repetidamente a la idea de que los programas GRC efectivos son aquellos que mueven conocimientos relevantes a los tomadores de decisiones antes de que las opciones se vean limitadas.

Narlette Manacap, Oficial de Riesgo de Cumplimiento de País de Citibank Filipinas, planteó el cambio de la siguiente manera: "Si tienes un GRC maduro, el flujo de información es más rápido, llegando a las partes interesadas a tiempo para tomar decisiones más inteligentes", dijo. "El GRC ha pasado de defensivo a proactivo: identificamos puntos críticos temprano y planificamos adecuadamente para las situaciones. En algunos casos, los controles están ahí para prevenir, no mitigar, crisis. Un GRC saludable ayuda a gestionar crisis y controlar interrupciones."

A pesar de la abundancia de marcos, los panelistas convergieron en una visión simple de lo que constituye la madurez GRC, que descansa sobre tres pilares identificados.

Primero, el liderazgo debe ser fuerte, visible e inequívoco. El GRC no puede operar efectivamente cuando su mandato no está claro o tiene apoyo inconsistente desde arriba. Segundo, la información debe fluir rápida y confiablemente a aquellos facultados para actuar. Los conocimientos sobre riesgos que llegan tarde, o son filtrados para evitar incomodidad, sirven de poco. Tercero, la organización debe ser proactiva, es decir, capaz de identificar riesgos emergentes lo suficientemente temprano para prevenir una crisis en lugar de simplemente responder a una. Sin los tres, incluso las estructuras GRC bien diseñadas luchan por entregar valor.

LIDERAZGO Y RENDICIÓN DE CUENTAS
Más allá de la estructura, el panel enfatizó la mentalidad. Los líderes de riesgo efectivos deben operar con una "mentalidad de intención positiva", definida como una capacidad para apreciar perspectivas diferentes, permanecer abiertos durante el debate y comprometerse constructivamente con líderes empresariales cuyas intenciones pueden no siempre alinearse con las consideraciones de riesgo.

La rendición de cuentas clara es igualmente crítica. Una cuadrícula RACI bien definida —aclarando quién es responsable, rinde cuentas, es consultado e informado— se vuelve indispensable durante momentos de estrés, cuando la ambigüedad puede paralizar la respuesta. De hecho, el comportamiento humano sigue siendo el obstáculo persistente. Las interpretaciones diferentes del apetito de riesgo, la conciencia de riesgo desigual y las políticas organizacionales pueden socavar incluso los sistemas más sofisticados. En tales momentos, los líderes de riesgo deben estar dispuestos a mantener su posición. Saber cuándo decir "no", y articular por qué, es una habilidad de liderazgo definitoria en el GRC moderno.

DE LA DEFENSA A LA CREACIÓN DE VALOR
El panel describió la evolución de las tres líneas de defensa al modelo de tres líneas, un cambio sutil pero significativo en el lenguaje. El nuevo énfasis no está únicamente en la prevención y el control de riesgo, sino en la creación de valor. Para que las tres líneas funcionen efectivamente, deben compartir objetivos, operar dentro de un marco común y ser apoyadas por facilitadores efectivos: liderazgo, cultura y tecnología.

Manacap subrayó la importancia de empoderar la primera línea. Cuando las unidades de negocio poseen riesgos, la organización se vuelve más ágil y menos dependiente de la intervención de la segunda línea. El riesgo, en este modelo, es responsabilidad compartida en lugar de una función de vigilancia centralizada.

Ese cambio también tiene implicaciones sobre cómo se posicionan los líderes de riesgo. Salas afirmó que la credibilidad comienza con el reconocimiento. Los directores de riesgo y líderes senior de riesgo, dijo, necesitan estar "bien pagados, lo suficientemente creíbles para hablar en serio". Con demasiada frecuencia, el riesgo se ve como un centro de costos. En realidad, las funciones GRC fuertes actúan como "protectores de ingresos", salvaguardando el valor que de otro modo podría perderse por interrupciones, multas o daños reputacionales.

EL PAPEL EN EXPANSIÓN Y LOS LÍMITES DE LA TECNOLOGÍA
La inteligencia artificial y las tecnologías emergentes figuraron prominentemente en la discusión. Sing Hwee Neo, Socio de Servicio al Cliente Global de EY para Gobierno y Sector Público, reflexionó sobre la transformación que ha presenciado a lo largo de su carrera. "El GRC ha avanzado mucho desde que comencé", dijo. "Cuando miro hacia atrás, cuando comencé la auditoría interna, las herramientas eran muy rudimentarias. Los profesionales experimentados ahora pueden usar IA para detectar fallas de control de riesgo en tiempo real."

Señaló a los agentes de gestión automatizada de riesgos que monitorean múltiples fuentes de datos, ajustan dinámicamente la puntuación de riesgo y ayudan a las organizaciones a priorizar y responder a incidentes potenciales de manera más efectiva.

Sin embargo, el panel tuvo cuidado de temperar el entusiasmo con cautela. La integración es más importante que cualquier herramienta individual, ya que la tecnología que refuerza silos simplemente acelera la confusión. Alinear las categorías de riesgo, consolidar las actividades de aseguramiento y permitir que la alta dirección vea una imagen integral y oportuna del riesgo empresarial siguen siendo los verdaderos diferenciadores.

PERSPECTIVAS PARA LAS JUNTAS DIRECTIVAS
Las preguntas de la audiencia reflejaron preocupaciones ejecutivas comunes, incluida la disponibilidad de herramientas de aseguramiento combinadas y cómo las organizaciones pueden preservar la independencia y fortaleza de las funciones de segunda y tercera línea. Las respuestas volvieron a temas familiares: empoderamiento de la primera línea, claridad de roles y apoyo visible desde arriba.

Un mensaje claro fue dirigido a las juntas directivas. Los panelistas instaron a que la gobernanza se implemente de manera consistente en todo el grupo, pero de manera proporcional y práctica. La sobre-ingeniería de la gobernanza puede ser tan dañina como la falta de gobernanza, particularmente en organizaciones complejas.

SINERGIA EN GRC
La sesión cerró con un conjunto de reflexiones sucintas que capturaron la filosofía compartida del panel. La gobernanza establece la dirección, el riesgo proporciona visión de futuro y el cumplimiento asegura la alineación, dijo Neo. Manacap describió el GRC como "uno en acción, moviéndose en sincronía". Salas ofreció una frase que probablemente resuene con los ejecutivos: "riesgo en ritmo".

Lo que finalmente distingue al GRC efectivo no es la sofisticación por sí misma, sino la sinergia. Se trata de diálogo abierto, responsabilidad compartida y liderazgo dispuesto a tratar el riesgo no como una restricción sino como un instrumento estratégico.

Este artículo es solo para información general y no sustituye el asesoramiento profesional donde los hechos y circunstancias lo ameriten. Las opiniones expresadas anteriormente son las de los autores y no necesariamente representan las opiniones de SGV & Co.

Joseph Ian M. Canlas y Christiane Joymiel C. Say-Mendoza son socios consultores de riesgo de SGV & Co.