GRCRiesgos

ERM vs. GRC ¿Sabes cuál es la diferencia?

🕑 4 minutos de lectura

¿Cuál es la mejor solución para tu organización?

En este blog hablaremos sobre dos grandes enfoques o metodologías en el área de la gestión de riesgos, como son el ERM y el GRC, pero ¿conoces la diferencia? En este artículo te ayudaremos a entender sus diferencias para encontrar la mejor solución posible para tu organización.

Comenzaremos por conocer qué significan sus siglas. GRC hace referencia a Gobierno, Riesgos y Cumplimiento (del inglés, Governance, Risk & Compliance). Por su parte, ERM es Gestión de Riesgos Empresariales (originalmente, Enterprise Risk Management).

Ambos términos hacen referencia a la gestión y manejo de los riesgos dentro de una organización, o lo que es lo mismo, persiguen los objetivos estratégicos de la compañía intentando minimizar los posibles riesgos o, en su defecto, mitigando su valor de la manera que sea lo más óptima posible. Sin embargo, este objetivo común tiene una estrategia totalmente diferente en cada una de ellas, como vamos a ver a continuación.

ERM

El objetivo principal es la gestión de los riesgos, pero este es el enfoque exclusivo de esta metodología: identificar y evaluar los riesgos empresariales en función a la actividad y hallazgos de cada área o actividad.

Este proceso debe ser transversal en todos los departamentos o áreas de la organización, ahondando en la toma de información de cada uno de ellos para la definición de los riesgos existentes y la toma de decisiones en función de sus objetivos operativos. Por decirlo de otro modo, es un análisis empírico del riesgo de manera individual previo a la aplicación de los controles necesarios.

En resumen, es un proceso centrado en los riesgos, que se basa en la toma de datos operativos y objetivos de cada área, aunque con una visión transversal que ayudará a la toma de decisiones.

GRC

Sus siglas ya nos anticipan el cambio de enfoque con respecto a la anterior metodología, ya que el principal objetivo es interconectar áreas bajo esos tres pilares: Gobierno, Riesgo y Cumplimiento. De ese modo, se provocan sinergias operativas que optimizan los procesos y evitan duplicidades.

El valor del GRC está sustentado por la alta dirección, por lo que es un proceso de arriba abajo del organigrama. Gracias a ello, los riesgos de la compañía deben estar alineados con el cumplimiento normativo, asimilando estrategias genéricas y aplicables a cualquier área o departamento.

Esta solución es una filosofía de análisis de riesgo alrededor de los objetivos de gobierno y del cumplimiento y aplicable a toda la organización de una manera estandarizada.

¿Cuál escoger entre ERM o GRC?

No hay una metodología mejor que otra. Cada enfoque es válido en función de la solución que se busque implementar, con una diferencia clave: la idea conceptual del riesgo. En una de ellas, más cuantificable en cada proceso y sus resultados, como ocurre en el ERM, y en la otra, de un modo más conceptual del cumplimiento basado en operativas generales, como ocurre en el GRC.

Si se busca una solución específica para conseguir los objetivos empresariales centrado en los riesgos de cada área o departamento, con información en detalle de cada uno de ellos y, en función a los mismos, tomar las decisiones operativas, seguramente el enfoque ERM será lo mejor para usted.

Por otro lado, si existe una gran implicación de la alta dirección, involucrada en el Gobierno de la organización, con una visión del riesgo y del cumplimiento genérico y aplicable a cualquier área, dícese con una definición de controles certificados aplicables a toda la compañía, una solución GRC será el enfoque más eficiente en su caso. Adicionalmente, al ser un concepto más amplio de riesgos operativos, que conecta a todos los departamentos de la empresa, ofrece una visión más completa al “C level” o nivel directivo ayudando a la optimización del gobierno de la organización.

En nuestra organización disponemos de GlobalSUITE®, un software que nos facilita la implantación del sistema de gestión de riesgos corporativo y nos proporciona automatización y trazabilidad en todo el proceso del análisis y gestión de riesgos.

Adicionalmente, tenemos de un área de consultoría que te asesorará y ayudará a implementar el sistema para conocer el estado de protección que tiene tu organización frente a los posibles riesgos que afecten a tus procesos de negocio en base a un ERM o un GRC.