José María Berenguer
El éxito del Toyota Production System (TPS) que funcionó como banco de pruebas de la aplicación del “pensamiento lean” a la producción (lean manufacturing) se ha ido extendiendo, con el paso del tiempo, a otras operaciones de la empresa: al consumo (lean consumption) y a los aprovisionamientos (lean provision) referidos por Womack y Jones en 2009; al marketing (lean marketing) por Ellis en 2012; al diseño de la experiencia de usuario (lean UX) por Gothelf en 2013; a las marcas (lean branding) por Busche en 2015; a la gestión contable (lean accounting) por Stenzel en 2007; a la medida del desempeño (lean analytics) por Croll y Yoskovitz en 2014 o al desarrollo de clientes (lean customer development) por Álvarez en 2014.
El éxito del Toyota Production System (TPS) que funcionó como banco de pruebas de la aplicación del “pensamiento lean” a la producción (lean manufacturing) se ha ido extendiendo, con el paso del tiempo, a otras operaciones de la empresa: al consumo (lean consumption) y a los aprovisionamientos (lean provision) referidos por Womack y Jones en 2009; al marketing (lean marketing) por Ellis en 2012; al diseño de la experiencia de usuario (lean UX) por Gothelf en 2013; a las marcas (lean branding) por Busche en 2015; a la gestión contable (lean accounting) por Stenzel en 2007; a la medida del desempeño (lean analytics) por Croll y Yoskovitz en 2014 o al desarrollo de clientes (lean customer development) por Álvarez en 2014.
Esta difusión del pensamiento lean ha llegado recientemente al Governance, Risk Management and Compliance o GRC, otra área de gestión de la empresa, especialmente delicada, que adquirió carta de presencia en los EEUU entre los años 70 y 80 cuando se promulga la Foreign Corrupt Practices Act (FCPA) de 1977 y que ahora toma cuerpo en España con la reforma del Código Penal que ha entrado en vigor el 1 de julio de 2015, y la concreción que en él se hace del concepto de “debido control” a través de un compliance management system. A su derivada lean se la conoce, como más adelante se tendrá ocasión de comentar ampliamente, por el término Lean GRC.
Hay que decir de entrada que la GRC está beneficiándose de un proceso de definición y de adopción muy parecido al que siguieron otras iniciativas de transformación empresarial como la planificación estratégica, la gestión de la calidad o la integración de aplicaciones; y esto, aún en los países que más se han adelantado en el tiempo para regular la compliance penal, como Estados Unidos (1977), Italia (2001), Australia (2006) o Reino Unido (2010).
Por eso, no es de extrañar que algunas veces se haga referencia a la GRC como un programa de la empresa o de uno de sus departamentos, cuando es más exacto definirlo como una capacidad de la organización. Admitiendo que para la implantación de una estrategia de GRC se necesita en la práctica una mínima estructura, un responsable, unos recursos humanos y materiales y un plan de acción, es conveniente, sin embargo, tener en cuenta lo que, a estos efectos, enfatiza Carole Switzer, presidente del Open Compliance and Ethics Group (OCEG), en Governance, Risk and Compliance: Creating the Right GRC Strategy for Your Company (2013):
“muchos reconocen ahora que un enfoque integrado del gobierno, de la gestión de los riesgos y del cumplimiento (GRC) es una capacidad… Una organización con una fuerte capacidad de GRC tiene más conocimiento de los riesgos, y en consecuencia mejor planificación estratégica, y está más preparada para cumplir sus objetivos”.
Una escueta definición de Michael Rasmussen en Mature Governance, Risk Management & Compliance Needs an Enterprise Architecture Approach (2015) reafirma esta idea de la GRC como capacidad de la organización, a la vez que clarifica el alcance de sus tres componentes:
“GRC es una capacidad de alcanzar fiablemente los objetivos (governance) a la vez que se hace frente a la incertidumbre (risk management) y se actúa con integridad (compliance)”
De lo visto se deduce que la GRC no es otro nombre del Enterprise Risk Management (ERM), aunque la GRC abarque al ERM. Que la GRC no se puede implantar en funciones que al estar poco coordinadas actúen como silos (siloed GRC), por el consiguiente despilfarro de tiempo y recursos que se deberían aplicar a conciliar datos inconsistentes o redundantes, sino que la empresa debe rediseñar sus procesos de negocio integrando en ellos la triple visión de gobierno, riesgo y cumplimiento. Que la GRC no es sólo un problema de una persona (o un grupo de personas) responsable o “propietario” de todos los aspectos de gobierno, riesgo y cumplimiento, sino que es una enterprise-wide responsibility que comparten la propiedad, la dirección y los empleados.
Precisamente, este enfoque de procesos de la GRC, que alerta ante el hecho de que en la organización: se desarrollen iniciativas (siloed iniciatives) de sistemas GRC independientes y descentralizados: 1) que abordan aspectos parciales del gobierno, riesgos y cumplimiento de la organización, 2) que no son capaces de reaccionar con agilidad ante las exigencia del entorno, 3) que introducen una complejidad añadida y artificial por la variedad de terminología, metodologías y sistemas y 4) que no dan una visión global de su buen gobierno, riesgo y cumplimiento, es una primera forma de Lean GRC explicada por Humble, Volesky y O’Reilly en Lean Enterprise. How High Performance Organizations Innovate at Scale (2014). Para estos autores no hay una receta de cocina aplicable a todas las empresas y el “teñido lean” de la GRC se hace aplicando a discreción la clásica panoplia de técnicas lean: visualizar la value stream o los procesos, apoderar a equipos interfuncionales, reducir el despilfarro y los retrasos actuando sobre las actividades que no añaden valor, limitar el trabajo en curso, aprender de los experimentos, hacer pequeños cambios incrementales (quick hits) o practicar la mejora continua (kaizen).
El OCEG ha desarrollado una aproximación más elaborada al Lean GRC (de hecho, ha registrado esta denominación como marca comercial) que también está fundamentada en un enfoque de procesos. El OCEG es una organización non-profit, relativamente reciente y patrocinada por la industria de las tecnologías de información, que tiene como objetivo el desarrollo de normas y el asesoramiento a empresas en materia de GRC. Aunque ha publicado varias normas en lo que se refiere a un GRC capability model, hoy por hoy el OCEG no tiene la autoridad, para fijar ningún tipo de normativa, como sería el caso del American Institute of Certified Public Accountants (AICPA), o el de la ISO (que ya ha hecho acto de presencia en este campo con la publicación, por ejemplo, de la ISO 19.600/2014 sobre los Compliance Management Systems (CMS) o de la ISO 31.ooo sobre Risk Management).
El enfoque Lean GRC del OCEG se basa en la aplicación a la GRC de cuatro principios del lean thinking: 1) eliminar el despilfarro, 2) poner el foco en los individuos que añaden valor, 3) aprovecharse del concepto de “valor de tracción” (pull value) y 4) establecer la consistencia y la excelencia a todo lo largo y ancho de la organización.
Eliminar el despilfarro mira principalmente a la eficiencia de las actividades de GRC. Se elimina el despilfarro evitando la sobreproducción, que en un sistema GRC puede referirse a la aplicación de recursos financieros y humanos a una cartera de riesgos excesivamente amplia (en una multinacional no sería eficiente tener un modelo de riesgos uniforme que no contemplara las diferencias entre países). Se elimina el despilfarro evitando los excesos de inventario, que en un sistema de GRC puede encontrarse cuando se mantiene, por falta de racionalización, una compleja maraña de políticas, procedimientos, terminología, controles… que conduce a la confusión, al solapamiento, a la duplicación (o peor aún al conflicto) entre estos elementos del sistema. Se elimina el despilfarro evitando el sobreprocesamiento, que en un sistema GRC, como en cualquier otro basado en procesos, incluye actividades o tareas que no añaden valor o que se pueden simplificar como son copias extra, informes excesivos o innecesarios, controles redundantes y un largo etcétera. Se elimina el despilfarro reduciendo el movimiento, que en un sistema GRC puede producirse cuando las actividades de control no están embebidas en los procesos existentes, lo que lleva al concurso de empleados afectos específicamente al control y aumenta la posibilidad de innecesarios desplazamientos. Se elimina el despilfarro reduciendo los defectos, que en un sistema GRC exige una adecuada definición de los roles y responsabilidades de los empleados a todos los niveles, de políticas y procedimientos muy claros y de formación. Se elimina el despilfarro reduciendo las esperas, que en un sistema de GRC menudean por efecto de las revisiones, aprobaciones, autorizaciones y otros momentos de control típicos de estos sistemas. Se elimina el despilfarro reduciendo el transporte de documentos e información, que en el caso de un sistema GRC tiene a producirse cuando, por causa de una siloed GRC, donde coexisten varios sistemas GRC independientes y descentralizados no se dispone de un repositorio centralizado de información sobre riesgos y cumplimiento.
En muchos casos los individuos añaden valor porque tienen información que otros no tienen o porque pueden tener acceso a ella antes que los demás. Es conveniente poner el foco ese tipo de personas que tienen información sobre riesgos y cumplimiento y hacerlas engranajes clave de los procesos de GRC. Esto implicará, o bien asignar responsabilidades clave de GRC a los empleados de primera línea que gocen de esta característica, para apalancar al máximo su capacidad de añadir valor; o bien integrarlos directamente en los procesos. Con ello se lograría a un control más temprano de los acontecimientos que pudieran afectar a la capacidad de GRC y se instilaría un comportamiento ético y actitud de cumplimiento a todos los niveles de la organización.
“Valor de tracción” es traducible, en el caso de GRC, en satisfacer las demandas de información tal y cómo se necesitan, en el momento en el que producen y en dónde se producen. Cuando esta cultura lean se haya consolidado en la organización algunos de los procesos de gobierno, riesgo y cumplimiento se habrán simplificado y automatizado; el despilfarro se habrá identificado y eliminando al máximo posible (empezando por la supresión de las actividades y tareas que no añaden valor) y la comunicación probablemente haya mejorado.
El momento de aprovecharse de esta la nueva cultura y rentabilizar los esfuerzos realizados llega al extender –en línea con el cuarto principio de consistencia y excelencia– este despliegue de eficiencia al resto de los procesos de GRC de la organización. Esto exige no sólo que el repositorio centralizado de información sobre riesgos y cumplimiento citado arriba sea accesible en toda la empresa, sino que en esta se haya aceptado una terminología y políticas comunes, un sistema para difundirlas y recordarlas en toda la organización y unas métricas para controlar su cumplimiento.
En conjunto, el repositorio, la terminología y las políticas, el sistema de difusión de estos conocimientos y las métricas forman un marco común de GRC que recuerda a los marcos de calidad total que se implantaron en los años 80. En definitiva, son unas best practices que, convenientemente difundidas por los adoptadores precoces de la GRC en la empresa, pueden contribuir a polinizar la “cultura Lean GRC” en el resto de la organización y en su marco de relaciones (proveedores, distribuidores, aliados tecnológicos) tal como sucedió con el pensamiento lean en el caso del Toyota Production System.
Fuente de la imagen: Flickr