Sin liderazgo, sin comunicación, sin gobernanza: solo caos*
La gobernanza, el riesgo y el cumplimiento (GRC) se consideran a menudo un enfoque estructurado para gestionar los requisitos normativos y mitigar los riesgos. Sin embargo, a pesar de su creciente importancia, muchas organizaciones se enfrentan a dificultades para implementar eficazmente el GRC. ¿El motivo? No es la complejidad de las normativas ni el ritmo de los cambios legislativos. El verdadero reto está en su interior: la fragmentación de la propia organización. Sin una gobernanza sólida que unifique los diferentes departamentos y elimine los silos, la GRC se convierte en un mosaico de esfuerzos aislados, sin cohesión ni dirección estratégica.
En esencia, el GRC no consiste solo en listas de verificación de cumplimiento o tácticas de reducción de riesgos. Se trata de incorporar una mentalidad de responsabilidad y alineación estratégica en toda la organización. Y eso comienza en la cima. El liderazgo aporta cohesión y dirección a una estructura de GRC exitosa. Sin él, las empresas caen en un ciclo de cumplimiento reactivo y gestión de riesgos desarticulada, exponiéndose a vulnerabilidades innecesarias.
Un artículo reciente de Harvard Business Review destaca que los silos organizativos siguen siendo un gran obstáculo para una colaboración eficaz, lo que dificulta el proceso de toma de decisiones y el rendimiento general de la empresa. Según algunos informes, el 83 % de los ejecutivos reconocen la presencia de silos en sus organizaciones, y el 97 % afirman que estas divisiones tienen un «impacto negativo» en los resultados empresariales. A medida que las empresas se expanden, estas barreras estructurales crean puntos ciegos, lo que dificulta la detección de riesgos, el cumplimiento normativo y el mantenimiento de la responsabilidad. Sin una estrategia centralizada, los esfuerzos de gobernanza entran en conflicto u operan de forma aislada, lo que conduce a una falta de visibilidad sobre el panorama general de riesgos de la organización.
En el contexto del GRC, estos silos crean puntos ciegos en los que los riesgos pasan desapercibidos, las deficiencias en el cumplimiento aumentan y la responsabilidad se diluye. Cada departamento (jurídico, financiero, de TI, de RR. HH.) puede tener su propio enfoque de la gobernanza, el riesgo y el cumplimiento, pero sin una estrategia centralizada, estos esfuerzos a menudo entran en conflicto o funcionan de forma aislada. El resultado es una organización fragmentada, en la que nadie tiene una visión clara del panorama general de los riesgos.
Pongamos como ejemplo el escándalo de Wells Fargo en 2016, en el que se crearon cuentas no autorizadas para cumplir con cuotas de ventas agresivas. No se trató solo de un fallo de cumplimiento, sino de un fallo de gobernanza. Diferentes partes de la organización estaban operando con prioridades contradictorias y, sin un liderazgo fuerte que supervisara e integrara los esfuerzos de cumplimiento, las prácticas poco éticas no se controlaron. Las consecuencias fueron graves: multas, daños a la reputación y una revisión masiva del liderazgo y las políticas. La lección aquí es clara: el GRC no puede funcionar en silos.
¿Por qué el liderazgo debe eliminar los silos?
Para acabar con estos silos, las organizaciones necesitan algo más que políticas y procedimientos; necesitan un cambio cultural que comience por el liderazgo. Una gobernanza sólida garantiza que el cumplimiento no se considere una función aislada, sino una parte intrínseca del funcionamiento de la empresa. Promueve un entorno en el que la información fluye libremente entre departamentos, se refuerza la concienciación sobre los riesgos y la toma de decisiones se basa en una comprensión global de la exposición de la empresa a las amenazas.
Un estudo de McKinsey de 2023 destaca que las organizaciones con estructuras de gobernanza sólidas y prácticas integradas de gestión de riesgos están significativamente mejor equipadas para anticiparse y responder eficazmente a los riesgos emergentes. A medida que las empresas se enfrentan a una incertidumbre cada vez mayor, aquellas que cuentan con estructuras proactivas de gobernanza y riesgo demuestran una mayor resiliencia y adaptabilidad para hacer frente a las perturbaciones. Esto no ocurre por casualidad, sino que es el resultado directo de un liderazgo que promueve un enfoque colaborativo del GRC. Cuando los ejecutivos se apropian de las iniciativas de GRC y las integran en la estrategia empresarial, eliminan la fragmentación que perjudica los esfuerzos de cumplimiento y gestión de riesgos.
El aspecto olvidado: la comunicación
Aunque muchas organizaciones se centran en establecer políticas y procedimientos sólidos, a menudo ignoran el papel fundamental que desempeña la comunicación para garantizar el éxito de la GRC. Sin ella, incluso los marcos de gobernanza mejor estructurados pueden fallar, dejando a los departamentos trabajando por su cuenta, sin una visión más amplia del riesgo, el cumplimiento y la responsabilidad.
Tomemos, por ejemplo, un destacado banco global que se enfrentó a importantes sanciones reglamentarias debido a la falta de comunicación sobre nuevas medidas de cumplimiento. A pesar de contar con las políticas adecuadas, los empleados no sabían cómo implementar estos cambios, lo que provocó un incumplimiento generalizado. No se trataba de una falta de políticas, sino de un fallo de comunicación que dejó a los empleados sin saber cuáles eran sus responsabilidades. Para resolver este problema, el banco introdujo reuniones periódicas entre departamentos y canales claros de retroalimentación, lo que les permitió garantizar que toda la organización estuviera alineada en tiempo real con los requisitos normativos.
Del mismo modo, un sistema sanitario europeo tuvo dificultades para imponer un cumplimiento coherente del Reglamento General de Protección de Datos (RGPD) debido a la comunicación fragmentada entre sus departamentos. Las diferentes divisiones, desde TI hasta la atención al paciente, tenían sus propias interpretaciones de las normas. La organización reaccionó creando una plataforma de comunicación centralizada que facilitó una mejor comprensión y alineación, garantizando que todos los equipos estuvieran en sintonía en lo que respecta a la privacidad de los datos de los pacientes. Esta integración ayudó a la organización a evitar costosas multas y reforzó su postura general de cumplimiento.
La comunicación en el GRC debe ser una conversación continua, no un mensaje único o un conjunto estático de instrucciones. Requiere que los líderes se involucren continuamente con los empleados, asegurándose de que comprenden sus funciones en la gestión del riesgo y el cumplimiento de las políticas. Además, las organizaciones deben aprovechar la tecnología para simplificar los esfuerzos de comunicación, como las plataformas de gestión del cumplimiento que permiten distribuir fácilmente las actualizaciones, realizar un seguimiento de las actividades de cumplimiento, generar informes y crear alertas, así como recopilar comentarios.
Comunicación en la gobernanza de la IA
A medida que las organizaciones incorporan cada vez más la inteligencia artificial (IA) en sus operaciones, la comunicación se vuelve aún más imprescindible. La IA introduce riesgos complejos que las estructuras tradicionales de GRC pueden no estar totalmente preparadas para abordar. Por ejemplo, Amazon se enfrentó a una reacción pública negativa cuando se descubrió que su sistema de contratación basado en IA discriminaba a las mujeres. El problema no radicaba en la tecnología en sí, sino en la falta de transparencia sobre cómo se utilizaba el sistema de IA, los datos con los que se entrenaba y cómo se interpretaban sus resultados. El sistema, que se entrenó a partir de los currículos enviados a la empresa a lo largo de una década, favoreció inadvertidamente a los candidatos masculinos, ya que los datos reflejaban un desequilibrio histórico entre los sexos. Esto pone de relieve la necesidad de una mayor transparencia y supervisión en la implementación de los sistemas de IA, especialmente en áreas sensibles como la contratación.
Para evitar problemas similares, las organizaciones deben garantizar que la gobernanza de la IA se comunique claramente a todos los niveles. Esto significa explicar no solo los riesgos asociados a la IA, sino también las medidas que se están tomando para mitigarlos. Es esencial que los líderes promuevan una cultura en la que se debata abiertamente la ética y la gobernanza de la IA, garantizando que todos los empleados comprendan su papel en la toma de decisiones responsables y transparentes cuando utilizan tecnologías de IA.
Según mi experiencia, las estructuras de GRC más exitosas son aquellas en las que la comunicación no es una reflexión tardía, sino un pilar central de la gobernanza. Las organizaciones que dan prioridad a la comunicación logran disolver los silos, promover la transparencia y crear un entorno en el que el cumplimiento es una responsabilidad compartida.
Como dijo una vez Warren Buffet: «Se necesitan 20 años para construir una reputación y 5 minutos para arruinarla. Si pensamos en ello, haremos las cosas de otra manera». Esto es especialmente cierto en el ámbito del GRC, donde una comunicación y un liderazgo sólidos pueden marcar la diferencia entre un enfoque sólido y unificado y una estrategia fragmentada y reactiva.
* Este artículo fue publicado originalmente en Corporate Compliance Insights.