Riesgos, Control y Auditoría: ¿las empresas en plena transformación?

Bernard Drui es Director General y dirige las actividades de Protiviti en Francia. Protiviti es un grupo global de consultoría en materia de gestión de riesgos, gobernanza, conformidad, transformación de organizaciones y auditoría interna, que existe desde 2002. El grupo opera en una treintena de países con 85 oficinas y más de 7.000 profesionales, con un volumen de negocio de 2 millones de euros en 2021. Bernard Drui intervient sur des sujets de gestion des risques auprès des étudiants en dernière année de l'EDHEC.

" Aujourd'hui, la réalité du monde dans lequel opèrent les organisations impose de la robustesse et de l'agilité en matière de GRC. ¡On est bien au-delà du " nice to have " d'il y a quelques années ! "

¿Podría decirnos algunas palabras sobre la vaga base de transformación que existe en el mercado de la GRC en Francia?

La Gouvernance Risque Conformité no es un concepto nuevo, sino que es el resultado de varios fondos que, desde hace más de una treintena de años, han llevado progresivamente a las organizaciones a formalizar las actividades que llevaban a cabo en este ámbito. 

Aujourd'hui, la vitesse et l'interconnexion de l'économie, auxquelles s'ajoutent depuis peu le contexte de la guerre en Ukraine, accentuent la réalité directe à laquelle sont confrontées les entreprises en matière de GRC. Certains risques qui étaient plus ou moins identifiés et théorisés jusqu'ici, sont désormais bien réels. La cuestión de la resiliencia se plantea inmediatamente en las organizaciones, y aún más globalmente, en las sociedades. La question de la conformité se pose encore plus fortement aussi, avec les sanctions associées. Y esta lista de nuevos temas no es exhaustiva. 

En este contexto, es absolutamente necesario para cualquier organización contar con una gobernanza segura, un pilotaje con funciones y responsabilidades bien definidas, tener una visión clara de sus riesgos, saber controlar sus procesos y sus controles para ser eficaz y poder responder a las necesidades de conformidad.

Aujourd'hui, la réalité du monde dans lequel opèrent les organisations impose quelque chose de robuste en matière de GRC. ¡On est bien au-delà d'un " nice to have ", assorti de quelques améliorations ! Les risques et enjeux clés doivent être absolument sous contrôle. C'est fondamental : il s'agira probablement de la nouvelle donne post Ukraine.

¿Cómo evolucionan las mentalidades?

Existe un sentimiento de imperiosa necesidad reglamentaria que se impone, por ámbitos: por ejemplo, antes de la pandemia y la guerra, el tema de la RGPD se consideraba muy a menudo, tanto desde el punto de vista reglamentario (y, por lo tanto, con enmiendas a la ley) como desde el punto de vista de las actitudes sociales.

La ciberseguridad y los riesgos informáticos se han visto acelerados por la crisis. Las empresas deben implantar un dispositivo de gestión del riesgo informático y asegurarse de que todo funciona y está bien gestionado.

Aujourd'hui, la pandémie, puis la guerre, nous montrent que les questions de résilience opérationnelle des organisations doivent être une priorité. Des réglementations à l'instigation de la banque d'Angleterre se mettent en place, sur la résilience des établissements financiers. L'ensemble des entreprises s'est rendu compte que pour pouvoir continuer à opérer, il faut repenser son organisation, ses alternatives en termes de sourcing, de production. Cela va prendre de plus en plus d'ampleur, en lien direct avec les problématiques ESG - et notamment environnementales - qui apparaissent aujourd'hui incontournables.

Cette nécessité de conformité au service d'un intérêt général ou commun est donc une tendance de fond. Les réglementations foisonnent, mais les pays ne sont pas encore tous en accord. 

Si l'on regarde en arrière, il y a 20 ans, les scandales financiers ont souligné la nécessité du risk management et du contrôle interne. Aujourd'hui, la façon dont on fait du business (digitalisé, interconnecté) et les événements massifs, géopolitiques, sanitaires et globaux, imposent ce new deal de la compliance. On a voulu tirer parti de la mondialisation, mais en oubliant parfois que cela créée des dépendances ou de nouveaux risques qu'il faut désormais systématiquement gérer si l'on veut pérenniser un semblant d'économie globale qui fonctionne.

Procesos, personas, tecnología: ¿cómo pueden las organizaciones prepararse para los cambios en curso y futuros?

Être manager est beaucoup plus complexe que avant : cela nécessite un vrai engagement intellectuel, davantage d'efforts à faire et de questions à se poser. On ne peut pas un bon manager sans être un risk manager, au sens très large du terme, pour soi-même et pour son entreprise. Il faut pouvoir justifier les décisions dans des contextes particuliers. Pour performer et atteindre ses objectifs, il faut savoir ce qui peut poser problème et l'anticiper. Y puede abandonarlo con todas las nuevas exigencias de conformidad, medio ambiente y demás. 

Y justamente, para tener tiempo para este compromiso, hay que optimizar las tareas que pueden automatizarse. La tecnología permite acelerar la ejecución de los procesos y controlarlos: es ahí donde las herramientas GRC entran en juego y desempeñan su papel. Por ejemplo, explotando los datos procedentes del ERP y de otras fuentes de la empresa, lo que permite autorizar un cierto número de controles, generar indicadores de riesgo o de rendimiento y alimentar la reflexión de la dirección. 

Enfin au niveau des processus, dans beaucoup d'entreprises, la direction est très décentralisée et proche du client, ce qui permet de prendre des décisions rapides. Pero para que funcione, es necesario que exista una alineación a lo largo de todo el proceso: hay que encontrar los mismos valores en el proceso de decisión, la misma apreciación del riesgo y las mismas políticas a nivel de la dirección. Por lo tanto, la dirección debe integrarlo en sus herramientas cotidianas y tener tiempo para anticiparse al utilizarlas.

¿Cómo está afectando el ESG a la gobernanza de las empresas bajo el espectro GRC, control, auditoría y gestión/gestión de riesgos? 

Tous les comptes d'entreprises aujourd'hui doivent être audités : c'est une évidence pour tout le monde. Le concept d'ESG s'impose de la même façon, il est en train de prendre de l'ampleur, à la fois sur l'urgence environnementale mais aussi sur les droits humains, sur les pratiques éthiques. Aujourd'hui, il est nécessaire d'avoir un socle de valeurs communes et un modus operandi simple pour la planète. 

La guerre en Ukraine a été un accélérateur : elle a mis en lumière les dépendances et les fragilités liées au nucléaire. Il y a eu une prise de conscience, notamment avec les pénuries de gaz et de pétrole. C'est en quelque sorte le déclic qui donne une raison d'agir, parce que les entreprises et les pays vont avoir un intérêt réel, concret, énergétique, commercial et géopolitique à engager des actions ESG.

Parece que los países de la OCDE están todavía a tiempo de implantar un sistema ESG, es decir, de evaluar las acciones de los actores clave de la economía y de los Estados en estos tres componentes medioambientales, sociales y de gobernanza. Además de defender los derechos humanos y el medio ambiente, existe una toma de conciencia real, una comprensión profunda de que las acciones ESG son de interés para todo el mundo.

Las relaciones con los niveles superiores son también un gran reto: con la economía conectada, muchos socios y proveedores son niveles sobre los que las empresas no siempre tienen una visibilidad adecuada. C'est désormais une exigence nouvelle de la GRC. 

¿Cómo capitalizar sus datos para llevar a cabo su transformación? Además de los datos habituales, se habla de datos ESG, de datos que no se tenía la costumbre de analizar antes, o incluso de cualquier tipo de dato que gravite en torno a la organización.

On produit énormément de données. Il faut dans un premier temps les connaître, les classer, les labeliser : identifier celles qui sont confidentielles, opérationnelles, les données à risques et celles qui ne sont pas à risque, celles qui sont privées, celles dont dépend l'activité de l'entreprise. 

A continuación, es necesario tener una idea clara de su ubicación: ¿dónde están estos datos, cuál es su estatus? Une cartographie est donc fondamentale.  Luego hay que saber explotarlos, distinguiendo los datos económicos utilizados para las finanzas y los datos CRM para el marketing. 

También hay que tener en cuenta los nuevos datos, como los relativos a los procesos en los ERP: hay una masificación en las empresas de estos datos, si la empresa no es eficiente en los procesos puede perder mucho dinero o perder el control. Explotar los datos a través de los controles adecuados se ha convertido en algo evidente.

Et enfin, il y a désormais des données ESG : avec l'évolution réglementaire, les entreprises devront rendre compte sur leur performance ESG exactement comme elles le faisaient sur la performance financière. Recopilar esta información, comunicarla de manera eficaz y medirla para poner en marcha los mejores controles es un verdadero reto, que permitirá a la empresa ser mucho más eficaz en sus informes institucionales, pero también más pertinente para actuar.

El objetivo es obtener y explotar una información fiable, una única fuente de veracidad, lo que constituye un verdadero reto: entre toda esta masa de datos, ¿cuáles son los que le sirven de referencia?

¿Qué papel debe desempeñar la tecnología en las funciones de Riesgos, Control y Auditoría?

La tecnología debe ser un facilitador que haga posible y sencillo el conjunto. Debe ser global y se debe poder acceder a ella fácilmente (por ejemplo, a través de la nube). La tecnología debe satisfacer claramente las necesidades de los directivos implicados en la GRC y la auditoría interna, y corresponderles de manera sencilla. Elle est alors proche du métier, du business, mais sans dénaturer les données. También debe ser ágil, en el sentido estricto del manifiesto ágil, es decir, cercana a los usuarios, y permitir responder a las distintas necesidades que surgen de nuevas normativas o nuevos contextos empresariales.

Mais cette technologie a aussi, et de plus en plus, un côté proactif, d'anticipation, notamment en matière d'ESG. Permite no sólo explotar los datos que ya existen, sino también anticiparse, por ejemplo, aportando información directa sobre el impacto medioambiental, integrando herramientas de GRC para tener un seguimiento continuo permanente.

La tecnología debe ayudar a este control continuo, facilitar el trabajo cotidiano y repartir la tarea. Por ejemplo, cuando se detecta un error en los controles, se envía al responsable en cuestión una pregunta o una acción para que pueda resolverlo, lo que permite al responsable de la GRC ganar tiempo y tener una organización reactiva en un plazo muy breve. 

¿Qué consejo les daría a las direcciones de riesgos y de la conformidad que leen, en torno a su proyecto de transformación?

Le management des risques doit avoir une approche holistique. Le système d'information mis en place doit lui aussi être pensé de façon holistique, pensé de la data " de base " jusqu'au rapport final, avec agilité. Il faut penser au système dans son ensemble par rapport à un besoin global et pas seulement via un seul axe, au détriment des autres. Il est important d'identifier une articulation globale dès le départ pour avoir un outil qui, dans sa structuration première, répondra à toutes les besoins.