Управление, контроль рисков и комплаенс как стратегическое преимущество

КРАТКО:

• Управление, риски и комплаенс (GRC) переходят от функции контроля бэк-офиса к стратегической функции, которая предвидит риски, защищает ценность и направляет решения руководства в нестабильном мире.

• Зрелые программы GRC характеризуются сильным руководством, быстрой и надежной информацией, четкой ответственностью первой линии и руководителями GRC, которые оспаривают решения совета директоров и руководства.

• Хотя ИИ и новые технологии улучшают обнаружение рисков, реальное преимущество заключается в интеграции информации о рисках по всей организации для обеспечения своевременного и практичного управления для совета директоров и руководства.

В ноябре члены советов директоров, высшие руководители, главные аудиторы, специалисты по комплаенсу, руководители по рискам и другие профессионалы собрались на форуме SGV Knowledge Institute и SGV Consulting «Навигация по устойчивости предприятия через синергию управления, рисков и комплаенса». Мероприятие рассмотрело, как управление, риски и комплаенс (GRC) преобразуются под влиянием бизнес-реалий, которые быстрее, более волатильны и менее снисходительны, чем когда-либо.

Первая панельная сессия «Интеграция GRC: согласование управления, рисков и комплаенса с бизнес-стратегией» была сосредоточена на том, как GRC может эволюционировать от оборонительной контрольной функции к источнику стратегической ясности.

ПЕРЕОСМЫСЛЕНИЕ РИСКОВ
Одна тема доминировала в обсуждении: традиционное определение риска стало неадекватным. Риск комплаенса, когда-то являвшийся центральной точкой программ GRC, теперь является лишь частью более широкой вселенной рисков, включающей ликвидность, рыночные и операционные риски. Выше них находятся стратегические и репутационные риски, которые участники дискуссии описывают как одну из наиболее значимых угроз долгосрочной ценности.

Риск сегодня, как они утверждали, лучше всего описывается как NAVI: нелинейный, ускоренный, волатильный и взаимосвязанный. Единичный сбой может быстро распространиться по функциям, географическим регионам и заинтересованным сторонам. Кибербрешь становится операционной и регуляторной проблемой; операционная или регуляторная проблема становится репутационным кризисом; репутационный кризис подрывает доверие акционеров.

«Зрелые GRC обеспечивают сотрудничество и способны решать события, которые вызывают множественные риски», — сказала Вики Ли Салас, старший вице-президент по специальным проектам и руководитель по рискам и комплаенсу SM Investments Corp. Вывод для руководителей ясен: управление рисками в изоляции не только неэффективно, но и опасно.

СКОРОСТЬ КАК СТРАТЕГИЧЕСКИЙ АКТИВ
В среде рисков NAVI скорость информации важна. Панель неоднократно возвращалась к идее, что эффективные программы GRC — это те, которые передают соответствующую информацию лицам, принимающим решения, до того, как выбор будет ограничен.

Нарлетт Манакап, страновой специалист по рискам комплаенса Citibank Philippines, описала сдвиг следующим образом: «Если у вас зрелый GRC, поток информации быстрее, достигая заинтересованных сторон вовремя для принятия более разумных решений», — сказала она. «GRC перешел от оборонительного к проактивному: мы выявляем болевые точки рано и соответствующим образом планируем ситуации. В некоторых случаях контроль существует для предотвращения, а не смягчения кризисов. Здоровый GRC помогает управлять кризисами и контролировать сбои».

Несмотря на обилие фреймворков, участники дискуссии сошлись на простом представлении о том, что составляет зрелость GRC, которая опирается на три выявленные опоры.

Во-первых, руководство должно быть сильным, видимым и однозначным. GRC не может работать эффективно, когда его мандат неясен или непоследовательно поддерживается наверху. Во-вторых, информация должна поступать быстро и достоверно к тем, кто уполномочен действовать. Информация о рисках, которая поступает поздно или фильтруется, чтобы избежать дискомфорта, служит малой цели. В-третьих, организация должна быть проактивной, то есть способной выявлять возникающие риски достаточно рано, чтобы предотвратить кризис, а не просто реагировать на него. Без всех трех, даже хорошо спроектированные структуры GRC с трудом приносят ценность.

ЛИДЕРСТВО И ОТВЕТСТВЕННОСТЬ
Помимо структуры, панель подчеркнула менталитет. Эффективные руководители по рискам должны работать с «менталитетом позитивных намерений», определяемым как способность ценить различные перспективы, оставаться открытыми во время дебатов и конструктивно взаимодействовать с бизнес-лидерами, чьи намерения не всегда могут совпадать с соображениями рисков.

Четкая ответственность столь же критична. Четко определенная сетка RACI — разъясняющая, кто ответственен, подотчетен, консультируется и информируется — становится незаменимой в моменты стресса, когда двусмысленность может парализовать реакцию. Действительно, человеческое поведение остается постоянным препятствием. Различные интерпретации аппетита к риску, неравномерная осведомленность о рисках и организационная политика могут подорвать даже самые сложные системы. В такие моменты руководители по рискам должны быть готовы отстаивать свою позицию. Знание, когда сказать «нет», и объяснение почему, является определяющим навыком лидерства в современном GRC.

ОТ ЗАЩИТЫ К СОЗДАНИЮ ЦЕННОСТИ
Панель описала эволюцию от трех линий защиты к модели трех линий, тонкий, но значительный сдвиг в языке. Новый акцент делается не только на предотвращении и контроле, но и на создании ценности. Чтобы три линии функционировали эффективно, они должны разделять цели, работать в рамках общей структуры и поддерживаться эффективными факторами: лидерством, культурой и технологией.

Манакап подчеркнула важность расширения полномочий первой линии. Когда бизнес-подразделения владеют рисками, организация становится более гибкой и менее зависимой от вмешательства второй линии. Риск в этой модели — это совместная ответственность, а не централизованная полицейская функция.

Этот сдвиг также имеет последствия для позиционирования руководителей по рискам. Салас заявила, что доверие начинается с признания. Руководители по рискам и старшие руководители по рискам, по ее словам, должны быть «хорошо оплачиваемыми, достаточно авторитетными, чтобы означать серьезность». Слишком часто риск рассматривается как центр затрат. На самом деле, сильные функции GRC действуют как «защитники доходов», защищая ценность, которая в противном случае могла бы быть потеряна из-за сбоев, штрафов или репутационного ущерба.

РАСШИРЯЮЩАЯСЯ РОЛЬ И ПРЕДЕЛЫ ТЕХНОЛОГИИ
Искусственный интеллект и новые технологии занимали видное место в обсуждении. Синг Хви Нео, глобальный партнер по обслуживанию клиентов EY для государственного и общественного сектора, размышлял о трансформации, свидетелем которой он стал на протяжении своей карьеры. «GRC прошел долгий путь с тех пор, как я начинал», — сказал он. «Когда я оглядываюсь на то время, когда начинал внутренний аудит, инструменты были очень рудиментарными. Опытные практики теперь могут использовать ИИ для обнаружения сбоев контроля в реальном времени».

Он указал на автономных агентов управления рисками, которые отслеживают множественные источники данных, динамически корректируют оценку рисков и помогают организациям приоритизировать и более эффективно реагировать на потенциальные инциденты.

Однако панель была осторожна в том, чтобы умерить энтузиазм осторожностью. Интеграция важнее любого отдельного инструмента, поскольку технология, которая усиливает изоляцию, лишь ускоряет путаницу. Согласование категорий рисков, консолидация мероприятий по обеспечению уверенности и предоставление высшему руководству возможности видеть всеобъемлющую, своевременную картину корпоративного риска остаются реальными отличительными чертами.

ИДЕИ ДЛЯ СОВЕТОВ ДИРЕКТОРОВ
Вопросы аудитории отражали общие проблемы руководителей, включая доступность комбинированных инструментов обеспечения уверенности и то, как организации могут сохранить независимость и силу функций второй и третьей линий. Ответы вернулись к знакомым темам: расширение полномочий первой линии, ясность ролей и видимая поддержка сверху.

Одно четкое послание было направлено советам директоров. Участники дискуссии призвали, чтобы управление внедрялось последовательно по всей группе, но пропорциональным и практичным образом. Чрезмерная инженерия управления может быть столь же разрушительной, как недостаточное управление, особенно в сложных организациях.

СИНЕРГИЯ В GRC
Сессия завершилась набором кратких размышлений, которые отразили общую философию панели. Управление задает направление, риск обеспечивает предвидение, а комплаенс обеспечивает согласованность, сказал Нео. Манакап описала GRC как «единое целое в действии, движущееся синхронно». Салас предложила фразу, которая, вероятно, найдет отклик у руководителей: «риск в ритме».

То, что в конечном итоге отличает эффективный GRC, — это не сложность ради самой себя, а синергия. Это открытый диалог, совместная ответственность и лидерство, готовое относиться к риску не как к ограничению, а как к стратегическому инструменту.

Эта статья предназначена только для общей информации и не является заменой профессиональной консультации в случаях, когда факты и обстоятельства требуют этого. Мнения, выраженные выше, принадлежат авторам и не обязательно отражают взгляды SGV & Co.

Джозеф Ян М. Канлас и Кристиан Джоймиэль К. Сай-Мендоза являются партнерами по консультированию по рискам SGV & Co.