Управління, контроль ризиків та комплаєнс як стратегічна перевага

КОРОТКО:

• Управління, ризики та відповідність (GRC) переміщується з функції контролю бек-офісу до стратегічної функції, яка передбачає ризики, захищає цінність і керує рішеннями керівництва в мінливому світі.

• Зрілі програми GRC характеризуються сильним лідерством, швидкою та надійною інформацією, чітким володінням першою лінією та лідерами GRC, які ставлять під сумнів рішення ради директорів та керівництва.

• Хоча ШІ та нові технології покращують виявлення ризиків, реальна перевага полягає в інтеграції інформації про ризики в усій організації для забезпечення своєчасного, практичного управління для ради директорів та керівництва.

У листопаді члени ради директорів, вище керівництво, керівники внутрішнього аудиту, співробітники з питань відповідності, керівники з ризиків та інші фахівці зібралися на форумі SGV Knowledge Institute та SGV Consulting «Навігація корпоративною стійкістю через синергію управління, ризиків та відповідності». Він розглянув, як управління, ризики та відповідність (GRC) переформатовуються бізнес-реаліями, які є швидшими, більш мінливими та менш поблажливими, ніж будь-коли.

Перша панельна сесія «Інтеграція GRC: узгодження управління, ризиків та відповідності з бізнес-стратегією» зосередилася на тому, як GRC може еволюціонувати від оборонної функції контролю до джерела стратегічної ясності.

ПЕРЕОСМИСЛЕННЯ РИЗИКУ
Одна тема домінувала в обговоренні: традиційне визначення ризику стало неадекватним. Ризик відповідності, колись центральна точка програм GRC, тепер є лише однією частиною ширшого універсуму ризиків, який включає ліквідність, ринкові та операційні впливи. Над ними знаходяться стратегічні та репутаційні ризики, які учасники панелі описують як одну з найбільш значущих загроз для довгострокової цінності.

Ризик сьогодні, як вони стверджували, найкраще описується як NAVI: нелінійний, прискорений, мінливий та взаємопов'язаний. Одне порушення може швидко поширюватися через функції, географічні регіони та зацікавлені сторони. Кібератака стає операційною та регуляторною проблемою; операційна або регуляторна проблема стає репутаційною кризою; репутаційна криза підриває довіру акціонерів.

«Зрілі GRC забезпечують співпрацю та здатні вирішувати події, які викликають множинні ризики», — сказала Вікі Лі Салас, віце-президент зі спеціальних проектів та керівник з ризиків і відповідності SM Investments Corp. Наслідок для керівників очевидний: управління ризиками в ізольованих відділах не просто неефективне, воно також небезпечне.

ШВИДКІСТЬ ЯК СТРАТЕГІЧНИЙ АКТИВ
У середовищі ризику NAVI швидкість інформації важлива. Панель неодноразово поверталася до ідеї, що ефективні програми GRC — це ті, які передають відповідні інсайти особам, які приймають рішення, перш ніж вибір буде обмежений.

Нарлетт Манакап, керівник країни з ризику відповідності Citibank Philippines, сформулювала зміну наступним чином: «Якщо у вас зріла GRC, потік інформації швидший, досягаючи зацікавлених сторін вчасно для прийняття розумніших рішень», — сказала вона. «GRC перейшла від оборонної до проактивної: ми рано визначаємо болючі точки та відповідно плануємо ситуації. У деяких випадках контроль існує для запобігання, а не пом'якшення криз. Здорова GRC допомагає керувати кризами та контролювати збої».

Незважаючи на велику кількість фреймворків, учасники панелі зійшлися на простому погляді на те, що становить зрілість GRC, яка спирається на три визначені стовпи.

По-перше, лідерство має бути сильним, видимим і однозначним. GRC не може ефективно працювати, коли її мандат незрозумілий або непослідовно підтримується на верхньому рівні. По-друге, інформація повинна швидко та достовірно надходити до тих, хто уповноважений діяти. Інсайти щодо ризиків, які надходять пізно або фільтруються, щоб уникнути дискомфорту, мають мало користі. По-третє, організація повинна бути проактивною, тобто здатною визначати нові ризики достатньо рано, щоб запобігти кризі, а не просто реагувати на неї. Без усіх трьох навіть добре спроектовані структури GRC важко забезпечують цінність.

ЛІДЕРСТВО ТА ВІДПОВІДАЛЬНІСТЬ
Крім структури, панель підкреслила мислення. Ефективні лідери з ризиків повинні працювати з «мисленням позитивних намірів», визначеним як здатність цінувати різні перспективи, залишатися відкритими під час дебатів і конструктивно взаємодіяти з бізнес-лідерами, чиї наміри не завжди можуть збігатися з міркуваннями ризику.

Чітка відповідальність є однаково критичною. Добре визначена сітка RACI — з'ясування того, хто відповідальний, підзвітний, консультується та інформується — стає незамінною в моменти стресу, коли двозначність може паралізувати реакцію. Справді, людська поведінка залишається постійною перешкодою. Різні інтерпретації схильності до ризику, нерівна обізнаність про ризики та організаційна політика можуть підірвати навіть найскладніші системи. У такі моменти лідери з ризиків повинні бути готові відстоювати свою позицію. Знання того, коли сказати «ні», і формулювання чому, є визначальною навичкою лідерства в сучасній GRC.

ВІД ЗАХИСТУ ДО СТВОРЕННЯ ЦІННОСТІ
Панель описала еволюцію від трьох ліній захисту до моделі трьох ліній, тонкий, але значний зсув у мові. Новий акцент робиться не лише на запобіганні та контролі, а й на створенні цінності. Щоб три лінії функціонували ефективно, вони повинні розділяти цілі, працювати в рамках спільної структури та підтримуватися ефективними інструментами: лідерством, культурою та технологіями.

Манакап підкреслила важливість надання повноважень першій лінії. Коли бізнес-підрозділи володіють ризиками, організація стає більш гнучкою та менш залежною від втручання другої лінії. Ризик у цій моделі є спільною відповідальністю, а не централізованою функцією поліцейського контролю.

Ця зміна також має наслідки для того, як позиціонуються лідери з ризиків. Салас заявила, що довіра починається з визнання. Керівники з ризиків і старші лідери з ризиків, за її словами, повинні бути «добре оплачуваними, достатньо авторитетними, щоб означати бізнес». Занадто часто ризик розглядається як центр витрат. Насправді сильні функції GRC діють як «захисники доходів», захищаючи цінність, яка в іншому випадку може бути втрачена через збої, штрафи або репутаційну шкоду.

РОЗШИРЕННЯ РОЛІ ТА ОБМЕЖЕННЯ ТЕХНОЛОГІЙ
Штучний інтелект та нові технології відігравали значну роль в обговоренні. Сінг Хві Нео, глобальний партнер EY з обслуговування клієнтів для державного та державного сектору, роздумував про трансформацію, яку він спостерігав протягом своєї кар'єри. «GRC пройшла довгий шлях з тих пір, як я почав», — сказав він. «Коли я озираюся назад, коли я почав внутрішній аудит, інструменти були дуже рудиментарними. Досвідчені практики тепер можуть використовувати ШІ для виявлення збоїв контролю в режимі реального часу».

Він вказав на автономних ШІ-агентів управління ризиками, які моніторять кілька джерел даних, динамічно коригують оцінку ризиків і допомагають організаціям визначати пріоритети та ефективніше реагувати на потенційні інциденти.

Однак панель була обережною, щоб приглушити ентузіазм обережністю. Інтеграція важливіша за будь-який окремий інструмент, оскільки технологія, яка посилює ізоляцію, лише прискорює плутанину. Узгодження категорій ризиків, консолідація діяльності з надання впевненості та надання можливості вищому керівництву бачити всебічну, своєчасну картину корпоративного ризику залишаються справжніми відмінностями.

ІНСАЙТИ ДЛЯ РАД ДИРЕКТОРІВ
Питання аудиторії відображали поширені занепокоєння керівників, включаючи доступність комбінованих інструментів надання впевненості та те, як організації можуть зберегти незалежність і силу функцій другої та третьої лінії. Відповіді повернулися до знайомих тем: надання повноважень першій лінії, ясність ролей і видима підтримка зверху.

Одне чітке повідомлення було адресовано радам директорів. Учасники панелі закликали, щоб управління впроваджувалося послідовно в усій групі, але пропорційно та практично. Надмірна інженерія управління може бути шкідливою, як і недостатнє управління, особливо в складних організаціях.

СИНЕРГІЯ В GRC
Сесія завершилася низкою стислих роздумів, які відображали спільну філософію панелі. Управління встановлює напрямок, ризик забезпечує передбачення, а відповідність забезпечує узгодження, сказав Нео. Манакап описала GRC як «один у дії, рухається синхронно». Салас запропонувала фразу, яка, ймовірно, знайде відгук у керівників: «ризик у ритмі».

Те, що в кінцевому підсумку відрізняє ефективну GRC, — це не складність заради самої складності, а синергія. Це відкритий діалог, спільна відповідальність і лідерство, яке готове розглядати ризик не як обмеження, а як стратегічний інструмент.

Ця стаття призначена лише для загальної інформації і не є заміною професійної консультації, коли факти та обставини цього вимагають. Висловлені вище погляди та думки належать авторам і не обов'язково представляють погляди SGV & Co.

Джозеф Іан М. Канлас та Крістіан Джоймієл С. Сей-Мендоза є партнерами з консалтингу ризиків SGV & Co.