治理、風險與合規作為策略優勢

簡述:

• 治理、風險與合規(GRC)正從後勤控制功能轉變為策略性職能,能夠預測風險、保護價值,並在波動的世界中指導高階主管決策。

• 成熟的GRC計畫具有強大的領導力、快速可靠的資訊、第一道防線的明確責任歸屬,以及敢於挑戰董事會和管理層決策的GRC領導者。

• 儘管AI和新技術改善了風險偵測,真正的優勢來自於整合整個組織的風險洞察,以便為董事會和管理層提供及時、實用的治理。

11月,董事會成員、高階主管、稽核長、合規長、風險長及其他專業人士齊聚SGV知識學院和SGV顧問論壇,主題為「透過治理、風險與合規的協同效應提升企業韌性」。論壇探討了治理、風險與合規(GRC)如何被比以往更快速、更波動且更嚴苛的商業現實所重塑。

第一場小組討論「GRC整合:使治理、風險與合規與業務策略保持一致」,聚焦於GRC如何從防禦性控制功能演變為策略清晰度的來源。

重新定義風險
討論中有一個主題佔據主導地位:傳統的風險定義已變得不足。合規風險曾是GRC計畫的焦點,現在只是更廣泛風險範疇的一部分,該範疇包括流動性、市場和營運風險。在這些之上是策略風險和聲譽風險,與會專家將其描述為對長期價值最重大的威脅之一。

他們認為,當今的風險最好用NAVI來描述:非線性、加速、波動和相互關聯。單一干擾可以迅速傳播到各個職能、地區和利害關係人。網路安全漏洞變成營運和監管問題;營運或監管問題變成聲譽危機;聲譽危機侵蝕股東信心。

SM Investments Corp.特別專案資深副總裁兼風險與合規長Vicky Lee Salas表示:「成熟的GRC確保協作,並能夠應對觸發多重風險的事件。」對高階主管而言,這意味著:孤立地管理風險不僅效率低下,而且危險。

速度作為策略資產
在NAVI風險環境中,資訊速度至關重要。小組反覆強調,有效的GRC計畫是那些在選擇受到限制之前,將相關洞察傳達給決策者的計畫。

花旗銀行菲律賓合規風險國家主管Narlette Manacap如此描述這種轉變:「如果你擁有成熟的GRC,資訊流動會更快,及時到達利害關係人手中以做出更明智的選擇,」她說。「GRC已從防禦性轉向主動性:我們及早識別痛點並適當規劃因應措施。在某些情況下,控制措施是為了預防而非緩解危機。健全的GRC有助於管理危機和控制干擾。」

儘管框架眾多,與會專家對GRC成熟度的構成達成了簡單的共識,其基於三個已識別的支柱。

首先,領導力必須強大、明確且毫不含糊。當GRC的任務不明確或高層支持不一致時,GRC無法有效運作。其次,資訊必須快速且可信地傳達給有權採取行動的人。遲到或為了避免不適而被過濾的風險洞察幾乎沒有用處。第三,組織必須具有主動性,也就是能夠足夠早地識別新興風險以預防危機,而不僅僅是應對危機。缺少這三者中的任何一個,即使是設計精良的GRC結構也難以創造價值。

領導力與問責制
除了結構之外,小組還強調了心態。有效的風險領導者必須以「正向意圖心態」運作,其定義為欣賞不同觀點、在辯論中保持開放,並與意圖可能不總是與風險考量一致的業務領導者建設性地互動的能力。

明確的問責制同樣至關重要。明確定義的RACI矩陣——釐清誰負責、誰問責、誰被諮詢和誰被告知——在壓力時刻變得不可或缺,此時模糊性可能使回應陷於癱瘓。事實上,人類行為仍然是持續存在的障礙。對風險偏好的不同解讀、不均衡的風險意識和組織政治可能破壞即使是最複雜的系統。在這種時刻,風險領導者必須願意堅守立場。知道何時說「不」,並闡明原因,是現代GRC中定義領導力的技能。

從防禦到價值創造
小組描述了從三道防線到三線模式的演變,這是語言上微妙但重要的轉變。新的重點不僅在於預防和控制,還在於價值創造。為使三線有效運作,它們必須共享目標,在共同框架內運作,並得到有效推動因素的支援:領導力、文化和技術。

Manacap強調了賦予第一道防線權力的重要性。當業務單位擁有風險時,組織變得更加敏捷,對第二道防線干預的依賴也更少。在這種模式中,風險是共同責任,而非集中的監管功能。

這種轉變對風險領導者的定位也有影響。Salas表示,信譽始於認可。她說,風險長和高階風險領導者需要「薪酬優渥,足夠可信以展現實力」。風險太常被視為成本中心。實際上,強大的GRC功能扮演「營收保護者」的角色,保護可能因干擾、罰款或聲譽損害而損失的價值。

技術不斷擴展的角色與限制
人工智慧和新興技術在討論中佔據重要地位。EY全球政府與公共部門客戶服務合夥人Sing Hwee Neo回顧了他職業生涯中見證的轉變。「自我開始以來,GRC已經走了很長的路,」他說。「當我回顧我開始內部稽核時,工具非常初級。經驗豐富的從業人員現在可以使用AI即時偵測控制失效。」

他指出,自主風險管理代理人可以監控多個資料來源,動態調整風險評分,並幫助組織更有效地優先處理和應對潛在事件。

然而,小組謹慎地以警告來緩和熱情。整合比任何單一工具更重要,因為強化孤島的技術只會加速混亂。協調風險類別、整合保證活動,以及讓高階管理層能夠看到企業風險的全面、及時圖像,仍然是真正的差異化因素。

給董事會的洞察
觀眾提問反映了高階主管的常見關切,包括綜合保證工具的可用性,以及組織如何保持第二道和第三道防線職能的獨立性和力量。回應回到了熟悉的主題:賦予第一道防線權力、角色清晰度和來自高層的明確支持。

一個明確的訊息是針對董事會的。與會專家敦促治理應在整個集團中一致實施,但要以適度且實用的方式進行。過度設計治理可能與治理不足一樣有害,特別是在複雜組織中。

GRC中的協同效應
會議以一系列簡潔的反思結束,捕捉了小組的共同理念。Neo表示,治理設定方向,風險提供前瞻性,合規確保一致性。Manacap將GRC描述為「行動合一,同步運作」。Salas提供了一個可能與高階主管產生共鳴的短語:「風險同步」。

最終區分有效GRC的不是為了複雜而複雜,而是協同效應。這關乎開放對話、共同問責,以及願意將風險視為策略工具而非限制的領導力。

本文僅供一般資訊參考,在事實和情況需要時,不能替代專業建議。上述觀點和意見為作者所持,不一定代表SGV & Co.的觀點。

Joseph Ian M. Canlas和Christiane Joymiel C. Say-Mendoza是SGV & Co.的風險諮詢合夥人。