Zarządzanie, ryzyko i zgodność jako przewaga strategiczna

W SKRÓCIE:

• Zarządzanie, ryzyko i zgodność (GRC) przechodzi od funkcji kontroli zaplecza do funkcji strategicznej, która przewiduje ryzyko, chroni wartość i kieruje decyzjami kadry kierowniczej w niestabilnym świecie.

• Dojrzałe programy GRC charakteryzują się silnym przywództwem, szybkimi i wiarygodnymi informacjami, jasną odpowiedzialnością pierwszej linii oraz liderami GRC, którzy kwestionują decyzje zarządu i kierownictwa.

• Chociaż AI i nowe technologie poprawiają wykrywanie ryzyka, prawdziwa przewaga wynika z integracji analiz ryzyka w całej organizacji, aby umożliwić terminowe, praktyczne zarządzanie dla zarządów i kierownictwa.

W listopadzie członkowie zarządów, wyżsi kierownicy, dyrektorzy audytu, inspektorzy ds. zgodności, dyrektorzy ds. ryzyka i inni profesjonaliści zebrali się na forum SGV Knowledge Institute i SGV Consulting „Nawigacja odporności przedsiębiorstwa poprzez synergię zarządzania, ryzyka i zgodności". Badano, jak zarządzanie, ryzyko i zgodność (GRC) jest przekształcane przez realia biznesowe, które są szybsze, bardziej niestabilne i mniej wybaczające niż kiedykolwiek.

Pierwsza sesja panelowa „Integracja GRC: Dostosowanie zarządzania, ryzyka i zgodności do strategii biznesowej" koncentrowała się na tym, jak GRC może ewoluować z defensywnej funkcji kontrolnej w źródło strategicznej jasności.

PRZEDEFINIOWANIE RYZYKA
Jeden temat zdominował dyskusję: tradycyjna definicja ryzyka stała się niewystarczająca. Ryzyko zgodności, niegdyś centralny punkt programów GRC, jest teraz tylko częścią szerszego uniwersum ryzyka, które obejmuje ekspozycję na płynność, rynek i operacje. Ponad nimi znajdują się ryzyka strategiczne i reputacyjne, które paneliści opisują jako jedno z najpoważniejszych zagrożeń dla długoterminowej wartości.

Twierdzili, że ryzyko dzisiaj najlepiej opisać jako NAVI: nieliniowe, przyspieszone, niestabilne i wzajemnie powiązane. Pojedyncze zakłócenie może szybko rozprzestrzeniać się na funkcje, obszary geograficzne i interesariuszy. Naruszenie cyberbezpieczeństwa staje się kwestią operacyjną i regulacyjną; kwestia operacyjna lub regulacyjna staje się kryzysem reputacyjnym; kryzys reputacyjny podważa zaufanie akcjonariuszy.

„Dojrzałe GRC zapewniają współpracę i są zdolne do radzenia sobie z wydarzeniami wywołującymi wielokrotne ryzyka" – powiedziała Vicky Lee Salas, Starszy Wiceprezes ds. Projektów Specjalnych i Dyrektor ds. Ryzyka i Zgodności SM Investments Corp. Implikacja dla kadry kierowniczej jest jasna: zarządzanie ryzykiem w silosach jest nie tylko nieskuteczne, ale również niebezpieczne.

SZYBKOŚĆ JAKO ATUT STRATEGICZNY
W środowisku ryzyka NAVI szybkość informacji jest ważna. Panel wielokrotnie powracał do idei, że skuteczne programy GRC to te, które dostarczają odpowiednie informacje decydentom, zanim wybory staną się ograniczone.

Narlette Manacap, Krajowy Inspektor ds. Ryzyka Zgodności Citibank Philippines, określiła zmianę w następujący sposób: „Jeśli masz dojrzałe GRC, przepływ informacji jest szybszy, docierając do interesariuszy na czas, aby podejmować mądrzejsze decyzje" – powiedziała. „GRC przeszło od defensywnego do proaktywnego: wcześnie identyfikujemy punkty problematyczne i odpowiednio planujemy sytuacje. W niektórych przypadkach kontrole służą zapobieganiu, a nie łagodzeniu kryzysów. Zdrowe GRC pomaga zarządzać kryzysami i kontrolować zakłócenia."

Pomimo obfitości ram, paneliści zbiegli się na prostym spojrzeniu na to, co stanowi dojrzałość GRC, która opiera się na trzech zidentyfikowanych filarach.

Po pierwsze, przywództwo musi być silne, widoczne i jednoznaczne. GRC nie może działać skutecznie, gdy jego mandat jest niejasny lub niespójnie wspierany na szczycie. Po drugie, informacje muszą płynąć szybko i wiarygodnie do tych, którzy są upoważnieni do działania. Analizy ryzyka, które docierają późno lub są filtrowane, aby uniknąć dyskomfortu, służą niewielkiemu celowi. Po trzecie, organizacja musi być proaktywna, czyli zdolna do identyfikowania pojawiającego się ryzyka wystarczająco wcześnie, aby zapobiec kryzysowi, zamiast tylko na niego reagować. Bez wszystkich trzech, nawet dobrze zaprojektowane struktury GRC mają trudności z dostarczaniem wartości.

PRZYWÓDZTWO I ODPOWIEDZIALNOŚĆ
Poza strukturą panel podkreślił sposób myślenia. Skuteczni liderzy ryzyka muszą działać z „nastawieniem pozytywnych intencji", definiowanym jako umiejętność doceniania różnych perspektyw, pozostawania otwartym podczas debaty i konstruktywnego angażowania się z liderami biznesowymi, których intencje mogą nie zawsze pokrywać się z względami dotyczącymi ryzyka.

Jasna odpowiedzialność jest równie krytyczna. Dobrze zdefiniowana siatka RACI – wyjaśniająca, kto jest odpowiedzialny, rozliczalny, konsultowany i informowany – staje się niezbędna w momentach stresu, gdy niejednoznaczność może sparaliżować reakcję. Rzeczywiście, ludzkie zachowanie pozostaje trwałą przeszkodą. Różne interpretacje apetytu na ryzyko, nierówna świadomość ryzyka i polityka organizacyjna mogą podważyć nawet najbardziej wyrafinowane systemy. W takich momentach liderzy ryzyka muszą być gotowi stanąć na swoim. Wiedza, kiedy powiedzieć „nie" i wyartykułowanie dlaczego, jest definiującą umiejętnością przywódczą we współczesnym GRC.

OD OBRONY DO TWORZENIA WARTOŚCI
Panel opisał ewolucję od trzech linii obrony do modelu trzech linii, subtelną, ale znaczącą zmianę w języku. Nowy nacisk nie dotyczy wyłącznie zapobiegania i kontroli, ale tworzenia wartości. Aby trzy linie funkcjonowały skutecznie, muszą dzielić cele, działać w ramach wspólnych ram i być wspierane przez skuteczne czynniki umożliwiające: przywództwo, kulturę i technologię.

Manacap podkreśliła znaczenie wzmocnienia pierwszej linii. Gdy jednostki biznesowe są właścicielami ryzyk, organizacja staje się bardziej zwinną i mniej zależną od interwencji drugiej linii. Ryzyko w tym modelu jest wspólną odpowiedzialnością, a nie scentralizowaną funkcją policyjną.

Ta zmiana ma również implikacje dla sposobu pozycjonowania liderów ryzyka. Salas stwierdziła, że wiarygodność zaczyna się od uznania. Dyrektorzy ds. ryzyka i starsi liderzy ryzyka, powiedziała, muszą być „dobrze opłacani, wystarczająco wiarygodni, aby być poważnie traktowani". Zbyt często ryzyko jest postrzegane jako centrum kosztów. W rzeczywistości silne funkcje GRC działają jako „ochroniarze przychodów", chroniąc wartość, która w przeciwnym razie mogłaby zostać utracona z powodu zakłóceń, grzywien lub szkód reputacyjnych.

ROZSZERZAJĄCA SIĘ ROLA I OGRANICZENIA TECHNOLOGII
Sztuczna inteligencja i nowe technologie zajmowały prominentne miejsce w dyskusji. Sing Hwee Neo, Globalny Partner ds. Obsługi Klientów EY ds. Rządu i Sektora Publicznego, zastanawiał się nad transformacją, której był świadkiem w ciągu swojej kariery. „GRC przeszło długą drogę od czasu, gdy zaczynałem" – powiedział. „Kiedy patrzę wstecz na czas, gdy zaczynałem audyt wewnętrzny, narzędzia były bardzo prymitywne. Doświadczeni praktycy mogą teraz używać AI do wykrywania awarii kontroli w czasie rzeczywistym."

Wskazał na autonomicznych agentów zarządzania ryzykiem, którzy monitorują wiele źródeł danych, dynamicznie dostosowują ocenę ryzyka i pomagają organizacjom priorytetyzować i skuteczniej reagować na potencjalne incydenty.

Jednak panel był ostrożny w temperowaniu entuzjazmu ostrożnością. Integracja jest ważniejsza niż jakiekolwiek pojedyncze narzędzie, ponieważ technologia, która wzmacnia silosy, jedynie przyspiesza zamieszanie. Dostosowanie kategorii ryzyka, konsolidacja działań zapewniających oraz umożliwienie wyższemu kierownictwu zobaczenia kompleksowego, terminowego obrazu ryzyka przedsiębiorstwa pozostają prawdziwymi czynnikami różnicującymi.

WNIOSKI DLA ZARZĄDÓW
Pytania z publiczności odzwierciedlały typowe obawy kadry kierowniczej, w tym dostępność narzędzi łącznego zapewnienia oraz jak organizacje mogą zachować niezależność i siłę funkcji drugiej i trzeciej linii. Odpowiedzi wróciły do znanych tematów: wzmocnienie pierwszej linii, jasność ról i widoczne wsparcie z góry.

Jeden jasny komunikat był skierowany do zarządów. Paneliści nalegali, aby zarządzanie było wdrażane konsekwentnie w całej grupie, ale w sposób proporcjonalny i praktyczny. Nadmierna inżynieria zarządzania może być równie szkodliwa jak niedostateczne zarządzanie, szczególnie w złożonych organizacjach.

SYNERGIA W GRC
Sesja zakończyła się zestawem zwięzłych refleksji, które uchwycały wspólną filozofię panelu. Zarządzanie wyznacza kierunek, ryzyko zapewnia przewidywanie, a zgodność zapewnia dostosowanie, powiedział Neo. Manacap opisała GRC jako „jedno w działaniu, poruszające się synchronicznie". Salas zaproponowała frazę, która prawdopodobnie będzie rezonować z kadrą kierowniczą: „ryzyko w rytmie".

To, co ostatecznie wyróżnia skuteczne GRC, to nie wyrafinowanie dla samego siebie, ale synergia. Chodzi o otwarty dialog, wspólną odpowiedzialność i przywództwo gotowe traktować ryzyko nie jako ograniczenie, ale jako instrument strategiczny.

Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi zastępstwa profesjonalnej porady tam, gdzie fakty i okoliczności tego wymagają. Poglądy i opinie wyrażone powyżej są poglądami autorów i niekoniecznie reprezentują poglądy SGV & Co.

Joseph Ian M. Canlas i Christiane Joymiel C. Say-Mendoza są partnerami ds. doradztwa w zakresie ryzyka w SGV & Co.