Guvernare, risc și conformitate ca avantaj strategic

PE SCURT:

• Guvernanța, riscul și conformitatea (GRC) se transformă dintr-o funcție de control administrativ într-o funcție strategică care anticipează riscurile, protejează valoarea și ghidează deciziile executive într-o lume volatilă.

• Programele GRC mature se caracterizează prin leadership puternic, informații rapide și fiabile, proprietate clară de către prima linie și lideri GRC care contestă deciziile consiliului de administrație și ale managementului.

• În timp ce inteligența artificială și noile tehnologii îmbunătățesc detectarea riscurilor, avantajul real vine din integrarea perspectivelor asupra riscurilor în întreaga organizație pentru a permite o guvernanță oportună și practică pentru consiliile de administrație și management.

În noiembrie, membrii consiliilor de administrație, directori seniori, directori de audit, ofițeri de conformitate, directori de risc și alți profesioniști s-au adunat la forumul SGV Knowledge Institute și SGV Consulting, „Navigarea Rezilienței Întreprinderii prin Sinergia Guvernanței, Riscului și Conformității". Acesta a examinat modul în care guvernanța, riscul și conformitatea (GRC) sunt remodelate de realitățile de afaceri care sunt mai rapide, mai volatile și mai puțin îngăduitoare ca niciodată.

Prima sesiune de panel, „Integrarea GRC: Alinierea Guvernanței, Riscului și Conformității cu Strategia de Afaceri", s-a concentrat pe modul în care GRC poate evolua dintr-o funcție de control defensivă într-o sursă de claritate strategică.

REDEFINIREA RISCULUI
O temă a dominat discuția: definiția tradițională a riscului a devenit inadecvată. Riscul de conformitate, odinioară punctul focal al programelor GRC, este acum doar o parte dintr-un univers mai larg al riscurilor care include expuneri de lichiditate, piață și operaționale. Peste acestea se situează riscurile strategice și de reputație, pe care participanții la panel le descriu ca fiind una dintre cele mai semnificative amenințări la adresa valorii pe termen lung.

Riscul de astăzi, au susținut aceștia, este cel mai bine descris ca NAVI: neliniar, accelerat, volatil și interconectat. O singură perturbare se poate propaga rapid prin funcții, zone geografice și părți interesate. O breșă de securitate cibernetică devine o problemă operațională și de reglementare; o problemă operațională sau de reglementare devine o criză de reputație; o criză de reputație erodează încrederea acționarilor.

„GRC-urile mature asigură colaborarea și sunt capabile să abordeze evenimente care declanșează multiple riscuri", a declarat Vicky Lee Salas, Vicepreședinte Senior pentru Proiecte Speciale și Director de Risc și Conformitate al SM Investments Corp. Implicația pentru directori este clară: gestionarea riscurilor în siloze nu este doar ineficientă, este și periculoasă.

VITEZA CA ACTIV STRATEGIC
Într-un mediu de risc NAVI, viteza informațiilor este importantă. Panelul a revenit în mod repetat la ideea că programele GRC eficiente sunt cele care transmit perspective relevante către factorii de decizie înainte ca opțiunile să fie limitate.

Narlette Manacap, Ofițer Național pentru Riscul de Conformitate al Citibank Filipine, a descris schimbarea după cum urmează: „Dacă ai un GRC matur, fluxul de informații este mai rapid, ajungând la părțile interesate la timp pentru a lua decizii mai inteligente", a spus ea. „GRC s-a mutat de la defensiv la proactiv: identificăm punctele problematice devreme și planificăm adecvat pentru situații. În unele cazuri, controalele sunt acolo pentru a preveni, nu pentru a atenua, crizele. Un GRC sănătos ajută la gestionarea crizelor și la controlul perturbărilor."

În ciuda abundenței de cadre, participanții la panel au convenit asupra unei viziuni simple a ceea ce constituie maturitatea GRC, care se bazează pe trei piloni identificați.

În primul rând, leadershipul trebuie să fie puternic, vizibil și fără ambiguitate. GRC nu poate funcționa eficient când mandatul său este neclar sau susținut inconsecvent la vârf. În al doilea rând, informațiile trebuie să curgă rapid și credibil către cei împuterniciți să acționeze. Perspectivele asupra riscurilor care sosesc târziu, sau sunt filtrate pentru a evita disconfortul, servesc la puțin lucru. În al treilea rând, organizația trebuie să fie proactivă, adică capabilă să identifice riscurile emergente suficient de devreme pentru a preveni o criză, mai degrabă decât să răspundă doar la una. Fără toate cele trei, chiar și structurile GRC bine concepute se luptă să livreze valoare.

LEADERSHIP ȘI RESPONSABILITATE
Dincolo de structură, panelul a subliniat mentalitatea. Liderii de risc eficienți trebuie să opereze cu o „mentalitate de intenție pozitivă", definită ca o abilitate de a aprecia perspective diferite, de a rămâne deschis în timpul dezbaterii și de a se angaja constructiv cu liderii de afaceri ale căror intenții pot să nu se alinieze întotdeauna cu considerațiile de risc.

Responsabilitatea clară este la fel de critică. O grilă RACI bine definită — clarificând cine este responsabil, responsabilizat, consultat și informat — devine indispensabilă în momentele de stres, când ambiguitatea poate paraliza răspunsul. Într-adevăr, comportamentul uman rămâne obstacolul persistent. Interpretările diferite ale apetitului pentru risc, conștientizarea inegală a riscurilor și politica organizațională pot submina chiar și cele mai sofisticate sisteme. În astfel de momente, liderii de risc trebuie să fie dispuși să își mențină poziția. A ști când să spui „nu" și a articula de ce, este o abilitate de leadership definitorie în GRC modern.

DE LA APĂRARE LA CREAREA DE VALOARE
Panelul a descris evoluția de la trei linii de apărare la modelul celor trei linii, o schimbare subtilă, dar semnificativă în limbaj. Noul accent nu este doar pe prevenire și control, ci pe crearea de valoare. Pentru ca cele trei linii să funcționeze eficient, acestea trebuie să împărtășească obiective, să opereze într-un cadru comun și să fie susținute de factori facilitatori eficienți: leadership, cultură și tehnologie.

Manacap a subliniat importanța împuternicirii primei linii. Când unitățile de afaceri dețin riscurile, organizația devine mai agilă și mai puțin dependentă de intervenția liniei a doua. Riscul, în acest model, este o responsabilitate partajată mai degrabă decât o funcție de poliție centralizată.

Această schimbare are, de asemenea, implicații asupra modului în care liderii de risc sunt poziționați. Salas a declarat că credibilitatea începe cu recunoașterea. Directorii de risc și liderii de risc seniori, a spus ea, trebuie să fie „plătiți bine, suficient de credibili pentru a fi luați în serios". Prea des, riscul este privit ca un centru de costuri. În realitate, funcțiile GRC puternice acționează ca „protectori ai veniturilor", protejând valoarea care altfel ar putea fi pierdută din cauza perturbărilor, amenzilor sau daunelor de reputație.

ROLUL ȘI LIMITELE ÎN EXPANSIUNE ALE TEHNOLOGIEI
Inteligența artificială și tehnologiile emergente au ocupat un loc proeminent în discuție. Sing Hwee Neo, Partener Global de Servicii pentru Clienți EY pentru Guvern și Sectorul Public, a reflectat asupra transformării pe care a fost martor de-a lungul carierei sale. „GRC a parcurs un drum lung de când am început", a spus el. „Când mă uit înapoi la momentul în care am început auditul intern, instrumentele erau foarte rudimentare. Practicanții experimentați pot acum folosi inteligența artificială pentru a detecta eșecurile de control în timp real."

El a indicat agenții autonomi de gestionare a riscurilor care monitorizează multiple surse de date, ajustează dinamic scoring-ul riscurilor și ajută organizațiile să prioritizeze și să răspundă mai eficient la incidente potențiale.

Cu toate acestea, panelul a fost atent să tempereze entuziasmul cu prudență. Integrarea este mai importantă decât orice instrument individual, deoarece tehnologia care întărește silourile doar accelerează confuzia. Alinierea categoriilor de risc, consolidarea activităților de asigurare și permiterea managementului senior să vadă o imagine cuprinzătoare și la timp a riscului întreprinderii rămân adevăratele diferențiatoare.

PERSPECTIVE PENTRU CONSILIILE DE ADMINISTRAȚIE
Întrebările publicului au reflectat preocupările comune ale directorilor, inclusiv disponibilitatea instrumentelor combinate de asigurare și modul în care organizațiile pot păstra independența și puterea funcțiilor liniei a doua și a treia. Răspunsurile au revenit la teme familiare: împuternicirea primei linii, claritatea rolurilor și sprijinul vizibil din partea conducerii.

Un mesaj clar a fost adresat consiliilor de administrație. Participanții la panel au insistat că guvernanța ar trebui să fie implementată în mod consistent în întregul grup, dar într-o manieră proporțională și practică. Supra-ingineria guvernanței poate fi la fel de dăunătoare ca sub-guvernanța, în special în organizațiile complexe.

SINERGIE ÎN GRC
Sesiunea s-a încheiat cu un set de reflecții succinte care au captat filosofia comună a panelului. Guvernanța stabilește direcția, riscul oferă previziune și conformitatea asigură alinierea, a spus Neo. Manacap a descris GRC ca „unul în acțiune, mișcându-se sincronizat". Salas a oferit o expresie care probabil va rezona cu directorii: „risc în ritm".

Ceea ce distinge în cele din urmă GRC eficient nu este sofisticarea în sine, ci sinergia. Este vorba despre dialog deschis, responsabilitate partajată și leadership dispus să trateze riscul nu ca o constrângere, ci ca un instrument strategic.

Acest articol este doar în scop informativ general și nu este un substitut pentru sfaturi profesionale în cazul în care faptele și circumstanțele o justifică. Opiniile exprimate mai sus sunt ale autorilor și nu reprezintă neapărat opiniile SGV & Co.

Joseph Ian M. Canlas și Christiane Joymiel C. Say-Mendoza sunt parteneri de consultanță în risc ai SGV & Co.