การกำกับดูแล ความเสี่ยง และการปฏิบัติตามข้อกำหนดในฐานะความได้เปรียบเชิงกลยุทธ์

สรุปสั้น:

• การกำกับดูแล ความเสี่ยง และการปฏิบัติตามกฎระเบียบ (GRC) กำลังเปลี่ยนจากการควบคุมในแผนกสนับสนุนไปสู่หน้าที่เชิงกลยุทธ์ที่คาดการณ์ความเสี่ยง ปกป้องมูลค่า และเป็นแนวทางในการตัดสินใจของผู้บริหารในโลกที่มีความผันผวน

• โปรแกรม GRC ที่เป็นผู้ใหญ่มีลักษณะเด่นคือภาวะผู้นำที่แข็งแกร่ง ข้อมูลที่รวดเร็วและเชื่อถือได้ ความเป็นเจ้าของที่ชัดเจนโดยแนวป้องกันแรก และผู้นำ GRC ที่ท้าทายการตัดสินใจของคณะกรรมการและผู้บริหาร

• แม้ว่า AI และเทคโนโลยีใหม่จะช่วยปรับปรุงการตรวจจับความเสี่ยง แต่ข้อได้เปรียบที่แท้จริงมาจากการบูรณาการข้อมูลเชิงลึกด้านความเสี่ยงทั่วทั้งองค์กรเพื่อให้สามารถกำกับดูแลที่ทันเวลาและปฏิบัติได้จริงสำหรับคณะกรรมการและผู้บริหาร

ในเดือนพฤศจิกายน สมาชิกคณะกรรมการ ผู้บริหารอาวุโส ผู้บริหารสูงสุดด้านการตรวจสอบ เจ้าหน้าที่ฝ่ายกำกับการปฏิบัติตามกฎระเบียบ ผู้บริหารสูงสุดด้านความเสี่ยง และผู้เชี่ยวชาญอื่นๆ ได้มาร่วมกันที่ SGV Knowledge Institute และเวที SGV Consulting ในหัวข้อ "Navigating Enterprise Resilience through the Synergy of Governance, Risk, and Compliance" โดยตรวจสอบว่าการกำกับดูแล ความเสี่ยง และการปฏิบัติตามกฎระเบียบ (GRC) กำลังถูกปรับรูปแบบโดยความเป็นจริงทางธุรกิจที่เร็วขึ้น มีความผันผวนมากขึ้น และให้อภัยน้อยลงกว่าที่เคย

การอภิปรายรอบแรก "GRC Integration: Aligning Governance, Risk, and Compliance with Business Strategy" มุ่งเน้นที่วิธีการที่ GRC สามารถพัฒนาจากหน้าที่ควบคุมเชิงป้องกันไปสู่แหล่งความชัดเจนเชิงกลยุทธ์

การนิยามความเสี่ยงใหม่
หัวข้อหนึ่งที่โดดเด่นในการอภิปราย: คำนิยามแบบดั้งเดิมของความเสี่ยงกลายเป็นสิ่งที่ไม่เพียงพอ ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบซึ่งเคยเป็นจุดสำคัญของโปรแกรม GRC ในปัจจุบันเป็นเพียงส่วนหนึ่งของจักรวาลความเสี่ยงที่กว้างขึ้นซึ่งรวมถึงสภาพคล่อง ตลาด และความเสี่ยงด้านการดำเนินงาน เหนือสิ่งเหล่านี้คือความเสี่ยงเชิงกลยุทธ์และชื่อเสียง ซึ่งผู้เข้าร่วมอภิปรายอธิบายว่าเป็นหนึ่งในภัยคุกคามที่สำคัญที่สุดต่อมูลค่าระยะยาว

ความเสี่ยงในปัจจุบัน พวกเขาโต้แย้งว่า สามารถอธิบายได้ดีที่สุดว่าเป็น NAVI: ไม่เป็นเส้นตรง เร่งตัว ผันผวน และเชื่อมโยงกัน การหยุดชะงักครั้งเดียวสามารถแพร่กระจายอย่างรวดเร็วข้ามหน้าที่ ภูมิศาสตร์ และผู้มีส่วนได้ส่วนเสีย การละเมิดทางไซเบอร์กลายเป็นปัญหาการดำเนินงานและกฎระเบียบ ปัญหาการดำเนินงานหรือกฎระเบียบกลายเป็นวิกฤตชื่อเสียง วิกฤตชื่อเสียงทำให้ความเชื่อมั่นของผู้ถือหุ้นลดลง

"GRC ที่เป็นผู้ใหญ่รับรองความร่วมมือและสามารถจัดการกับเหตุการณ์ที่ก่อให้เกิดความเสี่ยงหลายประการ" Vicky Lee Salas รองประธานอาวุโสฝ่ายโครงการพิเศษและผู้บริหารสูงสุดด้านความเสี่ยงและการปฏิบัติตามกฎระเบียบของ SM Investments Corp กล่าว ความหมายสำหรับผู้บริหารชัดเจน: การจัดการความเสี่ยงแบบแยกส่วนไม่เพียงแต่ไม่มีประสิทธิภาพ แต่ยังเป็นอันตรายด้วย

ความเร็วในฐานะสินทรัพย์เชิงกลยุทธ์
ในสภาพแวดล้อมความเสี่ยง NAVI ความเร็วของข้อมูลมีความสำคัญ คณะผู้เข้าร่วมอภิปรายกลับมาที่แนวคิดซ้ำๆ ว่าโปรแกรม GRC ที่มีประสิทธิภาพคือโปรแกรมที่นำข้อมูลเชิงลึกที่เกี่ยวข้องไปยังผู้ตัดสินใจก่อนที่ทางเลือกจะถูกจำกัด

Narlette Manacap เจ้าหน้าที่ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบประจำประเทศของ Citibank Philippines กำหนดกรอบการเปลี่ยนแปลงดังนี้: "หากคุณมี GRC ที่เป็นผู้ใหญ่ การไหลของข้อมูลจะเร็วขึ้น เข้าถึงผู้มีส่วนได้ส่วนเสียทันเวลาเพื่อทำการเลือกที่ชาญฉลาดขึ้น" เธอกล่าว "GRC ได้เปลี่ยนจากเชิงป้องกันไปสู่เชิงรุก: เราระบุจุดปัญหาตั้งแต่เนิ่นๆ และวางแผนอย่างเหมาะสมสำหรับสถานการณ์ต่างๆ ในบางกรณี การควบคุมมีไว้เพื่อป้องกัน ไม่ใช่บรรเทา วิกฤต GRC ที่มีสุขภาพดีช่วยจัดการวิกฤตและควบคุมการหยุดชะงัก"

แม้จะมีกรอบงานมากมาย ผู้เข้าร่วมอภิปรายก็มาบรรจบกันที่มุมมองง่ายๆ เกี่ยวกับสิ่งที่ประกอบกันเป็นความเป็นผู้ใหญ่ของ GRC ซึ่งขึ้นอยู่กับเสาหลักสามประการที่ระบุไว้

ประการแรก ภาวะผู้นำต้องแข็งแกร่ง มองเห็นได้ และไม่คลุมเครือ GRC ไม่สามารถดำเนินการได้อย่างมีประสิทธิภาพเมื่อคำสั่งไม่ชัดเจนหรือได้รับการสนับสนุนไม่สม่ำเสมอจากผู้บริหารระดับสูง ประการที่สอง ข้อมูลต้องไหลอย่างรวดเร็วและน่าเชื่อถือไปยังผู้ที่ได้รับอำนาจในการดำเนินการ ข้อมูลเชิงลึกด้านความเสี่ยงที่มาถึงสาย หรือถูกกรองเพื่อหลีกเลี่ยงความไม่สบายใจ ให้ประโยชน์เพียงเล็กน้อย ประการที่สาม องค์กรต้องเชิงรุก กล่าวคือ สามารถระบุความเสี่ยงที่กำลังเกิดขึ้นได้เร็วพอที่จะป้องกันวิกฤตแทนที่จะเพียงแค่ตอบสนองต่อมัน หากไม่มีทั้งสามประการ แม้แต่โครงสร้าง GRC ที่ออกแบบมาอย่างดีก็ยังดิ้นรนที่จะส่งมอบคุณค่า

ภาวะผู้นำและความรับผิดชอบ
นอกเหนือจากโครงสร้าง คณะผู้เข้าร่วมอภิปรายเน้นถึงความคิด ผู้นำด้านความเสี่ยงที่มีประสิทธิภาพต้องดำเนินการด้วย "ความคิดที่มีเจตนาเชิงบวก" ซึ่งหมายถึงความสามารถในการชื่นชมมุมมองที่แตกต่างกัน เปิดกว้างระหว่างการอภิปราย และมีส่วนร่วมอย่างสร้างสรรค์กับผู้นำทางธุรกิจที่เจตนาของพวกเขาอาจไม่สอดคล้องกับการพิจารณาด้านความเสี่ยงเสมอไป

ความรับผิดชอบที่ชัดเจนมีความสำคัญเท่าเทียมกัน ตาราง RACI ที่ชัดเจน — ทำให้ชัดเจนว่าใครรับผิดชอบ รับผิด ปรึกษาหารือ และรับทราบ — กลายเป็นสิ่งจำเป็นในช่วงเวลาแห่งความเครียด เมื่อความคลุมเครือสามารถทำให้การตอบสนองเป็นอัมพาต อันที่จริง พฤติกรรมมนุษย์ยังคงเป็นอุปสรรคที่ยืนยง การตีความที่แตกต่างกันของความอยากความเสี่ยง การรับรู้ความเสี่ยงที่ไม่สม่ำเสมอ และการเมืององค์กรสามารถทำลายแม้แต่ระบบที่ซับซ้อนที่สุด ในช่วงเวลาเช่นนั้น ผู้นำด้านความเสี่ยงต้องเต็มใจที่จะยืนหยัด การรู้ว่าเมื่อไหร่ที่ควรพูดว่า "ไม่" และอธิบายว่าทำไม เป็นทักษะภาวะผู้นำที่กำหนดใน GRC สมัยใหม่

จากการป้องกันสู่การสร้างมูลค่า
คณะผู้เข้าร่วมอภิปรายอธิบายวิวัฒนาการจากแนวป้องกันสามแนวไปสู่แบบจำลองสามแนว การเปลี่ยนแปลงทางภาษาที่ละเอียดอ่อนแต่สำคัญ การเน้นใหม่ไม่ได้มุ่งเฉพาะการป้องกันและควบคุม แต่อยู่ที่การสร้างมูลค่า เพื่อให้สามแนวทำงานได้อย่างมีประสิทธิภาพ พวกเขาต้องมีวัตถุประสงค์ร่วมกัน ดำเนินการภายในกรอบงานร่วมกัน และได้รับการสนับสนุนจากตัวอำนวยการที่มีประสิทธิภาพ: ภาวะผู้นำ วัฒนธรรม และเทคโนโลยี

Manacap เน้นย้ำถึงความสำคัญของการเสริมพลังให้กับแนวแรก เมื่อหน่วยธุรกิจเป็นเจ้าของความเสี่ยง องค์กรจะมีความคล่องตัวมากขึ้นและพึ่งพาการแทรกแซงของแนวที่สองน้อยลง ความเสี่ยง ในแบบจำลองนี้ เป็นความรับผิดชอบร่วมกันมากกว่าหน้าที่การตรวจตราแบบรวมศูนย์

การเปลี่ยนแปลงนั้นยังมีผลกระทบต่อวิธีการวางตำแหน่งผู้นำด้านความเสี่ยง Salas กล่าวว่าความน่าเชื่อถือเริ่มต้นด้วยการยอมรับ ผู้บริหารสูงสุดด้านความเสี่ยงและผู้นำอาวุโสด้านความเสี่ยง เธอกล่าว ต้อง "ได้รับค่าตอบแทนดี น่าเชื่อถือเพียงพอที่จะหมายถึงธุรกิจ" บ่อยครั้งเกินไป ความเสี่ยงถูกมองว่าเป็นศูนย์ต้นทุน ในความเป็นจริง หน้าที่ GRC ที่แข็งแกร่งทำหน้าที่เป็น "ผู้ปกป้องรายได้" ปกป้องมูลค่าที่อาจสูญเสียไปจากการหยุดชะงัก ค่าปรับ หรือความเสียหายต่อชื่อเสียง

บทบาทที่ขยายตัวและข้อจำกัดของเทคโนโลยี
ปัญญาประดิษฐ์และเทคโนโลยีที่กำลังเกิดขึ้นมีบทบาทสำคัญในการอภิปราย Sing Hwee Neo EY Global Client Service Partner สำหรับภาครัฐและภาคสาธารณะ สะท้อนถึงการเปลี่ยนแปลงที่เขาได้เห็นตลอดอาชีพของเขา "GRC ได้ก้าวไปไกลตั้งแต่ฉันเริ่มต้น" เขากล่าว "เมื่อฉันมองย้อนกลับไปตอนที่ฉันเริ่มการตรวจสอบภายใน เครื่องมือยังเบื้องต้นมาก ผู้ปฏิบัติที่มีประสบการณ์สามารถใช้ AI เพื่อตรวจจับความล้มเหลวในการควบคุมแบบเรียลไทม์ได้แล้ว"

เขาชี้ไปที่ตัวแทนการจัดการความเสี่ยงอัตโนมัติที่ตรวจสอบแหล่งข้อมูลหลายแหล่ง ปรับคะแนนความเสี่ยงแบบไดนามิก และช่วยองค์กรจัดลำดับความสำคัญและตอบสนองต่อเหตุการณ์ที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพมากขึ้น

อย่างไรก็ตาม คณะผู้เข้าร่วมอภิปรายระมัดระวังที่จะผ่อนคลายความกระตือรือร้นด้วยความระมัดระวัง การบูรณาการมีความสำคัญมากกว่าเครื่องมือใดๆ เนื่องจากเทคโนโลยีที่เสริมสร้างการแยกส่วนเพียงเร่งความสับสน การจัดตำแหน่งหมวดหมู่ความเสี่ยง การรวมกิจกรรมการให้ความมั่นใจ และการทำให้ผู้บริหารอาวุโสเห็นภาพที่ครอบคลุมและทันเวลาของความเสี่ยงขององค์กรยังคงเป็นตัวแยกความแตกต่างที่แท้จริง

ข้อมูลเชิงลึกสำหรับคณะกรรมการ
คำถามจากผู้เข้าร่วมสะท้อนถึงความกังวลทั่วไปของผู้บริหาร รวมถึงความพร้อมของเครื่องมือการให้ความมั่นใจแบบรวมและวิธีที่องค์กรสามารถรักษาความเป็นอิสระและความแข็งแกร่งของหน้าที่แนวที่สองและสาม คำตอบกลับมาที่ธีมที่คุ้นเคย: การเสริมพลังให้กับแนวแรก ความชัดเจนของบทบาท และการสนับสนุนที่มองเห็นได้จากผู้บริหารระดับสูง

ข้อความที่ชัดเจนหนึ่งมุ่งหน้าไปที่คณะกรรมการ ผู้เข้าร่วมอภิปรายเรียกร้องให้การกำกับดูแลควรได้รับการดำเนินการอย่างสม่ำเสมอทั่วทั้งกลุ่ม แต่ในลักษณะที่เป็นสัดส่วนและปฏิบัติได้จริง การออกแบบการกำกับดูแลที่มากเกินไปสามารถสร้างความเสียหายได้เท่ากับการกำกับดูแลที่น้อยเกินไป โดยเฉพาะในองค์กรที่ซับซ้อน

การทำงานร่วมกันใน GRC
การประชุมปิดด้วยการไตร่ตรองสั้นๆ ที่จับแก่นปรัชญาร่วมกันของคณะผู้เข้าร่วมอภิปราย การกำกับดูแลกำหนดทิศทาง ความเสี่ยงให้การมองการณ์ไกล และการปฏิบัติตามกฎระเบียบรับรองการจัดตำแหน่ง Neo กล่าว Manacap อธิบาย GRC ว่า "เป็นหนึ่งเดียวในการดำเนินการ เคลื่อนไหวสอดคล้องกัน" Salas เสนอวลีที่น่าจะสะท้อนกับผู้บริหาร: "ความเสี่ยงในจังหวะ"

สิ่งที่ในที่สุดแยกความแตกต่าง GRC ที่มีประสิทธิภาพไม่ใช่ความซับซ้อนเพื่อประโยชน์ของตัวมันเอง แต่เป็นการทำงานร่วมกัน มันเกี่ยวกับการเปิดกว้างในการสนทนา ความรับผิดชอบร่วมกัน และภาวะผู้นำที่เต็มใจที่จะปฏิบัติต่อความเสี่ยงไม่ใช่เป็นข้อจำกัดแต่เป็นเครื่องมือเชิงกลยุทธ์

บทความนี้เป็นเพียงข้อมูลทั่วไปเท่านั้นและไม่ใช่ทางเลือกแทนคำแนะนำจากผู้เชี่ยวชาญในกรณีที่ข้อเท็จจริงและสถานการณ์ต้องการ มุมมองและความคิดเห็นที่แสดงข้างต้นเป็นของผู้เขียนและไม่จำเป็นต้องเป็นตัวแทนของมุมมองของ SGV & Co.

Joseph Ian M. Canlas และ Christiane Joymiel C. Say-Mendoza เป็นพันธมิตรให้คำปรึกษาด้านความเสี่ยงของ SGV & Co.