Gouvernance, risque et conformité comme avantage stratégique

EN BREF :

• La gouvernance, le risque et la conformité (GRC) évoluent d'une fonction de contrôle administrative vers une fonction stratégique qui anticipe les risques, protège la valeur et guide les décisions des dirigeants dans un monde volatile.

• Les programmes GRC matures se caractérisent par un leadership fort, des informations rapides et fiables, une responsabilité claire de la première ligne, et des responsables GRC qui remettent en question les décisions du conseil d'administration et de la direction.

• Bien que l'IA et les nouvelles technologies améliorent la détection des risques, le véritable avantage provient de l'intégration des perspectives de risque au sein de l'organisation pour permettre une gouvernance opportune et pratique pour les conseils d'administration et la direction.

En novembre, les membres du conseil d'administration, les cadres supérieurs, les directeurs de l'audit, les responsables de la conformité, les directeurs des risques et d'autres professionnels se sont réunis au forum SGV Knowledge Institute et SGV Consulting, « Naviguer dans la résilience d'entreprise grâce à la synergie de la gouvernance, du risque et de la conformité ». Il a examiné comment la gouvernance, le risque et la conformité (GRC) sont remodelés par des réalités commerciales plus rapides, plus volatiles et moins indulgentes que jamais.

La première session du panel, « Intégration GRC : Aligner la gouvernance, le risque et la conformité avec la stratégie d'entreprise », s'est concentrée sur la manière dont la GRC peut évoluer d'une fonction de contrôle défensive vers une source de clarté stratégique.

REDÉFINIR LE RISQUE
Un thème a dominé la discussion : la définition traditionnelle du risque est devenue inadéquate. Le risque de conformité, autrefois le point central des programmes GRC, n'est désormais qu'une partie d'un univers de risques plus large qui inclut les expositions de liquidité, de marché et opérationnelles. Au-dessus de ceux-ci se trouvent les risques stratégiques et de réputation, que les panélistes décrivent comme l'une des menaces les plus importantes pour la valeur à long terme.

Le risque aujourd'hui, ont-ils soutenu, est mieux décrit comme NAVI : non linéaire, accéléré, volatile et interconnecté. Une seule perturbation peut se propager rapidement à travers les fonctions, les zones géographiques et les parties prenantes. Une violation informatique devient un problème opérationnel et réglementaire ; un problème opérationnel ou réglementaire devient une crise de réputation ; une crise de réputation érode la confiance des actionnaires.

« Les GRC matures assurent la collaboration et sont capables de traiter des événements qui déclenchent de multiples risques », a déclaré Vicky Lee Salas, Vice-Présidente Senior pour les Projets Spéciaux et Directrice des risques et de la conformité de SM Investments Corp. L'implication pour les dirigeants est claire : gérer les risques en silos n'est pas seulement inefficace, c'est aussi dangereux.

LA RAPIDITÉ COMME ATOUT STRATÉGIQUE
Dans un environnement de risque NAVI, la rapidité de l'information est importante. Le panel est revenu à plusieurs reprises sur l'idée que les programmes GRC efficaces sont ceux qui transmettent des perspectives pertinentes aux décideurs avant que les choix ne soient contraints.

Narlette Manacap, Responsable nationale des risques de conformité de Citibank Philippines, a décrit le changement comme suit : « Si vous avez une GRC mature, le flux d'informations est plus rapide, atteignant les parties prenantes à temps pour faire des choix plus intelligents », a-t-elle déclaré. « La GRC est passée de défensive à proactive : nous identifions les points de douleur tôt et planifions de manière appropriée les situations. Dans certains cas, les contrôles sont là pour prévenir, et non atténuer, les crises. Une GRC saine aide à gérer les crises et à contrôler les perturbations. »

Malgré l'abondance de cadres, les panélistes ont convergé vers une vision simple de ce qui constitue la maturité GRC, qui repose sur trois piliers identifiés.

Premièrement, le leadership doit être fort, visible et sans ambiguïté. La GRC ne peut pas fonctionner efficacement lorsque son mandat n'est pas clair ou soutenu de manière incohérente au sommet. Deuxièmement, les informations doivent circuler rapidement et de manière crédible vers ceux qui sont habilités à agir. Les perspectives de risque qui arrivent tard, ou qui sont filtrées pour éviter l'inconfort, ne servent à rien. Troisièmement, l'organisation doit être proactive, c'est-à-dire capable d'identifier les risques émergents assez tôt pour prévenir une crise plutôt que d'y répondre simplement. Sans ces trois éléments, même les structures GRC bien conçues peinent à apporter de la valeur.

LEADERSHIP ET RESPONSABILITÉ
Au-delà de la structure, le panel a mis l'accent sur l'état d'esprit. Les responsables des risques efficaces doivent opérer avec un « état d'esprit d'intention positive », défini comme la capacité d'apprécier différentes perspectives, de rester ouvert pendant les débats et de s'engager de manière constructive avec les dirigeants d'entreprise dont les intentions peuvent ne pas toujours s'aligner avec les considérations de risque.

Une responsabilité claire est tout aussi critique. Une grille RACI bien définie — clarifiant qui est responsable, redevable, consulté et informé — devient indispensable dans les moments de stress, lorsque l'ambiguïté peut paralyser la réponse. En effet, le comportement humain reste l'obstacle persistant. Des interprétations différentes de l'appétit pour le risque, une sensibilisation inégale aux risques et les politiques organisationnelles peuvent saper même les systèmes les plus sophistiqués. Dans de tels moments, les responsables des risques doivent être prêts à tenir bon. Savoir quand dire « non » et articuler pourquoi est une compétence de leadership déterminante dans la GRC moderne.

DE LA DÉFENSE À LA CRÉATION DE VALEUR
Le panel a décrit l'évolution des trois lignes de défense vers le modèle des trois lignes, un changement de langage subtil mais significatif. La nouvelle emphase ne porte pas uniquement sur la prévention et le contrôle, mais sur la création de valeur. Pour que les trois lignes fonctionnent efficacement, elles doivent partager des objectifs, opérer dans un cadre commun et être soutenues par des facilitateurs efficaces : leadership, culture et technologie.

Manacap a souligné l'importance d'habiliter la première ligne. Lorsque les unités commerciales possèdent les risques, l'organisation devient plus agile et moins dépendante de l'intervention de la deuxième ligne. Le risque, dans ce modèle, est une responsabilité partagée plutôt qu'une fonction de contrôle centralisée.

Ce changement a également des implications sur la manière dont les responsables des risques sont positionnés. Salas a déclaré que la crédibilité commence par la reconnaissance. Les directeurs des risques et les responsables des risques seniors, a-t-elle dit, doivent être « bien payés, suffisamment crédibles pour être pris au sérieux ». Trop souvent, le risque est perçu comme un centre de coûts. En réalité, les fonctions GRC fortes agissent comme des « protecteurs de revenus », préservant la valeur qui pourrait autrement être perdue en raison de perturbations, d'amendes ou de dommages à la réputation.

LE RÔLE CROISSANT ET LES LIMITES DE LA TECHNOLOGIE
L'intelligence artificielle et les technologies émergentes ont figuré en bonne place dans la discussion. Sing Hwee Neo, Partenaire EY Global Client Service pour le secteur gouvernemental et public, a réfléchi à la transformation dont il a été témoin tout au long de sa carrière. « La GRC a parcouru un long chemin depuis que j'ai commencé », a-t-il déclaré. « Lorsque je repense au moment où j'ai commencé l'audit interne, les outils étaient très rudimentaires. Les praticiens expérimentés peuvent maintenant utiliser l'IA pour détecter les défaillances de contrôle en temps réel. »

Il a souligné les agents de gestion des risques autonomes qui surveillent plusieurs sources de données, ajustent dynamiquement la notation des risques et aident les organisations à prioriser et à répondre plus efficacement aux incidents potentiels.

Cependant, le panel a pris soin de tempérer l'enthousiasme avec prudence. L'intégration est plus importante que tout outil individuel, car une technologie qui renforce les silos ne fait qu'accélérer la confusion. L'alignement des catégories de risques, la consolidation des activités d'assurance et la possibilité pour la haute direction de voir une image complète et opportune du risque d'entreprise restent les véritables facteurs de différenciation.

PERSPECTIVES POUR LES CONSEILS D'ADMINISTRATION
Les questions du public ont reflété les préoccupations courantes des dirigeants, notamment la disponibilité d'outils d'assurance combinés et la manière dont les organisations peuvent préserver l'indépendance et la force des fonctions de deuxième et troisième lignes. Les réponses sont revenues à des thèmes familiers : l'autonomisation de la première ligne, la clarté des rôles et le soutien visible du sommet.

Un message clair a été adressé aux conseils d'administration. Les panélistes ont exhorté à ce que la gouvernance soit mise en œuvre de manière cohérente dans l'ensemble du groupe, mais de manière proportionnelle et pratique. Une sur-ingénierie de la gouvernance peut être aussi dommageable qu'une sous-gouvernance, en particulier dans les organisations complexes.

SYNERGIE DANS LA GRC
La session s'est terminée par un ensemble de réflexions succinctes qui ont capturé la philosophie partagée du panel. La gouvernance fixe la direction, le risque fournit la prévoyance et la conformité assure l'alignement, a déclaré Neo. Manacap a décrit la GRC comme « une dans l'action, évoluant en synchronisation ». Salas a proposé une phrase susceptible de résonner auprès des dirigeants : « le risque en rythme ».

Ce qui distingue finalement une GRC efficace n'est pas la sophistication pour elle-même, mais la synergie. Il s'agit de dialogue ouvert, de responsabilité partagée et de leadership prêt à traiter le risque non pas comme une contrainte mais comme un instrument stratégique.

Cet article est à titre informatif uniquement et ne constitue pas un substitut aux conseils professionnels lorsque les faits et les circonstances le justifient. Les opinions exprimées ci-dessus sont celles des auteurs et ne représentent pas nécessairement les opinions de SGV & Co.

Joseph Ian M. Canlas et Christiane Joymiel C. Say-Mendoza sont des partenaires de conseil en risque de SGV & Co.