Tata kelola, risiko, dan kepatuhan sebagai keunggulan strategis

RINGKASAN SINGKAT:

• Tata kelola, risiko, dan kepatuhan (GRC) bergeser dari kontrol back-office menjadi fungsi strategis yang mengantisipasi risiko, melindungi nilai, dan memandu keputusan eksekutif di dunia yang volatile.

• Program GRC yang matang menampilkan kepemimpinan yang kuat, informasi yang cepat dan andal, kepemilikan yang jelas oleh lini pertama, dan pemimpin GRC yang menantang keputusan dewan dan manajemen.

• Meskipun AI dan teknologi baru meningkatkan deteksi risiko, keuntungan sebenarnya datang dari mengintegrasikan wawasan risiko di seluruh organisasi untuk memungkinkan tata kelola yang tepat waktu dan praktis bagi dewan dan manajemen.

Pada bulan November, anggota dewan, eksekutif senior, chief audit executive, compliance officer, chief risk officer, dan profesional lainnya berkumpul di SGV Knowledge Institute dan forum SGV Consulting, "Navigating Enterprise Resilience through the Synergy of Governance, Risk, and Compliance." Ini meneliti bagaimana tata kelola, risiko, dan kepatuhan (GRC) sedang dibentuk kembali oleh realitas bisnis yang lebih cepat, lebih volatile, dan kurang memaafkan daripada sebelumnya.

Sesi panel pertama, "Integrasi GRC: Menyelaraskan Tata Kelola, Risiko, dan Kepatuhan dengan Strategi Bisnis," berpusat pada bagaimana GRC dapat berkembang dari fungsi kontrol defensif menjadi sumber kejelasan strategis.

MENDEFINISIKAN ULANG RISIKO
Satu tema mendominasi diskusi: definisi tradisional risiko telah menjadi tidak memadai. Risiko kepatuhan, yang dulunya menjadi titik fokus program GRC, sekarang hanya satu bagian dari alam semesta risiko yang lebih luas yang mencakup eksposur likuiditas, pasar, dan operasional. Di atas ini terdapat risiko strategis dan reputasi, yang digambarkan panelis sebagai salah satu ancaman paling konsekuensial terhadap nilai jangka panjang.

Risiko saat ini, kata mereka, paling baik digambarkan sebagai NAVI: nonlinear, accelerated, volatile, dan interconnected. Satu gangguan dapat dengan cepat menyebar ke seluruh fungsi, geografi, dan pemangku kepentingan. Pelanggaran siber menjadi masalah operasional dan regulasi; masalah operasional atau regulasi menjadi krisis reputasi; krisis reputasi mengikis kepercayaan pemegang saham.

"GRC yang matang memastikan kolaborasi dan mampu menangani peristiwa yang memicu berbagai risiko," kata Vicky Lee Salas, Senior Vice-President for Special Projects dan Chief Risk and Compliance Officer SM Investments Corp. Implikasinya bagi eksekutif jelas: mengelola risiko dalam silo tidak hanya tidak efisien, tetapi juga berbahaya.

KECEPATAN SEBAGAI ASET STRATEGIS
Dalam lingkungan risiko NAVI, kecepatan informasi sangat penting. Panel berulang kali kembali pada gagasan bahwa program GRC yang efektif adalah program yang memindahkan wawasan relevan kepada pengambil keputusan sebelum pilihan terbatas.

Narlette Manacap, Compliance Risk Country Officer Citibank Philippines, membingkai pergeseran sebagai berikut: "Jika Anda memiliki GRC yang matang, aliran informasi lebih cepat, mencapai pemangku kepentingan tepat waktu untuk membuat pilihan yang lebih cerdas," katanya. "GRC telah bergeser dari defensif menjadi proaktif: kami mengidentifikasi titik-titik sakit lebih awal dan merencanakan situasi dengan tepat. Dalam beberapa kasus, kontrol ada untuk mencegah, bukan mitigasi, krisis. GRC yang sehat membantu mengelola krisis dan mengendalikan gangguan."

Terlepas dari banyaknya kerangka kerja, para panelis menyatu pada pandangan sederhana tentang apa yang merupakan kematangan GRC, yang bertumpu pada tiga pilar yang diidentifikasi.

Pertama, kepemimpinan harus kuat, terlihat, dan tidak ambigu. GRC tidak dapat beroperasi secara efektif ketika mandatnya tidak jelas atau didukung secara tidak konsisten di tingkat atas. Kedua, informasi harus mengalir dengan cepat dan kredibel kepada mereka yang diberdayakan untuk bertindak. Wawasan risiko yang tiba terlambat, atau disaring untuk menghindari ketidaknyamanan, hanya sedikit berguna. Ketiga, organisasi harus proaktif, yaitu mampu mengidentifikasi risiko yang muncul cukup awal untuk mencegah krisis daripada hanya meresponsnya. Tanpa ketiganya, bahkan struktur GRC yang dirancang dengan baik kesulitan memberikan nilai.

KEPEMIMPINAN DAN AKUNTABILITAS
Di luar struktur, panel menekankan mindset. Pemimpin risiko yang efektif harus beroperasi dengan "mindset niat positif," didefinisikan sebagai kemampuan untuk menghargai perspektif yang berbeda, tetap terbuka selama debat, dan terlibat secara konstruktif dengan pemimpin bisnis yang niatnya mungkin tidak selalu sejalan dengan pertimbangan risiko.

Akuntabilitas yang jelas sama pentingnya. Grid RACI yang terdefinisi dengan baik — memperjelas siapa yang bertanggung jawab, akuntabel, dikonsultasikan, dan diinformasikan — menjadi sangat diperlukan selama momen stres, ketika ambiguitas dapat melumpuhkan respons. Memang, perilaku manusia tetap menjadi hambatan yang persisten. Interpretasi yang berbeda tentang risk appetite, kesadaran risiko yang tidak merata, dan politik organisasi dapat merusak bahkan sistem yang paling canggih sekalipun. Dalam momen seperti itu, pemimpin risiko harus bersedia mempertahankan posisi mereka. Mengetahui kapan harus mengatakan "tidak," dan mengartikulasikan alasannya, adalah keterampilan kepemimpinan yang menentukan dalam GRC modern.

DARI PERTAHANAN KE PENCIPTAAN NILAI
Panel menggambarkan evolusi dari three lines of defense menjadi three lines model, pergeseran bahasa yang halus namun signifikan. Penekanan baru tidak hanya pada pencegahan dan kontrol, tetapi pada penciptaan nilai. Agar three lines berfungsi secara efektif, mereka harus berbagi tujuan, beroperasi dalam kerangka kerja bersama, dan didukung oleh enabler yang efektif: kepemimpinan, budaya, dan teknologi.

Manacap menggarisbawahi pentingnya memberdayakan lini pertama. Ketika unit bisnis memiliki risiko, organisasi menjadi lebih gesit dan kurang bergantung pada intervensi lini kedua. Risiko, dalam model ini, adalah tanggung jawab bersama daripada fungsi polisi terpusat.

Pergeseran itu juga memiliki implikasi untuk bagaimana pemimpin risiko diposisikan. Salas menyatakan bahwa kredibilitas dimulai dengan pengakuan. Chief risk officer dan pemimpin risiko senior, katanya, perlu "dibayar dengan baik, cukup kredibel untuk berarti bisnis." Terlalu sering, risiko dipandang sebagai cost center. Kenyataannya, fungsi GRC yang kuat bertindak sebagai "pelindung pendapatan," menjaga nilai yang mungkin hilang akibat gangguan, denda, atau kerusakan reputasi.

PERAN DAN BATASAN TEKNOLOGI YANG BERKEMBANG
Kecerdasan buatan dan teknologi yang muncul menampilkan dengan menonjol dalam diskusi. Sing Hwee Neo, EY Global Client Service Partner for Government and Public Sector, merefleksikan transformasi yang dia saksikan sepanjang karirnya. "GRC telah berkembang jauh sejak saya memulai," katanya. "Ketika saya melihat ke belakang saat saya memulai audit internal, alatnya sangat mendasar. Praktisi berpengalaman sekarang dapat menggunakan AI untuk mendeteksi kegagalan kontrol secara real time."

Dia menunjuk pada agen manajemen risiko otonom yang memantau berbagai sumber data, secara dinamis menyesuaikan skor risiko, dan membantu organisasi memprioritaskan dan merespons insiden potensial dengan lebih efektif.

Namun, panel berhati-hati untuk meredam antusiasme dengan kehati-hatian. Integrasi lebih penting daripada alat individu mana pun, karena teknologi yang memperkuat silo hanya mempercepat kebingungan. Menyelaraskan kategori risiko, mengkonsolidasikan aktivitas assurance, dan memungkinkan manajemen senior untuk melihat gambaran risiko enterprise yang komprehensif dan tepat waktu tetap menjadi pembeda sebenarnya.

WAWASAN UNTUK DEWAN
Pertanyaan audiens mencerminkan kekhawatiran eksekutif yang umum, termasuk ketersediaan alat combined assurance dan bagaimana organisasi dapat menjaga independensi dan kekuatan fungsi lini kedua dan ketiga. Tanggapan kembali ke tema yang familiar: pemberdayaan lini pertama, kejelasan peran, dan dukungan yang terlihat dari atas.

Satu pesan yang jelas ditujukan kepada dewan. Para panelis mendesak agar tata kelola harus diimplementasikan secara konsisten di seluruh grup, tetapi dengan cara yang proporsional dan praktis. Over-engineering governance dapat merusak seperti halnya under-governance, terutama dalam organisasi yang kompleks.

SINERGI DALAM GRC
Sesi ditutup dengan serangkaian refleksi ringkas yang menangkap filosofi bersama panel. Tata kelola menetapkan arah, risiko memberikan pandangan ke depan, dan kepatuhan memastikan keselarasan, kata Neo. Manacap menggambarkan GRC sebagai "satu dalam tindakan, bergerak sinkron." Salas menawarkan frasa yang kemungkinan akan beresonansi dengan eksekutif: "risk in rhythm."

Yang pada akhirnya membedakan GRC yang efektif bukanlah kecanggihan untuk kepentingannya sendiri, tetapi sinergi. Ini tentang dialog terbuka, akuntabilitas bersama, dan kepemimpinan yang bersedia memperlakukan risiko bukan sebagai kendala tetapi sebagai instrumen strategis.

Artikel ini hanya untuk informasi umum dan bukan pengganti nasihat profesional di mana fakta dan keadaan memerlukan. Pandangan dan pendapat yang diungkapkan di atas adalah pandangan penulis dan tidak selalu mewakili pandangan SGV & Co.

Joseph Ian M. Canlas dan Christiane Joymiel C. Say-Mendoza adalah risk consulting partner SGV & Co.