治理、风险与合规作为战略优势

简介:

• 治理、风险与合规(GRC)正从后台控制转变为战略职能,在动荡世界中预测风险、保护价值并指导高管决策。

• 成熟的GRC计划具有强大的领导力、快速可靠的信息、第一道防线的明确责任,以及能够挑战董事会和管理层决策的GRC领导者。

• 虽然人工智能和新技术改善了风险检测,但真正的优势来自整合整个组织的风险洞察,为董事会和管理层提供及时、实用的治理。

11月,董事会成员、高级管理人员、首席审计执行官、合规官、首席风险官及其他专业人士齐聚SGV知识研究所和SGV咨询论坛——"通过治理、风险与合规的协同效应驾驭企业韧性"。论坛探讨了治理、风险与合规(GRC)如何被前所未有的更快、更动荡、更严苛的商业现实所重塑。

首场专题讨论"GRC整合:使治理、风险与合规与业务战略保持一致",重点探讨GRC如何从防御性控制职能演变为战略清晰度的来源。

重新定义风险
一个主题主导了讨论:传统的风险定义已变得不足。合规风险曾经是GRC计划的焦点,现在只是更广泛风险范畴的一部分,包括流动性、市场和运营风险。在这些之上是战略和声誉风险,小组成员将其描述为对长期价值最具影响力的威胁之一。

他们认为,当今的风险最好被描述为NAVI:非线性、加速、波动和互联。单一中断可以迅速跨职能、地域和利益相关者传播。网络安全漏洞成为运营和监管问题;运营或监管问题演变为声誉危机;声誉危机侵蚀股东信心。

SM投资公司特殊项目高级副总裁兼首席风险与合规官Vicky Lee Salas表示:"成熟的GRC确保协作,能够应对触发多重风险的事件。"对高管的启示很明确:孤立地管理风险不仅效率低下,而且危险。

速度作为战略资产
在NAVI风险环境中,信息速度至关重要。专题小组反复强调,有效的GRC计划是那些在选择受限之前将相关洞察传达给决策者的计划。

花旗银行菲律宾合规风险国家官Narlette Manacap这样描述这一转变:"如果你有成熟的GRC,信息流动更快,及时到达利益相关者以做出更明智的选择,"她说。"GRC已从防御性转向主动性:我们及早识别痛点并适当规划情况。在某些情况下,控制措施的目的是预防而非减轻危机。健康的GRC有助于管理危机和控制中断。"

尽管框架众多,小组成员对GRC成熟度的构成达成了简单的共识,其基于三个确定的支柱。

首先,领导力必须强大、明显且毫不含糊。当GRC的职责不明确或高层支持不一致时,它无法有效运作。其次,信息必须快速可靠地流向有权采取行动的人。延迟到达或为避免不适而被过滤的风险洞察几乎没有用处。第三,组织必须具有前瞻性,即能够足够早地识别新出现的风险以预防危机,而不仅仅是应对危机。没有这三者,即使是精心设计的GRC结构也难以创造价值。

领导力与问责制
除了结构,专题小组还强调了思维方式。有效的风险领导者必须以"积极意图思维"运作,定义为欣赏不同观点、在辩论中保持开放,并与意图可能并不总是与风险考虑一致的业务领导者建设性地互动的能力。

明确的问责制同样至关重要。明确的RACI矩阵——阐明谁负责、谁问责、咨询谁和通知谁——在压力时刻变得不可或缺,因为模糊性可能导致反应瘫痪。事实上,人类行为仍然是持续的障碍。对风险偏好的不同解读、不均衡的风险意识和组织政治可能破坏即使是最复杂的系统。在这种时刻,风险领导者必须愿意坚守立场。知道何时说"不"并阐明原因,是现代GRC中决定性的领导技能。

从防御到价值创造
专题小组描述了从三道防线到三道防线模型的演变,这是语言上微妙但重要的转变。新的重点不仅在于预防和控制,而在于价值创造。为了使三道防线有效运作,它们必须共享目标,在共同框架内运作,并得到有效推动因素的支持:领导力、文化和技术。

Manacap强调了赋权第一道防线的重要性。当业务单位拥有风险时,组织变得更加敏捷,对第二道防线干预的依赖性降低。在这个模型中,风险是共同责任而非集中监管职能。

这种转变对风险领导者的定位也有影响。Salas表示,可信度始于认可。她说,首席风险官和高级风险领导者需要"薪酬优厚,足够可信以认真对待业务。"风险往往被视为成本中心。实际上,强大的GRC职能充当"收入保护者",保护可能因中断、罚款或声誉损害而损失的价值。

技术的扩展作用与局限
人工智能和新兴技术在讨论中占据突出位置。安永全球政府与公共部门客户服务合伙人Sing Hwee Neo回顾了他整个职业生涯所见证的转变。"自我开始以来,GRC已经走了很长的路,"他说。"当我回顾刚开始内部审计时,工具非常简陋。经验丰富的从业者现在可以使用AI实时检测控制失败。"

他指出了自主风险管理代理,它们监控多个数据源,动态调整风险评分,并帮助组织更有效地优先处理和应对潜在事件。

然而,专题小组谨慎地用警示来缓和热情。整合比任何单个工具更重要,因为强化孤岛的技术只会加速混乱。协调风险类别、整合保证活动,并使高级管理层能够看到企业风险的全面、及时的画面,仍然是真正的区分因素。

对董事会的洞察
观众的问题反映了高管的普遍关切,包括综合保证工具的可用性以及组织如何保持第二道和第三道防线职能的独立性和实力。回答回到了熟悉的主题:赋权第一道防线、角色清晰以及高层的明显支持。

一个明确的信息是针对董事会的。小组成员敦促治理应在整个集团中一致实施,但要以适度和实用的方式。过度设计治理与治理不足一样有害,尤其是在复杂组织中。

GRC的协同效应
会议以一组简洁的反思结束,捕捉了专题小组的共同理念。Neo说,治理确定方向,风险提供远见,合规确保一致性。Manacap将GRC描述为"行动一致,同步运作。"Salas提出了一个可能引起高管共鸣的短语:"节奏中的风险。"

最终区分有效GRC的不是为了复杂性本身,而是协同效应。这关乎开放对话、共同问责以及愿意将风险视为战略工具而非约束的领导力。

本文仅供一般信息参考,在事实和情况需要时不能替代专业建议。上述观点和意见为作者个人观点,不一定代表SGV & Co.的观点。

Joseph Ian M. Canlas和Christiane Joymiel C. Say-Mendoza是SGV & Co.的风险咨询合伙人。