Quản trị, kiểm soát rủi ro và tuân thủ như một lợi thế chiến lược

TÓM TẮT:

• Quản trị, rủi ro và tuân thủ (GRC) đang chuyển từ chức năng kiểm soát hậu trường sang chức năng chiến lược dự đoán rủi ro, bảo vệ giá trị và định hướng quyết định điều hành trong thế giới biến động.

• Các chương trình GRC trưởng thành có sự lãnh đạo mạnh mẽ, thông tin nhanh chóng và đáng tin cậy, quyền sở hữu rõ ràng ở tuyến đầu, và các nhà lãnh đạo GRC thách thức quyết định của hội đồng quản trị và ban quản lý.

• Trong khi AI và công nghệ mới cải thiện phát hiện rủi ro, lợi thế thực sự đến từ việc tích hợp thông tin chi tiết về rủi ro trong toàn tổ chức để kích hoạt quản trị kịp thời và thiết thực cho hội đồng quản trị và ban quản lý.

Vào tháng 11, các thành viên hội đồng quản trị, giám đốc điều hành cấp cao, giám đốc kiểm toán, cán bộ tuân thủ, giám đốc rủi ro và các chuyên gia khác đã tụ họp tại diễn đàn SGV Knowledge Institute và SGV Consulting, "Điều hướng khả năng phục hồi doanh nghiệp thông qua sự hợp tác của Quản trị, Rủi ro và Tuân thủ." Diễn đàn đã xem xét cách quản trị, rủi ro và tuân thủ (GRC) đang được định hình lại bởi thực tế kinh doanh nhanh hơn, biến động hơn và ít khoan dung hơn bao giờ hết.

Phiên thảo luận đầu tiên, "Tích hợp GRC: Điều chỉnh Quản trị, Rủi ro và Tuân thủ với Chiến lược Kinh doanh," tập trung vào cách GRC có thể phát triển từ chức năng kiểm soát phòng thủ thành nguồn cung cấp sự rõ ràng chiến lược.

XÁC ĐỊNH LẠI RỦI RO
Một chủ đề thống trị cuộc thảo luận: định nghĩa truyền thống về rủi ro đã trở nên không đầy đủ. Rủi ro tuân thủ, từng là trọng tâm của các chương trình GRC, giờ chỉ là một phần của vũ trụ rủi ro rộng lớn hơn bao gồm thanh khoản, thị trường và rủi ro hoạt động. Phía trên những rủi ro này là rủi ro chiến lược và danh tiếng, mà các thành viên hội thảo mô tả là một trong những mối đe dọa quan trọng nhất đối với giá trị dài hạn.

Rủi ro ngày nay, họ lập luận, được mô tả tốt nhất là NAVI: phi tuyến tính, tăng tốc, biến động và kết nối lẫn nhau. Một sự gián đoạn duy nhất có thể lan truyền nhanh chóng qua các chức năng, khu vực địa lý và các bên liên quan. Một vi phạm an ninh mạng trở thành vấn đề hoạt động và quy định; một vấn đề hoạt động hoặc quy định trở thành khủng hoảng danh tiếng; một khủng hoảng danh tiếng làm xói mòn niềm tin của cổ đông.

"GRC trưởng thành đảm bảo sự hợp tác và có khả năng giải quyết các sự kiện kích hoạt nhiều rủi ro," Vicky Lee Salas, Phó Chủ tịch Cấp cao Dự án Đặc biệt và Giám đốc Rủi ro và Tuân thủ của SM Investments Corp cho biết. Hàm ý đối với các giám đốc điều hành rất rõ ràng: quản lý rủi ro riêng lẻ không chỉ không hiệu quả mà còn nguy hiểm.

TỐC ĐỘ LÀ TÀI SẢN CHIẾN LƯỢC
Trong môi trường rủi ro NAVI, tốc độ thông tin là quan trọng. Hội thảo liên tục quay lại ý tưởng rằng các chương trình GRC hiệu quả là những chương trình chuyển thông tin chi tiết có liên quan đến những người ra quyết định trước khi lựa chọn bị hạn chế.

Narlette Manacap, Cán bộ Rủi ro Tuân thủ Quốc gia của Citibank Philippines, đóng khung sự chuyển dịch như sau: "Nếu bạn có GRC trưởng thành, luồng thông tin nhanh hơn, tiếp cận các bên liên quan kịp thời để đưa ra lựa chọn thông minh hơn," cô nói. "GRC đã chuyển từ phòng thủ sang chủ động: chúng tôi xác định điểm yếu sớm và lập kế hoạch phù hợp cho các tình huống. Trong một số trường hợp, kiểm soát ở đó để ngăn chặn, không phải giảm thiểu khủng hoảng. Một GRC lành mạnh giúp quản lý khủng hoảng và kiểm soát gián đoạn."

Mặc dù có nhiều khuôn khổ, các thành viên hội thảo đã hội tụ vào quan điểm đơn giản về những gì cấu thành sự trưởng thành của GRC, dựa trên ba trụ cột được xác định.

Thứ nhất, sự lãnh đạo phải mạnh mẽ, rõ ràng và không mơ hồ. GRC không thể hoạt động hiệu quả khi nhiệm vụ của nó không rõ ràng hoặc được hỗ trợ không nhất quán ở cấp cao nhất. Thứ hai, thông tin phải truyền nhanh chóng và đáng tin cậy đến những người được trao quyền hành động. Thông tin chi tiết về rủi ro đến muộn hoặc được lọc để tránh khó chịu, phục vụ ít mục đích. Thứ ba, tổ chức phải chủ động, nghĩa là có khả năng xác định rủi ro mới nổi đủ sớm để ngăn chặn khủng hoảng thay vì chỉ phản ứng với nó. Không có cả ba, ngay cả các cấu trúc GRC được thiết kế tốt cũng khó cung cấp giá trị.

LÃNH ĐẠO VÀ TRÁCH NHIỆM
Ngoài cấu trúc, hội thảo nhấn mạnh tư duy. Các nhà lãnh đạo rủi ro hiệu quả phải hoạt động với "tư duy ý định tích cực," được định nghĩa là khả năng đánh giá cao các quan điểm khác nhau, duy trì cởi mở trong cuộc tranh luận và tham gia xây dựng với các nhà lãnh đạo kinh doanh có ý định có thể không luôn phù hợp với các cân nhắc về rủi ro.

Trách nhiệm rõ ràng cũng quan trọng không kém. Một lưới RACI được xác định rõ ràng — làm rõ ai chịu trách nhiệm, ai chịu trách nhiệm giải trình, ai được tư vấn và ai được thông báo — trở nên không thể thiếu trong những khoảnh khắc căng thẳng, khi sự mơ hồ có thể làm tê liệt phản ứng. Thật vậy, hành vi con người vẫn là rào cản dai dẳng. Các cách hiểu khác nhau về cảm thụ rủi ro, nhận thức rủi ro không đồng đều và chính trị tổ chức có thể làm suy yếu ngay cả các hệ thống tinh vi nhất. Trong những khoảnh khắc như vậy, các nhà lãnh đạo rủi ro phải sẵn sàng đứng vững lập trường của họ. Biết khi nào nói "không" và nêu rõ lý do là kỹ năng lãnh đạo xác định trong GRC hiện đại.

TỪ PHÒNG THỦ ĐẾN TẠO GIÁ TRỊ
Hội thảo mô tả sự phát triển từ ba tuyến phòng thủ sang mô hình ba tuyến, một sự chuyển dịch ngôn ngữ tinh tế nhưng quan trọng. Sự nhấn mạnh mới không chỉ là ngăn chặn và kiểm soát mà còn là tạo giá trị. Để ba tuyến hoạt động hiệu quả, chúng phải chia sẻ mục tiêu, hoạt động trong một khuôn khổ chung và được hỗ trợ bởi các yếu tố hỗ trợ hiệu quả: lãnh đạo, văn hóa và công nghệ.

Manacap nhấn mạnh tầm quan trọng của việc trao quyền cho tuyến đầu. Khi các đơn vị kinh doanh sở hữu rủi ro, tổ chức trở nên linh hoạt hơn và ít phụ thuộc vào can thiệp tuyến thứ hai. Rủi ro, trong mô hình này, là trách nhiệm được chia sẻ thay vì chức năng giám sát tập trung.

Sự chuyển dịch đó cũng có ý nghĩa đối với cách các nhà lãnh đạo rủi ro được định vị. Salas tuyên bố rằng uy tín bắt đầu với sự công nhận. Giám đốc rủi ro và các nhà lãnh đạo rủi ro cấp cao, cô nói, cần được "trả lương tốt, đủ uy tín để có ý nghĩa kinh doanh." Quá thường xuyên, rủi ro được xem là trung tâm chi phí. Trong thực tế, các chức năng GRC mạnh hoạt động như "người bảo vệ doanh thu," bảo vệ giá trị có thể bị mất do gián đoạn, tiền phạt hoặc thiệt hại danh tiếng.

VAI TRÒ MỞ RỘNG VÀ GIỚI HẠN CỦA CÔNG NGHỆ
Trí tuệ nhân tạo và các công nghệ mới nổi được nêu bật trong cuộc thảo luận. Sing Hwee Neo, Đối tác Dịch vụ Khách hàng Toàn cầu EY cho Chính phủ và Khu vực Công, phản ánh về sự chuyển đổi mà ông đã chứng kiến trong suốt sự nghiệp của mình. "GRC đã đi một chặng đường dài kể từ khi tôi bắt đầu," ông nói. "Khi tôi nhìn lại khi tôi bắt đầu kiểm toán nội bộ, các công cụ rất thô sơ. Các thực hành viên có kinh nghiệm giờ có thể sử dụng AI để phát hiện lỗi kiểm soát theo thời gian thực."

Ông chỉ ra các tác nhân quản lý rủi ro tự động giám sát nhiều nguồn dữ liệu, điều chỉnh động điểm rủi ro và giúp các tổ chức ưu tiên và phản ứng với các sự cố tiềm năng hiệu quả hơn.

Tuy nhiên, hội thảo cẩn thận để điều chỉnh sự nhiệt tình với thận trọng. Tích hợp quan trọng hơn bất kỳ công cụ riêng lẻ nào, vì công nghệ củng cố các phân đoạn chỉ làm tăng tốc sự nhầm lẫn. Điều chỉnh các danh mục rủi ro, hợp nhất các hoạt động đảm bảo và cho phép ban quản lý cấp cao thấy bức tranh toàn diện, kịp thời về rủi ro doanh nghiệp vẫn là những yếu tố phân biệt thực sự.

THÔNG TIN CHI TIẾT CHO HỘI ĐỒNG QUẢN TRỊ
Các câu hỏi của khán giả phản ánh mối quan tâm điều hành chung, bao gồm tính khả dụng của các công cụ đảm bảo kết hợp và cách các tổ chức có thể bảo tồn sự độc lập và sức mạnh của các chức năng tuyến thứ hai và thứ ba. Các phản hồi quay lại các chủ đề quen thuộc: trao quyền cho tuyến đầu, sự rõ ràng của vai trò và hỗ trợ rõ ràng từ cấp cao nhất.

Một thông điệp rõ ràng được hướng đến hội đồng quản trị. Các thành viên hội thảo kêu gọi rằng quản trị nên được triển khai nhất quán trong toàn bộ nhóm, nhưng theo cách tỷ lệ và thực tế. Quá kỹ thuật hóa quản trị có thể gây thiệt hại như quản trị kém, đặc biệt trong các tổ chức phức tạp.

SỰ HỢP TÁC TRONG GRC
Phiên kết thúc với một tập hợp các suy ngẫm ngắn gọn thu hút triết lý chung của hội thảo. Quản trị đặt ra hướng đi, rủi ro cung cấp tầm nhìn xa và tuân thủ đảm bảo sự liên kết, Neo cho biết. Manacap mô tả GRC là "một trong hành động, di chuyển đồng bộ." Salas đưa ra một cụm từ có khả năng cộng hưởng với các giám đốc điều hành: "rủi ro trong nhịp điệu."

Điều cuối cùng phân biệt GRC hiệu quả không phải là sự tinh vi vì lợi ích riêng của nó, mà là sự hợp tác. Đó là về đối thoại cởi mở, trách nhiệm được chia sẻ và sự lãnh đạo sẵn sàng đối xử với rủi ro không phải là ràng buộc mà là công cụ chiến lược.

Bài viết này chỉ mang tính chất thông tin chung và không thay thế cho lời khuyên chuyên nghiệp khi các sự kiện và hoàn cảnh đảm bảo. Các quan điểm và ý kiến được bày tỏ ở trên là của các tác giả và không nhất thiết đại diện cho quan điểm của SGV & Co.

Joseph Ian M. Canlas và Christiane Joymiel C. Say-Mendoza là các đối tác tư vấn rủi ro của SGV & Co.