ガバナンス、リスク、コンプライアンスを戦略的優位性に

概要：

• ガバナンス、リスク、コンプライアンス(GRC)は、バックオフィスの管理機能から、リスクを予測し、価値を保護し、変動の激しい世界で経営陣の意思決定を導く戦略的機能へと移行している。

• 成熟したGRCプログラムは、強力なリーダーシップ、迅速で信頼性の高い情報、第一線による明確なオーナーシップ、取締役会や経営陣の意思決定に異議を唱えるGRCリーダーを特徴としている。

• AIや新技術がリスク検知を改善する一方で、真の利点は、組織全体にリスクインサイトを統合し、取締役会と経営陣にタイムリーで実用的なガバナンスを可能にすることから生まれる。

11月、取締役会メンバー、上級役員、最高監査責任者、コンプライアンス責任者、最高リスク責任者、その他の専門家が、SGV Knowledge InstituteとSGV Consultingのフォーラム「ガバナンス、リスク、コンプライアンスの相乗効果を通じた企業レジリエンスのナビゲート」に集まった。このフォーラムでは、かつてないほど速く、変動が激しく、許容度の低いビジネスの現実によって、ガバナンス、リスク、コンプライアンス(GRC)がどのように再構築されているかを検証した。

最初のパネルセッション「GRC統合：ガバナンス、リスク、コンプライアンスとビジネス戦略の整合」では、GRCが防御的な管理機能から戦略的明確性の源へと進化する方法に焦点が当てられた。

リスクの再定義
議論を支配したテーマは、従来のリスクの定義が不十分になっているということだった。かつてGRCプログラムの焦点だったコンプライアンスリスクは、今や流動性、市場、オペレーショナルエクスポージャーを含む、より広範なリスクユニバースの一部に過ぎない。これらの上に位置するのが戦略的リスクとレピュテーションリスクであり、パネリストはこれを長期的価値に対する最も重大な脅威の一つと述べている。

今日のリスクは、NAVI(非線形、加速化、ボラティリティが高く、相互接続されている)として最もよく表現される、と彼らは主張した。一つの混乱が、機能、地域、ステークホルダー全体に急速に伝播する可能性がある。サイバー侵害がオペレーショナルおよび規制上の問題となり、オペレーショナルまたは規制上の問題がレピュテーション危機となり、レピュテーション危機が株主の信頼を損なう。

「成熟したGRCは協力を確保し、複数のリスクを引き起こす事象に対処する能力を持っている」と、SM Investments Corp.の特別プロジェクト担当上級副社長兼最高リスク・コンプライアンス責任者のVicky Lee Salasは述べた。経営幹部への示唆は明確だ。サイロでリスクを管理することは、単に非効率なだけでなく、危険でもある。

戦略的資産としてのスピード
NAVIリスク環境において、情報のスピードは重要である。パネルは、効果的なGRCプログラムとは、選択肢が制約される前に、関連するインサイトを意思決定者に届けるものであるという考えに繰り返し立ち返った。

Citibank PhilippinesのCompliance Risk Country OfficerであるNarlette Manacapは、この変化を次のように述べた。「成熟したGRCがあれば、情報の流れが速くなり、ステークホルダーに適時に届き、よりスマートな選択ができるようになります」と彼女は言った。「GRCは防御的なものから積極的なものへと移行しました。私たちは早期に問題点を特定し、状況に適切に対応します。場合によっては、管理は危機を軽減するのではなく、防止するためのものです。健全なGRCは危機を管理し、混乱をコントロールするのに役立ちます。」

フレームワークが豊富にあるにもかかわらず、パネリストは、GRCの成熟度を構成するものについて、3つの柱に基づくシンプルな見解に収束した。

第一に、リーダーシップは強力で、目に見え、明確でなければならない。GRCは、その使命が不明確であったり、トップからの支援が一貫していない場合、効果的に機能することはできない。第二に、情報は行動する権限を持つ人々に迅速かつ信頼性を持って流れなければならない。遅れて到着したり、不快感を避けるためにフィルタリングされたリスクインサイトは、ほとんど役に立たない。第三に、組織は積極的でなければならない。つまり、危機に対応するだけでなく、危機を防ぐのに十分早く新たなリスクを特定できる必要がある。この3つがすべて揃わなければ、よく設計されたGRC構造でさえ価値を提供するのに苦労する。

リーダーシップと説明責任
構造を超えて、パネルはマインドセットを強調した。効果的なリスクリーダーは「ポジティブインテントマインドセット」で行動しなければならない。これは、異なる視点を評価し、議論中にオープンであり続け、リスク考慮事項と必ずしも一致しない意図を持つビジネスリーダーと建設的に関わる能力として定義される。

明確な説明責任も同様に重要である。明確に定義されたRACIグリッド(誰が責任を負い、説明責任があり、相談され、情報を受けるかを明確にする)は、曖昧さが対応を麻痺させる可能性のあるストレスの瞬間に不可欠となる。実際、人間の行動は持続的な障害であり続けている。リスク選好の解釈の違い、リスク認識の不均一さ、組織の政治が、最も洗練されたシステムでさえ損なう可能性がある。そのような瞬間に、リスクリーダーは自分の立場を守る意思を持たなければならない。いつ「ノー」と言うべきか、そしてその理由を明確に述べることは、現代のGRCにおける決定的なリーダーシップスキルである。

防御から価値創造へ
パネルは、3つの防衛線から3つのラインモデルへの進化について説明した。これは微妙だが重要な言葉の変化である。新しい強調点は、予防と管理だけでなく、価値創造にある。3つのラインが効果的に機能するためには、目標を共有し、共通のフレームワーク内で運用され、効果的な推進要因(リーダーシップ、文化、技術)によってサポートされる必要がある。

Manacapは、第一線のエンパワーメントの重要性を強調した。ビジネスユニットがリスクをオーナーする場合、組織はより機敏になり、第二線の介入への依存度が低くなる。このモデルでは、リスクは集中的な監視機能ではなく、共有責任である。

この変化は、リスクリーダーの位置づけにも影響を与える。Salasは、信頼性は認識から始まると述べた。最高リスク責任者および上級リスクリーダーは、「十分な報酬を得て、ビジネスを意味するのに十分な信頼性」が必要だと彼女は述べた。あまりにも頻繁に、リスクはコストセンターと見なされている。実際には、強力なGRC機能は「収益保護者」として機能し、混乱、罰金、レピュテーション損害によって失われる可能性のある価値を保護する。

テクノロジーの拡大する役割と限界
人工知能と新興技術が議論で顕著に取り上げられた。EY Global Client Service Partner for Government and Public SectorのSing Hwee Neoは、キャリアを通じて目撃した変革について振り返った。「私が始めて以来、GRCは長い道のりを歩んできました」と彼は言った。「内部監査を始めた時を振り返ると、ツールは非常に初歩的でした。経験豊富な実務者は今やAIを使用してリアルタイムでコントロールの失敗を検知できます。」

彼は、複数のデータソースを監視し、リスクスコアリングを動的に調整し、組織が潜在的インシデントにより効果的に優先順位を付けて対応するのを支援する自律型リスク管理エージェントを指摘した。

しかし、パネルは熱意を慎重に抑えることに注意を払った。統合は個々のツールよりも重要である。サイロを強化する技術は、混乱を加速させるだけである。リスクカテゴリーを整合させ、保証活動を統合し、上級管理者が企業リスクの包括的でタイムリーな全体像を見ることを可能にすることが、真の差別化要因であり続ける。

取締役会への洞察
聴衆からの質問は、統合保証ツールの利用可能性や、組織が第二線および第三線機能の独立性と強さをどのように維持できるかなど、一般的な経営幹部の懸念を反映していた。回答は、第一線のエンパワーメント、役割の明確性、トップからの目に見えるサポートという、よく知られたテーマに戻った。

一つの明確なメッセージが取締役会に向けられた。パネリストは、ガバナンスはグループ全体で一貫して実施されるべきだが、比例的かつ実用的な方法で実施されるべきだと促した。ガバナンスの過剰設計は、特に複雑な組織において、ガバナンス不足と同様に有害である可能性がある。

GRCにおける相乗効果
セッションは、パネルの共通の哲学を捉えた簡潔な考察で締めくくられた。ガバナンスは方向性を設定し、リスクは先見性を提供し、コンプライアンスは整合性を確保する、とNeoは述べた。ManacapはGRCを「行動における一体性、同期して動く」と表現した。Salasは経営幹部に共鳴する可能性の高いフレーズを提供した。「リズムの中のリスク」である。

最終的に効果的なGRCを区別するものは、それ自体のための洗練さではなく、相乗効果である。それは、オープンな対話、共有された説明責任、そしてリスクを制約としてではなく戦略的手段として扱うことを厭わないリーダーシップについてである。

本記事は一般的な情報提供のみを目的としており、事実や状況が必要とする専門的なアドバイスの代わりにはなりません。上記で表明された見解や意見は著者のものであり、必ずしもSGV & Co.の見解を代表するものではありません。

Joseph Ian M. CanlasとChristiane Joymiel C. Say-Mendozaは、SGV & Co.のリスクコンサルティングパートナーです。