Governance, risico en compliance als strategisch voordeel

IN HET KORT:

• Governance, risk en compliance (GRC) verschuift van backoffice-controle naar een strategische functie die risico's anticipeert, waarde beschermt en leidinggevende beslissingen stuurt in een volatiele wereld.

• Volwassen GRC-programma's kenmerken zich door sterk leiderschap, snelle en betrouwbare informatie, duidelijk eigenaarschap door de eerste lijn, en GRC-leiders die beslissingen van de raad van bestuur en het management uitdagen.

• Hoewel AI en nieuwe technologieën de risicodetectie verbeteren, komt het echte voordeel voort uit het integreren van risico-inzichten in de hele organisatie om tijdige, praktische governance voor besturen en management mogelijk te maken.

In november kwamen bestuursleden, senior executives, chief audit executives, compliance officers, chief risk officers en andere professionals bijeen op het SGV Knowledge Institute en SGV Consulting forum, "Navigating Enterprise Resilience through the Synergy of Governance, Risk, and Compliance." Het onderzocht hoe governance, risk en compliance (GRC) wordt hervormd door zakelijke realiteiten die sneller, volatieler en minder vergevingsgezind zijn dan ooit.

De eerste panelsessie, "GRC Integration: Aligning Governance, Risk, and Compliance with Business Strategy," richtte zich op hoe GRC kan evolueren van een defensieve controlefunctie naar een bron van strategische helderheid.

RISICO HERDEFINIËREN
Eén thema domineerde de discussie: de traditionele definitie van risico is ontoereikend geworden. Compliance-risico, ooit het brandpunt van GRC-programma's, is nu slechts één onderdeel van een breder risicouniversum dat liquiditeits-, markt- en operationele blootstellingen omvat. Daarboven bevinden zich strategische en reputatierisico's, die panelleden omschrijven als een van de meest consequente bedreigingen voor langetermijnwaarde.

Risico wordt tegenwoordig, zo betoogden zij, het beste omschreven als NAVI: niet-lineair, versneld, volatiel en onderling verbonden. Een enkele verstoring kan zich snel verspreiden over functies, geografieën en belanghebbenden. Een cyberinbreuk wordt een operationeel en een regelgevingsprobleem; een operationeel of regelgevingsprobleem wordt een reputatiecrisis; een reputatiecrisis tast het vertrouwen van aandeelhouders aan.

"Volwassen GRC's zorgen voor samenwerking en zijn in staat om gebeurtenissen aan te pakken die meerdere risico's triggeren," zei Vicky Lee Salas, Senior Vice-President for Special Projects en Chief Risk and Compliance Officer van SM Investments Corp. De implicatie voor executives is duidelijk: het beheren van risico's in silo's is niet alleen inefficiënt, het is ook gevaarlijk.

SNELHEID ALS STRATEGISCH ACTIEF
In een NAVI-risico-omgeving is de snelheid van informatie belangrijk. Het panel keerde herhaaldelijk terug naar het idee dat effectieve GRC-programma's degene zijn die relevante inzichten naar besluitvormers verplaatsen voordat keuzes beperkt worden.

Narlette Manacap, Compliance Risk Country Officer van Citibank Philippines, formuleerde de verschuiving als volgt: "Als je een volwassen GRC hebt, is de informatiestroom sneller en bereikt deze belanghebbenden op tijd om slimmere keuzes te maken," zei ze. "GRC is verschoven van defensief naar proactief: we identificeren pijnpunten vroeg en plannen op passende wijze voor situaties. In sommige gevallen zijn controles er om crises te voorkomen, niet om te mitigeren. Een gezonde GRC helpt bij het beheersen van crises en het controleren van verstoringen."

Ondanks de overvloed aan frameworks, convergeerden de panelleden naar een eenvoudige visie op wat GRC-volwassenheid vormt, die rust op drie geïdentificeerde pijlers.

Ten eerste moet leiderschap sterk, zichtbaar en ondubbelzinnig zijn. GRC kan niet effectief functioneren wanneer het mandaat onduidelijk is of inconsistent wordt ondersteund aan de top. Ten tweede moet informatie snel en geloofwaardig stromen naar degenen die bevoegd zijn om te handelen. Risico-inzichten die te laat arriveren, of worden gefilterd om ongemak te vermijden, dienen weinig doel. Ten derde moet de organisatie proactief zijn, dat wil zeggen, in staat zijn om opkomende risico's vroeg genoeg te identificeren om een crisis te voorkomen in plaats van er alleen maar op te reageren. Zonder alle drie worstelen zelfs goed ontworpen GRC-structuren om waarde te leveren.

LEIDERSCHAP EN VERANTWOORDELIJKHEID
Naast structuur benadrukte het panel de mindset. Effectieve risicoleiders moeten opereren met een "positieve intentie mindset," gedefinieerd als een vermogen om verschillende perspectieven te waarderen, open te blijven tijdens debatten, en constructief samen te werken met zakelijke leiders wiens intenties niet altijd in lijn zijn met risico-overwegingen.

Duidelijke verantwoordelijkheid is even cruciaal. Een goed gedefinieerd RACI-raster — dat verduidelijkt wie verantwoordelijk, aanspreekbaar, geraadpleegd en geïnformeerd is — wordt onmisbaar tijdens stressvolle momenten, wanneer dubbelzinnigheid de respons kan verlammen. Inderdaad, menselijk gedrag blijft de hardnekkige blokkade. Verschillende interpretaties van risicobereidheid, ongelijke risicobewustzijn en organisatorische politiek kunnen zelfs de meest geavanceerde systemen ondermijnen. In dergelijke momenten moeten risicoleiders bereid zijn om hun standpunt te verdedigen. Weten wanneer "nee" te zeggen, en articuleren waarom, is een bepalende leiderschapsvaardigheid in moderne GRC.

VAN DEFENSIE NAAR WAARDECREATIE
Het panel beschreef de evolutie van drie verdedigingslinies naar het drie-lijnenmodel, een subtiele maar significante verschuiving in taal. De nieuwe nadruk ligt niet alleen op preventie en controle, maar op waardecreatie. Om de drie lijnen effectief te laten functioneren, moeten ze doelstellingen delen, binnen een gemeenschappelijk raamwerk opereren en worden ondersteund door effectieve enablers: leiderschap, cultuur en technologie.

Manacap benadrukte het belang van het empoweren van de eerste lijn. Wanneer bedrijfseenheden risico's bezitten, wordt de organisatie wendbaarder en minderafhankelijk van tussenkomst van de tweede lijn. Risico is in dit model een gedeelde verantwoordelijkheid in plaats van een gecentraliseerde politiefunctie.

Die verschuiving heeft ook gevolgen voor hoe risicoleiders worden gepositioneerd. Salas verklaarde dat geloofwaardigheid begint met erkenning. Chief risk officers en senior risicoleiders, zei ze, moeten "goed betaald worden, geloofwaardig genoeg om het menens te zijn." Te vaak wordt risico gezien als een kostenpost. In werkelijkheid fungeren sterke GRC-functies als "omzetbeschermers," die waarde beschermen die anders verloren zou kunnen gaan door verstoring, boetes of reputatieschade.

DE UITDIJENDE ROL EN GRENZEN VAN TECHNOLOGIE
Kunstmatige intelligentie en opkomende technologieën kwamen prominent aan bod in de discussie. Sing Hwee Neo, EY Global Client Service Partner for Government and Public Sector, reflecteerde op de transformatie die hij tijdens zijn carrière heeft meegemaakt. "GRC heeft een lange weg afgelegd sinds ik begon," zei hij. "Als ik terugkijk op toen ik begon met interne audit, waren de tools zeer rudimentair. Ervaren practitioners kunnen nu AI gebruiken om controlefalen in real-time te detecteren."

Hij wees op autonome risicobeheersagenten die meerdere gegevensbronnen monitoren, risicoscores dynamisch aanpassen en organisaties helpen om potentiële incidenten effectiever te prioriteren en erop te reageren.

Het panel was echter voorzichtig om enthousiasme met voorzichtigheid te temperen. Integratie is belangrijker dan enkel individuele tools, aangezien technologie die silo's versterkt alleen maar verwarring versnelt. Het afstemmen van risicocategorieën, het consolideren van assurance-activiteiten en het in staat stellen van senior management om een uitgebreid, tijdig beeld van ondernemingsrisico te zien, blijven de echte onderscheidende factoren.

INZICHTEN VOOR BESTUREN
Publieksvragen weerspiegelden gemeenschappelijke executive-zorgen, waaronder de beschikbaarheid van gecombineerde assurance-tools en hoe organisaties de onafhankelijkheid en kracht van tweede- en derdelijnsfuncties kunnen behouden. De antwoorden keerden terug naar bekende thema's: empowerment van de eerste lijn, duidelijkheid van rollen en zichtbare steun van bovenaf.

Een duidelijke boodschap was gericht aan besturen. De panelleden drongen erop aan dat governance consistent moet worden geïmplementeerd binnen de groep, maar op een proportionele en praktische manier. Over-engineering van governance kan net zo schadelijk zijn als onder-governance, vooral in complexe organisaties.

SYNERGIE IN GRC
De sessie sloot af met een reeks bondige reflecties die de gedeelde filosofie van het panel vastlegden. Governance stelt de richting, risico biedt vooruitziendheid en compliance zorgt voor afstemming, zei Neo. Manacap omschreef GRC als "één in actie, synchroon bewegend." Salas bood een zin die waarschijnlijk zal resoneren met executives: "risico in ritme."

Wat effectieve GRC uiteindelijk onderscheidt is niet sophistication om zichzelf, maar synergie. Het gaat om open dialoog, gedeelde verantwoordelijkheid en leiderschap dat bereid is om risico niet als een beperking te behandelen, maar als een strategisch instrument.

Dit artikel is alleen voor algemene informatie en is geen vervanging voor professioneel advies waar de feiten en omstandigheden dat rechtvaardigen. De hierboven geuite meningen en standpunten zijn die van de auteurs en vertegenwoordigen niet noodzakelijkerwijs de standpunten van SGV & Co.

Joseph Ian M. Canlas en Christiane Joymiel C. Say-Mendoza zijn risico-adviespartners van SGV & Co.