Управление, учет рисков и соблюдение нормативных требований – это уже не функция бэк-офиса, а стратегический инструмент, который помогает организациям достигать целей, справляться с неопределенностью и действовать добросовестно. Однако для того, чтобы GRC действительно приносила пользу, она должна развиваться в соответствии с темпами происходящих глобальных преобразований.
Эта эволюция особенно заметна и необходима в странах Персидского залива, где быстрая диверсификация, появление новых секторов, ускорение цифровизации и растущие ожидания регулирующих органов меняют бизнес-среду.
“Страны Персидского залива переживают впечатляющие темпы преобразований. Появляются новые отрасли промышленности. Искусственный интеллект и автоматизация стремительно развиваются, и ожидания регулирующих органов растут поразительными темпами”, – сказал Бесфорт Куки, генеральный директор и член правления Swiss GRC, в своем вступительном слове в четверг во время дня GCC GRC в ОАЭ.
Успешная программа GRC, однако, основана на культуре. Для этого требуется приверженность руководства и четкий тон сверху. Миссия GRC заключается в том, чтобы сделать GRC “простым, эффективным и доступным для всех”, позволяя организациям сохранять контроль и управлять рисками структурированным и надежным способом “без ненужных сложностей”, добавил Куки.
Создание устойчивой программы GRC
Проблема управления рисками становится все более актуальной, поскольку организации работают во все более многополярном и фрагментированном мире. Геополитическая напряженность, регулирование местного содержания, сбои в цепочках поставок и быстрые технологические изменения меняют представления компаний о жизнестойкости
“Сейчас, как никогда, важно продумать все до конца”, – сказал Даллал Слимани, старший вице-президент по корпоративным программам и транспорту, офис генерального директора Schenider Electric. “Именно здесь технологии являются мощным подспорьем, поскольку они обеспечивают нам наглядность при выполнении комплексных операций и позволяют принимать более взвешенные решения”.
“Цепочки поставок становятся все более важными в настоящее время, поскольку мир становится все более фрагментированным из-за ужесточения правил местного содержания.. Я думаю, что если и есть что-то, что я считаю критически важным, так это видимость всех элементов цепочки поставок, поэтому вы должны преобразовать свою физическую цепочку поставок в цифровую, где вы сможете добиться большей наглядности”.
Такое мышление отражает более широкую истину: когда GRC рассматривается как общая ответственность, а не как бремя соблюдения требований, организации становятся более вовлеченными, более подотчетными и более подготовленными к добросовестным действиям.
“Вы услышите много историй о неудачах GRC. Это потому, что это не управляется сверху вниз”, – сказал Раджив Датт, генеральный директор MEA и APAC в Swiss GRC в своей презентации. Датт подчеркнул, что культура организации является основой, которая определяет, принимаются ли процессы и системы или игнорируются.
Многие организации по-прежнему полагаются на фрагментированные системы и выполнение задач вручную, что замедляет их работу в области GRC. Современные программы GRC уменьшают трения за счет автоматизации, которая затем оптимизирует рабочие процессы, устраняя дублирование процессов и создавая единый источник достоверной информации.
Датт добавил, что рассмотрение рисков со всех сторон помогает организациям снизить их уровень. Он объясняет, что риски сегодня многогранны. Угрозы кибербезопасности, сбои в работе цифровых технологий, изменения, связанные с искусственным интеллектом, проблемы обеспечения непрерывности бизнеса и изменения в законодательстве происходят постоянно. Это превращает соблюдение требований в бизнес-императив, а не в дополнение к нему.
Далее он добавил, что для достижения успеха организации должны “ориентироваться в хаосе”, особенно при принятии стратегических рисков. “Вам нужна координация GRC. Вам нужно видеть риск со всех сторон”, – объясняет Датт.
Это повышает ценность 360-градусного обзора рисков. Только при наличии взаимосвязи между данными, системами и командами организации могут понимать свои риски и принимать своевременные, обоснованные решения. Многомерные аспекты рисков должны подтолкнуть организации к эффективному управлению рисками, которое приводит управление рисками в соответствие с реальными целями организации.
В этом случае индикаторы риска привязаны к стратегическим целям, обеспечивая сигналы раннего предупреждения о любых возникающих рисках, что в конечном итоге помогает компаниям ужесточать правила и требования к их соблюдению для их снижения.
“Этот подход превращает GRC из функции отчетности в инструмент, способствующий принятию стратегических решений”, – сказал Датт.
GRC и будущее управления ИИ
ИИ формирует новый уровень риска, и модели управления должны развиваться соответствующим образом. Тем не менее, управление ИИ требует социотехнического подхода, который включает в себя взаимодействие людей, культуры и технологий.
“Проблема ответственного ИИ — это не технологическая проблема, это проблема человека в своей основе… и не существует универсального подхода”, – сказал Акшай Далал, глава регионального отдела управления рисками и соблюдения нормативных требований в Google.
Он пояснил, что в условиях быстро меняющихся стандартов и новых нормативных актов организации должны внедрять адаптируемые структуры и внедрять мышление, основанное на ответственном ИИ, в свои основные практики GRC.
Далал добавил, что современный GRC – это стратегический инструмент, а не препятствие. Он добавил, что благодаря формированию сильной культуры, 360-градусному обзору рисков и использованию автоматизации для повышения эффективности, организации могут уверенно проводить преобразования. Он добавил, что успеха добьются те организации, которые используют GRC как инструмент, поддерживающий ответственные инновации, устойчивость и устойчивый рост. Однако каждой организации придется справляться с этим по-своему, в зависимости от их собственных проблем и рисков.
“Это не один размер для всех“, – добавил Далал.
Далее Далал объяснил, что для выявления потенциальных рисков необходима настраиваемая библиотека, основанная на исследованиях, исторических данных и внешних стандартах. Далее он пояснил, что риски должны оцениваться по пяти взаимосвязанным аспектам воздействия и обсуждаться в обзоре продукта. В конечном счете, организации могут смягчить оценки и рассматривать информацию как социально-техническую ценность.