這篇是McKinsey & Company在2025年 5月 9日刊載的“Governance, risk, and compliance: A new lens on best practices“。內容很長,但卻是很基本面的東西,有論述、有調查結果。
卓越的治理、風險與遵循(GRC)是共同的願景,但能真正落實多少?根據麥肯錫(McKinsey)的《2025年全球GRC基準調查》(2025 Global GRC Benchmarking Survey),對大多數公司而言,GRC是一項持續進行中的工作。儘管公司努力擴大高階管理層對此的專業知識,但領導人仍看到GRC三個支柱下的眾多面向「需要改進」。
GRC表現不佳的原因很多,其中有些源自於公司經營的特殊因素。但跨產業來看,也有一些共通的痛點,包括技術支援有限、監督能力資源不足,以及變動中的監理局勢挑戰。
為了瞭解影響GRC能力的動態因素,我們訪問了193位公司領導人,請教如何建立治理結構、管理風險以及遵循當地和區域性的法規。該調查的回覆提供了全球GRC成熟度的深刻看法,並強調了一些公司正在採用策略,以建立更聰明、更有效的能力體系。
治理方式差異很大
大多數受訪的公司瞭解,專門設計的治理架構對有效及高效營運是不可或缺的。有50%的受訪者選擇了策略性董事會架構(strategic board archetype),其中72%增設了二至五個功能性委員會。這個方法意味董事會可以親自參與治理,同時利用廣泛的專業知識來管理營運的關鍵面向。事實上,有55%的受訪者選擇具有跨產業與多元專業能力的董事會。
在許多組織裡,關鍵決策的最終核准權是在董事會和執行長,意味著董事會參與制訂與核准事項,包括策略(業務規劃、策略性關鍵績效指標(KPIs)及目標)、財務與資本,以及風險管理架構與政策。此外,完善的董事會委員會架構也負責監督關鍵的營運及治理面向,相較之下,股東和廣大的管理階層發揮的功能則較有限。
董事會通常會將風險管理、法律及遵循等專業職責委派出去,在這兩個領域裡,分別有38%與44%的受訪者會將責任指派給更廣的管理階層。同樣的思維也反映在報告鏈上,從我們的客戶工作及基準調查顯示:大多數非金融機構的風險與遵循部門,通常會向財務長或法務長(集團顧問)彙報。
風險與遵循的委派會影響到GRC的成熟度。有近半的受訪機構(44%)表示,風險主管位階是執行長之下超過一層,平均來看,這些公司表示其風險職能比較不成熟。一般來說,風險專業人員的層級較低,則風險職能的成熟度也較低。壓力測試、明確界定的風險承受度,以及風險基礎的薪酬制度這三個關鍵領域,不夠成熟的組織往往落後。
層級高低和成熟之間的關係,也可見於遵循活動的治理,有將近一半的受訪機構(47%)表示,該部門主管位階低於執行長兩層或更低。同樣的,遵循層級較低的主管自評其遵循成熟度較低。只有少數遵循部門主管(38%)是向總顧問或法務長報告。儘管如此,有75%的受訪者指出,遵循長負責全集團的遵循工作,同時有80%表示可以將問題直接向董事會報告。
良好治理的可靠基礎是文件制度,有93%的受訪者表示,他們具備架構或政策文件。儘管如此,很多組織表示在文件的涵蓋範圍上有落差。例如約一半的公司(48%)沒有正式的公司治理程序、58%沒有使用作業手冊,以及53%沒有保存董事會決議清單。
關於董事會的治理監督也有類似的統計比例,僅一半的公司(53%)有保留年度董事會評估的文件。在很多狀況裡,可能沒有董事會層級的評估,這顯示了在績效和變動管理能力方面存在重大的落差。
風險管理:某些產業領先其他產業
關於風險管理,我們請決策者在應對複雜全球風險局勢所需的各種能力進行自評。跨產業的回答顯示,決策者普遍認為是有改善空間的,以總分4分來看,平均分數為2.6分。唯一自評「良好」的產業(評分為3.2分)是保險業,顯示金融服務產業可能因應過前次危機(如2007至2008年間的金融危機)和後續的監管行動而領先於其他產業。
大多數產業表示,他們需要提升策略風險管理,包含的領域如「風險承受度」、「壓力測試」以及「董事會監督」。以生命科學產業為例,有67%的公司表示,對定義風險承受度不是缺乏、落後,就是需要改進,同時有54%的旅遊、物流及基礎設施業(TLI)產業對他們應用壓力情境的這方面,也表示屬於以上三種情況。相對地,產業在「明確的風險分類」和「資本配置決策」的評分則最高。
在其他風險領域裡,受訪的八個產業之中有五個表示,在操作三道防線模型上面臨挑戰,其中以生命科學產業最顯著。此外,八個產業中有四個坦言,在風險文化自評方面表現孱弱,保險業、生命科學產業,與TLI業自評的分數低於平均。
隨著公司成長,他們不僅會擴展自己的GRC能力,也學會如何持續發展這些能力。在我們的調查中,大公司一般較中小型公司有更成熟的風險管理能力。同樣的,中型公司普遍自評高於小型公司。
遵循:聚焦於一個持續變動的目標
跨產業來看,在遵循管理上仍有進步空間,滿分4分的調查裡平均得分為2.9分。TLI與先進產業表示遵循成熟度最低,而保險業以3.4分居冠,再次反映了金融業在監理與審慎管理上面臨更高的要求。全球能源與材料,還有科技、媒體和電信業(TMT)自評「良好」,評分在3.0分或以上。
需改善的重要領域包括:基於風險的遵循控制方法、系統性監控與報導、制裁管理,以及高階經理人與董事會履行組織和監督職責等方面,而先進產業、消費者、生命科學及TLI這些產業的表現則是落後的。
公司最有信心的六個關鍵遵循領域:
*建立遵循風險流程以及量身訂做的遵循系統
*全面性遵循政策及作業流程
*定期的針對性訓練
*建立高階領導層傳達的遵循文化
*設有吹哨管道,其中有高達52%的受訪者表示自己是領先者
*擁有有效的補救流程
相反的,最常被提及為弱點的源頭,是道德與遵循文化反映到領導層激勵和獎金結構的程度。對此,有68%的受訪者稱其機制成熟度是缺乏制度、落後,或需要改進。
大公司比起較小的同業對其能力更有信心。從11個遵循指標來看,這些公司在九個指標上自評的分數高於產業平均。而他們認為兩個表現較差的指標是「領導層溝通遵循文化」以及「吹哨機制的運作」。
對GRC的整體觀察
調查突顯了一個共通的痛點,公司一般未能如預期地使用基本的GRC工具和系統。例如在風險職能,有42%跨產業的受訪者表示,他們對使用資訊科技和GRC系統「需要改進」。而有15%表示「缺乏機制」或「落後」。
雖然大多數機構採用集中式與分散式資源模式的比率,是1:1到1:2(風險管理方面是56%),但以絕對值來看GRC職能的整體資源是相當小的。在風險管理方面,66%的受訪者表示總共有20個或以下的全職員工。同樣的,在遵循方面,62%的公司說他們團隊少於20位全職員工。儘管調查主要是針對大型組織,我們需要注意這個人力資源相對稀少的狀況。
公司很少會將薪酬系統(激勵與獎金結構)和風險或遵循相關績效指標連結起來。確實在調查中可能有部分受訪者無法取得高階管理層的相關資訊,但合理的假設是,公司一般尚未落實GRC相關的薪酬指標。
邁向卓越GRC的五項當務之急
領先的GRC公司很少是因為零星的、間歇性的措施來建立穩固的能力。相對地,他們會嚴謹地尋找方法支持卓越的決策、釋放價值創造的機會,以及遵守其營運領域內的相關法規。以下我們列出的五個能夠推動GRC卓越的特點。
關注最高層的方針,並重新審視GRC職責授權
GRC職能的定位及職責授權,特別是風險與遵循管理職能,通常是成熟度的指標。當高階決策者較少參與、或沒有提供適當的職責授權時,例如沒有設置風險長或集團遵循長,則職能的成熟度就會比較低。在非金融業,較少設置長字輩層級主管,例如風險長或集團遵循長,「在決策會議桌上若沒有席次」,會影響到GRC的績效。因此,要設置適當的長字輩層級主管與職責授權。
基本的原則是,在高階管理層有代表能夠發出「風險之聲」這件事非常重要。在某些例子裡,或許會透過專任的風險長或遵循長。也有的會由財務長或營運長領導(這種狀況下則有專任風險長向他們報告,並直接接觸董事會)。此外在同儕層級的互動也會促進參與,並提升互動品質,特別是在像執行委員會這樣的關鍵決策單位,在其中若能設置充分的GRC代表,則會有更好的貢獻。
採用策略的角度,特別是在風險管理方面
GRC職能的日常管理與監督(管理營運風險、確保遵循規則與法規,以及遵守公司治理政策),對於以安全和健全方式經營企業至關重要。但很多機構卻難以用策略性的觀點來輔助日常活動—例如未能透過董事會層級的風險承受度和能力的觀點,採取由上而下的方法進行風險管理。具有前瞻性的公司不只會做到這一點,還會積極採用前瞻性觀察(horizon scanning)、情境分析以及壓力測試以支持其流程。他們會透過風險職能和董事會之間緊密的協作來鍛鍊其「前瞻能力」,並以產業基準和市場專業知識為支撐。
我們的調查顯示,大多數風險管理職能會致力於處理基礎核心工作—如風險承受度、情境分析和壓力測試,然而參與決策等方面仍「有待發展」。但是,對於日常觀察以及向監督者報告的這種回顧式資訊,若加上更前瞻性、由上而下的風險觀點,特別是那些尚未顯現在日常營運中的風險,這樣會創造一個更全面性的角度。因此,平衡的處理這兩種面向至關重要。這會促進GRC在決策和長期規劃上的貢獻。在我們最近的經驗裡,氣候變遷與地緣政治發展,都已促使企業對情境分析與壓力測試進行更多的投資。
優先處理基本問題
有鑒於整體對GRC的看法是:公司「需要改進」,所以領導人應該考慮,是否需要更具變革性的方法。這可能意味要擬定一份明確的路徑圖、落實重點績效管理與變動管理,並發展能力來客觀衡量GRC職能對長期具體價值的貢獻。例如風險職能是否曾協助策略重大事項做出更佳的決定(例如確保收購之價值,或在特殊範疇/時間和風險範圍內推動重大投資案),同時也證明日常風險管理有助於健全且有韌性的營運。我們常會發現,重大事件或醜聞常促使企業採用變革式的方法。然而,具前瞻性的公司不需在這種觸動,就已經展開這個過程。
運用科技大規模輔助人員的專業能力
許多公司表示「需要發展」資訊科技和系統來支援其GRC活動,但最重要的是付諸行動。根據調查,許多GRC承包商也證實其客戶僅使用了可用功能的一小部分,很多公司尚未建立適當的系統與工具。因此加強技術支持顯得更為重要,這包含運用AI及善用組織內以及第三方所能取得的數據資源。
關於運用智慧型AI工具和代理系統,很多公司正處於轉型階段,但我們相信適當時機之後,將會大幅應用到GRC領域。其中一個例子就是生成式AI基礎的政策代理系統,會協助採購人員判斷供應商是否適用制裁政策規則,或提醒他們政策的變動。這些應用案例已經在試行,並將隨時間而成熟。在智慧科技克服人力資源有限的情況下,自動化且基於風險的控制測試,以及更智慧、互動性更高的遵循與風險管理訓練,提供了其他的應用管道。事實上,我們相信,唯有結合人的專業知識和智慧科技,公司才能因應要求越來越高的監理及風險環境。
檢視激勵和獎金結構,以反映風險和遵循優先事項
雖然公司必須優先重視強健的風險與遵循文化,然而人資團隊與董事會薪酬委員會可以明確地將目標納入高層領導的薪酬包裹,來協助公司改善其監督能力。此目標應該是為平衡風險與回報的行為提供激勵,並將薪酬直接連結到整個組織推動風險導向作法的成效,這也會促使高階管理層做決策時考量GRC要素。我們發現,這個方法在與學習性文化結合時最為有效—即鼓勵從錯誤中學習,持續改善公司業務營運和風險管理。採礦和航空業在這方面是領先者。
沒有留言:
張貼留言