А знаете ли вы, что термин GRC широко используется с 2002 года?
Именно в этом году в США был принят закон Сарбейнса-Оксли (SOX), а также британская компания Symbiant выдала SaaS-решение для аудита и управления рисками.
Мы проанализировали «красную книгу» GRC и обратили внимание на сходство концепций с ИСМ, которая, как правило, включает ISO 9001:2015, ISO 14001:2015, ISO 45001:2018 (системы менеджмента: качества, экологии, охраны труда, промышленной безопасности).
Результат нашего анализа концепций находит подтверждение и в зарубежных источниках.
McKinsey подтверждает ограниченность GRC и указывает на необходимость интеграции.
В своей статье «Корпоративное управление, риски и комплаенс (GRC): новый взгляд на лучшие практики», опубликованной в мае 2025 года, McKinsey & Company дает оценку распространённых недостатков современных функций корпоративного управления, рисков и комплаенса.
Основываясь на данных опроса почти 200 руководителей компаний, статья выявляет сохраняющуюся неэффективность по всем трём направлениям GRC и выделяет пять обязательных требований для их реформы.
McKinsey прямо не говорит, хотя явно намекает, что сама модель GRC устарела.
Эти выводы перекликаются с тем, что многие специалисты по управлению рисками давно поняли: устаревшие модели GRC больше не подходят.
Ниже мы рассмотрим ключевые выводы из отчета и объясним, как они указывают на интегрированное управление рисками (IRM), как на перспективную альтернативу GRC.
Выводы McKinsey по GRC: признаки несостоятельности модели.
В статье McKinsey раскрываются пять системных недостатков, которые отражают устаревшие подходы GRC:
1. Отсутствие стратегической интеграции
Большинство организаций продолжают управлять GRC посредством разрозненной системы подчинения и отчетности. Управление рисками часто находится в ведении финансового директора, комплаенс - юриста, а совет директоров участвует лишь эпизодически.
Такая структура отодвигает риски за границы стратегических решений.
IRM интегрирует эти области и переводит управление рисками в разряд ключевых функций руководства.
2. Недостаточное использование технологий
42% компаний заявляют, что их системы GRC «нуждаются в улучшениях». Многие используют лишь малую часть доступных возможностей. Это подчеркивает ключевое ограничение платформ GRC: обещают интеграцию, но часто предоставляют лишь документирование.
Это «иллюзия интеграции», которая позволяют компаниям быть пассивными, а не проактивными.
3. Недооценка роли руководителя по управлению рисками
44% руководителей по управлению рисками находятся на уровне ниже генерального директора более чем на один уровень.
Что в результате? Риски становятся операционной, а не стратегической функцией.
IRM меняет эту ситуацию, внедряя лидерство в управлении рисками на уровне высшего руководства, и согласуя эту функцию с перспективными целями эффективности.
4. Слабая увязка с системой мотивации
68% респондентов отмечают, что их организации не связывают вознаграждение руководителей с культурой комплаенс иили этическими показателями.
IRM-фреймворки продвигают основанную на рисках модель эффективности, которая связана со стратегией, метриками и отчетностью.
5. Неспособность перейти от тактики к стратегии
McKinsey отмечает широко распространенные пробелы в таких инструментах прогнозирования, как сценарное планирование, стресс-тестирование и непрерывный анализ рисков (сканирование горизонтов).
Это фундаментальные элементы зрелости IRM, но в значительной степени отсутствуют в моделях GRC, которые опираются на длительные пересмотры рисков.
Как IRM отвечает на призыв McKinsey к трансформации.
Хотя в статье McKinsey термин «интегрированное управление рисками» не используется, пять её обязательных требований тесно связаны с основными принципами IRM:
Недостатки и требования McKinsey к GRC:
1. Вовлеченность высшего руководства
IRM: IRM встраивает ответственность за риски в обсуждения стратегии, требуя ответственности на уровне высшего руководства и отчетности на уровне совета директоров по всем областям риска.
2. Принять стратегический подход
IRM: Платформы IRM построены на основе общекорпоративных схем готовности к риску с динамическими связями с ключевыми показателями эффективности, планированием сценариев и стратегиями устойчивости бизнеса.
3. Исправить фундаментальные основы
IRM: IRM выходит за рамки пассивного контроля GRC, связывая основополагающие элементы политики, риски, средства контроля, инциденты с данными о производительности для обеспечения возможности прогнозировать.
4. Применить технологии + ИИ
IRM: IRM развивается в сторону автономных возможностей, используя агентов ИИ для непрерывного контрольного тестирования, мониторинга рисков и стороннего оценивания рисков — функций, которые часто разрозненны или отсутствуют в устаревших платформах GRC.
5. Пересмотреть мотивацию
IRM: IRM способствует формированию культуры принятия решений с учетом рисков, привязывая показатели эффективности руководства к пороговым значениям производительности и риска, особенно в распределении капитала и инициатив по трансформации.
Стратегические последствия: GRC как устаревшая парадигма
Несмотря на нейтральный тон, статья McKinsey по сути является критикой операционной модели GRC.
В ней документально подтверждается неспособность GRC превратиться в стратегическую дисциплину, несмотря на продолжающийся рост нормативных требований и сложности организации.
Наиболее явным подтверждением ценности IRM является акцент в статье на интеграцию, как на недостающих компонентах:
· интеграция между корпоративным управлением и операционной деятельностью;
· интеграция между стратегией и склонностью к риску;
· интеграция технологий и человеческого опыта;
· интеграция осведомленности о рисках с мотивацией.
Это не просто улучшения GRC. Это фундаментальные изменения в операционной модели, для поддержки которой и предназначена система IRM.
Заключение.
Статья McKinsey не является усовершенствованием GRC, а подтверждает несостоятельность концепции GRC.
Пять обязательных требований, изложенных McKinsey, — это не разрозненные решения, а сигналы о том, что традиционная модель GRC достигла своего предела.
Будущее принадлежит организациям, которые внедряют интегрированное управление рисками: модель, которая объединяет контроль рисков со стратегией, использует аналитику в режиме реального времени и дает руководителям возможность действовать до наступления риска.
Среда рисков изменилась. Система управления тоже должна измениться.
Источник:
McKinsey & Company. «Управление, риски и соответствие требованиям: новый взгляд на передовой опыт». 9 мая 2025 г.
Орион «Ори» Веллингтон — ведущий редактор журналов The RiskTech Journal и The RTJ Bridge
Можно ли утверждать, что GRC безнадежно устарел, а ИСМ является полной его заменой?
В фильме «Москва слезам не верит» есть цитата о будущем модной на тот момент технологии: "Со временем телевидение перевернет жизнь человечества: ничего не будет – ни театра, ни кино, ни книг, ни газет – все заменит телевидение".
Фразе полвека назад и тогда многие в это верили, тем не менее, сегодня есть и театры, и кино, и газеты, и книги.
За 20 лет GRC занял свою рыночную нишу.
Слабые стороны GRC многим уже известны, и не даром вездесущие McKinsey пишут о них, и предлагают свои новые модели.
На наш взгляд все эти концепции не что-то новое, а являются развитием ИСМ, включающие в себя риски и комплаенс.
АЛЕЕ СОФТВЕР с 2007 года автоматизирует работу с рисками и комплаенс и мы готовы продемонстрировать промышленный цифровой продукт – КИСМ.
Вы уже планируете автоматизацию ИСМ, работу с рисками и комплаенс?
Если вы находитесь в поиске решения, вам необходимо в первую очередь оценить готовность Организации, для этого нужен документ – модель зрелости ИСМ.
Он поможет определиться с текущим уровнем технологий вашей Организации и понять, что вам предстоит сделать в ближайшее время.
Запросить документ, узнать больше и заказать демонстрацию функциональности системы КИСМ вы можете, написав Егору Рюмину: eryumin@alee.ru