18.11.2025 14.11.2025 09.11.2025 16.10.2025 09.10.2025 29.09.2025 18.09.2025 01.09.2025 29.08.2025 15.08.2025 11.08.2025 01.08.2025 25.07.2025 03.02.2025 28.10.2024 24.05.2024 12.09.2023 22.09.2022 30.07.2015

Governance, Risk, and Compliance (GRC) vs интегрированные системы менеджмента (ИСМ). Что сегодня круче?

Governance,_Risk,_and_Compliance_GRC_vs_интегрированные_системы.png

А знаете ли вы, что термин GRC широко используется с 2002 года?

Именно в этом году в США был принят закон Сарбейнса-Оксли (SOX), а также британская компания Symbiant выдала SaaS-решение для аудита и управления рисками.

Мы проанализировали «красную книгу» GRC и обратили внимание на сходство концепций с ИСМ, которая, как правило, включает ISO 9001:2015, ISO 14001:2015, ISO 45001:2018 (системы менеджмента: качества, экологии, охраны труда, промышленной безопасности).

Результат нашего анализа концепций находит подтверждение и в зарубежных источниках.

McKinsey подтверждает ограниченность GRC и указывает на необходимость интеграции.

В своей статье «Корпоративное управление, риски и комплаенс (GRC): новый взгляд на лучшие практики», опубликованной в мае 2025 года, McKinsey & Company дает оценку распространённых недостатков современных функций корпоративного управления, рисков и комплаенса.

Основываясь на данных опроса почти 200 руководителей компаний, статья выявляет сохраняющуюся неэффективность по всем трём направлениям GRC и выделяет пять обязательных требований для их реформы.

McKinsey прямо не говорит, хотя явно намекает, что сама модель GRC устарела.

Эти выводы перекликаются с тем, что многие специалисты по управлению рисками давно поняли: устаревшие модели GRC больше не подходят.

Ниже мы рассмотрим ключевые выводы из отчета и объясним, как они указывают на интегрированное управление рисками (IRM), как на перспективную альтернативу GRC.

Выводы McKinsey по GRC: признаки несостоятельности модели.

В статье McKinsey раскрываются пять системных недостатков, которые отражают устаревшие подходы GRC:

1. Отсутствие стратегической интеграции

Большинство организаций продолжают управлять GRC посредством разрозненной системы подчинения и отчетности. Управление рисками часто находится в ведении финансового директора, комплаенс - юриста, а совет директоров участвует лишь эпизодически.

Такая структура отодвигает риски за границы стратегических решений.
IRM интегрирует эти области и переводит управление рисками в разряд ключевых функций руководства.

2. Недостаточное использование технологий

42% компаний заявляют, что их системы GRC «нуждаются в улучшениях». Многие используют лишь малую часть доступных возможностей. Это подчеркивает ключевое ограничение платформ GRC: обещают интеграцию, но часто предоставляют лишь документирование.

Это «иллюзия интеграции», которая позволяют компаниям быть пассивными, а не проактивными.

3. Недооценка роли руководителя по управлению рисками

44% руководителей по управлению рисками находятся на уровне ниже генерального директора более чем на один уровень. 

Что в результате? Риски становятся операционной, а не стратегической функцией. 

IRM меняет эту ситуацию, внедряя лидерство в управлении рисками на уровне высшего руководства, и согласуя эту функцию с перспективными целями эффективности.

4. Слабая увязка с системой мотивации

68% респондентов отмечают, что их организации не связывают вознаграждение руководителей с культурой комплаенс иили этическими показателями.

IRM-фреймворки продвигают основанную на рисках модель эффективности, которая связана со стратегией, метриками и отчетностью.

5. Неспособность перейти от тактики к стратегии

McKinsey отмечает широко распространенные пробелы в таких инструментах прогнозирования, как сценарное планирование, стресс-тестирование и непрерывный анализ рисков (сканирование горизонтов).

Это фундаментальные элементы зрелости IRM, но в значительной степени отсутствуют в моделях GRC, которые опираются на длительные пересмотры рисков.

Как IRM отвечает на призыв McKinsey к трансформации.

Хотя в статье McKinsey термин «интегрированное управление рисками» не используется, пять её обязательных требований тесно связаны с основными принципами IRM:

 

Недостатки и требования McKinsey к GRC:

1.     Вовлеченность высшего руководства

IRM: IRM встраивает ответственность за риски в обсуждения стратегии, требуя ответственности на уровне высшего руководства и отчетности на уровне совета директоров по всем областям риска.

2.     Принять стратегический подход

IRM: Платформы IRM построены на основе общекорпоративных схем готовности к риску с динамическими связями с ключевыми показателями эффективности, планированием сценариев и стратегиями устойчивости бизнеса.

3.     Исправить фундаментальные основы

IRM: IRM выходит за рамки пассивного контроля GRC, связывая основополагающие элементы политики, риски, средства контроля, инциденты с данными о производительности для обеспечения возможности прогнозировать.

4.     Применить технологии + ИИ

IRM: IRM развивается в сторону автономных возможностей, используя агентов ИИ для непрерывного контрольного тестирования, мониторинга рисков и стороннего оценивания рисков — функций, которые часто разрозненны или отсутствуют в устаревших платформах GRC.

5.     Пересмотреть мотивацию

IRM: IRM способствует формированию культуры принятия решений с учетом рисков, привязывая показатели эффективности руководства к пороговым значениям производительности и риска, особенно в распределении капитала и инициатив по трансформации.

Стратегические последствия: GRC как устаревшая парадигма

Несмотря на нейтральный тон, статья McKinsey по сути является критикой операционной модели GRC.

 

В ней документально подтверждается неспособность GRC превратиться в стратегическую дисциплину, несмотря на продолжающийся рост нормативных требований и сложности организации.

 

Наиболее явным подтверждением ценности IRM является акцент в статье на интеграцию, как на недостающих компонентах:

· интеграция между корпоративным управлением и операционной деятельностью;

· интеграция между стратегией и склонностью к риску;

· интеграция технологий и человеческого опыта;

· интеграция осведомленности о рисках с мотивацией.

Это не просто улучшения GRC. Это фундаментальные изменения в операционной модели, для поддержки которой и предназначена система IRM.

 

Заключение.

Статья McKinsey не является усовершенствованием GRC, а подтверждает несостоятельность концепции GRC.

Пять обязательных требований, изложенных McKinsey, — это не разрозненные решения, а сигналы о том, что традиционная модель GRC достигла своего предела.

Будущее принадлежит организациям, которые внедряют интегрированное управление рисками: модель, которая объединяет контроль рисков со стратегией, использует аналитику в режиме реального времени и дает руководителям возможность действовать до наступления риска.

 

Среда рисков изменилась. Система управления тоже должна измениться.

 

 

Источник:

McKinsey & Company. «Управление, риски и соответствие требованиям: новый взгляд на передовой опыт». 9 мая 2025 г.

Орион «Ори» Веллингтон — ведущий редактор журналов The RiskTech Journal и The RTJ Bridge

 

 


Можно ли утверждать, что GRC безнадежно устарел, а ИСМ является полной его заменой?

 

В фильме «Москва слезам не верит» есть цитата о будущем модной на тот момент технологии: "Со временем телевидение перевернет жизнь человечества: ничего не будет – ни театра, ни кино, ни книг, ни газет – все заменит телевидение". 

Фразе полвека назад и тогда многие в это верили, тем не менее, сегодня есть и театры, и кино, и газеты, и книги. 

 

За 20 лет GRC занял свою рыночную нишу.

Слабые стороны GRC многим уже известны, и не даром вездесущие McKinsey пишут о них, и предлагают свои новые модели.

На наш взгляд все эти концепции не что-то новое, а являются развитием ИСМ, включающие в себя риски и комплаенс.

АЛЕЕ СОФТВЕР с 2007 года автоматизирует работу с рисками и комплаенс и мы готовы продемонстрировать промышленный цифровой продукт – КИСМ.

 

Вы уже планируете автоматизацию ИСМ, работу с рисками и комплаенс?

Если вы находитесь в поиске решения, вам необходимо в первую очередь оценить готовность Организации, для этого нужен документ – модель зрелости ИСМ.

 

Он поможет определиться с текущим уровнем технологий вашей Организации и понять, что вам предстоит сделать в ближайшее время.

Запросить документ, узнать больше и заказать демонстрацию функциональности системы КИСМ вы можете, написав Егору Рюмину: eryumin@alee.ru