GRC in Banks


GRC which stands for Governance, Risk & Compliance is a new way of setting up integrated internal controls mechanism in Banks which would aid as facilitator in building framework for better risk management.


Today, Banks are faced with varied Risks such 
Compliance Risk, Operational Risk, Financial Reporting 
Risk, Reputational Risk etc. The question which arises is 
how to manage and mitigate these risks. Is there any 
centralized and integrated framework which help central 
monitoring as also helps from cost effectiveness 
perspective? If these are motives, then I would suggest 
GRC framework as an answer in establishing strong risk 
and control framework. 
The objectives of managing Compliance Risk is to 
achieve better regulatory compliance, likewise, for 
Operational Risk Basel compliance is the benchmark. For 
Finance, internal control over financial reporting in the 
form of SOx Compliance is the end objectives. These 
objectives can be achieved if GRC is implemented with 
documenting the following: 
1.Documenting process followed at the Bank wide level 
2.Documenting Risks at the Bank 
3.Documenting controls, controls can be common as well 
to mitigate multiple risks 
4.Preparing a mapping of risks and controls with 
processes. If one can aim to map products then that 
would be great. 
5.Doing a risk assessment exercise. 
6.Finally, preparing a dashboard for management on the 
overall performance of various risk. 
The pertinent question which arises while implementing 
GRC is how do we achieve uniformity of objectives and 
cost effectiveness. The simple answer to these questions 
is enumerated as below: 
Risks such as Compliance, Operational, Financial 
Reporting, Reputation etc. may be of unique nature. 
However, there can be common or unique control which 
would be mitigating these risks. Hence, the use of 
common risk library would facilitate Banks in reducing 
the audit fatigue. 
All the repository of risks at bank wide level would be 
available at one place. 
Data to top management in the form of MI or dashboard 
can be easily accessible. 
Feeds can be provided to Audit for Internet Audit 
Thematic reviews can be done as slicing and dicing of 
data in a GRC setup can be done smoothly. 
Thus, there are many positives of implementing a GRC 
framework which definitely requires Bank’s management 
sponsorship so that teams can delicately work for 
common goal and the project can be implemented in a 
time bound manner. 
Recently, Banks are faced with penalties from RBI on 
account of lapse internal control mechanism. In order to 
avoid such instances, GRC can come handy. With 
in-depth analysis of processes and risks and controls 
mapping the changes of control gaps are mitigated which 
results into changes of no failure situation.  
The next big question while implementing GRC, whether 
big investment and support of knowledge and 
technological vendor would be required. The answer is 
yes, to certain extent. With vast banking experience an 
in-house team can be setup keeping the clear 
expectations of the management and with the internal 
team, best technological vendor support can be sought 
for providing the off the shelf GRC module for suiting the 
immediate need. 
Lastly, in journey of GRC implementation, the following 
aspects should be kept in mind, which comes to my mind 
basis prior experience: 
1.Tone should be set at the top my management. 
Management sponsorship is a must. 
2.Dedicated project review team to be set up for timely 
3.Specialised team from each workstream should be 
4.Timelines to be tracked rigorously. 
How Ananta can help? 
Ananta Offers comprehensive advisory services for Incorporation, Acquisition and 
Compliances for NBFC. Ananta has been co-founded by team of experts with extensive 
experience with Banks and NBFCs. Ananta can help is setting up complete regulatory 
compliance program for your fintech, NBFCs, P2P, AA and PA/PGs. 
PS. The content of the article is written based on the professional  & industry experience. 
Views expressed by the author are his personal views and doesn’t represent views of his 
present or previous employers.