1.2 GRC体系架构_有原则绩效之路：GRC理论与实践初探-QQ阅读男生历史网

上QQ阅读APP看书，第一时间看更新

1.2 GRC体系架构

本节主要介绍企业GRC管理的体系架构，帮助组织开展GRC管理及实施工作。GRC体系架构可分为三个层次，如图1.9所示。

图1.9 GRC体系架构

● 顶层：GRC目标层，即帮助企业实现“有原则的绩效”。GRC管理落地时首先需要明确整体目标。

● 中层：GRC方法层，即实现GRC目标的原则、框架和过程。企业需明确做事原则，厘清做事清单，划定做事的边界，然后规划做事途径，明确做事步骤。

● 底层：GRC支撑层，包括能力、技术和文化。它们是企业执行层面所需具备的基础要素，是最终达成GRC目标的支撑。

1.2.1 GRC管理目标

美国咨询业领袖多弗·塞德曼多弗·塞德曼是哈佛法学院硕士、加州大学哲学硕士、牛津大学哲学、政治学和经济学学士。他经常应邀出席行业高峰论坛，企业高管培训会和董事会并作主题演讲，其观点被数以百计的媒体引用，比如，《早安美国》、《商业周刊》、《纽约时报》等。在谈及企业可持续发展问题时，曾说：“如果我们总是持续关注企业利润，仅仅询问管理者完成了‘多少’利润，那么我们可能就忽略了另一个更加重要的问题：这些利润是‘如何’完成的？”可见利润不是企业保持基业长青的唯一要素，符合各种原则条件的绩效才是健康发展的压舱石。OCEG认为，GRC所追求的目标“有原则的绩效”正是解决这一问题的良药。

“有原则的绩效”专注于探究如何让企业能够合法地运营并实现经营目标。也就是说，GRC管理能在确保企业绩效的同时关注企业的风险，并使企业履行遵纪守法的义务和承诺；同时GRC管理也可持续保护企业的价值并实现企业的成长。

“有原则的绩效”中的“绩效”两字包含以下三层含义。

● 绩效是一种结果。通常表现为企业财务上的结果及与财务相关的可量化的结果。

● 绩效是一种行为。通常表现为具有一定素质的员工围绕其任职的职位，为卓越地完成所负责的任务，而达到的不同阶段成果以及在实现目标的过程中的行为。

● 绩效是一种考核。通常表现为企业把员工的技能、发展潜力和对价值观的认同表现纳入绩效考核的范围。

“有原则”一词强调的是企业运营行为必须明确强制性边界和自愿性边界，清晰了解遵循这些行为边界的方法；当知道自己正在接近边界时，企业应具有迅速、妥善地做出响应的能力。关于强制性边界和自愿性边界的内涵，具体如下所述。

● 强制性边界是由法律或行业组织明确规定的、企业必须严格遵守的规范和标准，也是企业开展经营活动需要遵守的最低要求，包括规范企业运营的相关法律、法规和行业规定等。

● 自愿性边界则是由企业自愿为自己设置的行动边界，以更好地体现企业价值观并兑现其社会承诺，包括：遵循特定风险管理框架的承诺(例如COSO ERM)、遵循风险评级机构关于如何面对风险的承诺(例如标准普尔)、遵循与非强制行业最佳实践对标的承诺、遵循企业承担社会责任和可持续发展的承诺、遵循对消费者和合作伙伴的承诺等。

综上所述，“有原则的绩效”是指企业通过设立清晰明确的目标，设计适合的商业运作模式，综合运用战略、人员、流程、技术等企业资源，通过对不确定事件的管理，在保证不跨过行为边界的情况下进行商业运作，在克服障碍和抓住机遇之间灵活应对，在没有采用违背正直诚信的手段的前提下最终达成企业的各类目标(战略目标、运营目标、客户目标、流程目标、合规目标等)。简而言之，“有原则的绩效”就是在管理不确定性和保持正直诚信的同时可靠地达成目标，如图1.10所示。

图1.10 GRC目标——有原则的绩效

1.2.2 GRC管理原则

实现“有原则的绩效”是一个企业全员参与的过程，涉及人员广泛，管理领域众多，如何在纷繁复杂的情况下找到有效的工作方法，首先应该明确GRC整体工作的原则，用以指引具体的工作方向。

GRC管理需遵循确保目标达成、管理不确定性、秉持正直诚信、保证稳健可靠4项基本原则，如图1.11所示。

图1.11 GRC管理原则

1．原则一：确保目标达成

● 指向性——首先要设定具有指向性的目标，可以清晰描述目标的范围和边界；

● 可衡量性——为达成目标制订实施计划，整个实施过程具有可衡量性；

● 可视性——整个实施过程的衡量结果可以实时呈现给利益相关者。

2．原则二：管理不确定性

● 全面性——全面考虑未来可能影响企业战略和运作的各种风险；

● 主动性——以先行主动的方式控制风险，使风险对利润的影响最小化；

● 严谨性——充分思考各种可能会发生的风险，深思熟虑，严格对待。

3．原则三：秉持正直诚信

● 强制性——遵循法律法规等强制性要求，做事不触犯强制性边界；

● 自愿性——遵循企业、利益相关者自主设定的要求，做事不触犯自愿性边界；

● 务实性——企业如果不能遵从承诺，则需要澄清并承担违约后果。

4．原则四：保证稳健可靠

● 纪律性——确保企业有合理的治理、管理和保障措施；

● 一致性——企业目标是一致的、现实的、可实现的；

● 精确性——企业信息精确、真实、可靠(非偏差性和偏见性信息)。绩效是稳定的、持续的，达成目标是可预计的。

1.2.3 GRC实施框架

当企业明确了GRC管理工作的整体原则后，如何开展具体的GRC管理工作、GRC管理工作与其他管理体系的关系等问题将困扰企业管理者，而GRC实施框架针对这些问题作出了解答。

GRC实施框架的有效性是GRC管理成功的关键。实施框架不是要求企业新建一套管理系统，而是在GRC管理思想的指引下协助企业整合现有的相关管理体系，明确GRC整体工作目标，帮助企业实现绩效目标。因此，企业可以借鉴框架中的相关内容，并与自身情况相结合，制定自己企业的GRC实施框架。本节将分别描述框架中GRC管理的各个组成部分，如图1.12所示。

图1.12 GRC实施框架

1．授权与承诺

GRC的引进和持续有效实施，需要企业高层的持续认同和强有力支持。高层需要制定GRC管理政策，认同GRC管理目标，给予充分的授权与承诺；高层需要确保为GRC实施分配必要的资源；高层需要协调利益冲突，从而确保企业各级成员对GRC管理形成一致的认识；高层需要确保GRC目标与组织目标和战略相一致，在组织内的适当层次分配GRC管理责任和职责，保障GRC管理稳步推进实施；高层需要确保GRC管理框架与实际管理工作的融合。

2．框架设计

框架设计包括评估企业的内外部环境，明确GRC管理的基本原理，制定GRC管理政策，给予GRC管理执行者必需的资源，明确GRC管理责权，建立内外部沟通和报告机制，梳理将GRC管理实施嵌入企业现有流程的改进计划等内容。

框架设计一方面用于指导企业整体GRC管理的落地，另一方面用于指导GRC实施过程中对齐循环(即大循环)两个环节的工作，即目标、策略环节和组织、政策环节。

3．实施管理

企业完成GRC框架设计后，应开始考虑如何实施GRC的相关工作，即进入GRC实施管理的阶段。

GRC实施过程可分为对齐循环和运营循环两个阶段。当企业的内外部环境发生重大变化、业务模式发生变革、企业战略发生重大调整时，企业需要完成对齐循环(即大循环)的全部流程；当企业或部门没有发生上述重大变化时，只需要完成运营循环(即小循环)的相关工作即可。

本书后面章节中所提到的大循环即为GRC实施过程中的对齐循环，小循环即为GRC实施过程中的运营循环。本书下一小节将对对齐循环和运营循环进行详细介绍。

4．监测与评审

为确保GRC管理的有效性，企业需要开展定期检查和持续监控，实时了解GRC管理框架的适应性。企业需要结合内外部环境，对框架的适应性进行分析和评估，用以确保GRC管理框架的有效性。

5．持续改进

根据监测与评审报告，决策是否优化GRC框架设计、是否调整GRC管理计划以促进GRC的顺利执行。至此形成管理闭环，可实现GRC管理的持续改进。

1.2.4 GRC实施过程

GRC实施过程(如图1.13所示)是GRC整体工作中覆盖面最广、涉及人员最多的管理过程。它根据GRC框架设计，借助企业良好的GRC文化与能力，将GRC工作与企业整体管理工作相融合，真正将GRC工作落地。

图1.13 GRC实施过程

GRC实施过程可分为对齐循环和运营循环，其中对齐循环即大循环包括以下7个节点。

● 目标、策略；

● 组织、政策；

● 计划、流程；

● 预防、保护、预案；

● 监测、评估；

● 响应、改进；

● 考核、报告。

运营循环即小循环包括以下5个节点。

● 计划、流程；

● 预防、保护、预案；

● 监测、评估；

● 响应、改进；

● 考核、报告。

当企业的内外部环境发生重大变化、业务模式发生变革、企业战略发生重大调整时，企业需要完成对齐循环(即大循环)的全部流程；当企业或部门没有发生上述重大变化时，只需要完成运营循环(即小循环)的相关工作即可。各环节的核心任务如下所述。

1．目标、策略

根据内外部环境的变化，结合企业自身特征，制定企业整体GRC管理目标，然后用平衡计分卡管理理论分解战略，绘制企业自身的战略地图、平衡计分卡及行动计划表。

2．组织、政策

根据战略和目标优化组织结构，建立清晰的分权机制和明确的监督机制。

3．计划、流程

根据战略和目标制定清晰描述行为边界的计划，根据内外部环境及企业自身情况选择商业模式，评估风险，进行可执行性分析，设定实施策略和步骤。

4．预防、保护、预案

对员工进行教育培训，使员工了解战略、目标、计划、流程等信息，明确自身的行为准则，明确执行阶段可能遇到的风险及应对措施预案。控制执行过程，保护企业价值，规避或减少风险损失。

5．监测、评估

对执行过程的关键节点进行连续监测，包括控制保障与审计、热线和求助专线报告；同时进行定期评估，包括有效性评估、项目绩效评估和评估规划与报告。

6．响应、改进

发现问题后，要及时披露并纠正问题，在问题管理方面要提升响应速度。面对专有风险，要做特例调查，防患于未然。惩罚与披露、纠正与改进是主要的执行手段。

7．考核、报告

设定考核报告，有功则赏，有过则罚。将绩效考核深入到部门和个人，制定清晰的考核报告、激励机制，有利于人才的稳定。

1.2.5 GRC体系基石

能力、技术和文化是GRC体系的基石，基石稳固才能保障GRC管理体系的顺利实施和取得卓越成效。

1．GRC能力

GRC能力模型由洞察、对齐、执行、优化四大能力组成，四大能力持续循环改进，构建成一个由各种能力相整合的“有机体”。企业要想实现“有原则的绩效”，需要具有一套整合能力。对于一些企业而言，可以在保持现有能力的基础上，再加以整合来实现；而对于另一些企业而言，则需要发展部分或全部的新能力才能推行GRC。不论企业属于哪种情况，都需要为实现“有原则的绩效”的目标分配必要的资源以支持整合的GRC能力，从而支撑企业GRC框架的设计和实施，帮助企业实现“有原则的绩效”的目标。关于GRC四大能力的深入探讨见第2章详述。

2．GRC技术

当今时代，信息技术助力管理实践已经成为共识。为了推动信息技术与GRC管理理念的结合，本书总结了具有适用性和典型性的技术及解决方案以满足企业GRC管理需求。GRC相关的解决方案主要包括：绩效管理、风险管理、合规管理、内控管理、流程管理和IT治理等，关于GRC解决方案的内容见第7章详述。GRC相关的技术主要包括：企业架构技术、企业内容管理、工作流引擎、协同管理、面向服务架构SOA、商业智能等，关于GRC技术的相关内容见第8章详述。

3．GRC文化

GRC文化是指企业应注重建立具有GRC管理意识的企业文化，以促进企业GRC管理水平、员工GRC管理素质的提升，从而保障企业GRC管理目标的实现。GRC倡导的文化包括道德文化、风险意识文化、公司治理文化和劳动力文化。GRC文化建设应融入企业文化建设全过程中。大力培育和塑造良好的GRC管理文化，树立正确的GRC管理理念，可增强员工的GRC管理意识，有利于员工将GRC管理意识转化为共同认识和自觉行动，从而能促进企业建立系统、规范、高效的GRC管理机制。