2.1 洞察能力

2.1.1 洞察能力概述

“洞察”能力是指了解和分析企业内外部环境、企业文化、主要利益相关者等信息，为企业设定目标、规划战略及制订行动计划提供支持。“洞察”能力包括四大要素，即外部环境、内部环境、企业文化、利益相关者。

了解企业所处的内外部环境和企业文化，是设定企业目标、规划企业战略、确立企业架构首先要迈出的关键一步。企业的存在是为了满足特定的目标，通常外部环境所带来的机会和威胁极大地影响了企业目标的确定，而内部环境和企业文化则常常影响企业选择以何种方式来实现这些目标。

了解和分析内外部环境，对于合理设定企业目标非常关键。由于环境在不断变化，企业应确保对其中的显著变化进行持续、充分的关注。企业还需要意识到，尽管它们可以影响和适应环境，但环境中仍有一些方面超出了它们的掌控能力和适应能力。

由此可见，了解企业环境、企业文化以及不同利益相关者的需求，对建立并维持适合企业自身情况的GRC能力是十分必要的。企业的规模、文化和GRC实施范围(企业级、部门级、项目级)不同，所指代的“环境”要素的具体内容也会有所不同。但无论哪种情况，以下几点都非常重要。

● 了解内外部环境及其变化。

● 认识到环境的变化可能导致企业必须重新思考其目标、战略、风险评估或既定的活动与控制。

● 定义有关公司治理、风险管理、员工和道德行为的企业文化。

● 了解不同利益相关者的诉求。

● 定义并规划与利益相关者的关系。

2.1.2 洞察能力的组成要素

1．外部环境

“外部环境”要素是指企业所处的外部经营环境。

● 分析外部环境——分析外部环境中的影响因素，其中包括：行业因素、市场、技术、社会、法律法规、地缘政治、环境、第三方关系外部机会和威胁。

● 分析外部利益相关者和影响者的需求——确定主要的外部利益相关者和意见领袖，分析他们的需要和要求，并按优先级排序。

● 关注外部环境——不断寻找外部环境中可能对目标或战略构成直接、间接或累积影响的变化。

2．内部环境

“内部环境”要素是指企业所处的内部经营环境。

● 分析内部环境——分析内部环境中的影响因素，其中包括：内部优势和劣势、当前的战略规划、运营计划、组织结构、激励措施、关键流程和资源(人力、财务、流程和技术)、信息化和信息不对称情况。

● 关注内部环境——不断寻找内部环境中可能对目标或战略构成直接、间接或累积影响的变化。

3．企业文化

“企业文化”要素是指了解当前的企业文化，包括领导层如何塑造企业文化、营造公司氛围以及打造关于治理、鉴证、绩效管理、风险和合规的个人心态。

● 分析治理文化——分析现行的公司治理方式方法，包括治理层的参与程度，领导层是否设定了合适的“高层基调”，是否在语言和行动上以身作则，以及如何运用政策规划管理边界，如何设定限度等。

● 分析管理文化——分析当前管理和支持员工的方法，包括薪酬结构和其他激励措施。

● 分析风险文化——分析当前公司氛围和个人心态，了解员工如何看待风险及其对个人工作和企业整体的影响，以及风险管理是否与企业决策和业务运营有效地结合在一起。

● 分析道德文化——分析当前公司氛围(即企业内可观察的形式要素)和个人心态，了解管理层和员工对于企业会期望并支持负责任的行为和诚信行事的信任程度。

● 分析员工文化——分析当前的员工文化，包括员工满意度、忠诚度、更替率、技能发展和参与度。

● 关注文化变化——时刻关注文化中可能对企业目标或战略构成直接、间接或累积影响的变化。

4．利益相关者

“利益相关者”要素是指与利益相关者展开互动，了解他们会对企业产生影响的期望、要求和观点。

● 了解利益相关者——研究并分析各种利益相关者群体内的组织和关键人物，了解他们的关注点，找到与其相处的最佳方式。

● 分析外部利益相关者和影响者的需求——确定主要的外部利益相关者以及意见领袖，分析其需要和要求并排列优先次序。

● 制订利益相关者关系计划——为各主要利益相关者群体制订利益相关者关系计划。

2.1.3 洞察能力的建设过程

企业如果不了解自身所处的内外部业务环境以及其中的关键影响因素，就很难设定合适的目标和战略。同时，企业贯彻执行战略目标、管理不确定性和保持正直诚信的能力也会受到影响，因此，不断监测及分析内外部业务环境及其影响因素对企业而言是至关重要的。洞察能力帮助企业从当前的目标和战略入手，了解内外部环境，洞察影响企业的关键因素。企业可以从以下几个方面建设GRC洞察能力。

1．了解企业外部环境

外部环境将会对企业建立适当的目标、制定合适的战略产生影响。企业应监测并分析外部环境变化，以形成可指导后续行动的信息，并有助于企业形成随需应变的能力，如图2.3所示。

关键步骤：

(1) 将所有的外部信息、第三方关系与公司的目标和战略映射到一个基准商业环境视图中。

(2) 通过分析各外部因素对公司当前目标和战略的潜在影响，设定监测外部环境影响因素的优先级。

(3) 明确信息反馈的路径和触发条件，制定响应流程，并及时识别企业面临的问题与变化，这些问题和变化可能是当前面临的危机，也可能是一定时期内的威胁或机会。

(4) 持续监控和跟踪高优先级的外部环境变化，并根据这些变化调整影响因素的优先次序。

(5) 对外部环境变化迅速做出响应，并根据经验教训优化监测和应对措施。

2．评估企业内部环境

如何“做生意”对企业设定目标、制定策略或形成能力有着重要的影响。企业应了解自身的经营计划和运作流程，明确风险决策对行动的指引和推动作用，并深入地分析企业文化，如图2.4所示。

关键步骤：

(1) 制作一个完整的业务运营视图，包括第三方运营，明确每个部分如何有助于达成目标。

(2) 定义和跟踪那些会影响战略和运营计划实现的活动与控制。

(3) 了解监管基调和领导者的行为模式，以及他们树立的标杆是如何被效仿的。

(4) 提前了解目标、战略和运营方面可能发生的变化。

(5) 明确满足风险与合规要求的能力是如何支撑绩效的。

3．界定影响领域和对应关系

各环境因素的变化可能会有不同的影响以及潜在的累积效应或连锁反应，一定要把每个因素和其可能影响的管理或经营活动进行映射，这样，企业就能及时地将信息提供给正确的人，如图2.5所示。

关键步骤：

(1) 开展关于政策、程序、控制和培训的影响评估。

(2) 确定环境因素对业务、第三方关系、供应链和业务连续性的潜在影响。

(3) 评估多个环境因素的变化可能造成的综合影响或放大作用。

(4) 知悉企业对每种影响都有适当的应对措施，并且确保企业已经做好预案并能够执行。

(5) 评估企业的弹性和抗风险能力。

4．建立优先序列和流程

确保有连续的信息流反映被监测的高级别优先事项的重大变化，这些变化可能是由管理本身也可能是由外部因素导致的。当信息或战略、目标及业务发生新的变化时，要相应地调整优先序列和流程，如图2.6所示。

关键步骤：

(1) 开发多种渠道，确保对会产生重大影响的变化进行快速识别和高效审议。

(2) 在设定优先序列时，确保所有业务和风险，包括第三方，被完全映射到业务与风险的对应关系中。

(3) 建立有效的报告机制，对变化情况进行及时报告，这些变化包括潜在的可能发生的变化、计划内主要要产生的变化、实际发生的变化，还包括在时间维度上纵向的累积影响，以及某个时点上多个变化的综合影响。

(4) 当目标、策略、风险评估、运营或定义的活动和控制被修订或发生变化时，相应的监测活动也应该进行调整。

(5) 确保当出现任何会导致重新考虑目标、战略或策略的影响因素时，都能提供相关的报告。