2.4 优化能力_有原则绩效之路：GRC理论与实践初探-QQ阅读男生都市网

上QQ阅读APP看书，第一时间看更新

2.4 优化能力

2.4.1 优化能力概述

“优化”能力是指开展一系列活动，监测管控机制执行的有效性，并不断优化管控机制的设计，使其与企业目标保持对齐。

为实现“有原则的绩效”，企业必须监测、衡量、改进和鉴证既定活动与控制的表现，确保其得到切实运用且运作得当，有利于达成目标。内外部环境的变化可能会改变回报、风险和合规的固有水平和剩余水平，使当前的活动与控制失去作用。当执行有效性不佳或环境变化过大时，为达成目标，企业必须重新根据决策标准定义可接受的活动与控制，必要时可能还要重新考虑和改进自身目标及策略。

对执行这一关键检查活动所需的各类监测活动与控制，各企业如何进行组合和分层，主要取决于企业已明确的机遇、挑战和要求，以及基于这些因素对企业的重要程度的评估和考量。

支持这一步骤的一些关键监测活动与控制基本上适用于所有企业，其中包括：

● 监测所有既定活动与控制的表现。

● 向治理层鉴证各活动与控制设计得当，执行有效且利于目标达成。

● 提供反馈闭环，对经验教训进行评估。

● 必要时，改进既定活动与控制的设计有效性和执行有效性。

“优化”能力包括监测、鉴证、改进三个要素。

2.4.2 优化能力的组成要素

1．监测

“监测”要素是指通过监测定期评估能力的表现，确保其设计和执行既有效又高效，且对变化响应及时。

● 定期评估能力规划——制定时间表，根据企业目标、机会、威胁、要求和环境变化，对能力规划进行定期评估。

● 确定监测信息——确定运用何种信息来评估风险优化活动或GRC能力的整体表现。

● 执行监测活动——执行监测活动，以便对能力表现进行评估。

● 分析并报告监测结果——分析监测活动的结果，明确不足和机遇，以便进行系统性改进。

2．鉴证

“鉴证”要素是指向管理层、治理层和其他利益相关者鉴证GRC能力具备可靠性、有效性、高效性和响应性。

● 规划鉴证评估工作——为了向有关利益相关者提供其所期望的鉴证水平，需要明确鉴证评估的范围、程序和标准。

● 执行鉴证评估工作——执行鉴证程序，根据标准评估其结果，给出相关建议，并报告结果和结论。

3．改进

“改进”要素是指审视通过监测、定期评估、鉴证以及发现性活动与控制中获得的信息，发现机会改进能力的机会。

● 制订改进计划——制订有重点的计划，用于实施能力改进工作。

● 实施改进措施——实施旨在改进能力的具体行动计划和措施。

2.4.3 优化能力的建设过程

为了达成“有原则的绩效”，企业必须针对已经建立的GRC活动与控制，开展并监督鉴证活动，确保这些GRC活动与控制被采用且正常运转，以实现企业目标。内外部环境的变化可能要求企业改变GRC能力规划，或者重新考虑战略甚至调整企业目标。那么如何才能不断提升GRC能力呢？

1．监测已经定义的活动与控制

每一个企业都应该监测并评估GRC流程、技术和组织架构，确保它们能够按预期运转，以降低风险，实现既定目标。对执行这一关键检查活动所需的各类监测活动与控制，各企业如何进行组合和分层，主要取决于企业已明确的机会、威胁和要求，及其对企业的重要程度如何，如图2.15所示。

图2.15 监测已经定义的活动与控制示意图

关键步骤：

(1) 制定一个时间表，根据企业目标、机会、威胁、要求和商业环境变化，对能力规划进行定期评估。

(2) 识别通过哪些信息可以进行能力运行情况的评估。

(3) 开展有助于对能力运行情况进行评估的监测活动，包括在关键环节上定义的监测活动，连续监测是一种比较好的评估方式。

(4) 评估监测活动的结果，识别薄弱环节和机会，以便进行系统性改进。

2．为治理机构和管理层提供鉴证

企业在不同的时期和不同的目标之下，鉴证水平存在一定的差异，但是无论在什么情况下，能力必须通过评估，以证实其是有效的、高效的并且是响应变化的。具有专项经验的独立鉴证人员，使用专业标准，能够提供较高水准的鉴证，如图2.16所示。

图2.16 为治理机构和管理层提供鉴证示意图

关键步骤：

(1) 为了给相关股东提供所期望的保障水平，需要先明确范围、过程和标准。

(2) 使用一套基于风险的评估方法，并聚焦于达成目标的能力，同时与决策标准一致，这个决策标准是指采取管控措施后，回报、风险和合规的剩余水平是可接受的。

(3) 执行评估程序，根据标准产生评估结果，提出相关建议，然后报告结果和结论。

(4) 执行跟踪程序，确保相关建议得到充分执行，重新评估以前的结论和达到的保障水平。

3．提升GRC能力

通过研究监测结果和鉴证报告中的信息，管理层能够从中发现提升GRC能力的机会。当经营效益差，或者环境变化显著时，企业必须重新设计并定义可接受的活动与控制，且与既定的决策标准保持一致，以达成企业的目标。持续的系统化改进是成熟和高绩效GRC能力的标志，如图2.17所示。

图2.17 提升GRC能力示意图

关键步骤：

(1) 研究监测和鉴证信息，从中发现提升GRC能力的机会。

(2) 制订一份能力提升计划，并按优先次序执行提升行动，其中也包括变更管理，以确保人们知晓并接受这些变更。

(3) 允许创新和采用行之有效的技术。

(4) 将一体化的反馈闭环和后评价(吸取经验教训、根因分析等)活动纳入企业流程，确保需要提升的领域被识别并得以解决。

4．综合分析

对在监测和鉴证过程中收集到的信息和通过调查发现的问题，进行整理、分析，并排列行动优先次序。一个成熟的、连续的分析过程应该提供一套完整的回溯视图，能够反映GRC能力的绩效水平；能够提供必要的洞见，用以判断是哪些深层原因导致出现需要进行补救的薄弱环节；能够提供充分的远见，对突显的机会或威胁进行响应，也包括重新考虑企业的目标和战略，如图2.18所示。

图2.18 综合分析示意图

关键步骤：

(1) 要想分析整个企业关键GRC能力的绩效情况，还要确定用于分析的信息的格式、内容和来源。

(2) 使用高级分析技术，跨企业整合信息和调查结果，达到GRC智能的级别。

(3) 基于企业所理解的商业环境、GRC活动对齐程度、自身的活动与控制绩效水平，评估对既定的商业模式和未来趋势的影响。

(4) 考虑自上而下和自下而上的改变，这些改变有助于提升企业的有原则绩效，有助于最大限度地达到企业目标和企业战略的一致性，有助于支撑GRC能力。