3.2 GRC成熟度模型

对于企业而言，GRC能力的提高并不是一蹴而就的，而是一个不断改进和优化的过程。根据GRC能力在不同阶段所呈现的特征差异以及给企业带来的阶段性好处，我们设计了GRC成熟度模型。企业可以利用这个模型对自身的GRC管理状况进行评估，了解现状并明确未来希望达到的成熟度阶段，找到现状与期望之间的差距，进而制订和实施提高企业GRC能力的改进计划。

3.2.1 成熟度模型的介绍

1．成熟度模型的阶段特征

在企业推行GRC的实践过程中，随着GRC能力的逐渐形成，不同的企业会表现出一些相似的特征，我们对这些特征进行总结并结合OCEG的部分研究成果，将GRC综合能力成熟度划分为起步、被动、高效、整合和主动5个阶段，如图3.2所示。

在起步阶段，企业尚未意识到可能存在的风险和危机，对于临时性的突发事件，企业只能在事件发生之后采取一些紧急措施进行补救，企业处于完全不可控的环境中。每次应对一个突发性事件，企业都需要花费大量人力、物力去消除该事件对组织的冲击，因此在起步阶段，一个偶然事件对企业的冲击可能是致命的。

在被动阶段，企业开始意识到在一些领域存在风险和危机，在每次应对风险和危机时企业都积累了一定的经验，基于此形成了一些可重复使用的处理方法，在类似事件发生时能按照某些规律进行处理以减弱企业受到的冲击。但这些方法并没有形成正式的制度和流程，对直接责任人的个人经验要求很高，一旦更换直接责任人，企业可能需要花费较高的成本重新开始。在这个阶段，企业能够按照习惯处理一些常见的风险和危机，但应对方式仍然只能是在事件发生后被动地进行补救。

在高效阶段，企业几乎能够意识到业务领域中全部的风险和危机，并能形成完整的、正式的制度来应对。在这个阶段，参与GRC活动的角色和岗位分工都很明确，在风险事件发生时能够按照规范的流程迅速响应和行动，将企业受到的冲击降到最低。由于企业的应对方式已经规范化和程序化，因此能够有效降低在处理风险和合规问题上的成本。

在整合阶段，企业不仅理解了各业务领域间的风险和危机的相互联系，还明确了各项GRC活动与企业目标间的关系，能够在多项GRC活动中区分优先级，因此企业能够根据内外部环境的变化及时对制度、流程和资源进行整体协调，优先处理对企业而言最关键的事情。

在主动阶段，企业建立了完善的内外部监测机制来探测潜在的威胁和机会，信息的沟通和传递顺畅，能够在危机发生前就感知到威胁，并主动采取措施消除实现目标过程中的障碍，避免可能发生的损失；也能够提前感知即将到来的机会，主动采取行动，让企业绩效实现最大化。

2．成熟度模型的评价要素

成熟度模型综合地概括了GRC能力发展到不同阶段时企业所呈现的主要特征。下面，本书将从战略与计划、实施程序与方法、边界与合规要求、资源配置与成本、组织文化与职责以及信息沟通与技术6个维度，进一步介绍GRC各成熟度阶段的详细特征，企业可以将这些特征作为GRC成熟度评估的参考标准，也可以结合自身情况从这6个维度设置合适的指标进行自我评价，如表3.1所示。

1)“战略与计划”维度成熟度参考标准

全面的GRC战略与计划不仅有助于实现企业目标，而且能够为各个层面的战略规划者提供有关威胁和机会的及时、可靠、有用的信息。完善的GRC战略计划是GRC洞察能力的重要体现。

● 起步阶段：企业没有明确的使命、愿景和目标陈述，尚未制订GRC战略计划。

● 被动阶段：有明确的组织使命、愿景和目标陈述，有碎片化的GRC战略计划，但GRC战略与企业战略以及GRC战略与GRC行动计划均未协调。

● 高效阶段：已将碎片化的GRC战略与行动计划协调起来。

● 整合阶段：制定了短期的全面GRC战略，并制订了相应的短期整合计划，能够提供GRC战略计划和GRC整合计划的相关文件或类似材料。

● 主动阶段：制定了长期的全面GRC战略，并制订了相应的长期整合计划，能够提供全面的GRC战略计划和GRC整合计划的相关文件。

2)“实施程序与方法”维度成熟度参考标准

GRC强调采用融合的方法和一致的信息进行管理，处于较高成熟度阶段的企业，能够建立预防性、发现性和响应性等多种活动与控制，帮助企业做好准备以应对各种风险和要求。实用、高效和统一的实施程序与方法是GRC对齐、执行和优化能力的重要体现。

● 起步阶段：没有统一的、规范的实施程序与方法的制度性文件，多采用事后的、临时性的处理方法。

● 被动阶段：在容易发生风险和危机的领域已经形成专项处理方法，但尚未形成统一规定，在实施过程中大多依赖员工的个人工作经验。在此阶段，经验丰富的员工对于企业的价值是巨大的。

● 高效阶段：部分领域已经形成了有关实施程序与方法的正式制度和标准化工作流程，且在不同项目间能够有效配合。

● 整合阶段：建立了完整的制度和工作标准，有完整的GRC角色和岗位划分说明，能够清晰描述具体角色和岗位的工作范围和职权要求，并能够根据外部环境的变化进行灵活调整。

● 主动阶段：制订了纠正性控制活动计划，能够对制度和工作标准的有效性进行定期检验，发现存在的缺陷和不足，并持续优化。

3)“边界与合规要求”维度成熟度参考标准

GRC帮助企业实现“有原则的绩效”就是要保证企业在强制性边界和自愿性边界之内实现经营目标，边界与合规要求是GRC能力的综合体现。

● 起步阶段：不了解相关法律规定和行业准则，常常因为违背既定规则而遭受损失。

● 被动阶段：了解相关法律规定和行业准则，并在某些关键领域开始有意识地进行合规审查，避免企业违背强制性边界。

● 高效阶段：熟悉相关法律规定和行业准则，梳理出所有风险领域，形成合规审查的标准流程，并开始发布企业自愿承担的责任和行动边界。

● 整合阶段：充分了解强制性边界和自愿性边界，即使在边界和合规要求发生改变的情况下，也能够快速调动并整合企业资源灵活地应对这些要求。

● 主动阶段：有能力利用企业的影响力积极地影响行业标准甚至是法律法规的制定，能够周期性地了解潜在边界的变化。

4)“资源配置与成本”维度成熟度参考标准

成熟的GRC管理给企业带来的最直观的收益体现在资源配置与成本方面，GRC能够合理分配人力和物质资源，在创造价值的同时最大限度地降低成本。资源配置与成本是GRC对齐和执行能力的重要体现。

● 起步阶段：不了解开展GRC活动需要投入哪些成本，也没有为此制定专门的预算。

● 被动阶段：了解自身开展GRC时需要投入的成本以及可能获得的收益，在容易发生风险和危机的领域有适当的资源保障。

● 高效阶段：能够均衡地考虑GRC活动的成本与收益，可以以合理的成本和投入获得适当的合规与风险保障。

● 整合阶段：能够区分不同GRC活动的优先级，形成风险优先矩阵和风险/控制矩阵，将有限的资源用在成效最显著的地方，保证资源配置适当。

● 主动阶段：能够在GRC活动的多种处理方法中进行灵活选择，并针对预期的风险和机会，提前投入或预留一定的资源和成本，以合理的财务和人力成本，提升应对能力和效率，实现效用最大化。

5)“组织文化与职责”维度成熟度参考标准

GRC发展到高级阶段对企业文化具有巨大的推动作用，能够推动建设一种高效且彼此信任的企业文化，员工的诚信和责任感被大大激发，即使是在面临尚无准备的挑战时，仍能采取合规、诚信的手段去应对。组织文化与职责是GRC对齐和执行能力的重要体现。

● 起步阶段：没有明确的GRC岗位职责划分，也没有意识到组织文化在开展GRC活动和实现经营目标上的重要性。

● 被动阶段：有开展GRC活动的关键角色和岗位的职责描述，开始了解组织文化对GRC活动和企业发展的重要性，并在某些关键领域开展对组织文化的宣传。

● 高效阶段：针对不同GRC角色开设专门的GRC课程，将有助于开展GRC的组织文化贯彻到岗位描述和培训指导中。开始制订组织文化的宣传和教育计划，组织文化处在调整中。

● 整合阶段：营造了对开展GRC有利的组织文化氛围，员工个体的道德行为与组织所贯彻的文化价值观高度一致。

● 主动阶段：文化成为组织成功的关键因素，在GRC正规控制手段薄弱或缺失时，组织仍然能够安全、稳健地运行。

6)“信息沟通与技术”维度成熟度参考标准

成熟的GRC能够提高企业整体的响应速度和效率，能够快速获取战略和战术调整所需的必要信息，信息沟通与技术是GRC洞察和执行能力的综合体现。

● 起步阶段：信息沟通随意性大，没有制定信息沟通的标准格式和方法，也没有采用专门的技术辅助信息交流与沟通。

● 被动阶段：在关键领域和流程中明确必要信息的交流和传递标准。

● 高效阶段：形成了完整的信息传播和报告计划，开始采用信息技术以提高标准化信息交流的准确性、时效性和安全性。

● 整合阶段：制订GRC信息管理计划，实时监控组织内外部信息，信息经过统一的数据处理后能迅速传递给适当的GRC角色，实现迅速响应。

● 主动阶段：信息沟通和传递几乎没有障碍，员工可以分辨信息的重要性，且对任何必要信息的上报没有抵触，主动与被动的信息流转都非常顺畅。

3.2.2 成熟度模型的应用

GRC成熟度模型是一个6×5的矩阵，每个方块代表的是企业各个维度在对应阶段应表现的特征，有了这张表之后，企业可以按照图3.3所示步骤进行GRC综合能力的改进和提升。

步骤1：首先，企业可以根据表3.2中描述的特征判断自己的每个维度分别处在哪个阶段(如表3.2中虚线方格所示)，同时还可以基于企业现有资源和未来预期情况决定每个维度想要达到的水平(如表3.2中实线方格所示)，这个阶段需要形成GRC使命说明书。

步骤2：根据步骤1中的结论，企业可对当前能力水平与目标水平间的差距进行评估，并形成差距评估报告。

步骤3：针对存在的差距制订一个改进规划，确定需要在多长时间内达成目标，形成计划方案。这个时间可能是短期的，例如一年以内；也可能是长期的，如五年。如果是相对较长的时间段，企业可在这期间设定若干个中期目标。在长期计划中，企业应针对每个维度制定衡量标准和评估指标，并按指标层级层层落实到具体人员。

步骤4：根据长期计划制订具体的行动计划，通常以年度为单位制订年度工作计划。

按照上述步骤，企业可以形成一套衡量自身GRC能力水平的指标体系，用来判断企业当前的GRC成熟度并制订提升计划。