第4章 GRC应用与实施
4.1 GRC实施方法
GRC管理在企业中的实施方法与其他管理领域的实施方法既有相似之处,也有其个性化的特点。相似之处在于,任何管理模式和管理方法在企业实践之前,都需要分析企业现状,构思其愿景目标,分析差距,设计实现路径;不同之处在于GRC强调统一融合的理念,要求其实施过程涉及的管理领域、覆盖范围均较一般的独立管理领域更大、更广,对管理基础的要求也相对更高。因此,GRC实施方法对于企业来说尤为重要。为了使GRC管理效果更加显著,需要企业对GRC的实施方法论有更清晰的理解和认识。
4.1.1 GRC实施架构
总体来说,GRC实施方法的整体架构,如图4.1所示。
图4.1 GRC实施架构图
1.管理要素
GRC实施架构包括6类管理要素:
(1) GRC管理驱动力;
(2) GRC应用模型;
(3) GRC管理现状;
(4) GRC管理目标;
(5) GRC体系建设过程;
(6) GRC实施过程。
以上管理要素在企业GRC实施中都具有重要价值,它们共同构成了GRC实施的完整路径。
在这6类要素中,核心要素是GRC应用模型。从整体来说,GRC应用均包含治理、管理、保障及技术4个方面,但具体应用到不同的企业,根据其管理目标、管理成熟度的不同,设计出来的GRC应用也一定有所区别。而且,随着企业的发展,GRC应用也会随之相应地发展变化。
2.实施路径
如果是没有实施过GRC的企业,则围绕GRC应用模型的实施路径可以概述为以下几点。
(1) 分析GRC管理驱动力,明确实施GRC管理的总体目标及重点管理领域;
(2) 根据总体目标及重点管理领域,进行GRC管理现状分析,找出管理中的难点和痛点;
(3) 结合以上两点,参考GRC应用模型,设计适合本企业管理目标的GRC应用模型;
(4) 对应用模型进行分层次、分管理领域的细化,如治理层、管理层、保障层都涉及哪些管理领域,其各自的GRC管理目标及现状是怎样的,都需要进行细化,使其与企业实际情况更好地结合并在后续的实际工作中能够有效落地;
(5) 设计GRC体系建设过程,主要在组织、责任、资源、机制4个方面进行设计,保证针对GRC体系的管理是可以顺利运转的;
(6) 设计GRC实施过程,从目标、计划、预案、监测、评估、改进、考核等方面进行设计,使GRC体系可以与企业的业务运行体系有机融合,保证GRC管理目标的实现。
以上步骤都需要考虑企业的相关技术能力对GRC管理的支撑,因此,无论是在现状分析、目标分析还是在应用模型的设计上,都需要对相应的技术要求有明确的认识和定义。
在下面的章节中,我们会就GRC实施架构的6个管理要素分别进行阐述。
4.1.2 GRC管理驱动力
GRC管理驱动力代表GRC管理的外部刺激或者变革原动力的两种类型:业务和技术。
1.业务驱动力
业务驱动力可能来自企业外部,如新的立法、来自上级监管部门下发的管理规章制度等;也可能来自企业内部,如新的管理措施、业务发生转型等。
业务驱动力作用的管理领域,可以是GRC管理的各个层面,包括治理、管理、保障,任何一个层面产生的驱动力都可以促使企业采纳GRC管理理念或对已经应用的GRC管理进行优化改进。
2.技术驱动力
技术基础对GRC管理的保障及促进作用较之常规管理也是非常明显的。GRC强调业务的统一管控,因此对技术基础也提出了统一、整合的诉求,只有基于统一的技术能力,才能更有效地体现GRC管理的价值。所以,在IT整合方面的任何技术能力的提升,都会对企业实施GRC带来有效的促进作用。云计算、大数据、SOA等技术手段都可以归到这类技术能力之中。
4.1.3 GRC应用模型
GRC应用模型是企业实施GRC的核心要素。如何设计符合本企业发展环境、目标要求的GRC应用模型,对企业而言是实施GRC至关重要的一个步骤。它的制定过程既要参考业界的先进经验,也要充分考量企业本身的管理、IT现状,才能制定出更有针对性并具有未来可扩展性的GRC应用模型。
本书结合国际上的先进管理经验并融合国内企业管理的实际需求,给出了一个GRC应用参考模型,如图4.2所示。
图4.2 GRC应用参考模型
企业可以结合自身的实际情况,选择所需的GRC应用并制定其递进的发展规划,最终达到完整的GRC统一管控目标。
针对该参考模型的相关应用,我们将在本书第5章进行详细阐述。
4.1.4 GRC管理现状
现状分析是企业实施GRC的一个起点,做任何的管理动作都要基于对自身情况、状态的清楚认知,实施GRC也不例外。
对企业GRC管理现状进行分析,同样要考虑到GRC强调的统一融合的理念。在分析的过程中,既要针对治理、管理、保障、技术进行独立分析,也要基于独立分析,对各领域进行整合后统一分析。从中既能分析出独立业务领域的问题、差距,也能分析出企业整体距离GRC管理目标的差距及存在的问题,以利于后续进行GRC应用模型的设计、应用模式的选择等。
GRC现状分析的具体内容请参考本书第3章关于GRC成熟度分析的相关内容。
4.1.5 GRC管理目标
与现状分析相呼应的是对GRC目标的分析。我们已经定义了GRC管理的驱动力,不同的驱动力会产生不同的压力与动力,企业要根据自身的实际情况,确定实施GRC管理的目标。这个目标可以是长期目标,也可以是短期目标。当然,任何管理目标的达成都不能在短时间内一蹴而就,因此,在目标的设定上,应该结合长期目标,以短期目标为重点进行分析设计,这样既能保证在相对长的周期内的管理方向的一致性,也能重点关注企业当前阶段的实际情况、问题、困难,用最有效率的方式达成短期目标,并在此基础上不断提升,从而提升管理能力,最终达到GRC管理设定的长期目标。
与GRC现状分析一样,在做GRC目标分析的时候,也要针对治理、管理、保障、技术分别设定其目标,同时也要在整合各领域之后进行整体的目标设定分析。
基于目标设定和现状分析,可以很清楚地认识到理想与现实之间的差距,也可以为跨越这个差距拟定相应的管理举措、实施计划等。因此,现状分析是否准确、目标设定是否合理,是GRC后续实施的基础,其中目标的设定尤为重要,切忌不顾本企业的实际情况提出大而空泛的目标,否则在实际的实施过程中,必然会因为看不到GRC管理带来的效果而质疑GRC价值,进而推翻其管理举措,导致GRC实施的失败。
4.1.6 GRC体系建设过程
GRC体系建设是GRC实施的重要环节。为了使经过前期分析、设计得到的管理目标、应用模型能够在企业中有效执行、运转起来,需要结合企业的实际情况,设计一套行之有效的GRC管理运行体系。
1.GRC体系建设的主要内容
GRC体系建设主要包含以下几个方面的内容。
1) 组织
GRC体系的建设,要从GRC组织体系建设入手。为了更好地进行GRC组织的设计,需要对现有组织及其所处环境进行评估。评价组织可以从外部环境、内部环境两个方面进行。
评价组织的外部环境包含以下4个方面内容:
● 社会和文化、政治、法律、法规、金融、技术、经济、自然环境、竞争环境,包括国际的、国内的、区域的或局部的;
● 对组织目标有影响的关键驱动和趋势;
● 与外部利益相关方的关系、外部利益相关方的感知和价值观。
评价组织的内部环境包含以下8方面内容:
● 治理、组织结构、岗位与责任;
● 方针、目标以及实现它们的战略;
● 能力、对资源和知识的理解(如资本、时机、人员、过程、系统和技术);
● 信息系统、信息流和决策过程(正式的和非正式的);
● 与内部利益相关方的关系,内部利益相关方的感知和价值观;
● 组织文化;
● 组织所采用的标准、指南和模型;
● 合同关系的种类和程度。
2) 责任
GRC管理的责任包含以下5方面内容:
● 识别对管理GRC相关领域负有责任和权利的GRC责任人;
● 识别对开发、实施、保持管理GRC框架负有责任的人;
● 识别组织内所有层次的人员在GRC管理过程中的其他职责;
● 建立绩效测量、外部/内部报告以及升级流程;
● 确保适当程度的承诺。
3) 资源
实施GRC管理的资源,应考虑以下6方面内容:
● 人员、技能、经验和能力;
● GRC管理过程中的每一个步骤所需要的资源;
● 用于管理GRC的过程、方法和工具;
● 已记载的过程和程序;
● 信息和知识的管理系统;
● 培训计划。
4) 机制
实施GRC管理应建立内外部沟通及报告机制。
建立内部沟通和报告机制应确保如下4方面的内容:
● 适当沟通GRC管理框架的关键构成及其后续的任何修改;
● 对GRC的管理框架、有效性、结果进行充分的内部报告;
● 在适当的层次和时间,可以获取来自实施GRC管理的相关信息;
● 应有内部利益相关方咨询的过程。
建立外部沟通和报告机制应确保如下5方面的内容:
● 明确适当的外部利益相关方,确保有效的信息交流;
● 外部报告以符合法律、监管和治理要求为标准;
● 就沟通和咨询提供反馈和报告;
● 通过沟通在企业内建立信任;
● 就危机或突发事件与外部利益相关方沟通。
2.GRC实施框架
GRC框架建设过程在理念篇的GRC体系架构中已经进行了基本阐述,其过程如图4.3所示。
图4.3 GRC框架
其中,“框架设计”是GRC实施框架的关键步骤。在此步骤中,企业需要综合应用之前介绍的实施架构中的各种要素,进行统一的思考,才能设计出既符合企业现状又具备可行性的GRC体系。
前文中已经提到,在框架设计过程中,要完成设定GRC管理目标、明确GRC管理的职责和义务、为GRC管理执行者提供必需的资源、建立GRC管理绩效测量和沟通机制等内容。其中最重要的工作成果应该包括:
●《使命、愿景、价值观声明》;
●《治理章程》;
●《道德决策准则》;
●《GRC宣传和教育计划》。
以上内容的相关信息,详见1.3章节中的GRC体系交付物。
体系框架设计只是完成了GRC整体实施初始化设计阶段,还需要将相关设计成果在GRC实施过程中进行应用并检验。对这个过程的具体分析将在下一小节进行说明。
通过对GRC实施过程的管理,对其执行效果进行监测与评审,既可以掌握GRC整体的实施效果,也可以了解GRC体系的设计是否符合企业GRC管理的要求。如果存在GRC体系设计层面的问题,可以通过持续优化步骤对GRC体系本身进行完善,以保证GRC体系建设过程的循环、持续优化。
4.1.7 GRC实施过程
GRC实施过程是GRC整体实施的最后一个步骤。前期的各种分析或者设计,最后都要通过执行实施过程与企业的现有管理运行相结合,最终产生管理价值。因此,该过程能否顺利实施是决定GRC整体实施成败的关键步骤。
GRC实施过程的具体操作,可以分为两个循环:小循环和大循环,如图4.4所示。
图4.4 GRC实施过程
小循环包含5个步骤:
(1) 计划、流程;
(2) 预防、保护、预案;
(3) 监测、评估;
(4) 响应、改进;
(5) 考核、报告。
除上述步骤外,大循环还要增加两个步骤:
(1) 目标、策略;
(2) 组织、政策。
小循环和大循环的区别可以理解为:小循环主要是GRC管理领域承载的职责的实施过程;而大循环则是将GRC治理、保障领域的职责融合进来,形成更为完整的全企业范围的实施过程。
1.GRC实施小循环
GRC实施小循环的5个步骤,具体内容如下所述。
步骤一:计划、流程
在小循环中,管理领域的相关职责转化为实施过程,它的起点是计划和流程设计。此处的流程设计,是指设计GRC管理本身的业务流程,与企业生产经营层面的流程是有所区别的。
在这个环节中,企业需要关注及思考的问题包括:
● 与目标任务有关的利益相关者是谁?
● 目标任务应该如何分解?
● 业务执行的控制边界在哪里?
● 在业务执行中,哪些是重大的风险?
● 如何安排具体的执行计划?
● ……
从上述问题中可以看到,这个环节融合了企业的绩效目标管理、风险管理、内控管理、计划管理等相关管理范畴的内容,把这些管理要素融合在一起,做统一思考,才能更有效地达成GRC“有原则的绩效”的管理目标,既考虑到目标达成的要求,也考虑到风险边界的约束。
本步骤的主要工作成果,包括:
●《GRC整合计划》;
●《GRC技术数据模型描述》。
步骤二:预防、保护、预案
第二个环节的关注点在如何对业务执行过程中的各项活动进行分析,并制定相关的预防、保护措施及风险预案。以此来降低业务违规操作的可能性。同时,如果发生风险事件,也能够为企业提供风险预案,以便企业进行快速的响应和应对。
在此环节中,企业需要关注和考虑的问题,包括以下两个层面。
1) 业务流程层面
● 企业能否防范问题发生?如果发生,能够及时发现问题吗?
● 在业务操作流程中企业应该制定怎样的业务规则、操作规范以及控制要求?
● ……
2) 组织文化层面
● 企业是否把合适的人才放到了正确的岗位上?
● 企业是否为员工提供了充分的培训、指导?
● 什么样的行为是应该被鼓励的?
● 员工可以从哪些渠道获取对行为规范的正确理解和认知?
● ……
本步骤的主要工作成果,包括:
●《风险优先矩阵》;
●《控制手段分类标准》;
●《风险/控制矩阵》;
●《业务连续性计划》。
步骤三:监测、评估
第三个环节要实现对业务过程的监测和评估,目的是更及时地发现风险,进而更有效地应对。在此环节中,企业内部审计人员、内控管理人员、业务专家、技术专家等需要共同探讨,以制定最合适的监控规则,并采用各种可能的监控手段,对业务过程进行监测和评估,并将相关信息及时反馈、报告给相关人员。
在此环节中,企业需要关注和考虑的问题,包括:
● 业务操作过程是否都在按照计划执行?
● 针对业务执行中的问题,是否需要进行预警或报警?
● 业务监控的规则是否与业务执行匹配?
● 业务监控的周期是否与业务执行匹配?
● ……
本步骤的主要工作成果,包括:
●《信息管理计划》;
●《调查管理计划》;
●《结果和建议报告》。
步骤四:响应、改进
第四个环节是对在第三个环节中提出的问题进行响应,并根据实际情况改进相关的管理措施、方法,以不断优化完善整个GRC管理体系,提升综合管理能力。
在此环节中,企业需要关注和考虑的问题,包括:
● 哪些问题属于执行层面?哪些问题属于设计层面?
● 从中需要吸取的经验教训有哪些?
● ……
本步骤的主要工作成果,包括:
●《响应性控制活动计划》;
●《响应措施报告》;
●《服务热线常见问题描述》。
步骤五:考核、报告
第五个环节在整个大循环中的价值主要体现在对GRC管理实施过程的整体评估上,这个评估既要包括对实施过程的评估,也要包括对实施过程设计的评估。从两个方面评价其存在哪些问题,并提出改进建议,以供企业决策团队进行决策时参考,从而使GRC管理得以优化并持续改进。
在此环节中,企业需要关注和考虑的问题,包括:
● GRC管理的评价标准、考核指标应如何设计?
● 如何对不同GRC管理领域的考核进行有机融合,以综合考量GRC实施效果?
● ……
本步骤的主要工作成果,包括:
●《结果和建议报告》;
●《鉴证报告》;
●《离职面谈清单》。
通过GRC实施小循环,基本可以实现对业务过程从设计、执行、监督、改进到考核全过程的管理,并将绩效目标、风险管理、内控管理等管控手段与业务过程相融合,从而达到对业务过程高效、快速、统一的管理。
2.GRC实施大循环
GRC实施大循环是在小循环的基础上,增加了目标与策略、组织与政策两个环节。增加的这两个环节,为小循环的实施过程提供了更加清晰的目标和保障。无论是执行目标还是操作策略都可以理解为对小循环实施过程的目标导向,而组织政策层面的设计则是对小循环实施过程的重要基础保障。下面,我们对增加的两个步骤进行阐述。
步骤一:目标、策略
这一环节主要是对企业实施GRC的整个过程进行总体设计。在此环节中,需要为后续所有的环节制定相关的基本原则、方法、策略,以指导后续工作的有效开展。
在此环节中,企业需要关注和考虑的问题,包括:
● GRC是否与企业整体战略相一致?
● 企业实施GRC的短期目标是什么?长期目标是什么?
● 企业实施GRC的基本原则有哪些?
● ……
本步骤的主要工作成果,包括:
●《组织目标声明》;
●《GRC能力战略计划》。
步骤二:组织、政策
明确了目标与策略之后,企业实施GRC还需要基础管理保障,即组织、政策制度的保障。要想将GRC战略目标落实到实际企业管理中,首先需要围绕GRC目标,设计适合企业总体管理体系规划的GRC管理组织结构,并配套制定相关的岗位职责、管理规章制度,使GRC管理不只停留在概念层面,而是可以与企业的整体运行机制、管理机制相融合。
在此环节中,企业需要关注和考虑的问题,包括:
● GRC组织结构应如何设计?应包含哪些主要角色?
● GRC的相关政策制度是否与企业的实际业务相融合、一致?
● ……
本步骤的主要工作成果,包括:
●《行为规范》;
●《角色/岗位描述》;
●《职责分离说明书》;
●《政策和相关过程矩阵》;
●《沟通和报告计划》;
●《GRC能力课程计划》。