作者:北京慧点科技有限公司
出版社:清华大学出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
有原则绩效之路: GRC理论与实践初探试读:
前言
要绩效,更要有原则现代科技带来了技术进步与文明开化,互联网对各行各业广泛深入的渗透、全球经济一体化的进一步发展,使得组织所面临的业务环境日益复杂,合规性要求不断增长。组织内部和外部的利益相关者不仅要求其实现更高的业绩,而且要求其业务运营能实现透明化。在这种环境下,单独追求财务目标的绩效在当今并不能保证组织或企业的健康运营,因为组织除了需要满足股东及其他利益相关者的利润诉求外,还需要承担社会责任,并且使其各项活动符合道德与法律的要求。例如,公众日益增加的对环境安全的关注以及各种强制性环保法规的要求,可能会使违反法规或影响公众利益的组织面临关停整顿、巨额罚款的风险。这使得组织的经营管理较之过去更为复杂,也更具挑战性。
为实现组织的永续经营,组织需要在稳健可靠地达成目标的同时,管理各种不确定性因素并保持正直诚信。为避免对日常业务运营造成影响,许多企业疲于处理安排、跟踪和监控复杂的合规要求中的所有动态因素,同时做出正确和及时的反应。有些公司或个人可能曾在经营中采用非正常手段来获得商业利益,或者曾在个人或公司的生存原则与利益最大化之间做出艰难抉择。在监管机构对各种非正常经营手段进行越来越严厉的处罚的形势下,依靠不合规的经营手段来实现“野蛮生长”必然会给组织带来巨大的损失。如中国路桥工程有限责任公司因为在2009年菲律宾沥青道路项目中涉嫌围标而被世界银行列入处罚黑名单,在一定时期禁止承接世界银行资助的项目。
在组织运营中,不可预见的风险有其发生的必然性。风险可能会使组织遭受法律制裁、罚款、品牌忠诚度降低或运营损失,从而影响组织的业绩。诸如安然破产、中国奶制品污染事件、英国石油公司原油泄漏、伦敦鲸事件、中信泰富事件、光大证券乌龙指事件以及最近的金融风暴等一系列工业灾难和金融灾难,都在不断提醒我们,企业必须制定正式的战略来应对已知和未知的风险。上述许多事件还直接促使政府积极立法,以保护公众、环境和经济避免再次遭受类似的灾难。不仅如此,诸如混乱的全球政治局势、恐怖主义、剽窃知识产权、产品赔偿责任、身份盗用、业务连续性、人力资本风险、环境风险、信贷风险和其他一些新型风险也导致新的法规、法律的出台以及监管的增强,投资者和潜在业务合作伙伴也越来越关注企业行为和管理程序,这进一步加剧了业务运营的复杂性,迫使企业优化内部政策和监管规程。
在这种情况下,为避免风险因素的持续积累与不合规情况的出现,有远见卓识的组织已经开始采取综合了预防性、发现性、响应性的系统化方法来积极地管理法规的变化,并实施相关流程和技术整合风险与合规职能,以促进与利益相关方、合作伙伴和监管机构的沟通与合作,他们不仅关注完成了多少工作,更加关注这些工作是如何完成的,而这也正是“有原则的绩效”的核心理念在管理实践中的体现。以GRC促进“有原则的绩效”“有原则的绩效”这种经营观点和方法可以帮助组织在应对不确定事件(风险与机会)、诚信行事(遵守规定、信守承诺)的同时,切实可靠地达成目标。它能使组织和个人在确保达成绩效的同时考虑风险和回报,同时履行法定的义务和信守承诺,从而实现可持续发展。有原则的绩效的达成要求组织具备针对绩效、风险和合规进行治理、管理和保障的全局视角,在处理其中任一领域的问题的同时兼顾其他部分。
组织内有很多核心业务流程都有助于组织实现“有原则的绩效”,其中公司治理(Governance)、风险管理(Risk Management)、合规管理(Compliance)这几大类管理措施对企业的成功尤其重要。组织在实现其目标的过程中,一直都在从事公司治理、风险管理和合规管理的工作,也都普遍面临着这三方面的管理问题,处理好这三方面的问题对组织快速高效地达成目标是非常必要和关键的。这三方面的基本活动有很大的重叠,必须协调运作才能实现“有原则的绩效”。而这也正是公司治理、风险管理、合规管理的缩写词GRC所包含的核心思想。
GRC涵盖了所有与公司治理、风险管理、合规、内控相关的管理领域,是实现有原则绩效所需的关键能力集合的简称。组织治理包括设定和传达企业战略、长远及近期目标和计划。它能够保证每一位管理人员的行动以及长远和近期目标,都与组织的长远目标和战略相协调。合规管理要求组织了解并遵守法律、规章、合同、职责、政策和流程,是支持有效治理的一项重要机制。遵守法律法规和组织自身的政策是有效风险管理的一个关键组成部分。监测与维持合规遵从的有效性并不只是满足监管部门的要求,同时也是让组织维持其良好道德状况、支持其长期兴旺,并维持和提高其价值的最重要方式之一。
GRC体现了公司治理、风险管理、合规管理三大管理领域及其相关管理领域在人员、流程、技术、信息四大方面的协同与融合,确保正确的人在恰当的时间得到合适、正确的信息。GRC帮助组织及其内部所有的决策者建立适度的自信,并理解组织的风险偏好和战略目标,从而以他人无法做到的方式利用风险,同时又不会超出既定的风险阈值和风险容忍度。这是一个巨大的竞争优势。如何实现GRC的融合
中国的央企和上市企业已经历了美国萨班斯SOX法案、国资委全面风险管理和财政部等部委发布的内控指引的洗礼,在将近10年的探索和磨砺中总结了一套企业风控经验,但企业仍存在不少困惑,如风险与内控管理与业务工作脱节、工作实效性不强就是困扰很多企业的一大问题。特别是那些已经实施了风险管理和内控管理的企业,虽然这些企业已建立了风险与内控管理体系,但风险管理工作缺乏完整性和专业性,对企业的具体业务生产工作缺乏指导,造成企业在投资、安全环保、人力资源、现金流等方面的重大事件时有发生。
对于这些已经实施了风险与内控管理的企业,在GRC理念的指导下,我们应如何开展工作以达到所谓融合GRC的理想状态,从而实现企业“有原则的绩效”呢?
1.完成现有体系的向上融合
GRC体系融合了公司治理的管理理念,将公司整体的权责激励制度作为风险管理和合规遵从的压舱石,为GRC体系的建立打下基础。在整体权责激励清晰的环境下,GRC体系进一步梳理和明确决策准则(含风险偏好、风险容忍度等),在卓越中心的整体协调和综合管理下,指导GRC战略计划和整合计划的制订,为GRC的实施铺路搭桥。
2.完成现有体系的向下融合及横向融合
现有风控体系多是集团牵头、统一编写、集中下发、多轮检查,下属单位需要应对多方面、多组织的重复检查,且控制要求对业务工作指导性不强。所以,首先我们应将集团或总公司一级的风控体系及手册进行本地化梳理,将风控要求落实到具体业务、具体流程,实现GRC体系所提倡的“六位一体”,即将目标体系、考核体系、制度体系、风险体系、内控体系、流程体系融合到流程和岗位职责中。与此同时与其他横向管理部门,如法律部门、安全管理部门、战略规划部门等的管控要求进一步融合,形成GRC整体管控体系。
3.辅助、指导自下而上的运营管控工作
业务运营是企业的生命线,在运营过程中遇到的问题是实现“有原则的绩效”的最大障碍,也是GRC最应该发挥作用的场景。在我们所遇到的问题是跨部门的、复杂性高的情况下,往往本部门已无法单独完成任务,需要卓越中心综合专家的智慧和协调能力,在整合计划的指导下与兄弟部门共同完成。需要强调的一点:复杂性任务或问题的处理过程,容易发现一些企业在运营控制中的设计或执行缺陷,所以任务执行完成后,牵头部门应总结分析执行过程中的经验和缺陷,完成结果和建议报告,提交负责部门,以便完善和优化GRC体系。全书导读
本书介绍了GRC管理体系、管理方法与管理实践,主要面向组织内扮演GRC角色的实践者以及对GRC管理理念感兴趣的各类读者。如果您对以下任何一个问题的回答是“是”,则意味着您具备GRC角色。● 您是否在企业层面、业务层面或项目层面参与了公司治理?● 您是否任职于审计、风险或合规管理部门?或者您是否在某个业务部门内负责其中的任何一项?● 您是否参与战略规划或业务连续性管理活动?● 您是否负责监督既定目标的达成或其他可能威胁到目标绩效的因素?● 您是否负责选择、实施或管理用以支持组织绩效、风险或合规管理或审计的相关技术?
全书共分为4部分,分别介绍GRC的理念、管理实践、技术实现以及典型应用案例。本书的章节内容及其与GRC体系的关系如图1所示。图1 GRC体系及全书内容概览
本书的第1部分“理念篇”面向所有对GRC感兴趣的读者,主要介绍GRC的目标以及核心理念。在第1章我们将为您介绍什么是“GRC”,企业为什么需要“GRC”整合管理,“GRC”能帮助哪些岗位提升业绩,“GRC”管理体系是怎样的;在第2章我们将介绍要想实现“GRC”的目标,企业需要具备哪些基础能力以及如何构建这些能力;在第3章我们将介绍组织如何衡量目前所达到的GRC成熟度。组织只有在明确自己所具备的GRC能力的基础之上,才能制定出适合自己的GRC实施或改进战略,并将其用于指导具体的GRC实践。
本书的第2部分“管理篇”主要面向组织的中高层管理者,介绍如何基于GRC实施架构、应用模型、最佳实践来提升GRC的管理实践。我们将在第4章首先介绍GRC的实施方法论及其实施架构。然后在第5章阐述企业在GRC实施过程中可能碰到的问题以及相应的解决办法。在第6章,我们选取了一些典型的GRC管理实施场景,通过图解的方式进行分析,以帮助读者更好地理解GRC管理在实施过程中可能面临的问题以及应对举措。
本书的第3部分“技术篇”主要面向组织的CIO们,探讨如何利用信息技术辅助GRC的管理。在第7章,我们将主要介绍典型的以及常见的GRC技术解决方案。在第8章我们探讨如何以平台化技术实现不同GRC技术解决方案在数据、信息、标准与流程方面的融合。在第9章,我们将针对组织在实施GRC技术解决方案的过程中可能遇到的问题进行解答,例如:组织实施GRC技术解决方案的路线图;GRC管理软件与ERP和OA的协同;如何应对云计算、移动化、大数据的挑战。
本书的第4部分“实践篇”面向所有的读者,通过一些中国企业开展GRC管理的典型案例,向读者介绍这些企业根据其自身情况、因地制宜地开展GRC管理的方法和过程。这些案例中的企业处于不同的行业、不同的发展阶段,它们开展GRC管理的切入点不尽相同,实施路径也各具特色,希望这些案例能为读者提供一些启发和经验参考。第1部分 理念篇革是当代中国的鲜明特征,发展是当今世界的时代主题,近三十年的高速发展让我们切实体会到“发展才是硬道理”。但随着企业的发展壮变大,各种不均衡、不协调、不可持续的问题日益突显,越来越多的企业认识到协调发展才能提升整体效能。如何兼顾业绩目标与合规要求?如何兼顾风险与收益?如何兼顾整体利益与局部利益甚至个人利益?这些问题对企业无疑都是极大的挑战,而迎接这种挑战的核心利器就在于整合管理。“GRC”正是实现企业整合管理的有效模式。中共中央、国务院于2015年9月出台的《关于深化国有企业改革的指导意见》中也提到“坚持增强活力和强化监管相结合”“不断增强国有经济活力、控制力、影响力、抗风险能力”,还特别强调要加强企业的内部监督、外部监督和社会监督,规范公司治理。由此可见,企业在治理、监督和治理方面,将面临更大的挑战,更需要一套像“GRC”这样的管理体系来帮助企业应对挑战,创新监管方式和手段,改进绩效体系,提高监管的科学性和有效性。在理念篇中,我们将揭开“GRC”的神秘面纱,第1章将介绍什么是“GRC”,企业为什么需要“GRC”管理,哪些角色与“GRC”紧密相关,通过怎样的途径去实现“GRC”,哪些要素组成“GRC”的体系架构,会产生哪些交付物;第2章将介绍要想实现“GRC”的目标,企业需要具备哪些基础能力以及如何构建这些能力;第3章将介绍企业如何衡量目前处于怎样的GRC成熟度阶段及如何达到更高的GRC成熟度阶段。第1章GRC体系1.1 GRC体系简介
1.1.1 GRC的含义
尽管GRC被引入中国已久,但在中国多数企业管理者的认知范畴内,它还是一个新名词,只有少数业内人士知道GRC是Governance、Risk Management、Compliance三个英文单词的缩写。在这里,我们将向大家介绍GRC的起源和含义。
2001年至2002年,美国证监会相继披露安然事件、世界通信会计事件、默克财务造假等一系列丑闻。一时间,美国上市企业的信誉一落千丈,投资者的信心饱受打击。为了增强投资者的信心,重振美国股市,美国政府于2002年颁布《公众公司会计改革和投资者保护法案》。该法案由奥克斯利与萨班斯两人联合提出,所以通常被称为《萨班斯法案》。该法案的主要目标是增加对上市企业的监管职责,改善企业的治理,从而促进投资者恢复对资本市场的信心。《萨班斯法案》的颁布对企业管理体系产生了重大影响,推动了已有管理理论的发展和新管理理论的产生。
一方面,《萨班斯法案》推动了内控管理向风险管理的理论扩展。1992年,COSO委员会公布的《内部控制整体框架》因《萨班斯法案》的颁布正式成为美国上市企业内部控制框架的参照性标准。同时,COSO委员会意识到《内部控制整体框架》自身存在过度注重财务报告,而没有从企业全局与战略的高度来关注企业风险等问题。结合《萨班斯法案》对上市企业风险管理的要求,同时吸收各方面风险管理研究成果,COSO委员会在2004年颁布了《企业风险管理框架》。
另一方面,《萨班斯法案》促进了GRC管理理论的产生。《萨班斯法案》颁布后,有人将其称为“美国国家的救亡运动”。在美国这种依靠资本市场来维持和发展经济的国家,财务做假、内控失败会直接影响全球投资者对美国资本市场的信心。因此,美国出台《萨班斯法案》,将公司治理的风险转嫁到上市企业的执行经理人身上。企业CEO、CFO等执行经理人一方面承压于股东的业绩要求,需要关注企业业绩目标的实现;另一方面承压于不断增加的监管要求,需要关注经营过程中的各种风险。此时,从一个更高的视角来平衡公司治理、风险管理及合规管理的GRC理论应运而生。GRC能够帮助企业执行经理人游刃有余地满足业绩要求和监管要求。
2002年,美国权威的技术和市场调研公司Forrester Research的一位前分析师Michael Rasmussen提出“有原则的绩效”,即在管理不确定性的条件下,在保持正直、诚信的同时可靠地达成目标。企业内有很多核心业务流程都有助于实现“有原则的绩效”,其中公司治理(Governance)、风险管理(Risk Management)、合规遵从(Compliance)这几大类管理措施对企业的成功尤其重要。因此,由公司治理、风险管理、合规遵从三个英文单词的首字母组合而成的“GRC”被指代为是实现“有原则的绩效”的整体管理理论。同年,国际智库组织OCEG。投入人力、物力专注于GRC理论的研究,先后发布了《GRC能力模型》《GRC技术解决方案指南》《GRC评估工具》等一系列GRC理论专著。随后,包括安永、德勤等在内的咨询机构以及包括Oracle、SAP、IBM、EMC等在内的IT解决方案厂商纷纷成为OCEG的会员,共同致力于GRC研究与实践。
随着企业内外部环境的变化和GRC实践的积累,GRC理念也在不断进步。2015年7月,OCEG颁布了《GRC能力模型V3.0》,现在所提及的GRC的含义已经远远超越了“公司治理、风险管理和合规遵从”三大范畴。GRC是指通过治理、管理和保障手段,推动绩效、风险与合规等管理的有机融合,实现“有原则的绩效”的能力集合。GRC的含义如图1.1所示。图1.1 GRC的含义
1.1.2 企业实施GRC的必要性和价值
大部分企业长期以来都在开展公司治理、风险管理和合规遵从的相关工作。事实上,这些企业已经在实践中开展了GRC活动,但执行方式并不成熟,难以通过各方面的协同来达成组织目标。我们研究发现,在大多数企业中,风险和合规相对独立,而两者越独立,企业的战略决策制定者就越难以及时获取所关注领域的关键信息,降低了企业对外部风险和机遇的应对和响应能力。此外,独立的竖井式运营还会让企业将过多的资源花费在努力协调各种信息上,导致各项运营活动间存在缺口或者不必要的冗余。由于难以协调和共享信息,企业承担了过重的负担。
GRC对于企业管理而言是一次革新,它通过统一的方法将之前分散、重复甚至矛盾的运营信息进行整合,帮助企业更加灵活地应对不断变化的商业环境,更有效地管理风险,以达到合规要求并创造更多价值。整合处于企业中分散割裂的各个管理领域(例如公司治理、绩效管理、风险管理、内部控制、合规遵从等),是实现GRC目标的基础。对于分散在企业各个业务部门、流程中的数据,企业需要对其进行整合和统一,并从中获得相关的情报与知识用于企业的风险管理,进而提高决策水平。为此,企业不仅仅需要消除内部各种“孤岛”,更需要发掘这些数据,从中提炼风险智慧,以便让管理层制定出明智的战略决策。割裂与整合管理状态的对比如图1.2所示。
从2006年国务院国有资产监督管理委员会(以下简称国资委)出台《中央企业全面风险管理指引》、2008年五部委(财政部、证监会、审计署、银监会、保监会)共同印发《企业内部控制基本规范》到现在,中国国有企业的风险管理与内部控制已经走过了近十年的历程。在实施过程中,无论是监管机构还是企业自身,都意识到“整合”的必要性。例如,国资委在《2014年度中央企业全面风险管理汇总分析报告》中就建议将风险管理和内部控制工作有机结合,控制企业管理成本,提高企业管理效率。国家电网、中国钢研、中国海运、东方电气集团、中国能建等大型中央企业都纷纷建议分析风险管理和内部控制工作的性质,推进两者有效融合,以便更好地发挥全面风险管理在企业管理提升中的保障作用。此外,中国化学工程集团建议风险管理与内部控制工作由同一部门牵头负责,统一管理,统一要求。中国中铁集团建议全面风险管理报告体系与五部委共同印发的《企业内部控制基本规范》协调一致,使全面风险管理和内部控制成为一个体系。图1.2 割裂与整合管理状态的对比
国内不少企业的GRC实践并不仅仅停留在理论研究阶段,已经开始进行风险管理和内部控制整合的尝试,并取得了良好的效果。如中国建筑工程总公司推进全面风险管理、内部控制与质量、环境、职业健康与安全管理体系整合,获得财政部、第三方认证中心认可,并已经开始向二级子公司推广;中国海洋石油总公司由风险管理办公室统一负责推进风险管理与内部控制工作,也取得了良好效果;中国五矿集团公司实施了风控一体化管理平台,成为行业内标杆。这些实践都充分证明了统一整合框架的合理性和必要性。
GRC的实施落地可以帮助企业在满足监管要求的同时,实现企业的财务目标,即实现“有原则的绩效”。GRC的成功实施将为企业带来一些可预期的、直观可见的成效,也可以将其理解为GRC实施的价值。因企业规模不同、实施程度不同,各个企业的成果也会有差异,总体可归纳为以下8个基础成效:(1)战略战术有前瞻。GRC能帮助企业了解影响战略和战术方向改变的必要信息,帮助组织抓住机遇,规避或冲减风险。(2)战略计划有保障。GRC战略计划融入了对企业机遇、风险和要求的综合考虑。GRC组织强调的卓越中心和共享中心可保障企业根据环境变化及时调整战略计划。GRC综合计划可保障企业战略计划的有效执行。(3)经济回报最优化。GRC可帮助企业优化经济回报和价值,合理分配人力和财政资源,在最大限度践行价值观的同时为企业创造最大的经济回报。(4)经营目标可实现。GRC基础能力建设、GRC项目的有效执行和GRC技术的有效支撑能帮助企业可预期地、可靠地实现经营目标。(5)股东信心渐增强。GRC可帮助企业实现“有原则的绩效”,有利于企业的可持续发展,有利于提高股东对组织的信任度。(6)企业文化常巩固。GRC激励并推动建设一种高效、负责、诚信、彼此信任且沟通畅达的企业文化。(7)风险意外有预防。GRC可帮助企业识别、分析各种风险,GRC决策标准中涵盖的风险偏好、风险容忍度等指标可帮助企业制定规范、可行、适用的风险预案。GRC整体计划可帮助企业制定相关控制措施和实施活动,监测潜在问题,降低负面影响。(8)响应速度有提升。GRC基础能力建设可帮助企业提高响应速度,更敏捷地感受内外部变化,并迅速抓住机遇或设立风险预案,提升企业的竞争优势。
1.1.3 实施GRC的关键角色
在中小型企业中,可能会存在一人多岗或一岗多责的情况,例如,风险管理者既要承担风险管理职责,又要承担合规管理职责。当组织规模较大时,可能单个GRC活动需要多个岗位的合作,例如,企业将合规管理工作分配给几个合规管理者或合规专员,同时在各个业务单元设立合规负责人。当有相当多的人联合承担某项责任时,每个人都需要全面理解并重视自己的行为和决定会对组织的其他部分产生的影响,以及他人的行为和决定会如何影响自己。然而在很多情况下,各个角色只局限于自己的工作而不去关注全局。实施GRC涉及的关键角色及其职责主要包括以下几个方面。1.治理机构角色
任何治理机构,不论是企业董事会还是监督某个具体项目的委员会,其核心任务是监管。治理机构需要监管组织使命、愿景和价值观的制定,监管组织目标和策略的制定,监管组织决策标准、风险偏好、风险容忍度和道德准则的制定。有时,治理机构还需要驱动战略的制定,监管组织的沟通机制,确保重点事项的变化能及时得到风险、合规及审计管理者的评估,确保合理的资源分配,确保政策调整与计划变更的有效传递。2.财务管理者角色
现代首席财务官的工作范畴已经远远超过了传统意义上的统筹资产管理及撰写金融报告。现代首席财务官是战略团队的重要成员,参与确定组织的发展方向,确保公司财务资源的合理分配。首席财务官还需要通过制定和宣贯财务方面的相关决策标准帮助业务经理更好地执行。首席财务官是“公司的钱袋子”,在GRC活动中,首席财务官的支持是成功的关键。3.风险管理者角色
不论是业务单元风险控制还是企业层面风险管理,风险管理者都在驱动组织朝“有原则的绩效”方向前进的过程中扮演着重要角色。首席风险官及风险团队需要同时考虑企业面临的风险和机遇,并确保制定和实施战略规划时能够获得此类信息。根据既定目标和策略来控制风险并提升机遇,评估内外部环境变化带来的波动,以明确这些变化可能会如何影响目标的实现,并将这些信息传递给治理机构和战略规划者。这不仅适用于企业层面,业务单元内部进行风险管理时也同样适用。另外,风险评估不是“一步到位”的活动,它要求对发生的变化和修正进行持续的监控,以确保目标、战略、风险、回报和控制之间的协同。4.合规管理者角色
合规管理者的职责是确保组织运营不仅符合法律法规要求,还要遵从组织内部设定的政策、程序和规范。也就是说,要通过管理机制确保组织合规运营,在努力达成目标的同时不逾矩、不越界。与风险管理相似,合规管理机制不仅支持战略,也会影响战略。例如,在考虑开拓国际市场时,反贿赂所付出的成本可能会影响对该地区业务运营价值的战略分析。相反,如果发现改变产品的一种成分可以大幅节约废物处理成本,则可能会驱动战略决策指向更“绿色”的制造工艺。组织对合规管理者的要求不能仅限于尽早知悉战略变更计划,还需要他们参与到战略计划的讨论中来,以确保对可能会影响决策的信息进行实时沟通。同样,合规管理者与风险管理者也需要实时沟通。5.信息技术管理者角色
首席信息官需要负责建立相关IT系统,以确保组织可以用统一的方式收集可靠的信息,并将信息在合适的时间以合适的形式交付给合适的人。为了实现这一功能,确保获取信息的渠道和保护组织的信息安全是至关重要的。
首席信息官和信息技术经理需要参与GRC技术战略计划的制订,该计划会基于股东和用户的需求设计解决方案组合。他们还需要帮助GRC关键执行者从技术角度评估哪些IT系统需要保持,哪些需要改变,哪些需要整合。他们需要宏观地考虑如何设计GRC整体技术架构。6.人力资源管理者角色
在GRC领域的相关角色中,作为管理组织的人力资源团队是必不可少的。企业文化是企业发展的源泉,是人力资源管理工作的重要组成部分。建立“说话文化”是促进GRC目标实现的关键之一。人力资源团队负责通过培训、沟通等活动宣贯组织GRC实施的相关文件,包括GRC战略计划、GRC整合计划、合规政策等,营造浓厚的企业文化氛围,建立畅通的沟通机制,鼓励员工了解参与GRC活动。因此,人力资源团队在GRC实施中占有重要地位。7.内部审计执行与管理者角色
如今,首席审计官的责任之多是前所未有的。为了向治理机构提供保障,首席审计官不仅需要洞察组织的财务记录和财务报表,还需辨别对企业既定目标产生影响的风险和合规信息。虽然组织风险与合规管理体系设计不属于保障层面的工作,但是如果首席审计师没有在体系设计时指导建立有效的管理机制和设立可测量的考核指标,内部审计就无法有效履行其职责。因此,在组织风险与合规管理体系设计时,首席审计官应提供建议和支持以保障体系设计的有效性,从而为后期执行的有效性评估提供保障和评价依据。
首席审计官还有一项独特职能是观察风险与合规在企业努力达成既定目标的过程中如何影响企业绩效,并能针对影响结果提供建议。因此,首席审计官需要与风险和合规管理者密切协作。在企业层面的GRC实施中,有些组织将首席审计官设定为负责人,以保障各种协作的畅通。8. 业务部门执行与管理者角色
在风险管理领域,国际内部稽核协会(IIA)提出业务部门管理者负责执行组织的策略与业务,在面对经营环境的持续变动时需要承担辨别、评估、控制及减轻风险的责任。因此,业务部门管理者一直被称为组织风险管理的“第一道防线”。风险管理和合规管理的相关角色担任“第二道防线”,协助和监督“第一道防线”的各种控制措施。内部审计师担任“第三道防线”,针对公司治理、风险管理和合规管理过程的有效性提供全面的确认。在GRC实施中,业务部门管理者除了识别风险还要负责合规执行及组织绩效目标的实现。因此,他们需要总裁、人力资源主管、首席信息官、法律总顾问等其他GRC团队成员的支持。组织需要建立有效的双向沟通,一方面需要向业务部门管理者宣贯组织目标与策略、政策与制度、行为与控制措施。另一方面,业务部门管理者需要及时进行情况汇报,使组织能够根据情况变化及时调整策略与行动计划,从而更好地支持组织绩效、风险、合规等方面的管理。
1.1.4 通向有原则绩效之路
企业需要打破组织中的竖井式管理层级造成的信息壁垒,将所有的企业职能、流程和实体结合在一起,整合各项GRC能力,以实现企业目标。整合GRC能力不是指建立一个庞大的GRC部门,也不一定要求应用单一的GRC技术系统。相反,整合GRC能力指的是建立一套整体方法,确保正确的人在恰当的时间得到合适、正确的信息。例如:● 统一信息词汇和术语,以方便沟通交流;● 建立共同的数据、文件和信息库,以增强信息共享;● 为政策和培训等创建标准化的程序和模板,以提高效率;● 确保所有的相关角色间定期、持续沟通,保证信息对称等。
只有在组织的GRC政策、流程、技术、人员等资源协调一致时,GRC的设计、实施和评估才能达到最好的效果。
下面让我们来看看如何通过各个GRC角色间的有效协作,实现“有原则的绩效”的目标,如图1.3所示。图1.3 GRC多角色共同致力于有原则绩效场景
在图1.3中,参与GRC协同整合的角色有治理者、绩效管理者、风险管理者、合规管理者、审计人员、业务运营人员,此场景描绘了从战略目标制定到达成“有原则的绩效”目标的路径,具体内容如下所述。1. 基于GRC理念共同设定使命、愿景、价值观和商业模式
风险管理者、合规管理者、绩效管理者和治理层共同讨论企业的文化和管理基调,包括企业的使命、愿景、价值观以及该公司的商业模式。其中,风险管理者尤其关注企业的使命、愿景和价值观,因为不同的使命、愿景将决定企业会面临哪些方面的风险,不同的价值观决定了不同的风险偏好。而合规管理者往往关注企业在内外部边界的限制内,要采用怎样的商业模式。治理层和业绩负责人将结合内外部面临的风险、机遇以及合规要求,制定或调整企业的使命、愿景、价值观和商业模式,如图1.4所示。图1.4 设定企业使命、愿景、价值观和商业模式示意图2. 商业模式细化并保证经营计划贯彻执行
如果把企业比喻成一艘巨轮,上一个环节明确了航行的目的地、方向和安全航行的理念,接下来就需要制订航海计划,并且在航行中确保不偏离航线。在此环节中,合规管理者将为企业划定合规边界;业务人员在运营过程中,需要不断审视、均衡风险与回报;审计人员需要确保企业各个单元的执行情况与计划或规定相符。这就好比在航行中,要不断地根据天气、补给等状况调整航速和航线,同时还要保证船员各司其职,巨轮才能正常行驶。商业模式细化情况如图1.5所示。图1.5 商业模式细化示意图3. 管理不确定性(威胁和机遇)
在海上航行,难免会遇到狂风暴雨的恶劣天气,甚至遭遇船舱漏水的重大危机,也可能会误入布满暗礁的危险海域,但也有可能遇到与你同向的季风和暖流。企业也是如此,尤其是在如今复杂多变的商业环境中,管理不确定性成为GRC的核心职能。当威胁出现时,风险管理者会迅速采取措施进行应对;当机会来临时,也会提醒管理者抓住机遇。有时,业务人员为了完成业绩目标,想要采取非正常的方式行事。此时,合规管理者就会出手阻拦,防止企业发生违规事件。审计人员会继续检查管理和业务过程中的缺陷,并确保发现的问题得到整改。管理不确定性如图1.6所示。图1.6 管理不确定性示意图4. 综合审视绩效、风险与合规状况
在将风险、合规与绩效分开管理的企业中,这几个方面的负责人员将以各自的口径分别汇报相关信息,决策人员和管理人员难以获得全面的信息,也难以将这些信息以统一的口径关联起来。而在GRC成熟度较高的企业中,绩效、风险与合规的信息将汇总到统一的记分卡上,对绩效的预估是综合了风险水平、合规情况的信息后得到的更真实、更全面、更准确、更及时的结果,这样决策者可以基于综合信息做出更科学、更有效的决策。综合审视情况如图1.7所示。图1.7 综合审视示意图5. 帮助企业实现“有原则的绩效”目标
最终,在GRC各个角色的齐心协力下,企业在实现绩效目标的同时,也有效管理了威胁和机会,并没有发生重大的违规事件,企业的经营始终处于安全、稳定、持续的良性运行轨道上。GRC体系带来的整合性及透明性,不仅让鉴证工作更高效,而且提高了资源配置效率,让企业更有竞争力,让企业更加健康地发展。帮助企业实现目标如图1.8所示。图1.8 帮助企业实现目标示意图1.2 GRC体系架构
本节主要介绍企业GRC管理的体系架构,帮助组织开展GRC管理及实施工作。GRC体系架构可分为三个层次,如图1.9所示。图1.9 GRC体系架构● 顶层:GRC目标层,即帮助企业实现“有原则的绩效”。GRC管理落地时首先需要明确整体目标。● 中层:GRC方法层,即实现GRC目标的原则、框架和过程。企业需明确做事原则,厘清做事清单,划定做事的边界,然后规划做事途径,明确做事步骤。● 底层:GRC支撑层,包括能力、技术和文化。它们是企业执行层面所需具备的基础要素,是最终达成GRC目标的支撑。
1.2.1 GRC管理目标
美国咨询业领袖多弗·塞德曼在谈及企业可持续发展问题时,曾说:“如果我们总是持续关注企业利润,仅仅询问管理者完成了‘多少’利润,那么我们可能就忽略了另一个更加重要的问题:这些利润是‘如何’完成的?” 可见利润不是企业保持基业长青的唯一要素,符合各种原则条件的绩效才是健康发展的压舱石。OCEG认为,GRC所追求的目标“有原则的绩效”正是解决这一问题的良药。“有原则的绩效”专注于探究如何让企业能够合法地运营并实现经营目标。也就是说,GRC管理能在确保企业绩效的同时关注企业的风险,并使企业履行遵纪守法的义务和承诺;同时GRC管理也可持续保护企业的价值并实现企业的成长。“有原则的绩效”中的“绩效”两字包含以下三层含义。● 绩效是一种结果。通常表现为企业财务上的结果及与财务相关的可量化的结果。● 绩效是一种行为。通常表现为具有一定素质的员工围绕其任职的职位,为卓越地完成所负责的任务,而达到的不同阶段成果以及在实现目标的过程中的行为。● 绩效是一种考核。通常表现为企业把员工的技能、发展潜力和对价值观的认同表现纳入绩效考核的范围。“有原则”一词强调的是企业运营行为必须明确强制性边界和自愿性边界,清晰了解遵循这些行为边界的方法;当知道自己正在接近边界时,企业应具有迅速、妥善地做出响应的能力。关于强制性边界和自愿性边界的内涵,具体如下所述。● 强制性边界是由法律或行业组织明确规定的、企业必须严格遵守的规范和标准,也是企业开展经营活动需要遵守的最低要求,包括规范企业运营的相关法律、法规和行业规定等。● 自愿性边界则是由企业自愿为自己设置的行动边界,以更好地体现企业价值观并兑现其社会承诺,包括:遵循特定风险管理框架的承诺(例如COSO ERM)、遵循风险评级机构关于如何面对风险的承诺(例如标准普尔)、遵循与非强制行业最佳实践对标的承诺、遵循企业承担社会责任和可持续发展的承诺、遵循对消费者和合作伙伴的承诺等。
综上所述,“有原则的绩效”是指企业通过设立清晰明确的目标,设计适合的商业运作模式,综合运用战略、人员、流程、技术等企业资源,通过对不确定事件的管理,在保证不跨过行为边界的情况下进行商业运作,在克服障碍和抓住机遇之间灵活应对,在没有采用违背正直诚信的手段的前提下最终达成企业的各类目标(战略目标、运营目标、客户目标、流程目标、合规目标等)。简而言之,“有原则的绩效”就是在管理不确定性和保持正直诚信的同时可靠地达成目标,如图1.10所示。
试读结束[说明:试读内容隐藏了图片]