GRC四大能力解析

[摘 要]GRC理論引入中國后，與社會主義市場化改革的步調相結合，在風控、合規方面，為中國企業的管理能力的提升作出了巨大的貢獻。在企業構建GRC體系的過程中，最重要的就是對洞察能力、對齊能力、執行能力與優化能力的培育，通過四大能力的整合，GRC理論才能真正落地。

[關鍵詞]GRC理論；能力建設；公司治理；企業管理

doi：10.3969/j.issn.1673 - 0194.2016.24.020

[中圖分類號]F27 [文獻標識碼]A [文章編號]1673-0194（2016）24-00-02

美國頒布《薩班斯法案》，制定了嚴格的市場監管措施，GRC（Governance，Risk Management，Compliance）理論是美國《薩班斯法案》后形成的企業風險管理的理論模型。隨著改革的不斷深入，我國資本市場日益活躍，相關的政策體系也處于不斷完善的過程中。2015中國上市公司法律風險指數報告顯示，對2014年2 628家上市公司的評測中，共計出現376次違規，323人被追究高管責任，15 876次訴訟，分別比2013年上升了204%、156%、202%。上市公司風險合規運營的壓力明顯增大。中國市場和企業迫切需要一套行之有效的方法來加強對風險合規問題的管控。

1 洞察能力

無論是進行治理還是進行企業GRC體系建設，都必須首先具備洞察能力，了解和分析企業內外部環境、企業文化、主要利益相關者等信息，為企業設定目標、規劃戰略及制訂行動計劃提供支持。

1.1 外部環境

企業的外部環境是企業所處的宏觀環境的綜合，包括政治環境、經濟環境、社會文化環境、技術環境等，對外部環境的把握決定了企業對風險和機遇的認識。當前，我國經濟發展進入“新常態”，出現了3個變化，即增速變化、結構優化、動能轉化，為保持當前健康、持續、平穩的發展勢頭，需要在適度擴大總需求的同時，持續推進供給側結構性改革，發展新經濟，培育新動能，讓傳統產業和現代信息技術相結合，深化改革。這既是國家層面的規劃，也是國內環境對企業的整體要求。

1.2 內部環境

企業的內部環境包括產品設計、組織架構、運營計劃等，是一個企業的內在核心。GRC理論對企業內部環境的洞察能力提出了更高的要求，既要從管理的角度出發，以績效為最終目標，又要加入風險、合規的要求，全面管控，GRC理論要達成的績效是“有原則”的績效。因此，在洞察內部環境時，需要打破部門、層級的界限，建立起統一有序的信息集成方式，對內部環境有更清晰的認知。

1.3 企業文化

企業文化是企業架構的基礎。通過SWTO分析，明確企業的發展方向，制定戰略規劃，并確立不同的治理文化、管理文化、風險文化、道德文化等，形成完整的企業文化核心。

1.4 利益相關者

在現代化企業中，公司經營權和所有權的分離、公司間交叉持股等利益相關的現象越發常態化。洞察利益相關者一方面是分析群體內的組織和關鍵人物，另一方面是梳理外部利益相關者，確立優先次序，明確各利益主體的需求，制定出完善的發展計劃。

提升洞察能力。第一，對信息的整合能力要有所突破。在洞察企業內外部環境時，需要把所有的信息進行采集匯總，映射到一個統一的基準視圖中，制作一個完整的運營流程圖，并標明每個環節潛在的風險和機遇。分析內外部環境尤其是外部環境的變化，評估環境變化對企業經營目標的影響，進而對相應的運營計劃和經營活動進行調整，加強內部環境中對流程的管控，最大程度上降低風險，保障企業在合規范圍內活動。第二，需要建立完善的預案措施，不同環境因素的變化會產生不同的影響及潛在的累積效應或連鎖反應。

2 對齊能力

企業戰略的制定是一個動態的過程。企業戰略在實踐的過程中也不可避免地受到內外部因素的干擾，必須及時地進行對齊，才能保障最終目標的達成。對齊能力體現在對方向、目標、識別、評估、設計5個元素的把握上。

2.1 方向元素

方向是企業確定的，涵蓋使命、愿景、價值觀等在內的文化核心，指引企業最基本的前進方向。方向的設定體現了企業管理者對企業前進道路的構想，決定了在組建團隊、調配資源時的基調，方向的對齊實際上是企業在不斷發展過程中對自身的反問。

2.2 目標元素

目標是與企業決策標準相一致、可量化的目標，是企業階段性的發展方向。目標的對齊重點在于對決策標準的衡量和目標的優先級的排序。決策標準決定了目標是否正確，因此，對齊目標，首先需要對決策標準進行衡量，GRC體系的對齊能力要求決策標準必須綜合考慮績效、風險、合規三者之間的關系，堅定地反對“唯績效論”。

2.3 識別元素

識別是在經營過程中對目標或達成期望可能會造成不良影響的顯在或潛在因素必須及時地發現，進行處理。這種對風險、危機的識別對齊是企業健康運轉的保障，只有防微杜漸、避開礁石，才能“直掛云帆濟滄海”。

2.4 評估元素

評估采用定量與定性的方法相結合，對發展的道路進行綜合分析，并找出應對機遇、挑戰的道路，與原計劃對齊。在評估對齊中，當前道路與計劃道路之間往往并不完全重合，在對未來進行規劃時，即使思慮周密，也常常會出現問題，況且，市場瞬息萬變，不可估量。因此，評估對齊并不是一定要嚴格執行計劃，而是審時度勢，及時調整，促進目標達成。

2.5 設計元素

設計是在面對不確定性環境時，探索能夠應對要求，解決危機的可選方案。對齊設計，是在探索可選方案的過程中堅守底線。在應對不確定性環境時，下調甚至取消一些預設指標，這是實際應用過程中的需要，但對齊設計要求企業在對關鍵指標的管控上，不能因為困難就有所放松，否則，帶來的將會是更大的危機。

對齊是對“航線”的修訂，在對方向、目標、識別、評估、設計進行對齊時，必須以GRC理論的總體原則為基準，即注重績效、風險、合規的協調發展，對齊是為了實現“有原則的績效”，更側重于對“原則”的對齊。只有不斷地對齊，才能在激烈的市場競爭中不迷失方向。堅固的堡壘往往從內部被攻破，企業最大的對手也常常是自己，只有堅持“初心”，才能長遠發展。

3 執行能力

執行是計劃落實的重要環節，直接決定著前期規劃的成果。執行能力實際上就是對企業經營活動中各環節的控制，這種控制主要體現在事前、事中、事后三個層面，可以分為預防性控制、發現性控制和響應性控制三類。

3.1 預防性控制

預防性控制以政策、溝通、教育與激勵的方式實現。政策是預防性控制中的核心，以提前告知的方式對員工的職責提出要求，每個人都各司其職，企業“這部精密的機器”才能有條不紊地運轉。溝通是控制活動中的潤滑劑，通過良好的溝通，層級、部門之間相互了解，獲取必要信息、了解存在的問題，及時修正，達到預防的目的。教育是加強預防性控制的關鍵，通過教育，企業內及關聯公司對企業的期望行為有清晰的認知，加深了對企業政策的認同。激勵是通過薪酬、獎勵和表彰等形式對符合預期的行為進行鼓勵，通過激勵，能有效地提高員工的遵從意愿，刺激其期望行為。

3.2 發現性控制

發現性控制主要以通知和詢問的方式實現。通知是指提供多種途徑報告目標進展情況及期望和不期望的行為、狀況和事件是否已經發生或可能發生；詢問則是定期分析并詢問有關目標進度的數據和信息記憶存在的不良行為、狀況和事件。

3.3 響應性控制

響應性控制包括調查、處理、改進3個部分，在發現問題后，了解掌握相關信息是解決的基礎，確立調查流程，及時收集分析情況，形成完整的事件報告，然后進行處理，有預案的按相應程序啟動預案，超出涵蓋范圍的進行申報，獲得相關授權或派專員負責，最后，對案例進行反思，找出問題癥結，總結經驗，改進流程。在響應性控制中，要注意信息的流暢，同時，如果問題涉及范圍較廣，還應該在恰當的時間對信息進行披露，最大程度上降低影響。

執行能力是GRC理論體系能力中涉及面最廣泛的，需要從治理層、管理層到業務層的全體參與，同時執行能力也是連接規劃與成果的橋梁，重要性自然不言而喻。通過執行能力的建設，GRC體系的理念能夠更好地融入企業，不僅在治理層、管理層形成影響，而且在廣大的業務層也可以產生共鳴，提高企業整體對GRC理論體系的認同，幫助企業達成“有原則的績效”。

4 優化能力

通過開展一系列的活動，檢測管控機制執行的有效性，發現問題并不斷優化機制設計，提高效率。通過優化，企業的GRC活動能夠在洞察—對齊—執行—優化的閉環中不斷改進，實現提升。下面詳細敘述優化流程。

4.1 監測

在管理活動中，企業必須對既定活動進行監測，確保各項活動符合原則且有利于目標的達成。隨著內外部環境的變化，風險、合規的固有水平和剩余水平常常處于波動之中，投資回報比例在項目進行的過程中也經常會因為各種不可抗因素發生改變，當前活動與控制也會隨之失效，在這樣的情況下，必須加強監測，企業才能及時了解信息，根據決策準則與彈性承受能力對目標或策略作出相應的調整。加強監測，需要制定合理的時間表，根據企業的目標、機會、威脅和環境變化等因素，定期評估，分析并形成報告，以便進行系統性的改進。

4.2 鑒證

即向企業的治理層、管理層和其他相關人員提供其所期望的鑒證水平，明確鑒證評估的范圍、程序和標準，執行和跟蹤鑒證程序，確保建議的落實，并對落實的結果進行分析，評價其是否達到預期目標。通過鑒證，管理者對GRC體系所具備的可靠性、有效性、高效性和影響性有了更強的信心，有利于GRC理論的推行。

4.3 改進

通過監測、鑒證，對采集到的信息進行全面整理，從中發現GRC能力提升的機會。改進是追求精益求精的過程，一方面，總結過去的經驗，從中找出優點和缺點，確保需要提升的環節被識別并得以解決；另一方面，創新也是改進的重要途徑，社會發展速度不斷加快，新技術、新方法層出不窮，對新能力的應用是快速提高的有效方法。同時，改進應該是一個持續的過程，在對信息的分析中，既要關注問題本身，又要對企業自身的薄弱環節有所察覺。

優化能力是推動GRC體系不斷提升的關鍵，通過優化，企業的內部流程不斷趨于完善，提高對各類風險的抵抗能力。優化能夠幫助企業更加游刃有余地應對風險，并通過優化，經驗轉換為制度，再面對同類型問題時，企業內已經形成了相應的反饋機制，大大降低了同類型危機的影響，為企業的危機應對節約了大量的人力和財力。這也是GRC理論在實際應用中優勢的體現。

在GRC理論下，治理、風險管理、合規遵循呈現融合的態勢，三者協同達成“有原則績效”的目標。通過GRC能力的培養，企業對自身風險和流程優化的認識越加清晰，對構建完整GRC體系的需求更加明確。GRC的四大能力各有所側重，不同企業在不同時期的情況不同，可以根據其真實情況重點對一種或幾種能力進行強化，以達成GRC提升的目的。同時，四大能力之間并不是孤立的，洞察—對齊—執行—優化四大能力之間形成了“PDCA（計劃、實施、檢查、處理）”循環，這種循環是螺旋式上升的，每完成一次循環，質量都會有所提高。通過四大能力間的循環，不同部門各個崗位的人員都參與到GRC體系的建設過程中，GRC能力全面、持續、深入地應用，幫助企業逐步達成“有原則績效”的目標。

主要參考文獻

[1]北京慧點科技有限公司.有原則績效之路——GRC理論與實踐初探[M].北京：清華大學出版社，2016.

[2]包俊君.GRC企業管控體系在中國[J].軟件和信息服務，2013（2）.

[3]鄒大斌.GRC降低企業經營風險[N].計算機世界，2012-07-23.

[4]張巧良，宋穎超，李艷.GRC整合框架構建研究[J].商業時代，2008（32）.