GRC保障企業(yè)健康運(yùn)營

文/馬東紅

GRC是在企業(yè)的各經(jīng)營業(yè)務(wù)之上，以戰(zhàn)略為中心，以流程管理為基礎(chǔ)，通過績效管理和風(fēng)險(xiǎn)內(nèi)控管理措施，對各項(xiàng)經(jīng)營管理過程進(jìn)行管理和控制，保障戰(zhàn)略和經(jīng)營目標(biāo)達(dá)成的管理方法的總稱，對企業(yè)的健康運(yùn)營起著關(guān)鍵作用。

每個(gè)企業(yè)都想成為百年老店?！敦?cái)富》雜志每年評選的世界500強(qiáng)企業(yè)，平均壽命不到50年，至少45%的企業(yè)每10年會遭遇一次毀滅性打擊。中國從2002年公布中國企業(yè)500強(qiáng)，迄今每年有20%左右的企業(yè)被淘汰。所以，“百年老店”比百歲老人的數(shù)量還少！

企業(yè)非健康運(yùn)營帶來的困境

從理論上來講，人的壽命是有限的，而企業(yè)，由于可以打破自然人壽命的限制，因此，企業(yè)的存活期應(yīng)該超過人的平均年齡。而實(shí)際情況卻不盡然。這是值得那些正在掌管著企業(yè)或即將掌管企業(yè)亦或即將創(chuàng)業(yè)的人去思索的。

我們不妨從失敗的企業(yè)身上，先來做點(diǎn)淺層次的思考。

“毒奶粉事件”使得中國企業(yè)500強(qiáng)之一、中國前500個(gè)最具價(jià)值品牌之一的大型企業(yè)—三鹿集團(tuán)從問題曝光、危機(jī)爆發(fā)到法院宣布集團(tuán)破產(chǎn)僅108天，而這更引發(fā)了奶制品行業(yè)的信任危機(jī)和生存困境，貪婪和不誠信是導(dǎo)致三鹿集團(tuán)破產(chǎn)的主要原因。

2013年7月曝出的“葛蘭素史克中國行賄事件”，使得在中國快速發(fā)展的跨國藥企中，若干高管因商業(yè)賄賂被判有期徒刑2～4年，罰款30億元，這是迄今為止中國開出的最大罰單。同時(shí)，經(jīng)營過程的不合規(guī)也給企業(yè)帶來了巨大的聲譽(yù)損失。

2014年12月，上海家化集團(tuán)因未及時(shí)披露關(guān)聯(lián)交易情況收到上海證監(jiān)局《行政處罰事先告知書》，受到警告、處以30萬元罰款，時(shí)任上海家化董事長葛文耀、時(shí)任平安信托董事長童愷等高管也受到了不同額度的罰款。近一年，上海家化大股東及其代理人與原管理層的內(nèi)幕曝出，造成股價(jià)波動(dòng)，關(guān)聯(lián)交易方面的違規(guī)使上海家化或有退市的風(fēng)險(xiǎn)。

眾多事例表明：企業(yè)經(jīng)營環(huán)境的復(fù)雜、利潤的減少都不是企業(yè)破產(chǎn)的致命利器，而真正的原因是企業(yè)的非健康運(yùn)營。

馬東紅

北京慧點(diǎn)科技有限公司商業(yè)價(jià)值研究院總監(jiān)

GRC幫助企業(yè)走出困境

GRC的倡導(dǎo)者國際OCEG組織（Open Compliance & Ethics Group’s）認(rèn)為，單獨(dú)追求財(cái)務(wù)目標(biāo)在當(dāng)今并不能保證企業(yè)的健康運(yùn)營。企業(yè)除了需要滿足股東及其他利益相關(guān)者的利潤訴求外，還需要承擔(dān)社會責(zé)任，并且使其各項(xiàng)活動(dòng)符合道德與法律的要求。

無論外界環(huán)境怎樣變換，技術(shù)上“互聯(lián)網(wǎng)+”、大數(shù)據(jù)、云計(jì)算如何發(fā)展，企業(yè)都需要以健康的運(yùn)營狀態(tài)來迎接變化，這樣才能有更大的勝算。

何為健康的運(yùn)營狀態(tài)呢？也許西方學(xué)者的研究能給我們一些啟示：荷蘭皇家殼牌石油公司的阿里德杰斯發(fā)現(xiàn)，長壽企業(yè)普遍具有四個(gè)生命要素—財(cái)務(wù)保守、寬容、凝聚力強(qiáng)和對環(huán)境敏感。

美國技術(shù)和市場調(diào)研權(quán)威Forrester Research的一位前分析師Michael Rasmussen提出GRC（Governance,Risk & Compliance）概念并認(rèn)為：GRC是這樣一種能力，它使企業(yè)能可靠地達(dá)成目標(biāo)，與此同時(shí)管理不確定性和保證正直誠信。

GRC概念的提出

以美國安然、法國興業(yè)銀行等一系列反面教材為觸發(fā)點(diǎn)、以《薩班斯法案》為源泉，2002年國際OCEG組織提出GRC管理理念。

GRC是實(shí)現(xiàn)企業(yè)治理、績效、風(fēng)險(xiǎn)、合規(guī)等管理方法的完全整合與協(xié)同所必需的所有能力的集合的簡稱。GRC管理理念被認(rèn)為是企業(yè)在日益復(fù)雜的競爭環(huán)境下賴以生存和發(fā)展的必然和有效選擇。安永、德勤等咨詢機(jī)構(gòu)，Oracle、SAP、IBM、EMC等IT解決方案廠商陸續(xù)成為OCEG的會員。

雖然，GRC在國外已經(jīng)發(fā)展了相當(dāng)長的時(shí)間，但在國內(nèi)才剛剛興起。2008年，北京慧點(diǎn)科技有限公司（簡稱慧點(diǎn)科技）率先引入GRC管理理念，融合自動(dòng)化控制原理和中國的實(shí)際情況，形成具有慧點(diǎn)科技特色的GRC理念。

慧點(diǎn)科技認(rèn)為，GRC是在企業(yè)的各經(jīng)營業(yè)務(wù)之上，以戰(zhàn)略為中心，以流程管理為基礎(chǔ)，通過績效管理和風(fēng)險(xiǎn)內(nèi)控管理措施，對各項(xiàng)經(jīng)營管理過程進(jìn)行管理和控制，保障戰(zhàn)略和經(jīng)營目標(biāo)達(dá)成的管理方法的總稱。

GRC涉及以下主要部分：

北京慧點(diǎn)科技有限公司商業(yè)價(jià)值研究院總監(jiān)馬東紅

Governance（治理/管控）：建立完整的制度安排和治理框架，從外部指導(dǎo)、控制、評估實(shí)體、流程和資源，在這個(gè)過程中公平對待各利益相關(guān)者，制定公司戰(zhàn)略目標(biāo)和制度、監(jiān)督績效、遵從法律及制度規(guī)定、透明和披露經(jīng)營狀況，對各項(xiàng)經(jīng)營管理過程本身進(jìn)一步進(jìn)行管理和監(jiān)督。治理的目標(biāo)在于—可靠地達(dá)成目標(biāo)。

Risk Management（風(fēng)險(xiǎn)管理）：對所有業(yè)務(wù)和法規(guī)風(fēng)險(xiǎn)進(jìn)行結(jié)構(gòu)化的識別、評估、緩解、監(jiān)視和控制，在追求回報(bào)的同時(shí)應(yīng)對各種風(fēng)險(xiǎn)。治理的目的在于—處理不確定性。

圖 有原則績效示意圖

Compliance Management（合規(guī)管理）：通過內(nèi)部控制管理機(jī)制和體系，確保各項(xiàng)制度和法規(guī)得以遵從、制度得以貫徹、各項(xiàng)經(jīng)營和管理目標(biāo)得以有效達(dá)成。治理的目的在于—誠信做事。

綜上所述，慧點(diǎn)科技對GRC的主要組成進(jìn)行了逐個(gè)分析，但GRC更強(qiáng)調(diào)的是有機(jī)集成和融合統(tǒng)一的方法體系，要滿足企業(yè)健康運(yùn)營并且能達(dá)成既定目標(biāo)，必須能夠?qū)RC整體進(jìn)行有效落地，這樣才能讓GRC在企業(yè)中不再僅僅是一個(gè)口號，而是企業(yè)發(fā)展的有效保障，才能有效發(fā)揮GRC的真正價(jià)值。

GRC的目標(biāo)

上面提到，葛蘭素史克因?yàn)橹袊匈V事件而面臨高達(dá)30億元的巨額罰款。不少職業(yè)人或許都曾像葛蘭素史克員工一樣，面臨在個(gè)人或公司的生存原則與利益最大化之間做出艱難抉擇的考驗(yàn)。

美國咨詢業(yè)領(lǐng)袖多弗·塞德曼認(rèn)為：“如果我們總是需要持續(xù)關(guān)注企業(yè)利潤，僅僅詢問完成了‘多少’利潤，那么我們就將錯(cuò)過另一個(gè)更重要的問題—它是‘如何’完成的？”國際OCEG組織認(rèn)為，GRC所追求的目標(biāo)“有原則績效”正是解決這一問題的方法。

“績效”包含了三層含義：

結(jié)果—通常表現(xiàn)是企業(yè)財(cái)務(wù)上的結(jié)果及與財(cái)務(wù)相關(guān)的可量化的結(jié)果。

行為—通常表現(xiàn)是具有一定素質(zhì)的員工圍繞其任職的職位，為卓越地完成所負(fù)責(zé)的任務(wù)，而達(dá)到的不同階段成果，以及在實(shí)現(xiàn)目標(biāo)的過程中的行為表現(xiàn)。

考核—通常表現(xiàn)是企業(yè)把員工的技能、發(fā)展?jié)摿蛯r(jià)值觀的認(rèn)同表現(xiàn)納入績效考核的范圍。

“有原則”強(qiáng)調(diào)明確建立強(qiáng)制邊界與自愿邊界，并清晰表達(dá)遵守這些行為邊界的方法。綜合運(yùn)用戰(zhàn)略、人員、流程、技術(shù)等資源，通過對不確定事件的管理，在保證不跨過行為邊界的情況下進(jìn)行商業(yè)運(yùn)作，在客服障礙和抓住機(jī)遇之間靈活應(yīng)對，最終實(shí)現(xiàn)企業(yè)戰(zhàn)略目標(biāo)、運(yùn)營目標(biāo)、客戶目標(biāo)、流程目標(biāo)、合規(guī)目標(biāo)等。

“有原則績效”是指可靠地達(dá)成目標(biāo)，與此同時(shí)管理不確定性和保證正直誠信，其專注于探究如何讓企業(yè)能夠達(dá)到合法性運(yùn)作目標(biāo)并實(shí)現(xiàn)經(jīng)營目標(biāo)。

“有原則績效”包含四個(gè)層面的含義：

達(dá)成目標(biāo)—設(shè)定清晰的目標(biāo)，設(shè)計(jì)商業(yè)模式，測量績效。董事會審查目標(biāo)設(shè)定流程、商業(yè)模式與績效報(bào)告，管理人員負(fù)責(zé)執(zhí)行戰(zhàn)略并運(yùn)作商業(yè)模式。

管理不確定性—全面考慮未來可能影響到企業(yè)戰(zhàn)略和運(yùn)作的各種風(fēng)險(xiǎn)。以先行主動(dòng)的方式控制風(fēng)險(xiǎn)，使風(fēng)險(xiǎn)對利潤的影響最小化；對各種可能會發(fā)生的風(fēng)險(xiǎn)深思熟慮、充分思考、嚴(yán)格對待。

保證正直誠信—遵循法律法規(guī)等強(qiáng)制性要求，行為不觸犯強(qiáng)制性邊界。同時(shí)遵循企業(yè)、利益相關(guān)者自主設(shè)定的要求，同樣行為不觸犯自愿性邊界。如果不能遵從承諾，則需要澄清并承擔(dān)違約后果。

圖 GRC管理層級實(shí)施示意圖

圖 國內(nèi)某大型集團(tuán)GRC統(tǒng)一平臺功能架構(gòu)圖

可靠—確保企業(yè)有合理的管理、治理和保證措施。企業(yè)目標(biāo)是上下對齊、一致的、可實(shí)現(xiàn)的。確保企業(yè)收集信息的精確性、可靠性。確保執(zhí)行過程的持續(xù)性、穩(wěn)健性，達(dá)成目標(biāo)是可預(yù)期的。

GRC理想實(shí)施的完美畫面

了解企業(yè)的現(xiàn)狀是非常重要的，當(dāng)前很多企業(yè)組織和功能設(shè)計(jì)相對獨(dú)立；管理存在割裂、復(fù)雜，嚴(yán)重資源浪費(fèi)等問題；治理層感知到管理不透明、策略雜亂無章、管理成本很高；呈現(xiàn)出企業(yè)整體缺乏有效監(jiān)管。

GRC理想實(shí)施的完美畫面是，治理層通過準(zhǔn)確、真實(shí)、集成的分析及報(bào)告進(jìn)行有效地監(jiān)管；管理層推行有機(jī)集成和融合統(tǒng)一的管控機(jī)制，包括集成的GRC戰(zhàn)略、集成的風(fēng)險(xiǎn)管理、高度融合&高質(zhì)量的信息等；保障層采用統(tǒng)一的方法、統(tǒng)一的詞匯、共享的技術(shù)、共享的服務(wù)，幫助企業(yè)健康運(yùn)營并實(shí)現(xiàn)“有原則績效”。

GRC的理想實(shí)施，一般在企業(yè)的六個(gè)方面取得可預(yù)期、直觀可見的成效：

降低成本。企業(yè)對GRC活動(dòng)的投資，會降低企業(yè)成本，提高回報(bào)率。

品牌價(jià)值提升。對風(fēng)險(xiǎn)的有效控制，降低有損企業(yè)品牌事件的發(fā)生率，品牌受到保護(hù)，提升品牌價(jià)值。

企業(yè)運(yùn)行更有效。逐漸剔除冗余、減少重復(fù)性、打破壁壘，企業(yè)運(yùn)行變得越來越有效。

優(yōu)化資本分配。辨別企業(yè)產(chǎn)能過?；虻托У臉I(yè)務(wù)，為企業(yè)資金和人力資源分配優(yōu)化提供支持。

流程優(yōu)化。有價(jià)值的活動(dòng)寫入流程，去掉無價(jià)值的活動(dòng)，偏離目標(biāo)和時(shí)滯等問題逐一被解決，使得企業(yè)流程得到不斷優(yōu)化。

提供高質(zhì)量信息。信息的準(zhǔn)確性、及時(shí)性，能夠輔助企業(yè)的管理層快速地做出更明智的決策。

實(shí)現(xiàn)GRC的障礙及解決辦法

理想是美好的，現(xiàn)實(shí)是骨感的。企業(yè)在實(shí)施GRC過程中碰到的最大問題，是感覺GRC管理概念太大了，無從下手，不知道如何落地。面對這樣的現(xiàn)狀，企業(yè)應(yīng)該怎樣解除障礙呢？各個(gè)企業(yè)具體情況不同，采取的措施也各不相同。但有幾個(gè)通用的方面企業(yè)可以參考：

問題入手

GRC管理實(shí)施切忌好高騖遠(yuǎn)，可以從1～2個(gè)具體問題做起，在小范圍內(nèi)體會GRC管理實(shí)施為企業(yè)帶來的益處。實(shí)施GRC管理的核心過程遵循PDCA原則，分別是計(jì)劃/流程、預(yù)防/保護(hù)/預(yù)案、監(jiān)測/評估、響應(yīng)/改進(jìn)。

計(jì)劃/流程

根據(jù)戰(zhàn)略和目標(biāo)制定描述清晰的行為邊界，根據(jù)內(nèi)外部環(huán)境及企業(yè)自身情況選擇商業(yè)模式，評估風(fēng)險(xiǎn)，進(jìn)行可執(zhí)行性分析，設(shè)定實(shí)施策略和步驟。

預(yù)防/保護(hù)/預(yù)案

對員工進(jìn)行培訓(xùn)和教育，使員工了解戰(zhàn)略、目標(biāo)、計(jì)劃、流程等信息，清楚員工行為準(zhǔn)則，明確執(zhí)行階段可能遇到的風(fēng)險(xiǎn)及預(yù)案應(yīng)對措施?？刂茍?zhí)行過程，保護(hù)企業(yè)價(jià)值，規(guī)避或減少風(fēng)險(xiǎn)損失。

監(jiān)測/評估

對執(zhí)行過程的關(guān)鍵節(jié)點(diǎn)進(jìn)行連續(xù)監(jiān)測，包括控制、保障與審計(jì)、熱線和求助專線報(bào)告；同時(shí)進(jìn)行定期評估，包括有效性評估、項(xiàng)目績效評估和評估規(guī)劃與報(bào)告。

響應(yīng)/改進(jìn)

發(fā)現(xiàn)問題要及時(shí)披露并糾正，在問題管理方面要提升響應(yīng)速度。面對專有風(fēng)險(xiǎn)，要做特例調(diào)查防患于未然。懲罰與披露、糾正與改進(jìn)是主要執(zhí)行手段。

分層實(shí)施

大部分企業(yè)或多或少都在從事某種GRC管理活動(dòng)，GRC管理活動(dòng)可以在企業(yè)內(nèi)分層分級實(shí)現(xiàn)。一般GRC的管理層級可以分為企業(yè)層級、重點(diǎn)項(xiàng)目層級、部門層級和事件層級。

企業(yè)層級的GRC需要構(gòu)建企業(yè)GRC管理框架，綜合各部門、業(yè)務(wù)域進(jìn)行綜合GRC管理；重點(diǎn)項(xiàng)目層級的GRC則聚焦于具體的、跨部門的重大項(xiàng)目問題；部門層級的GRC解決具體職能域內(nèi)的相關(guān)具體問題；事件層級的GRC專注于簡單事件的GRC實(shí)施。如果GRC滲透到公司的各個(gè)層面，就能有效地推進(jìn)企業(yè)目標(biāo)的實(shí)現(xiàn)。

持之以恒

企業(yè)實(shí)施GRC，一開始可能不會有巨大的改變，但不要因此變得灰心喪氣而放棄。改善是會一點(diǎn)點(diǎn)到來，管理人員和員工會清晰地看到自己努力帶來的成果。當(dāng)然在這個(gè)過程中，為了激勵(lì)員工，可考慮進(jìn)行直接的補(bǔ)償獎(jiǎng)勵(lì)，比如給部門更多預(yù)算，或者給團(tuán)隊(duì)和個(gè)人發(fā)獎(jiǎng)金，這些都是鼓勵(lì)其完成目標(biāo)的動(dòng)力。

技術(shù)支持

GRC的統(tǒng)一服務(wù)平臺，是企業(yè)GRC管理架構(gòu)與IT技術(shù)方案實(shí)現(xiàn)有機(jī)集成和融合統(tǒng)一的基石，能更好地滿足企業(yè)管理的需要。通過平臺可以擁有支持GRC運(yùn)作的流程和技術(shù)、獲得一致性和完整性的信息，并大大簡化具體管理實(shí)施的復(fù)雜性，使企業(yè)能夠做到有效率、有效果、響應(yīng)靈敏，從而促進(jìn)GRC目標(biāo)以及企業(yè)目標(biāo)的實(shí)現(xiàn)。

每家企業(yè)所需的GRC管理架構(gòu)是不同的，因此GRC管理架構(gòu)的設(shè)計(jì)需要在企業(yè)架構(gòu)的環(huán)境中做出，使GRC支持企業(yè)的DNA并與之結(jié)合為一個(gè)整體。

責(zé)任編輯：吳崝

wang.liu@softic.com.cn