[摘 要]GRC理論引入中國后，與社會主義市場化改革的步調(diào)相結(jié)合，在風控、合規(guī)方面，為中國企業(yè)的管理能力的提升作出了巨大的貢獻。在企業(yè)構(gòu)建GRC體系的過程中，最重要的就是對洞察能力、對齊能力、執(zhí)行能力與優(yōu)化能力的培育，通過四大能力的整合，GRC理論才能真正落地。

[關(guān)鍵詞]GRC理論；能力建設；公司治理；企業(yè)管理

doi：10.3969/j.issn.1673 - 0194.2016.24.020

[中圖分類號]F27 [文獻標識碼]A [文章編號]1673-0194（2016）24-00-02

美國頒布《薩班斯法案》，制定了嚴格的市場監(jiān)管措施，GRC（Governance，Risk Management，Compliance）理論是美國《薩班斯法案》后形成的企業(yè)風險管理的理論模型。隨著改革的不斷深入，我國資本市場日益活躍，相關(guān)的政策體系也處于不斷完善的過程中。2015中國上市公司法律風險指數(shù)報告顯示，對2014年2 628家上市公司的評測中，共計出現(xiàn)376次違規(guī)，323人被追究高管責任，15 876次訴訟，分別比2013年上升了204%、156%、202%。上市公司風險合規(guī)運營的壓力明顯增大。中國市場和企業(yè)迫切需要一套行之有效的方法來加強對風險合規(guī)問題的管控。

1 洞察能力

無論是進行治理還是進行企業(yè)GRC體系建設，都必須首先具備洞察能力，了解和分析企業(yè)內(nèi)外部環(huán)境、企業(yè)文化、主要利益相關(guān)者等信息，為企業(yè)設定目標、規(guī)劃戰(zhàn)略及制訂行動計劃提供支持。

1.1 外部環(huán)境

企業(yè)的外部環(huán)境是企業(yè)所處的宏觀環(huán)境的綜合，包括政治環(huán)境、經(jīng)濟環(huán)境、社會文化環(huán)境、技術(shù)環(huán)境等，對外部環(huán)境的把握決定了企業(yè)對風險和機遇的認識。當前，我國經(jīng)濟發(fā)展進入“新常態(tài)”，出現(xiàn)了3個變化，即增速變化、結(jié)構(gòu)優(yōu)化、動能轉(zhuǎn)化，為保持當前健康、持續(xù)、平穩(wěn)的發(fā)展勢頭，需要在適度擴大總需求的同時，持續(xù)推進供給側(cè)結(jié)構(gòu)性改革，發(fā)展新經(jīng)濟，培育新動能，讓傳統(tǒng)產(chǎn)業(yè)和現(xiàn)代信息技術(shù)相結(jié)合，深化改革。這既是國家層面的規(guī)劃，也是國內(nèi)環(huán)境對企業(yè)的整體要求。

1.2 內(nèi)部環(huán)境

企業(yè)的內(nèi)部環(huán)境包括產(chǎn)品設計、組織架構(gòu)、運營計劃等，是一個企業(yè)的內(nèi)在核心。GRC理論對企業(yè)內(nèi)部環(huán)境的洞察能力提出了更高的要求，既要從管理的角度出發(fā)，以績效為最終目標，又要加入風險、合規(guī)的要求，全面管控，GRC理論要達成的績效是“有原則”的績效。因此，在洞察內(nèi)部環(huán)境時，需要打破部門、層級的界限，建立起統(tǒng)一有序的信息集成方式，對內(nèi)部環(huán)境有更清晰的認知。

1.3 企業(yè)文化

企業(yè)文化是企業(yè)架構(gòu)的基礎。通過SWTO分析，明確企業(yè)的發(fā)展方向，制定戰(zhàn)略規(guī)劃，并確立不同的治理文化、管理文化、風險文化、道德文化等，形成完整的企業(yè)文化核心。

1.4 利益相關(guān)者

在現(xiàn)代化企業(yè)中，公司經(jīng)營權(quán)和所有權(quán)的分離、公司間交叉持股等利益相關(guān)的現(xiàn)象越發(fā)常態(tài)化。洞察利益相關(guān)者一方面是分析群體內(nèi)的組織和關(guān)鍵人物，另一方面是梳理外部利益相關(guān)者，確立優(yōu)先次序，明確各利益主體的需求，制定出完善的發(fā)展計劃。

提升洞察能力。第一，對信息的整合能力要有所突破。在洞察企業(yè)內(nèi)外部環(huán)境時，需要把所有的信息進行采集匯總，映射到一個統(tǒng)一的基準視圖中，制作一個完整的運營流程圖，并標明每個環(huán)節(jié)潛在的風險和機遇。分析內(nèi)外部環(huán)境尤其是外部環(huán)境的變化，評估環(huán)境變化對企業(yè)經(jīng)營目標的影響，進而對相應的運營計劃和經(jīng)營活動進行調(diào)整，加強內(nèi)部環(huán)境中對流程的管控，最大程度上降低風險，保障企業(yè)在合規(guī)范圍內(nèi)活動。第二，需要建立完善的預案措施，不同環(huán)境因素的變化會產(chǎn)生不同的影響及潛在的累積效應或連鎖反應。

2 對齊能力

企業(yè)戰(zhàn)略的制定是一個動態(tài)的過程。企業(yè)戰(zhàn)略在實踐的過程中也不可避免地受到內(nèi)外部因素的干擾，必須及時地進行對齊，才能保障最終目標的達成。對齊能力體現(xiàn)在對方向、目標、識別、評估、設計5個元素的把握上。

2.1 方向元素

方向是企業(yè)確定的，涵蓋使命、愿景、價值觀等在內(nèi)的文化核心，指引企業(yè)最基本的前進方向。方向的設定體現(xiàn)了企業(yè)管理者對企業(yè)前進道路的構(gòu)想，決定了在組建團隊、調(diào)配資源時的基調(diào)，方向的對齊實際上是企業(yè)在不斷發(fā)展過程中對自身的反問。

2.2 目標元素

目標是與企業(yè)決策標準相一致、可量化的目標，是企業(yè)階段性的發(fā)展方向。目標的對齊重點在于對決策標準的衡量和目標的優(yōu)先級的排序。決策標準決定了目標是否正確，因此，對齊目標，首先需要對決策標準進行衡量，GRC體系的對齊能力要求決策標準必須綜合考慮績效、風險、合規(guī)三者之間的關(guān)系，堅定地反對“唯績效論”。

2.3 識別元素

識別是在經(jīng)營過程中對目標或達成期望可能會造成不良影響的顯在或潛在因素必須及時地發(fā)現(xiàn)，進行處理。這種對風險、危機的識別對齊是企業(yè)健康運轉(zhuǎn)的保障，只有防微杜漸、避開礁石，才能“直掛云帆濟滄海”。

2.4 評估元素

評估采用定量與定性的方法相結(jié)合，對發(fā)展的道路進行綜合分析，并找出應對機遇、挑戰(zhàn)的道路，與原計劃對齊。在評估對齊中，當前道路與計劃道路之間往往并不完全重合，在對未來進行規(guī)劃時，即使思慮周密，也常常會出現(xiàn)問題，況且，市場瞬息萬變，不可估量。因此，評估對齊并不是一定要嚴格執(zhí)行計劃，而是審時度勢，及時調(diào)整，促進目標達成。

2.5 設計元素

設計是在面對不確定性環(huán)境時，探索能夠應對要求，解決危機的可選方案。對齊設計，是在探索可選方案的過程中堅守底線。在應對不確定性環(huán)境時，下調(diào)甚至取消一些預設指標，這是實際應用過程中的需要，但對齊設計要求企業(yè)在對關(guān)鍵指標的管控上，不能因為困難就有所放松，否則，帶來的將會是更大的危機。

對齊是對“航線”的修訂，在對方向、目標、識別、評估、設計進行對齊時，必須以GRC理論的總體原則為基準，即注重績效、風險、合規(guī)的協(xié)調(diào)發(fā)展，對齊是為了實現(xiàn)“有原則的績效”，更側(cè)重于對“原則”的對齊。只有不斷地對齊，才能在激烈的市場競爭中不迷失方向。堅固的堡壘往往從內(nèi)部被攻破，企業(yè)最大的對手也常常是自己，只有堅持“初心”，才能長遠發(fā)展。

3 執(zhí)行能力

執(zhí)行是計劃落實的重要環(huán)節(jié)，直接決定著前期規(guī)劃的成果。執(zhí)行能力實際上就是對企業(yè)經(jīng)營活動中各環(huán)節(jié)的控制，這種控制主要體現(xiàn)在事前、事中、事后三個層面，可以分為預防性控制、發(fā)現(xiàn)性控制和響應性控制三類。

3.1 預防性控制

預防性控制以政策、溝通、教育與激勵的方式實現(xiàn)。政策是預防性控制中的核心，以提前告知的方式對員工的職責提出要求，每個人都各司其職，企業(yè)“這部精密的機器”才能有條不紊地運轉(zhuǎn)。溝通是控制活動中的潤滑劑，通過良好的溝通，層級、部門之間相互了解，獲取必要信息、了解存在的問題，及時修正，達到預防的目的。教育是加強預防性控制的關(guān)鍵，通過教育，企業(yè)內(nèi)及關(guān)聯(lián)公司對企業(yè)的期望行為有清晰的認知，加深了對企業(yè)政策的認同。激勵是通過薪酬、獎勵和表彰等形式對符合預期的行為進行鼓勵，通過激勵，能有效地提高員工的遵從意愿，刺激其期望行為。

3.2 發(fā)現(xiàn)性控制

發(fā)現(xiàn)性控制主要以通知和詢問的方式實現(xiàn)。通知是指提供多種途徑報告目標進展情況及期望和不期望的行為、狀況和事件是否已經(jīng)發(fā)生或可能發(fā)生；詢問則是定期分析并詢問有關(guān)目標進度的數(shù)據(jù)和信息記憶存在的不良行為、狀況和事件。

3.3 響應性控制

響應性控制包括調(diào)查、處理、改進3個部分，在發(fā)現(xiàn)問題后，了解掌握相關(guān)信息是解決的基礎，確立調(diào)查流程，及時收集分析情況，形成完整的事件報告，然后進行處理，有預案的按相應程序啟動預案，超出涵蓋范圍的進行申報，獲得相關(guān)授權(quán)或派專員負責，最后，對案例進行反思，找出問題癥結(jié)，總結(jié)經(jīng)驗，改進流程。在響應性控制中，要注意信息的流暢，同時，如果問題涉及范圍較廣，還應該在恰當?shù)臅r間對信息進行披露，最大程度上降低影響。

執(zhí)行能力是GRC理論體系能力中涉及面最廣泛的，需要從治理層、管理層到業(yè)務層的全體參與，同時執(zhí)行能力也是連接規(guī)劃與成果的橋梁，重要性自然不言而喻。通過執(zhí)行能力的建設，GRC體系的理念能夠更好地融入企業(yè)，不僅在治理層、管理層形成影響，而且在廣大的業(yè)務層也可以產(chǎn)生共鳴，提高企業(yè)整體對GRC理論體系的認同，幫助企業(yè)達成“有原則的績效”。

4 優(yōu)化能力

通過開展一系列的活動，檢測管控機制執(zhí)行的有效性，發(fā)現(xiàn)問題并不斷優(yōu)化機制設計，提高效率。通過優(yōu)化，企業(yè)的GRC活動能夠在洞察—對齊—執(zhí)行—優(yōu)化的閉環(huán)中不斷改進，實現(xiàn)提升。下面詳細敘述優(yōu)化流程。

4.1 監(jiān)測

在管理活動中，企業(yè)必須對既定活動進行監(jiān)測，確保各項活動符合原則且有利于目標的達成。隨著內(nèi)外部環(huán)境的變化，風險、合規(guī)的固有水平和剩余水平常常處于波動之中，投資回報比例在項目進行的過程中也經(jīng)常會因為各種不可抗因素發(fā)生改變，當前活動與控制也會隨之失效，在這樣的情況下，必須加強監(jiān)測，企業(yè)才能及時了解信息，根據(jù)決策準則與彈性承受能力對目標或策略作出相應的調(diào)整。加強監(jiān)測，需要制定合理的時間表，根據(jù)企業(yè)的目標、機會、威脅和環(huán)境變化等因素，定期評估，分析并形成報告，以便進行系統(tǒng)性的改進。

4.2 鑒證

即向企業(yè)的治理層、管理層和其他相關(guān)人員提供其所期望的鑒證水平，明確鑒證評估的范圍、程序和標準，執(zhí)行和跟蹤鑒證程序，確保建議的落實，并對落實的結(jié)果進行分析，評價其是否達到預期目標。通過鑒證，管理者對GRC體系所具備的可靠性、有效性、高效性和影響性有了更強的信心，有利于GRC理論的推行。

4.3 改進

通過監(jiān)測、鑒證，對采集到的信息進行全面整理，從中發(fā)現(xiàn)GRC能力提升的機會。改進是追求精益求精的過程，一方面，總結(jié)過去的經(jīng)驗，從中找出優(yōu)點和缺點，確保需要提升的環(huán)節(jié)被識別并得以解決；另一方面，創(chuàng)新也是改進的重要途徑，社會發(fā)展速度不斷加快，新技術(shù)、新方法層出不窮，對新能力的應用是快速提高的有效方法。同時，改進應該是一個持續(xù)的過程，在對信息的分析中，既要關(guān)注問題本身，又要對企業(yè)自身的薄弱環(huán)節(jié)有所察覺。

優(yōu)化能力是推動GRC體系不斷提升的關(guān)鍵，通過優(yōu)化，企業(yè)的內(nèi)部流程不斷趨于完善，提高對各類風險的抵抗能力。優(yōu)化能夠幫助企業(yè)更加游刃有余地應對風險，并通過優(yōu)化，經(jīng)驗轉(zhuǎn)換為制度，再面對同類型問題時，企業(yè)內(nèi)已經(jīng)形成了相應的反饋機制，大大降低了同類型危機的影響，為企業(yè)的危機應對節(jié)約了大量的人力和財力。這也是GRC理論在實際應用中優(yōu)勢的體現(xiàn)。

在GRC理論下，治理、風險管理、合規(guī)遵循呈現(xiàn)融合的態(tài)勢，三者協(xié)同達成“有原則績效”的目標。通過GRC能力的培養(yǎng)，企業(yè)對自身風險和流程優(yōu)化的認識越加清晰，對構(gòu)建完整GRC體系的需求更加明確。GRC的四大能力各有所側(cè)重，不同企業(yè)在不同時期的情況不同，可以根據(jù)其真實情況重點對一種或幾種能力進行強化，以達成GRC提升的目的。同時，四大能力之間并不是孤立的，洞察—對齊—執(zhí)行—優(yōu)化四大能力之間形成了“PDCA（計劃、實施、檢查、處理）”循環(huán)，這種循環(huán)是螺旋式上升的，每完成一次循環(huán)，質(zhì)量都會有所提高。通過四大能力間的循環(huán)，不同部門各個崗位的人員都參與到GRC體系的建設過程中，GRC能力全面、持續(xù)、深入地應用，幫助企業(yè)逐步達成“有原則績效”的目標。

主要參考文獻

[1]北京慧點科技有限公司.有原則績效之路——GRC理論與實踐初探[M].北京：清華大學出版社，2016.

[2]包俊君.GRC企業(yè)管控體系在中國[J].軟件和信息服務，2013（2）.

[3]鄒大斌.GRC降低企業(yè)經(jīng)營風險[N].計算機世界，2012-07-23.

[4]張巧良，宋穎超，李艷.GRC整合框架構(gòu)建研究[J].商業(yè)時代，2008（32）.