GRC保障企業(yè)健康運營

GRC保障企業(yè)健康運營

文/馬東紅

GRC是在企業(yè)的各經(jīng)營業(yè)務(wù)之上，以戰(zhàn)略為中心，以流程管理為基礎(chǔ)，通過績效管理和風(fēng)險內(nèi)控管理措施，對各項經(jīng)營管理過程進行管理和控制，保障戰(zhàn)略和經(jīng)營目標達成的管理方法的總稱，對企業(yè)的健康運營起著關(guān)鍵作用。

每個企業(yè)都想成為百年老店?！敦敻弧冯s志每年評選的世界500強企業(yè)，平均壽命不到50年，至少45%的企業(yè)每10年會遭遇一次毀滅性打擊。中國從2002年公布中國企業(yè)500強，迄今每年有20%左右的企業(yè)被淘汰。所以，“百年老店”比百歲老人的數(shù)量還少！

企業(yè)非健康運營帶來的困境

從理論上來講，人的壽命是有限的，而企業(yè)，由于可以打破自然人壽命的限制，因此，企業(yè)的存活期應(yīng)該超過人的平均年齡。而實際情況卻不盡然。這是值得那些正在掌管著企業(yè)或即將掌管企業(yè)亦或即將創(chuàng)業(yè)的人去思索的。

我們不妨從失敗的企業(yè)身上，先來做點淺層次的思考。

“毒奶粉事件”使得中國企業(yè)500強之一、中國前500個最具價值品牌之一的大型企業(yè)—三鹿集團從問題曝光、危機爆發(fā)到法院宣布集團破產(chǎn)僅108天，而這更引發(fā)了奶制品行業(yè)的信任危機和生存困境，貪婪和不誠信是導(dǎo)致三鹿集團破產(chǎn)的主要原因。

2013年7月曝出的“葛蘭素史克中國行賄事件”，使得在中國快速發(fā)展的跨國藥企中，若干高管因商業(yè)賄賂被判有期徒刑2～4年，罰款30億元，這是迄今為止中國開出的最大罰單。同時，經(jīng)營過程的不合規(guī)也給企業(yè)帶來了巨大的聲譽損失。

2014年12月，上海家化集團因未及時披露關(guān)聯(lián)交易情況收到上海證監(jiān)局《行政處罰事先告知書》，受到警告、處以30萬元罰款，時任上海家化董事長葛文耀、時任平安信托董事長童愷等高管也受到了不同額度的罰款。近一年，上海家化大股東及其代理人與原管理層的內(nèi)幕曝出，造成股價波動，關(guān)聯(lián)交易方面的違規(guī)使上海家化或有退市的風(fēng)險。

眾多事例表明：企業(yè)經(jīng)營環(huán)境的復(fù)雜、利潤的減少都不是企業(yè)破產(chǎn)的致命利器，而真正的原因是企業(yè)的非健康運營。

馬東紅

北京慧點科技有限公司商業(yè)價值研究院總監(jiān)

GRC幫助企業(yè)走出困境

GRC的倡導(dǎo)者國際OCEG組織（Open Compliance & Ethics Group’s）認為，單獨追求財務(wù)目標在當(dāng)今并不能保證企業(yè)的健康運營。企業(yè)除了需要滿足股東及其他利益相關(guān)者的利潤訴求外，還需要承擔(dān)社會責(zé)任，并且使其各項活動符合道德與法律的要求。

無論外界環(huán)境怎樣變換，技術(shù)上“互聯(lián)網(wǎng)+”、大數(shù)據(jù)、云計算如何發(fā)展，企業(yè)都需要以健康的運營狀態(tài)來迎接變化，這樣才能有更大的勝算。

何為健康的運營狀態(tài)呢？也許西方學(xué)者的研究能給我們一些啟示：荷蘭皇家殼牌石油公司的阿里德杰斯發(fā)現(xiàn)，長壽企業(yè)普遍具有四個生命要素—財務(wù)保守、寬容、凝聚力強和對環(huán)境敏感。

美國技術(shù)和市場調(diào)研權(quán)威Forrester Research的一位前分析師Michael Rasmussen提出GRC（Governance,Risk & Compliance）概念并認為：GRC是這樣一種能力，它使企業(yè)能可靠地達成目標，與此同時管理不確定性和保證正直誠信。

GRC概念的提出

以美國安然、法國興業(yè)銀行等一系列反面教材為觸發(fā)點、以《薩班斯法案》為源泉，2002年國際OCEG組織提出GRC管理理念。

GRC是實現(xiàn)企業(yè)治理、績效、風(fēng)險、合規(guī)等管理方法的完全整合與協(xié)同所必需的所有能力的集合的簡稱。GRC管理理念被認為是企業(yè)在日益復(fù)雜的競爭環(huán)境下賴以生存和發(fā)展的必然和有效選擇。安永、德勤等咨詢機構(gòu)，Oracle、SAP、IBM、EMC等IT解決方案廠商陸續(xù)成為OCEG的會員。

雖然，GRC在國外已經(jīng)發(fā)展了相當(dāng)長的時間，但在國內(nèi)才剛剛興起。2008年，北京慧點科技有限公司（簡稱慧點科技）率先引入GRC管理理念，融合自動化控制原理和中國的實際情況，形成具有慧點科技特色的GRC理念。

慧點科技認為，GRC是在企業(yè)的各經(jīng)營業(yè)務(wù)之上，以戰(zhàn)略為中心，以流程管理為基礎(chǔ)，通過績效管理和風(fēng)險內(nèi)控管理措施，對各項經(jīng)營管理過程進行管理和控制，保障戰(zhàn)略和經(jīng)營目標達成的管理方法的總稱。

GRC涉及以下主要部分：

北京慧點科技有限公司商業(yè)價值研究院總監(jiān)馬東紅

Governance（治理/管控）：建立完整的制度安排和治理框架，從外部指導(dǎo)、控制、評估實體、流程和資源，在這個過程中公平對待各利益相關(guān)者，制定公司戰(zhàn)略目標和制度、監(jiān)督績效、遵從法律及制度規(guī)定、透明和披露經(jīng)營狀況，對各項經(jīng)營管理過程本身進一步進行管理和監(jiān)督。治理的目標在于—可靠地達成目標。

Risk Management（風(fēng)險管理）：對所有業(yè)務(wù)和法規(guī)風(fēng)險進行結(jié)構(gòu)化的識別、評估、緩解、監(jiān)視和控制，在追求回報的同時應(yīng)對各種風(fēng)險。治理的目的在于—處理不確定性。

圖 有原則績效示意圖

Compliance Management（合規(guī)管理）：通過內(nèi)部控制管理機制和體系，確保各項制度和法規(guī)得以遵從、制度得以貫徹、各項經(jīng)營和管理目標得以有效達成。治理的目的在于—誠信做事。

綜上所述，慧點科技對GRC的主要組成進行了逐個分析，但GRC更強調(diào)的是有機集成和融合統(tǒng)一的方法體系，要滿足企業(yè)健康運營并且能達成既定目標，必須能夠?qū)RC整體進行有效落地，這樣才能讓GRC在企業(yè)中不再僅僅是一個口號，而是企業(yè)發(fā)展的有效保障，才能有效發(fā)揮GRC的真正價值。

GRC的目標

上面提到，葛蘭素史克因為中國行賄事件而面臨高達30億元的巨額罰款。不少職業(yè)人或許都曾像葛蘭素史克員工一樣，面臨在個人或公司的生存原則與利益最大化之間做出艱難抉擇的考驗。

美國咨詢業(yè)領(lǐng)袖多弗·塞德曼認為：“如果我們總是需要持續(xù)關(guān)注企業(yè)利潤，僅僅詢問完成了‘多少’利潤，那么我們就將錯過另一個更重要的問題—它是‘如何’完成的？”國際OCEG組織認為，GRC所追求的目標“有原則績效”正是解決這一問題的方法。

“績效”包含了三層含義：

結(jié)果—通常表現(xiàn)是企業(yè)財務(wù)上的結(jié)果及與財務(wù)相關(guān)的可量化的結(jié)果。

行為—通常表現(xiàn)是具有一定素質(zhì)的員工圍繞其任職的職位，為卓越地完成所負責(zé)的任務(wù)，而達到的不同階段成果，以及在實現(xiàn)目標的過程中的行為表現(xiàn)。

考核—通常表現(xiàn)是企業(yè)把員工的技能、發(fā)展?jié)摿蛯r值觀的認同表現(xiàn)納入績效考核的范圍。

“有原則”強調(diào)明確建立強制邊界與自愿邊界，并清晰表達遵守這些行為邊界的方法。綜合運用戰(zhàn)略、人員、流程、技術(shù)等資源，通過對不確定事件的管理，在保證不跨過行為邊界的情況下進行商業(yè)運作，在客服障礙和抓住機遇之間靈活應(yīng)對，最終實現(xiàn)企業(yè)戰(zhàn)略目標、運營目標、客戶目標、流程目標、合規(guī)目標等。

“有原則績效”是指可靠地達成目標，與此同時管理不確定性和保證正直誠信，其專注于探究如何讓企業(yè)能夠達到合法性運作目標并實現(xiàn)經(jīng)營目標。

“有原則績效”包含四個層面的含義：

達成目標—設(shè)定清晰的目標，設(shè)計商業(yè)模式，測量績效。董事會審查目標設(shè)定流程、商業(yè)模式與績效報告，管理人員負責(zé)執(zhí)行戰(zhàn)略并運作商業(yè)模式。

管理不確定性—全面考慮未來可能影響到企業(yè)戰(zhàn)略和運作的各種風(fēng)險。以先行主動的方式控制風(fēng)險，使風(fēng)險對利潤的影響最小化；對各種可能會發(fā)生的風(fēng)險深思熟慮、充分思考、嚴格對待。

保證正直誠信—遵循法律法規(guī)等強制性要求，行為不觸犯強制性邊界。同時遵循企業(yè)、利益相關(guān)者自主設(shè)定的要求，同樣行為不觸犯自愿性邊界。如果不能遵從承諾，則需要澄清并承擔(dān)違約后果。

圖 GRC管理層級實施示意圖

圖 國內(nèi)某大型集團GRC統(tǒng)一平臺功能架構(gòu)圖

可靠—確保企業(yè)有合理的管理、治理和保證措施。企業(yè)目標是上下對齊、一致的、可實現(xiàn)的。確保企業(yè)收集信息的精確性、可靠性。確保執(zhí)行過程的持續(xù)性、穩(wěn)健性，達成目標是可預(yù)期的。

GRC理想實施的完美畫面

了解企業(yè)的現(xiàn)狀是非常重要的，當(dāng)前很多企業(yè)組織和功能設(shè)計相對獨立；管理存在割裂、復(fù)雜，嚴重資源浪費等問題；治理層感知到管理不透明、策略雜亂無章、管理成本很高；呈現(xiàn)出企業(yè)整體缺乏有效監(jiān)管。

GRC理想實施的完美畫面是，治理層通過準確、真實、集成的分析及報告進行有效地監(jiān)管；管理層推行有機集成和融合統(tǒng)一的管控機制，包括集成的GRC戰(zhàn)略、集成的風(fēng)險管理、高度融合&高質(zhì)量的信息等；保障層采用統(tǒng)一的方法、統(tǒng)一的詞匯、共享的技術(shù)、共享的服務(wù)，幫助企業(yè)健康運營并實現(xiàn)“有原則績效”。

GRC的理想實施，一般在企業(yè)的六個方面取得可預(yù)期、直觀可見的成效：

降低成本。企業(yè)對GRC活動的投資，會降低企業(yè)成本，提高回報率。

品牌價值提升。對風(fēng)險的有效控制，降低有損企業(yè)品牌事件的發(fā)生率，品牌受到保護，提升品牌價值。

企業(yè)運行更有效。逐漸剔除冗余、減少重復(fù)性、打破壁壘，企業(yè)運行變得越來越有效。

優(yōu)化資本分配。辨別企業(yè)產(chǎn)能過?；虻托У臉I(yè)務(wù)，為企業(yè)資金和人力資源分配優(yōu)化提供支持。

流程優(yōu)化。有價值的活動寫入流程，去掉無價值的活動，偏離目標和時滯等問題逐一被解決，使得企業(yè)流程得到不斷優(yōu)化。

提供高質(zhì)量信息。信息的準確性、及時性，能夠輔助企業(yè)的管理層快速地做出更明智的決策。

實現(xiàn)GRC的障礙及解決辦法

理想是美好的，現(xiàn)實是骨感的。企業(yè)在實施GRC過程中碰到的最大問題，是感覺GRC管理概念太大了，無從下手，不知道如何落地。面對這樣的現(xiàn)狀，企業(yè)應(yīng)該怎樣解除障礙呢？各個企業(yè)具體情況不同，采取的措施也各不相同。但有幾個通用的方面企業(yè)可以參考：

問題入手

GRC管理實施切忌好高騖遠，可以從1～2個具體問題做起，在小范圍內(nèi)體會GRC管理實施為企業(yè)帶來的益處。實施GRC管理的核心過程遵循PDCA原則，分別是計劃/流程、預(yù)防/保護/預(yù)案、監(jiān)測/評估、響應(yīng)/改進。

計劃/流程

根據(jù)戰(zhàn)略和目標制定描述清晰的行為邊界，根據(jù)內(nèi)外部環(huán)境及企業(yè)自身情況選擇商業(yè)模式，評估風(fēng)險，進行可執(zhí)行性分析，設(shè)定實施策略和步驟。

預(yù)防/保護/預(yù)案

對員工進行培訓(xùn)和教育，使員工了解戰(zhàn)略、目標、計劃、流程等信息，清楚員工行為準則，明確執(zhí)行階段可能遇到的風(fēng)險及預(yù)案應(yīng)對措施?？刂茍?zhí)行過程，保護企業(yè)價值，規(guī)避或減少風(fēng)險損失。

監(jiān)測/評估

對執(zhí)行過程的關(guān)鍵節(jié)點進行連續(xù)監(jiān)測，包括控制、保障與審計、熱線和求助專線報告；同時進行定期評估，包括有效性評估、項目績效評估和評估規(guī)劃與報告。

響應(yīng)/改進

發(fā)現(xiàn)問題要及時披露并糾正，在問題管理方面要提升響應(yīng)速度。面對專有風(fēng)險，要做特例調(diào)查防患于未然。懲罰與披露、糾正與改進是主要執(zhí)行手段。

分層實施

大部分企業(yè)或多或少都在從事某種GRC管理活動，GRC管理活動可以在企業(yè)內(nèi)分層分級實現(xiàn)。一般GRC的管理層級可以分為企業(yè)層級、重點項目層級、部門層級和事件層級。

企業(yè)層級的GRC需要構(gòu)建企業(yè)GRC管理框架，綜合各部門、業(yè)務(wù)域進行綜合GRC管理；重點項目層級的GRC則聚焦于具體的、跨部門的重大項目問題；部門層級的GRC解決具體職能域內(nèi)的相關(guān)具體問題；事件層級的GRC專注于簡單事件的GRC實施。如果GRC滲透到公司的各個層面，就能有效地推進企業(yè)目標的實現(xiàn)。

持之以恒

企業(yè)實施GRC，一開始可能不會有巨大的改變，但不要因此變得灰心喪氣而放棄。改善是會一點點到來，管理人員和員工會清晰地看到自己努力帶來的成果。當(dāng)然在這個過程中，為了激勵員工，可考慮進行直接的補償獎勵，比如給部門更多預(yù)算，或者給團隊和個人發(fā)獎金，這些都是鼓勵其完成目標的動力。

技術(shù)支持

GRC的統(tǒng)一服務(wù)平臺，是企業(yè)GRC管理架構(gòu)與IT技術(shù)方案實現(xiàn)有機集成和融合統(tǒng)一的基石，能更好地滿足企業(yè)管理的需要。通過平臺可以擁有支持GRC運作的流程和技術(shù)、獲得一致性和完整性的信息，并大大簡化具體管理實施的復(fù)雜性，使企業(yè)能夠做到有效率、有效果、響應(yīng)靈敏，從而促進GRC目標以及企業(yè)目標的實現(xiàn)。

每家企業(yè)所需的GRC管理架構(gòu)是不同的，因此GRC管理架構(gòu)的設(shè)計需要在企業(yè)架構(gòu)的環(huán)境中做出，使GRC支持企業(yè)的DNA并與之結(jié)合為一個整體。

責(zé)任編輯：吳崝

wang.liu@softic.com.cn