GRC四大能力解析

[摘 要]GRC理论引入中国后，与社会主义市场化改革的步调相结合，在风控、合规方面，为中国企业的管理能力的提升作出了巨大的贡献。在企业构建GRC体系的过程中，最重要的就是对洞察能力、对齐能力、执行能力与优化能力的培育，通过四大能力的整合，GRC理论才能真正落地。

[关键词]GRC理论；能力建设；公司治理；企业管理

doi：10.3969/j.issn.1673 - 0194.2016.24.020

[中图分类号]F27 [文献标识码]A [文章编号]1673-0194（2016）24-00-02

美国颁布《萨班斯法案》，制定了严格的市场监管措施，GRC（Governance，Risk Management，Compliance）理论是美国《萨班斯法案》后形成的企业风险管理的理论模型。随着改革的不断深入，我国资本市场日益活跃，相关的政策体系也处于不断完善的过程中。2015中国上市公司法律风险指数报告显示，对2014年2 628家上市公司的评测中，共计出现376次违规，323人被追究高管责任，15 876次诉讼，分别比2013年上升了204%、156%、202%。上市公司风险合规运营的压力明显增大。中国市场和企业迫切需要一套行之有效的方法来加强对风险合规问题的管控。

1 洞察能力

无论是进行治理还是进行企业GRC体系建设，都必须首先具备洞察能力，了解和分析企业内外部环境、企业文化、主要利益相关者等信息，为企业设定目标、规划战略及制订行动计划提供支持。

1.1 外部环境

企业的外部环境是企业所处的宏观环境的综合，包括政治环境、经济环境、社会文化环境、技术环境等，对外部环境的把握决定了企业对风险和机遇的认识。当前，我国经济发展进入“新常态”，出现了3个变化，即增速变化、结构优化、动能转化，为保持当前健康、持续、平稳的发展势头，需要在适度扩大总需求的同时，持续推进供给侧结构性改革，发展新经济，培育新动能，让传统产业和现代信息技术相结合，深化改革。这既是国家层面的规划，也是国内环境对企业的整体要求。

1.2 内部环境

企业的内部环境包括产品设计、组织架构、运营计划等，是一个企业的内在核心。GRC理论对企业内部环境的洞察能力提出了更高的要求，既要从管理的角度出发，以绩效为最终目标，又要加入风险、合规的要求，全面管控，GRC理论要达成的绩效是“有原则”的绩效。因此，在洞察内部环境时，需要打破部门、层级的界限，建立起统一有序的信息集成方式，对内部环境有更清晰的认知。

1.3 企业文化

企业文化是企业架构的基础。通过SWTO分析，明确企业的发展方向，制定战略规划，并确立不同的治理文化、管理文化、风险文化、道德文化等，形成完整的企业文化核心。

1.4 利益相关者

在现代化企业中，公司经营权和所有权的分离、公司间交叉持股等利益相关的现象越发常态化。洞察利益相关者一方面是分析群体内的组织和关键人物，另一方面是梳理外部利益相关者，确立优先次序，明确各利益主体的需求，制定出完善的发展计划。

提升洞察能力。第一，对信息的整合能力要有所突破。在洞察企业内外部环境时，需要把所有的信息进行采集汇总，映射到一个统一的基准视图中，制作一个完整的运营流程图，并标明每个环节潜在的风险和机遇。分析内外部环境尤其是外部环境的变化，评估环境变化对企业经营目标的影响，进而对相应的运营计划和经营活动进行调整，加强内部环境中对流程的管控，最大程度上降低风险，保障企业在合规范围内活动。第二，需要建立完善的预案措施，不同环境因素的变化会产生不同的影响及潜在的累积效应或连锁反应。

2 对齐能力

企业战略的制定是一个动态的过程。企业战略在实践的过程中也不可避免地受到内外部因素的干扰，必须及时地进行对齐，才能保障最终目标的达成。对齐能力体现在对方向、目标、识别、评估、设计5个元素的把握上。

2.1 方向元素

方向是企业确定的，涵盖使命、愿景、价值观等在内的文化核心，指引企业最基本的前进方向。方向的设定体现了企业管理者对企业前进道路的构想，决定了在组建团队、调配资源时的基调，方向的对齐实际上是企业在不断发展过程中对自身的反问。

2.2 目标元素

目标是与企业决策标准相一致、可量化的目标，是企业阶段性的发展方向。目标的对齐重点在于对决策标准的衡量和目标的优先级的排序。决策标准决定了目标是否正确，因此，对齐目标，首先需要对决策标准进行衡量，GRC体系的对齐能力要求决策标准必须综合考虑绩效、风险、合规三者之间的关系，坚定地反对“唯绩效论”。

2.3 识别元素

识别是在经营过程中对目标或达成期望可能会造成不良影响的显在或潜在因素必须及时地发现，进行处理。这种对风险、危机的识别对齐是企业健康运转的保障，只有防微杜渐、避开礁石，才能“直挂云帆济沧海”。

2.4 评估元素

评估采用定量与定性的方法相结合，对发展的道路进行综合分析，并找出应对机遇、挑战的道路，与原计划对齐。在评估对齐中，当前道路与计划道路之间往往并不完全重合，在对未来进行规划时，即使思虑周密，也常常会出现问题，况且，市场瞬息万变，不可估量。因此，评估对齐并不是一定要严格执行计划，而是审时度势，及时调整，促进目标达成。

2.5 设计元素

设计是在面对不确定性环境时，探索能够应对要求，解决危机的可选方案。对齐设计，是在探索可选方案的过程中坚守底线。在应对不确定性环境时，下调甚至取消一些预设指标，这是实际应用过程中的需要，但对齐设计要求企业在对关键指标的管控上，不能因为困难就有所放松，否则，带来的将会是更大的危机。

对齐是对“航线”的修订，在对方向、目标、识别、评估、设计进行对齐时，必须以GRC理论的总体原则为基准，即注重绩效、风险、合规的协调发展，对齐是为了实现“有原则的绩效”，更侧重于对“原则”的对齐。只有不断地对齐，才能在激烈的市场竞争中不迷失方向。坚固的堡垒往往从内部被攻破，企业最大的对手也常常是自己，只有坚持“初心”，才能长远发展。

3 执行能力

执行是计划落实的重要环节，直接决定着前期规划的成果。执行能力实际上就是对企业经营活动中各环节的控制，这种控制主要体现在事前、事中、事后三个层面，可以分为预防性控制、发现性控制和响应性控制三类。

3.1 预防性控制

预防性控制以政策、沟通、教育与激励的方式实现。政策是预防性控制中的核心，以提前告知的方式对员工的职责提出要求，每个人都各司其职，企业“这部精密的机器”才能有条不紊地运转。沟通是控制活动中的剂，通过良好的沟通，层级、部门之间相互了解，获取必要信息、了解存在的问题，及时修正，达到预防的目的。教育是加强预防性控制的关键，通过教育，企业内及关联公司对企业的期望行为有清晰的认知，加深了对企业政策的认同。激励是通过薪酬、奖励和表彰等形式对符合预期的行为进行鼓励，通过激励，能有效地提高员工的遵从意愿，刺激其期望行为。

3.2 发现性控制

发现性控制主要以通知和询问的方式实现。通知是指提供多种途径报告目标进展情况及期望和不期望的行为、状况和事件是否已经发生或可能发生；询问则是定期分析并询问有关目标进度的数据和信息记忆存在的不良行为、状况和事件。

3.3 响应性控制

响应性控制包括调查、处理、改进3个部分，在发现问题后，了解掌握相关信息是解决的基础，确立调查流程，及时收集分析情况，形成完整的事件报告，然后进行处理，有预案的按相应程序启动预案，超出涵盖范围的进行申报，获得相关授权或派专员负责，最后，对案例进行反思，找出问题症结，总结经验，改进流程。在响应性控制中，要注意信息的流畅，同时，如果问题涉及范围较广，还应该在恰当的时间对信息进行披露，最大程度上降低影响。

执行能力是GRC理论体系能力中涉及面最广泛的，需要从治理层、管理层到业务层的全体参与，同时执行能力也是连接规划与成果的桥梁，重要性自然不言而喻。通过执行能力的建设，GRC体系的理念能够更好地融入企业，不仅在治理层、管理层形成影响，而且在广大的业务层也可以产生共鸣，提高企业整体对GRC理论体系的认同，帮助企业达成“有原则的绩效”。

4 优化能力

通过开展一系列的活动，检测管控机制执行的有效性，发现问题并不断优化机制设计，提高效率。通过优化，企业的GRC活动能够在洞察―对齐―执行―优化的闭环中不断改进，实现提升。下面详细叙述优化流程。

4.1 监测

在管理活动中，企业必须对既定活动进行监测，确保各项活动符合原则且有利于目标的达成。随着内外部环境的变化，风险、合规的固有水平和剩余水平常常处于波动之中，投资回报比例在项目进行的过程中也经常会因为各种不可抗因素发生改变，当前活动与控制也会随之失效，在这样的情况下，必须加强监测，企业才能及时了解信息，根据决策准则与弹性承受能力对目标或策略作出相应的调整。加强监测，需要制定合理的时间表，根据企业的目标、机会、威胁和环境变化等因素，定期评估，分析并形成报告，以便进行系统性的改进。

4.2 鉴证

即向企业的治理层、管理层和其他相关人员提供其所期望的鉴证水平，明确鉴证评估的范围、程序和标准，执行和跟踪鉴证程序，确保建议的落实，并对落实的结果进行分析，评价其是否达到预期目标。通过鉴证，管理者对GRC体系所具备的可靠性、有效性、高效性和影响性有了更强的信心，有利于GRC理论的推行。

4.3 改进

通过监测、鉴证，对采集到的信息进行全面整理，从中发现GRC能力提升的机会。改进是追求精益求精的过程，一方面，总结过去的经验，从中找出优点和缺点，确保需要提升的环节被识别并得以解决；另一方面，创新也是改进的重要途径，社会发展速度不断加快，新技术、新方法层出不穷，对新能力的应用是快速提高的有效方法。同时，改进应该是一个持续的过程，在对信息的分析中，既要关注问题本身，又要对企业自身的薄弱环节有所察觉。

优化能力是推动GRC体系不断提升的关键，通过优化，企业的内部流程不断趋于完善，提高对各类风险的抵抗能力。优化能够帮助企业更加游刃有余地应对风险，并通过优化，经验转换为制度，再面对同类型问题时，企业内已经形成了相应的反馈机制，大大降低了同类型危机的影响，为企业的危机应对节约了大量的人力和财力。这也是GRC理论在实际应用中优势的体现。

在GRC理论下，治理、风险管理、合规遵循呈现融合的态势，三者协同达成“有原则绩效”的目标。通过GRC能力的培养，企业对自身风险和流程优化的认识越加清晰，对构建完整GRC体系的需求更加明确。GRC的四大能力各有所侧重，不同企业在不同时期的情况不同，可以根据其真实情况重点对一种或几种能力进行强化，以达成GRC提升的目的。同时，四大能力之间并不是孤立的，洞察―对齐―执行―优化四大能力之间形成了“PDCA（计划、实施、检查、处理）”循环，这种循环是螺旋式上升的，每完成一次循环，质量都会有所提高。通过四大能力间的循环，不同部门各个岗位的人员都参与到GRC体系的建设过程中，GRC能力全面、持续、深入地应用，帮助企业逐步达成“有原则绩效”的目标。

主要参考文献

[1]北京慧点科技有限公司.有原则绩效之路――GRC理论与实践初探[M].北京：清华大学出版社，2016.

[2]包俊君.GRC企业管控体系在中国[J].软件和信息服务，2013（2）.

[3]邹大斌.GRC降低企业经营风险[N].计算机世界，2012-07-23.

[4]张巧良，宋颖超，李艳.GRC整合框架构建研究[J].商业时代，2008（32）.