GRC是在企业的各经营业务之上,以战略为中心,以流程管理为基础,通过绩效管理和风险内控管理措施,对各项经营管理过程进行管理和控制,保障战略和经营目标达成的管理方法的总称,对企业的健康运营起着关键作用。
1. 企业非健康运营带来的困境
每个企业都想成为百年老店。
然而,《财富》杂志每年评选的世界500强企业,平均寿命不到50年,至少45%的企业每10年会遭遇一次毁灭性的打击!中国从2002年公布中国企业500强,迄今,每年有20%左右的企业被淘汰。所以,“百年老店”,比百岁老人的数量还少!
从理论上来讲,人的寿命是有限的,而企业,由于可以打破自然人寿命的限制,因此,企业的存活期应该超过人的平均年龄。而实际情况却不尽然。这是值得那些正在掌管着企业或即将掌管企业亦或即将创业的人去思索的。
我们不妨从失败的企业身上,先来做点浅层次的思考。
“毒奶粉事件”使得中国企业500强之一、中国前500个最具价值品牌之一的大型企业—三鹿集团毁于贪婪和不诚信。从问题曝光、危机爆发到法院宣布集团破产仅有108天,而这更引发了奶制品行业的信任危机和生存困境。综上,贪婪和不诚信是导致三鹿集团破产的主因。
2013年7月曝出的“葛兰素史克中国行贿事件”,因商业贿赂,使在中国快速发展的跨国药企若干高管被判有期徒刑二到四年,罚金人民币30亿元,这是迄今为止中国开出的最大罚单。同时经营过程的不合规也带来了巨大声誉损失。
2014年12月,上海家化集团收到证监局行政处罚书,因未及时披露关联交易情况,拟对上海家化予以警告,处以30万元罚款,并对时任董事长葛文耀、平安信托董事长童恺等高管进行不同额度的罚款。近一年,上海家化大股东及其代理人与原管理层的内斗,各种内幕的曝出造成了股价的波动,而关联交易方面的违规又使得上海家化或有退市风险。综上,关联管理交易带给上海家化集团带来了经济损失和退市风险。
众多事例表明:企业经营环境的复杂、利润的减少都不是企业破产的致命利器,真正原因是企业的非健康运营。
2. GRC帮助企业走出困境
GRC的倡导者国际OCEG组织认为,单独追求财务目标在当今并不能保证企业的健康运营。企业除了需要满足股东及其他利益相关者的利润诉求外,还需要承担社会责任,并且使其各项活动符合道德与法律的要求,即:“可靠的达成目标,与此同时管理不确定性和保证正直诚信”。
无论外界风云怎样变换,“互联网+”、“大数据”、“云”等等,企业都需要以健康的运营状态来迎接变化,才能有更大的胜算。
何为健康的运营状态呢?也许西方学者的研究能给我们一些启示:荷兰皇家壳牌石油公司的阿里德杰斯发现长寿企业普遍具有四个生命要素:财务保守、宽容、凝聚力强和对环境敏感。美国技术和市场调研权威 Forrester Research 的一位前分析师Michael Rasmussen提出“GRC”概念认为:GRC是这样一种能力,它使企业能可靠的达成目标,与此同时管理不确定性和保证正直诚信。
GRC是什么
以美国安然、法国兴业银行等一系列反面教材为触发点,以《萨班斯法案》为源泉,2002年国际OCEG组织提出GRC管理理念。GRC是实现企业治理、绩效、风险、合规等管理方法的完全整合与协同所必需的所有能力的集合的简称。 GRC管理理念被认为是企业在日益复杂的竞争环境下赖以生存和发展的必然和有效选择。随后,安永、德勤等咨询机构成为OCEG的会员,Oracle、SAP、IBM、EMC等IT解决方案厂商成为OCEG的会员。
虽然,GRC在国外已经发展相当长时间,但在国内才刚刚兴起。2008年,北京慧点科技有限公司(简称慧点科技)率先引入国际先进的GRC管理理念,融合自动化控制原理和中国的实际情况,形成具有慧点科技特色的GRC。
慧点科技认为GRC(Governance,Risk & Compliance)是在企业的各经营业务之上,以战略为中心,以流程管理为基础,通过绩效管理和风险内控管理措施,对各项经营管理过程进行管理和控制,保障战略和经营目标达成的管理方法的总称。GRC涉及以下主要部分:
Governance(治理/管控):建立完整的制度安排和治理框架,从外部指导、控制、评估实体、流程和资源,在这个过程中公平对待各利益相干者,制定公司战略目标和制度,监督绩效,遵从法律及制度规定,透明和披露经营状况,对各项经营管理过程本身进一步进行管理和监督。治理的目标在于可靠地达成目标。
Risk Management(风险管理):对所有业务和法规风险进行结构化的识别、评估、缓解、监视和控制,在追求回报的同时应对各种风险。目的在于处理不确定性。
Compliance Management(合规管理):通过内部控制管理机制和体系,确保各项制度和法规得以遵从、制度得以贯彻、各项经营和管理目标得以有效达成。目的在于诚信做事。
综上所述,我们对GRC的主要组成进行了逐个分析,但GRC更强调的是有机集成和融合统一的方法体系,要满足企业健康运营并且能达成既定目标,必须能够对GRC整体进行有效落地,这样才能让GRC在企业中不再仅仅是一个口号,而是企业发展的有效保障,才能有效发挥GRC的真正价值。
GRC的目标
如上面提到的事例,葛兰素史克因为中国行贿事件而面临高达30亿元的巨额罚款。不少职业人或许都曾像葛兰素史克员工一样,面临在个人或公司的生存原则与利益最大化之间做出艰难抉择的考验。美国咨询业领袖多弗•塞德曼认为:“如果我们总是需要持续关注企业利润,仅仅询问完成了‘多少’利润,那么我们就将错过另一个更加重要的问题:它是‘如何’完成的?”
GRC的倡导者国际OCEG组织认为GRC所追求的目标“有原则绩效”正是解决这一问题的良药。
“绩效”是精心选择的一个词。包含了三层含义:
1. 绩效是一种结果。通常表现是企业财务上的结果及与财务相关的可量化的结果。
2. 绩效又是一种行为。通常表现是具有一定素质的员工围绕其任职的职位,为卓越地完成所负责的任务,而达到的不同阶段成果,以及在实现目标的过程中的行为表现。
3. 绩效还是一种考核。通常表现是企业把员工的技能、发展潜力和对价值观的认同表现纳入绩效考核的范围。
“有原则”强调明确建立强制边界与自愿边界,并清晰地表达遵守这些行为边界的方法。综合运用战略、人员、流程、技术等企业资源,通过对不确定事件的管理,在保证不跨过行为边界的情况下进行商业运作,在客服障碍和抓住机遇之间灵活应对,最终实现企业战略目标、运营目标、客户目标、流程目标、合规目标等。
有原则绩效是指可靠地达成目标,与此同时管理不确定性和保证正直诚信,其专注于探究如何让企业能够超越合法性运作目标而实现经营目标。
具体来说,“有原则绩效”包含四个层面的含义:
1. 达成目标。 设定清晰的目标,设计商业模式,测量绩效。董事会审查目标设定流程、商业模式与绩效报告。管理人员负责执行战略并运作商业模式。
2. 管理不确定性。全面考虑未来可能影响到企业战略和运作的各种风险。以先行主动的方式,控制风险,使风险对利润的影响最小化;对各种可能会发生的风险深思熟虑,充分思考,严格对待。
3. 保证正直诚信。遵循法律法规等强制性要求,行为不触犯强制性边界。同时遵循企业、利益相关者自主设定的要求,同样行为不触犯自愿性边界。如果不能遵从承诺,则需要澄清并为承担违约后果。
4. 可靠地。确保企业有合理的管理、治理和保证措施。企业目标是上下对齐、一致的、可实现的。确保企业收集信息的精确性、可靠性。确保执行过程的持续性、稳健性,达成目标是可预期的。
3. GRC理想实施的完美画面
了解企业的现状是非常重要的,从图中我们可以看到,当前很多企业组织和功能设计相对独立;管理存在割裂、复杂,严重资源浪费等问题;治理层感知到管理不透明、策略杂乱无章、管理成本很高;呈现出企业整体缺乏有效监管。
GRC理想实施的完美画面是治理层通过准确、真实、集成的分析及报告进行有效地监管;管理层推行有机集成和融合统一的管控机制,包括集成的GRC战略、集成的风险管理、高度融合&高质量的信息等;保障层采用统一的方法、统一的词汇,共享的技术、共享的服务。帮助企业健康的运营,帮助企业实现有原则绩效。
GRC的理想实施,一般可以在企业的六个方面取得可预期、直观可见的成效:
1. 降低成本。企业对GRC活动的投资,会降低企业成本,提高回报率;
2. 品牌价值提升。对风险的有效控制,降低有损企业品牌事件的发生率,品牌受到保护,提升品牌价值;
3. 企业运行更有效。逐渐剔除冗余、减少重复性、打破壁垒,企业运行会变得越来越有效。
4. 优化资本分配。辨别产能过剩或低效的业务,为企业资金和人力资源分配优化提供支持。
5. 流程优化。有价值的活动写入流程,无价值的活动被剪掉,偏离目标和时滞等问题逐一被解决,企业流程得到不断优化。
6. 提供高质量信息。信息的准确性、及时性辅助企业管理层快速地做出更明智的决策。
4. 实现GRC的障碍
GRC可以帮助企业实现有原则绩效,即:“可靠地达成目标,与此同时管理不确定性和保证正直诚信”。然而理想是美好的,现实是骨感的。企业在实施GRC过程中碰到的最大问题是感觉GRC管理概念太大了,无从下手,不知道怎样落地。
5. 怎样解除障碍,实现理想
面对这样的现状,企业应该怎样解除障碍呢?各个企业具体情况不同,采取的措施也各不相同。但有几个通用的方面企业可以考虑:
1. 问题入手
GRC管理实施切记好高骛远,可以从1-2件具体问题做起,在小范围内体会GRC管理实施为企业带来的影响。实施GRC管理的核心过程遵循PDCA原则,分别是计划/流程,预防/保护/预案,监测/评估,响应/改进。各部分具体含义如下:
1) 计划/流程
根据战略和目标制定清晰描述行为边界,根据内外部环境及企业自身情况选择商业模式,评估风险,进行可执行性分析,设定实施策略和步骤。
2) 预防/保护/预案
对员工进行培训和教育,使员工了解战略、目标、计划、流程等信息,清楚员工行为准则,明确执行阶段可能遇到的风险及预案应对措施。控制执行过程,保护企业价值,规避或减少风险损失。
3) 监测/评估
对执行过程的关键节点进行连续监测,包括控制保障与审计、热线和求助专线报告;同时进行定期评估,包括有效性评估、项目绩效评估和评估规划与报告。
4) 响应/改进
发现问题,要及时披露并纠正,在问题管理方面要提升响应速度。面对专有风险,要做特例调查,防患于未然。惩罚与披露、纠正与改进是主要执行手段。
2. 分层实施
其实,即便企业并未显式的宣称自己在从事GRC管理活动,但他们都或多或少地在从事某种GRC管理活动。GRC管理活动可以在企业内分层分级的实现。
一般来讲,GRC的管理层级可以分为企业层级、重点项目层级、部门层级、事件层级。企业层级的GRC需要构建企业GRC管理框架,综合各部门、业务域进行综合GRC管理。重点项目层级的GRC聚焦于具体的、跨部门的重大项目问题;部门层级的GRC解决具体职能域内问题;事件层级的GRC专注于简单事件的GRC实施。如果GRC渗透到公司各个层面,就能有效的推进企业目标的实现。
3. 持之以恒
企业实施GRC,一开始,可能不会有惊人的改变。不要因此变得灰心丧气而放弃。改善是会一点点到来的,并且管理人员和员工会清晰地看到自己的努力带来的成果。当然在这个过程中,为了激励员工,可以考虑进行直接的补偿奖励,比如给部门更多预算,或者给团队和个人发奖金,这些都是鼓励他们完成目标的“胡萝卜”。
4. 技术支持
GRC的统一服务平台,是企业GRC管理架构与IT技术方案实现有机集成和融合统一的基石,能更好地满足企业管理的需要。通过它可以拥有支持GRC运作的流程和技术,可以获得一致性和完整性的信息,可以大大简化具体管理实施的复杂性,使企业可以做到有效率、有效果、响应灵敏,促进GRC目标以及企业目标的实现。
每家企业需要的GRC管理架构都是不同的。因此,GRC管理架构的设计需要在企业架构的环境中做出,使GRC支持企业的DNA并与之结合为一个整体。
下图是国内某大型集团的GRC统一平台功能架构图,以供大家参考。
来源:《软件和集成电路》
关键词: