GRC是在企业的各经营业务之上,以战略为中心,以流程管理为基础,通过绩效管理和风险内控管理措施,对各项经营管理过程进行管理和控制,保障战略和经营目标达成的管理方法的总称,对企业的健康运营起着关键作用。
1. 企业非健康运营带来的困境
每个企业都想成为百年老店。
然而,《财富》杂志每年评选的世界500强企业,平均寿命不到50年,至少45%的企业每10年会遭遇一次毁灭性的打击!中国从2002年公布中国企业500强,迄今,每年有20%左右的企业被淘汰。所以,“百年老店”,比百岁老人的数量还少!
从理论上来讲,人的寿命是有限的,而企业,由于可以打破自然人寿命的限制,因此,企业的存活期应该超过人的平均年龄。而实际情况却不尽然。这是值得那些正在掌管着企业或即将掌管企业亦或即将创业的人去思索的。
我们不妨从失败的企业身上,先来做点浅层次的思考。
“毒奶粉事件”使得中国企业500强之一、中国前500个最具价值品牌之一的大型企业—三鹿集团毁于贪婪和不诚信。从问题曝光、危机爆发到法院宣布集团破产仅有108天,而这更引发了奶制品行业的信任危机和生存困境。综上,贪婪和不诚信是导致三鹿集团破产的主因。
2013年7月曝出的“葛兰素史克中国行贿事件”,因商业贿赂,使在中国快速发展的跨国药企若干高管被判有期徒刑二到四年,罚金人民币30亿元,这是迄今为止中国开出的最大罚单。同时经营过程的不合规也带来了巨大声誉损失。
2014年12月,上海家化集团收到证监局行政处罚书,因未及时披露关联交易情况,拟对上海家化予以警告,处以30万元罚款,并对时任董事长葛文耀、平安信托董事长童恺等高管进行不同额度的罚款。近一年,上海家化大股东及其代理人与原管理层的内斗,各种内幕的曝出造成了股价的波动,而关联交易方面的违规又使得上海家化或有退市风险。综上,关联管理交易带给上海家化集团带来了经济损失和退市风险。
众多事例表明:企业经营环境的复杂、利润的减少都不是企业破产的致命利器,真正原因是企业的非健康运营。
2. GRC帮助企业走出困境
GRC的倡导者国际OCEG组织认为,单独追求财务目标在当今并不能保证企业的健康运营。企业除了需要满足股东及其他利益相关者的利润诉求外,还需要承担社会责任,并且使其各项活动符合道德与法律的要求,即:“可靠的达成目标,与此同时管理不确定性和保证正直诚信”。
无论外界风云怎样变换,“互联网+”、“大数据”、“云”等等,企业都需要以健康的运营状态来迎接变化,才能有更大的胜算。
何为健康的运营状态呢?也许西方学者的研究能给我们一些启示:荷兰皇家壳牌石油公司的阿里德杰斯发现长寿企业普遍具有四个生命要素:财务保守、宽容、凝聚力强和对环境敏感。美国技术和市场调研权威 Forrester Research 的一位前分析师Michael Rasmussen提出“GRC”概念认为:GRC是这样一种能力,它使企业能可靠的达成目标,与此同时管理不确定性和保证正直诚信。
GRC是什么
以美国安然、法国兴业银行等一系列反面教材为触发点,以《萨班斯法案》为源泉,2002年国际OCEG组织提出GRC管理理念。GRC是实现企业治理、绩效、风险、合规等管理方法的完全整合与协同所必需的所有能力的集合的简称。 GRC管理理念被认为是企业在日益复杂的竞争环境下赖以生存和发展的必然和有效选择。随后,安永、德勤等咨询机构成为OCEG的会员,Oracle、 SAP、IBM、EMC等IT解决方案厂商成为OCEG的会员。
虽然,GRC在国外已经发展相当长时间,但在国内才刚刚兴起。2008年,北京慧点科技有限公司(简称慧点科技)率先引入国际先进的GRC管理理念,融合自动化控制原理和中国的实际情况,形成具有慧点科技特色的GRC。
慧点科技认为GRC(Governance,Risk & Compliance)是在企业的各经营业务之上,以战略为中心,以流程管理为基础,通过绩效管理和风险内控管理措施,对各项经营管理过程进行管理和控制,保障战略和经营目标达成的管理方法的总称。GRC涉及以下主要部分:
Governance(治理/管控):建立完整的制度安排和治理框架,从外部指导、控制、评估实体、流程和资源,在这个过程中公平对待各利益相干者,制定公司战略目标和制度,监督绩效,遵从法律及制度规定,透明和披露经营状况,对各项经营管理过程本身进一步进行管理和监督。治理的目标在于可靠地达成目标。
Risk Management(风险管理):对所有业务和法规风险进行结构化的识别、评估、缓解、监视和控制,在追求回报的同时应对各种风险。目的在于处理不确定性。
Compliance Management(合规管理):通过内部控制管理机制和体系,确保各项制度和法规得以遵从、制度得以贯彻、各项经营和管理目标得以有效达成。目的在于诚信做事。
综上所述,我们对GRC的主要组成进行了逐个分析,但GRC更强调的是有机集成和融合统一的方法体系,要满足企业健康运营并且能达成既定目标,必须能够对GRC整体进行有效落地,这样才能让GRC在企业中不再仅仅是一个口号,而是企业发展的有效保障,才能有效发挥GRC的真正价值。
GRC的目标
如上面提到的事例,葛兰素史克因为中国行贿事件而面临高达30亿元的巨额罚款。不少职业人或许都曾像葛兰素史克员工一样,面临在个人或公司的生存原则与利益最大化之间做出艰难抉择的考验。美国咨询业领袖多弗•塞德曼认为:“如果我们总是需要持续关注企业利润,仅仅询问完成了‘多少’利润,那么我们就将错过另一个更加重要的问题:它是‘如何’完成的?”
GRC的倡导者国际OCEG组织认为GRC所追求的目标“有原则绩效”正是解决这一问题的良药。
“绩效”是精心选择的一个词。包含了三层含义:
1. 绩效是一种结果。通常表现是企业财务上的结果及与财务相关的可量化的结果。
2. 绩效又是一种行为。通常表现是具有一定素质的员工围绕其任职的职位,为卓越地完成所负责的任务,而达到的不同阶段成果,以及在实现目标的过程中的行为表现。
3. 绩效还是一种考核。通常表现是企业把员工的技能、发展潜力和对价值观的认同表现纳入绩效考核的范围。
“有原则”强调明确建立强制边界与自愿边界,并清晰地表达遵守这些行为边界的方法。综合运用战略、人员、流程、技术等企业资源,通过对不确定事件的管理,在保证不跨过行为边界的情况下进行商业运作,在客服障碍和抓住机遇之间灵活应对,最终实现企业战略目标、运营目标、客户目标、流程目标、合规目标等。
有原则绩效是指可靠地达成目标,与此同时管理不确定性和保证正直诚信,其专注于探究如何让企业能够超越合法性运作目标而实现经营目标。
具体来说,“有原则绩效”包含四个层面的含义:
1. 达成目标。 设定清晰的目标,设计商业模式,测量绩效。董事会审查目标设定流程、商业模式与绩效报告。管理人员负责执行战略并运作商业模式。
2. 管理不确定性。全面考虑未来可能影响到企业战略和运作的各种风险。以先行主动的方式,控制风险,使风险对利润的影响最小化;对各种可能会发生的风险深思熟虑,充分思考,严格对待。
3. 保证正直诚信。遵循法律法规等强制性要求,行为不触犯强制性边界。同时遵循企业、利益相关者自主设定的要求,同样行为不触犯自愿性边界。如果不能遵从承诺,则需要澄清并为承担违约后果。
4. 可靠地。确保企业有合理的管理、治理和保证措施。企业目标是上下对齐、一致的、可实现的。确保企业收集信息的精确性、可靠性。确保执行过程的持续性、稳健性,达成目标是可预期的。
3. GRC理想实施的完美画面
