了解企业的现状是非常重要的,从图中我们可以看到,当前很多企业组织和功能设计相对独立;管理存在割裂、复杂,严重资源浪费等问题;治理层感知到管理不透明、策略杂乱无章、管理成本很高;呈现出企业整体缺乏有效监管。
GRC理想实施的完美画面是治理层通过准确、真实、集成的分析及报告进行有效地监管;管理层推行有机集成和融合统一的管控机制,包括集成的GRC战略、集成的风险管理、高度融合&高质量的信息等;保障层采用统一的方法、统一的词汇,共享的技术、共享的服务。帮助企业健康的运营,帮助企业实现有原则绩效。
GRC的理想实施,一般可以在企业的六个方面取得可预期、直观可见的成效:
1. 降低成本。企业对GRC活动的投资,会降低企业成本,提高回报率;
2. 品牌价值提升。对风险的有效控制,降低有损企业品牌事件的发生率,品牌受到保护,提升品牌价值;
3. 企业运行更有效。逐渐剔除冗余、减少重复性、打破壁垒,企业运行会变得越来越有效。
4. 优化资本分配。辨别产能过剩或低效的业务,为企业资金和人力资源分配优化提供支持。
5. 流程优化。有价值的活动写入流程,无价值的活动被剪掉,偏离目标和时滞等问题逐一被解决,企业流程得到不断优化。
6. 提供高质量信息。信息的准确性、及时性辅助企业管理层快速地做出更明智的决策。
4. 实现GRC的障碍
GRC可以帮助企业实现有原则绩效,即:“可靠地达成目标,与此同时管理不确定性和保证正直诚信”。然而理想是美好的,现实是骨感的。企业在实施GRC过程中碰到的最大问题是感觉GRC管理概念太大了,无从下手,不知道怎样落地。
5. 怎样解除障碍,实现理想
面对这样的现状,企业应该怎样解除障碍呢?各个企业具体情况不同,采取的措施也各不相同。但有几个通用的方面企业可以考虑:
1. 问题入手
GRC管理实施切记好高骛远,可以从1-2件具体问题做起,在小范围内体会GRC管理实施为企业带来的影响。实施GRC管理的核心过程遵循PDCA原则,分别是计划/流程,预防/保护/预案,监测/评估,响应/改进。各部分具体含义如下:
1) 计划/流程
根据战略和目标制定清晰描述行为边界,根据内外部环境及企业自身情况选择商业模式,评估风险,进行可执行性分析,设定实施策略和步骤。
2) 预防/保护/预案
对员工进行培训和教育,使员工了解战略、目标、计划、流程等信息,清楚员工行为准则,明确执行阶段可能遇到的风险及预案应对措施。控制执行过程,保护企业价值,规避或减少风险损失。
3) 监测/评估
对执行过程的关键节点进行连续监测,包括控制保障与审计、热线和求助专线报告;同时进行定期评估,包括有效性评估、项目绩效评估和评估规划与报告。
4) 响应/改进
发现问题,要及时披露并纠正,在问题管理方面要提升响应速度。面对专有风险,要做特例调查,防患于未然。惩罚与披露、纠正与改进是主要执行手段。
2. 分层实施
其实,即便企业并未显式的宣称自己在从事GRC管理活动,但他们都或多或少地在从事某种GRC管理活动。GRC管理活动可以在企业内分层分级的实现。
一般来讲,GRC的管理层级可以分为企业层级、重点项目层级、部门层级、事件层级。企业层级的GRC需要构建企业GRC管理框架,综合各部门、业务域进行综合GRC管理。重点项目层级的GRC聚焦于具体的、跨部门的重大项目问题;部门层级的GRC解决具体职能域内问题;事件层级的GRC专注于简单事件的GRC实施。如果GRC渗透到公司各个层面,就能有效的推进企业目标的实现。
3. 持之以恒
企业实施GRC,一开始,可能不会有惊人的改变。不要因此变得灰心丧气而放弃。改善是会一点点到来的,并且管理人员和员工会清晰地看到自己的努力带来的成果。当然在这个过程中,为了激励员工,可以考虑进行直接的补偿奖励,比如给部门更多预算,或者给团队和个人发奖金,这些都是鼓励他们完成目标的“胡萝卜”。
4. 技术支持
GRC的统一服务平台,是企业GRC管理架构与IT技术方案实现有机集成和融合统一的基石,能更好地满足企业管理的需要。通过它可以拥有支持GRC 运作的流程和技术,可以获得一致性和完整性的信息,可以大大简化具体管理实施的复杂性,使企业可以做到有效率、有效果、响应灵敏,促进GRC目标以及企业目标的实现。
每家企业需要的GRC管理架构都是不同的。因此,GRC管理架构的设计需要在企业架构的环境中做出,使GRC支持企业的DNA并与之结合为一个整体。
下图是国内某大型集团的GRC统一平台功能架构图,以供大家参考。
