2.2 對齊能力

2.2.1 對齊能力概述

“對齊”是指企業(yè)績效、風(fēng)險(xiǎn)管理和合規(guī)遵從的目標(biāo)、策略、決策標(biāo)準(zhǔn)、活動(dòng)與控制要與環(huán)境、文化和利益相關(guān)者的要求等相一致，保持對齊。

“有原則的績效”需要“對齊”。企業(yè)應(yīng)對機(jī)會、威脅、要求的決策要與環(huán)境、企業(yè)文化及決策標(biāo)準(zhǔn)對齊；合規(guī)遵從活動(dòng)要與強(qiáng)制性要求與自愿性要求保持對齊；績效、風(fēng)險(xiǎn)和合規(guī)指標(biāo)(KPI、KRI和KCI)要與目標(biāo)成果以及決策標(biāo)準(zhǔn)保持對齊。如果不對齊，各行其是，各自為政，甚至南轅北轍，那么各自的執(zhí)行力越強(qiáng)，對企業(yè)傷害越大。對齊的目的就是讓大家朝著一個(gè)方向，心往一處想，勁往一處使，合力實(shí)現(xiàn)戰(zhàn)略目標(biāo)。

企業(yè)的治理層需要為管理層提供指導(dǎo)，確保能力的設(shè)計(jì)符合決策標(biāo)準(zhǔn)。確定并定義風(fēng)險(xiǎn)能力、風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)容忍度以及用于各評估過程的其他決策標(biāo)準(zhǔn)，能夠進(jìn)一步推進(jìn)企業(yè)出臺統(tǒng)一的績效、風(fēng)險(xiǎn)管理和合規(guī)管理辦法、指導(dǎo)管理層哪些行為是適當(dāng)?shù)摹?/p>

企業(yè)需要考慮在既定策略實(shí)施過程中，可能影響目標(biāo)達(dá)成的各種勢力、事件和狀況，同時(shí)評估風(fēng)險(xiǎn)、回報(bào)和合規(guī)的固有水平及剩余水平(即采取有關(guān)活動(dòng)與控制之前與之后的水平)。只有這樣才能確保所制定的活動(dòng)與控制切實(shí)合理，使企業(yè)績效和合規(guī)水平達(dá)到期望值，同時(shí)有效控制風(fēng)險(xiǎn)，使其維持在既定的風(fēng)險(xiǎn)能力、偏好和容忍度以內(nèi)。

企業(yè)的規(guī)模、文化和實(shí)施范圍(企業(yè)級、部門級、項(xiàng)目級)不同，對齊的具體內(nèi)容也會有所不同。但無論哪種情況，以下幾點(diǎn)都非常重要。

● 根據(jù)企業(yè)的使命、愿景、價(jià)值觀和決策標(biāo)準(zhǔn)(如風(fēng)險(xiǎn)偏好、容忍度和能力)確定決策方向。

● 確定與決策標(biāo)準(zhǔn)相一致的目標(biāo)及實(shí)施策略。

● 識別并監(jiān)測機(jī)會、威脅和要求，并評估其對企業(yè)目標(biāo)的影響。

● 配置必要的資源和資金，清除妨礙目標(biāo)達(dá)成的程序及其他障礙和限制，推動(dòng)計(jì)劃的實(shí)施。

● 對于如何形成各方可接受的決策標(biāo)準(zhǔn)，為管理層提供管理方針和指導(dǎo)。

● 確立并傳達(dá)貫穿企業(yè)上下的企業(yè)績效、風(fēng)險(xiǎn)管理和合規(guī)遵從的高層次目標(biāo)?！皩R”能力包含方向、目標(biāo)、識別、評估、設(shè)計(jì)5個(gè)要素。

2.2.2 對齊能力的組成要素

1．方向

“方向”要素是指通過制定清晰的使命、愿景、價(jià)值觀、高層次目標(biāo)、高層次政策以及決策制定指導(dǎo)方針，為企業(yè)提供決策方向。

● 定義使命、愿景和價(jià)值觀——?jiǎng)?chuàng)建一份正式聲明，闡述企業(yè)要做什么、企業(yè)追求什么，以及管理當(dāng)局同意的、企業(yè)秉持的并應(yīng)用于決策的核心價(jià)值觀。

● 分析機(jī)會、威脅和要求——對識別出的機(jī)會、威脅和要求進(jìn)行高層次分析，以便定義高層次目標(biāo)和策略。

● 定義高層次目標(biāo)——定義高層次目標(biāo)及相關(guān)指標(biāo)，供管理層設(shè)定詳細(xì)的目標(biāo)和策略。

● 定義管理邊界——制定指導(dǎo)方針，制約和引導(dǎo)管理層的行為，以幫助其設(shè)定詳細(xì)的目標(biāo)和策略。

● 定義決策標(biāo)準(zhǔn)——定義選擇目標(biāo)和策略的標(biāo)準(zhǔn)、優(yōu)先序列排列指南、風(fēng)險(xiǎn)/回報(bào)權(quán)衡標(biāo)準(zhǔn)(例如風(fēng)險(xiǎn)偏好、容忍度和能力)以及合規(guī)標(biāo)準(zhǔn)。

2．目標(biāo)

“目標(biāo)”要素是指制定與決策標(biāo)準(zhǔn)相一致且適合既定指引體系的一套平衡的、可量化的目標(biāo)。

● 運(yùn)用決策標(biāo)準(zhǔn)——企業(yè)目標(biāo)應(yīng)當(dāng)與決策標(biāo)準(zhǔn)相一致，根據(jù)其所聲明的使命、愿景、價(jià)值觀和指引體系，并綜合考慮可接受的剩余風(fēng)險(xiǎn)、可期望的績效、可落實(shí)的要求。

● 制定附加的決策標(biāo)準(zhǔn)——在某些情況下，為了實(shí)現(xiàn)目標(biāo)，需要制定附加的決策標(biāo)準(zhǔn)來指導(dǎo)行動(dòng)。

● 考慮目標(biāo)的關(guān)聯(lián)效應(yīng)和競爭效應(yīng)——在公司層面上全面地評估、思考目標(biāo)間的相互影響；根據(jù)決策標(biāo)準(zhǔn)判斷有些目標(biāo)是否優(yōu)先于其他目標(biāo)。

● 記錄目標(biāo)——清晰地表述并記錄目標(biāo)，以便包括負(fù)責(zé)實(shí)現(xiàn)目標(biāo)的內(nèi)部管理者和內(nèi)外部利益相關(guān)者在內(nèi)的有關(guān)各方都可以查看和使用。

3．識別

“識別”要素是指識別可能導(dǎo)致對實(shí)現(xiàn)目標(biāo)構(gòu)成期望或不良影響的因素，以及可能迫使公司以特定方式開展經(jīng)營的因素，即識別機(jī)遇、威脅和要求。

● 審查企業(yè)能力——識別和評估現(xiàn)有能力(人員、流程和技術(shù))及其對目標(biāo)實(shí)現(xiàn)能力的影響。

● 識別影響因素——識別可能會對企業(yè)提出要求或促進(jìn)/阻礙目標(biāo)實(shí)現(xiàn)的內(nèi)外部因素、事件和狀況，必要時(shí)可能需要修改目標(biāo)或戰(zhàn)略方向。

● 識別機(jī)會、威脅和要求——識別影響目標(biāo)實(shí)現(xiàn)的機(jī)會、威脅以及強(qiáng)制性和自愿性要求。

● 識別關(guān)聯(lián)及趨勢——識別各機(jī)會、威脅和要求之間的關(guān)聯(lián)及其內(nèi)外部趨勢。

4．評估

“評估”要素是指運(yùn)用定量和定性的決策標(biāo)準(zhǔn)，分析應(yīng)對機(jī)會、威脅和要求的當(dāng)前途徑和計(jì)劃途徑。

● 分析風(fēng)險(xiǎn)/回報(bào)——衡量和評估尚未采取活動(dòng)與控制的影響(固有的)以及采取活動(dòng)與控制之后，機(jī)會和威脅的影響情況(剩余的)。

● 分析合規(guī)性——衡量和評估當(dāng)前以及采取活動(dòng)與控制之后的合規(guī)水平。

● 確定對威脅、機(jī)會和要求的管理優(yōu)先級——確定機(jī)會、威脅和要求的優(yōu)先序列及分類，以確定應(yīng)對方法和資源配置。

5．設(shè)計(jì)

“設(shè)計(jì)”要素是指制定戰(zhàn)略和戰(zhàn)術(shù)計(jì)劃，以求在管理不確定性并保持正直誠信的同時(shí)達(dá)成既定目標(biāo)，同時(shí)與決策標(biāo)準(zhǔn)保持一致。

● 探尋應(yīng)對要求的可選方案——當(dāng)前合規(guī)水平無法接受或現(xiàn)有活動(dòng)與控制并非最優(yōu)選擇時(shí)，探尋應(yīng)對要求的其他活動(dòng)與控制。

● 探尋應(yīng)對風(fēng)險(xiǎn)/獲得回報(bào)的可選方案——當(dāng)前剩余風(fēng)險(xiǎn)和/或績效水平無法接受或當(dāng)前途徑尚有改善空間時(shí)，探尋應(yīng)對風(fēng)險(xiǎn)/獲得回報(bào)的替代活動(dòng)與控制。

● 設(shè)計(jì)風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)理財(cái)策略——設(shè)計(jì)一套符合本公司風(fēng)險(xiǎn)決策標(biāo)準(zhǔn)(風(fēng)險(xiǎn)偏好、容忍度和能力)的風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)理財(cái)手段及途徑。

● 確定剩余風(fēng)險(xiǎn)、回報(bào)和合規(guī)的預(yù)期水平——評估在所計(jì)劃的活動(dòng)與控制建立并有效運(yùn)行后，確定剩余風(fēng)險(xiǎn)、回報(bào)和合規(guī)的預(yù)期水平，以此審查替代方案，并選出最佳方案。

● 應(yīng)對高等級的固有風(fēng)險(xiǎn)——明確專門應(yīng)對高等級固有風(fēng)險(xiǎn)的當(dāng)前和計(jì)劃活動(dòng)與控制，如果該活動(dòng)或控制無法有效執(zhí)行，公司將會暴露在無法接受的高風(fēng)險(xiǎn)之下。

● 制定關(guān)鍵指標(biāo)——制定用于告知管理層活動(dòng)與控制有效性的關(guān)鍵指標(biāo)，包括回報(bào)、風(fēng)險(xiǎn)和合規(guī)水平。

● 建立信息管理框架——管理信息，使之安全、契合、可靠并在需要時(shí)可以獲得。

● 建立技術(shù)架構(gòu)——評估并整合技術(shù)的使用，為GRC能力提供支持。

● 制定整體計(jì)劃——制定相應(yīng)計(jì)劃，獲得治理和鑒證所需的資源，并管理可以滿足回報(bào)、風(fēng)險(xiǎn)及合規(guī)要求的方式方法。

2.2.3 對齊能力的建設(shè)過程

領(lǐng)導(dǎo)者必須將企業(yè)的目標(biāo)與使命、愿景和價(jià)值觀對齊，但這還不足以保證成功。在目標(biāo)和戰(zhàn)略方面還必須考慮企業(yè)運(yùn)作的業(yè)務(wù)環(huán)境和內(nèi)部的治理、風(fēng)險(xiǎn)、員工和道德文化操守等因素。風(fēng)險(xiǎn)管理和合規(guī)必須與績效目標(biāo)對齊，從建立一致性入手，然后才能制定、保持和實(shí)現(xiàn)目標(biāo)，同時(shí)管理不確定性并保持正直誠信。企業(yè)可以從以下幾個(gè)方面建設(shè)GRC對齊能力。

1．設(shè)定績效路線的方向

各級領(lǐng)導(dǎo)應(yīng)闡明“有原則的績效”的目標(biāo)，并且在口頭上和行動(dòng)上都要明確實(shí)現(xiàn)的路徑。將管理不確定性和保持正直誠信的目標(biāo)整合到既定的目標(biāo)和決策指南中，如圖2.7所示。

關(guān)鍵步驟：

(1) 在確定決策指引的同時(shí)準(zhǔn)備好關(guān)于風(fēng)險(xiǎn)偏好、容忍度和承受度的說明，這個(gè)說明用于制定目標(biāo)和戰(zhàn)略。

(2) 對內(nèi)外部環(huán)境的影響因素可能導(dǎo)致的后果進(jìn)行分析之后，再設(shè)定或調(diào)整目標(biāo)和戰(zhàn)略。

(3) 根據(jù)規(guī)定的使命、愿景和價(jià)值觀，確保目標(biāo)是可衡量的、可接受的，并與風(fēng)險(xiǎn)、績效、合規(guī)標(biāo)準(zhǔn)保持一致。

(4) 當(dāng)在全公司范圍內(nèi)制定詳細(xì)的目標(biāo)和策略時(shí)，企業(yè)應(yīng)發(fā)布限制和指導(dǎo)管理的說明。

2．評估威脅、機(jī)會和要求

有很多因素會影響企業(yè)實(shí)現(xiàn)既定目標(biāo)的能力，或者可能迫使企業(yè)以自己特有的方式行事。建立一套將績效、風(fēng)險(xiǎn)、合規(guī)整合的并與既定目標(biāo)對齊的管理體系是非常重要的。企業(yè)必須先確定管理活動(dòng)和控制的優(yōu)先序列，如圖2.8所示。

關(guān)鍵步驟：

(1) 定期審視對內(nèi)外部環(huán)境的評估結(jié)果，然后識別需求、發(fā)現(xiàn)阻礙目標(biāo)達(dá)成的威脅或凸顯出的有利于目標(biāo)達(dá)成的機(jī)會。

(2) 評估現(xiàn)有的能力(人員、流程、技術(shù)和信息)，以及它們?nèi)绾斡绊憣?shí)現(xiàn)目標(biāo)、管理不確定性和保持正直誠信的能力。

(3) 識別機(jī)會、威脅和需求之間是如何關(guān)聯(lián)的，并確定它們的優(yōu)先次序。

(4) 評估當(dāng)前和計(jì)劃的方案來應(yīng)對威脅、機(jī)會和需求，如有必要還需考慮提出修訂目標(biāo)和調(diào)整戰(zhàn)略方向的要求。

3．制定整合的戰(zhàn)略和戰(zhàn)術(shù)計(jì)劃

每一個(gè)因素的變化可能產(chǎn)生不同的影響和潛在的累積效應(yīng)或連鎖反應(yīng)。確保將每個(gè)因素映射到可能受到其影響的管理或業(yè)務(wù)操作的領(lǐng)域上，這樣就能給指定的人提供及時(shí)、精準(zhǔn)的信息，如圖2.9所示。

關(guān)鍵步驟：

(1) 為達(dá)成目標(biāo)并管理不確定性和保持正直誠信，決定采用怎樣的戰(zhàn)略和戰(zhàn)術(shù)，這些戰(zhàn)略戰(zhàn)術(shù)也包括風(fēng)險(xiǎn)和合規(guī)管理方面的內(nèi)容。

(2) 根據(jù)風(fēng)險(xiǎn)評估結(jié)果對目標(biāo)的潛在影響，設(shè)計(jì)活動(dòng)與控制，以響應(yīng)每個(gè)機(jī)會、威脅和要求。

(3) 開發(fā)關(guān)鍵指標(biāo)，用來給管理層提供證明活動(dòng)與控制是否有效的信息，這些信息中也包括風(fēng)險(xiǎn)、回報(bào)及合規(guī)水平的情況。

(4) 將績效、風(fēng)險(xiǎn)和合規(guī)進(jìn)行整合并嵌入到業(yè)務(wù)主線中，將提升整個(gè)企業(yè)員工的主人翁責(zé)任感。

4．確保信息技術(shù)及其管理有效支撐目標(biāo)

信息技術(shù)在企業(yè)管理中的深入應(yīng)用，為企業(yè)的績效管理、風(fēng)險(xiǎn)管理和合規(guī)管理帶來了技術(shù)支撐，提供了一個(gè)存儲所有相關(guān)信息的倉庫，并滿足各種報(bào)告要求。有了一致、可靠的信息，將它們作為反映企業(yè)中已建立的活動(dòng)與控制管理情況的指標(biāo)和信號燈，可以讓企業(yè)更敏捷、更靈活地應(yīng)對變化，如圖2.10所示。

關(guān)鍵步驟：

(1) 基于優(yōu)先級和復(fù)雜度，評估相關(guān)技術(shù)適合在哪些地方應(yīng)用，并建立再評估的觸發(fā)點(diǎn)。

(2) 在建立GRC流程或清理現(xiàn)有的管理辦法之后，確定現(xiàn)有技術(shù)所需的變化(或如何使用它們)，以及需要增加或替換的GRC流程或管理辦法。

(3) 建立信息與溝通的計(jì)劃和制度。

(4) 將計(jì)劃與變更管理活動(dòng)相融合。