2.3 執行能力

2.3.1 執行能力概述

執行能力是指應用預防性、發現性和響應性活動與控制，通過鼓勵期望行為或事件來應對威脅、機會和要求，并防止不良行為或事件的發生。

為實現“有原則的績效”，企業必須采取一定的活動與控制，確保其在追求目標的同時，能夠管理不確定事件，并保持正直誠信。企業必須積極鼓勵有利于目標實現的行為和事件，并設法避免一切不利于目標實現的因素。企業還必須能夠檢查目標實現過程的進展，判斷不良行為、狀況和事件是否已經發生或可能發生。最后，企業必須對期望及不期望的行為、狀況和事件做出合理應對，其中包括實施懲戒措施、強化積極行為，以及在針對活動與控制的設計有效性或執行有效性檢查中發現的不足進行分析并提出改進意見。

活動與控制通常可分為4種類型，包括流程類、人力資本類、技術類和物理類。企業如何將預防性、發現性和響應性的各種活動與控制進行組合和分層，主要取決于企業覺察到何種機會、威脅和要求，以及基于各種評估和考慮因素，它們對企業的重要程度如何。如今，許多企業手握昔日不可比擬的技術，數據收集、整理、分析能力得到顯著提高，這有助于發現、預防甚至預測各種事件和行為，便于隨后制定不同的應對活動與控制。

下列關鍵活動與控制基本上適用于每一個企業，它們通常依托于多種不同的技術。

● 預防性活動與控制：包括政策、溝通、教育、激勵。

● 發現性活動與控制：包括通知和詢問。

● 響應性活動與控制。

“執行”能力包括控制、政策、溝通、教育、激勵、通知、詢問、響應8個要素。

2.3.2 執行能力的組成要素

1．控制

“控制”要素是指建立綜合管理、流程、人力資本、技術的活動與控制，以服務于治理、管理和鑒證活動。

● 制定預防性活動與控制措施——鼓勵期望行為或事件，防止不良行為和事件的發生。

● 制定發現性活動與控制措施——確定目標的推進情況，明確期望與不期望的行為、狀況或事件是否已經發生或可能發生。

● 制定響應性活動與控制措施——從不良行為、事件和狀況中恢復過來，糾正已發現的不足，執行必要的懲戒，表彰并強化期望行為，防止未來出現不期望的行為或狀況。

2．政策

“政策”要素是指實施政策及相關程序，以應對機會、威脅和要求，并為治理層、管理層、員工隊伍以及擴展企業的行為設定明確的期望。

● 制定行為規范——與適當的利益相關者共同制定行為規范，其中包括企業使命、愿景、價值觀、關鍵政策、期望的商業行為等。

● 建立政策框架——建立用以識別、創建、審批、執行及更新政策的整體框架。

● 識別并制定政策——運用預防性和指導性政策組合，以應對機會、威脅和要求。

● 實施并管理政策——實施、溝通、管理、執行并審核政策，以確保政策的運作具備并保持相關性。

● 擁護政策——大力支持企業政策和標準，確保利益相關者了解領導層對落實政策的決心。

● 制定并實施道德決策準則——制定并擁護決策準則，規定在出現行為規范、政策或程序中沒有明確涵蓋的情形時應如何行事。

3．溝通

“溝通”要素是指根據強制性要求或履行職責和端正態度的需要，與恰當的受眾之間傳達并接收相關、可靠且及時的信息。

● 制訂報告計劃——制訂相關計劃，在確保符合強制性報告要求的同時，向管理層、治理層和利益相關者提供其所期望的報告。

● 流程架構——確保執行相同或相關流程的活動與控制的負責人能夠傳達并接收到履行其職責的必要信息，并且采取與決策標準相一致的行動。

● 制定溝通規范——定義企業如何管理正式報告以外的相關溝通活動。

4．教育

“教育”要素是指教導治理層、管理層、員工隊伍和關聯公司，怎樣的行為是企業所期望的，同時，提高其必要的技能，明確其動機，幫助企業應對機會、威脅和要求。

● 制訂宣傳和教育計劃——制訂有關計劃，教導治理層、管理層、員工隊伍，擴展企業認知各自的責任和企業所期望的行為。

● 制訂課程計劃——為治理層、管理層、員工隊伍制定針對其工作的課程和相應的培訓方案，幫助其履行自身職責。

● 制定或獲取內容——制定或獲取當前課程或教育計劃中未涉及的內容，修改當前學習內容中任何需要更新的部分。

● 實施教育——實施并管理教育方案，確保各目標受眾均達到學習目標，并能將知識和技能應用于工作之中。

● 提供服務熱線——建立有關途徑，使員工及其他利益相關者可以尋求對后續行為的指導意見，提出一般性問題，并且在要求或允許匿名的情況下可以匿名。

● 提供配套支持——建立有關途徑，使員工可以在平時的工作環境下獲得配套支持。

5．激勵

“激勵”要素是指實施激勵措施，刺激期望行為，并表彰為積極的結果做出貢獻的人，從而強化期望行為。

● 定義期望行為——確定期望行為的類型，包括所需的定義、分類和程序，用以識別出誰是為積極結果做出貢獻的人以及在發生舉報投訴或發現不良行為跡象時，誰來告知本企業的人。

● 基于行為預期決定是否雇用或晉升——定義員工及商業伙伴的工作、職業道路和績效考核標準時，闡明什么是期望行為，并采用同樣的標準決定個人能否晉升。

● 制定并實施薪酬、獎勵和表彰方案——制定所有員工、商業伙伴及其他利益相關者的薪酬、獎勵和表彰方案，以表彰做出期望行為的個人及單位，切勿獎勵不良行為。

6．通知

“通知”要素是指提供多種途徑報告目標進展情況以及期望和不期望的行為、狀況和事件是否已經發生或可能發生。

● 收集通知——落實通知體系，收集活動與控制的不足、績效差異、違法事件或嫌疑、違反公司政策的行為，并對察覺到的不道德行為的關注或看法并提出警告。

● 篩選并發送通知——區分通知的優先次序，證實并發送需要處理的通知，不論該通知是通過何種途徑接收而來。

● 遵從數據保護要求——確保通知途徑符合通知發起地及企業運營所在地的具體要求。

7．詢問

“詢問”要素是指定期分析并詢問有關目標進展的數據和信息以及存在的不良行為、狀況和事件。

● 建立多種途徑獲取信息——定義如何獲取利益相關者的意見，了解其對活動與控制的不足、績效差異、違法行為或嫌疑、違反公司政策的行為以及對察覺到的不道德行為的關注或看法有何意見。

● 建立企業層面的綜合調查方法——建立企業層面的調查方法，減輕調查主體的負擔，綜合審視從利益相關者處獲取的信息。

● 建立綜合的自我評估方法——建立自我評估方法，將對績效、風險和合規責任及成果的評估與其他針對管理層的自我評估相結合。

● 通過觀察和談話收集信息——建立通過觀察、小組會議、專題討論和個人談話收集意見的非正式方法。

● 報告信息和發現——將通過各種詢問方法獲得的信息和發現告知管理層和利益相關者。

8．響應

“響應”要素是指對已發現或可疑的不良活動、不良事件或能力不足之處設計應對措施，并在必要時予以執行。

● 確立調查流程——制定內部調查流程，處理舉報投訴或不良行為跡象，維護對外部詢問和調查的響應程序。

● 準備應對危機情況——制定各類危機的應對計劃，使中斷的業務恢復過來。

● 遵循問題解決流程——解決各項問題，并記錄其結果。

● 提高能力——確保流程中信息流動通暢，以識別和糾正活動與控制的不足之處，并進行必要的變動。

● 懲戒和再培訓——對個人過失執行一致的懲戒，必要時進行再培訓。

● 決議披露——在要求或適當時，向有關利益相關者披露關于調查的決議。

2.3.3 執行能力的建設過程

一般而言，企業都會通過激勵期望的和防止不期望的行為和事件，來應對威脅、機會和要求。企業也可以建立這樣一套綜合的體系，其中包括預防性、發現性和響應性活動與控制，基于戰略目標的強大的數據分析支持，風險偏好和容忍度以及由管理層建立的風險決策指引。通過多種活動與控制以及數據分析，企業可以從以下幾個方面加強GRC執行能力。

1．預防性活動與控制

“預防性”意味著企業應采取措施或建立控制程序來防止不期望的行為，并鼓勵或識別哪些是期望的行為。企業要為此建立相關制度，進行培訓、溝通、激勵和大量分析，為績效、風險和合規管理營造有利條件，如圖2.11所示。

關鍵步驟：

(1) 制定相關制度并建立制度管理架構，包括例外情況的處理流程和基于角色的后續執行程序。

(2) 設計培訓課程，并通過多種渠道、多種形式、多種教學方法和基于風險的課程，提供合適的培訓及教育機會。

(3) 通過多種渠道，在一個確定的模式下，就風險決策指引和期望值進行溝通。

(4) 監測關鍵指標和持續的運營信息，以確?？梢愿鶕L險概況和補救計劃，對問題進行及時處理，并對流程和控制措施進行必要的調整。

2．發現性活動與控制

及時發現企業運行情況與期望是相符還是相悖，這與企業積極達成目標是同等重要的。不論是數字化的系統還是人工系統，發現風險中的機遇和威脅，及時感知內外部環境的異常，是實現優異績效和獲得成功的關鍵，如圖2.12所示。

關鍵步驟：

(1) 對于當下的關注點或者威脅、不期望的行為或事件，制定并建立報告路徑，促使個人能順暢地傳遞信息。

(2) 通過多種渠道收集內外部信息，以便盡早發現威脅、不當行為或情況以及潛在的機會。

(3) 采用各種可能的技術來發現差異、異常、違規、不當控制等情況，并對可能出現的政策、程序或控制違規要求進行早期預警。

(4) 對信息進行分析評估，跟進機會，解決問題，并根據需要調整控制措施。

3．響應性活動與控制

針對通過預防性和發現性活動與控制收集到的信息，必須進行分析并采取措施。有時，這個過程是流程驅動的；有時，也會建立自動化的技術應答(比如訪問控制變更)系統。要確保已經建立和制定了這樣一些流程和控制措施，包括調查與事件管理、重新審視風險評估和機會以及管理變更，如圖2.13所示。

關鍵步驟：

(1) 針對被識別出的問題、關注熱點和機會，定義并實施分類處理流程。在某些情況下，使用既定的過程和支持技術，可以自動化解決問題。

(2) 建立調查和解決問題流程，確定在流程中使用的關鍵人員和工具，并保持對每個問題解決流程的審計跟蹤。

(3) 在需要或適當的時候，確保向內部和外部的利益相關者及時匯報。

(4) 評估在整個解決流程中所獲得的信息，并在必要時調整既定的活動和控制措施。

4．綜合分析

對績效指標進行分析，能夠釋放結構化與非結構化信息的力量。通過分析來確定優先級并分析趨勢，有利于識別導致問題的根本原因，預測行為和情景，從而獲得基于風險的決策洞察力。通過已經出現的問題可以預見潛在的影響，可使企業在達成績效目標方面變得更加靈活，如圖2.14所示。

關鍵步驟：

(1) 建立與戰略目標和偏好掛鉤的關鍵績效指標、風險指標和合規指標，制定搜集數據和分析結果的流程。

(2) 設計信息架構，以支持分析框架，使用可靠的內外部數據集提供與情景相關的洞察分析，以便領導層可以據此采取行動。

(3) 持續對分析框架進行優化，讓分析框架源源不斷地輸出更豐富的信息，這些信息包括未來的發展趨勢、新的威脅和機會、當前存在的短板、對未來情景的預測、跨業務邊界的根因分析以及更廣泛的分析領域和主題。

(4) 與董事會、高管和經營者進行合作，以確保就調查發現的問題進行雙向溝通和采取行動。合理運用GRC能力，讓利益相關方參與GRC相關流程，可以產生更大的價值。