2.4 優(yōu)化能力

2.4.1 優(yōu)化能力概述

“優(yōu)化”能力是指開展一系列活動(dòng)，監(jiān)測管控機(jī)制執(zhí)行的有效性，并不斷優(yōu)化管控機(jī)制的設(shè)計(jì)，使其與企業(yè)目標(biāo)保持對齊。

為實(shí)現(xiàn)“有原則的績效”，企業(yè)必須監(jiān)測、衡量、改進(jìn)和鑒證既定活動(dòng)與控制的表現(xiàn)，確保其得到切實(shí)運(yùn)用且運(yùn)作得當(dāng)，有利于達(dá)成目標(biāo)。內(nèi)外部環(huán)境的變化可能會改變回報(bào)、風(fēng)險(xiǎn)和合規(guī)的固有水平和剩余水平，使當(dāng)前的活動(dòng)與控制失去作用。當(dāng)執(zhí)行有效性不佳或環(huán)境變化過大時(shí)，為達(dá)成目標(biāo)，企業(yè)必須重新根據(jù)決策標(biāo)準(zhǔn)定義可接受的活動(dòng)與控制，必要時(shí)可能還要重新考慮和改進(jìn)自身目標(biāo)及策略。

對執(zhí)行這一關(guān)鍵檢查活動(dòng)所需的各類監(jiān)測活動(dòng)與控制，各企業(yè)如何進(jìn)行組合和分層，主要取決于企業(yè)已明確的機(jī)遇、挑戰(zhàn)和要求，以及基于這些因素對企業(yè)的重要程度的評估和考量。

支持這一步驟的一些關(guān)鍵監(jiān)測活動(dòng)與控制基本上適用于所有企業(yè)，其中包括：

● 監(jiān)測所有既定活動(dòng)與控制的表現(xiàn)。

● 向治理層鑒證各活動(dòng)與控制設(shè)計(jì)得當(dāng)，執(zhí)行有效且利于目標(biāo)達(dá)成。

● 提供反饋閉環(huán)，對經(jīng)驗(yàn)教訓(xùn)進(jìn)行評估。

● 必要時(shí)，改進(jìn)既定活動(dòng)與控制的設(shè)計(jì)有效性和執(zhí)行有效性。

“優(yōu)化”能力包括監(jiān)測、鑒證、改進(jìn)三個(gè)要素。

2.4.2 優(yōu)化能力的組成要素

1．監(jiān)測

“監(jiān)測”要素是指通過監(jiān)測定期評估能力的表現(xiàn)，確保其設(shè)計(jì)和執(zhí)行既有效又高效，且對變化響應(yīng)及時(shí)。

● 定期評估能力規(guī)劃——制定時(shí)間表，根據(jù)企業(yè)目標(biāo)、機(jī)會、威脅、要求和環(huán)境變化，對能力規(guī)劃進(jìn)行定期評估。

● 確定監(jiān)測信息——確定運(yùn)用何種信息來評估風(fēng)險(xiǎn)優(yōu)化活動(dòng)或GRC能力的整體表現(xiàn)。

● 執(zhí)行監(jiān)測活動(dòng)——執(zhí)行監(jiān)測活動(dòng)，以便對能力表現(xiàn)進(jìn)行評估。

● 分析并報(bào)告監(jiān)測結(jié)果——分析監(jiān)測活動(dòng)的結(jié)果，明確不足和機(jī)遇，以便進(jìn)行系統(tǒng)性改進(jìn)。

2．鑒證

“鑒證”要素是指向管理層、治理層和其他利益相關(guān)者鑒證GRC能力具備可靠性、有效性、高效性和響應(yīng)性。

● 規(guī)劃鑒證評估工作——為了向有關(guān)利益相關(guān)者提供其所期望的鑒證水平，需要明確鑒證評估的范圍、程序和標(biāo)準(zhǔn)。

● 執(zhí)行鑒證評估工作——執(zhí)行鑒證程序，根據(jù)標(biāo)準(zhǔn)評估其結(jié)果，給出相關(guān)建議，并報(bào)告結(jié)果和結(jié)論。

3．改進(jìn)

“改進(jìn)”要素是指審視通過監(jiān)測、定期評估、鑒證以及發(fā)現(xiàn)性活動(dòng)與控制中獲得的信息，發(fā)現(xiàn)機(jī)會改進(jìn)能力的機(jī)會。

● 制訂改進(jìn)計(jì)劃——制訂有重點(diǎn)的計(jì)劃，用于實(shí)施能力改進(jìn)工作。

● 實(shí)施改進(jìn)措施——實(shí)施旨在改進(jìn)能力的具體行動(dòng)計(jì)劃和措施。

2.4.3 優(yōu)化能力的建設(shè)過程

為了達(dá)成“有原則的績效”，企業(yè)必須針對已經(jīng)建立的GRC活動(dòng)與控制，開展并監(jiān)督鑒證活動(dòng)，確保這些GRC活動(dòng)與控制被采用且正常運(yùn)轉(zhuǎn)，以實(shí)現(xiàn)企業(yè)目標(biāo)。內(nèi)外部環(huán)境的變化可能要求企業(yè)改變GRC能力規(guī)劃，或者重新考慮戰(zhàn)略甚至調(diào)整企業(yè)目標(biāo)。那么如何才能不斷提升GRC能力呢？

1．監(jiān)測已經(jīng)定義的活動(dòng)與控制

每一個(gè)企業(yè)都應(yīng)該監(jiān)測并評估GRC流程、技術(shù)和組織架構(gòu)，確保它們能夠按預(yù)期運(yùn)轉(zhuǎn)，以降低風(fēng)險(xiǎn)，實(shí)現(xiàn)既定目標(biāo)。對執(zhí)行這一關(guān)鍵檢查活動(dòng)所需的各類監(jiān)測活動(dòng)與控制，各企業(yè)如何進(jìn)行組合和分層，主要取決于企業(yè)已明確的機(jī)會、威脅和要求，及其對企業(yè)的重要程度如何，如圖2.15所示。

關(guān)鍵步驟：

(1) 制定一個(gè)時(shí)間表，根據(jù)企業(yè)目標(biāo)、機(jī)會、威脅、要求和商業(yè)環(huán)境變化，對能力規(guī)劃進(jìn)行定期評估。

(2) 識別通過哪些信息可以進(jìn)行能力運(yùn)行情況的評估。

(3) 開展有助于對能力運(yùn)行情況進(jìn)行評估的監(jiān)測活動(dòng)，包括在關(guān)鍵環(huán)節(jié)上定義的監(jiān)測活動(dòng)，連續(xù)監(jiān)測是一種比較好的評估方式。

(4) 評估監(jiān)測活動(dòng)的結(jié)果，識別薄弱環(huán)節(jié)和機(jī)會，以便進(jìn)行系統(tǒng)性改進(jìn)。

2．為治理機(jī)構(gòu)和管理層提供鑒證

企業(yè)在不同的時(shí)期和不同的目標(biāo)之下，鑒證水平存在一定的差異，但是無論在什么情況下，能力必須通過評估，以證實(shí)其是有效的、高效的并且是響應(yīng)變化的。具有專項(xiàng)經(jīng)驗(yàn)的獨(dú)立鑒證人員，使用專業(yè)標(biāo)準(zhǔn)，能夠提供較高水準(zhǔn)的鑒證，如圖2.16所示。

關(guān)鍵步驟：

(1) 為了給相關(guān)股東提供所期望的保障水平，需要先明確范圍、過程和標(biāo)準(zhǔn)。

(2) 使用一套基于風(fēng)險(xiǎn)的評估方法，并聚焦于達(dá)成目標(biāo)的能力，同時(shí)與決策標(biāo)準(zhǔn)一致，這個(gè)決策標(biāo)準(zhǔn)是指采取管控措施后，回報(bào)、風(fēng)險(xiǎn)和合規(guī)的剩余水平是可接受的。

(3) 執(zhí)行評估程序，根據(jù)標(biāo)準(zhǔn)產(chǎn)生評估結(jié)果，提出相關(guān)建議，然后報(bào)告結(jié)果和結(jié)論。

(4) 執(zhí)行跟蹤程序，確保相關(guān)建議得到充分執(zhí)行，重新評估以前的結(jié)論和達(dá)到的保障水平。

3．提升GRC能力

通過研究監(jiān)測結(jié)果和鑒證報(bào)告中的信息，管理層能夠從中發(fā)現(xiàn)提升GRC能力的機(jī)會。當(dāng)經(jīng)營效益差，或者環(huán)境變化顯著時(shí)，企業(yè)必須重新設(shè)計(jì)并定義可接受的活動(dòng)與控制，且與既定的決策標(biāo)準(zhǔn)保持一致，以達(dá)成企業(yè)的目標(biāo)。持續(xù)的系統(tǒng)化改進(jìn)是成熟和高績效GRC能力的標(biāo)志，如圖2.17所示。

關(guān)鍵步驟：

(1) 研究監(jiān)測和鑒證信息，從中發(fā)現(xiàn)提升GRC能力的機(jī)會。

(2) 制訂一份能力提升計(jì)劃，并按優(yōu)先次序執(zhí)行提升行動(dòng)，其中也包括變更管理，以確保人們知曉并接受這些變更。

(3) 允許創(chuàng)新和采用行之有效的技術(shù)。

(4) 將一體化的反饋閉環(huán)和后評價(jià)(吸取經(jīng)驗(yàn)教訓(xùn)、根因分析等)活動(dòng)納入企業(yè)流程，確保需要提升的領(lǐng)域被識別并得以解決。

4．綜合分析

對在監(jiān)測和鑒證過程中收集到的信息和通過調(diào)查發(fā)現(xiàn)的問題，進(jìn)行整理、分析，并排列行動(dòng)優(yōu)先次序。一個(gè)成熟的、連續(xù)的分析過程應(yīng)該提供一套完整的回溯視圖，能夠反映GRC能力的績效水平；能夠提供必要的洞見，用以判斷是哪些深層原因?qū)е鲁霈F(xiàn)需要進(jìn)行補(bǔ)救的薄弱環(huán)節(jié)；能夠提供充分的遠(yuǎn)見，對突顯的機(jī)會或威脅進(jìn)行響應(yīng)，也包括重新考慮企業(yè)的目標(biāo)和戰(zhàn)略，如圖2.18所示。

關(guān)鍵步驟：

(1) 要想分析整個(gè)企業(yè)關(guān)鍵GRC能力的績效情況，還要確定用于分析的信息的格式、內(nèi)容和來源。

(2) 使用高級分析技術(shù)，跨企業(yè)整合信息和調(diào)查結(jié)果，達(dá)到GRC智能的級別。

(3) 基于企業(yè)所理解的商業(yè)環(huán)境、GRC活動(dòng)對齊程度、自身的活動(dòng)與控制績效水平，評估對既定的商業(yè)模式和未來趨勢的影響。

(4) 考慮自上而下和自下而上的改變，這些改變有助于提升企業(yè)的有原則績效，有助于最大限度地達(dá)到企業(yè)目標(biāo)和企業(yè)戰(zhàn)略的一致性，有助于支撐GRC能力。