3.2 GRC成熟度模型

對(duì)于企業(yè)而言，GRC能力的提高并不是一蹴而就的，而是一個(gè)不斷改進(jìn)和優(yōu)化的過程。根據(jù)GRC能力在不同階段所呈現(xiàn)的特征差異以及給企業(yè)帶來的階段性好處，我們?cè)O(shè)計(jì)了GRC成熟度模型。企業(yè)可以利用這個(gè)模型對(duì)自身的GRC管理狀況進(jìn)行評(píng)估，了解現(xiàn)狀并明確未來希望達(dá)到的成熟度階段，找到現(xiàn)狀與期望之間的差距，進(jìn)而制訂和實(shí)施提高企業(yè)GRC能力的改進(jìn)計(jì)劃。

3.2.1 成熟度模型的介紹

1．成熟度模型的階段特征

在企業(yè)推行GRC的實(shí)踐過程中，隨著GRC能力的逐漸形成，不同的企業(yè)會(huì)表現(xiàn)出一些相似的特征，我們對(duì)這些特征進(jìn)行總結(jié)并結(jié)合OCEG的部分研究成果，將GRC綜合能力成熟度劃分為起步、被動(dòng)、高效、整合和主動(dòng)5個(gè)階段，如圖3.2所示。

在起步階段，企業(yè)尚未意識(shí)到可能存在的風(fēng)險(xiǎn)和危機(jī)，對(duì)于臨時(shí)性的突發(fā)事件，企業(yè)只能在事件發(fā)生之后采取一些緊急措施進(jìn)行補(bǔ)救，企業(yè)處于完全不可控的環(huán)境中。每次應(yīng)對(duì)一個(gè)突發(fā)性事件，企業(yè)都需要花費(fèi)大量人力、物力去消除該事件對(duì)組織的沖擊，因此在起步階段，一個(gè)偶然事件對(duì)企業(yè)的沖擊可能是致命的。

在被動(dòng)階段，企業(yè)開始意識(shí)到在一些領(lǐng)域存在風(fēng)險(xiǎn)和危機(jī)，在每次應(yīng)對(duì)風(fēng)險(xiǎn)和危機(jī)時(shí)企業(yè)都積累了一定的經(jīng)驗(yàn)，基于此形成了一些可重復(fù)使用的處理方法，在類似事件發(fā)生時(shí)能按照某些規(guī)律進(jìn)行處理以減弱企業(yè)受到的沖擊。但這些方法并沒有形成正式的制度和流程，對(duì)直接責(zé)任人的個(gè)人經(jīng)驗(yàn)要求很高，一旦更換直接責(zé)任人，企業(yè)可能需要花費(fèi)較高的成本重新開始。在這個(gè)階段，企業(yè)能夠按照習(xí)慣處理一些常見的風(fēng)險(xiǎn)和危機(jī)，但應(yīng)對(duì)方式仍然只能是在事件發(fā)生后被動(dòng)地進(jìn)行補(bǔ)救。

在高效階段，企業(yè)幾乎能夠意識(shí)到業(yè)務(wù)領(lǐng)域中全部的風(fēng)險(xiǎn)和危機(jī)，并能形成完整的、正式的制度來應(yīng)對(duì)。在這個(gè)階段，參與GRC活動(dòng)的角色和崗位分工都很明確，在風(fēng)險(xiǎn)事件發(fā)生時(shí)能夠按照規(guī)范的流程迅速響應(yīng)和行動(dòng)，將企業(yè)受到的沖擊降到最低。由于企業(yè)的應(yīng)對(duì)方式已經(jīng)規(guī)范化和程序化，因此能夠有效降低在處理風(fēng)險(xiǎn)和合規(guī)問題上的成本。

在整合階段，企業(yè)不僅理解了各業(yè)務(wù)領(lǐng)域間的風(fēng)險(xiǎn)和危機(jī)的相互聯(lián)系，還明確了各項(xiàng)GRC活動(dòng)與企業(yè)目標(biāo)間的關(guān)系，能夠在多項(xiàng)GRC活動(dòng)中區(qū)分優(yōu)先級(jí)，因此企業(yè)能夠根據(jù)內(nèi)外部環(huán)境的變化及時(shí)對(duì)制度、流程和資源進(jìn)行整體協(xié)調(diào)，優(yōu)先處理對(duì)企業(yè)而言最關(guān)鍵的事情。

在主動(dòng)階段，企業(yè)建立了完善的內(nèi)外部監(jiān)測(cè)機(jī)制來探測(cè)潛在的威脅和機(jī)會(huì)，信息的溝通和傳遞順暢，能夠在危機(jī)發(fā)生前就感知到威脅，并主動(dòng)采取措施消除實(shí)現(xiàn)目標(biāo)過程中的障礙，避免可能發(fā)生的損失；也能夠提前感知即將到來的機(jī)會(huì)，主動(dòng)采取行動(dòng)，讓企業(yè)績(jī)效實(shí)現(xiàn)最大化。

2．成熟度模型的評(píng)價(jià)要素

成熟度模型綜合地概括了GRC能力發(fā)展到不同階段時(shí)企業(yè)所呈現(xiàn)的主要特征。下面，本書將從戰(zhàn)略與計(jì)劃、實(shí)施程序與方法、邊界與合規(guī)要求、資源配置與成本、組織文化與職責(zé)以及信息溝通與技術(shù)6個(gè)維度，進(jìn)一步介紹GRC各成熟度階段的詳細(xì)特征，企業(yè)可以將這些特征作為GRC成熟度評(píng)估的參考標(biāo)準(zhǔn)，也可以結(jié)合自身情況從這6個(gè)維度設(shè)置合適的指標(biāo)進(jìn)行自我評(píng)價(jià)，如表3.1所示。

1)“戰(zhàn)略與計(jì)劃”維度成熟度參考標(biāo)準(zhǔn)

全面的GRC戰(zhàn)略與計(jì)劃不僅有助于實(shí)現(xiàn)企業(yè)目標(biāo)，而且能夠?yàn)楦鱾€(gè)層面的戰(zhàn)略規(guī)劃者提供有關(guān)威脅和機(jī)會(huì)的及時(shí)、可靠、有用的信息。完善的GRC戰(zhàn)略計(jì)劃是GRC洞察能力的重要體現(xiàn)。

● 起步階段：企業(yè)沒有明確的使命、愿景和目標(biāo)陳述，尚未制訂GRC戰(zhàn)略計(jì)劃。

● 被動(dòng)階段：有明確的組織使命、愿景和目標(biāo)陳述，有碎片化的GRC戰(zhàn)略計(jì)劃，但GRC戰(zhàn)略與企業(yè)戰(zhàn)略以及GRC戰(zhàn)略與GRC行動(dòng)計(jì)劃均未協(xié)調(diào)。

● 高效階段：已將碎片化的GRC戰(zhàn)略與行動(dòng)計(jì)劃協(xié)調(diào)起來。

● 整合階段：制定了短期的全面GRC戰(zhàn)略，并制訂了相應(yīng)的短期整合計(jì)劃，能夠提供GRC戰(zhàn)略計(jì)劃和GRC整合計(jì)劃的相關(guān)文件或類似材料。

● 主動(dòng)階段：制定了長(zhǎng)期的全面GRC戰(zhàn)略，并制訂了相應(yīng)的長(zhǎng)期整合計(jì)劃，能夠提供全面的GRC戰(zhàn)略計(jì)劃和GRC整合計(jì)劃的相關(guān)文件。

2)“實(shí)施程序與方法”維度成熟度參考標(biāo)準(zhǔn)

GRC強(qiáng)調(diào)采用融合的方法和一致的信息進(jìn)行管理，處于較高成熟度階段的企業(yè)，能夠建立預(yù)防性、發(fā)現(xiàn)性和響應(yīng)性等多種活動(dòng)與控制，幫助企業(yè)做好準(zhǔn)備以應(yīng)對(duì)各種風(fēng)險(xiǎn)和要求。實(shí)用、高效和統(tǒng)一的實(shí)施程序與方法是GRC對(duì)齊、執(zhí)行和優(yōu)化能力的重要體現(xiàn)。

● 起步階段：沒有統(tǒng)一的、規(guī)范的實(shí)施程序與方法的制度性文件，多采用事后的、臨時(shí)性的處理方法。

● 被動(dòng)階段：在容易發(fā)生風(fēng)險(xiǎn)和危機(jī)的領(lǐng)域已經(jīng)形成專項(xiàng)處理方法，但尚未形成統(tǒng)一規(guī)定，在實(shí)施過程中大多依賴員工的個(gè)人工作經(jīng)驗(yàn)。在此階段，經(jīng)驗(yàn)豐富的員工對(duì)于企業(yè)的價(jià)值是巨大的。

● 高效階段：部分領(lǐng)域已經(jīng)形成了有關(guān)實(shí)施程序與方法的正式制度和標(biāo)準(zhǔn)化工作流程，且在不同項(xiàng)目間能夠有效配合。

● 整合階段：建立了完整的制度和工作標(biāo)準(zhǔn)，有完整的GRC角色和崗位劃分說明，能夠清晰描述具體角色和崗位的工作范圍和職權(quán)要求，并能夠根據(jù)外部環(huán)境的變化進(jìn)行靈活調(diào)整。

● 主動(dòng)階段：制訂了糾正性控制活動(dòng)計(jì)劃，能夠?qū)χ贫群凸ぷ鳂?biāo)準(zhǔn)的有效性進(jìn)行定期檢驗(yàn)，發(fā)現(xiàn)存在的缺陷和不足，并持續(xù)優(yōu)化。

3)“邊界與合規(guī)要求”維度成熟度參考標(biāo)準(zhǔn)

GRC幫助企業(yè)實(shí)現(xiàn)“有原則的績(jī)效”就是要保證企業(yè)在強(qiáng)制性邊界和自愿性邊界之內(nèi)實(shí)現(xiàn)經(jīng)營(yíng)目標(biāo)，邊界與合規(guī)要求是GRC能力的綜合體現(xiàn)。

● 起步階段：不了解相關(guān)法律規(guī)定和行業(yè)準(zhǔn)則，常常因?yàn)檫`背既定規(guī)則而遭受損失。

● 被動(dòng)階段：了解相關(guān)法律規(guī)定和行業(yè)準(zhǔn)則，并在某些關(guān)鍵領(lǐng)域開始有意識(shí)地進(jìn)行合規(guī)審查，避免企業(yè)違背強(qiáng)制性邊界。

● 高效階段：熟悉相關(guān)法律規(guī)定和行業(yè)準(zhǔn)則，梳理出所有風(fēng)險(xiǎn)領(lǐng)域，形成合規(guī)審查的標(biāo)準(zhǔn)流程，并開始發(fā)布企業(yè)自愿承擔(dān)的責(zé)任和行動(dòng)邊界。

● 整合階段：充分了解強(qiáng)制性邊界和自愿性邊界，即使在邊界和合規(guī)要求發(fā)生改變的情況下，也能夠快速調(diào)動(dòng)并整合企業(yè)資源靈活地應(yīng)對(duì)這些要求。

● 主動(dòng)階段：有能力利用企業(yè)的影響力積極地影響行業(yè)標(biāo)準(zhǔn)甚至是法律法規(guī)的制定，能夠周期性地了解潛在邊界的變化。

4)“資源配置與成本”維度成熟度參考標(biāo)準(zhǔn)

成熟的GRC管理給企業(yè)帶來的最直觀的收益體現(xiàn)在資源配置與成本方面，GRC能夠合理分配人力和物質(zhì)資源，在創(chuàng)造價(jià)值的同時(shí)最大限度地降低成本。資源配置與成本是GRC對(duì)齊和執(zhí)行能力的重要體現(xiàn)。

● 起步階段：不了解開展GRC活動(dòng)需要投入哪些成本，也沒有為此制定專門的預(yù)算。

● 被動(dòng)階段：了解自身開展GRC時(shí)需要投入的成本以及可能獲得的收益，在容易發(fā)生風(fēng)險(xiǎn)和危機(jī)的領(lǐng)域有適當(dāng)?shù)馁Y源保障。

● 高效階段：能夠均衡地考慮GRC活動(dòng)的成本與收益，可以以合理的成本和投入獲得適當(dāng)?shù)暮弦?guī)與風(fēng)險(xiǎn)保障。

● 整合階段：能夠區(qū)分不同GRC活動(dòng)的優(yōu)先級(jí)，形成風(fēng)險(xiǎn)優(yōu)先矩陣和風(fēng)險(xiǎn)/控制矩陣，將有限的資源用在成效最顯著的地方，保證資源配置適當(dāng)。

● 主動(dòng)階段：能夠在GRC活動(dòng)的多種處理方法中進(jìn)行靈活選擇，并針對(duì)預(yù)期的風(fēng)險(xiǎn)和機(jī)會(huì)，提前投入或預(yù)留一定的資源和成本，以合理的財(cái)務(wù)和人力成本，提升應(yīng)對(duì)能力和效率，實(shí)現(xiàn)效用最大化。

5)“組織文化與職責(zé)”維度成熟度參考標(biāo)準(zhǔn)

GRC發(fā)展到高級(jí)階段對(duì)企業(yè)文化具有巨大的推動(dòng)作用，能夠推動(dòng)建設(shè)一種高效且彼此信任的企業(yè)文化，員工的誠(chéng)信和責(zé)任感被大大激發(fā)，即使是在面臨尚無準(zhǔn)備的挑戰(zhàn)時(shí)，仍能采取合規(guī)、誠(chéng)信的手段去應(yīng)對(duì)。組織文化與職責(zé)是GRC對(duì)齊和執(zhí)行能力的重要體現(xiàn)。

● 起步階段：沒有明確的GRC崗位職責(zé)劃分，也沒有意識(shí)到組織文化在開展GRC活動(dòng)和實(shí)現(xiàn)經(jīng)營(yíng)目標(biāo)上的重要性。

● 被動(dòng)階段：有開展GRC活動(dòng)的關(guān)鍵角色和崗位的職責(zé)描述，開始了解組織文化對(duì)GRC活動(dòng)和企業(yè)發(fā)展的重要性，并在某些關(guān)鍵領(lǐng)域開展對(duì)組織文化的宣傳。

● 高效階段：針對(duì)不同GRC角色開設(shè)專門的GRC課程，將有助于開展GRC的組織文化貫徹到崗位描述和培訓(xùn)指導(dǎo)中。開始制訂組織文化的宣傳和教育計(jì)劃，組織文化處在調(diào)整中。

● 整合階段：營(yíng)造了對(duì)開展GRC有利的組織文化氛圍，員工個(gè)體的道德行為與組織所貫徹的文化價(jià)值觀高度一致。

● 主動(dòng)階段：文化成為組織成功的關(guān)鍵因素，在GRC正規(guī)控制手段薄弱或缺失時(shí)，組織仍然能夠安全、穩(wěn)健地運(yùn)行。

6)“信息溝通與技術(shù)”維度成熟度參考標(biāo)準(zhǔn)

成熟的GRC能夠提高企業(yè)整體的響應(yīng)速度和效率，能夠快速獲取戰(zhàn)略和戰(zhàn)術(shù)調(diào)整所需的必要信息，信息溝通與技術(shù)是GRC洞察和執(zhí)行能力的綜合體現(xiàn)。

● 起步階段：信息溝通隨意性大，沒有制定信息溝通的標(biāo)準(zhǔn)格式和方法，也沒有采用專門的技術(shù)輔助信息交流與溝通。

● 被動(dòng)階段：在關(guān)鍵領(lǐng)域和流程中明確必要信息的交流和傳遞標(biāo)準(zhǔn)。

● 高效階段：形成了完整的信息傳播和報(bào)告計(jì)劃，開始采用信息技術(shù)以提高標(biāo)準(zhǔn)化信息交流的準(zhǔn)確性、時(shí)效性和安全性。

● 整合階段：制訂GRC信息管理計(jì)劃，實(shí)時(shí)監(jiān)控組織內(nèi)外部信息，信息經(jīng)過統(tǒng)一的數(shù)據(jù)處理后能迅速傳遞給適當(dāng)?shù)腉RC角色，實(shí)現(xiàn)迅速響應(yīng)。

● 主動(dòng)階段：信息溝通和傳遞幾乎沒有障礙，員工可以分辨信息的重要性，且對(duì)任何必要信息的上報(bào)沒有抵觸，主動(dòng)與被動(dòng)的信息流轉(zhuǎn)都非常順暢。

3.2.2 成熟度模型的應(yīng)用

GRC成熟度模型是一個(gè)6×5的矩陣，每個(gè)方塊代表的是企業(yè)各個(gè)維度在對(duì)應(yīng)階段應(yīng)表現(xiàn)的特征，有了這張表之后，企業(yè)可以按照?qǐng)D3.3所示步驟進(jìn)行GRC綜合能力的改進(jìn)和提升。

步驟1：首先，企業(yè)可以根據(jù)表3.2中描述的特征判斷自己的每個(gè)維度分別處在哪個(gè)階段(如表3.2中虛線方格所示)，同時(shí)還可以基于企業(yè)現(xiàn)有資源和未來預(yù)期情況決定每個(gè)維度想要達(dá)到的水平(如表3.2中實(shí)線方格所示)，這個(gè)階段需要形成GRC使命說明書。

步驟2：根據(jù)步驟1中的結(jié)論，企業(yè)可對(duì)當(dāng)前能力水平與目標(biāo)水平間的差距進(jìn)行評(píng)估，并形成差距評(píng)估報(bào)告。

步驟3：針對(duì)存在的差距制訂一個(gè)改進(jìn)規(guī)劃，確定需要在多長(zhǎng)時(shí)間內(nèi)達(dá)成目標(biāo)，形成計(jì)劃方案。這個(gè)時(shí)間可能是短期的，例如一年以內(nèi)；也可能是長(zhǎng)期的，如五年。如果是相對(duì)較長(zhǎng)的時(shí)間段，企業(yè)可在這期間設(shè)定若干個(gè)中期目標(biāo)。在長(zhǎng)期計(jì)劃中，企業(yè)應(yīng)針對(duì)每個(gè)維度制定衡量標(biāo)準(zhǔn)和評(píng)估指標(biāo)，并按指標(biāo)層級(jí)層層落實(shí)到具體人員。

步驟4：根據(jù)長(zhǎng)期計(jì)劃制訂具體的行動(dòng)計(jì)劃，通常以年度為單位制訂年度工作計(jì)劃。

按照上述步驟，企業(yè)可以形成一套衡量自身GRC能力水平的指標(biāo)體系，用來判斷企業(yè)當(dāng)前的GRC成熟度并制訂提升計(jì)劃。