3.3 GRC成熟度的評估流程

3.3.1 評估前的準備

企業可以將評估作為一個“項目”來對待。在實施GRC成熟度評估前需要進行如下準備，以提高評估的可行性和成功率。

1．定義評估范圍

在實施評估前應首先形成《評估范圍說明書》。在《評估范圍說明書》中，應詳細闡述評估的目的，明確開展評估需要哪些部門、哪些人員的配合，各個業務部門或領域需要在什么時間段完成哪些工作，以及評估結果將會應用在哪些方面等，這樣做的目的是讓參與評估的人員明確知道評估工作的重點。

2．獲得評估相關人員的支持

在啟動評估前，必須得到相關人員和資源的支持，尤其是管理層的支持，例如董事會、公司高層以及基層員工等。獲得董事會和公司高層的支持不僅能夠得到實施評估所需的資金和人員，而且能夠讓員工更加重視評估這項工作。獲得基層員工的支持能夠最大限度地降低在評估實施過程中的阻力，保證員工的積極性。

3.3.2 評估實施

在做好評估前的準備工作后，就可以準備實施了。本書給出一個參考流程以幫助企業更好地理解如何開展GRC成熟度評估。

1．制訂評估計劃

與一般的項目類似，在進行成熟度評估前也需要制訂計劃。評估計劃中要詳細闡述所需的資金、資源和人員、評估項目推進的時間節點和里程碑、評估項目匯報頻率和匯報內容等。由于成熟度評估可能是由多個部門在多個流程中實施的，需要大量的配合與協調，因此必須在評估實施前與各業務領域的管理人員進行協調，保證相關人員對評估目的有一致和深刻的理解，而不是在評估計劃確定之后才告知對方，這樣會讓對方感到非常被動。

2．設計評估指標

評估指標的選取是整個評估項目中最關鍵也是最難把握的一個環節，由于不同企業所處的商業環境不同，面臨的問題和挑戰也不同，需要評估的側重點也存在差異，因此很難將一套放之四海而皆準的指標體系應用于所有企業。企業可以按照3.2.2章節中闡述的步驟選取或設置備選指標。

3．篩選評估指標

設計的備選指標不能直接用于評估，還應對每個備選指標進行全面考察，以保證每一項指標都能為企業傳遞有用的信息。從長期來看，指標的考察和篩選是一個反復迭代的過程，需要在與利益相關方不斷交流的基礎上修改和更新。關于如何考察指標是否合適，英國的一家機構——英國標準研究所(British Standards Institute)給我們提供了參考方法，該機構針對每套指標列舉一個清單，清單的內容一般包括以下方面。

(1) 這套指標能夠向評估者傳遞怎樣的信息？這些信息有什么意義？

(2) 這套指標是否容易理解？評估者是否需要花大量時間決定提交的報告應該包括哪些內容？

(3) 這套指標是否能明確地讓我們理解應該采取的行動？

(4) 這套指標是否包含利益相關者關注的全部核心問題？

(5) 這套指標是否存在漏洞？

(6) 這套指標是否比評估者當前正在使用的指標體系更好？

通過回答這些問題，指標設計者和篩選者能夠更加全面地審視指標體系，剔除多余指標同時查漏補缺，避免在花費了大量精力進行評估之后卻不知道這些結果可以用來做什么。

4．設定指標目標值與上下限

在指標經過審核之后，評估者還應該為每項指標確定目標值，也就是希望這項指標達到或超過的具體結果。由于不同管理者對優先事項的看法不一樣，他們對指標的目標值也會有不同的偏好。例如，最關注利潤的管理者可能會將財務指標作為最關鍵的指標，如利潤率等，并給這個領域的指標設定相對較高的目標值；而最關注合規的管理者則可能把與合規相關的指標看得最重，如當年企業收到的舉報信息數量，但對于財務指標目標值的要求則不會太高，只要達到一般水平即可。因此，在設定指標目標值時，必須要充分考慮企業目標進而綜合性地給出合理目標值。除了指標的目標值之外，還應該設定指標的上下限，以確定何時應當發布預警或進行激勵。

5．明確數據收集規范與報告要求

完成指標詳細信息的設定后，下一步要關心的就是確保指標數據能夠被可靠地收集并滿足報告方面的要求。數據的一致性和準確性是這部分工作成功的關鍵。在實踐中，有一些做法有助于提高獲取數據的一致性和準確性，這里我們簡單地介紹幾種常用做法。

1) 了解信息來源的可靠性

為了保證報告的信息能夠與其他時間段的同類信息進行比較，非常關鍵的一點就是要了解數據的來源，保證來源的可靠性和一致性。通常情況下，人們會認為數據質量才是最重要的，但是在長期和反復的評估過程中，即使某些來源的數據質量并不是最高的，我們也需要保留。為了保證數據間的可比性，我們有時也必須放棄一部分高質量的數據。

2) 界定責任分工

任何一個收集數據的流程都可能要收集多項指標數據，因此有必要為每項指標數據的收集工作指定具體責任人，并明確每個責任人在數據收集工作中的責任分工，以確保最終得到的數據是按照規定的流程收集而來的。除此之外，數據收集的責任人還應對指標和收集過程進行監控，一旦數據質量下降或收集過程出現問題，責任人應及時發出警報，告知相關人員該指標已無法實現最初設定時的目標。

3) 明確匯報要求

對數據進行評估的一個主要目的就是要將發現的問題形成報告以幫助企業改進，規定所提交報告的要求有助于保持數據信息的一致性和準確性。例如，在確定匯報要求時，應該考慮報告中要包含哪些評估結果、報告的頻率、報告采用的格式(紙質報告、口頭報告、電子報告等)、評估結果是絕對值的比較還是相對值的比較，等等。除了格式方面的信息外，還需要確定報告中應當加入哪些附加信息、圖例或者解釋文本。

4) 一致的匯總和統計口徑

在動態的商業環境中，確定可以應用于整個企業的匯總和統計方法是一項重要挑戰。如果一項指標需要經過多次計算獲得，那么執行統計的人員必須了解計算過程中每一個變量都代表什么，以及選擇該變量而非其他變量的原因是什么，因此計算過程的每一個組成部分都應該在數據收集流程中得到解釋。

5) 理解參數和數據收集流程

除了在給出指標結果的過程中要使用同樣的計算方法外，數據收集方法本身也要保持一致。例如，選取的數據應當來自每個時段的某個特定日期或特定時間，這意味著每次進行評估時，數據的來源都是可以比較的。如果一個指標數據是企業每月都想知道的，那么在設計數據收集方法時也應當以這個頻率來進行，假設第一次收集它是在某月的第5天，那么下一個月最好也是在當月的第5天收集這個數據。此外，數據來源與匯報的時間差也是在設定數據收集流程時應該有所關注的，它會影響所提交報告的準確性。例如，某個指標需要出現在企業年報中，而要得到這個指標需要連續6周的數據，那么在設定數據收集流程時就應該預留出適當的時間，以保證在提交報告前能夠得到準確的結果。

在評估中一般有兩種收集數據的方式，即連續監測和定期評估。其中連續監測要嵌入到組織的運營活動中并實時進行記錄，這種方式能夠連續或頻繁地捕捉相關信息，監測業務活動。最有效的連續監測能夠實時發現違規行為并及時對環境變化做出動態調整，這種方式對技術的依賴程度較高。定期評估則適用于管理人員定期進行“深度調查”，也是比較常見的一種方式，從這個角度來看，定期評估更可能與戰略和年度計劃等產生聯系，而非日常運營。企業應該根據實際需求靈活地運用這兩種方式。

6．驗證數據收集流程

在評估指標與每項指標的數據收集方法確定之后，管理人員就應當對每一項數據收集流程進行驗證測試。具體來講，測試至少應當實現以下4個作用：①確認每一項指標所需的數據都能夠獲得；②核實獲得數據的準確程度；③發現數據收集流程可以改進或需要修改的地方；④了解數據收集與報告的成本。

7．指標分析

在獲得了設定指標的評估結果后，就可以利用獲得的數據分析它們表達了什么含義以及評估結果是否與現實相符。有很多工具可以幫助開展這項工作，如描述性統計、直方圖、線型圖、散點圖等。需要注意的是，對于跨國企業而言，在將評估標準、指標和數據收集方法向全球進行推廣時，必須首先考慮是否有必要將這些內容進行本地化調整。

8．設定基準值

在確認了指標的有效性并形成了可行的評估辦法后，就可以開始收集第一組指標。這組指標提供的是基準值，以后每一次收集的新數據就可以在此基礎上進行比較工作。

9．記錄評估相關信息

每次進行評估時，評估指標都要記錄存檔。一個標準化的存檔格式有助于保持數據的一致性，并讓工作更容易進行。為了更好地落實這項規定，在評估開始前可以為參與評估的所有人員提供評估項目的介紹以及培訓，以便他們能夠了解自己應如何參與評估，這樣即使更換了參與評估的人員，也能夠保證整個評估過程的一致性。

10．評估過程信息化和自動化

在數據的收集和分析環節上，信息化和自動化能夠提供很大的幫助。實施評估的團隊應當考慮信息收集、匯總、分析和報告能在多大程度上做到自動化，特別是那些容易出現人為差錯的地方，自動化能夠最大限度地消除由于人為操作帶來的失誤。