第4章 GRC應用與實施

4.1 GRC實施方法

GRC管理在企業中的實施方法與其他管理領域的實施方法既有相似之處，也有其個性化的特點。相似之處在于，任何管理模式和管理方法在企業實踐之前，都需要分析企業現狀，構思其愿景目標，分析差距，設計實現路徑；不同之處在于GRC強調統一融合的理念，要求其實施過程涉及的管理領域、覆蓋范圍均較一般的獨立管理領域更大、更廣，對管理基礎的要求也相對更高。因此，GRC實施方法對于企業來說尤為重要。為了使GRC管理效果更加顯著，需要企業對GRC的實施方法論有更清晰的理解和認識。

4.1.1 GRC實施架構

總體來說，GRC實施方法的整體架構，如圖4.1所示。

1．管理要素

GRC實施架構包括6類管理要素：

(1) GRC管理驅動力；

(2) GRC應用模型；

(3) GRC管理現狀；

(4) GRC管理目標；

(5) GRC體系建設過程；

(6) GRC實施過程。

以上管理要素在企業GRC實施中都具有重要價值，它們共同構成了GRC實施的完整路徑。

在這6類要素中，核心要素是GRC應用模型。從整體來說，GRC應用均包含治理、管理、保障及技術4個方面，但具體應用到不同的企業，根據其管理目標、管理成熟度的不同，設計出來的GRC應用也一定有所區別。而且，隨著企業的發展，GRC應用也會隨之相應地發展變化。

2．實施路徑

如果是沒有實施過GRC的企業，則圍繞GRC應用模型的實施路徑可以概述為以下幾點。

(1) 分析GRC管理驅動力，明確實施GRC管理的總體目標及重點管理領域；

(2) 根據總體目標及重點管理領域，進行GRC管理現狀分析，找出管理中的難點和痛點；

(3) 結合以上兩點，參考GRC應用模型，設計適合本企業管理目標的GRC應用模型；

(4) 對應用模型進行分層次、分管理領域的細化，如治理層、管理層、保障層都涉及哪些管理領域，其各自的GRC管理目標及現狀是怎樣的，都需要進行細化，使其與企業實際情況更好地結合并在后續的實際工作中能夠有效落地；

(5) 設計GRC體系建設過程，主要在組織、責任、資源、機制4個方面進行設計，保證針對GRC體系的管理是可以順利運轉的；

(6) 設計GRC實施過程，從目標、計劃、預案、監測、評估、改進、考核等方面進行設計，使GRC體系可以與企業的業務運行體系有機融合，保證GRC管理目標的實現。

以上步驟都需要考慮企業的相關技術能力對GRC管理的支撐，因此，無論是在現狀分析、目標分析還是在應用模型的設計上，都需要對相應的技術要求有明確的認識和定義。

在下面的章節中，我們會就GRC實施架構的6個管理要素分別進行闡述。

4.1.2 GRC管理驅動力

GRC管理驅動力代表GRC管理的外部刺激或者變革原動力的兩種類型：業務和技術。

1．業務驅動力

業務驅動力可能來自企業外部，如新的立法、來自上級監管部門下發的管理規章制度等；也可能來自企業內部，如新的管理措施、業務發生轉型等。

業務驅動力作用的管理領域，可以是GRC管理的各個層面，包括治理、管理、保障，任何一個層面產生的驅動力都可以促使企業采納GRC管理理念或對已經應用的GRC管理進行優化改進。

2．技術驅動力

技術基礎對GRC管理的保障及促進作用較之常規管理也是非常明顯的。GRC強調業務的統一管控，因此對技術基礎也提出了統一、整合的訴求，只有基于統一的技術能力，才能更有效地體現GRC管理的價值。所以，在IT整合方面的任何技術能力的提升，都會對企業實施GRC帶來有效的促進作用。云計算、大數據、SOA等技術手段都可以歸到這類技術能力之中。

4.1.3 GRC應用模型

GRC應用模型是企業實施GRC的核心要素。如何設計符合本企業發展環境、目標要求的GRC應用模型，對企業而言是實施GRC至關重要的一個步驟。它的制定過程既要參考業界的先進經驗，也要充分考量企業本身的管理、IT現狀，才能制定出更有針對性并具有未來可擴展性的GRC應用模型。

本書結合國際上的先進管理經驗并融合國內企業管理的實際需求，給出了一個GRC應用參考模型，如圖4.2所示。

企業可以結合自身的實際情況，選擇所需的GRC應用并制定其遞進的發展規劃，最終達到完整的GRC統一管控目標。

針對該參考模型的相關應用，我們將在本書第5章進行詳細闡述。

4.1.4 GRC管理現狀

現狀分析是企業實施GRC的一個起點，做任何的管理動作都要基于對自身情況、狀態的清楚認知，實施GRC也不例外。

對企業GRC管理現狀進行分析，同樣要考慮到GRC強調的統一融合的理念。在分析的過程中，既要針對治理、管理、保障、技術進行獨立分析，也要基于獨立分析，對各領域進行整合后統一分析。從中既能分析出獨立業務領域的問題、差距，也能分析出企業整體距離GRC管理目標的差距及存在的問題，以利于后續進行GRC應用模型的設計、應用模式的選擇等。

GRC現狀分析的具體內容請參考本書第3章關于GRC成熟度分析的相關內容。

4.1.5 GRC管理目標

與現狀分析相呼應的是對GRC目標的分析。我們已經定義了GRC管理的驅動力，不同的驅動力會產生不同的壓力與動力，企業要根據自身的實際情況，確定實施GRC管理的目標。這個目標可以是長期目標，也可以是短期目標。當然，任何管理目標的達成都不能在短時間內一蹴而就，因此，在目標的設定上，應該結合長期目標，以短期目標為重點進行分析設計，這樣既能保證在相對長的周期內的管理方向的一致性，也能重點關注企業當前階段的實際情況、問題、困難，用最有效率的方式達成短期目標，并在此基礎上不斷提升，從而提升管理能力，最終達到GRC管理設定的長期目標。

與GRC現狀分析一樣，在做GRC目標分析的時候，也要針對治理、管理、保障、技術分別設定其目標，同時也要在整合各領域之后進行整體的目標設定分析。

基于目標設定和現狀分析，可以很清楚地認識到理想與現實之間的差距，也可以為跨越這個差距擬定相應的管理舉措、實施計劃等。因此，現狀分析是否準確、目標設定是否合理，是GRC后續實施的基礎，其中目標的設定尤為重要，切忌不顧本企業的實際情況提出大而空泛的目標，否則在實際的實施過程中，必然會因為看不到GRC管理帶來的效果而質疑GRC價值，進而推翻其管理舉措，導致GRC實施的失敗。

4.1.6 GRC體系建設過程

GRC體系建設是GRC實施的重要環節。為了使經過前期分析、設計得到的管理目標、應用模型能夠在企業中有效執行、運轉起來，需要結合企業的實際情況，設計一套行之有效的GRC管理運行體系。

1．GRC體系建設的主要內容

GRC體系建設主要包含以下幾個方面的內容。

1) 組織

GRC體系的建設，要從GRC組織體系建設入手。為了更好地進行GRC組織的設計，需要對現有組織及其所處環境進行評估。評價組織可以從外部環境、內部環境兩個方面進行。

評價組織的外部環境包含以下4個方面內容：

● 社會和文化、政治、法律、法規、金融、技術、經濟、自然環境、競爭環境，包括國際的、國內的、區域的或局部的；

● 對組織目標有影響的關鍵驅動和趨勢；

● 與外部利益相關方的關系、外部利益相關方的感知和價值觀。

評價組織的內部環境包含以下8方面內容：

● 治理、組織結構、崗位與責任；

● 方針、目標以及實現它們的戰略；

● 能力、對資源和知識的理解(如資本、時機、人員、過程、系統和技術)；

● 信息系統、信息流和決策過程(正式的和非正式的)；

● 與內部利益相關方的關系，內部利益相關方的感知和價值觀；

● 組織文化；

● 組織所采用的標準、指南和模型；

● 合同關系的種類和程度。

2) 責任

GRC管理的責任包含以下5方面內容：

● 識別對管理GRC相關領域負有責任和權利的GRC責任人；

● 識別對開發、實施、保持管理GRC框架負有責任的人；

● 識別組織內所有層次的人員在GRC管理過程中的其他職責；

● 建立績效測量、外部/內部報告以及升級流程；

● 確保適當程度的承諾。

3) 資源

實施GRC管理的資源，應考慮以下6方面內容：

● 人員、技能、經驗和能力；

● GRC管理過程中的每一個步驟所需要的資源；

● 用于管理GRC的過程、方法和工具；

● 已記載的過程和程序；

● 信息和知識的管理系統；

● 培訓計劃。

4) 機制

實施GRC管理應建立內外部溝通及報告機制。

建立內部溝通和報告機制應確保如下4方面的內容：

● 適當溝通GRC管理框架的關鍵構成及其后續的任何修改；

● 對GRC的管理框架、有效性、結果進行充分的內部報告；

● 在適當的層次和時間，可以獲取來自實施GRC管理的相關信息；

● 應有內部利益相關方咨詢的過程。

建立外部溝通和報告機制應確保如下5方面的內容：

● 明確適當的外部利益相關方，確保有效的信息交流；

● 外部報告以符合法律、監管和治理要求為標準；

● 就溝通和咨詢提供反饋和報告；

● 通過溝通在企業內建立信任；

● 就危機或突發事件與外部利益相關方溝通。

2．GRC實施框架

GRC框架建設過程在理念篇的GRC體系架構中已經進行了基本闡述，其過程如圖4.3所示。

其中，“框架設計”是GRC實施框架的關鍵步驟。在此步驟中，企業需要綜合應用之前介紹的實施架構中的各種要素，進行統一的思考，才能設計出既符合企業現狀又具備可行性的GRC體系。

前文中已經提到，在框架設計過程中，要完成設定GRC管理目標、明確GRC管理的職責和義務、為GRC管理執行者提供必需的資源、建立GRC管理績效測量和溝通機制等內容。其中最重要的工作成果應該包括：

●《使命、愿景、價值觀聲明》；

●《治理章程》；

●《道德決策準則》；

●《GRC宣傳和教育計劃》。

以上內容的相關信息，詳見1.3章節中的GRC體系交付物。

體系框架設計只是完成了GRC整體實施初始化設計階段，還需要將相關設計成果在GRC實施過程中進行應用并檢驗。對這個過程的具體分析將在下一小節進行說明。

通過對GRC實施過程的管理，對其執行效果進行監測與評審，既可以掌握GRC整體的實施效果，也可以了解GRC體系的設計是否符合企業GRC管理的要求。如果存在GRC體系設計層面的問題，可以通過持續優化步驟對GRC體系本身進行完善，以保證GRC體系建設過程的循環、持續優化。

4.1.7 GRC實施過程

GRC實施過程是GRC整體實施的最后一個步驟。前期的各種分析或者設計，最后都要通過執行實施過程與企業的現有管理運行相結合，最終產生管理價值。因此，該過程能否順利實施是決定GRC整體實施成敗的關鍵步驟。

GRC實施過程的具體操作，可以分為兩個循環：小循環和大循環，如圖4.4所示。

小循環包含5個步驟：

(1) 計劃、流程；

(2) 預防、保護、預案；

(3) 監測、評估；

(4) 響應、改進；

(5) 考核、報告。

除上述步驟外，大循環還要增加兩個步驟：

(1) 目標、策略；

(2) 組織、政策。

小循環和大循環的區別可以理解為：小循環主要是GRC管理領域承載的職責的實施過程；而大循環則是將GRC治理、保障領域的職責融合進來，形成更為完整的全企業范圍的實施過程。

1．GRC實施小循環

GRC實施小循環的5個步驟，具體內容如下所述。

步驟一：計劃、流程

在小循環中，管理領域的相關職責轉化為實施過程，它的起點是計劃和流程設計。此處的流程設計，是指設計GRC管理本身的業務流程，與企業生產經營層面的流程是有所區別的。

在這個環節中，企業需要關注及思考的問題包括：

● 與目標任務有關的利益相關者是誰？

● 目標任務應該如何分解？

● 業務執行的控制邊界在哪里？

● 在業務執行中，哪些是重大的風險？

● 如何安排具體的執行計劃？

● ……

從上述問題中可以看到，這個環節融合了企業的績效目標管理、風險管理、內控管理、計劃管理等相關管理范疇的內容，把這些管理要素融合在一起，做統一思考，才能更有效地達成GRC“有原則的績效”的管理目標，既考慮到目標達成的要求，也考慮到風險邊界的約束。

本步驟的主要工作成果，包括：

●《GRC整合計劃》；

●《GRC技術數據模型描述》。

步驟二：預防、保護、預案

第二個環節的關注點在如何對業務執行過程中的各項活動進行分析，并制定相關的預防、保護措施及風險預案。以此來降低業務違規操作的可能性。同時，如果發生風險事件，也能夠為企業提供風險預案，以便企業進行快速的響應和應對。

在此環節中，企業需要關注和考慮的問題，包括以下兩個層面。

1) 業務流程層面

● 企業能否防范問題發生？如果發生，能夠及時發現問題嗎？

● 在業務操作流程中企業應該制定怎樣的業務規則、操作規范以及控制要求？

● ……

2) 組織文化層面

● 企業是否把合適的人才放到了正確的崗位上？

● 企業是否為員工提供了充分的培訓、指導？

● 什么樣的行為是應該被鼓勵的？

● 員工可以從哪些渠道獲取對行為規范的正確理解和認知？

● ……

本步驟的主要工作成果，包括：

●《風險優先矩陣》；

●《控制手段分類標準》；

●《風險/控制矩陣》；

●《業務連續性計劃》。

步驟三：監測、評估

第三個環節要實現對業務過程的監測和評估，目的是更及時地發現風險，進而更有效地應對。在此環節中，企業內部審計人員、內控管理人員、業務專家、技術專家等需要共同探討，以制定最合適的監控規則，并采用各種可能的監控手段，對業務過程進行監測和評估，并將相關信息及時反饋、報告給相關人員。

在此環節中，企業需要關注和考慮的問題，包括：

● 業務操作過程是否都在按照計劃執行？

● 針對業務執行中的問題，是否需要進行預警或報警？

● 業務監控的規則是否與業務執行匹配？

● 業務監控的周期是否與業務執行匹配？

● ……

本步驟的主要工作成果，包括：

●《信息管理計劃》；

●《調查管理計劃》；

●《結果和建議報告》。

步驟四：響應、改進

第四個環節是對在第三個環節中提出的問題進行響應，并根據實際情況改進相關的管理措施、方法，以不斷優化完善整個GRC管理體系，提升綜合管理能力。

在此環節中，企業需要關注和考慮的問題，包括：

● 哪些問題屬于執行層面？哪些問題屬于設計層面？

● 從中需要吸取的經驗教訓有哪些？

● ……

本步驟的主要工作成果，包括：

●《響應性控制活動計劃》；

●《響應措施報告》；

●《服務熱線常見問題描述》。

步驟五：考核、報告

第五個環節在整個大循環中的價值主要體現在對GRC管理實施過程的整體評估上，這個評估既要包括對實施過程的評估，也要包括對實施過程設計的評估。從兩個方面評價其存在哪些問題，并提出改進建議，以供企業決策團隊進行決策時參考，從而使GRC管理得以優化并持續改進。

在此環節中，企業需要關注和考慮的問題，包括：

● GRC管理的評價標準、考核指標應如何設計？

● 如何對不同GRC管理領域的考核進行有機融合，以綜合考量GRC實施效果？

● ……

本步驟的主要工作成果，包括：

●《結果和建議報告》；

●《鑒證報告》；

●《離職面談清單》。

通過GRC實施小循環，基本可以實現對業務過程從設計、執行、監督、改進到考核全過程的管理，并將績效目標、風險管理、內控管理等管控手段與業務過程相融合，從而達到對業務過程高效、快速、統一的管理。

2．GRC實施大循環

GRC實施大循環是在小循環的基礎上，增加了目標與策略、組織與政策兩個環節。增加的這兩個環節，為小循環的實施過程提供了更加清晰的目標和保障。無論是執行目標還是操作策略都可以理解為對小循環實施過程的目標導向，而組織政策層面的設計則是對小循環實施過程的重要基礎保障。下面，我們對增加的兩個步驟進行闡述。

步驟一：目標、策略

這一環節主要是對企業實施GRC的整個過程進行總體設計。在此環節中，需要為后續所有的環節制定相關的基本原則、方法、策略，以指導后續工作的有效開展。

在此環節中，企業需要關注和考慮的問題，包括：

● GRC是否與企業整體戰略相一致？

● 企業實施GRC的短期目標是什么？長期目標是什么？

● 企業實施GRC的基本原則有哪些？

● ……

本步驟的主要工作成果，包括：

●《組織目標聲明》；

●《GRC能力戰略計劃》。

步驟二：組織、政策

明確了目標與策略之后，企業實施GRC還需要基礎管理保障，即組織、政策制度的保障。要想將GRC戰略目標落實到實際企業管理中，首先需要圍繞GRC目標，設計適合企業總體管理體系規劃的GRC管理組織結構，并配套制定相關的崗位職責、管理規章制度，使GRC管理不只停留在概念層面，而是可以與企業的整體運行機制、管理機制相融合。

在此環節中，企業需要關注和考慮的問題，包括：

● GRC組織結構應如何設計？應包含哪些主要角色？

● GRC的相關政策制度是否與企業的實際業務相融合、一致？

● ……

本步驟的主要工作成果，包括：

●《行為規范》；

●《角色/崗位描述》；

●《職責分離說明書》；

●《政策和相關過程矩陣》；

●《溝通和報告計劃》；

●《GRC能力課程計劃》。