前言

要績效，更要有原則

現代科技帶來了技術進步與文明開化，互聯網對各行各業廣泛深入的滲透、全球經濟一體化的進一步發展，使得組織所面臨的業務環境日益復雜，合規性要求不斷增長。組織內部和外部的利益相關者不僅要求其實現更高的業績，而且要求其業務運營能實現透明化。在這種環境下，單獨追求財務目標的績效在當今并不能保證組織或企業的健康運營，因為組織除了需要滿足股東及其他利益相關者的利潤訴求外，還需要承擔社會責任，并且使其各項活動符合道德與法律的要求。例如，公眾日益增加的對環境安全的關注以及各種強制性環保法規的要求，可能會使違反法規或影響公眾利益的組織面臨關停整頓、巨額罰款的風險。這使得組織的經營管理較之過去更為復雜，也更具挑戰性。

為實現組織的永續經營，組織需要在穩健可靠地達成目標的同時，管理各種不確定性因素并保持正直誠信。為避免對日常業務運營造成影響，許多企業疲于處理安排、跟蹤和監控復雜的合規要求中的所有動態因素，同時做出正確和及時的反應。有些公司或個人可能曾在經營中采用非正常手段來獲得商業利益，或者曾在個人或公司的生存原則與利益最大化之間做出艱難抉擇。在監管機構對各種非正常經營手段進行越來越嚴厲的處罰的形勢下，依靠不合規的經營手段來實現“野蠻生長”必然會給組織帶來巨大的損失。如中國路橋工程有限責任公司因為在2009年菲律賓瀝青道路項目中涉嫌圍標而被世界銀行列入處罰黑名單，在一定時期禁止承接世界銀行資助的項目。

在組織運營中，不可預見的風險有其發生的必然性。風險可能會使組織遭受法律制裁、罰款、品牌忠誠度降低或運營損失，從而影響組織的業績。諸如安然破產、中國奶制品污染事件、英國石油公司原油泄漏、倫敦鯨事件、中信泰富事件、光大證券烏龍指事件以及最近的金融風暴等一系列工業災難和金融災難，都在不斷提醒我們，企業必須制定正式的戰略來應對已知和未知的風險。上述許多事件還直接促使政府積極立法，以保護公眾、環境和經濟避免再次遭受類似的災難。不僅如此，諸如混亂的全球政治局勢、恐怖主義、剽竊知識產權、產品賠償責任、身份盜用、業務連續性、人力資本風險、環境風險、信貸風險和其他一些新型風險也導致新的法規、法律的出臺以及監管的增強，投資者和潛在業務合作伙伴也越來越關注企業行為和管理程序，這進一步加劇了業務運營的復雜性，迫使企業優化內部政策和監管規程。

在這種情況下，為避免風險因素的持續積累與不合規情況的出現，有遠見卓識的組織已經開始采取綜合了預防性、發現性、響應性的系統化方法來積極地管理法規的變化，并實施相關流程和技術整合風險與合規職能，以促進與利益相關方、合作伙伴和監管機構的溝通與合作，他們不僅關注完成了多少工作，更加關注這些工作是如何完成的，而這也正是“有原則的績效”的核心理念在管理實踐中的體現。

以GRC促進“有原則的績效”

“有原則的績效”這種經營觀點和方法可以幫助組織在應對不確定事件(風險與機會)、誠信行事(遵守規定、信守承諾)的同時，切實可靠地達成目標。它能使組織和個人在確保達成績效的同時考慮風險和回報，同時履行法定的義務和信守承諾，從而實現可持續發展。有原則的績效的達成要求組織具備針對績效、風險和合規進行治理、管理和保障的全局視角，在處理其中任一領域的問題的同時兼顧其他部分。

組織內有很多核心業務流程都有助于組織實現“有原則的績效”，其中公司治理(Governance)、風險管理(Risk Management)、合規管理(Compliance)這幾大類管理措施對企業的成功尤其重要。組織在實現其目標的過程中，一直都在從事公司治理、風險管理和合規管理的工作，也都普遍面臨著這三方面的管理問題，處理好這三方面的問題對組織快速高效地達成目標是非常必要和關鍵的。這三方面的基本活動有很大的重疊，必須協調運作才能實現“有原則的績效”。而這也正是公司治理、風險管理、合規管理的縮寫詞GRC所包含的核心思想。

GRC涵蓋了所有與公司治理、風險管理、合規、內控相關的管理領域，是實現有原則績效所需的關鍵能力集合的簡稱。組織治理包括設定和傳達企業戰略、長遠及近期目標和計劃。它能夠保證每一位管理人員的行動以及長遠和近期目標，都與組織的長遠目標和戰略相協調。合規管理要求組織了解并遵守法律、規章、合同、職責、政策和流程，是支持有效治理的一項重要機制。遵守法律法規和組織自身的政策是有效風險管理的一個關鍵組成部分。監測與維持合規遵從的有效性并不只是滿足監管部門的要求，同時也是讓組織維持其良好道德狀況、支持其長期興旺，并維持和提高其價值的最重要方式之一。

GRC體現了公司治理、風險管理、合規管理三大管理領域及其相關管理領域在人員、流程、技術、信息四大方面的協同與融合，確保正確的人在恰當的時間得到合適、正確的信息。GRC幫助組織及其內部所有的決策者建立適度的自信，并理解組織的風險偏好和戰略目標，從而以他人無法做到的方式利用風險，同時又不會超出既定的風險閾值和風險容忍度。這是一個巨大的競爭優勢。

如何實現GRC的融合

中國的央企和上市企業已經歷了美國薩班斯SOX法案、國資委全面風險管理和財政部等部委發布的內控指引的洗禮，在將近10年的探索和磨礪中總結了一套企業風控經驗，但企業仍存在不少困惑，如風險與內控管理與業務工作脫節、工作實效性不強就是困擾很多企業的一大問題。特別是那些已經實施了風險管理和內控管理的企業，雖然這些企業已建立了風險與內控管理體系，但風險管理工作缺乏完整性和專業性，對企業的具體業務生產工作缺乏指導，造成企業在投資、安全環保、人力資源、現金流等方面的重大事件時有發生。

對于這些已經實施了風險與內控管理的企業，在GRC理念的指導下，我們應如何開展工作以達到所謂融合GRC的理想狀態，從而實現企業“有原則的績效”呢？

1．完成現有體系的向上融合

GRC體系融合了公司治理的管理理念，將公司整體的權責激勵制度作為風險管理和合規遵從的壓艙石，為GRC體系的建立打下基礎。在整體權責激勵清晰的環境下，GRC體系進一步梳理和明確決策準則(含風險偏好、風險容忍度等)，在卓越中心的整體協調和綜合管理下，指導GRC戰略計劃和整合計劃的制訂，為GRC的實施鋪路搭橋。

2．完成現有體系的向下融合及橫向融合

現有風控體系多是集團牽頭、統一編寫、集中下發、多輪檢查，下屬單位需要應對多方面、多組織的重復檢查，且控制要求對業務工作指導性不強。所以，首先我們應將集團或總公司一級的風控體系及手冊進行本地化梳理，將風控要求落實到具體業務、具體流程，實現GRC體系所提倡的“六位一體”，即將目標體系、考核體系、制度體系、風險體系、內控體系、流程體系融合到流程和崗位職責中。與此同時與其他橫向管理部門，如法律部門、安全管理部門、戰略規劃部門等的管控要求進一步融合，形成GRC整體管控體系。

3．輔助、指導自下而上的運營管控工作

業務運營是企業的生命線，在運營過程中遇到的問題是實現“有原則的績效”的最大障礙，也是GRC最應該發揮作用的場景。在我們所遇到的問題是跨部門的、復雜性高的情況下，往往本部門已無法單獨完成任務，需要卓越中心綜合專家的智慧和協調能力，在整合計劃的指導下與兄弟部門共同完成。需要強調的一點：復雜性任務或問題的處理過程，容易發現一些企業在運營控制中的設計或執行缺陷，所以任務執行完成后，牽頭部門應總結分析執行過程中的經驗和缺陷，完成結果和建議報告，提交負責部門，以便完善和優化GRC體系。

全書導讀

本書介紹了GRC管理體系、管理方法與管理實踐，主要面向組織內扮演GRC角色的實踐者以及對GRC管理理念感興趣的各類讀者。如果您對以下任何一個問題的回答是“是”，則意味著您具備GRC角色。

● 您是否在企業層面、業務層面或項目層面參與了公司治理？

● 您是否任職于審計、風險或合規管理部門？或者您是否在某個業務部門內負責其中的任何一項？

● 您是否參與戰略規劃或業務連續性管理活動？

● 您是否負責監督既定目標的達成或其他可能威脅到目標績效的因素？

● 您是否負責選擇、實施或管理用以支持組織績效、風險或合規管理或審計的相關技術？

全書共分為4部分，分別介紹GRC的理念、管理實踐、技術實現以及典型應用案例。本書的章節內容及其與GRC體系的關系如圖1所示。

本書的第1部分“理念篇”面向所有對GRC感興趣的讀者，主要介紹GRC的目標以及核心理念。在第1章我們將為您介紹什么是“GRC”，企業為什么需要“GRC”整合管理，“GRC”能幫助哪些崗位提升業績，“GRC”管理體系是怎樣的；在第2章我們將介紹要想實現“GRC”的目標，企業需要具備哪些基礎能力以及如何構建這些能力；在第3章我們將介紹組織如何衡量目前所達到的GRC成熟度。組織只有在明確自己所具備的GRC能力的基礎之上，才能制定出適合自己的GRC實施或改進戰略，并將其用于指導具體的GRC實踐。

本書的第2部分“管理篇”主要面向組織的中高層管理者，介紹如何基于GRC實施架構、應用模型、最佳實踐來提升GRC的管理實踐。我們將在第4章首先介紹GRC的實施方法論及其實施架構。然后在第5章闡述企業在GRC實施過程中可能碰到的問題以及相應的解決辦法。在第6章，我們選取了一些典型的GRC管理實施場景，通過圖解的方式進行分析，以幫助讀者更好地理解GRC管理在實施過程中可能面臨的問題以及應對舉措。

本書的第3部分“技術篇”主要面向組織的CIO們，探討如何利用信息技術輔助GRC的管理。在第7章，我們將主要介紹典型的以及常見的GRC技術解決方案。在第8章我們探討如何以平臺化技術實現不同GRC技術解決方案在數據、信息、標準與流程方面的融合。在第9章，我們將針對組織在實施GRC技術解決方案的過程中可能遇到的問題進行解答，例如：組織實施GRC技術解決方案的路線圖；GRC管理軟件與ERP和OA的協同；如何應對云計算、移動化、大數據的挑戰。

本書的第4部分“實踐篇”面向所有的讀者，通過一些中國企業開展GRC管理的典型案例，向讀者介紹這些企業根據其自身情況、因地制宜地開展GRC管理的方法和過程。這些案例中的企業處于不同的行業、不同的發展階段，它們開展GRC管理的切入點不盡相同，實施路徑也各具特色，希望這些案例能為讀者提供一些啟發和經驗參考。