第1章 GRC體系

1.1 GRC體系簡介

1.1.1 GRC的含義

盡管GRC被引入中國已久，但在中國多數企業管理者的認知范疇內，它還是一個新名詞，只有少數業內人士知道GRC是Governance、Risk Management、Compliance三個英文單詞的縮寫。在這里，我們將向大家介紹GRC的起源和含義。

2001年至2002年，美國證監會相繼披露安然事件、世界通信會計事件、默克財務造假等一系列丑聞。一時間，美國上市企業的信譽一落千丈，投資者的信心飽受打擊。為了增強投資者的信心，重振美國股市，美國政府于2002年頒布《公眾公司會計改革和投資者保護法案》。該法案由奧克斯利與薩班斯兩人聯合提出，所以通常被稱為《薩班斯法案》。該法案的主要目標是增加對上市企業的監管職責，改善企業的治理，從而促進投資者恢復對資本市場的信心。

《薩班斯法案》的頒布對企業管理體系產生了重大影響，推動了已有管理理論的發展和新管理理論的產生。

一方面，《薩班斯法案》推動了內控管理向風險管理的理論擴展。1992年，COSO委員會公布的《內部控制整體框架》因《薩班斯法案》的頒布正式成為美國上市企業內部控制框架的參照性標準。同時，COSO委員會意識到《內部控制整體框架》自身存在過度注重財務報告，而沒有從企業全局與戰略的高度來關注企業風險等問題。結合《薩班斯法案》對上市企業風險管理的要求，同時吸收各方面風險管理研究成果，COSO委員會在2004年頒布了《企業風險管理框架》。

另一方面，《薩班斯法案》促進了GRC管理理論的產生。《薩班斯法案》頒布后，有人將其稱為“美國國家的救亡運動”。在美國這種依靠資本市場來維持和發展經濟的國家，財務做假、內控失敗會直接影響全球投資者對美國資本市場的信心。因此，美國出臺《薩班斯法案》，將公司治理的風險轉嫁到上市企業的執行經理人身上。企業CEO、CFO等執行經理人一方面承壓于股東的業績要求，需要關注企業業績目標的實現；另一方面承壓于不斷增加的監管要求，需要關注經營過程中的各種風險。此時，從一個更高的視角來平衡公司治理、風險管理及合規管理的GRC理論應運而生。GRC能夠幫助企業執行經理人游刃有余地滿足業績要求和監管要求。

2002年，美國權威的技術和市場調研公司Forrester Research的一位前分析師Michael Rasmussen提出“有原則的績效”，即在管理不確定性的條件下，在保持正直、誠信的同時可靠地達成目標。企業內有很多核心業務流程都有助于實現“有原則的績效”，其中公司治理(Governance)、風險管理(Risk Management)、合規遵從(Compliance)這幾大類管理措施對企業的成功尤其重要。因此，由公司治理、風險管理、合規遵從三個英文單詞的首字母組合而成的“GRC”被指代為是實現“有原則的績效”的整體管理理論。同年，國際智庫組織OCEG。投入人力、物力專注于GRC理論的研究，先后發布了《GRC能力模型》《GRC技術解決方案指南》《GRC評估工具》等一系列GRC理論專著。隨后，包括安永、德勤等在內的咨詢機構以及包括Oracle、SAP、IBM、EMC等在內的IT解決方案廠商紛紛成為OCEG的會員，共同致力于GRC研究與實踐。

隨著企業內外部環境的變化和GRC實踐的積累，GRC理念也在不斷進步。2015年7月，OCEG頒布了《GRC能力模型V3.0》，現在所提及的GRC的含義已經遠遠超越了“公司治理、風險管理和合規遵從”三大范疇。GRC是指通過治理、管理和保障手段，推動績效、風險與合規等管理的有機融合，實現“有原則的績效”的能力集合。GRC的含義如圖1.1所示。

1.1.2 企業實施GRC的必要性和價值

大部分企業長期以來都在開展公司治理、風險管理和合規遵從的相關工作。事實上，這些企業已經在實踐中開展了GRC活動，但執行方式并不成熟，難以通過各方面的協同來達成組織目標。我們研究發現，在大多數企業中，風險和合規相對獨立，而兩者越獨立，企業的戰略決策制定者就越難以及時獲取所關注領域的關鍵信息，降低了企業對外部風險和機遇的應對和響應能力。此外，獨立的豎井式運營還會讓企業將過多的資源花費在努力協調各種信息上，導致各項運營活動間存在缺口或者不必要的冗余。由于難以協調和共享信息，企業承擔了過重的負擔。

GRC對于企業管理而言是一次革新，它通過統一的方法將之前分散、重復甚至矛盾的運營信息進行整合，幫助企業更加靈活地應對不斷變化的商業環境，更有效地管理風險，以達到合規要求并創造更多價值。整合處于企業中分散割裂的各個管理領域(例如公司治理、績效管理、風險管理、內部控制、合規遵從等)，是實現GRC目標的基礎。對于分散在企業各個業務部門、流程中的數據，企業需要對其進行整合和統一，并從中獲得相關的情報與知識用于企業的風險管理，進而提高決策水平。為此，企業不僅僅需要消除內部各種“孤島”，更需要發掘這些數據，從中提煉風險智慧，以便讓管理層制定出明智的戰略決策。割裂與整合管理狀態的對比如圖1.2所示。

從2006年國務院國有資產監督管理委員會(以下簡稱國資委)出臺《中央企業全面風險管理指引》、2008年五部委(財政部、證監會、審計署、銀監會、保監會)共同印發《企業內部控制基本規范》到現在，中國國有企業的風險管理與內部控制已經走過了近十年的歷程。在實施過程中，無論是監管機構還是企業自身，都意識到“整合”的必要性。例如，國資委在《2014年度中央企業全面風險管理匯總分析報告》中就建議將風險管理和內部控制工作有機結合，控制企業管理成本，提高企業管理效率。國家電網、中國鋼研、中國海運、東方電氣集團、中國能建等大型中央企業都紛紛建議分析風險管理和內部控制工作的性質，推進兩者有效融合，以便更好地發揮全面風險管理在企業管理提升中的保障作用。此外，中國化學工程集團建議風險管理與內部控制工作由同一部門牽頭負責，統一管理，統一要求。中國中鐵集團建議全面風險管理報告體系與五部委共同印發的《企業內部控制基本規范》協調一致，使全面風險管理和內部控制成為一個體系。

國內不少企業的GRC實踐并不僅僅停留在理論研究階段，已經開始進行風險管理和內部控制整合的嘗試，并取得了良好的效果。如中國建筑工程總公司推進全面風險管理、內部控制與質量、環境、職業健康與安全管理體系整合，獲得財政部、第三方認證中心認可，并已經開始向二級子公司推廣；中國海洋石油總公司由風險管理辦公室統一負責推進風險管理與內部控制工作，也取得了良好效果；中國五礦集團公司實施了風控一體化管理平臺，成為行業內標桿。這些實踐都充分證明了統一整合框架的合理性和必要性。

GRC的實施落地可以幫助企業在滿足監管要求的同時，實現企業的財務目標，即實現“有原則的績效”。GRC的成功實施將為企業帶來一些可預期的、直觀可見的成效，也可以將其理解為GRC實施的價值。因企業規模不同、實施程度不同，各個企業的成果也會有差異，總體可歸納為以下8個基礎成效：

(1) 戰略戰術有前瞻。GRC能幫助企業了解影響戰略和戰術方向改變的必要信息，幫助組織抓住機遇，規避或沖減風險。

(2) 戰略計劃有保障。GRC戰略計劃融入了對企業機遇、風險和要求的綜合考慮。GRC組織強調的卓越中心和共享中心可保障企業根據環境變化及時調整戰略計劃。GRC綜合計劃可保障企業戰略計劃的有效執行。

(3) 經濟回報最優化。GRC可幫助企業優化經濟回報和價值，合理分配人力和財政資源，在最大限度踐行價值觀的同時為企業創造最大的經濟回報。

(4) 經營目標可實現。GRC基礎能力建設、GRC項目的有效執行和GRC技術的有效支撐能幫助企業可預期地、可靠地實現經營目標。

(5) 股東信心漸增強。GRC可幫助企業實現“有原則的績效”，有利于企業的可持續發展，有利于提高股東對組織的信任度。

(6) 企業文化常鞏固。GRC激勵并推動建設一種高效、負責、誠信、彼此信任且溝通暢達的企業文化。

(7) 風險意外有預防。GRC可幫助企業識別、分析各種風險，GRC決策標準中涵蓋的風險偏好、風險容忍度等指標可幫助企業制定規范、可行、適用的風險預案。GRC整體計劃可幫助企業制定相關控制措施和實施活動，監測潛在問題，降低負面影響。

(8) 響應速度有提升。GRC基礎能力建設可幫助企業提高響應速度，更敏捷地感受內外部變化，并迅速抓住機遇或設立風險預案，提升企業的競爭優勢。

1.1.3 實施GRC的關鍵角色

在中小型企業中，可能會存在一人多崗或一崗多責的情況，例如，風險管理者既要承擔風險管理職責，又要承擔合規管理職責。當組織規模較大時，可能單個GRC活動需要多個崗位的合作，例如，企業將合規管理工作分配給幾個合規管理者或合規專員，同時在各個業務單元設立合規負責人。當有相當多的人聯合承擔某項責任時，每個人都需要全面理解并重視自己的行為和決定會對組織的其他部分產生的影響，以及他人的行為和決定會如何影響自己。然而在很多情況下，各個角色只局限于自己的工作而不去關注全局。實施GRC涉及的關鍵角色及其職責主要包括以下幾個方面。

1．治理機構角色

任何治理機構，不論是企業董事會還是監督某個具體項目的委員會，其核心任務是監管。治理機構需要監管組織使命、愿景和價值觀的制定，監管組織目標和策略的制定，監管組織決策標準、風險偏好、風險容忍度和道德準則的制定。有時，治理機構還需要驅動戰略的制定，監管組織的溝通機制，確保重點事項的變化能及時得到風險、合規及審計管理者的評估，確保合理的資源分配，確保政策調整與計劃變更的有效傳遞。

2．財務管理者角色

現代首席財務官的工作范疇已經遠遠超過了傳統意義上的統籌資產管理及撰寫金融報告。現代首席財務官是戰略團隊的重要成員，參與確定組織的發展方向，確保公司財務資源的合理分配。首席財務官還需要通過制定和宣貫財務方面的相關決策標準幫助業務經理更好地執行。首席財務官是“公司的錢袋子”，在GRC活動中，首席財務官的支持是成功的關鍵。

3．風險管理者角色

不論是業務單元風險控制還是企業層面風險管理，風險管理者都在驅動組織朝“有原則的績效”方向前進的過程中扮演著重要角色。首席風險官及風險團隊需要同時考慮企業面臨的風險和機遇，并確保制定和實施戰略規劃時能夠獲得此類信息。根據既定目標和策略來控制風險并提升機遇，評估內外部環境變化帶來的波動，以明確這些變化可能會如何影響目標的實現，并將這些信息傳遞給治理機構和戰略規劃者。這不僅適用于企業層面，業務單元內部進行風險管理時也同樣適用。另外，風險評估不是“一步到位”的活動，它要求對發生的變化和修正進行持續的監控，以確保目標、戰略、風險、回報和控制之間的協同。

4．合規管理者角色

合規管理者的職責是確保組織運營不僅符合法律法規要求，還要遵從組織內部設定的政策、程序和規范。也就是說，要通過管理機制確保組織合規運營，在努力達成目標的同時不逾矩、不越界。與風險管理相似，合規管理機制不僅支持戰略，也會影響戰略。例如，在考慮開拓國際市場時，反賄賂所付出的成本可能會影響對該地區業務運營價值的戰略分析。相反，如果發現改變產品的一種成分可以大幅節約廢物處理成本，則可能會驅動戰略決策指向更“綠色”的制造工藝。組織對合規管理者的要求不能僅限于盡早知悉戰略變更計劃，還需要他們參與到戰略計劃的討論中來，以確保對可能會影響決策的信息進行實時溝通。同樣，合規管理者與風險管理者也需要實時溝通。

5．信息技術管理者角色

首席信息官需要負責建立相關IT系統，以確保組織可以用統一的方式收集可靠的信息，并將信息在合適的時間以合適的形式交付給合適的人。為了實現這一功能，確保獲取信息的渠道和保護組織的信息安全是至關重要的。

首席信息官和信息技術經理需要參與GRC技術戰略計劃的制訂，該計劃會基于股東和用戶的需求設計解決方案組合。他們還需要幫助GRC關鍵執行者從技術角度評估哪些IT系統需要保持，哪些需要改變，哪些需要整合。他們需要宏觀地考慮如何設計GRC整體技術架構。

6．人力資源管理者角色

在GRC領域的相關角色中，作為管理組織的人力資源團隊是必不可少的。企業文化是企業發展的源泉，是人力資源管理工作的重要組成部分。建立“說話文化”是促進GRC目標實現的關鍵之一。人力資源團隊負責通過培訓、溝通等活動宣貫組織GRC實施的相關文件，包括GRC戰略計劃、GRC整合計劃、合規政策等，營造濃厚的企業文化氛圍，建立暢通的溝通機制，鼓勵員工了解參與GRC活動。因此，人力資源團隊在GRC實施中占有重要地位。

7．內部審計執行與管理者角色

如今，首席審計官的責任之多是前所未有的。為了向治理機構提供保障，首席審計官不僅需要洞察組織的財務記錄和財務報表，還需辨別對企業既定目標產生影響的風險和合規信息。雖然組織風險與合規管理體系設計不屬于保障層面的工作，但是如果首席審計師沒有在體系設計時指導建立有效的管理機制和設立可測量的考核指標，內部審計就無法有效履行其職責。因此，在組織風險與合規管理體系設計時，首席審計官應提供建議和支持以保障體系設計的有效性，從而為后期執行的有效性評估提供保障和評價依據。

首席審計官還有一項獨特職能是觀察風險與合規在企業努力達成既定目標的過程中如何影響企業績效，并能針對影響結果提供建議。因此，首席審計官需要與風險和合規管理者密切協作。在企業層面的GRC實施中，有些組織將首席審計官設定為負責人，以保障各種協作的暢通。

8．業務部門執行與管理者角色

在風險管理領域，國際內部稽核協會(IIA)提出業務部門管理者負責執行組織的策略與業務，在面對經營環境的持續變動時需要承擔辨別、評估、控制及減輕風險的責任。因此，業務部門管理者一直被稱為組織風險管理的“第一道防線”。風險管理和合規管理的相關角色擔任“第二道防線”，協助和監督“第一道防線”的各種控制措施。內部審計師擔任“第三道防線”，針對公司治理、風險管理和合規管理過程的有效性提供全面的確認。在GRC實施中，業務部門管理者除了識別風險還要負責合規執行及組織績效目標的實現。因此，他們需要總裁、人力資源主管、首席信息官、法律總顧問等其他GRC團隊成員的支持。組織需要建立有效的雙向溝通，一方面需要向業務部門管理者宣貫組織目標與策略、政策與制度、行為與控制措施。另一方面，業務部門管理者需要及時進行情況匯報，使組織能夠根據情況變化及時調整策略與行動計劃，從而更好地支持組織績效、風險、合規等方面的管理。

1.1.4 通向有原則績效之路

企業需要打破組織中的豎井式管理層級造成的信息壁壘，將所有的企業職能、流程和實體結合在一起，整合各項GRC能力，以實現企業目標。整合GRC能力不是指建立一個龐大的GRC部門，也不一定要求應用單一的GRC技術系統。相反，整合GRC能力指的是建立一套整體方法，確保正確的人在恰當的時間得到合適、正確的信息。例如：

● 統一信息詞匯和術語，以方便溝通交流；

● 建立共同的數據、文件和信息庫，以增強信息共享；

● 為政策和培訓等創建標準化的程序和模板，以提高效率；

● 確保所有的相關角色間定期、持續溝通，保證信息對稱等。

只有在組織的GRC政策、流程、技術、人員等資源協調一致時，GRC的設計、實施和評估才能達到最好的效果。

下面讓我們來看看如何通過各個GRC角色間的有效協作，實現“有原則的績效”的目標，如圖1.3所示。

在圖1.3中，參與GRC協同整合的角色有治理者、績效管理者、風險管理者、合規管理者、審計人員、業務運營人員，此場景描繪了從戰略目標制定到達成“有原則的績效”目標的路徑，具體內容如下所述。

1．基于GRC理念共同設定使命、愿景、價值觀和商業模式

風險管理者、合規管理者、績效管理者和治理層共同討論企業的文化和管理基調，包括企業的使命、愿景、價值觀以及該公司的商業模式。其中，風險管理者尤其關注企業的使命、愿景和價值觀，因為不同的使命、愿景將決定企業會面臨哪些方面的風險，不同的價值觀決定了不同的風險偏好。而合規管理者往往關注企業在內外部邊界的限制內，要采用怎樣的商業模式。治理層和業績負責人將結合內外部面臨的風險、機遇以及合規要求，制定或調整企業的使命、愿景、價值觀和商業模式，如圖1.4所示。

2．商業模式細化并保證經營計劃貫徹執行

如果把企業比喻成一艘巨輪，上一個環節明確了航行的目的地、方向和安全航行的理念，接下來就需要制訂航海計劃，并且在航行中確保不偏離航線。在此環節中，合規管理者將為企業劃定合規邊界；業務人員在運營過程中，需要不斷審視、均衡風險與回報；審計人員需要確保企業各個單元的執行情況與計劃或規定相符。這就好比在航行中，要不斷地根據天氣、補給等狀況調整航速和航線，同時還要保證船員各司其職，巨輪才能正常行駛。商業模式細化情況如圖1.5所示。

3．管理不確定性(威脅和機遇)

在海上航行，難免會遇到狂風暴雨的惡劣天氣，甚至遭遇船艙漏水的重大危機，也可能會誤入布滿暗礁的危險海域，但也有可能遇到與你同向的季風和暖流。企業也是如此，尤其是在如今復雜多變的商業環境中，管理不確定性成為GRC的核心職能。當威脅出現時，風險管理者會迅速采取措施進行應對；當機會來臨時，也會提醒管理者抓住機遇。有時，業務人員為了完成業績目標，想要采取非正常的方式行事。此時，合規管理者就會出手阻攔，防止企業發生違規事件。審計人員會繼續檢查管理和業務過程中的缺陷，并確保發現的問題得到整改。管理不確定性如圖1.6所示。

4．綜合審視績效、風險與合規狀況

在將風險、合規與績效分開管理的企業中，這幾個方面的負責人員將以各自的口徑分別匯報相關信息，決策人員和管理人員難以獲得全面的信息，也難以將這些信息以統一的口徑關聯起來。而在GRC成熟度較高的企業中，績效、風險與合規的信息將匯總到統一的記分卡上，對績效的預估是綜合了風險水平、合規情況的信息后得到的更真實、更全面、更準確、更及時的結果，這樣決策者可以基于綜合信息做出更科學、更有效的決策。綜合審視情況如圖1.7所示。

5．幫助企業實現“有原則的績效”目標

最終，在GRC各個角色的齊心協力下，企業在實現績效目標的同時，也有效管理了威脅和機會，并沒有發生重大的違規事件，企業的經營始終處于安全、穩定、持續的良性運行軌道上。GRC體系帶來的整合性及透明性，不僅讓鑒證工作更高效，而且提高了資源配置效率，讓企業更有競爭力，讓企業更加健康地發展。幫助企業實現目標如圖1.8所示。