北京2016年9月27日电 /美通社/ -- 慧点科技价值研究院李阳今日发表文章《有原则绩效之 -- GRC的实施路径》,以下为全文:
企业实施GRC,首先应明确整体实施架构,其次要重点关注 GRC 应用模型的设计,既要考虑可能影响企业各方面的环境要素,又要结合企业发展的具体目标。
但是,即便严格按照 GRC 实施路径进行操作,在实施中也一定会遇到各种困难,这就要求管理者们既要以发展的眼光来看待这些困难,不要半途而废;也要发挥管理智慧,结合企业自身情况灵活应用,为 GRC 管理提供更多的最佳实践。
GRC实施架构
一个理念从被认识、被接受、实践到最后取得成功是一个漫长的过程,如果 GRC 管理的理念已经引起了你的兴趣,请并打算在自己所在的企业进行实践,做好应对各种挑战的准备。
GRC强调统一、融合的理念,这对管理基础的要求相对较高。因此,GRC实施路径对企业来说非常重要。总体来说,GRC实施路径的整体架构包括六类管理要素。
在这六类要素中,核心是 GRC 应用模型。对于第一次尝试 GRC 的企业来说,实施路径可以概述为6个步骤:
第一步,分析管理驱动力,明确实施 GRC 管理的总体目标和重点管理领域。
第二步,根据总体目标和重点管理领域,进行 GRC 管理现状分析,找出管理难点和痛点。
第三步,结合以上两点,设计适合本企业的 GRC 应用模型。
第四步,结合企业实际情况细化应用模型,使其在后续工作中能够有效落地。
第五步,从组织、责任、资源和机制四方面设计 GRC 体系建设过程,保证体系的顺利运转。
第六步,从目标、计划、预案、监测、评估、改进和考核等方面设计 GRC 执行过程,使 GRC 与企业的业务有机融合,保证 GRC 管理目标的实现。
在以上步骤中,还需要考虑企业相关技术能力对 GRC 管理的支撑,要对相应的技术要求有明确的认识和定义。
GRC应用参考模型
作为 GRC 实施的核心,GRC应用包含许多内容。在这里,我们结合国际先进经验,融合国内企业管理的实际需求,给出了一个参考模型,模型包含几个层面的应用:治理层,包括公司治理、组织、政策、方针;管理层,包括绩效管理、风内控管理、制度管理险管理、合规管理、包括审计管理;跨和流程管理;保障层,领域,包括问题管理、协同管理、党建管理、纪检监察、IT治理。
需注意的是,模型无法覆盖所有应用。同时,模型中的应用看似各自独立,但存在着紧密的纵向和横向关联。GRC强调的统一融合的理念,要求企业在实际落地过程中关注各应用之间的关系和整合价值。
各层面之间的纵向关联在多数企业中已得到落实。
治理层产生的管理结果,如企业方针、权责控制、绩效目标等都可以作为管理层的输入。管理层通过绩效、风险和内控管理等产生的结果也需反馈给治理层,以便治理层进行准确的分析判断,并进行优化调整。治理和管理层的所有报告性的输出都可以成为保障层的输入,保障层的输出也可以成为治理和管理层的反馈意见。
相对而言,各应用间的横向关联在企业中的实践存在较大差距,主要是由于业务条线分割,管理相对独立造成的。
以管理层为例,其六大应用彼此间存在密切的横向关联。
“绩效管理”承接治理层输出,制定企业的经营管理目标,并输出企业各层级的阶段绩效目标。
基于绩效目标,“制度管理”要分析现行制度与目标是否匹配,是否存在缺失;“风险管理” 需要分析为了达成目标,存在哪些风险和机遇,及其优先级。
“内控/合规管理”基于风险分析结果和制度要求,制定控制措施和检查方法,并与“流程管理”相结合,落实到流程环节的具体岗位中。
如果以企业某岗位的身份查看某条业务流程,以岗位为核心,可将绩效目标、岗位风险、内控措施、制度规定和业务操作融合为 GRC 管理层的一体化管理模式。此外,再融合承接治理层的权责控制约束,这样就六位一体共同构成了企业管理运营的坚实基础,更全面地为员工提供操作指引,从而使得管理者进行准确的业务监控,使企业管理从治理层到操作层真正做到目标一致、步调一致。
