有原则绩效之路——GRC的实施路径

　　企业实施GRC，首先应明确整体实施架构，其次要重点关注GRC应用模型的设计，既要考虑可能影响企业各方面的环境要素，又要结合企业发展的具体目标。

　　但是，即便严格按照GRC实施路径进行操作，在实施中也一定会遇到各种困难，这就要求管理者们既要以发展的眼光来看待这些困难，不要半途而废；也要发挥管理智慧，结合企业自身情况灵活应用，为GRC管理提供更多的最佳实践。

　　GRC实施架构

　　一个理念从被认识、被接受、实践到最后取得成功是一个漫长的过程，如果GRC管理的理念已经引起了你的兴趣，并打算在自己所在的企业进行实践，请做好应对各种挑战的准备。

　　GRC强调统一、融合的理念，这对管理基础的要求相对较高。因此，GRC实施路径对企业来说非常重要。总体来说，GRC实施路径的整体架构包括六类管理要素。

　　在这六类要素中，核心是GRC应用模型。对于第一次尝试GRC的企业来说，实施路径可以概述为6个步骤：

　　第一步，分析管理驱动力，明确实施GRC管理的总体目标和重点管理领域。

　　第二步，根据总体目标和重点管理领域，进行GRC管理现状分析，找出管理难点和痛点。

　　第三步，结合以上两点，设计适合本企业的GRC应用模型。

　　第四步，结合企业实际情况细化应用模型，使其在后续工作中能够有效落地。

　　第五步，从组织、责任、资源和机制四方面设计GRC体系建设过程，保证体系的顺利运转。

　　第六步，从目标、计划、预案、监测、评估、改进和考核等方面设计GRC执行过程，使GRC与企业的业务有机融合，保证GRC管理目标的实现。

　　在以上步骤中，还需要考虑企业相关技术能力对GRC管理的支撑，要对相应的技术要求有明确的认识和定义。

　　GRC应用参考模型

　　作为GRC实施的核心，GRC应用包含许多内容。在这里，我们结合国际先进经验，融合国内企业管理的实际需求，给出了一个参考模型，模型包含几个层面的应用：治理层，包括公司治理、组织、政策、方针；管理层，包括绩效管理、风险管理、内控管理、合规管理、制度管理和流程管理；保障层，包括审计管理；跨领域，包括问题管理、协同管理、党建管理、纪检监察、IT治理。

　　需注意的是，模型无法覆盖所有应用。同时，模型中的应用看似各自独立，但存在着紧密的纵向和横向关联。GRC强调的统一融合的理念，要求企业在实际落地过程中关注各应用之间的关系和整合价值。

　　各层面之间的纵向关联在多数企业中已得到落实。

　　治理层产生的管理结果，如企业方针、权责控制、绩效目标等都可以作为管理层的输入。管理层通过绩效、风险和内控管理等产生的结果也需反馈给治理层，以便治理层进行准确的分析判断，并进行优化调整。治理和管理层的所有报告性的输出都可以成为保障层的输入，保障层的输出也可以成为治理和管理层的反馈意见。

　　相对而言，各应用间的横向关联在企业中的实践存在较大差距，主要是由于业务条线分割，管理相对独立造成的。

　　以管理层为例，其六大应用彼此间存在密切的横向关联。

　　“绩效管理”承接治理层输出，制定企业的经营管理目标，并输出企业各层级的阶段绩效目标。

　　基于绩效目标，“制度管理”要分析现行制度与目标是否匹配，是否存在缺失；“风险管理”需要分析为了达成目标，存在哪些风险和机遇，及其优先级。

　　“内控/合规管理”基于风险分析结果和制度要求，制定控制措施和检查方法，并与“流程管理”相结合，落实到流程环节的具体岗位中。

　　如果以企业某岗位的身份查看某条业务流程，以岗位为核心，可将绩效目标、岗位风险、内控措施、制度规定和业务操作融合为GRC管理层的一体化管理模式。此外，再融合承接治理层的权责控制约束，这样就六位一体共同构成了企业管理运营的坚实基础，更全面地为员工提供操作指引，从而使得管理者进行准确的业务监控，使企业管理从治理层到操作层真正做到目标一致、步调一致。

　　■慧点科技价值研究院 李阳

关注读览天下微信， 100万篇深度好文， 等你来看……