第1章 GRC体系

1.1 GRC体系简介

1.1.1 GRC的含义

尽管GRC被引入中国已久，但在中国多数企业管理者的认知范畴内，它还是一个新名词，只有少数业内人士知道GRC是Governance、Risk Management、Compliance三个英文单词的缩写。在这里，我们将向大家介绍GRC的起源和含义。

2001年至2002年，美国证监会相继披露安然事件、世界通信会计事件、默克财务造假等一系列丑闻。一时间，美国上市企业的信誉一落千丈，投资者的信心饱受打击。为了增强投资者的信心，重振美国股市，美国政府于2002年颁布《公众公司会计改革和投资者保护法案》。该法案由奥克斯利与萨班斯两人联合提出，所以通常被称为《萨班斯法案》。该法案的主要目标是增加对上市企业的监管职责，改善企业的治理，从而促进投资者恢复对资本市场的信心。

《萨班斯法案》的颁布对企业管理体系产生了重大影响，推动了已有管理理论的发展和新管理理论的产生。

一方面，《萨班斯法案》推动了内控管理向风险管理的理论扩展。1992年，COSO委员会公布的《内部控制整体框架》因《萨班斯法案》的颁布正式成为美国上市企业内部控制框架的参照性标准。同时，COSO委员会意识到《内部控制整体框架》自身存在过度注重财务报告，而没有从企业全局与战略的高度来关注企业风险等问题。结合《萨班斯法案》对上市企业风险管理的要求，同时吸收各方面风险管理研究成果，COSO委员会在2004年颁布了《企业风险管理框架》。

另一方面，《萨班斯法案》促进了GRC管理理论的产生。《萨班斯法案》颁布后，有人将其称为“美国国家的救亡运动”。在美国这种依靠资本市场来维持和发展经济的国家，财务做假、内控失败会直接影响全球投资者对美国资本市场的信心。因此，美国出台《萨班斯法案》，将公司治理的风险转嫁到上市企业的执行经理人身上。企业CEO、CFO等执行经理人一方面承压于股东的业绩要求，需要关注企业业绩目标的实现；另一方面承压于不断增加的监管要求，需要关注经营过程中的各种风险。此时，从一个更高的视角来平衡公司治理、风险管理及合规管理的GRC理论应运而生。GRC能够帮助企业执行经理人游刃有余地满足业绩要求和监管要求。

2002年，美国权威的技术和市场调研公司Forrester Research的一位前分析师Michael Rasmussen提出“有原则的绩效”，即在管理不确定性的条件下，在保持正直、诚信的同时可靠地达成目标。企业内有很多核心业务流程都有助于实现“有原则的绩效”，其中公司治理(Governance)、风险管理(Risk Management)、合规遵从(Compliance)这几大类管理措施对企业的成功尤其重要。因此，由公司治理、风险管理、合规遵从三个英文单词的首字母组合而成的“GRC”被指代为是实现“有原则的绩效”的整体管理理论。同年，国际智库组织OCEG。投入人力、物力专注于GRC理论的研究，先后发布了《GRC能力模型》《GRC技术解决方案指南》《GRC评估工具》等一系列GRC理论专著。随后，包括安永、德勤等在内的咨询机构以及包括Oracle、SAP、IBM、EMC等在内的IT解决方案厂商纷纷成为OCEG的会员，共同致力于GRC研究与实践。

随着企业内外部环境的变化和GRC实践的积累，GRC理念也在不断进步。2015年7月，OCEG颁布了《GRC能力模型V3.0》，现在所提及的GRC的含义已经远远超越了“公司治理、风险管理和合规遵从”三大范畴。GRC是指通过治理、管理和保障手段，推动绩效、风险与合规等管理的有机融合，实现“有原则的绩效”的能力集合。GRC的含义如图1.1所示。

1.1.2 企业实施GRC的必要性和价值

大部分企业长期以来都在开展公司治理、风险管理和合规遵从的相关工作。事实上，这些企业已经在实践中开展了GRC活动，但执行方式并不成熟，难以通过各方面的协同来达成组织目标。我们研究发现，在大多数企业中，风险和合规相对独立，而两者越独立，企业的战略决策制定者就越难以及时获取所关注领域的关键信息，降低了企业对外部风险和机遇的应对和响应能力。此外，独立的竖井式运营还会让企业将过多的资源花费在努力协调各种信息上，导致各项运营活动间存在缺口或者不必要的冗余。由于难以协调和共享信息，企业承担了过重的负担。

GRC对于企业管理而言是一次革新，它通过统一的方法将之前分散、重复甚至矛盾的运营信息进行整合，帮助企业更加灵活地应对不断变化的商业环境，更有效地管理风险，以达到合规要求并创造更多价值。整合处于企业中分散割裂的各个管理领域(例如公司治理、绩效管理、风险管理、内部控制、合规遵从等)，是实现GRC目标的基础。对于分散在企业各个业务部门、流程中的数据，企业需要对其进行整合和统一，并从中获得相关的情报与知识用于企业的风险管理，进而提高决策水平。为此，企业不仅仅需要消除内部各种“孤岛”，更需要发掘这些数据，从中提炼风险智慧，以便让管理层制定出明智的战略决策。割裂与整合管理状态的对比如图1.2所示。

从2006年国务院国有资产监督管理委员会(以下简称国资委)出台《中央企业全面风险管理指引》、2008年五部委(财政部、证监会、审计署、银监会、保监会)共同印发《企业内部控制基本规范》到现在，中国国有企业的风险管理与内部控制已经走过了近十年的历程。在实施过程中，无论是监管机构还是企业自身，都意识到“整合”的必要性。例如，国资委在《2014年度中央企业全面风险管理汇总分析报告》中就建议将风险管理和内部控制工作有机结合，控制企业管理成本，提高企业管理效率。国家电网、中国钢研、中国海运、东方电气集团、中国能建等大型中央企业都纷纷建议分析风险管理和内部控制工作的性质，推进两者有效融合，以便更好地发挥全面风险管理在企业管理提升中的保障作用。此外，中国化学工程集团建议风险管理与内部控制工作由同一部门牵头负责，统一管理，统一要求。中国中铁集团建议全面风险管理报告体系与五部委共同印发的《企业内部控制基本规范》协调一致，使全面风险管理和内部控制成为一个体系。

国内不少企业的GRC实践并不仅仅停留在理论研究阶段，已经开始进行风险管理和内部控制整合的尝试，并取得了良好的效果。如中国建筑工程总公司推进全面风险管理、内部控制与质量、环境、职业健康与安全管理体系整合，获得财政部、第三方认证中心认可，并已经开始向二级子公司推广；中国海洋石油总公司由风险管理办公室统一负责推进风险管理与内部控制工作，也取得了良好效果；中国五矿集团公司实施了风控一体化管理平台，成为行业内标杆。这些实践都充分证明了统一整合框架的合理性和必要性。

GRC的实施落地可以帮助企业在满足监管要求的同时，实现企业的财务目标，即实现“有原则的绩效”。GRC的成功实施将为企业带来一些可预期的、直观可见的成效，也可以将其理解为GRC实施的价值。因企业规模不同、实施程度不同，各个企业的成果也会有差异，总体可归纳为以下8个基础成效：

(1) 战略战术有前瞻。GRC能帮助企业了解影响战略和战术方向改变的必要信息，帮助组织抓住机遇，规避或冲减风险。

(2) 战略计划有保障。GRC战略计划融入了对企业机遇、风险和要求的综合考虑。GRC组织强调的卓越中心和共享中心可保障企业根据环境变化及时调整战略计划。GRC综合计划可保障企业战略计划的有效执行。

(3) 经济回报最优化。GRC可帮助企业优化经济回报和价值，合理分配人力和财政资源，在最大限度践行价值观的同时为企业创造最大的经济回报。

(4) 经营目标可实现。GRC基础能力建设、GRC项目的有效执行和GRC技术的有效支撑能帮助企业可预期地、可靠地实现经营目标。

(5) 股东信心渐增强。GRC可帮助企业实现“有原则的绩效”，有利于企业的可持续发展，有利于提高股东对组织的信任度。

(6) 企业文化常巩固。GRC激励并推动建设一种高效、负责、诚信、彼此信任且沟通畅达的企业文化。

(7) 风险意外有预防。GRC可帮助企业识别、分析各种风险，GRC决策标准中涵盖的风险偏好、风险容忍度等指标可帮助企业制定规范、可行、适用的风险预案。GRC整体计划可帮助企业制定相关控制措施和实施活动，监测潜在问题，降低负面影响。

(8) 响应速度有提升。GRC基础能力建设可帮助企业提高响应速度，更敏捷地感受内外部变化，并迅速抓住机遇或设立风险预案，提升企业的竞争优势。

1.1.3 实施GRC的关键角色

在中小型企业中，可能会存在一人多岗或一岗多责的情况，例如，风险管理者既要承担风险管理职责，又要承担合规管理职责。当组织规模较大时，可能单个GRC活动需要多个岗位的合作，例如，企业将合规管理工作分配给几个合规管理者或合规专员，同时在各个业务单元设立合规负责人。当有相当多的人联合承担某项责任时，每个人都需要全面理解并重视自己的行为和决定会对组织的其他部分产生的影响，以及他人的行为和决定会如何影响自己。然而在很多情况下，各个角色只局限于自己的工作而不去关注全局。实施GRC涉及的关键角色及其职责主要包括以下几个方面。

1．治理机构角色

任何治理机构，不论是企业董事会还是监督某个具体项目的委员会，其核心任务是监管。治理机构需要监管组织使命、愿景和价值观的制定，监管组织目标和策略的制定，监管组织决策标准、风险偏好、风险容忍度和道德准则的制定。有时，治理机构还需要驱动战略的制定，监管组织的沟通机制，确保重点事项的变化能及时得到风险、合规及审计管理者的评估，确保合理的资源分配，确保政策调整与计划变更的有效传递。

2．财务管理者角色

现代首席财务官的工作范畴已经远远超过了传统意义上的统筹资产管理及撰写金融报告。现代首席财务官是战略团队的重要成员，参与确定组织的发展方向，确保公司财务资源的合理分配。首席财务官还需要通过制定和宣贯财务方面的相关决策标准帮助业务经理更好地执行。首席财务官是“公司的钱袋子”，在GRC活动中，首席财务官的支持是成功的关键。

3．风险管理者角色

不论是业务单元风险控制还是企业层面风险管理，风险管理者都在驱动组织朝“有原则的绩效”方向前进的过程中扮演着重要角色。首席风险官及风险团队需要同时考虑企业面临的风险和机遇，并确保制定和实施战略规划时能够获得此类信息。根据既定目标和策略来控制风险并提升机遇，评估内外部环境变化带来的波动，以明确这些变化可能会如何影响目标的实现，并将这些信息传递给治理机构和战略规划者。这不仅适用于企业层面，业务单元内部进行风险管理时也同样适用。另外，风险评估不是“一步到位”的活动，它要求对发生的变化和修正进行持续的监控，以确保目标、战略、风险、回报和控制之间的协同。

4．合规管理者角色

合规管理者的职责是确保组织运营不仅符合法律法规要求，还要遵从组织内部设定的政策、程序和规范。也就是说，要通过管理机制确保组织合规运营，在努力达成目标的同时不逾矩、不越界。与风险管理相似，合规管理机制不仅支持战略，也会影响战略。例如，在考虑开拓国际市场时，反贿赂所付出的成本可能会影响对该地区业务运营价值的战略分析。相反，如果发现改变产品的一种成分可以大幅节约废物处理成本，则可能会驱动战略决策指向更“绿色”的制造工艺。组织对合规管理者的要求不能仅限于尽早知悉战略变更计划，还需要他们参与到战略计划的讨论中来，以确保对可能会影响决策的信息进行实时沟通。同样，合规管理者与风险管理者也需要实时沟通。

5．信息技术管理者角色

首席信息官需要负责建立相关IT系统，以确保组织可以用统一的方式收集可靠的信息，并将信息在合适的时间以合适的形式交付给合适的人。为了实现这一功能，确保获取信息的渠道和保护组织的信息安全是至关重要的。

首席信息官和信息技术经理需要参与GRC技术战略计划的制订，该计划会基于股东和用户的需求设计解决方案组合。他们还需要帮助GRC关键执行者从技术角度评估哪些IT系统需要保持，哪些需要改变，哪些需要整合。他们需要宏观地考虑如何设计GRC整体技术架构。

6．人力资源管理者角色

在GRC领域的相关角色中，作为管理组织的人力资源团队是必不可少的。企业文化是企业发展的源泉，是人力资源管理工作的重要组成部分。建立“说话文化”是促进GRC目标实现的关键之一。人力资源团队负责通过培训、沟通等活动宣贯组织GRC实施的相关文件，包括GRC战略计划、GRC整合计划、合规政策等，营造浓厚的企业文化氛围，建立畅通的沟通机制，鼓励员工了解参与GRC活动。因此，人力资源团队在GRC实施中占有重要地位。

7．内部审计执行与管理者角色

如今，首席审计官的责任之多是前所未有的。为了向治理机构提供保障，首席审计官不仅需要洞察组织的财务记录和财务报表，还需辨别对企业既定目标产生影响的风险和合规信息。虽然组织风险与合规管理体系设计不属于保障层面的工作，但是如果首席审计师没有在体系设计时指导建立有效的管理机制和设立可测量的考核指标，内部审计就无法有效履行其职责。因此，在组织风险与合规管理体系设计时，首席审计官应提供建议和支持以保障体系设计的有效性，从而为后期执行的有效性评估提供保障和评价依据。

首席审计官还有一项独特职能是观察风险与合规在企业努力达成既定目标的过程中如何影响企业绩效，并能针对影响结果提供建议。因此，首席审计官需要与风险和合规管理者密切协作。在企业层面的GRC实施中，有些组织将首席审计官设定为负责人，以保障各种协作的畅通。

8．业务部门执行与管理者角色

在风险管理领域，国际内部稽核协会(IIA)提出业务部门管理者负责执行组织的策略与业务，在面对经营环境的持续变动时需要承担辨别、评估、控制及减轻风险的责任。因此，业务部门管理者一直被称为组织风险管理的“第一道防线”。风险管理和合规管理的相关角色担任“第二道防线”，协助和监督“第一道防线”的各种控制措施。内部审计师担任“第三道防线”，针对公司治理、风险管理和合规管理过程的有效性提供全面的确认。在GRC实施中，业务部门管理者除了识别风险还要负责合规执行及组织绩效目标的实现。因此，他们需要总裁、人力资源主管、首席信息官、法律总顾问等其他GRC团队成员的支持。组织需要建立有效的双向沟通，一方面需要向业务部门管理者宣贯组织目标与策略、政策与制度、行为与控制措施。另一方面，业务部门管理者需要及时进行情况汇报，使组织能够根据情况变化及时调整策略与行动计划，从而更好地支持组织绩效、风险、合规等方面的管理。

1.1.4 通向有原则绩效之路

企业需要打破组织中的竖井式管理层级造成的信息壁垒，将所有的企业职能、流程和实体结合在一起，整合各项GRC能力，以实现企业目标。整合GRC能力不是指建立一个庞大的GRC部门，也不一定要求应用单一的GRC技术系统。相反，整合GRC能力指的是建立一套整体方法，确保正确的人在恰当的时间得到合适、正确的信息。例如：

● 统一信息词汇和术语，以方便沟通交流；

● 建立共同的数据、文件和信息库，以增强信息共享；

● 为政策和培训等创建标准化的程序和模板，以提高效率；

● 确保所有的相关角色间定期、持续沟通，保证信息对称等。

只有在组织的GRC政策、流程、技术、人员等资源协调一致时，GRC的设计、实施和评估才能达到最好的效果。

下面让我们来看看如何通过各个GRC角色间的有效协作，实现“有原则的绩效”的目标，如图1.3所示。

在图1.3中，参与GRC协同整合的角色有治理者、绩效管理者、风险管理者、合规管理者、审计人员、业务运营人员，此场景描绘了从战略目标制定到达成“有原则的绩效”目标的路径，具体内容如下所述。

1．基于GRC理念共同设定使命、愿景、价值观和商业模式

风险管理者、合规管理者、绩效管理者和治理层共同讨论企业的文化和管理基调，包括企业的使命、愿景、价值观以及该公司的商业模式。其中，风险管理者尤其关注企业的使命、愿景和价值观，因为不同的使命、愿景将决定企业会面临哪些方面的风险，不同的价值观决定了不同的风险偏好。而合规管理者往往关注企业在内外部边界的限制内，要采用怎样的商业模式。治理层和业绩负责人将结合内外部面临的风险、机遇以及合规要求，制定或调整企业的使命、愿景、价值观和商业模式，如图1.4所示。

2．商业模式细化并保证经营计划贯彻执行

如果把企业比喻成一艘巨轮，上一个环节明确了航行的目的地、方向和安全航行的理念，接下来就需要制订航海计划，并且在航行中确保不偏离航线。在此环节中，合规管理者将为企业划定合规边界；业务人员在运营过程中，需要不断审视、均衡风险与回报；审计人员需要确保企业各个单元的执行情况与计划或规定相符。这就好比在航行中，要不断地根据天气、补给等状况调整航速和航线，同时还要保证船员各司其职，巨轮才能正常行驶。商业模式细化情况如图1.5所示。

3．管理不确定性(威胁和机遇)

在海上航行，难免会遇到狂风暴雨的恶劣天气，甚至遭遇船舱漏水的重大危机，也可能会误入布满暗礁的危险海域，但也有可能遇到与你同向的季风和暖流。企业也是如此，尤其是在如今复杂多变的商业环境中，管理不确定性成为GRC的核心职能。当威胁出现时，风险管理者会迅速采取措施进行应对；当机会来临时，也会提醒管理者抓住机遇。有时，业务人员为了完成业绩目标，想要采取非正常的方式行事。此时，合规管理者就会出手阻拦，防止企业发生违规事件。审计人员会继续检查管理和业务过程中的缺陷，并确保发现的问题得到整改。管理不确定性如图1.6所示。

4．综合审视绩效、风险与合规状况

在将风险、合规与绩效分开管理的企业中，这几个方面的负责人员将以各自的口径分别汇报相关信息，决策人员和管理人员难以获得全面的信息，也难以将这些信息以统一的口径关联起来。而在GRC成熟度较高的企业中，绩效、风险与合规的信息将汇总到统一的记分卡上，对绩效的预估是综合了风险水平、合规情况的信息后得到的更真实、更全面、更准确、更及时的结果，这样决策者可以基于综合信息做出更科学、更有效的决策。综合审视情况如图1.7所示。

5．帮助企业实现“有原则的绩效”目标

最终，在GRC各个角色的齐心协力下，企业在实现绩效目标的同时，也有效管理了威胁和机会，并没有发生重大的违规事件，企业的经营始终处于安全、稳定、持续的良性运行轨道上。GRC体系带来的整合性及透明性，不仅让鉴证工作更高效，而且提高了资源配置效率，让企业更有竞争力，让企业更加健康地发展。帮助企业实现目标如图1.8所示。