1.3 GRC体系交付物

完整的GRC管理体系包括目标、原则、框架、能力、技术、文化等多种要素，在这些要素的共同作用之下，GRC管理活动得以顺利开展。本节将详细介绍实行GRC管理预期可获得的交付物，以及每类交付物的作用和基本内容，便于更好地理解GRC管理体系将给企业带来的收益。此外，这些交付物也能作为评估企业GRC成熟度的重要参考。

1.3.1 GRC交付物的作用

GRC是对治理、风险、合规进行系统性融合的管理体系，它的管理活动也会形成一系列可见的交付物。例如，在内部控制中有一个核心交付物，即内部控制矩阵，它是对企业的内部控制进行系统性整理的成果，用以详细地记录企业控制活动的关键属性信息，帮助内控的实施者、管理者、监督者了解、执行和检查控制活动。与内部控制所不同的是，GRC的核心交付物是由很多不同类型的文件共同组成的，按照交付物的作用和形式，我们将这些交付物分为授权、描述、内部标准、矩阵、计划、报告和职位声明7类(详细内容见章节1.3.2)，它们主要有以下4方面的作用。

1．帮助企业在内部就GRC的相关问题达成共识

企业是由许多部门和员工组成的有机整体，由于每个组成部门看待事情的视角不同，对于同一个问题可能会有许多种不同的理解和认识，进而导致各部门相互间行动不协调，阻碍企业发展。尤其在方向和目标的问题上，一旦没有达成共识，不同部门的做法很可能南辕北辙。交付物能够将重要的事情以可见的形式记录下来，便于在企业内部形成共识。

2．为员工或组织设定行为规范

GRC活动的开展必须按照一定的规则进行，明确权利与义务，这不仅能够提高工作效率而且能够防止由于界限不清引发的冲突和纠纷。有很多GRC系列交付物都体现了这方面的作用，例如职责分离说明书、角色/岗位描述以及业务连续性计划等。

3．明确行动计划

计划是GRC系列交付物中的很重要的部分，不仅能够帮助行动者更好地规划做事的顺序，而且便于衡量和考核行动的效果。按计划行事在一定程度上也能帮助企业规范化地开展GRC活动。例如，在信息管理计划中就需要阐述在整个信息生命周期中如何规范地采集、使用、传送和储存信息。

4．简化操作

与内部控制矩阵的作用类似，形成可见的GRC交付物的目的之一是将规律性的东西进行总结，以便在未来的工作中能够作为辅助工具，降低工作的难度和复杂程度。例如，企业服务热线常见问题描述，就要求详细描述服务热线中经常提出的问题以及首选的指导方案，在应对类似突发事件时可以以最短时间、最有效的手段去处理。

1.3.2 GRC交付物列表

本节将详细介绍授权、描述、内部标准、矩阵、计划、报告和职位声明7类交付物，并对每项交付物的名称和用途进行说明，具体如表1.1、表1.2、表1.3、表1.4、表1.5、表1.6、表1.7所示。

1.3.3 重要交付物详解

由于GRC活动涉及的范围很广，其交付物的数量也较多。在这一系列交付物中，我们认为其中有9项是较为重要的交付物。这9项交付物是在企业开始推行GRC时就一定要做的，它们能够保证企业GRC活动与环境、文化以及利益相关者的要求相对应，进而实现“有原则的绩效”。

1．职责分离说明书

职责分离说明书是用于说明某些角色或岗位的责任与其他角色或岗位的责任存在差异的文件，与企业中的《职责手册》类似，但在《职责手册》的基础上还要求针对每个GRC角色建立完整的问责机制。

职责分离说明书主要有以下两个方面的作用。

一是分配GRC职责，明确每个GRC角色的岗位职责和权力边界。在职责分离文件中，企业必须详细阐述该角色的上下级关系、岗位职责、权限以及问责机制，防止在出现错误时难以确定责任归属方。为了减少冗余，企业在进行GRC改革时可能会对某些GRC角色进行整合和分离，需要注意的是，职责范围的设计必须与核心业务流程相协调，以避免对既有核心流程造成负担。

二是明确分离企业中的特定角色，以防范可能出现的欺诈或利益冲突。例如，企业务必要分离涉及揭露不当行为的角色(如合规人员、内部审计)，与涉及对组织实施保护的角色(如部门经理)。在现代公司治理结构下，大多数企业的所有者与实际经营管理者都是分离的，管理者可能做出违背股东利益的决策，蚕食企业资产，而合规和内部审计则能及时发现存在的问题。如果企业不能明确分离这两类角色，实施者和监督者由同一角色承担，企业的发展必会受到极大的阻碍。

2．角色/岗位描述

角色/岗位描述是对特定角色或岗位的责任和期望的详细说明，与企业中的《岗位说明书》类似，主要包括两部分内容：一是岗位描述，说明岗位设置的目的、基本职责、职责目标和业绩衡量标准等内容；二是岗位的任职资格要求，包括胜任该岗位所需的知识、技能、能力以及人员培训需求等内容。

在实施GRC过程中，企业应对以下所有关键岗位进行角色/岗位描述。

● 董事会及董事会成员。

● 领导者。

● 管理层。

● 执行角色，包括：

风险管理者；

项目/计划管理者；

合规审查/监督者；

调查与问题解决人员；

绩效考核人员；

沟通负责人；

信息管理者；

技术负责人；

审计人员。

角色/岗位描述不仅为招聘和录用员工、制定薪酬政策提供了依据，也便于员工对自身进行目标管理，制订成长与晋升计划。

3．政策和相关过程矩阵

政策和相关过程矩阵是将各项政策与其属性、相关流程、培训、报告或其他合规证据关联起来的表格。这样做的目的是能够正式确定并记录政策，确保政策的适用对象能够了解并获取相关政策信息，而不是只有在出现违规行为后才发现存在某些“秘密政策”，同时便于理清政策实施脉络，避免政策被“束之高阁”。

例如，企业发布了新的报销政策，对费用报销时限进行了规定，以防止费用报销滞后导致不能按照权责发生记录业务，造成会计信息的失真。在新的政策出台后，企业不能只是简单地将这条规定填加到政策文件中，而是需要保证所有与该政策相关的人员都能了解由于这项政策的出台所带来的工作上的改变。例如，对财务人员而言，在审核报销材料的时候就需要关注提交的时间，相关部门甚至需要将这一环节整合到操作流程中去，以避免出现差错；对销售人员而言，则需要改变其固有的报销习惯，要按照规定的时间进行报销，否则难以拿到报销的费用；对负责培训的人而言，则需要制订针对这条政策的培训计划，保证所有相关人员都了解执行这项政策后所发生的改变。

4．风险优先矩阵

风险优先矩阵是将各项风险和其属性进行关联的表格(属性的具体内容见章节1.3.2)。风险优先矩阵是GRC活动的一项关键交付物，它有以下两个方面的作用。

一是通过对风险来源、影响、持续时间等属性的分析，将风险按照优先级进行区分，保证企业资源得到适当分配。这项交付物要求组织对当前以及潜在的风险具有足够清晰的认识，并能理解当前以及未来可用的资源有哪些。资源配置的方式是动态调整的，组织应使用相同的方法对同类风险进行评估，将资源投向那些组织无法承受的威胁或超出组织容忍程度的风险领域，当该风险水平已经降至容忍范围内时，这方面的资源投入便可相应减少。例如，某一企业连续发生业务信息泄露的事件，严重影响了企业形象并危害企业信息安全，该企业迅速在信息安全建设方面投入大量资源，成立了专门负责信息安全的信安部，购置安全级别更高的硬件设置，并重新规划建设了保证信息安全的防护系统，当信息泄露的情况不再发生，此前在信息安全方面投入的大量精力可以逐渐转移到其他领域，只需投入一定资源保证该部门正常运转即可。

二是根据风险优先矩阵可设定一系列关键风险指标，以保证对潜在的高等级风险、剩余风险和可接受的机遇的监测，以使发现信息的成本最小化，提高应对效率。值得注意的是，组织在监测风险的同时，还应积极地与利益相关方进行互动，了解利益相关方的最新动态，因为他们可能会影响组织的运营管理，并因此给组织带来风险。

在风险优先矩阵完成后，组织还应重视其应用情况。组织应对董事会、管理层、员工和扩展型企业进行具有针对性的培训，以确保当组织面临威胁或机遇时，他们能够以规范的操作、更高的技能水平、更快的响应速度进行处理。

5．风险/控制矩阵

风险/控制矩阵是将风险关联到相关的预防性、发现性和响应性行动和控制手段的列表。风险/控制矩阵能够清晰地回答有哪些风险、有哪些控制措施、谁对流程负责、控制设计是否有效等问题，因此风险/控制矩阵中至少应包含以下要素。

● 流程名称；

● 风险描述；

● 控制点；

● 标准控制活动；

● 现有控制措施；

● 控制方式；

● 控制频率；

● 控制类型；

● 控制重要性。

例如，在企业销售商品时，客户有时不会当即付清货款，存在赊销的情况。销售员在面对这类客户时，需要对客户的信用额度进行控制。这个流程的控制点就在于客户的信用额度能够真实地、及时地反映客户实际情况。可能存在的风险是销售员没有按规定定期对客户进行信用评估，无法做出准确判断，由此出现坏账。为了规避这一风险，企业要求的标准控制活动是由管理层定期检查并复核客户的信用额度，以及建立并完善客户档案中有关信用额度决策的支持文件，如客户的财务报表、还款记录等。这种由人来进行控制的方式属于人工控制，适于在业务发生前进行控制，属于预防性措施。由于该流程可能导致坏账，对组织盈利能力造成了较大影响，故这项控制措施属于关键性控制，应该密切关注。

6．GRC战略计划

GRC战略计划是详细说明建立和维护组织使命、愿景所需的能力及其结构、流程、技术、资源、目标和衡量方法的文件，属于综合性很强的交付物。GRC战略计划是一个自顶向下的计划类文件，它指明GRC发展的方向，陈述组织使命和愿景，将其转化为具体可行的经营目标，告诉组织要想实现这些目标相应地需要哪些能力，并设定对组织绩效进行衡量的策略。

GRC战略计划最关键的作用在于帮助GRC参与者把握管理活动的方向。GRC是组织管理活动的一部分，对治理、风险、合规进行融合统一的目的也是帮助组织高效、可靠地达成目标。GRC战略计划是由一系列子计划组合形成的，如财务计划、技术支持计划、鉴证计划、执行计划等，它们共同帮助组织实现“有原则的绩效”。

7．GRC整合计划

GRC整合计划是详细说明为了在应对不确定性、保证诚信行事的同时切实可靠地完成目标而分配的流程和资源的文件。通过前文对GRC的介绍，可以了解GRC并不是一个新兴独立的部门，而是对组织原有流程和资源的重新调整和融合，这个过程可能涉及对原有流程进行增加、删减、合并、拆分等多种处理方式，也会对以前分散、割裂的部门设定统一的规范和要求，对不同部门间信息的沟通和报告制定标准的操作程序和规范。

GRC整合计划的应用场景既可以针对企业全年，也可以针对某个专题项目。例如，当外部环境发生改变或企业经营目标发生改变时，企业可能需要进行一系列跨部门的调整，此时GRC整合计划就是为这些调整提供的全面指导文件；当企业需要应对一些临时性的事件时，需要多个部门的相互配合，此时GRC整合计划就是针对这个项目的资源协调计划。

8．结果和建议报告

结果和建议报告是对有关活动结果的陈述或分析以及改进建议的介绍或声明，是对组织开展GRC活动的结论性报告。它可用来反映GRC项目的运营情况，帮助企业有效、高效、敏捷地认识到值得借鉴的方面以及存在的问题。在形成结果和建议的过程中，企业应该定期获取利益相关方对公司治理、绩效管理、风险合规以及不利事件的认识和理解，创造更多的机会了解利益相关方的感受，以便帮助内部人员形成更加全面的结果和建议报告。不同内容或者不同受众的结果和建议报告应该采用统一的标准，因为这些信息会分别传递给其他相关部门进行处理和改进。

审计报告就是一种与结果、建议报告类似的文件，是由注册会计师出具的关于企业会计的基础工作(即计量、记账、核算、会计档案等会计工作)是否符合会计制度、企业的内控制度是否健全等事项的报告，是对财务收支、经营成果和经济活动全面审查后做出的客观评价。

9．道德决策指导方针

道德决策指导方针是在面临道德困境时，组织为确定适当的行动方针而推荐考虑的一些适用的要求、政策、理念和其他因素，是推动企业文化形成的重要交付物。企业面临的内外部环境变化是持续的，尽管我们希望通过对风险优先矩阵和风险控制矩阵的梳理，来管理尽可能多的风险，但企业仍有可能在某种情境下找不到明确的指导方针。正如法律需要将道德作为其补充，来约束社会成员的行为一样，企业也需要道德决策指导方针来帮助其处理一些未知的或新兴的问题，其目的是帮助企业员工建立为企业长远考虑的价值观，即使在没有明确规定的情形下，每位员工仍然会按照一定的准则来规范自己的行为。