2.2 对齐能力

2.2.1 对齐能力概述

“对齐”是指企业绩效、风险管理和合规遵从的目标、策略、决策标准、活动与控制要与环境、文化和利益相关者的要求等相一致，保持对齐。

“有原则的绩效”需要“对齐”。企业应对机会、威胁、要求的决策要与环境、企业文化及决策标准对齐；合规遵从活动要与强制性要求与自愿性要求保持对齐；绩效、风险和合规指标(KPI、KRI和KCI)要与目标成果以及决策标准保持对齐。如果不对齐，各行其是，各自为政，甚至南辕北辙，那么各自的执行力越强，对企业伤害越大。对齐的目的就是让大家朝着一个方向，心往一处想，劲往一处使，合力实现战略目标。

企业的治理层需要为管理层提供指导，确保能力的设计符合决策标准。确定并定义风险能力、风险偏好、风险容忍度以及用于各评估过程的其他决策标准，能够进一步推进企业出台统一的绩效、风险管理和合规管理办法、指导管理层哪些行为是适当的。

企业需要考虑在既定策略实施过程中，可能影响目标达成的各种势力、事件和状况，同时评估风险、回报和合规的固有水平及剩余水平(即采取有关活动与控制之前与之后的水平)。只有这样才能确保所制定的活动与控制切实合理，使企业绩效和合规水平达到期望值，同时有效控制风险，使其维持在既定的风险能力、偏好和容忍度以内。

企业的规模、文化和实施范围(企业级、部门级、项目级)不同，对齐的具体内容也会有所不同。但无论哪种情况，以下几点都非常重要。

● 根据企业的使命、愿景、价值观和决策标准(如风险偏好、容忍度和能力)确定决策方向。

● 确定与决策标准相一致的目标及实施策略。

● 识别并监测机会、威胁和要求，并评估其对企业目标的影响。

● 配置必要的资源和资金，清除妨碍目标达成的程序及其他障碍和限制，推动计划的实施。

● 对于如何形成各方可接受的决策标准，为管理层提供管理方针和指导。

● 确立并传达贯穿企业上下的企业绩效、风险管理和合规遵从的高层次目标。“对齐”能力包含方向、目标、识别、评估、设计5个要素。

2.2.2 对齐能力的组成要素

1．方向

“方向”要素是指通过制定清晰的使命、愿景、价值观、高层次目标、高层次政策以及决策制定指导方针，为企业提供决策方向。

● 定义使命、愿景和价值观——创建一份正式声明，阐述企业要做什么、企业追求什么，以及管理当局同意的、企业秉持的并应用于决策的核心价值观。

● 分析机会、威胁和要求——对识别出的机会、威胁和要求进行高层次分析，以便定义高层次目标和策略。

● 定义高层次目标——定义高层次目标及相关指标，供管理层设定详细的目标和策略。

● 定义管理边界——制定指导方针，制约和引导管理层的行为，以帮助其设定详细的目标和策略。

● 定义决策标准——定义选择目标和策略的标准、优先序列排列指南、风险/回报权衡标准(例如风险偏好、容忍度和能力)以及合规标准。

2．目标

“目标”要素是指制定与决策标准相一致且适合既定指引体系的一套平衡的、可量化的目标。

● 运用决策标准——企业目标应当与决策标准相一致，根据其所声明的使命、愿景、价值观和指引体系，并综合考虑可接受的剩余风险、可期望的绩效、可落实的要求。

● 制定附加的决策标准——在某些情况下，为了实现目标，需要制定附加的决策标准来指导行动。

● 考虑目标的关联效应和竞争效应——在公司层面上全面地评估、思考目标间的相互影响；根据决策标准判断有些目标是否优先于其他目标。

● 记录目标——清晰地表述并记录目标，以便包括负责实现目标的内部管理者和内外部利益相关者在内的有关各方都可以查看和使用。

3．识别

“识别”要素是指识别可能导致对实现目标构成期望或不良影响的因素，以及可能迫使公司以特定方式开展经营的因素，即识别机遇、威胁和要求。

● 审查企业能力——识别和评估现有能力(人员、流程和技术)及其对目标实现能力的影响。

● 识别影响因素——识别可能会对企业提出要求或促进/阻碍目标实现的内外部因素、事件和状况，必要时可能需要修改目标或战略方向。

● 识别机会、威胁和要求——识别影响目标实现的机会、威胁以及强制性和自愿性要求。

● 识别关联及趋势——识别各机会、威胁和要求之间的关联及其内外部趋势。

4．评估

“评估”要素是指运用定量和定性的决策标准，分析应对机会、威胁和要求的当前途径和计划途径。

● 分析风险/回报——衡量和评估尚未采取活动与控制的影响(固有的)以及采取活动与控制之后，机会和威胁的影响情况(剩余的)。

● 分析合规性——衡量和评估当前以及采取活动与控制之后的合规水平。

● 确定对威胁、机会和要求的管理优先级——确定机会、威胁和要求的优先序列及分类，以确定应对方法和资源配置。

5．设计

“设计”要素是指制定战略和战术计划，以求在管理不确定性并保持正直诚信的同时达成既定目标，同时与决策标准保持一致。

● 探寻应对要求的可选方案——当前合规水平无法接受或现有活动与控制并非最优选择时，探寻应对要求的其他活动与控制。

● 探寻应对风险/获得回报的可选方案——当前剩余风险和/或绩效水平无法接受或当前途径尚有改善空间时，探寻应对风险/获得回报的替代活动与控制。

● 设计风险转移和风险理财策略——设计一套符合本公司风险决策标准(风险偏好、容忍度和能力)的风险转移和风险理财手段及途径。

● 确定剩余风险、回报和合规的预期水平——评估在所计划的活动与控制建立并有效运行后，确定剩余风险、回报和合规的预期水平，以此审查替代方案，并选出最佳方案。

● 应对高等级的固有风险——明确专门应对高等级固有风险的当前和计划活动与控制，如果该活动或控制无法有效执行，公司将会暴露在无法接受的高风险之下。

● 制定关键指标——制定用于告知管理层活动与控制有效性的关键指标，包括回报、风险和合规水平。

● 建立信息管理框架——管理信息，使之安全、契合、可靠并在需要时可以获得。

● 建立技术架构——评估并整合技术的使用，为GRC能力提供支持。

● 制定整体计划——制定相应计划，获得治理和鉴证所需的资源，并管理可以满足回报、风险及合规要求的方式方法。

2.2.3 对齐能力的建设过程

领导者必须将企业的目标与使命、愿景和价值观对齐，但这还不足以保证成功。在目标和战略方面还必须考虑企业运作的业务环境和内部的治理、风险、员工和道德文化操守等因素。风险管理和合规必须与绩效目标对齐，从建立一致性入手，然后才能制定、保持和实现目标，同时管理不确定性并保持正直诚信。企业可以从以下几个方面建设GRC对齐能力。

1．设定绩效路线的方向

各级领导应阐明“有原则的绩效”的目标，并且在口头上和行动上都要明确实现的路径。将管理不确定性和保持正直诚信的目标整合到既定的目标和决策指南中，如图2.7所示。

关键步骤：

(1) 在确定决策指引的同时准备好关于风险偏好、容忍度和承受度的说明，这个说明用于制定目标和战略。

(2) 对内外部环境的影响因素可能导致的后果进行分析之后，再设定或调整目标和战略。

(3) 根据规定的使命、愿景和价值观，确保目标是可衡量的、可接受的，并与风险、绩效、合规标准保持一致。

(4) 当在全公司范围内制定详细的目标和策略时，企业应发布限制和指导管理的说明。

2．评估威胁、机会和要求

有很多因素会影响企业实现既定目标的能力，或者可能迫使企业以自己特有的方式行事。建立一套将绩效、风险、合规整合的并与既定目标对齐的管理体系是非常重要的。企业必须先确定管理活动和控制的优先序列，如图2.8所示。

关键步骤：

(1) 定期审视对内外部环境的评估结果，然后识别需求、发现阻碍目标达成的威胁或凸显出的有利于目标达成的机会。

(2) 评估现有的能力(人员、流程、技术和信息)，以及它们如何影响实现目标、管理不确定性和保持正直诚信的能力。

(3) 识别机会、威胁和需求之间是如何关联的，并确定它们的优先次序。

(4) 评估当前和计划的方案来应对威胁、机会和需求，如有必要还需考虑提出修订目标和调整战略方向的要求。

3．制定整合的战略和战术计划

每一个因素的变化可能产生不同的影响和潜在的累积效应或连锁反应。确保将每个因素映射到可能受到其影响的管理或业务操作的领域上，这样就能给指定的人提供及时、精准的信息，如图2.9所示。

关键步骤：

(1) 为达成目标并管理不确定性和保持正直诚信，决定采用怎样的战略和战术，这些战略战术也包括风险和合规管理方面的内容。

(2) 根据风险评估结果对目标的潜在影响，设计活动与控制，以响应每个机会、威胁和要求。

(3) 开发关键指标，用来给管理层提供证明活动与控制是否有效的信息，这些信息中也包括风险、回报及合规水平的情况。

(4) 将绩效、风险和合规进行整合并嵌入到业务主线中，将提升整个企业员工的主人翁责任感。

4．确保信息技术及其管理有效支撑目标

信息技术在企业管理中的深入应用，为企业的绩效管理、风险管理和合规管理带来了技术支撑，提供了一个存储所有相关信息的仓库，并满足各种报告要求。有了一致、可靠的信息，将它们作为反映企业中已建立的活动与控制管理情况的指标和信号灯，可以让企业更敏捷、更灵活地应对变化，如图2.10所示。

关键步骤：

(1) 基于优先级和复杂度，评估相关技术适合在哪些地方应用，并建立再评估的触发点。

(2) 在建立GRC流程或清理现有的管理办法之后，确定现有技术所需的变化(或如何使用它们)，以及需要增加或替换的GRC流程或管理办法。

(3) 建立信息与沟通的计划和制度。

(4) 将计划与变更管理活动相融合。