2.3 执行能力

2.3.1 执行能力概述

执行能力是指应用预防性、发现性和响应性活动与控制，通过鼓励期望行为或事件来应对威胁、机会和要求，并防止不良行为或事件的发生。

为实现“有原则的绩效”，企业必须采取一定的活动与控制，确保其在追求目标的同时，能够管理不确定事件，并保持正直诚信。企业必须积极鼓励有利于目标实现的行为和事件，并设法避免一切不利于目标实现的因素。企业还必须能够检查目标实现过程的进展，判断不良行为、状况和事件是否已经发生或可能发生。最后，企业必须对期望及不期望的行为、状况和事件做出合理应对，其中包括实施惩戒措施、强化积极行为，以及在针对活动与控制的设计有效性或执行有效性检查中发现的不足进行分析并提出改进意见。

活动与控制通常可分为4种类型，包括流程类、人力资本类、技术类和物理类。企业如何将预防性、发现性和响应性的各种活动与控制进行组合和分层，主要取决于企业觉察到何种机会、威胁和要求，以及基于各种评估和考虑因素，它们对企业的重要程度如何。如今，许多企业手握昔日不可比拟的技术，数据收集、整理、分析能力得到显著提高，这有助于发现、预防甚至预测各种事件和行为，便于随后制定不同的应对活动与控制。

下列关键活动与控制基本上适用于每一个企业，它们通常依托于多种不同的技术。

● 预防性活动与控制：包括政策、沟通、教育、激励。

● 发现性活动与控制：包括通知和询问。

● 响应性活动与控制。

“执行”能力包括控制、政策、沟通、教育、激励、通知、询问、响应8个要素。

2.3.2 执行能力的组成要素

1．控制

“控制”要素是指建立综合管理、流程、人力资本、技术的活动与控制，以服务于治理、管理和鉴证活动。

● 制定预防性活动与控制措施——鼓励期望行为或事件，防止不良行为和事件的发生。

● 制定发现性活动与控制措施——确定目标的推进情况，明确期望与不期望的行为、状况或事件是否已经发生或可能发生。

● 制定响应性活动与控制措施——从不良行为、事件和状况中恢复过来，纠正已发现的不足，执行必要的惩戒，表彰并强化期望行为，防止未来出现不期望的行为或状况。

2．政策

“政策”要素是指实施政策及相关程序，以应对机会、威胁和要求，并为治理层、管理层、员工队伍以及扩展企业的行为设定明确的期望。

● 制定行为规范——与适当的利益相关者共同制定行为规范，其中包括企业使命、愿景、价值观、关键政策、期望的商业行为等。

● 建立政策框架——建立用以识别、创建、审批、执行及更新政策的整体框架。

● 识别并制定政策——运用预防性和指导性政策组合，以应对机会、威胁和要求。

● 实施并管理政策——实施、沟通、管理、执行并审核政策，以确保政策的运作具备并保持相关性。

● 拥护政策——大力支持企业政策和标准，确保利益相关者了解领导层对落实政策的决心。

● 制定并实施道德决策准则——制定并拥护决策准则，规定在出现行为规范、政策或程序中没有明确涵盖的情形时应如何行事。

3．沟通

“沟通”要素是指根据强制性要求或履行职责和端正态度的需要，与恰当的受众之间传达并接收相关、可靠且及时的信息。

● 制订报告计划——制订相关计划，在确保符合强制性报告要求的同时，向管理层、治理层和利益相关者提供其所期望的报告。

● 流程架构——确保执行相同或相关流程的活动与控制的负责人能够传达并接收到履行其职责的必要信息，并且采取与决策标准相一致的行动。

● 制定沟通规范——定义企业如何管理正式报告以外的相关沟通活动。

4．教育

“教育”要素是指教导治理层、管理层、员工队伍和关联公司，怎样的行为是企业所期望的，同时，提高其必要的技能，明确其动机，帮助企业应对机会、威胁和要求。

● 制订宣传和教育计划——制订有关计划，教导治理层、管理层、员工队伍，扩展企业认知各自的责任和企业所期望的行为。

● 制订课程计划——为治理层、管理层、员工队伍制定针对其工作的课程和相应的培训方案，帮助其履行自身职责。

● 制定或获取内容——制定或获取当前课程或教育计划中未涉及的内容，修改当前学习内容中任何需要更新的部分。

● 实施教育——实施并管理教育方案，确保各目标受众均达到学习目标，并能将知识和技能应用于工作之中。

● 提供服务热线——建立有关途径，使员工及其他利益相关者可以寻求对后续行为的指导意见，提出一般性问题，并且在要求或允许匿名的情况下可以匿名。

● 提供配套支持——建立有关途径，使员工可以在平时的工作环境下获得配套支持。

5．激励

“激励”要素是指实施激励措施，刺激期望行为，并表彰为积极的结果做出贡献的人，从而强化期望行为。

● 定义期望行为——确定期望行为的类型，包括所需的定义、分类和程序，用以识别出谁是为积极结果做出贡献的人以及在发生举报投诉或发现不良行为迹象时，谁来告知本企业的人。

● 基于行为预期决定是否雇用或晋升——定义员工及商业伙伴的工作、职业道路和绩效考核标准时，阐明什么是期望行为，并采用同样的标准决定个人能否晋升。

● 制定并实施薪酬、奖励和表彰方案——制定所有员工、商业伙伴及其他利益相关者的薪酬、奖励和表彰方案，以表彰做出期望行为的个人及单位，切勿奖励不良行为。

6．通知

“通知”要素是指提供多种途径报告目标进展情况以及期望和不期望的行为、状况和事件是否已经发生或可能发生。

● 收集通知——落实通知体系，收集活动与控制的不足、绩效差异、违法事件或嫌疑、违反公司政策的行为，并对察觉到的不道德行为的关注或看法并提出警告。

● 筛选并发送通知——区分通知的优先次序，证实并发送需要处理的通知，不论该通知是通过何种途径接收而来。

● 遵从数据保护要求——确保通知途径符合通知发起地及企业运营所在地的具体要求。

7．询问

“询问”要素是指定期分析并询问有关目标进展的数据和信息以及存在的不良行为、状况和事件。

● 建立多种途径获取信息——定义如何获取利益相关者的意见，了解其对活动与控制的不足、绩效差异、违法行为或嫌疑、违反公司政策的行为以及对察觉到的不道德行为的关注或看法有何意见。

● 建立企业层面的综合调查方法——建立企业层面的调查方法，减轻调查主体的负担，综合审视从利益相关者处获取的信息。

● 建立综合的自我评估方法——建立自我评估方法，将对绩效、风险和合规责任及成果的评估与其他针对管理层的自我评估相结合。

● 通过观察和谈话收集信息——建立通过观察、小组会议、专题讨论和个人谈话收集意见的非正式方法。

● 报告信息和发现——将通过各种询问方法获得的信息和发现告知管理层和利益相关者。

8．响应

“响应”要素是指对已发现或可疑的不良活动、不良事件或能力不足之处设计应对措施，并在必要时予以执行。

● 确立调查流程——制定内部调查流程，处理举报投诉或不良行为迹象，维护对外部询问和调查的响应程序。

● 准备应对危机情况——制定各类危机的应对计划，使中断的业务恢复过来。

● 遵循问题解决流程——解决各项问题，并记录其结果。

● 提高能力——确保流程中信息流动通畅，以识别和纠正活动与控制的不足之处，并进行必要的变动。

● 惩戒和再培训——对个人过失执行一致的惩戒，必要时进行再培训。

● 决议披露——在要求或适当时，向有关利益相关者披露关于调查的决议。

2.3.3 执行能力的建设过程

一般而言，企业都会通过激励期望的和防止不期望的行为和事件，来应对威胁、机会和要求。企业也可以建立这样一套综合的体系，其中包括预防性、发现性和响应性活动与控制，基于战略目标的强大的数据分析支持，风险偏好和容忍度以及由管理层建立的风险决策指引。通过多种活动与控制以及数据分析，企业可以从以下几个方面加强GRC执行能力。

1．预防性活动与控制

“预防性”意味着企业应采取措施或建立控制程序来防止不期望的行为，并鼓励或识别哪些是期望的行为。企业要为此建立相关制度，进行培训、沟通、激励和大量分析，为绩效、风险和合规管理营造有利条件，如图2.11所示。

关键步骤：

(1) 制定相关制度并建立制度管理架构，包括例外情况的处理流程和基于角色的后续执行程序。

(2) 设计培训课程，并通过多种渠道、多种形式、多种教学方法和基于风险的课程，提供合适的培训及教育机会。

(3) 通过多种渠道，在一个确定的模式下，就风险决策指引和期望值进行沟通。

(4) 监测关键指标和持续的运营信息，以确保可以根据风险概况和补救计划，对问题进行及时处理，并对流程和控制措施进行必要的调整。

2．发现性活动与控制

及时发现企业运行情况与期望是相符还是相悖，这与企业积极达成目标是同等重要的。不论是数字化的系统还是人工系统，发现风险中的机遇和威胁，及时感知内外部环境的异常，是实现优异绩效和获得成功的关键，如图2.12所示。

关键步骤：

(1) 对于当下的关注点或者威胁、不期望的行为或事件，制定并建立报告路径，促使个人能顺畅地传递信息。

(2) 通过多种渠道收集内外部信息，以便尽早发现威胁、不当行为或情况以及潜在的机会。

(3) 采用各种可能的技术来发现差异、异常、违规、不当控制等情况，并对可能出现的政策、程序或控制违规要求进行早期预警。

(4) 对信息进行分析评估，跟进机会，解决问题，并根据需要调整控制措施。

3．响应性活动与控制

针对通过预防性和发现性活动与控制收集到的信息，必须进行分析并采取措施。有时，这个过程是流程驱动的；有时，也会建立自动化的技术应答(比如访问控制变更)系统。要确保已经建立和制定了这样一些流程和控制措施，包括调查与事件管理、重新审视风险评估和机会以及管理变更，如图2.13所示。

关键步骤：

(1) 针对被识别出的问题、关注热点和机会，定义并实施分类处理流程。在某些情况下，使用既定的过程和支持技术，可以自动化解决问题。

(2) 建立调查和解决问题流程，确定在流程中使用的关键人员和工具，并保持对每个问题解决流程的审计跟踪。

(3) 在需要或适当的时候，确保向内部和外部的利益相关者及时汇报。

(4) 评估在整个解决流程中所获得的信息，并在必要时调整既定的活动和控制措施。

4．综合分析

对绩效指标进行分析，能够释放结构化与非结构化信息的力量。通过分析来确定优先级并分析趋势，有利于识别导致问题的根本原因，预测行为和情景，从而获得基于风险的决策洞察力。通过已经出现的问题可以预见潜在的影响，可使企业在达成绩效目标方面变得更加灵活，如图2.14所示。

关键步骤：

(1) 建立与战略目标和偏好挂钩的关键绩效指标、风险指标和合规指标，制定搜集数据和分析结果的流程。

(2) 设计信息架构，以支持分析框架，使用可靠的内外部数据集提供与情景相关的洞察分析，以便领导层可以据此采取行动。

(3) 持续对分析框架进行优化，让分析框架源源不断地输出更丰富的信息，这些信息包括未来的发展趋势、新的威胁和机会、当前存在的短板、对未来情景的预测、跨业务边界的根因分析以及更广泛的分析领域和主题。

(4) 与董事会、高管和经营者进行合作，以确保就调查发现的问题进行双向沟通和采取行动。合理运用GRC能力，让利益相关方参与GRC相关流程，可以产生更大的价值。