3.3 GRC成熟度的评估流程
3.3.1 评估前的准备
企业可以将评估作为一个“项目”来对待。在实施GRC成熟度评估前需要进行如下准备,以提高评估的可行性和成功率。
1.定义评估范围
在实施评估前应首先形成《评估范围说明书》。在《评估范围说明书》中,应详细阐述评估的目的,明确开展评估需要哪些部门、哪些人员的配合,各个业务部门或领域需要在什么时间段完成哪些工作,以及评估结果将会应用在哪些方面等,这样做的目的是让参与评估的人员明确知道评估工作的重点。
2.获得评估相关人员的支持
在启动评估前,必须得到相关人员和资源的支持,尤其是管理层的支持,例如董事会、公司高层以及基层员工等。获得董事会和公司高层的支持不仅能够得到实施评估所需的资金和人员,而且能够让员工更加重视评估这项工作。获得基层员工的支持能够最大限度地降低在评估实施过程中的阻力,保证员工的积极性。
3.3.2 评估实施
在做好评估前的准备工作后,就可以准备实施了。本书给出一个参考流程以帮助企业更好地理解如何开展GRC成熟度评估。
1.制订评估计划
与一般的项目类似,在进行成熟度评估前也需要制订计划。评估计划中要详细阐述所需的资金、资源和人员、评估项目推进的时间节点和里程碑、评估项目汇报频率和汇报内容等。由于成熟度评估可能是由多个部门在多个流程中实施的,需要大量的配合与协调,因此必须在评估实施前与各业务领域的管理人员进行协调,保证相关人员对评估目的有一致和深刻的理解,而不是在评估计划确定之后才告知对方,这样会让对方感到非常被动。
2.设计评估指标
评估指标的选取是整个评估项目中最关键也是最难把握的一个环节,由于不同企业所处的商业环境不同,面临的问题和挑战也不同,需要评估的侧重点也存在差异,因此很难将一套放之四海而皆准的指标体系应用于所有企业。企业可以按照3.2.2章节中阐述的步骤选取或设置备选指标。
3.筛选评估指标
设计的备选指标不能直接用于评估,还应对每个备选指标进行全面考察,以保证每一项指标都能为企业传递有用的信息。从长期来看,指标的考察和筛选是一个反复迭代的过程,需要在与利益相关方不断交流的基础上修改和更新。关于如何考察指标是否合适,英国的一家机构——英国标准研究所(British Standards Institute)给我们提供了参考方法,该机构针对每套指标列举一个清单,清单的内容一般包括以下方面。
(1) 这套指标能够向评估者传递怎样的信息?这些信息有什么意义?
(2) 这套指标是否容易理解?评估者是否需要花大量时间决定提交的报告应该包括哪些内容?
(3) 这套指标是否能明确地让我们理解应该采取的行动?
(4) 这套指标是否包含利益相关者关注的全部核心问题?
(5) 这套指标是否存在漏洞?
(6) 这套指标是否比评估者当前正在使用的指标体系更好?
通过回答这些问题,指标设计者和筛选者能够更加全面地审视指标体系,剔除多余指标同时查漏补缺,避免在花费了大量精力进行评估之后却不知道这些结果可以用来做什么。
4.设定指标目标值与上下限
在指标经过审核之后,评估者还应该为每项指标确定目标值,也就是希望这项指标达到或超过的具体结果。由于不同管理者对优先事项的看法不一样,他们对指标的目标值也会有不同的偏好。例如,最关注利润的管理者可能会将财务指标作为最关键的指标,如利润率等,并给这个领域的指标设定相对较高的目标值;而最关注合规的管理者则可能把与合规相关的指标看得最重,如当年企业收到的举报信息数量,但对于财务指标目标值的要求则不会太高,只要达到一般水平即可。因此,在设定指标目标值时,必须要充分考虑企业目标进而综合性地给出合理目标值。除了指标的目标值之外,还应该设定指标的上下限,以确定何时应当发布预警或进行激励。
5.明确数据收集规范与报告要求
完成指标详细信息的设定后,下一步要关心的就是确保指标数据能够被可靠地收集并满足报告方面的要求。数据的一致性和准确性是这部分工作成功的关键。在实践中,有一些做法有助于提高获取数据的一致性和准确性,这里我们简单地介绍几种常用做法。
1) 了解信息来源的可靠性
为了保证报告的信息能够与其他时间段的同类信息进行比较,非常关键的一点就是要了解数据的来源,保证来源的可靠性和一致性。通常情况下,人们会认为数据质量才是最重要的,但是在长期和反复的评估过程中,即使某些来源的数据质量并不是最高的,我们也需要保留。为了保证数据间的可比性,我们有时也必须放弃一部分高质量的数据。
2) 界定责任分工
任何一个收集数据的流程都可能要收集多项指标数据,因此有必要为每项指标数据的收集工作指定具体责任人,并明确每个责任人在数据收集工作中的责任分工,以确保最终得到的数据是按照规定的流程收集而来的。除此之外,数据收集的责任人还应对指标和收集过程进行监控,一旦数据质量下降或收集过程出现问题,责任人应及时发出警报,告知相关人员该指标已无法实现最初设定时的目标。
3) 明确汇报要求
对数据进行评估的一个主要目的就是要将发现的问题形成报告以帮助企业改进,规定所提交报告的要求有助于保持数据信息的一致性和准确性。例如,在确定汇报要求时,应该考虑报告中要包含哪些评估结果、报告的频率、报告采用的格式(纸质报告、口头报告、电子报告等)、评估结果是绝对值的比较还是相对值的比较,等等。除了格式方面的信息外,还需要确定报告中应当加入哪些附加信息、图例或者解释文本。
4) 一致的汇总和统计口径
在动态的商业环境中,确定可以应用于整个企业的汇总和统计方法是一项重要挑战。如果一项指标需要经过多次计算获得,那么执行统计的人员必须了解计算过程中每一个变量都代表什么,以及选择该变量而非其他变量的原因是什么,因此计算过程的每一个组成部分都应该在数据收集流程中得到解释。
5) 理解参数和数据收集流程
除了在给出指标结果的过程中要使用同样的计算方法外,数据收集方法本身也要保持一致。例如,选取的数据应当来自每个时段的某个特定日期或特定时间,这意味着每次进行评估时,数据的来源都是可以比较的。如果一个指标数据是企业每月都想知道的,那么在设计数据收集方法时也应当以这个频率来进行,假设第一次收集它是在某月的第5天,那么下一个月最好也是在当月的第5天收集这个数据。此外,数据来源与汇报的时间差也是在设定数据收集流程时应该有所关注的,它会影响所提交报告的准确性。例如,某个指标需要出现在企业年报中,而要得到这个指标需要连续6周的数据,那么在设定数据收集流程时就应该预留出适当的时间,以保证在提交报告前能够得到准确的结果。
在评估中一般有两种收集数据的方式,即连续监测和定期评估。其中连续监测要嵌入到组织的运营活动中并实时进行记录,这种方式能够连续或频繁地捕捉相关信息,监测业务活动。最有效的连续监测能够实时发现违规行为并及时对环境变化做出动态调整,这种方式对技术的依赖程度较高。定期评估则适用于管理人员定期进行“深度调查”,也是比较常见的一种方式,从这个角度来看,定期评估更可能与战略和年度计划等产生联系,而非日常运营。企业应该根据实际需求灵活地运用这两种方式。
6.验证数据收集流程
在评估指标与每项指标的数据收集方法确定之后,管理人员就应当对每一项数据收集流程进行验证测试。具体来讲,测试至少应当实现以下4个作用:①确认每一项指标所需的数据都能够获得;②核实获得数据的准确程度;③发现数据收集流程可以改进或需要修改的地方;④了解数据收集与报告的成本。
7.指标分析
在获得了设定指标的评估结果后,就可以利用获得的数据分析它们表达了什么含义以及评估结果是否与现实相符。有很多工具可以帮助开展这项工作,如描述性统计、直方图、线型图、散点图等。需要注意的是,对于跨国企业而言,在将评估标准、指标和数据收集方法向全球进行推广时,必须首先考虑是否有必要将这些内容进行本地化调整。
8.设定基准值
在确认了指标的有效性并形成了可行的评估办法后,就可以开始收集第一组指标。这组指标提供的是基准值,以后每一次收集的新数据就可以在此基础上进行比较工作。
9.记录评估相关信息
每次进行评估时,评估指标都要记录存档。一个标准化的存档格式有助于保持数据的一致性,并让工作更容易进行。为了更好地落实这项规定,在评估开始前可以为参与评估的所有人员提供评估项目的介绍以及培训,以便他们能够了解自己应如何参与评估,这样即使更换了参与评估的人员,也能够保证整个评估过程的一致性。
10.评估过程信息化和自动化
在数据的收集和分析环节上,信息化和自动化能够提供很大的帮助。实施评估的团队应当考虑信息收集、汇总、分析和报告能在多大程度上做到自动化,特别是那些容易出现人为差错的地方,自动化能够最大限度地消除由于人为操作带来的失误。