序3

如何理解GRC

慧点科技在企业管理软件中引入了GRC框架，目的在于通过GRC管理理念的信息化，帮助企业更及时地洞察环境变化、准确地分析内外部风险并把握市场机遇，助力企业更好地实现绩效目标。

GRC涵盖了企业经营管理的各个层面，包括宏观、中观和微观。G(Governance)是指企业要有一个好的治理体系和治理机制，公司治理(Corporate Governance)是格局，是企业经营管理的根基，决定了企业的价值观、经营理念、管理原则，主要解决的是构成企业的多元主体之间的利益冲突问题。R(Risk Management)是指企业要能够抓住机会和避免损失，风险管理是能力，是企业经营工作的着力点和落脚点，决定了企业的业务方向、商务策略、管理重点，主要解决的是企业在波谲云诡的市场环境下如何处理好不确定性的问题。C(Compliance)是指企业要有一套好的制度规则和执行体系，合规遵循是态度，是企业管理工作的着力点和落脚点，决定了企业的文化特点、行为方式、管理方法，主要解决的是企业如何具备高效执行力的问题。GRC是一个相互联系的有机整体，彼此之间可以交叉重叠，但是不能割裂孤立。

公司治理的问题源于构成公司的多元主体利益诉求并不完全一致，大股东、小股东之间存在利益冲突，股东、董事、经理、员工之间存在利益冲突，股东与公司债权人之间存在利益冲突，这些利益冲突通过公司法所规定的股东权利、董事义务、公司资本制度等来实现利益平衡。如果出现失衡，就会导致公司出现方向性的问题。即使管理手段非常先进，如果股东对管理层失去制约能力，就会出现安然、世通这样的欺诈事件，从而导致公司走偏方向，直至轰然倒塌。

风险管理的问题源于市场的不确定性，商场如战场，经常要面对瞬息万变甚至风云突变的形势，在攻城略地时稍有不慎就会损兵折将甚至全军覆灭。风险无处不在，关键是要强身健体，要有适应能力。企业要有洞察能力，理解环境要深刻，要洞若观火而不是坐井观天；要有规划能力，目标设定要明确，要有的放矢而不是进退无据；要有判断能力，事件识别要准确，要一针见血而不是指鹿为马；要有分析能力，风险评价要得当，要恰到好处而不是本末倒置；要有应变能力，风险应对要有力，要对症下药而不是南辕北辙；要有落实能力，控制活动要严谨，要面面俱到而不是大而化之；要有协调能力，信息沟通要流畅，要环环相扣而不是断档脱节；要有奖惩能力，监控考核要完善，要奖勤罚懒而不是是非不分。

合规遵循的问题来自企业的执行力，执行力强不强，关键要看企业是否有章可循、有章必循。这里的“章”，包括法律法规、监管要求、内控规范三个层面，基于此，合规遵循也包括法律合规、政策合规、内控合规三个层面。法律合规和政策合规要求专业人员、专门部门专司其责、重点关注、保证效果，内控合规应融入经营、融入管理、全面覆盖，落实到控制点、控制目标、控制措施，再由点到线梳理控制流程，并通过循环往复进行评价、复核与审计，查找设计缺陷与执行缺陷，从而不断完善、持续优化内部控制体系。

平衡利益冲突、应对不确定性、加强执行力，企业就会安全达成高绩效目标。GRC是企业的经营哲学、管理理念、策略方法的核心框架，大道至简、易于理解、便于操作，如果通过信息系统优化固化为企业经营管理模式、流程和体系，一定会成为企业商场搏击的利器，助推企业迈向成功。

在我负责中国民航信息集团公司的内部控制、风险管理、内部审计、法律事务工作期间，慧点科技与中国民航信息集团公司开展诸多合作，在企业管理信息化系统设计和实施方面为我们提供了很多帮助。中国民航信息集团公司与慧点科技在GRC管理领域的信息化建设中取得了一定的实践经验，同时GRC管理强调的融合统一的方法也在我们的实践中得到了很好的应用。例如，在以风险为导向管理审计信息系统的过程中，把内部控制、风险管理、管理审计、法律事务整合到一个统一的信息平台上，从作为管理重点、缺点、难点的内部控制点入手，点面结合、突出重点、以点带面，由点到线梳理优化内控流程，由线及面扩展覆盖相关管理领域，再由面到体推动完善管理体系，构建了从风险领域到风险分类到风险事件到风险点，连接风险点与控制点，再从控制点到控制目标到控制措施到控制流程的点线面体有机工作体系，形成循环往复、螺旋上升、持续优化的工作机制，在助推企业管理提升的过程中发挥了重要作用。

通过阅读本书，相信读者会对GRC有进一步的理解和认识，并能明确GRC能带给企业的价值以及如何进行实践。相信会有越来越多的企业一起走在“有原则绩效之路”上，发展得更加稳健、高效。

机械科学研究总院总会计师

李劲松

2015年冬