前言

要绩效，更要有原则

现代科技带来了技术进步与文明开化，互联网对各行各业广泛深入的渗透、全球经济一体化的进一步发展，使得组织所面临的业务环境日益复杂，合规性要求不断增长。组织内部和外部的利益相关者不仅要求其实现更高的业绩，而且要求其业务运营能实现透明化。在这种环境下，单独追求财务目标的绩效在当今并不能保证组织或企业的健康运营，因为组织除了需要满足股东及其他利益相关者的利润诉求外，还需要承担社会责任，并且使其各项活动符合道德与法律的要求。例如，公众日益增加的对环境安全的关注以及各种强制性环保法规的要求，可能会使违反法规或影响公众利益的组织面临关停整顿、巨额罚款的风险。这使得组织的经营管理较之过去更为复杂，也更具挑战性。

为实现组织的永续经营，组织需要在稳健可靠地达成目标的同时，管理各种不确定性因素并保持正直诚信。为避免对日常业务运营造成影响，许多企业疲于处理安排、跟踪和监控复杂的合规要求中的所有动态因素，同时做出正确和及时的反应。有些公司或个人可能曾在经营中采用非正常手段来获得商业利益，或者曾在个人或公司的生存原则与利益最大化之间做出艰难抉择。在监管机构对各种非正常经营手段进行越来越严厉的处罚的形势下，依靠不合规的经营手段来实现“野蛮生长”必然会给组织带来巨大的损失。如中国路桥工程有限责任公司因为在2009年菲律宾沥青道路项目中涉嫌围标而被世界银行列入处罚黑名单，在一定时期禁止承接世界银行资助的项目。

在组织运营中，不可预见的风险有其发生的必然性。风险可能会使组织遭受法律制裁、罚款、品牌忠诚度降低或运营损失，从而影响组织的业绩。诸如安然破产、中国奶制品污染事件、英国石油公司原油泄漏、伦敦鲸事件、中信泰富事件、光大证券乌龙指事件以及最近的金融风暴等一系列工业灾难和金融灾难，都在不断提醒我们，企业必须制定正式的战略来应对已知和未知的风险。上述许多事件还直接促使政府积极立法，以保护公众、环境和经济避免再次遭受类似的灾难。不仅如此，诸如混乱的全球政治局势、恐怖主义、剽窃知识产权、产品赔偿责任、身份盗用、业务连续性、人力资本风险、环境风险、信贷风险和其他一些新型风险也导致新的法规、法律的出台以及监管的增强，投资者和潜在业务合作伙伴也越来越关注企业行为和管理程序，这进一步加剧了业务运营的复杂性，迫使企业优化内部政策和监管规程。

在这种情况下，为避免风险因素的持续积累与不合规情况的出现，有远见卓识的组织已经开始采取综合了预防性、发现性、响应性的系统化方法来积极地管理法规的变化，并实施相关流程和技术整合风险与合规职能，以促进与利益相关方、合作伙伴和监管机构的沟通与合作，他们不仅关注完成了多少工作，更加关注这些工作是如何完成的，而这也正是“有原则的绩效”的核心理念在管理实践中的体现。

以GRC促进“有原则的绩效”

“有原则的绩效”这种经营观点和方法可以帮助组织在应对不确定事件(风险与机会)、诚信行事(遵守规定、信守承诺)的同时，切实可靠地达成目标。它能使组织和个人在确保达成绩效的同时考虑风险和回报，同时履行法定的义务和信守承诺，从而实现可持续发展。有原则的绩效的达成要求组织具备针对绩效、风险和合规进行治理、管理和保障的全局视角，在处理其中任一领域的问题的同时兼顾其他部分。

组织内有很多核心业务流程都有助于组织实现“有原则的绩效”，其中公司治理(Governance)、风险管理(Risk Management)、合规管理(Compliance)这几大类管理措施对企业的成功尤其重要。组织在实现其目标的过程中，一直都在从事公司治理、风险管理和合规管理的工作，也都普遍面临着这三方面的管理问题，处理好这三方面的问题对组织快速高效地达成目标是非常必要和关键的。这三方面的基本活动有很大的重叠，必须协调运作才能实现“有原则的绩效”。而这也正是公司治理、风险管理、合规管理的缩写词GRC所包含的核心思想。

GRC涵盖了所有与公司治理、风险管理、合规、内控相关的管理领域，是实现有原则绩效所需的关键能力集合的简称。组织治理包括设定和传达企业战略、长远及近期目标和计划。它能够保证每一位管理人员的行动以及长远和近期目标，都与组织的长远目标和战略相协调。合规管理要求组织了解并遵守法律、规章、合同、职责、政策和流程，是支持有效治理的一项重要机制。遵守法律法规和组织自身的政策是有效风险管理的一个关键组成部分。监测与维持合规遵从的有效性并不只是满足监管部门的要求，同时也是让组织维持其良好道德状况、支持其长期兴旺，并维持和提高其价值的最重要方式之一。

GRC体现了公司治理、风险管理、合规管理三大管理领域及其相关管理领域在人员、流程、技术、信息四大方面的协同与融合，确保正确的人在恰当的时间得到合适、正确的信息。GRC帮助组织及其内部所有的决策者建立适度的自信，并理解组织的风险偏好和战略目标，从而以他人无法做到的方式利用风险，同时又不会超出既定的风险阈值和风险容忍度。这是一个巨大的竞争优势。

如何实现GRC的融合

中国的央企和上市企业已经历了美国萨班斯SOX法案、国资委全面风险管理和财政部等部委发布的内控指引的洗礼，在将近10年的探索和磨砺中总结了一套企业风控经验，但企业仍存在不少困惑，如风险与内控管理与业务工作脱节、工作实效性不强就是困扰很多企业的一大问题。特别是那些已经实施了风险管理和内控管理的企业，虽然这些企业已建立了风险与内控管理体系，但风险管理工作缺乏完整性和专业性，对企业的具体业务生产工作缺乏指导，造成企业在投资、安全环保、人力资源、现金流等方面的重大事件时有发生。

对于这些已经实施了风险与内控管理的企业，在GRC理念的指导下，我们应如何开展工作以达到所谓融合GRC的理想状态，从而实现企业“有原则的绩效”呢？

1．完成现有体系的向上融合

GRC体系融合了公司治理的管理理念，将公司整体的权责激励制度作为风险管理和合规遵从的压舱石，为GRC体系的建立打下基础。在整体权责激励清晰的环境下，GRC体系进一步梳理和明确决策准则(含风险偏好、风险容忍度等)，在卓越中心的整体协调和综合管理下，指导GRC战略计划和整合计划的制订，为GRC的实施铺路搭桥。

2．完成现有体系的向下融合及横向融合

现有风控体系多是集团牵头、统一编写、集中下发、多轮检查，下属单位需要应对多方面、多组织的重复检查，且控制要求对业务工作指导性不强。所以，首先我们应将集团或总公司一级的风控体系及手册进行本地化梳理，将风控要求落实到具体业务、具体流程，实现GRC体系所提倡的“六位一体”，即将目标体系、考核体系、制度体系、风险体系、内控体系、流程体系融合到流程和岗位职责中。与此同时与其他横向管理部门，如法律部门、安全管理部门、战略规划部门等的管控要求进一步融合，形成GRC整体管控体系。

3．辅助、指导自下而上的运营管控工作

业务运营是企业的生命线，在运营过程中遇到的问题是实现“有原则的绩效”的最大障碍，也是GRC最应该发挥作用的场景。在我们所遇到的问题是跨部门的、复杂性高的情况下，往往本部门已无法单独完成任务，需要卓越中心综合专家的智慧和协调能力，在整合计划的指导下与兄弟部门共同完成。需要强调的一点：复杂性任务或问题的处理过程，容易发现一些企业在运营控制中的设计或执行缺陷，所以任务执行完成后，牵头部门应总结分析执行过程中的经验和缺陷，完成结果和建议报告，提交负责部门，以便完善和优化GRC体系。

全书导读

本书介绍了GRC管理体系、管理方法与管理实践，主要面向组织内扮演GRC角色的实践者以及对GRC管理理念感兴趣的各类读者。如果您对以下任何一个问题的回答是“是”，则意味着您具备GRC角色。

● 您是否在企业层面、业务层面或项目层面参与了公司治理？

● 您是否任职于审计、风险或合规管理部门？或者您是否在某个业务部门内负责其中的任何一项？

● 您是否参与战略规划或业务连续性管理活动？

● 您是否负责监督既定目标的达成或其他可能威胁到目标绩效的因素？

● 您是否负责选择、实施或管理用以支持组织绩效、风险或合规管理或审计的相关技术？

全书共分为4部分，分别介绍GRC的理念、管理实践、技术实现以及典型应用案例。本书的章节内容及其与GRC体系的关系如图1所示。

本书的第1部分“理念篇”面向所有对GRC感兴趣的读者，主要介绍GRC的目标以及核心理念。在第1章我们将为您介绍什么是“GRC”，企业为什么需要“GRC”整合管理，“GRC”能帮助哪些岗位提升业绩，“GRC”管理体系是怎样的；在第2章我们将介绍要想实现“GRC”的目标，企业需要具备哪些基础能力以及如何构建这些能力；在第3章我们将介绍组织如何衡量目前所达到的GRC成熟度。组织只有在明确自己所具备的GRC能力的基础之上，才能制定出适合自己的GRC实施或改进战略，并将其用于指导具体的GRC实践。

本书的第2部分“管理篇”主要面向组织的中高层管理者，介绍如何基于GRC实施架构、应用模型、最佳实践来提升GRC的管理实践。我们将在第4章首先介绍GRC的实施方法论及其实施架构。然后在第5章阐述企业在GRC实施过程中可能碰到的问题以及相应的解决办法。在第6章，我们选取了一些典型的GRC管理实施场景，通过图解的方式进行分析，以帮助读者更好地理解GRC管理在实施过程中可能面临的问题以及应对举措。

本书的第3部分“技术篇”主要面向组织的CIO们，探讨如何利用信息技术辅助GRC的管理。在第7章，我们将主要介绍典型的以及常见的GRC技术解决方案。在第8章我们探讨如何以平台化技术实现不同GRC技术解决方案在数据、信息、标准与流程方面的融合。在第9章，我们将针对组织在实施GRC技术解决方案的过程中可能遇到的问题进行解答，例如：组织实施GRC技术解决方案的路线图；GRC管理软件与ERP和OA的协同；如何应对云计算、移动化、大数据的挑战。

本书的第4部分“实践篇”面向所有的读者，通过一些中国企业开展GRC管理的典型案例，向读者介绍这些企业根据其自身情况、因地制宜地开展GRC管理的方法和过程。这些案例中的企业处于不同的行业、不同的发展阶段，它们开展GRC管理的切入点不尽相同，实施路径也各具特色，希望这些案例能为读者提供一些启发和经验参考。