APP下载

GRC保障企业健康运营

2015-01-03

软件和集成电路 2015年9期
关键词:流程目标管理

GRC保障企业健康运营

文/马东红

GRC是在企业的各经营业务之上,以战略为中心,以流程管理为基础,通过绩效管理和风险内控管理措施,对各项经营管理过程进行管理和控制,保障战略和经营目标达成的管理方法的总称,对企业的健康运营起着关键作用。

每个企业都想成为百年老店。《财富》杂志每年评选的世界500强企业,平均寿命不到50年,至少45%的企业每10年会遭遇一次毁灭性打击。中国从2002年公布中国企业500强,迄今每年有20%左右的企业被淘汰。所以,“百年老店”比百岁老人的数量还少!

企业非健康运营带来的困境

从理论上来讲,人的寿命是有限的,而企业,由于可以打破自然人寿命的限制,因此,企业的存活期应该超过人的平均年龄。而实际情况却不尽然。这是值得那些正在掌管着企业或即将掌管企业亦或即将创业的人去思索的。

我们不妨从失败的企业身上,先来做点浅层次的思考。

“毒奶粉事件”使得中国企业500强之一、中国前500个最具价值品牌之一的大型企业—三鹿集团从问题曝光、危机爆发到法院宣布集团破产仅108天,而这更引发了奶制品行业的信任危机和生存困境,贪婪和不诚信是导致三鹿集团破产的主要原因。

2013年7月曝出的“葛兰素史克中国行贿事件”,使得在中国快速发展的跨国药企中,若干高管因商业贿赂被判有期徒刑2~4年,罚款30亿元,这是迄今为止中国开出的最大罚单。同时,经营过程的不合规也给企业带来了巨大的声誉损失。

2014年12月,上海家化集团因未及时披露关联交易情况收到上海证监局《行政处罚事先告知书》,受到警告、处以30万元罚款,时任上海家化董事长葛文耀、时任平安信托董事长童恺等高管也受到了不同额度的罚款。近一年,上海家化大股东及其代理人与原管理层的内幕曝出,造成股价波动,关联交易方面的违规使上海家化或有退市的风险。

众多事例表明:企业经营环境的复杂、利润的减少都不是企业破产的致命利器,而真正的原因是企业的非健康运营。

马东红

北京慧点科技有限公司商业价值研究院总监

GRC帮助企业走出困境

GRC的倡导者国际OCEG组织(Open Compliance & Ethics Group’s)认为,单独追求财务目标在当今并不能保证企业的健康运营。企业除了需要满足股东及其他利益相关者的利润诉求外,还需要承担社会责任,并且使其各项活动符合道德与法律的要求。

无论外界环境怎样变换,技术上“互联网+”、大数据、云计算如何发展,企业都需要以健康的运营状态来迎接变化,这样才能有更大的胜算。

何为健康的运营状态呢?也许西方学者的研究能给我们一些启示:荷兰皇家壳牌石油公司的阿里德杰斯发现,长寿企业普遍具有四个生命要素—财务保守、宽容、凝聚力强和对环境敏感。

美国技术和市场调研权威Forrester Research的一位前分析师Michael Rasmussen提出GRC(Governance,Risk & Compliance)概念并认为:GRC是这样一种能力,它使企业能可靠地达成目标,与此同时管理不确定性和保证正直诚信。

GRC概念的提出

以美国安然、法国兴业银行等一系列反面教材为触发点、以《萨班斯法案》为源泉,2002年国际OCEG组织提出GRC管理理念。

GRC是实现企业治理、绩效、风险、合规等管理方法的完全整合与协同所必需的所有能力的集合的简称。GRC管理理念被认为是企业在日益复杂的竞争环境下赖以生存和发展的必然和有效选择。安永、德勤等咨询机构,Oracle、SAP、IBM、EMC等IT解决方案厂商陆续成为OCEG的会员。

虽然,GRC在国外已经发展了相当长的时间,但在国内才刚刚兴起。2008年,北京慧点科技有限公司(简称慧点科技)率先引入GRC管理理念,融合自动化控制原理和中国的实际情况,形成具有慧点科技特色的GRC理念。

慧点科技认为,GRC是在企业的各经营业务之上,以战略为中心,以流程管理为基础,通过绩效管理和风险内控管理措施,对各项经营管理过程进行管理和控制,保障战略和经营目标达成的管理方法的总称。

GRC涉及以下主要部分:

北京慧点科技有限公司商业价值研究院总监马东红

Governance(治理/管控):建立完整的制度安排和治理框架,从外部指导、控制、评估实体、流程和资源,在这个过程中公平对待各利益相关者,制定公司战略目标和制度、监督绩效、遵从法律及制度规定、透明和披露经营状况,对各项经营管理过程本身进一步进行管理和监督。治理的目标在于—可靠地达成目标。

Risk Management(风险管理):对所有业务和法规风险进行结构化的识别、评估、缓解、监视和控制,在追求回报的同时应对各种风险。治理的目的在于—处理不确定性。

图 有原则绩效示意图

Compliance Management(合规管理):通过内部控制管理机制和体系,确保各项制度和法规得以遵从、制度得以贯彻、各项经营和管理目标得以有效达成。治理的目的在于—诚信做事。

综上所述,慧点科技对GRC的主要组成进行了逐个分析,但GRC更强调的是有机集成和融合统一的方法体系,要满足企业健康运营并且能达成既定目标,必须能够对GRC整体进行有效落地,这样才能让GRC在企业中不再仅仅是一个口号,而是企业发展的有效保障,才能有效发挥GRC的真正价值。

GRC的目标

上面提到,葛兰素史克因为中国行贿事件而面临高达30亿元的巨额罚款。不少职业人或许都曾像葛兰素史克员工一样,面临在个人或公司的生存原则与利益最大化之间做出艰难抉择的考验。

美国咨询业领袖多弗·塞德曼认为:“如果我们总是需要持续关注企业利润,仅仅询问完成了‘多少’利润,那么我们就将错过另一个更重要的问题—它是‘如何’完成的?”国际OCEG组织认为,GRC所追求的目标“有原则绩效”正是解决这一问题的方法。

“绩效”包含了三层含义:

结果—通常表现是企业财务上的结果及与财务相关的可量化的结果。

行为—通常表现是具有一定素质的员工围绕其任职的职位,为卓越地完成所负责的任务,而达到的不同阶段成果,以及在实现目标的过程中的行为表现。

考核—通常表现是企业把员工的技能、发展潜力和对价值观的认同表现纳入绩效考核的范围。

“有原则”强调明确建立强制边界与自愿边界,并清晰表达遵守这些行为边界的方法。综合运用战略、人员、流程、技术等资源,通过对不确定事件的管理,在保证不跨过行为边界的情况下进行商业运作,在客服障碍和抓住机遇之间灵活应对,最终实现企业战略目标、运营目标、客户目标、流程目标、合规目标等。

“有原则绩效”是指可靠地达成目标,与此同时管理不确定性和保证正直诚信,其专注于探究如何让企业能够达到合法性运作目标并实现经营目标。

“有原则绩效”包含四个层面的含义:

达成目标—设定清晰的目标,设计商业模式,测量绩效。董事会审查目标设定流程、商业模式与绩效报告,管理人员负责执行战略并运作商业模式。

管理不确定性—全面考虑未来可能影响到企业战略和运作的各种风险。以先行主动的方式控制风险,使风险对利润的影响最小化;对各种可能会发生的风险深思熟虑、充分思考、严格对待。

保证正直诚信—遵循法律法规等强制性要求,行为不触犯强制性边界。同时遵循企业、利益相关者自主设定的要求,同样行为不触犯自愿性边界。如果不能遵从承诺,则需要澄清并承担违约后果。

图 GRC管理层级实施示意图

图 国内某大型集团GRC统一平台功能架构图

可靠—确保企业有合理的管理、治理和保证措施。企业目标是上下对齐、一致的、可实现的。确保企业收集信息的精确性、可靠性。确保执行过程的持续性、稳健性,达成目标是可预期的。

GRC理想实施的完美画面

了解企业的现状是非常重要的,当前很多企业组织和功能设计相对独立;管理存在割裂、复杂,严重资源浪费等问题;治理层感知到管理不透明、策略杂乱无章、管理成本很高;呈现出企业整体缺乏有效监管。

GRC理想实施的完美画面是,治理层通过准确、真实、集成的分析及报告进行有效地监管;管理层推行有机集成和融合统一的管控机制,包括集成的GRC战略、集成的风险管理、高度融合&高质量的信息等;保障层采用统一的方法、统一的词汇、共享的技术、共享的服务,帮助企业健康运营并实现“有原则绩效”。

GRC的理想实施,一般在企业的六个方面取得可预期、直观可见的成效:

降低成本。企业对GRC活动的投资,会降低企业成本,提高回报率。

品牌价值提升。对风险的有效控制,降低有损企业品牌事件的发生率,品牌受到保护,提升品牌价值。

企业运行更有效。逐渐剔除冗余、减少重复性、打破壁垒,企业运行变得越来越有效。

优化资本分配。辨别企业产能过剩或低效的业务,为企业资金和人力资源分配优化提供支持。

流程优化。有价值的活动写入流程,去掉无价值的活动,偏离目标和时滞等问题逐一被解决,使得企业流程得到不断优化。

提供高质量信息。信息的准确性、及时性,能够辅助企业的管理层快速地做出更明智的决策。

实现GRC的障碍及解决办法

理想是美好的,现实是骨感的。企业在实施GRC过程中碰到的最大问题,是感觉GRC管理概念太大了,无从下手,不知道如何落地。面对这样的现状,企业应该怎样解除障碍呢?各个企业具体情况不同,采取的措施也各不相同。但有几个通用的方面企业可以参考:

问题入手

GRC管理实施切忌好高骛远,可以从1~2个具体问题做起,在小范围内体会GRC管理实施为企业带来的益处。实施GRC管理的核心过程遵循PDCA原则,分别是计划/流程、预防/保护/预案、监测/评估、响应/改进。

计划/流程

根据战略和目标制定描述清晰的行为边界,根据内外部环境及企业自身情况选择商业模式,评估风险,进行可执行性分析,设定实施策略和步骤。

预防/保护/预案

对员工进行培训和教育,使员工了解战略、目标、计划、流程等信息,清楚员工行为准则,明确执行阶段可能遇到的风险及预案应对措施。控制执行过程,保护企业价值,规避或减少风险损失。

监测/评估

对执行过程的关键节点进行连续监测,包括控制、保障与审计、热线和求助专线报告;同时进行定期评估,包括有效性评估、项目绩效评估和评估规划与报告。

响应/改进

发现问题要及时披露并纠正,在问题管理方面要提升响应速度。面对专有风险,要做特例调查防患于未然。惩罚与披露、纠正与改进是主要执行手段。

分层实施

大部分企业或多或少都在从事某种GRC管理活动,GRC管理活动可以在企业内分层分级实现。一般GRC的管理层级可以分为企业层级、重点项目层级、部门层级和事件层级。

企业层级的GRC需要构建企业GRC管理框架,综合各部门、业务域进行综合GRC管理;重点项目层级的GRC则聚焦于具体的、跨部门的重大项目问题;部门层级的GRC解决具体职能域内的相关具体问题;事件层级的GRC专注于简单事件的GRC实施。如果GRC渗透到公司的各个层面,就能有效地推进企业目标的实现。

持之以恒

企业实施GRC,一开始可能不会有巨大的改变,但不要因此变得灰心丧气而放弃。改善是会一点点到来,管理人员和员工会清晰地看到自己努力带来的成果。当然在这个过程中,为了激励员工,可考虑进行直接的补偿奖励,比如给部门更多预算,或者给团队和个人发奖金,这些都是鼓励其完成目标的动力。

技术支持

GRC的统一服务平台,是企业GRC管理架构与IT技术方案实现有机集成和融合统一的基石,能更好地满足企业管理的需要。通过平台可以拥有支持GRC运作的流程和技术、获得一致性和完整性的信息,并大大简化具体管理实施的复杂性,使企业能够做到有效率、有效果、响应灵敏,从而促进GRC目标以及企业目标的实现。

每家企业所需的GRC管理架构是不同的,因此GRC管理架构的设计需要在企业架构的环境中做出,使GRC支持企业的DNA并与之结合为一个整体。

责任编辑:吴崝

wang.liu@softic.com.cn

猜你喜欢

流程目标管理
枣前期管理再好,后期管不好,前功尽弃
吃水果有套“清洗流程”
违反流程 致命误判
四川省高考志愿填报流程简图
析OGSA-DAI工作流程
“这下管理创新了!等7则
人本管理在我国国企中的应用
管理的另一半
新目标七年级(下)Unit 3练习(一)
新目标七年级(下)Unit 4练习(一)