企业治理、风险及合规管理（GRC）的挑战及关键成功因素

2011-1-28

　　公司治理、风险及合规管理（Governance，Risk & Compliance，以下简称“GRC”）是指企业为满足内部和外部的法定要求和标准，而开展的建立公司治理结构、识别并设计受法规影响的流程、识别及评估风险、设计及实施内部控制系统、监督并改进内部控制系统的有效性等工作。

　　自2002年美国出台SOX法案以来，世界各国的公众企业在GRC管理方面面对越来越多的法律、法规要求。以中国境内公众企业而言，需要遵循证券交易所颁布的《上市公司内部控制指引》、中国国有资产监督管理委员会颁布实施的《中央企业全面风险管理指引》、财政部等七部委颁布实施的《企业内部控制基本规范》等，此外还包括行业监管部门发布的各种监管要求等。在2008年席卷全球的金融危机中，众多庞大的公司轰然倒塌或走向破产的边缘，也充分反映出良好的公司治理、风险及合规管理机制对公司持续运营的重要保障作用。因此，越来越多的公司日益认识到GRC管理的重要性。

　　然而，国内外企业在开展GRC管理方面普遍遇到合规成本高昂、影响业务运营效率、难以应付持续增加的合规要求三大挑战。

　　挑战一：合规成本高昂

　　通常而言，GRC管理需要基于公司的内外部业务环境，参照外部法规及标准要求建立一套有针对性的管理体系，并对管理体系的设计及执行情况建立监督及改进机制。在管理体系的设计、实施、监督及改进过程中，将需要大量的人、财、物投入，成为企业难以承受之重。

　　以SOX法案遵从的成本为例。根据国际财务执行官（FEI）2005年3月对217家上市公司所作的调查，在执行SOX 404的第一年，每家公司为遵循该条款平均花费的总成本高达436万美元，远远高于这些公司原本预期的314万美元。其中，134万美元用于内部成本，172万美元用于外部成本（主要是咨询费、购买软件以及其他服务），130万美元用于支付审计费用。公司在执行SOX 404的以后年份里，执行成本会降低，但仍旧不菲。国际财务执行官（FEI）2006年3月在对274家上市公司所作的最新一项调查发现，在执行SOX 404之后的第二年每家公司为遵循该条款平均花费的总成本为380万美元，比第一年下降了约16%。

　　挑战二：影响业务运营效率

　　在GRC管理体系的设计、执行、监督及改进过程中，均需要业务部门的配合和参与。如管理体系设计阶段需要业务部门梳理相关业务流程，在管理体系执行阶段需要业务部门人员保留相关实施证据，在监督及改进工作中业务部门需要配合接受相关测试。而且GRC管理体系一般会对业务的执行过程增加一些控制点，增加了业务执行的环节，加大业务人员的工作量。因此，通常业务部门会抱怨GRC管理工作增加了其工作量，影响了业务运营效率。

　　挑战三：难以满足持续合规要求

　　由于公司内外部环境的变化，公司需要相应的调整管理体系，以满足持续合规的要求。首先，外部法律法规及标准的增加或调整，需要企业增加新的管理体系或调整已有管理体系以满足合规要求。例如很多企业刚刚完成SOX法案遵从工作，又面临着《全面风险管理指引》和《企业内部控制基本规范》遵从要求。其次，当公司的组织结构、业务模式及业务流程发生变化时，也需要相应调整管理体系，以真实反映公司业务现实，满足合规要求。

　　因此，很多企业尤其是业务变化较为频繁的企业，持续合规的工作量较大，面临较大的挑战。

　　针对上述挑战，笔者根据自身的项目实践经验总结出三大关键成功因素，供大家参考。

　　关键成功因素一：建立整合的GRG实施策略

　　很多企业对GRC管理的认识和关注，是从SOX法案、《全面风险管理指引》或《内部控制基本规范》的遵从工作开始的。但是，实际上GRC管理并不是一个新的管理领域，而是不断发展的管理实践，对于大部分公司而言GRC管理是一个管理体系完善而非新建的工作。但是，大多企业缺乏整合的GRC管理策略，根据外部不同法律法规及标准的要求，重复建立相关的管理体系文件，浪费大量的人力物力，大大增加了合规成本。从业务流程管理的角度出发，笔者认为企业应当建立整合的GRC管理策略，对各项GRC管理工作进行总体规划，降低重复工作，降低GRC管理的成本。根据我们的经验，建立整合的GRC管理策略，有两方面的关键举措。

　　第一，建立一套真实描述公司业务现状的流程文件。满足不同外部法律法规及标准的GRC管理体系有一个共同的特点是它们都是基于公司的业务现实所建立的，而公司业务现实的体现即是一整套的流程文件。因此，建立一套真实描述公司业务现状的流程文件，作为遵从不同法律法规及标准要求的管理体系的基础，将大大减少GRC管理的重复工作，降低GRC管理成本。

　　第二，建立流程及GRC管理的机制。根据在GRC管理方面的职责，可以将企业的部门分为四类：流程/GRC管理总体协调部门、业务执行部门、合规管理部门、监督部门。流程/GRC管理总体协调部门负责流程及GRC管理工作的总体协调，例如流程规范制定、跨部门流程协调、GRC管理规划等；业务执行部门负责本部门相关流程上的具体设计、执行并保留控制实施证据；合规管理部门负责根据相关法律法规及标准的要求进行风险识别、控制设计等工作，例如质量管理部门、HSE等；监督部门负责GRC管理体系的监督及改进工作。由于涉及到公司各个部门，只有建立明确的工作协调机制，例如流程变更管理、体系文件发布、监督机制等，才能确保各项工作的有序、高效开展。

　　关键成功因素二：建立业务运营与GRC管理的协同机制

　　在很多企业中，业务部门对GRC管理工作的意义和价值了解甚少，将GRC管理部门视为“麻烦制造者”，在工作过程中消极对待GRC工作。例如，业务发生变化时不及时通知合规管理部门，造成管理体系文件与实际业务运行情况不一致，或者工作执行过程中没有按照要求开展工作，或者不按照要求保留实施证据，大大增加了GRC管理成本。

　　笔者认为，企业应当建立业务运营与GRC管理的协同机制，GRC管理部门应当成为业务部门的合作伙伴，而不是简单的监控和管理部门。

　　首先，GRC管理部门应与业务部门配合进行控制措施的完善、整合，而不是简单地增加、增加、再增加。笔者发现在很多SOX法案遵从案例中，SOX遵从小组与业务部门就部分业务流程已有的控制措施进行梳理的过程中，发现了很多已经失去作用和意义的控制措施，通过取消及整合这些控制措施，反而实现了业务流程效率的提高，减少了业务部门的工作量。

　　其次，GRC管理部门应当让公司领导层和业务部门认识到，GRC管理工作能协助业务部门进行业务优化，提升业务效率，创造价值。例如，SOX项目遵从小组通过组织跨部门流程梳理工作，可以解决业务部门之间长时间难以协调的问题，理顺跨部门的业务部门的衔接，从而提高运营效率和创造业务价值。在笔者咨询的多个案例中，最为明显的例子是公司以SOX法案遵从为契机，实施各类业务流程的标准化，实现了各领域内部最佳流程实践的提炼及推广，从而实现了公司总体流程运行效率的提升。

　　最后，GRC管理部门应当让公司领导层和业务部门认识到，GRC管理工作还能协助公司增强执行力。通过GRC管理严格的监督机制，能有效检查业务人员的工作执行力，增强公司流程、制度的执行效力，从而为公司创造价值。

　　关键成功因素三：提高GRC管理的信息化水平

　　大多数企业的GRC管理工作缺乏信息系统支持，信息化水平较低，GRC管理工作效率较低。根据国外企业SOX法案遵从的经验，大部分企业完成体系建设后，开始相关的信息系统的建设，以提升GRC管理工作的效率，降低GRC的成本。

　　结合上述分析，IDS Scheer公司基于在GRC管理项目实施过程中积累的大量经验，研发了一套GRC管理的咨询及信息化解决方案。此方案不但可以协助企业满足内外部法律法规及标准的要求，而且可以实现企业业务流程优化，提高业务运营效率，并通过建立持续合规管理的机制及平台，降低GRC管理成本。

作者：IDS Scheer 中国咨询总监 阚相元 来源：《中国冶金报》2011年01月22日