【全文】
导语: 一般认为,治理风险与合规(GRC)是对治理、风险管理、内部控制、合规管理等进行整合的一种管理框架。自从其提出后,就一直颇受关注。但是,到底什么是GRC,如何实施GRC,却一直处于探索之中。有必要分析一下GRC的内涵与外延。
治理风险与合规(英文简称为GRC)是什么?
从字面上看,治理风险与合规(GRC)是治理(Governance)、风险(Risk management)、合规(Compliance)的集合。
在这个角度下,GRC是一种整合管理的职能和体系。
关于风险、合规等的整合,我们已有“法律、合规、风险、内控一体化管理”的倡议,也有“法律、合规、内控、风险管理协同运作机制”的规定,甚至有“法律合规大风控体系”的提法。
但不管从理论架构上,还是从实施效果上来看,这些可能都存在一定的局限性。
即便在OCEG(开放合规与道德团体)给出的GRC定义下,也是如此。
OCEG对GRC的界定,说明如下:GRC是一种通过治理、管理和保障手段的整合,推动绩效、风险与合规管理的有机融合,实现“有原则的绩效”的能力集合。
这个定义,仍无法确保让OCEG的GRC理念在实践中落地。
个人认为,这与缺乏一个“可自成体系且有自身内核”的基本概念有关。
各咨询机构、各央资国企都有自己的一些观点和做法,都是基于自身实践和认知来开展“整合”的。
管理体系的整合,不仅是管理职能的协同,更是对业务的统筹管控,对控制流程和控制制度的再设计,对信息系统和数字系统的再优化。
这些应建立在“如何整合”的底层认知上,也应建立在对这几项职能本质的认知上。
治理风险与合规(GRC)出现后,被寄予充当这个“底层”角色的厚望。但是,与单个风险管理体系、合规管理体系存在认知混乱等情况一致,GRC因不同人不同角度的不同理解,在当前,同样形成一定的认知混乱状态。
因此,有必要好好梳理一下GRC的内涵与外延,以更准确地利用GRC这个概念进行治理、法律、合规、风险、内控等方面的整合。
01
GRC的内涵:整合性管理框架
说起治理风险与合规(GRC)的内涵,很多人会从治理、风险管理、合规管理等分别是什么说起,然后阐述GRC是这几方面的协同。
例如, 有人提出:
治理是建立权责清晰的决策机制(如董事会结构、内部控制流程),确保企业行为与利益相关者目标一致。
风险管理是识别、评估和应对企业战略、运营、财务、法律等领域的潜在威胁与机会。
合规管理是确保企业行为符合法律法规、行业标准及内部政策等。
而GRC则是打破职能和部门壁垒,实现治理、风险管理、合规管理的协同。
以上这种说法,不能说是错的,但有一个根本性问题其实没有解决。
如果GRC只是其他几个模块的协同,只是一种工作机制,没有自身的内核,那么GRC的作用,其实是没有那么大的。
COSO2017版的风险管理框架,其实也是一种整合机制,这从其名称即可看出——《企业风险管理——与战略和绩效的整合》。
但COSO的2017版风险管理框架,得到相对广泛的认同,正是因为其自成体系的5要素和20原则,这个是COSO2017版风险管理框架的自有内核。
因此,个人认为,GRC要获得更广的使用,必须要建立在自有内核的基础上,而不能仅仅是一个“协同机制”。
这便是梳理GRC的内涵的重要性。进一步,我们要说清楚,这个“协同机制”到底是什么?它是如何以“整合”的方法获得了自身的独立性?
在COSO2017版风险管理框架中,对风险管理的定义是:组织在创造、保持和实现价值的过程中,结合战略制定和执行进行管理风险的文化、能力和实践。
可以看出,风险管理最终的落脚点是文化、能力和实践。这就是COSO2017版风险管理框架的自有内核。它强调了风险管理中的文化、能力和过程管理的本质,构成这个新版风险管理的独特性。
GRC也应当有自身的内核。首先,这个内核,不能借助于治理、风险管理、合规等的关系来说明。如很多人提出,所谓治理为基,风险为核,合规为界等。这种说法,只是说明了GRC体系内的角色分工,没有说明GRC体系自身。
其次,这个内核也不能用其中的一个部分来解释,如以风险为导向。风险管理是GRC体系内的一部分,无法解释整个GRC。
经过前述分析和总结,个人提出,治理风险与合规(GRC)这个概念的内涵可表述为:
治理风险与合规(GRC)是以一种整合管理方法,在企业战略与业务执行的过程中,同步运用组织治理、业务风控、管理合规等方法和IT技术,实现企业稳健发展。
在这个内涵下,GRC有自身的目标、理念和方法,从而可形成自身的管理体系。
02
GRC的外延:多样性实施运用
实践中,治理风险与合规(GRC)是有多种体现形态的。GRC可作为一种管理体系,也可作为一种管理信息系统技术。
基于上述GRC的内涵,至少在三个方面存在着GRC的外延扩展。
1. 为“法务合规内控风险一体化管理”提供方法论。法务合规内控风险一体化管是央国企提出的管理趋势,但一直未取得很好效果。
如前述,这是因为缺少特有方法论和统一的体系语言。GRC的内涵确定后,便可为一体化管理提供一致的框架,包括目标的确定、操作流程以及其中的“矛盾处理”。
2. 与ESG深度绑定。将环境(E)、社会(S)的目标与风险等,嵌入治理(G)结构,本身就是一种“GRC式”的管理技术。
整合性管理的方法,在GRC体现得非常充分,它同时与ESG管理也是完全相通的。唯一大的区别就是,ESG关注的是偏外,而GRC关注的是偏内。
GRC与ESG有着天然的相通性。GRC作为一种内部整合管理的理念和方法,ESG作为一种响应外部宏观倡导的理念和方法,在“治理(G)”上紧密关联,互为延伸。
3. 信息化数字化系统的运用。其实,GRC在一开始,就被认为是一种IT技术集成。
知名管理软件提供商SAP公司,专门开发了GRC模块,提出了SAP GRC解决方案。
这个解决方案,完全是基于企业管理信息系统的,以至于有专家将GRC直接分为“业务驱动的GRC”和“技术驱动的GRC”。
个人认为,IT技术只是展现和实施管理体系的有力工具。一定是先有管理体系的建设与运行,才有管理信息系统的开发与执行。
管理信息系统,无法脱离对管理体系逻辑的理解。
但同时,随着企业数字化转型的深入,企业数据中台建设的成熟,在(信息化数字化)技术上率先或同步实现GRC的功能,也不是不可能。
故GRC管理系统,是GRC的一个重要外延体现。
当然,GRC的内涵和外延,也是不断发展的。未来人工智能对管理的影响进一步加强,可能会产生更深刻的GRC内涵或更广泛的GRC外延。
