上QQ阅读APP看书,第一时间看更新
3.1 GRC成熟度的内涵
本书第一章明确了GRC的管理目标是帮助企业实现“有原则的绩效”,在应对不确定性、诚信行事的同时切实可靠地达成目标。基于此,本书认为GRC成熟度主要体现在两个层面,分别是“有效”与“绩效”,如图3.1所示。
图3.1 GRC成熟度内涵
“有效”是指GRC活动通过合理的设计满足了所有强制性边界和自愿性边界的要求,并且这些活动的确是按照计划运行的。从这个意义上来说,GRC活动“有效”能够帮助企业达到要求,并证明企业能够按照设计合理的措施开展GRC活动。“有效”可以进一步细分为设计有效和运行有效。设计有效主要指管理人员采取合理的、符合逻辑的措施去满足所有强制性边界和自愿性边界的要求,且获得了设计的预期成效。运行有效则是指组织是按照预先的设计开展了GRC活动。
“绩效”是GRC活动带给利益相关方真正关心的、强制性和自愿性边界要求以外的经营成果。例如,美国颁布《萨班斯法案》后,严格的监管要求使美国证券市场迅速走出了一系列大公司丑闻的阴影,投资者信心有所恢复,但同时也有很多上市公司对该法案尤其是最为严格的404条款有所抱怨,认为企业为遵循404条款所投入的巨额成本和其所能够带来的收益不匹配。监管部门并不是特别关心企业在实施内部控制时需要花费多少金钱或资源,只要企业能够按照监管要求执行就好,但对于企业股东而言则面临更加现实的问题,因为他们所追求的目标可能包括降低运营成本或提高利润水平。因此,除了对“有效”的要求外,利益相关者还会关注GRC活动的效率和反应灵活程度。
在当前环境中,股东、董事会、管理层以及其他利益相关者既关注设计和运行的有效,也强调企业绩效,我们将这种双重要求称为对GRC综合能力的要求。本章所讲的成熟度就是针对GRC综合能力的成熟度。