作者：陶光輝

來(lái)源：法務(wù)人俱樂(lè)部

一、什么是統(tǒng)一治理框架

“治理”一詞在不同的語(yǔ)境下，有不同的定義。國(guó)際內(nèi)審協(xié)會(huì)對(duì)治理的定義是：“治理是董事會(huì)實(shí)施的各種流程和框架的組合，用以告知、指導(dǎo)管理和監(jiān)督組織的活動(dòng)，以實(shí)現(xiàn)組織的目標(biāo)”。經(jīng)濟(jì)合作發(fā)展組織（OECD）將治理定義為“公司的管理層及其董事會(huì)、股東其他利益相關(guān)者之間存在的一種關(guān)系。公司治理為目標(biāo)的確定、目標(biāo)的實(shí)現(xiàn)方式和績(jī)效監(jiān)督方式提供結(jié)構(gòu)”。

治理是實(shí)現(xiàn)企業(yè)目標(biāo)的手段，它是一個(gè)體系或一種組合。每一企業(yè)都需要治理，企業(yè)是借助治理體系來(lái)滿足利益相關(guān)者的需求，并通過(guò)產(chǎn)品和服務(wù)來(lái)創(chuàng)造價(jià)值的。價(jià)值反映了效益、風(fēng)險(xiǎn)與資源之間的平衡，企業(yè)需要可行的治理系統(tǒng)來(lái)實(shí)現(xiàn)價(jià)值。但是，具體的治理內(nèi)容，又因企業(yè)類型和監(jiān)管要求的不同而不同。

有效的治理，因?yàn)榭偨Y(jié)了企業(yè)的最佳實(shí)踐和監(jiān)管的最新要求，是結(jié)構(gòu)化的。結(jié)構(gòu)化有利降低體系的復(fù)雜性，提高可理解性，實(shí)現(xiàn)精細(xì)化管理。治理的這種結(jié)構(gòu)化特點(diǎn)，便促進(jìn)了可對(duì)比、可復(fù)制的治理框架的出現(xiàn)。

站在企業(yè)運(yùn)作效率的角度，企業(yè)內(nèi)有且只有“一個(gè)”體系，無(wú)疑是更加正確的。這就要求有效治理框架把企業(yè)的不同管理體系整合起來(lái)。即整合到基準(zhǔn)的體系之上，這便是統(tǒng)一治理框架。統(tǒng)一治理框架既考慮了基準(zhǔn)的治理框架，又不斷的把新出現(xiàn)的管理要求、管理措施整合到基準(zhǔn)框架之內(nèi)，優(yōu)先考慮固有的治理體系能否滿足新要求，而非另行組合一套包含人、財(cái)、技術(shù)及流程等在內(nèi)的新體系。

當(dāng)然，即便是基準(zhǔn)體系，也應(yīng)當(dāng)跟隨企業(yè)的內(nèi)外情境的變化而進(jìn)行變化。統(tǒng)一治理框架本身也應(yīng)是動(dòng)態(tài)的，在框架的設(shè)計(jì)、運(yùn)行、監(jiān)測(cè)和評(píng)價(jià)過(guò)程中，均需根據(jù)情境變化而做出適當(dāng)?shù)恼{(diào)整。

二、基準(zhǔn)治理框架的組成

治理框架的設(shè)計(jì)，取決于企業(yè)的價(jià)值觀，融合了股東和利益相關(guān)者的利益考量。從股東角度，治理的主要目標(biāo)是股東利益最大化，有效的治理框架應(yīng)重在協(xié)調(diào)管理層與股東的關(guān)系，激勵(lì)管理層為企業(yè)創(chuàng)造更多收益。從利益相關(guān)者角度，治理的目標(biāo)除了增加企業(yè)利潤(rùn)以外，還應(yīng)承擔(dān)社會(huì)責(zé)任，遵守良好商業(yè)道德，包括但不限于保證員工安全、創(chuàng)造就業(yè)、改善環(huán)境、減少債權(quán)人風(fēng)險(xiǎn)，參與社區(qū)活動(dòng)等。

這說(shuō)明，一個(gè)有效的組織治理框架，特別是作為基準(zhǔn)的治理，在實(shí)現(xiàn)組織的核心訴求時(shí)，必須同時(shí)考慮內(nèi)外部情境。外部情境包括宏觀環(huán)境因素和利益相關(guān)者的期望與要求等，內(nèi)部情境包括企業(yè)的文化、企業(yè)內(nèi)的信息傳遞、企業(yè)的溝通方式等。

因此，作為基準(zhǔn)的治理框架，由核心“組件”和環(huán)境“組件”兩部分構(gòu)成。核心組件部分，是實(shí)現(xiàn)企業(yè)核心訴求的組合，具體包括目標(biāo)、組織、制度、流程和績(jī)效等五個(gè)要素。環(huán)境組件部分，是實(shí)現(xiàn)企業(yè)訴求必須同時(shí)考慮的因素，具體包括企業(yè)文化、信息與溝通、外部情境等三個(gè)要素。

基準(zhǔn)治理框架，不僅指以上八個(gè)要素，而且也同時(shí)指這八個(gè)要素的相互關(guān)系。每一個(gè)要素，均有其明確的定位和作用。只有共同發(fā)揮其價(jià)值，才能產(chǎn)生良好治理的效果。

1.目標(biāo)，是治理的基礎(chǔ)，也是企業(yè)開(kāi)展所有工作的前提。治理框架的設(shè)計(jì)，應(yīng)從企業(yè)所處發(fā)展階段的各個(gè)目標(biāo)設(shè)定開(kāi)始，考慮實(shí)現(xiàn)目標(biāo)所需的要素和對(duì)應(yīng)的資源投入。目標(biāo)包括長(zhǎng)期目標(biāo)，即企業(yè)的使命和愿景；還有中期目標(biāo)，即企業(yè)的戰(zhàn)略；以及短期目標(biāo)，即企業(yè)的年度目標(biāo)，業(yè)務(wù)流程目標(biāo)，以及個(gè)人目標(biāo)。

2.組織，是企業(yè)實(shí)現(xiàn)目標(biāo)所需要的合適的人及人的組合。組織要素可包含組織結(jié)構(gòu)、決策機(jī)制和勝任力模型三個(gè)元素。組織結(jié)構(gòu)是組織成員的合理分工，形成縱向和橫向的權(quán)責(zé)。決策機(jī)制確定企業(yè)內(nèi)決策做出的主體、程序、信息與溝通等。例如，風(fēng)險(xiǎn)三道防線，就是一項(xiàng)合理的決策安排。勝任力模型是實(shí)現(xiàn)組織權(quán)責(zé)所需的知識(shí)和技能。

3.制度，是規(guī)范業(yè)務(wù)活動(dòng)、具有持續(xù)性和普遍效力的內(nèi)部文件。制度是以文本的形式，規(guī)定企業(yè)應(yīng)做什么，怎么做，由誰(shuí)做，做的標(biāo)準(zhǔn)是什么，以及做得好和做不好的后果是什么等內(nèi)容。制度又可進(jìn)一步分為制度管理制度、流程管理制度和業(yè)務(wù)管理制度三個(gè)元素。制度管理制度，統(tǒng)領(lǐng)企業(yè)內(nèi)所有制度、流程、規(guī)范、標(biāo)準(zhǔn)等；流程管理制度針對(duì)制度中程序的建立與運(yùn)行建立規(guī)范；各業(yè)務(wù)管理制度則規(guī)定各項(xiàng)業(yè)務(wù)開(kāi)展過(guò)程涉及的職責(zé)、程序、標(biāo)準(zhǔn)、要求等。

4.流程，是將制度的相關(guān)規(guī)定付諸行動(dòng)的過(guò)程。流程是實(shí)現(xiàn)治理目標(biāo)的具體工作。因?yàn)槊恳豁?xiàng)具體工作，是由許多工作任務(wù)組成，故通常情況下，一個(gè)流程本身是由多個(gè)子流程組成的。即流程是分級(jí)分層的。第一層級(jí)的流程，由戰(zhàn)略決策流程、核心業(yè)務(wù)流程、管理支持流程三部分組成。每一部分，均由若干個(gè)二級(jí)流程組成，依此類推，最多可達(dá)五級(jí)。美國(guó)生產(chǎn)力和質(zhì)量中心（APQC）推出的流程分類框架PCF，在流程的分級(jí)分類方面可謂典范。

5.績(jī)效，是已設(shè)定目標(biāo)的事實(shí)上的實(shí)現(xiàn)結(jié)果。績(jī)效，可以是企業(yè)整體的績(jī)效、部門(mén)或個(gè)人的績(jī)效，制度和流程執(zhí)行情況等的績(jī)效。促進(jìn)績(jī)效達(dá)成的一個(gè)有效工具，是哈佛大學(xué)的卡普蘭和諾頓兩位教授開(kāi)發(fā)的平衡計(jì)分卡。平衡計(jì)分卡建議企業(yè)從財(cái)務(wù)、客戶、內(nèi)部流程、學(xué)習(xí) 與成長(zhǎng)四個(gè)方面分解目標(biāo)、建立績(jī)效標(biāo)準(zhǔn)。

6.企業(yè)文化，是公司員工的共同價(jià)值觀、理念和意識(shí)。企業(yè)文化雖無(wú)法看到或觸摸，但實(shí)際存在于企業(yè)成員的行動(dòng)和工作之中。企業(yè)文化會(huì)對(duì)其他要素產(chǎn)生明顯的影響。如企業(yè)文化的強(qiáng)弱，會(huì)對(duì)制度的復(fù)雜程度和人際溝通產(chǎn)生很大影響。反過(guò)來(lái)，其他要素業(yè)會(huì)影響企業(yè)文化的演進(jìn)。一般認(rèn)為，企業(yè)文化應(yīng)包括行為準(zhǔn)則、經(jīng)營(yíng)理念、決策指引、企業(yè)形象、社會(huì)責(zé)任等。

7.信息與溝通，也是治理框架必不可少的要素。企業(yè)“應(yīng)且只能”通過(guò)信息和溝通，才能支持各項(xiàng)業(yè)務(wù)的開(kāi)展。信息與溝通，也做作為企業(yè)內(nèi)外部要素互動(dòng)的橋梁，在治理框架中發(fā)揮重要的作用。從企業(yè)架構(gòu)角度，信息，可進(jìn)一步分為數(shù)據(jù)架構(gòu)、應(yīng)用架構(gòu)和技術(shù)架構(gòu)。溝通，可進(jìn)一步分為溝通機(jī)制、內(nèi)部報(bào)告、外部報(bào)告等元素。

8.外部情境，是影響企業(yè)實(shí)現(xiàn)目標(biāo)的外部因素，包括宏觀環(huán)境因素和利益相關(guān)者期望與要求。宏觀環(huán)境因素，又可分為政治、經(jīng)濟(jì)、社會(huì)、文化、技術(shù)、EHS、法律和行業(yè)等元素。利益相關(guān)者期望與要求，包括政府、監(jiān)管機(jī)構(gòu)、社會(huì)組織、客戶、供應(yīng)商、競(jìng)爭(zhēng)者、媒體和公眾等元素。外部情境，對(duì)于企業(yè)治理的影響也是非常大的，而且同樣是雙向的。

治理框架圖

三、合規(guī)管理、內(nèi)部控制和風(fēng)險(xiǎn)管理的整合

基準(zhǔn)治理框架統(tǒng)一且細(xì)化了管理的要素，并指出了管理的過(guò)程。這個(gè)框架不僅適用于企業(yè)的整體管理，也適用于企業(yè)的部門(mén)管理或某項(xiàng)業(yè)務(wù)流程的管理。合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理作為企業(yè)的某種管理，不管是否存在一些第三方智力組織，甚至是基于法規(guī)規(guī)定，所提示的“標(biāo)準(zhǔn)或框架”，都應(yīng)與上述基準(zhǔn)治理框架相符合。

這里包含二層意思。一是，合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理應(yīng)建立現(xiàn)有的管理實(shí)踐之上，運(yùn)用現(xiàn)有的管理資源，而非另起爐灶。二是，合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理等相關(guān)管理，不應(yīng)該與基準(zhǔn)治理框架相沖突，應(yīng)在基準(zhǔn)治理框架之下進(jìn)行操作。簡(jiǎn)言之，基準(zhǔn)治理框架可看作是合規(guī)管理體系、內(nèi)部控制框架、風(fēng)險(xiǎn)管理系統(tǒng)的“上位法”。

也就是說(shuō)，合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理等整合的一個(gè)最佳思路，應(yīng)該是將這幾者整合進(jìn)基準(zhǔn)治理框架之內(nèi)。當(dāng)前理論和實(shí)踐中出現(xiàn)的一些“合規(guī)內(nèi)控風(fēng)險(xiǎn)一體化”、“法律合規(guī)內(nèi)控風(fēng)險(xiǎn)協(xié)同運(yùn)作” 等思路，其實(shí)都沒(méi)有站在這種企業(yè)整體管理角度，沒(méi)有去尋找這幾者的“上位法”，其 “整合”效果則可想而知。

合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理的整合，不是要素的整合，而是體系的整合，且是二級(jí)體系向一級(jí)體系的“靠攏”。即便這些二級(jí)體系“出身豪門(mén)”、“來(lái)自權(quán)威”，在整合的實(shí)踐中，仍應(yīng)服從上一級(jí)管理體系的要求。當(dāng)然，我們?cè)诖瞬慌懦衅渌恼匣騾f(xié)同思路。例如，本文作者另行開(kāi)創(chuàng)的“法治管理系統(tǒng)八要素”，可從另一個(gè)企業(yè)整體角度整合法律、合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理等。

將合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理整合進(jìn)基準(zhǔn)治理框架之后，這個(gè)治理框架就因加上了合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理的內(nèi)容，而成為一個(gè)獨(dú)特的統(tǒng)一治理框架。為研究方便，我們將其從企業(yè)治理體系中抽出，獨(dú)立形成一個(gè)“治理風(fēng)險(xiǎn)合規(guī)（Governance Risk & Compliance，GRC）管理體系”（以下簡(jiǎn)稱為“GRC管理體系”）。想強(qiáng)調(diào)的是，企業(yè)內(nèi)并非顯然存在這個(gè)GRC管理體系，它只是在基準(zhǔn)治理框架的基礎(chǔ)上整合了合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理體系的一個(gè)特別稱呼。GRC本身的來(lái)源和其他涵義，限于篇幅，在此不述。本文的GRC管理體系，可認(rèn)為是基準(zhǔn)治理框架+風(fēng)險(xiǎn)管理+內(nèi)控+合規(guī)的一個(gè)整合體系。即GRC管理體系是將合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理等整合起來(lái)的一種方式。

合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理之所以能整合進(jìn)基準(zhǔn)治理框架，是因?yàn)檫@四者的組成要素有很大的相通之處。在明確其大方向——為企業(yè)的發(fā)展提供結(jié)構(gòu)化的“控制為主”的職能——趨于一致的前提下，對(duì)四者很容易聯(lián)想到應(yīng)該進(jìn)行“整合”。

細(xì)言之，治理是在基準(zhǔn)治理框架的八個(gè)要素下進(jìn)行的。從目標(biāo)要素開(kāi)始，分別需要人（組織）、工作（制度和流程）、成果（績(jī)效）、信息（信息與溝通）、文化（企業(yè)文化）、環(huán)境（外部情境）等要素的協(xié)作，才能完成有效的治理。

觀察風(fēng)險(xiǎn)管理的組成要素，以《COSO 企業(yè)風(fēng)險(xiǎn)管理—整合戰(zhàn)略和績(jī)效》（2017）為例，該框架給出了企業(yè)（全面）風(fēng)險(xiǎn)管理應(yīng)具備治理和文化、戰(zhàn)略和目標(biāo)設(shè)定、執(zhí)行、檢查和修正、信息溝通與報(bào)告等五個(gè)要素。這五個(gè)要素同樣涉及了環(huán)境、文化、目標(biāo)、工作、信息溝通等，與基準(zhǔn)治理框架的大多數(shù)要素，內(nèi)核是相通的。同樣，對(duì)照國(guó)資委2006年印發(fā)的《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》，也可看到類似的要素組合而成“指引”的框架。前兩項(xiàng)指導(dǎo)文件，是實(shí)務(wù)中最為普遍的全面風(fēng)險(xiǎn)管理操作指南。

觀察內(nèi)部控制的組成要素，以《COSO內(nèi)部控制整合框架》（2013）為例，該框架給出了企業(yè)內(nèi)部控制應(yīng)具備控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、內(nèi)部監(jiān)督等五個(gè)要素。每個(gè)要素下均明確了若干原則，一共17項(xiàng)原則。這些要素和原則，涉及環(huán)境、人、目標(biāo)、工作、信息、績(jī)效等，與基準(zhǔn)治理框架的大多數(shù)要素，內(nèi)核也是相通的。同樣，對(duì)照財(cái)政部等2004年頒發(fā)的《企業(yè)內(nèi)部控制基本規(guī)范》，也可看到類似的要素組合成的“框架”。前兩項(xiàng)指導(dǎo)文件，是實(shí)務(wù)中最為普遍的內(nèi)部控制操作指南及要求。

觀察合規(guī)管理的組成要素，以《ISO 37301 合規(guī)管理體系要求及使用指南》（2021）為例，該標(biāo)準(zhǔn)給出了組織合規(guī)管理應(yīng)具備的組織環(huán)境、領(lǐng)導(dǎo)作用、策劃、支持、運(yùn)行、績(jī)效評(píng)價(jià)、改進(jìn)等七個(gè)要素。這七個(gè)要素涉及環(huán)境、文化、人、工作、績(jī)效等，與基準(zhǔn)治理框架的大多數(shù)要素，內(nèi)核也是相通的。同樣，對(duì)照國(guó)資委2018年印發(fā)的《中央企業(yè)合規(guī)管理指引（試行）》，也可看到類似的要素組合。前兩項(xiàng)指導(dǎo)文件，是實(shí)務(wù)中最為普遍的合規(guī)管理操作指南。

通過(guò)對(duì)比要素的相通之處，我們清楚的看到了合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理整合進(jìn)基準(zhǔn)治理框架的可行性。結(jié)合“一個(gè)企業(yè)只有一個(gè)治理體系”的說(shuō)法，我們也理解了合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理整合進(jìn)基準(zhǔn)治理框架的必要性。

治理、風(fēng)險(xiǎn)管理、內(nèi)部控制、

合規(guī)管理要素對(duì)比表

四、治理風(fēng)險(xiǎn)合規(guī)（GRC）管理體系的組成

合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理整合進(jìn)基準(zhǔn)治理框架，即形成本文所述的治理風(fēng)險(xiǎn)合規(guī)（GRC）管理體系。這個(gè)GRC，并非典型意義上的GRC，即與美國(guó)第三方組織——OCEG（開(kāi)放合規(guī)和職業(yè)道德團(tuán)體）提出的GRC，還是存在一定區(qū)別的。OCEG GRC有其固定的能力模型和技術(shù)解決方案，本文的治理風(fēng)險(xiǎn)合規(guī)（GRC）管理體系則是為解決合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理整合問(wèn)題而借用了GRC概念及其一定的原則和理念。

在對(duì)比了合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理與基準(zhǔn)治理框架的各自要素的相通之處后，我們基本明確，要將合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理進(jìn)行整合，其實(shí)質(zhì)是用基準(zhǔn)治理框架給出的要素和要素之間的關(guān)系來(lái)統(tǒng)一安排合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理等體系性的工作。這種統(tǒng)一的視角，貫穿于體系的設(shè)計(jì)、實(shí)施、運(yùn)行、監(jiān)測(cè)與評(píng)價(jià)的全過(guò)程。

合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理的各自要素，不再分別強(qiáng)調(diào)，而是要“嵌入”到治理框架的要素之中。在“嵌入”的過(guò)程中，我們認(rèn)為“風(fēng)險(xiǎn)評(píng)估”這個(gè)要素，對(duì)于合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理的實(shí)際工作，也非常重要。因此，有必要把風(fēng)險(xiǎn)評(píng)估作為一個(gè)獨(dú)立的要素，放入整合后的管理體系之中。這樣，基于治理框架的合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理整合而成的治理風(fēng)險(xiǎn)合規(guī)（GRC）管理體系，便是建立在九個(gè)要素的基礎(chǔ)之上的。

特別強(qiáng)調(diào)的是，整合后成為一個(gè)體系不表示合規(guī)管理、內(nèi)部控制和風(fēng)險(xiǎn)管理工作消失，而僅表明原來(lái)的合規(guī)管理體系、內(nèi)部控制體系、風(fēng)險(xiǎn)管理體系成為GRC管理體系的一部分，合規(guī)職能、內(nèi)控職能，以及風(fēng)險(xiǎn)管理職能仍然是存在的，且相互獨(dú)立，以滿足不同體系的內(nèi)、外部特定要求。如對(duì)外按要求出示一些特定報(bào)告，可分別出具。

治理風(fēng)險(xiǎn)合規(guī)（GRC）管理體系要素表

治理風(fēng)險(xiǎn)合規(guī)（GRC）管理體系由目標(biāo)、組織、風(fēng)險(xiǎn)評(píng)估、制度、流程、績(jī)效、企業(yè)文化、信息與溝通、外部情境等九個(gè)要素組成。各要素的內(nèi)涵都很豐富，綜合了公司治理、合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理的多樣實(shí)踐，同時(shí)也糅合了大量的經(jīng)典管理及組織科學(xué)理論。

1.GRC管理體系中的目標(biāo)，是指整合合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理等，也即構(gòu)建治理風(fēng)險(xiǎn)合規(guī)（GRC）管理體系之時(shí)，應(yīng)首先建立一套統(tǒng)一的治理與風(fēng)險(xiǎn)管理目標(biāo)。這個(gè)目標(biāo)應(yīng)將戰(zhàn)略、業(yè)務(wù)與風(fēng)險(xiǎn)的平衡，經(jīng)營(yíng)效率效果的提升，報(bào)告與信息披露的真實(shí)，法律法規(guī)及道德規(guī)范的遵循等均應(yīng)包含進(jìn)去。不管是公司戰(zhàn)略層，還是業(yè)務(wù)流程層或者個(gè)體崗位層，其目標(biāo)確定時(shí)，均應(yīng)同時(shí)考慮以上的多重目標(biāo)內(nèi)容。如發(fā)生目標(biāo)沖突，企業(yè)應(yīng)在其價(jià)值觀指導(dǎo)下進(jìn)行決策選擇。

2.GRC管理體系中的組織，是指構(gòu)建GRC管理體系，應(yīng)將合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理的組織職責(zé)統(tǒng)籌起來(lái)，建立一個(gè)統(tǒng)一的治理與風(fēng)險(xiǎn)管理組織。例如，全面合規(guī)與風(fēng)險(xiǎn)管理委員會(huì)。該委員的職責(zé)把原來(lái)可能分散的法律、合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理等職責(zé)集中起來(lái)，交由一個(gè)最高的治理機(jī)構(gòu)管轄。當(dāng)然，這個(gè)統(tǒng)一，不是必然的。如企業(yè)暫時(shí)條件不具備，也可用一種半統(tǒng)一的方式進(jìn)行過(guò)渡。如以一種聯(lián)席會(huì)議的方式，進(jìn)行統(tǒng)籌。

3.GRC管理體系中的風(fēng)險(xiǎn)評(píng)估，指在執(zhí)行GRC管理制度和流程之前，必須先找出存在的問(wèn)題和風(fēng)險(xiǎn)。問(wèn)題和風(fēng)險(xiǎn)是制度及流程實(shí)施的前提，不以問(wèn)題和風(fēng)險(xiǎn)為導(dǎo)向，所進(jìn)行的管理制度和流程，可能會(huì)造成業(yè)務(wù)與管理兩張皮的現(xiàn)象。因此，雖然在標(biāo)準(zhǔn)的基準(zhǔn)治理框架中，未把風(fēng)險(xiǎn)評(píng)估作為一項(xiàng)獨(dú)立的要素，僅把風(fēng)險(xiǎn)評(píng)估作為制度和流程工作展開(kāi)的條件，但鑒于風(fēng)險(xiǎn)評(píng)估的重要性，本文建議將其作為一項(xiàng)要素。GRC管理體系中的風(fēng)險(xiǎn)評(píng)估，應(yīng)該對(duì)全部類型的風(fēng)險(xiǎn)同時(shí)進(jìn)行評(píng)估，包括因違反法律法規(guī)可能產(chǎn)生的法律合規(guī)風(fēng)險(xiǎn)，因內(nèi)部流程缺陷可能產(chǎn)生的內(nèi)控風(fēng)險(xiǎn)，因?qū)ν饨绛h(huán)境變化不敏感產(chǎn)生的戰(zhàn)略風(fēng)險(xiǎn)、環(huán)境風(fēng)險(xiǎn)等。

4.GRC管理體系中的制度，指將合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理等相關(guān)的制度統(tǒng)一設(shè)計(jì)、統(tǒng)一編制，同步實(shí)施、同時(shí)評(píng)價(jià)?，F(xiàn)有的合規(guī)管理制度包括合規(guī)管理辦法、合規(guī)行為準(zhǔn)則、業(yè)務(wù)合規(guī)操作指引、合規(guī)流程管理制度、合規(guī)管理手冊(cè)等?，F(xiàn)有的內(nèi)部控制制度包括資金內(nèi)控制度、采購(gòu)內(nèi)控制度、存貨管理內(nèi)控制度、銷售內(nèi)控制度、工程項(xiàng)目?jī)?nèi)控制度等。現(xiàn)有的風(fēng)險(xiǎn)管理制度包括風(fēng)險(xiǎn)準(zhǔn)則與風(fēng)險(xiǎn)文化辦法、風(fēng)險(xiǎn)管理策略管理辦法、風(fēng)險(xiǎn)預(yù)警與跟蹤管理辦法等。將這些制度或辦法，按制度管理的規(guī)則統(tǒng)一進(jìn)行編制、實(shí)施和考核。

5.GRC管理體系中的流程，是九個(gè)要素之中唯一一個(gè)需要分別進(jìn)行處置的要素。這是因?yàn)榱鞒?，本質(zhì)是風(fēng)險(xiǎn)管控措施的執(zhí)行，在合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理等過(guò)程中表現(xiàn)的主要特點(diǎn)完全不一樣，無(wú)法進(jìn)行“一體化”。也正是因?yàn)檫@一點(diǎn)，合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理的職能才得以持續(xù)獨(dú)立，不至于因?yàn)檫@個(gè)“統(tǒng)籌”或“一體化”過(guò)程而趨于消失。合規(guī)流程，側(cè)重于要求和監(jiān)督；內(nèi)控流程，側(cè)重于制約和控制；風(fēng)險(xiǎn)管理流程，側(cè)重于判斷和權(quán)衡。這幾者的流程的特點(diǎn)，是很不一樣的，其各自手段也是迥異的。

6.GRC管理體系中的績(jī)效，是指包括合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理等均涉及的評(píng)價(jià)、考核、監(jiān)督、調(diào)查、追責(zé)、改進(jìn)等在內(nèi)的所有工作事項(xiàng)?？?jī)效是形成體系運(yùn)行閉環(huán)的必不可少的組成，它是對(duì)合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理制度與流程執(zhí)行的反饋，也是不斷驅(qū)使過(guò)程管理走向目標(biāo)的重要手段?？?jī)效評(píng)價(jià)，在GRC管理體系中，建議統(tǒng)一進(jìn)行。

7.GRC管理體系中的企業(yè)文化，指圍繞風(fēng)險(xiǎn)、合規(guī)、職業(yè)道德、社會(huì)責(zé)任等而統(tǒng)一開(kāi)展的文化設(shè)計(jì)與宣傳實(shí)施的工作事項(xiàng)。OCEG認(rèn)為文化在GRC體系中居于中心的地位。在內(nèi)部控制整合框架和風(fēng)險(xiǎn)管理框架中，也都存在關(guān)于企業(yè)文化的內(nèi)容。合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理從不同方面強(qiáng)化了企業(yè)文化，而企業(yè)文化也為GRC管理體系提供良好的土壤。

8.GRC管理體系中的信息與溝通，綜合了合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理的共同要素。信息與溝通，在任何管理體系中，都是必不可少的。實(shí)現(xiàn)該信息要素的統(tǒng)一，最佳方式是建立一套打通的合規(guī)、內(nèi)控、風(fēng)險(xiǎn)一體化管理信息系統(tǒng)。溝通要素的整合，要注意溝通機(jī)制的設(shè)計(jì)，特別是承認(rèn)存在大量的非正式溝通，有助于整合體系的績(jī)效提升。

9.GRC管理體系中的外部情境，包括外部宏觀環(huán)境和利益相關(guān)者的期望及要求，這個(gè)要素在合規(guī)管理、內(nèi)部控制、風(fēng)險(xiǎn)管理的整合中，可謂能形成天然的“統(tǒng)一”。因?yàn)橐粋€(gè)企業(yè)，特定時(shí)空下，只能處于一種特定宏觀環(huán)境下以及只面對(duì)同一類利益相關(guān)者。合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理單個(gè)體系在分析外部情境時(shí)，本來(lái)分析的即是同一的外部情境。只是，外部情境分析在內(nèi)部控制、風(fēng)險(xiǎn)管理的原框架中，可能處在不同的要素之中。

以上是本文作者對(duì)治理風(fēng)險(xiǎn)與合規(guī)（GRC）管理體系的一般介紹，將另行撰文講述GRC管理體系的構(gòu)建、運(yùn)行與評(píng)價(jià)等。