GRC(治理、風險管理及合規性)是大家耳熟能詳的管理框架,不過,有多少企業或政府組織真正能將它落實在我們的組織中,相信應該不太多,不然,怎麼會有弊案或決策錯誤的事情一天到晚發生呢? 每當提到公司治理的重要性,就會有許多所謂的專家站出來呼籲,要求主管機關制定相關的法律來供遵循,而受到監督的上市櫃公司,它們的董事會與經營管理階層,就會努力地探尋資源,如何遵守法令要求,當然現在幾乎每個機構包含政府單位,都會要求員工簽署遵守企業職業道德與倫理規範,事實上,看似完全正確,但問題經常出在,表面上的法令遵循與實質的作為,常常是背道而馳,也就說良好的企業和組織文化是否有被正確地建立?如果公司各階層間的管理態度或者是做事態度不正確,且不一致,所謂的陽奉陰違,每件事情永遠不會被整合、正確地處理,同時,不受監督定期改善,公司營運績效就無法獲得確保,因此,公司治理做的好不好,不是別人說的就算,而是要靠親身體驗和自我評鑑與鞭策,才會達成,GRC的落實,一切必須先從基本態度建立開始。
GRC(治理、風險管理及合規性)三大支柱,是公司或政府組織營運管理的基本架構,它並不是什麼新標準,一個成功的企業或健全的政府運作,無非要靠良好的領導管理風格及良好的統御系統,隨時提供正確的營運方針及決策,要如何避免錯誤的決策發生,風險管理作業就是必須被有效落實;我們經常看到政府部門不論是在新政策的推動上,或是實行時,往往忽略風險評估及掌握對利害相關人的衝擊與影響,一旦政策被決定並且推動時,才發覺當時少考量到許多不利的因素,影響觸及利害關係人的權益,如果是這樣,從合規性的角度,強調一切都合法,其實都是毫無意義的,因為,財務損失已造成,權益受損往往是無法瀰補的,因此,如何掌握推動GRC的實質精神,是當前管理者的首要工作。
風險管理是確保企業營運績效及政府達成施政目標的有效方法,它提供管理目標的確認與擬訂施行計畫的策略,重點在管理架構和流程操作的成熟度,許多單位在一開始推動風險管理制度,沒有掌握管理架構的精髓,只是從片斷字面上的解釋就去執行,往往因此產生認知上的偏差,導致誤導實施風險管理的目的,這是十分可惜的一件事情,民國九十八年,有幸參與行政院研考會委辦『政府風險管理實施計畫推動方案』,觀察到行政院自民國九十四年開始執行本計畫,已陸陸續續舉辦過多次的政府風險管理的宣導活動與研習會,各單位都有派代表參加,同時,定期呈報風險圖像與改善計畫,相關計畫推動內容與實施方法,都有非常完整的記錄,而且都是來自國外的風險管理標準和案例,只是發覺,前四年的實施成效不是很明顯,連研考會長官對於我們屬於會計背景如何瞭解及對所有政府部門不同業務行政管理屬性進行評估與建議有許多質疑,我當時就告訴長官,我們主要掌握的是,風險管理的方法論,套用各作業階段的邏輯定義,所謂政府部門不同單位不同業務的特性,對我們來說,只是背景體系的說明,瞭解作業流程與控管方式,依照該階段的管理目標,辨別出風險項目,評估其衝擊與影響程度,定義風險等級,找出對應的控制措施與程序,再進行確認其控制設計的妥適性與執行的有效性,而合規性的要求,就屬於這一環,然而,要確保風險管理的有效,持續性的稽核與監控作業則會是達成此一管理目標的必要手段。