在古代打仗時(shí)，人們?cè)缇椭�道士兵和將領(lǐng)身穿鎧甲，一手拿矛，一手持盾。矛是用來殺敵、占領(lǐng)新的戰(zhàn)場(chǎng)的，而盾是用來護(hù)身、防衛(wèi)敵人進(jìn)攻的。企業(yè)的發(fā)展，也應(yīng)該遵從規(guī)避風(fēng)險(xiǎn)，提高績(jī)效，不但要將矛磨得鋒利點(diǎn)，還需要將盾鑄的堅(jiān)固點(diǎn)。

　　上海一公司的某個(gè)員工從人力資源部調(diào)到了財(cái)務(wù)部，但是他原先給員工開賬號(hào)的權(quán)限沒有注銷，結(jié)果他就在系統(tǒng)中將自己全家人建立為公司的員工，每月發(fā)著工資，其結(jié)果公司損失幾百萬。公司的系統(tǒng)中，每個(gè)人有多個(gè)權(quán)限，有很多不同的角色，這些角色中是否存在著沖突現(xiàn)象。企業(yè)一些關(guān)鍵過的的審批是否真正執(zhí)行了，有沒有超越權(quán)限的行為發(fā)生，像這樣的風(fēng)險(xiǎn)很多公司都存在，如何在企業(yè)中通過風(fēng)險(xiǎn)控制，提高企業(yè)的績(jī)效，是每個(gè)企業(yè)應(yīng)該重點(diǎn)關(guān)注的重點(diǎn)。企業(yè)不但要關(guān)注績(jī)效，還要平衡風(fēng)險(xiǎn)。

　　一、風(fēng)險(xiǎn)調(diào)節(jié)之下的績(jī)效管理

　　企業(yè)要實(shí)現(xiàn)利潤(rùn)最大化，就需要兩條腿走路，一要保證企業(yè)的效益最大化，二要企業(yè)風(fēng)險(xiǎn)調(diào)節(jié)到適當(dāng)?shù)某潭�。這就是最近幾年管理軟件界新出現(xiàn)的新概念，企業(yè)績(jī)效優(yōu)化（Enterprise Performance Optimization）或者企業(yè)績(jī)效應(yīng)用（Performance Optimization Application），它主要包括兩大方面，一個(gè)方面就是2001年開始被人們開始關(guān)注的企業(yè)績(jī)效管理（Cooperate Performance Management）和安然事件后引起人們重視的GRC（Governance，Risk Management 和Compliance）  .

　　企業(yè)績(jī)效管理（CPM）是用于監(jiān)控和管理企業(yè)績(jī)效的方法、準(zhǔn)則、過程和系統(tǒng)的整體組合。是保證企業(yè)效益管理的有效性，以及戰(zhàn)略和執(zhí)行的一致性，主要包括公司的戰(zhàn)略管理、商務(wù)模式設(shè)計(jì)、預(yù)算和規(guī)劃、實(shí)時(shí)企業(yè)執(zhí)行的監(jiān)控、分析和報(bào)告；而GRC主要使用在全面風(fēng)險(xiǎn)管理、企業(yè)內(nèi)部控制和責(zé)權(quán)分離的實(shí)施和執(zhí)行，也包括企業(yè)的采購(gòu)、生產(chǎn)、財(cái)務(wù)、運(yùn)營(yíng)、營(yíng)銷、環(huán)境、安全、貿(mào)易SOX法案等的合規(guī)。

　　在一般情況下，企業(yè)的績(jī)效和風(fēng)險(xiǎn)是成正比的，期望的績(jī)效越高，企業(yè)的風(fēng)險(xiǎn)也會(huì)越大。所以企業(yè)如何在降低風(fēng)險(xiǎn)的條件下，提高企業(yè)的整體績(jī)效。比如企業(yè)為了利潤(rùn)最大化，可能采取提高價(jià)格，可是提高價(jià)格可能會(huì)降低客戶的購(gòu)買度，出現(xiàn)更大的風(fēng)險(xiǎn)，反而降低了企業(yè)的績(jī)效，如何保持企業(yè)的績(jī)效和風(fēng)險(xiǎn)的平衡，是每個(gè)企業(yè)正在追求的理想環(huán)境。企業(yè)過分強(qiáng)調(diào)績(jī)效，忽略了風(fēng)險(xiǎn)，很難保持企業(yè)長(zhǎng)青，企業(yè)過分強(qiáng)調(diào)風(fēng)險(xiǎn)，可能導(dǎo)致辦事效率低下，反倒直接影響了企業(yè)的效益和員工的積極性。比如合規(guī)要求太強(qiáng)，公司還沒有很好的系統(tǒng)和工具，一個(gè)合同的審批流程長(zhǎng)達(dá)一周或者數(shù)月，企業(yè)就很難做大做強(qiáng)。

　　二、如何實(shí)現(xiàn)企業(yè)的GRC

　　GRC包括公司治理、風(fēng)險(xiǎn)管理和合規(guī)。公司治理主要是指公司的組織結(jié)構(gòu)、各個(gè)部門和角色的職能職責(zé)，流程規(guī)范；風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)的定義、風(fēng)險(xiǎn)的識(shí)別、風(fēng)險(xiǎn)的分析和預(yù)警，風(fēng)險(xiǎn)的級(jí)別和損失評(píng)估，以及風(fēng)險(xiǎn)應(yīng)對(duì)所采取的合理方案。其主要的方法是定義企業(yè)的KRI（關(guān)鍵風(fēng)險(xiǎn)指標(biāo)），進(jìn)行實(shí)時(shí)分析、監(jiān)控、預(yù)警；對(duì)企業(yè)過程管理每個(gè)作業(yè)的監(jiān)控，做到過程控制。風(fēng)險(xiǎn)絕對(duì)不可能完全杜絕，而是要分析降低風(fēng)險(xiǎn)所需要的時(shí)間和成本，然后采取應(yīng)對(duì)的策略和方案。合規(guī)包括法律、財(cái)務(wù)、環(huán)境、采供、生產(chǎn)、銷售、運(yùn)營(yíng)等的各種國(guó)際、國(guó)內(nèi)監(jiān)管機(jī)構(gòu)等的法律、法規(guī)的遵從和要求。

　　國(guó)資委《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》和五個(gè)部委提出《企業(yè)內(nèi)部控制基本規(guī)范》出臺(tái)以后，各個(gè)企業(yè)開始重視全面風(fēng)險(xiǎn)管理和企業(yè)內(nèi)部控制，可是如何讓全面風(fēng)險(xiǎn)管理落地，一是要建立風(fēng)險(xiǎn)管理相應(yīng)的組織，比如風(fēng)險(xiǎn)管理委員會(huì)，將企業(yè)風(fēng)險(xiǎn)管理從以前的口頭任務(wù)落實(shí)到具體的組織管理，二是企業(yè)健全風(fēng)險(xiǎn)管理的規(guī)章制度、編制并落實(shí)內(nèi)部控制手冊(cè)；三是制定全面風(fēng)險(xiǎn)管理的流程和定期檢查；四是利用風(fēng)險(xiǎn)管理的工具，實(shí)時(shí)監(jiān)控企業(yè)的關(guān)鍵風(fēng)險(xiǎn)指標(biāo)（KRI），發(fā)現(xiàn)超標(biāo)或者流程節(jié)點(diǎn)出現(xiàn)漏洞，及時(shí)預(yù)警，分析原因，獲得風(fēng)險(xiǎn)的等級(jí)，預(yù)測(cè)產(chǎn)生損失的大小，采取應(yīng)對(duì)措施所需要的成本，最后決策如何采取行動(dòng)，使得風(fēng)險(xiǎn)損失降到最低。

　　企業(yè)風(fēng)險(xiǎn)管理具體工作步驟應(yīng)該具有三道防線：第一道防線是業(yè)務(wù)部門的管理人員需要嚴(yán)格遵守業(yè)務(wù)流程，在每個(gè)風(fēng)險(xiǎn)點(diǎn)進(jìn)行把關(guān)，落實(shí)風(fēng)險(xiǎn)責(zé)任人，當(dāng)然對(duì)于企業(yè)的風(fēng)險(xiǎn)，可以事先進(jìn)行預(yù)防，比如在企業(yè)的ERP系統(tǒng)中，將每個(gè)過程節(jié)點(diǎn)的風(fēng)險(xiǎn)進(jìn)行檢查，例如從采購(gòu)到付款的每個(gè)節(jié)點(diǎn)實(shí)現(xiàn)自動(dòng)檢測(cè)和控制，超過閥值時(shí)，就無法進(jìn)行下一步的操作。第二道防線是風(fēng)險(xiǎn)管理職能部門，制定規(guī)范的制度，發(fā)現(xiàn)企業(yè)的風(fēng)險(xiǎn)，提出改進(jìn)的計(jì)劃，定期發(fā)布風(fēng)險(xiǎn)報(bào)告；第三道防線是內(nèi)部審計(jì)部門，監(jiān)督評(píng)審企業(yè)的風(fēng)險(xiǎn)，從體系建設(shè)和制度執(zhí)行，逐步整改。

　　三、企業(yè)風(fēng)險(xiǎn)管理實(shí)現(xiàn)的內(nèi)容和方法

　　企業(yè)的風(fēng)險(xiǎn)包括戰(zhàn)略風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、運(yùn)營(yíng)風(fēng)險(xiǎn)、法規(guī)風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、利率風(fēng)險(xiǎn)、信息化建設(shè)風(fēng)險(xiǎn)等。

　　戰(zhàn)略風(fēng)險(xiǎn)包括企業(yè)的投資組合、組織架構(gòu)、環(huán)境監(jiān)測(cè)、資源分配等，往往一個(gè)簡(jiǎn)單的決策，導(dǎo)致一個(gè)企業(yè)的倒閉，企業(yè)要做多元化還是一元化，都是企業(yè)值得認(rèn)真分析，經(jīng)常利用的方法有五力分析法、平衡計(jì)分卡方法、企業(yè)的戰(zhàn)略地圖、績(jī)效棱柱方法、SWOT分析法等建立企業(yè)的戰(zhàn)略目標(biāo)。SAP的戰(zhàn)略管理（Strategic Management）和風(fēng)險(xiǎn)管理（Risk Management）軟件主要就是為了實(shí)現(xiàn)戰(zhàn)略風(fēng)險(xiǎn)控制而設(shè)計(jì)的一套完整的解決方案。

　　財(cái)務(wù)風(fēng)險(xiǎn)包括預(yù)算和計(jì)劃的完整性和可實(shí)現(xiàn)性、財(cái)務(wù)報(bào)告的完整、準(zhǔn)確、透明、實(shí)時(shí)性。SAP 的預(yù)算和合并報(bào)表（Business Planning & Consolidation）就是為了實(shí)現(xiàn)財(cái)務(wù)風(fēng)險(xiǎn)管理和控制而設(shè)計(jì)的。

　　運(yùn)營(yíng)風(fēng)險(xiǎn)包括企業(yè)運(yùn)作的流程、規(guī)范和制度的執(zhí)行。比如新產(chǎn)品開發(fā)、供應(yīng)商、采購(gòu)、庫(kù)存、排成、生產(chǎn)、運(yùn)輸、銷售、客戶等流程節(jié)點(diǎn)的控制，主要體現(xiàn)在過程控制和統(tǒng)計(jì)過程控制。主要可以使用ERP和SAP過程控制（Process Control）來實(shí)現(xiàn)。

　　在運(yùn)營(yíng)風(fēng)險(xiǎn)中一項(xiàng)非常重要的風(fēng)險(xiǎn)就是責(zé)權(quán)分離，企業(yè)通過責(zé)權(quán)分離來杜絕一些舞弊行為，比如一人多責(zé)，像會(huì)計(jì)和出納由一人擔(dān)當(dāng)，人力資源部門管理員工賬號(hào)的人員和財(cái)務(wù)部發(fā)工資人員一人擔(dān)任或者調(diào)離了某個(gè)部門而權(quán)限沒有注銷等，都會(huì)為企業(yè)帶來巨大的風(fēng)險(xiǎn)和損失。這樣就需要在給每個(gè)人分發(fā)權(quán)限時(shí)，事先模擬是否有沖突現(xiàn)象，然后審批經(jīng)理在系統(tǒng)中進(jìn)行審批，事中檢查是否有沖突，事后分析，有那些人有沖突的權(quán)限，這些人都做了那些違規(guī)的工作，帶來多大的損失，然后進(jìn)行整改。這一需求可以通過SAP的訪問控制（Access Control）來實(shí)現(xiàn)。

　　法規(guī)風(fēng)險(xiǎn)包括監(jiān)管部門的各種法規(guī)，經(jīng)常會(huì)有多重法規(guī)，比如國(guó)際會(huì)計(jì)準(zhǔn)則、環(huán)境、健康和安全（EHS）、低碳、REACH、進(jìn)出口貿(mào)易各國(guó)之間的法律法規(guī)等，這些可由SAP的EHS和全球貿(mào)易服務(wù)（Glob Trade Service）實(shí)現(xiàn)。

　　對(duì)于企業(yè)的信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、利率風(fēng)險(xiǎn)等，