企業績效優化就是矛和盾的平衡

    在古代打仗時，人們早就知道士兵和將領身穿鎧甲，一手拿矛，一手持盾。矛是用來殺敵、占領新的戰場的，而盾是用來護身、防衛敵人進攻的。企業的發展，也應該遵從規避風險，提高績效，不但要將矛磨得鋒利點，還需要將盾鑄的堅固點。

　　上海一公司的某個員工從人力資源部調到了財務部，但是他原先給員工開賬號的權限沒有注銷，結果他就在系統中將自己全家人建立為公司的員工，每月發著工資，其結果公司損失幾百萬。公司的系統中，每個人有多個權限，有很多不同的角色，這些角色中是否存在著沖突現象。企業一些關鍵過的的審批是否真正執行了，有沒有超越權限的行為發生，像這樣的風險很多公司都存在，如何在企業中通過風險控制，提高企業的績效，是每個企業應該重點關注的重點。企業不但要關注績效，還要平衡風險。

　　一、風險調節之下的績效管理

　　企業要實現利潤最大化，就需要兩條腿走路，一要保證企業的效益最大化，二要企業風險調節到適當的程度。這就是最近幾年管理軟件界新出現的新概念，企業績效優化（Enterprise Performance Optimization）或者企業績效應用（Performance Optimization Application），它主要包括兩大方面，一個方面就是2001年開始被人們開始關注的企業績效管理（Cooperate Performance Management）和安然事件后引起人們重視的GRC（Governance，Risk Management 和Compliance）  .

　　企業績效管理（CPM）是用于監控和管理企業績效的方法、準則、過程和系統的整體組合。是保證企業效益管理的有效性，以及戰略和執行的一致性，主要包括公司的戰略管理、商務模式設計、預算和規劃、實時企業執行的監控、分析和報告；而GRC主要使用在全面風險管理、企業內部控制和責權分離的實施和執行，也包括企業的采購、生產、財務、運營、營銷、環境、安全、貿易SOX法案等的合規。

　　在一般情況下，企業的績效和風險是成正比的，期望的績效越高，企業的風險也會越大。所以企業如何在降低風險的條件下，提高企業的整體績效。比如企業為了利潤最大化，可能采取提高價格，可是提高價格可能會降低客戶的購買度，出現更大的風險，反而降低了企業的績效，如何保持企業的績效和風險的平衡，是每個企業正在追求的理想環境。企業過分強調績效，忽略了風險，很難保持企業長青，企業過分強調風險，可能導致辦事效率低下，反倒直接影響了企業的效益和員工的積極性。比如合規要求太強，公司還沒有很好的系統和工具，一個合同的審批流程長達一周或者數月，企業就很難做大做強。

　　二、如何實現企業的GRC

　　GRC包括公司治理、風險管理和合規。公司治理主要是指公司的組織結構、各個部門和角色的職能職責，流程規范；風險管理包括風險的定義、風險的識別、風險的分析和預警，風險的級別和損失評估，以及風險應對所采取的合理方案。其主要的方法是定義企業的KRI（關鍵風險指標），進行實時分析、監控、預警；對企業過程管理每個作業的監控，做到過程控制。風險絕對不可能完全杜絕，而是要分析降低風險所需要的時間和成本，然后采取應對的策略和方案。合規包括法律、財務、環境、采供、生產、銷售、運營等的各種國際、國內監管機構等的法律、法規的遵從和要求。

　　國資委《中央企業全面風險管理指引》和五個部委提出《企業內部控制基本規范》出臺以后，各個企業開始重視全面風險管理和企業內部控制，可是如何讓全面風險管理落地，一是要建立風險管理相應的組織，比如風險管理委員會，將企業風險管理從以前的口頭任務落實到具體的組織管理，二是企業健全風險管理的規章制度、編制并落實內部控制手冊；三是制定全面風險管理的流程和定期檢查；四是利用風險管理的工具，實時監控企業的關鍵風險指標（KRI），發現超標或者流程節點出現漏洞，及時預警，分析原因，獲得風險的等級，預測產生損失的大小，采取應對措施所需要的成本，最后決策如何采取行動，使得風險損失降到最低。

　　企業風險管理具體工作步驟應該具有三道防線：第一道防線是業務部門的管理人員需要嚴格遵守業務流程，在每個風險點進行把關，落實風險責任人，當然對于企業的風險，可以事先進行預防，比如在企業的ERP系統中，將每個過程節點的風險進行檢查，例如從采購到付款的每個節點實現自動檢測和控制，超過閥值時，就無法進行下一步的操作。第二道防線是風險管理職能部門，制定規范的制度，發現企業的風險，提出改進的計劃，定期發布風險報告；第三道防線是內部審計部門，監督評審企業的風險，從體系建設和制度執行，逐步整改。

　　三、企業風險管理實現的內容和方法

　　企業的風險包括戰略風險、財務風險、運營風險、法規風險、市場風險、信用風險、利率風險、信息化建設風險等。

　　戰略風險包括企業的投資組合、組織架構、環境監測、資源分配等，往往一個簡單的決策，導致一個企業的倒閉，企業要做多元化還是一元化，都是企業值得認真分析，經常利用的方法有五力分析法、平衡計分卡方法、企業的戰略地圖、績效棱柱方法、SWOT分析法等建立企業的戰略目標。SAP的戰略管理（Strategic Management）和風險管理（Risk Management）軟件主要就是為了實現戰略風險控制而設計的一套完整的解決方案。

　　財務風險包括預算和計劃的完整性和可實現性、財務報告的完整、準確、透明、實時性。SAP 的預算和合并報表（Business Planning & Consolidation）就是為了實現財務風險管理和控制而設計的。

　　運營風險包括企業運作的流程、規范和制度的執行。比如新產品開發、供應商、采購、庫存、排成、生產、運輸、銷售、客戶等流程節點的控制，主要體現在過程控制和統計過程控制。主要可以使用ERP和SAP過程控制（Process Control）來實現。

　　在運營風險中一項非常重要的風險就是責權分離，企業通過責權分離來杜絕一些舞弊行為，比如一人多責，像會計和出納由一人擔當，人力資源部門管理員工賬號的人員和財務部發工資人員一人擔任或者調離了某個部門而權限沒有注銷等，都會為企業帶來巨大的風險和損失。這樣就需要在給每個人分發權限時，事先模擬是否有沖突現象，然后審批經理在系統中進行審批，事中檢查是否有沖突，事后分析，有那些人有沖突的權限，這些人都做了那些違規的工作，帶來多大的損失，然后進行整改。這一需求可以通過SAP的訪問控制（Access Control）來實現。

　　法規風險包括監管部門的各種法規，經常會有多重法規，比如國際會計準則、環境、健康和安全（EHS）、低碳、REACH、進出口貿易各國之間的法律法規等，這些可由SAP的EHS和全球貿易服務（Glob Trade Service）實現。

　　對于企業的信用風險、市場風險、利率風險等，