“政策”是正式化的指导方针,有助于组织将行为与战略意图对齐,并确保合规性。本文将讨论政策执行框架,重点介绍如对控制措施的持续监控、收集利益相关者反馈的机制,以及政策与整体战略之间的对齐等应用场景。
政策生命周期的利益相关者
传统上,政策由不同的利益相关者群体制定、执行和调整:
- 治理机构和法律团队(制定政策)
- 运营管理人员(实施政策)
- 合规专员或部门负责人(维护政策)
- 审计员或风险管理人员(评估政策有效性)
虽然政策生命周期中的角色分布在不同的利益相关者之间,这种分工不应导致碎片化。政策实施的最终目标是将政策意图与实际交付统一起来1。
典型政策框架的结构
一个全面的政策框架遵循分层结构,从高层次的法规或战略意图逐步减少抽象程度,直到具体控制措施的操作实施层面:
- 法规 / 治理:法律要求和公司内部原则。
- 政策:概述组织立场的高层声明。
- 标准:具体且可衡量的规则。
- 程序:实施标准的分步操作指引。
- 指南:支持程序的推荐最佳实践。
- 控制措施:用于预防、检测或纠正不合规行为的机制。
使用BSC Designer自动化政策执行
正如多项标准(例如ISO 37301合规管理体系)所强调的,政策执行应被视为整体战略实施的一部分。
BSC Designer平台在核心战略与支持性政策之间实现了无缝对齐。下面我们探讨如何通过战略规划软件在实际中实施政策执行框架。
政策结构与对齐
政策框架的整体结构:
- 在记分卡层面,用户可以定义总体政策或规章。这些政策可以是适用于整个组织的,也可以是针对某个业务单位或职能的。
- 根据其角色,不同的利益相关者群体被授予某些政策实施部分的访问权限。例如,遵循RACI模型。
- 在记分卡内,可以通过条目层级将战略意图分解为支持性的标准、流程和控制措施。
- 政策或其控制措施可以与战略记分卡中的特定目标对齐。这种对齐支持政策从传统的合规角色转变为将合规作为企业战略关键推动者的角色。2
政策控制与持续改进
绩效指标的机制用于定义控制措施:
在政策执行框架中,控制措施是动态的:
- 通过实时数据更新实现了持续监控,并通过审计跟踪支持可追溯性。持续监控需求的一个很好的例子是跟踪政策更新的定期培训(参见四级培训测量模型)3。
- 支持各种绩效测量案例,例如定性评估、合规/不合规的二元状态、逐步绩效变化以及检测所附证据的能力等。
平台提供传统的政策管理功能:
- 可以上传并关联到相关目标或控制措施的支持性文件,如政策文件、流程和审计报告。
- 与控制措施实施或政策更新相关的行动计划可在系统内部进行跟踪,分配责任人,并根据截止日期或绩效变化触发提醒。
- 控制面板和战略地图提供强大的可视化工具,帮助利益相关者快速评估绩效、识别差距,并理解政策、控制措施与结果之间的关系。
为支持反馈机制:
- 利益相关者可通过评论功能直接参与,提供反馈或记录问题以供审计。
- 平台可向相关利益相关者自动发送定期报告。
我们在GRC控制相关文章中讨论了更多示例和实施方法。
扩展与维护
政策维护:
- 根据设计,每个控制都包含一个必需的实际化间隔。该间隔定义了必须由责任人自动或手动上传绩效数据的时间。如果错过实际化间隔,这些控制将被标记为“需要更新”。
为确保政策框架更易于扩展:
- 组织可以定义政策模板,然后在各部门或业务单元中复制使用。
- 控制及其模板可以是静态的,也可以动态同步。
结论
所讨论的方法将政策执行从静态的文档流程转变为动态的、可衡量的、战略对齐的系统。
- 通过将政策与运营控制和战略目标相连接,组织不仅能够确保合规,还能提升政策作为战略推动者的作用。
- 软件自动化的作用在于降低相关核心利益相关者在战略规划领域的复杂性,确保绩效数据的一致性和可追溯性。
