公司治理、风险管理及合规审查

维基百科,自由的百科全书
跳转至: 导航搜索

现在公司或者组织越来越认识到,公司治理、风险管理及合规审查(Governance, Risk Management, and Compliance,縮寫GRC)这三个领域应该被作为一个综合的整体来看待。然而,在实际商业活动中,GRC 包含了很多彼此关联而又互相交叉的行为,例如内部审计,诸如SOX之类的规范审查,公司风险管理,运营风险,意外事件管理等。

概述[编辑]

公司治理是高级管理团队的责任,它关注创建组织内部的透明度,采用某种机制来保证组织内所有成员都遵守确定的流程和方针。恰当的治理策略能够监测和记录当前的商业活动,采取措施和步骤来保证符合确定的方针,并且能够在误解、曲解或未遵守原则时提供矫正措施。

风险管理 是组织识别潜在的风险、根据组织的商业目标区分风险的优先级、判断其抗风险度的一个流程。风险管理通过组织的内部控制来管理和减轻风险。

合规审查 通过记录和检测控制项,来确认其符合法律规定、行业规范以及组织的内部政策。

非常重要的一点是,我们注意到,在 GRC 的领域中,如果并不具备第一个(公司治理), 那么后面两个(风险管理、合规审查)就显得毫无用处并且很有可能无法真正达到。类似地,如果不具备第二个(风险管理),那么合规审查也变得毫无用处并且很有可能无法真正达到。这就是为什么这个词的缩写为 G + R + C,而并非其它的顺序。公司治理、风险管理及合规审查高度相关,但是他们是明显不同的活动,来解决针组织内不同类型要素的不同问题。

给出 GRC 的精确定义是非常具有挑战性的。根据 GRC 行业分析师 Michael Rasmussen 的说法,精确定义 GRC 的挑战之处在于,组成 GRC 的三个词的每一个在(不同)组织中都具有很多不同的含义。它们包括:企业治理、IT治理、财务风险、战略风险、运营风险、IT风险、公司规范、SOX 法规、劳动法规、隐私法规 … …。你发现它的挑战之处了吧。

创建 GRC 系统的最初兴趣来源于SOX 法案,然而现在对 GRC 的需求已经发生变化。现在 GRC 被认为是实现 企业风险管理 (ERM, Enterprise Risk Management) 的手段。特别地,这代表了把风险管理仅仅看作执行或合规的行为,到被认为可以提高决策制定和战略计划科学性以增加商业价值的转变。

GRC 市场细分[编辑]

一个 GRC 的产品可以被设计为只关注任何一个单独的领域。不过,最常见的领域包括:财务GRC、IT GRC 和 法规(Legal) GRC。财务 GRC 包含用来保证财务过程符合所有有关的财务法规的活动;IT GRC 包含用来保证 IT 组织支持目前的和(潜在的)未来的IT相关法规的要求的活动。法规 GRC 关注于通过组织内的法律部门和首席合规官 (CCO, Chief Compliance Officer)来综合所有的三个领域。

分析师们并未在 如何将 GRC 的这些方面划分为市场类别 上达成一致。Gartner 认为 GRC 市场包含如下领域:

它们进一步地把 IT GRC 管理 细分为如下功能。尽管下面列表是针对 IT GRC 的,类似的划分方法对于其他的 GRC 领域也是适用的。

  • 控制项和原则库
  • 原则分配和响应
  • IT 控制项自我评估和度量
  • IT 资产库
  • 自动化的通用计算机控制项(GCC, General Computer Control) 集合
  • 矫正和例外管理
  • 报表
  • 高级 IT 风险评估 和 合规仪表盘 (Compliance Dashboard)

Burton Group 提供了一个类似的市场分类:

  • 财务 GRC
  • 运营风险管理
  • 通用合规和审计管理
  • IT GRC
  • 企业风险管理

GRC 产品供应商[编辑]

由于市场的不断变化,任何供应商分析都往往很快会变得过时。

GRC 组织[编辑]

已经有若干行业组织专门关注 GRC:

相关链接[编辑]

参见[编辑]