公司治理、風險管理及合規審查

公司治理、風險管理及合規審查（英語：Governance, risk management, and compliance）簡稱GRC，是在公司治理、風險管理及合規審查等三方面上做法有關的一個概括性術語^[1]^[2]^[3]。現代公司或者組織的公司治理、風險管理及合規審查包含了很多彼此關聯而又互相交叉的行為，常需要作為一個綜合的整體來看待，例如內部審計，諸如薩班斯法案之類的規範審查，風險管理，運營風險，事故管理等。

概述[編輯]

公司治理是進階管理團隊的責任，它關注建立組織內部的透明度，採用某種機制來保證組織內所有成員都遵守確定的流程和方針。恰當的治理策略能夠監測和記錄當前的商業活動，採取措施和步驟來保證符合確定的方針，並且能夠在誤解、曲解或未遵守原則時提供矯正措施。

風險管理是組織辨識潛在的風險、根據組織的商業目標區分風險的優先級、判斷其抗風險度的一個流程。風險管理通過組織的內部控制來管理和減輕風險。

合規審查通過記錄和檢測控制項，來確認其符合法律規定、行業規範以及組織的內部政策。

非常重要的一點是，在 GRC 的領域中，如果並不具備公司治理, 那麼風險管理及合規審查就顯得毫無用處且很有可能無法真正達到。類似地，如果不具備風險管理，那麼合規審查也變得毫無用處且很有可能無法真正達到。這就是為什麼這個詞的縮寫為 G + R + C，而並非其它的順序。公司治理、風險管理及合規審查高度相關，但是他們是明顯不同的活動，來解決針組織內不同類型要素的不同問題。

給出 GRC 的精確定義是非常具有挑戰性的。根據 GRC 行業分析師Michael Rasmussen（英語：Michael Rasmussen）的說法，精確定義 GRC 的挑戰之處在於，組成 GRC 的三個詞的每一個在(不同)組織中都具有很多不同的含義。它們包括：企業治理、IT治理、財務風險、戰略風險、運營風險、IT風險、公司規範、SOX 法規、勞動法規、隱私法規 … …。

建立 GRC 系統的最初興趣來源於SOX 法案，然而現在對 GRC 的需求已經發生變化。現在 GRC 被認為是實現企業風險管理（ERM）的手段。特別地，這代表了把風險管理僅僅看作執行或合規的行為，到被認為可以提高決策制定和戰略計劃科學性以增加商業價值的轉變。

GRC 市場細分[編輯]

一個 GRC 的產品可以被設計為只關注任何一個單獨的領域。不過，最常見的領域包括：財務GRC、IT GRC 和法規(Legal) GRC。財務 GRC 包含用來保證財務過程符合所有有關的財務法規的活動；IT GRC 包含用來保證 IT 組織支援目前的和（潛在的）未來的IT相關法規的要求的活動。法規 GRC 關注於通過組織內的法律部門和首席合規官 (CCO, Chief Compliance Officer)來綜合所有的三個領域。

分析師們並未在如何將 GRC 的這些方面劃分為市場類別上達成一致。Gartner 認為 GRC 市場包含如下領域：

財務和審計 GRC
IT GRC 管理
企業風險管理

它們進一步地把 IT GRC 管理細分為如下功能。儘管下面列表是針對 IT GRC 的，類似的劃分方法對於其他的 GRC 領域也是適用的。

控制項和原則庫
原則分配和回應
IT 控制項自我評估和度量
IT 資產庫
自動化的通用電腦控制項(GCC, General Computer Control) 集合
矯正和例外管理
報表
進階 IT 風險評估和合規儀錶盤 (Compliance Dashboard)

Burton Group 提供了一個類似的市場分類：

財務 GRC
運營風險管理
通用合規和審計管理
IT GRC
企業風險管理

GRC 產品供應商[編輯]

由於市場的不斷變化，任何供應商分析都往往很快會變得過時。

GRC 組織[編輯]

已經有若干行業組織專門關注 GRC:

OCEG (Open Compliance and Ethics Group)
Legal GRC Center for Innovation

參考資料[編輯]

^ Anthony Tarantino, Governance, Risk, and Compliance Handbook, 2008-02-25 [2016-09-07], ISBN 978-0-470-09589-8, （原始內容存檔於2014-11-05）
^ Denise Vu Broady; Holly A. Roland, The ABCs of GRC, SAP GRC For Dummies, 2008-04-25 [2016-09-07], ISBN 978-0-470-33317-4, （原始內容存檔於2014-02-23）
^ Silveira, P., Rodriguez, C., Birukou, A., Casati, F., Daniel, F., D'Andrea, V., Worledge & C., Zouhair, T., Aiding Compliance Governance in Service-Based Business Processes, IGI Global: 524–548, 2012 [2013-04-06], （原始內容存檔於2018-12-11）

外部連結[編輯]

Information Systems Audit and Control Association (ISACA)（頁面存檔備份，存於網際網路檔案館）

[1] Anthony Tarantino, Governance, Risk, and Compliance Handbook, 2008-02-25 [2016-09-07], ISBN 978-0-470-09589-8, （原始內容存檔於2014-11-05）

[2] Denise Vu Broady; Holly A. Roland, The ABCs of GRC, SAP GRC For Dummies, 2008-04-25 [2016-09-07], ISBN 978-0-470-33317-4, （原始內容存檔於2014-02-23）

[3] Silveira, P., Rodriguez, C., Birukou, A., Casati, F., Daniel, F., D'Andrea, V., Worledge & C., Zouhair, T., Aiding Compliance Governance in Service-Based Business Processes, IGI Global: 524–548, 2012 [2013-04-06], （原始內容存檔於2018-12-11）

[1]

[2]

[3]