公司治理、风险管理及合规审查

公司治理、风险管理及合规审查（英语：Governance, risk management, and compliance）简称GRC，是在公司治理、风险管理及合规审查等三方面上做法有关的一个概括性术语^[1]^[2]^[3]。现代公司或者组织的公司治理、风险管理及合规审查包含了很多彼此关联而又互相交叉的行为，常需要作为一个综合的整体来看待，例如内部审计，诸如萨班斯法案之类的规范审查，风险管理，运营风险，事故管理等。

概述[编辑]

公司治理是高级管理团队的责任，它关注创建组织内部的透明度，采用某种机制来保证组织内所有成员都遵守确定的流程和方针。恰当的治理策略能够监测和记录当前的商业活动，采取措施和步骤来保证符合确定的方针，并且能够在误解、曲解或未遵守原则时提供矫正措施。

风险管理是组织识别潜在的风险、根据组织的商业目标区分风险的优先级、判断其抗风险度的一个流程。风险管理通过组织的内部控制来管理和减轻风险。

合规审查通过记录和检测控制项，来确认其符合法律规定、行业规范以及组织的内部政策。

非常重要的一点是，在 GRC 的领域中，如果并不具备公司治理, 那么风险管理及合规审查就显得毫无用处且很有可能无法真正达到。类似地，如果不具备风险管理，那么合规审查也变得毫无用处且很有可能无法真正达到。这就是为什么这个词的缩写为 G + R + C，而并非其它的顺序。公司治理、风险管理及合规审查高度相关，但是他们是明显不同的活动，来解决针组织内不同类型要素的不同问题。

给出 GRC 的精确定义是非常具有挑战性的。根据 GRC 行业分析师Michael Rasmussen（英语：Michael Rasmussen）的说法，精确定义 GRC 的挑战之处在于，组成 GRC 的三个词的每一个在(不同)组织中都具有很多不同的含义。它们包括：企业治理、IT治理、财务风险、战略风险、运营风险、IT风险、公司规范、SOX 法规、劳动法规、隐私法规 … …。

创建 GRC 系统的最初兴趣来源于SOX 法案，然而现在对 GRC 的需求已经发生变化。现在 GRC 被认为是实现企业风险管理（ERM）的手段。特别地，这代表了把风险管理仅仅看作执行或合规的行为，到被认为可以提高决策制定和战略计划科学性以增加商业价值的转变。

GRC 市场细分[编辑]

一个 GRC 的产品可以被设计为只关注任何一个单独的领域。不过，最常见的领域包括：财务GRC、IT GRC 和法规(Legal) GRC。财务 GRC 包含用来保证财务过程符合所有有关的财务法规的活动；IT GRC 包含用来保证 IT 组织支持目前的和（潜在的）未来的IT相关法规的要求的活动。法规 GRC 关注于通过组织内的法律部门和首席合规官 (CCO, Chief Compliance Officer)来综合所有的三个领域。

分析师们并未在如何将 GRC 的这些方面划分为市场类别上达成一致。Gartner 认为 GRC 市场包含如下领域：

财务和审计 GRC
IT GRC 管理
企业风险管理

它们进一步地把 IT GRC 管理细分为如下功能。尽管下面列表是针对 IT GRC 的，类似的划分方法对于其他的 GRC 领域也是适用的。

控制项和原则库
原则分配和响应
IT 控制项自我评估和度量
IT 资产库
自动化的通用电脑控制项(GCC, General Computer Control) 集合
矫正和例外管理
报表
高级 IT 风险评估和合规仪表盘 (Compliance Dashboard)

Burton Group 提供了一个类似的市场分类：

财务 GRC
运营风险管理
通用合规和审计管理
IT GRC
企业风险管理

GRC 产品供应商[编辑]

由于市场的不断变化，任何供应商分析都往往很快会变得过时。

GRC 组织[编辑]

已经有若干行业组织专门关注 GRC:

OCEG (Open Compliance and Ethics Group)
Legal GRC Center for Innovation

参考资料[编辑]

^ Anthony Tarantino, Governance, Risk, and Compliance Handbook, 2008-02-25 [2016-09-07], ISBN 978-0-470-09589-8, （原始内容存档于2014-11-05）
^ Denise Vu Broady; Holly A. Roland, The ABCs of GRC, SAP GRC For Dummies, 2008-04-25 [2016-09-07], ISBN 978-0-470-33317-4, （原始内容存档于2014-02-23）
^ Silveira, P., Rodriguez, C., Birukou, A., Casati, F., Daniel, F., D'Andrea, V., Worledge & C., Zouhair, T., Aiding Compliance Governance in Service-Based Business Processes, IGI Global: 524–548, 2012 [2013-04-06], （原始内容存档于2018-12-11）

外部链接[编辑]

Information Systems Audit and Control Association (ISACA)（页面存档备份，存于互联网档案馆）

[1] Anthony Tarantino, Governance, Risk, and Compliance Handbook, 2008-02-25 [2016-09-07], ISBN 978-0-470-09589-8, （原始内容存档于2014-11-05）

[2] Denise Vu Broady; Holly A. Roland, The ABCs of GRC, SAP GRC For Dummies, 2008-04-25 [2016-09-07], ISBN 978-0-470-33317-4, （原始内容存档于2014-02-23）

[3] Silveira, P., Rodriguez, C., Birukou, A., Casati, F., Daniel, F., D'Andrea, V., Worledge & C., Zouhair, T., Aiding Compliance Governance in Service-Based Business Processes, IGI Global: 524–548, 2012 [2013-04-06], （原始内容存档于2018-12-11）

[1]

[2]

[3]