定义: 什么是治理、风险管理和合规?
治理、风险管理和合规(GRC)一词涵盖了一个组织在以下三个实践中的方法:治理、风险管理和合规。关于GRC的第一项学术研究于2007年发表[4],其中GRC被正式定义为“使一个组织能够可靠地实现目标、解决不确定性和诚信行事的综合能力集合。”该研究提到了在内部审计、合规、风险、法律、财务、IT、人力资源等部门以及业务线、高管团队和董事会本身开展的常见“保持公司正常运转”活动。
概述
治理、风险管理和法规遵从性是三个相关方面,旨在确保组织可靠地实现目标、解决不确定性并以完整的方式行事。治理是由董事(或董事会)建立和执行的流程的组合,这些流程反映在组织结构中,以及如何管理和引导组织实现目标。风险管理是预测和管理可能阻碍组织在不确定情况下可靠实现其目标的风险。合规是指遵守法定界限(法律法规)和自愿界限(公司政策、程序等)。
GRC是一门旨在跨治理和法规遵从性同步信息和活动的学科,以便更高效地运行、实现有效的信息共享、更有效地报告活动并避免浪费性的重叠。尽管不同组织对GRC的理解不同,但GRC通常包括公司治理、企业风险管理(ERM)和公司遵守适用法律法规等活动。
组织达到了需要对GRC活动进行协调控制才能有效运作的规模。这三个学科中的每一个学科都创造了对另外两个学科有价值的信息,而这三个学科都影响着相同的技术、人员、流程和信息。
当治理、风险管理和法规遵从性得到独立管理时,任务的大量重复就会发生。重叠和重复的GRC活动对运营成本和GRC矩阵产生负面影响。例如,每个内部服务可能每年由多个小组进行审计和评估,造成巨大的成本和不连贯的结果。断开连接的GRC方法还将阻止组织提供实时GRC执行报告。GRC认为,这种方法就像一个计划糟糕的交通系统一样,每一条路线都会运行,但网络将缺乏使它们能够有效协同工作的质量。[8]
如果不整合,如果采用传统的“筒仓”方法处理,由于技术变化、数据存储增加、市场全球化和监管增加,大多数组织必须维持无法管理的数量的GRC相关需求。
GRC主题
基本概念
- 治理描述了一种总体管理方法,通过这种方法,高级管理人员使用管理信息和分层管理控制结构的组合来指导和控制整个组织。治理活动确保向执行团队提供的关键管理信息足够完整、准确和及时,以实现适当的管理决策,并提供控制机制,以确保管理层系统有效地执行战略、指示和指示。[9]
- 义务意识是指组织意识到其所有强制性和自愿性义务的能力,即相关法律、监管要求、行业规范和组织标准,以及良好治理标准、公认最佳实践、道德和社区期望。这些义务可能是财务、战略或运营义务,其中运营包括财产安全、产品安全、食品安全、工作场所健康和安全、资产维护等不同领域。
- 风险管理是一组过程,管理层通过这些过程识别、分析并在必要时适当应对可能对组织业务目标的实现产生不利影响的风险。对风险的应对通常取决于其感知的严重性,并涉及控制、避免、接受或将其转移给第三方,而组织通常管理广泛的风险(例如技术风险、商业/金融风险、信息安全风险等)。
- 合规性是指符合规定的要求。在组织层面,这是通过管理流程实现的,管理流程确定适用的要求(例如在法律、法规、合同、战略和政策中定义),评估合规状态,根据实现合规的预计费用评估不合规的风险和潜在成本,因此,优先考虑、资助并启动任何必要的纠正措施。合规管理是指使所有合规文件保持最新、保持风险控制的有效性并生成合规报告的管理活动。
GRC市场细分
可以制定GRC计划以关注企业内的任何单个领域,或者完全集成的GRC能够使用单个框架跨企业的所有领域工作。
完全集成的GRC使用一套单一的核心控制材料,映射到所有受监控的主要治理因素。使用单一框架还可以减少重复补救行动的可能性。
当作为单个GRC区域进行审查时,最常见的单个标题被认为是财务GRC、运营GRC、WHS GRC、IT GRC和法律GRC。
- 财务GRC与旨在确保所有财务流程正确运行以及遵守任何财务相关授权的活动有关。
- 运营GRC涉及所有运营活动,如财产安全、产品安全、食品安全、工作场所健康与安全、IT合规资产维护等。
- WHS GRC是运营GRC的一个子集,与所有工作场所健康和安全活动相关
- IT GRC是运营GRC的一个子集,与旨在确保IT(信息技术)组织支持当前和未来业务需求并遵守所有IT相关授权的活动相关。
- 法律GRC的重点是通过组织的法律部门和首席合规官将所有三个组成部分联系在一起。然而,这可能会产生误导,因为ISO 37301提到了强制性和自愿性义务,而对法律GRC的关注可能会引入偏见。
然而,AICD(澳大利亚公司董事协会)将风险分为三个超级组
- 金融风险
- 操作风险
- 战略风险
分析师对GRC的这些方面如何定义为市场类别存在分歧。Gartner表示,广泛的GRC市场包括以下领域:
- 财务与审计GRC
- IT GRC管理
- 企业风险管理。
他们进一步将IT GRC管理市场划分为这些关键功能。
- 控制和策略库
- 政策分配和回应
- 它控制自我评估和测量
- IT资产存储库
- 自动通用计算机控制(GCC)采集
- 补救和异常管理
- 报告
- 高级IT风险评估和法规遵从性仪表盘
GRC产品供应商
广泛的GRC市场各细分市场之间的区别往往不明确。随着大量供应商最近进入该市场,为给定的业务问题确定最佳产品可能是一项挑战。鉴于分析师对市场细分并不完全一致,供应商定位可能会增加混乱。
由于这一市场的动态性,任何供应商分析往往在发布后不久就过时了。
一般而言,供应商市场可分为三个部分:
- 综合GRC解决方案(多治理利益,企业范围)
- 特定领域的GRC解决方案(单一治理利益,企业范围)
- GRC的点式解决方案(与企业范围的治理或企业范围的风险或企业范围的合规性相关,但不结合使用。)
综合GRC解决方案试图统一这些领域的管理,而不是将其视为单独的实体。一个集成的解决方案能够管理一个法规遵从性控制的中央库,但可以针对每个治理因素对其进行管理、监控和展示。例如,在特定于领域的方法中,可以针对单个中断的活动生成三个或更多的结果。集成解决方案将此视为与映射的治理因素相关的一个突破。
特定领域的GRC供应商了解特定治理领域内治理、风险和合规性之间的周期性联系。例如,在财务处理中,风险可能与缺乏控制(需要更新治理)和/或缺乏对现有控制的遵守(或质量差)有关。最初的目标是将GRC分为一个单独的市场,这让一些供应商对缺乏流动性感到困惑。人们认为,在审计领域缺乏深入的教育,再加上对审计的不信任,会导致公司环境出现裂痕。然而,市场上有一些供应商在保持特定领域的同时,已开始向最终用户和部门营销其产品,这些部门虽然相互关联或重叠,但已扩展到包括内部公司内部审计(CIA)和外部审计团队(一级四大和二级及以下),以信息安全和运营/生产为目标受众。这种方法为流程提供了一种更“开放式”的方法。如果CIA使用生产部门也有权访问的应用程序对生产团队进行审计,则可以更快地降低风险,因为最终目标不是“合规”,而是“安全”,或者尽可能安全。您还可以尝试市场上提供的各种GRC工具,这些工具基于自动化,可以减少您的工作量。
GRC的点式解决方案的特点是只关注其中一个领域。在某些需求有限的情况下,这些解决方案可以达到可行的目的。然而,由于它们往往是为了深入解决特定领域的问题而设计的,因此它们通常不采用统一的方法,也不能容忍集成的治理需求。如果在设计阶段将GRC管理要求纳入一致框架,信息系统将更好地解决这些问题。[10]
GRC数据仓库和商业智能
具有集成数据框架的GRC供应商现在能够提供定制的GRC数据仓库和商业智能解决方案。这允许对来自任何数量的现有GRC应用程序的高价值数据进行整理和分析。
使用这种方法对GRC数据进行聚合,在早期识别风险和业务流程(以及业务控制)改进方面增加了显著的好处。
这种方法的其他好处包括(i)它允许现有的,专业应用程序和高价值应用程序可以在不产生影响的情况下继续使用:(ii)组织可以更轻松地过渡到综合GRC方法,因为最初的更改只会增加报告层;(iii)它提供了跨以前没有通用数据的系统比较和对比数据值的实时能力计划。”
GRC研究
2009年进行的一次出版物审查[需要引用]发现,几乎没有任何关于GRC的科学研究。作者继续从广泛的文献综述中得出第一个GRC简短定义。随后,该定义在GRC专业人员中的调查中得到验证。“GRC是组织范围内GRC的一种综合、整体方法,通过协调战略、流程、技术和人员,确保组织的行为符合道德规范、风险偏好、内部政策和外部法规,从而提高效率和有效性。”然后,作者将该定义转化为GRC研究的参考框架。
每个核心学科——治理、风险管理和合规——都由四个基本组成部分组成:战略、流程、技术和人员。组织的风险偏好、内部政策和外部法规构成GRC的规则。各学科、其组成部分和规则现在将以综合、整体和全组织(GRC的三个主要特征)的方式进行合并——与通过GRC管理和支持的(业务)运营保持一致。在应用这种方法时,组织渴望实现以下目标:道德上正确的行为,以及提高任何相关要素的效率和有效性。[11]
原文:https://en.wikipedia.org/wiki/Governance,_risk_management,_and_complian…
