什么是治理、风险与合规管理GRC

2022-07-07 14:21:48 admin

GRC 的意思是治理、风险与合规管理。在第一项关于 GRC 的学术研究中,GRC 被定义为“一系列可以帮助企业可靠地实现目标、应对不确定性并诚信行事的综合功能”。此后,GRC 领域的数字技术和数据量迅速增加,但其核心业务目标和价值保持不变。


GRC 的含义与定义

简言之,GRC 是确保企业安全、正常运营的战略和结构。其中,公司治理与城市和国家治理一样,规定了员工需遵守的准则和协议,能够为企业实现总体目标提供必要的管控和支持;风险管理则能帮助识别威胁,同时构建相应的流程来规避这些威胁;最后,合规管理能够确保企业遵守法规,采用恰当的会计实践,并以合乎道德的方式运营业务。

GRC 是确保企业安全、正常运营的战略和结构。

治理、风险管理与合规管理就像三角架的三条腿,维持着企业的平衡

1. 公司治理

GRC 中的 G 代表治理。公司治理不仅仅是一本规则手册,而是可以打破部门孤岛,确保整个企业的运营活动与战略目标保持一致;打造协调、高效的工作环境,让内外部的所有利益相关方清楚了解自己及他人的贡献和利益情况;消除冗余环节,防止不同计划之间存在冲突,避免不必要的成本。公司治理的重心是资源管理和问责,因此能够提供必要的制衡,确保企业有序运营。公司治理的目标是确保企业基于原则开展运营,遵守企业价值观,并实施合乎道德标准的业务实践。另外,公司治理也可以看作是一种机制,通过对信息及其来源和处理进行验证和管理,帮助降低风险并确保合规性。

2. 风险管理和风险规避

GRC 中的 R 代表风险。任何可能导致负面业务结果的因素都可称为风险。有些风险(例如新冠疫情)是我们无法控制的;有些风险则来自企业内部,是由运营、程序或技术方面的缺陷所致;还有一些风险是来自外部威胁,例如网络攻击和欺诈等。技术在及早发现风险方面发挥着至关重要的作用,但企业风险管理不能仅仅依靠技术。企业的价值观、流程和承诺对风险管理也有着重大影响。《福布斯》(Forbes) 最近的一篇文章指出,越来越多的企业希望实施企业风险管理 (ERM) 战略,采用“涵盖人员、数据和基础架构的集成式解决方案,实行主动管理”。业务风险分为五个基本类别。企业的 ERM 和 GRC 战略必须能够预测并规避所有类别的风险,最重要的是,预防这些风险。

绩效风险或运营风险:范围最广,种类最多。这类风险来自于各个业务领域所涉及的结构、系统、人员、产品或流程。一旦这些方面出现问题,不论是蓄意还是偶然,就会给企业带来绩效风险或运营风险。

合规风险:源于员工违反行业或企业内部的法律、法规、行为准则或既定实践标准。

IT 风险:源于 IT 系统故障或滥用 IT 系统,会给企业造成损失或负面的业务结果。这类风险既包括意外的 IT 故障,也包括蓄意的欺诈、黑客攻击和网络攻击。

财务风险:一种业务风险,指企业因投资或创业失败而损失资金的风险。这类风险包括信用风险和流动性风险,还可能伴有欺诈或管理不善等运营风险。

声誉风险:指因上述四类风险中的任何一类导致企业公众形象受损的风险。声誉风险造成的损失虽不可量化,但对任何公司或品牌来说,都是可能带来毁灭性打击的风险之一。

3. 合规管理

GRC 中的 C 代表合规管理。在很多情况下,违反法律法规会造成巨大的财务损失和严重的声誉损失。2019 年,仅数据泄露一项导致的罚款数额就创下历史新高。美国国际贸易委员会公布,2019 年欧盟企业缴纳的 GDPR 罚款高达其全球年收入的 4%。此外,他们每年还要花费数十亿美元来应对其他的法律和法规合规挑战。

合规管理虽然很复杂且有难度,但实际上只需遵守各类规则即可,如果管理得当,企业可以很大程度上避免合规风险。企业要想实施强大的、与时俱进的合规管理战略,离不开数据管理、预测分析和实时洞察,而智能技术和现代 GRC 软件解决方案可以满足企业的这些需求。


GRC 框架的定义及其重要性

GRC 框架整合了整个企业的系统和流程,用于监督治理、企业风险管理和合规管理的各个方面。借助 GRC 框架,企业能够采用结构化方法协调业务战略与 IT 运营,从而有效管理风险,并满足合规要求。GRC 管控的是企业的运营方式,而非具体业务。因此,GRC 与企业是从事制造、零售还是专业服务并无关系。不论企业经营什么业务,GRC 的作用都是帮助企业管控运营方式,履行自身使命,确保以合乎道德、谨慎、负责任的方式开展业务。

如今,企业制定健全的 GRC 框架比以往任何时候都更加重要。为什么?因为当今企业正面临前所未有的复杂环境。根据邓白氏集团 (Dun & Bradstreet) 发布的《2020 年第三季度全球商业风险报告》,全球商业影响风险评分达到历史新高。此外,最近的一项研究预测,到 2025 年,网络安全犯罪和数据泄露给全球经济造成的损失将超过 10 万亿美元,是 2015 年的 3 倍多。为了应对这些现代风险,全球监管机构的数量也在相应增长。据 Financer 报道,目前仅银行业就有超过 250 家监管机构,导致银行业监管条例每 12 分钟就变更一次。

谁负责 GRC?

GRC 计划和流程通常由首席财务官和首席合规官(CFO 和 CCO)及其团队负责制定和维护,由 IT、HR 和运营团队的领导者提供支持。然而,制定出色的 GRC 战略是一回事,实际执行却是另外一回事。GRC 战略只有成功融入或集成到整个企业的日常运营活动中,才能发挥有效作用。

有效的 GRC 和风险管理战略应该以人为本,让所有员工都希望帮助企业实现可持续发展。《华尔街日报》(The Wall Street Journal) 的一篇文章谈论了企业帮助员工做好准备,实施 GRC 技术和数字化转型的重要性,文章指出:“在准备并实施数字化转型的过程中,企业必须营造‘风险防控,人人有责’的企业文化,并确保每位员工都精通技术。”

GRC 和智能技术解决方案

机器学习高级分析、增强分析以及预测分析人工智能 (AI) 技术正越来越多地被用来革新风险管理和监管技术 (RegTech) 。利用这些技术处理和分析快速变化的大型数据集的能力,以及从中学习的能力,GRC 专业人员能够增强自身的技能,获取实时分析洞察,并清晰了解多个场景中的 GRC 现状。

机器人流程自动化 (RPA) 是构建妥善有效的合规性计划的重要工具。RPA 能够支持持续的管控监控和全样本审计,进而帮助企业更轻松地识别风险和异常。RPA 工具还可以自动执行并简化与 ERM 和合规性相关的大量重复性管理任务。区块链凭借其交易记录安全且不可变更的特性,赋予了 GRC 系统更多优势。作为“统一的真实数据源”,区块链能确保提供准确的物料和货物来源及付款记录,不论这些物料和货物来自何地,从而大幅降低许多需要手动操作的领域的风险。风险与合规挑战日益复杂,但智能技术可以帮助企业更自信、更可靠地应对未来。

总结

现代风险环境在不断变化。新冠疫情警醒我们,从国家到公司再到个人,我们都无法与自然力量抗衡。随着云解决方案和智能技术不断发展,网络犯罪、数据泄露和欺诈威胁变得越来越复杂。 在风险和不确定性与日俱增的当前环境下,企业必须充分利用并简化所有能预测和管理风险的工具。实现业务目标并维护有效的合规和治理标准,是每个企业面临的日益严峻的挑战。为满足这些需求,出色的企业均采用以人为本的方式,始终致力于自上而下为所有团队提供培训和支持,从而充分利用新技术,并实施响应迅速的创新性 GRC 战略。


电话咨询
邮件咨询
在线地图
QQ客服