什么是 GRC（治理、风险与合规）？

GRC 还可以指用于实施和管理企业 GRC 方法的整套集成软件功能。

GRC 的全套实践和流程提供了一种结构化方法，使 IT 能够与业务目标保持一致。“GRC”这一名称最初由 OCEG（Open Compliance and Ethics Group，开放合规与道德组织）于 2007 年提出。GRC 可帮助公司有效管理 IT 和安全风险，降低成本，减少不确定性，并满足合规要求。它还有助于从综合视角了解组织的风险管理状况，从而改善决策和绩效。如今，即使是中小型组织可能也会在全球开展经营，因此组织面临着全球风险并且需要遵守世界各地的政府法规，这种情况要求组织密切关注治理、风险管理与合规性。

究其本质，公司治理是一套规则、政策和流程，用于确保企业活动协调一致，支持实现业务目标。其内容涵盖道德准则、资源管理、问责制和管理控制。

通过治理，还可确保最高管理层能够引导并影响企业各个层面发生的情况，业务部门能够根据客户的需求和企业总体目标开展业务活动。

有效的治理能够创造一种环境，既为员工赋能，又可以让行为和资源得到控制和良好协调。治理的目标之一是平衡企业众多利益相关者的利益，包括高层管理人员、员工、供应商和投资者的利益。

例如，为了保持这种平衡，可以通过治理帮助确保公司内部与外部利益相关者之间签订有效的合同，从而公平分配责任、权利和奖励。这涵盖了协调利益相关者之间相冲突利益的程序，以及确保监督、控制和数据流作为制衡制度运作的流程。

通过治理，既可以控制设施和基础架构（例如数据中心），又可以在产品组合层面上对应用程序进行监督。

最重要的是，实施治理是为了对行为和结果负责。可以通过实施符合道德规范的商业实践和企业公民规则来管理行为。良好的治理根据业务线 (LOB) 来定义工作职责，并根据取得的成果而不是职责对员工进行评估。

风险管理是识别、评估和控制组织所面临的财务、法律、战略和安全风险的过程。为了降低风险，组织需要投入资源来尽力减少、监控和控制负面事件的影响，同时最大限度地提高正面事件的影响。

在最广义的层面上，风险管理是一种涉及人员、流程和技术的制度，让组织能够根据风险制定符合价值观的目标。

企业风险管理计划的目标是实现企业目标，同时最大限度地改善风险状况并确保实现价值。此外，优先考虑利益相关者的期望，并向这些利益相关者提供可靠的信息，也属于这项任务的范畴。

风险管理计划还适用于识别网络安全和信息安全威胁与风险（例如软件漏洞和不当的员工密码做法），以及实施相应计划来降低 IT 风险。

风险管理计划应评估系统性能和有效性，评估遗留技术，识别可能影响核心业务的运营和技术故障，并监控基础架构风险以及网络和计算资源的潜在故障。

风险评估计划必须满足法律、合同、内部、社会和道德目标，并监控与新技术相关的法规。通过关注风险并投入必要的资源来控制和降低风险，企业将保护自身免受不确定因素的影响，降低成本，并提高保持业务连续性和取得成功的可能性。

合规性涉及遵守行业和/或政府机构制定的规则、政策、标准和法律。如果不合规，组织可能会面临业绩不佳、代价高昂的错误、罚款、处罚和诉讼等多方面的损失。

监管合规性涵盖了适用于公司的外部法律、法规和行业标准。公司或内部合规性则涉及各个公司制定的规章制度和内部控制措施。内部合规管理计划必须与外部合规要求完全同步，这一点很重要。应当基于制定、更新、分发和跟踪合规性政策并围绕这些政策培训员工的过程，制定综合性的合规计划。

为了制定有效的合规计划，组织需要了解哪些领域面临的风险最大，并将资源集中在这些领域。然后，应当制定、实施并向员工传达相应的政策，以便员工应对这些领域的风险。最后，还应编写相关指南，帮助员工和供应商遵守合规政策。

GRC 框架可帮助组织制定政策和实践，最大限度地降低合规风险。IT 和安全 GRC 解决方案侧重于利用有关数据、基础架构以及虚拟、移动和云应用程序的及时信息。

此外，组织的 GRC 制度应提高效率、降低风险并提高绩效和投资回报率 (ROI)。企业要针对领导层、组织和 IT 各方面的运营制定并使用 GRC 框架，确保它们支持和实现组织的战略目标。这包括关联以下各种情形下的信息：业务流程、政策和控制措施，以及 IT、财务、人力资源团队和高级管理层开展的活动。

如果没有 GRC 软件平台，实施风险评估、合规管理、数据合规、内部审计和其他 GRC 活动可能会十分耗时且占用大量资源。而有了 GRC 平台，就可以帮助公司打破流程和数据孤岛，消除重复工作，遵守法规，并监控、衡量和预测损失及网络风险事件。

GRC 平台还有助于公司管理财务和人工智能 (AI) 驱动型模式的生命周期，并提高 IT 合规性和可控性。公司甚至可以衡量业务和监管要求对政策框架的影响，并通过与第三方产品集成来支持自动化衡量和 IT 控制。

借助 GRC，公司可以开展、自动完成和管理风险评估并降低风险。利用 GRC 平台提供的数据，公司能够做出更明智的决策，然后分配资源来缓解风险。企业风险管理 (ERM) 是 GRC 中以风险因素为关注重点的一个子领域。

与《萨班斯-奥克斯利法案》等法规相关的审计是 GRC 运营的里程碑，各部门需要维护并保护敏感的详细信息（包括发票、人力资源记录和财务报表），为这些审计做好准备。

对于已经在合规或风险管理方面遇到过重大事件或存在严重不足的公司，有效的 GRC 计划尤其有用。此外，企业如果在合规性、对内部和外部财务风险报告和可见性或第三方风险管理方面没有信心，都可以考虑使用 GRC 模型来修复和监测冗余的控制集和有效性不足的框架，避免重复发生风险问题。

有时，公司可能会发现很难分配资源、解决利益冲突和衡量成功。这可能是以下因素导致的：应对风险和满足要求的成本不断增加，同时还面临着需要管理呈指数级增长的第三方关系和风险的挑战。

不过，公司可以使用 GRC 平台生成的指标来设定和监控明确的目标。这将有助于他们改善绩效和提高投资回报率。

成功的 GRC 战略需要顺畅地协调人员、规划、流程和技术。这些工作应该持续进行：风险和法规在不断变化，组织也需要紧跟变化并争取抢先一步。迈向成功的步伐包括以下几步：

制定明确的目标并构建 GRC 框架：确定最大的风险和挑战就能决定框架的结构。组织需要关注政府法规还是数据隐私和安全性？完整的框架应该有助于组织做出明智的业务决策、最大限度地降低风险并帮助确保可持续发展。

确定当前的运营不足：组织应仔细审视所有尚未完全解决的问题，例如第三方存在严重的安全问题或组织未能及时按照要求提供监管报告。业务运营流程和技术总有可以改进的空间，落后会带来更大的风险。

获得高层的支持：如果高级管理层没有真正做出承诺，就很难为实施造势。管理者需要带头建立一种具有风险意识的企业文化。关键是要引导组织预防 GRC 问题，而不是在问题出现后迫不得已地被动应对。

获得整个组织的支持：整个组织都必须了解 GRC 的重要性。如果员工觉得 GRC 是别人的工作，那么无论框架多么全面，都有可能存在漏网之鱼的问题。

确定清晰的角色和职责：每个人都需要知道自己在跨职能合作中的位置。董事会和首席执行官 (CEO) 负责监督和批准 GRC 框架。首席风险官 (CRO) 负责监督日常管理。首席合规官 (CCO)、首席信息官 (CIO)、首席技术官 (CTO) 和首席财务官 (CFO) 都要发挥自己应有的作用，法律部门、内部审计、财务、IT 和业务部门 (LOB) 经理也要各司其职。个人的任务和职责应明确，每个人都应该知道如何报告有关 GRC 的顾虑。

使用 GRC 软件：只使用文字处理软件和电子表格可能会导致组织陷入手动跟踪的困境。这种手动跟踪流程无法提出正确的问题，记录的结果也无法汇总成遵守法律规定和发掘更深入见解所必需的清晰、完整的报告。

GRC 框架测试：从一两个部门开始，确保 GRC 流程和衔接清楚明确，所有重要问题都得到解决。与其第一天就在整个组织范围内铺开计划，不如纠正一些尚未扩大或恶化的问题，这可以节省时间并避免可能出现的为难处境。

运营管理应充分利用专门的 GRC 软件来确保公司满足合规性和风险标准。这些工具还可以帮助确定和降低与公司内部 IT 的使用、所有权、运营、参与、影响和采用相关的风险。GRC 工具应涵盖运营风险、政策和合规性、IT 治理以及内部审计。大多数 GRC 软件都具有以下功能：

• 内容和文档管理，帮助企业更准确地创建、跟踪和存储数字化内容。

• 风险数据管理和分析，帮助衡量、量化和预测风险，并确定降低风险的后续步骤。

• 工作流管理，帮助公司建立、执行和监控与 GRC 相关的工作流。

• 审计管理，用于整理信息并简化开展内部审计的流程。

• 辅助功能，供业务部门在单一平台上协调活动。

• 连接功能，用于及时了解最新的监管变化。

• 预构建的模板，用于实现快速设置和自定义。

• 仪表板，提供一个中央界面，可在其中实时监控与业务流程和目标相关的关键绩效指标。

此外，为负责部门提供安全信息和事件管理 (SIEM) 软件的使用权，可帮助他们发现安全威胁。审计软件也可能有助于对 GRC 工作的成功进行基准测试，并指出有可能改进之处。

有效的 GRC 工具可以制定和分发政策与控制措施，并将其与法规及合规要求一一对应。它们有助于评估控制措施是否已部署、是否正常运作以及能否提高风险评估和风险缓解的效率。