什么是治理、风险与合规管理 (GRC)?
GRC 是确保企业安全、正常运营的战略和结构。
治理、风险与合规管理概览
GRC 的意思是治理、风险与合规管理。在第一项关于 GRC 的学术研究中,GRC 被定义为“一系列可以帮助企业可靠地实现目标、应对不确定性并诚信行事的综合功能”。此后,GRC 领域的数字技术和数据量迅速增加,但其核心业务目标和价值保持不变。
GRC 的含义与定义
简言之,治理、风险与合规管理 (GRC) 是确保企业安全、正常运营的战略和结构。其中,公司治理与城市和国家治理一样,规定了员工需遵守的准则和协议,能够为企业实现总体目标提供必要的管控和支持;风险管理则能帮助识别威胁,同时构建相应的流程来规避这些威胁;最后,合规管理能够确保企业遵守法规,采用恰当的会计实践,并以合乎道德的方式运营业务。
GRC 是确保企业安全、正常运营的战略和结构。
治理、风险管理与合规管理就像三角架的三条腿,维持着企业的平衡:
1. 公司治理
GRC 中的 G 代表治理。公司治理不仅仅是一本规则手册,而是可以帮助企业打破部门孤岛,确保整个企业的运营活动与战略目标保持一致;打造协调、高效的工作环境,让内外部的所有利益相关方清楚了解自己及他人的贡献和利益情况;消除冗余环节,防止不同计划之间存在冲突,避免不必要的成本。公司治理的重心是资源管理和问责,因此能够提供必要的制衡,确保企业有序运营。公司治理的目标是确保企业基于原则开展运营,遵守企业价值观,并实施合乎道德标准的业务实践。另外,公司治理也可以看作是一种机制,通过对信息及其来源和处理进行验证和管理,帮助降低风险,确保合规性。
2. 风险管理和风险规避
GRC 中的 R 代表风险。任何可能导致负面业务结果的因素都可称为风险。有些风险(例如新冠疫情)是我们无法控制的;有些风险则来自企业内部,是由运营、程序或技术方面的缺陷所致;还有一些风险是来自外部威胁,例如网络安全攻击和欺诈等。
技术在及早发现风险方面发挥着至关重要的作用,但企业风险管理不能仅仅依靠技术。企业的价值观、流程和承诺对风险管理也有着重大影响。《福布斯》(Forbes) 最近的一篇文章指出,越来越多的企业希望实施企业风险管理 (ERM) 战略,采用“涵盖人员、数据和基础架构的集成式解决方案,实行主动管理”。
业务风险分为五个基本类别。企业的 ERM 和 GRC 战略必须能够预测并规避所有类别的风险,最重要的是,预防这些风险。
绩效风险或运营风险:范围最广,种类最多。这类风险来自于各个业务领域所涉及的结构、系统、人员、产品或流程。一旦这些方面出现问题,不论是蓄意还是偶然,都会给企业带来绩效风险或运营风险。
合规风险:源于员工违反法律、法规、行为准则或行业内或组织内确立的实践标准。
IT 风险:源于 IT 系统故障或滥用 IT 系统,会给企业造成损失或负面的业务结果。这类风险既包括意外的 IT 故障,也包括蓄意的欺诈、黑客攻击和网络攻击。
财务风险:一种业务风险,指企业因投资或商业投机失败而损失资金的风险。这类风险包括信用风险和流动性风险,还可能伴有欺诈或管理不善等运营风险。
声誉风险:指因上述四类风险中的任何一类导致企业公众形象受损的风险。声誉风险造成的损失虽不可量化,但对任何企业或品牌来说,都是可能带来毁灭性打击的风险之一。
GRC 软件能够检测威胁,帮助企业主动监控和管理风险。
3. 合规管理
GRC 中的 C 代表合规管理。在很多情况下,违反法律法规会造成巨大的财务损失和严重的声誉损失。2019 年,仅数据泄露一项导致的罚款数额就创下历史新高。美国国际贸易委员会公布,2019 年欧盟企业缴纳的 GDPR 罚款最高达到了其全球年营收的 4%。此外,他们每年还要花费数十亿美元来应对其他的法律和法规合规挑战。
合规管理虽然很复杂且有难度,但实际上,企业只需遵守各类规则即可。如果管理得当,企业可以在很大程度上避免合规风险。企业要想实施强大的、与时俱进的合规管理战略,离不开数据管理、预测分析和实时洞察,而智能技术和现代 GRC 软件解决方案可以满足企业的这些需求。
GRC 框架的定义及其重要性
GRC 框架整合了整个企业的系统和流程,用于监督治理、企业风险管理和合规管理的各个方面。借助 GRC 框架,企业能够采用结构化方法协调业务战略与 IT 运营,从而有效管理风险,并满足合规要求。GRC 管控的是企业的运营方式,而非具体业务。因此,GRC 与企业是从事制造、零售还是专业服务并无关系。不论企业经营什么业务,GRC 的作用都是帮助企业管控运营方式,履行自身使命,确保以合乎道德、谨慎、负责任的方式开展业务。
如今,企业制定健全的 GRC 框架比以往任何时候都更加重要。为什么?因为当今企业正面临前所未有的复杂环境。根据邓白氏集团 (Dun & Bradstreet) 发布的《2020 年第三季度全球商业风险报告》,全球商业影响风险评分达到历史新高。此外,最近的一项研究预测,到 2025 年,网络安全犯罪和数据泄露给全球经济造成的损失将超过 10 万亿美元,是 2015 年的 3 倍多。为了应对这些现代风险,全球监管机构的数量也在相应增长。据 Financer 报道,目前仅银行业就有超过 250 家监管机构,导致银行业监管条例每 12 分钟就变更一次。
谁负责 GRC?
GRC 计划和流程通常由首席财务官 (CFO) 和首席合规官 (CCO) 及其团队负责制定和维护,由 IT、HR 和运营团队的领导者提供支持。然而,制定出色的 GRC 战略是一回事,实际执行却是另外一回事。GRC 战略只有成功融入或集成到整个企业的日常运营活动中,才能有效发挥作用。卓越的 GRC 和风险管理战略应该以人为本,让所有员工都能积极帮助企业实现可持续发展。
GRC 和智能技术解决方案
机器学习、高级分析、增强分析以及预测分析等人工智能 (AI) 技术正越来越多地被用来革新风险管理和监管技术 (RegTech) 。利用这些技术处理和分析快速变化的大型数据集的能力,以及从中学习的能力,GRC 专业人员能够增强自身的技能,获取实时分析洞察,清晰了解多个场景中的 GRC 现状。
机器人流程自动化 (RPA) 是构建妥善有效的合规管理计划的重要工具。RPA 能够支持持续的管控监控和全样本审计,进而帮助企业更轻松地识别风险和异常。RPA 工具还可以自动执行并简化与 ERM 和合规管理相关的大量重复性管理任务。区块链具有交易记录安全且不可变更的特性,这赋予了 GRC 系统更多优势。作为“统一的真实数据源”,区块链能够确保物料和货物的来源信息及付款记录准确无误,不论这些物料和货物来自何地,从而大幅降低许多需要手动操作的领域的风险。风险与合规挑战日益复杂,但智能技术可以帮助企业自信、可靠地应对未来。
总结
现代风险环境在不断变化。新冠疫情警醒我们,从国家到公司再到个人,我们都无法与自然力量抗衡。随着云解决方案和智能技术不断发展,网络犯罪、数据泄露和欺诈威胁变得越来越复杂。
在风险和不确定性与日俱增的当前环境下,企业必须充分利用并简化所有能预测和管理风险的工具。对每个企业来说,实现业务目标并维护有效的合规和治理标准,是一项越来越严峻的挑战。为满足这些需求,卓越企业均采用以人为本的方式,始终致力于自上而下为所有团队提供培训和支持,从而充分利用新技术,并实施响应迅速的创新性 GRC 战略。