公司治理、風險管理及合規審查- 維基百科

公司治理、風險管理及合規審查（Governance, risk management, and compliance）簡稱GRC，是在公司治理、風險管理及合規審查等三方面上做法有關的一個雨傘術語。

公司治理、風險管理及合規審查 維基百科，自由的百科全書 跳至導覽 跳至搜尋 此條目的語調或風格可能不適合百科全書的寫作方式。

(2016年9月7日)請根據指南協助改善這篇條目，請在討論頁討論問題所在及加以改善。

治理 治理模式 協同運作（英語：Collaborativegovernance） 良治（英語：Goodgovernance） 多方（英語：Multistakeholdergovernancemodel） 開源（英語：Open-sourcegovernance） 私人 自治 治理層級 地方 全球 治理領域 氣候（英語：Climategovernance） 醫療（英語：Clinicalgovernance） 公司 文化 資料（英語：Datagovernance） 地球系統（英語：Earthsystemgovernance） 教會 環境 高教（英語：Governanceinhighereducation） 資訊（英語：Informationgovernance） 網路（英語：Networkgovernance） 海洋（英語：Oceangovernance） 政黨 專案 安全部門（英語：Securitysectorgovernanceandreform） 自治 類比（英語：Simulationgovernance） SOA治理 土壤（英語：Soilgovernance） 技術（英語：Technologygovernance） 跨國（英語：Transnationalgovernance） 網站（英語：Websitegovernance） 治理措施 世界治理指標（英語：WorldGovernanceIndex） 可持續治理指標（英語：SustainableGovernanceIndicators） 相關條目 首席治理官（英語：Chiefgovernanceofficer） 公司治理、風險管理及合規審查 電子治理（英語：E-governance） 環境、社會與公司治理（英語：Environmental,socialandcorporategovernance） 市場治理機制（英語：Marketgovernancemechanism） 閱論編 公司治理、風險管理及合規審查（Governance,riskmanagement,andcompliance）簡稱GRC，是在公司治理、風險管理及合規審查等三方面上做法有關的一個雨傘術語[1][2][3]。

現代公司或者組織的公司治理、風險管理及合規審查包含了很多彼此關聯而又互相交叉的行為，常需要作為一個綜合的整體來看待，例如內部審計（英語：Internalaudit），諸如薩班斯法案之類的規範審查，風險管理，運營風險，事故管理等。

目次 1概述 2GRC市場細分 3GRC產品供應商 4GRC組織 5參考資料 6相關條目 7外部連結 概述[編輯] 公司治理是進階管理團隊的責任，它關注建立組織內部的透明度，採用某種機制來保證組織內所有成員都遵守確定的流程和方針。

恰當的治理策略能夠監測和記錄當前的商業活動，採取措施和步驟來保證符合確定的方針，並且能夠在誤解、曲解或未遵守原則時提供矯正措施。

風險管理是組織辨識潛在的風險、根據組織的商業目標區分風險的優先級、判斷其抗風險度的一個流程。

風險管理通過組織的內部控制來管理和減輕風險。

合規審查通過記錄和檢測控制項，來確認其符合法律規定、行業規範以及組織的內部政策。

非常重要的一點是，在GRC的領域中，如果並不具備第一個(公司治理),那麼後面兩個(風險管理、合規審查)就顯得毫無用處並且很有可能無法真正達到。

類似地，如果不具備第二個(風險管理)，那麼合規審查也變得毫無用處並且很有可能無法真正達到。

這就是為什麼這個詞的縮寫為G+R+C，而並非其它的順序。

公司治理、風險管理及合規審查高度相關，但是他們是明顯不同的活動，來解決針組織內不同類型要素的不同問題。

給出GRC的精確定義是非常具有挑戰性的。

根據GRC行業分析師MichaelRasmussen（英語：MichaelRasmussen）的說法，精確定義GRC的挑戰之處在於，組成GRC的三個詞的每一個在(不同)組織中都具有很多不同的含義。

它們包括：企業治理、IT治理、財務風險、戰略風險、運營風險、IT風險、公司規範、SOX法規、勞動法規、隱私法規……。

建立GRC系統的最初興趣來源於SOX法案，然而現在對GRC的需求已經發生變化。

現在GRC被認為是實現企業風險管理（ERM）的手段。

特別地，這代表了把風險管理僅僅看作執行或合規的行為，到被認為可以提高決策制定和戰略計劃科學性以增加商業價值的轉變。

GRC市場細分[編輯] 一個GRC的產品可以被設計為只關注任何一個單獨的領域。

不過，最常見的領域包括：財務GRC、ITGRC和法規(Legal)GRC。

財務GRC包含用來保證財務過程符合所有有關的財務法規的活動；ITGRC包含用來保證IT組織支援目前的和（潛在的）未來的IT相關法規的要求的活動。

法規GRC關注於通過組織內的法律部門和首席合規官(CCO,ChiefComplianceOfficer)來綜合所有的三個領域。

分析師們並未在如何將GRC的這些方面劃分為市場類別上達成一致。

Gartner認為GRC市場包含如下領域： 財務和審計GRC ITGRC管理 企業風險管理 它們進一步地把ITGRC管理細分為如下功能。

儘管下面列表是針對ITGRC的，類似的劃分方法對於其他的GRC領域也是適用的。

控制項和原則庫 原則分配和回應 IT控制項自我評估和度量 IT資產庫 自動化的通用電腦控制項(GCC,GeneralComputerControl)集合 矯正和例外管理 報表 進階IT風險評估和合規儀錶盤(ComplianceDashboard) BurtonGroup提供了一個類似的市場分類： 財務GRC 運營風險管理 通用合規和審計管理 ITGRC 企業風險管理 GRC產品供應商[編輯] 由於市場的不斷變化，任何供應商分析都往往很快會變得過時。

GRC組織[編輯] 已經有若干行業組織專門關注GRC: OCEG(OpenComplianceandEthicsGroup) LegalGRCCenterforInnovation 參考資料[編輯] ^AnthonyTarantino,Governance,Risk,andComplianceHandbook,2008-02-25[2016-09-07],ISBN 978-0-470-09589-8,（原始內容存檔於2014-11-05）  ^DeniseVuBroady;HollyA.Roland,TheABCsofGRC,SAPGRCForDummies,2008-04-25[2016-09-07],ISBN 978-0-470-33317-4,（原始內容存檔於2014-02-23）  ^Silveira,P.,Rodriguez,C.,Birukou,A.,Casati,F.,Daniel,F.,D'Andrea,V.,Worledge&C.,Zouhair,T.,AidingComplianceGovernanceinService-BasedBusinessProcesses,IGIGlobal:524–548,2012[2013-04-06],（原始內容存檔於2018-12-11）  相關條目[編輯] 合格評定（英語：Conformityassessment） ISO19600:2014（英語：ISO19600:2014） 檔案管理 守規 外部連結[編輯] InformationSystemsAuditandControlAssociation(ISACA)（頁面存檔備份，存於網際網路檔案館） 取自「https://zh.wikipedia.org/w/index.php?title=公司治理、风险管理及合规审查&oldid=63326494」 分類：​商業軟體企業建模隱藏分類：​自2016年9月語調不適於維基百科的條目拒絕當選首頁新條目推薦欄目的條目 導覽選單 個人工具 沒有登入討論貢獻建立帳號登入 命名空間 條目討論 臺灣正體 不转换简体繁體大陆简体香港繁體澳門繁體大马简体新加坡简体臺灣正體 查看 閱讀編輯檢視歷史 更多 搜尋 導航 首頁分類索引特色內容新聞動態近期變更隨機條目資助維基百科 說明 說明維基社群方針與指引互助客棧知識問答字詞轉換IRC即時聊天聯絡我們關於維基百科 工具 連結至此的頁面相關變更上傳檔案特殊頁面靜態連結頁面資訊引用此頁面維基數據項目 列印/匯出 下載為PDF可列印版 其他語言 العربيةDeutschEnglishFrançaisעבריתPolskiPortuguês 編輯連結