如今,企业面临的各种风险使得企业风险管理(ERM)成为治理、风险与合规(GRC)计划的重要组成部分。
机构风险管理是什么意思?GRC 又是什么意思?虽然机构风险管理和传统的全球风险审查计划旨在解决同样的问题,但它们从不同的角度处理这些问题。机构风险管理和全球风险审查可能被视为相互竞争的替代方案,或者可以假设它们是独立存在的,但当它们通过以风险为中心和以数据为基础的做法共同发挥作用时,它们是最有效的。
机构风险管理就是创造价值
从根本上说,机构风险管理是以风险为重点的对一个组织的全面审视,其最终目标与全球风险管理相同:持续实现公司的目标。因此,机构风险管理涵盖了包括治理和合规在内的所有职能,将其简化为一个共同的框架,其中包括对目标、要求和根源风险的识别和评估。
有些风险具有跨职能的影响,这意味着某些缓解活动可能对不止一个部门有 益。这意味着有效的机构风险管理框架可以简化控制措施,减少冗余,并通过确保跨职能的成熟来加强控制措施。
因此,机构风险管理就是创造价值。如果风险管理是独立的,以价值为导向,那么机构风险管理就能同时为 GRC 目标和底线做出贡献。如果把重点放在合规性上,或者过于关注打勾,那么除了维持现状之外,就不太可能做更多的事情。但如果以风险管理为重点,贵组织就能形成有效的风险管理文化,并获得可持续的竞争优势。
GRC 是价值保护
GRC 通常被定义为企业风险管理(ERM)之外的另一种以合规为重点的方法,这一行业术语主要用于描述软件解决方案。它是一个总括性术语,涵盖了包括机构风险管理在内的所有治理、风险和合规工作。
术语 "GRC "是对一个组织为确保持续实现短期和长期目标而在这三个不同领域所做努力的广泛分类。传统的方法是将 GRC 的各个组成部分划分为各自的流程。当然,这意味着风险、合规以及审计、IT 安全和政策管理等各项治理职能等每个组成部分都被视为自己的 "筒仓",拥有自己的从业人员、主题专家和管理人员。
最近,GRC 计划开始偏离传统的孤岛式方法。企业方法("eGRC")使整体计划更符合企业风险管理解决方案,旨在打破各自为政的局面,消除冗余和其他低效现象。
因此,GRC 就是价值保护。在以 GRC 为中心的组织中,优先考虑的是执行、治理和合规目标,而不是基于风险的可靠商业情报。由于这种侧重点,单靠 GRC 难以切实有效地推动以风险为中心的组织。它不是主动的,而往往是被动的记录程序。
企业风险管理离不开 GRC
eGRC 正在推动一种更类似于 ERM 的 GRC 方法,而风险管理的三道防线(3LOD)模式表明,如果不做 GRC,就不能再做 ERM。这种模式本质上将合规、执行监督和审计整合到风险管理中,由监管机构推动,由协会、会议、专家和顾问传授。
3LOD 模型已经在大型金融机构盛行,现在也开始进入小型银行。3LOD 模型在金融服务业之外可能并不是一个热门话题,但在其他行业(如 RCSA)流行的更复杂的风险管理模型的基础中经常可以找到它的身影。
企业风险管理和全球风险控制的本质给我们带来的重要启示是,风险管理需要全局观念以及公司内部的有效协作和协调。你需要一种有组织的、智能的方式来持续评估风险、管理合规性和协调审计。
联系我们
抵御供应商和企业风险
了解我们一流的 VRM/ERM 解决方案。
