重新定義說明GRC架構正名「持續性稽核與監控」

最近在許多場合演講,或者是與客戶討論持續性稽核的導入程序,不免都會談到GRC(Governance, Risk, and Compliance:治理、風險管理及合規)的整合架構,只是許多人都認為,他們企業或公司都認為,時機還不成熟,公司規模不大,還不需要,事實上,那可能是一個美麗的誤會,其實,GRC並不是新發展出來的管理架構,它只是將過去我們所強調的公司治理、風險管理及合規(或是法規遵循)進行整合,維基百科裡面對於GRC有明確的定義說明,現在公司或者組織越來越能夠認識到,治理、風險管理及合規(Governance, Risk Management, and Compliance,縮寫GRC)這三個領域應該被綜合整體來看待。建立 GRC 制度最初源自於SOX 法案,然而現在對 GRC 的需求已經發生變化。目前 GRC 被認為是推動企業風險管理 (ERM, Enterprise Risk Management) 的手段。尤其特別地,這不僅是代表把風險管理當作實行或合規的行為,也被認為可以提高決策制定和策略計劃的研擬,以增加商業價值的轉變。

GRC Framework Chinese

「公司治理」是高階管理階層的責任,它專注於建立企業組織內部的透明度,採用某種機制來保證組織內所有成員都遵守確定的流程和方向。妥適的治理策略能夠監測和記錄當前的商業活動,採取措施和步驟來保證符合確定的方向,並且能夠在誤解、曲解或未遵守原則的情況下,提供矯正的措施。

「風險管理」 是組織識別潛在風險、根據組織的商業標的區分風險的優先順序、判斷其對抗風險程度的一個流程。風險管理透過組織的內部控制來管理和減輕風險。

「合規」 透過記錄和檢測控制項,來確認其符合法律規定、行業規範以及組織的內部控制政策。

每當有公司發生財務危機、人謀不贓、或者是重大管理缺失造成客戶損失或受偒,通當只談風險管理及合規審查是不夠的,因為大部份這些問題發生的成因,來自上層的經營態度,以及是否提供一個完善的管理組織和政策規範呢?因此,GRC若不具備第一項治理或公司治理,則後面兩個(風險管理及合規審查)就顯得毫無用處,無法真正達到企業管理目標,所謂G+R+C(Governance, Risk, and Compliance),是實際上的管理順序,除了它們之間高度相關以外,它們同時也明顯屬於不同的活動,來解決組織內部不同型態要素的不同問題。

根據 GRC 產業分析師 Michael Rasmussen 的說法,精確定義 GRC 的挑戰在於組成 GRC 三個名詞的每一個在(不同)組織中都具有很多不同的含義。它們包括:公司治理、資訊治理、財務風險、策略風險、運營風險、資訊風險、公司規範、SOX 法規、勞動法規、隱私法規 … …等,在此,你應該明白它的挑戰之處了吧。

上述所談GRC架構,正好配合COSO內部控制架構,五大要素裡面的第五個要素:「監督」,「監督」係指自行檢查內部控制制度品質之過程,包括評估控制環境是否良好,風險評估是否及時、確實,控制作業是否適當、確實,資訊及溝通系統是否良好等。監督可分持續性監督個別評估,前者謂營運過程中之例行監督,後者係由內部稽核人員、監察人或董事會等其他人員進行評估。這個已在上個星期電子報做過說明,重點在為什麼要做持續性的稽核及監控呢?主要是上面有提到「風險管理」透過組織的內部控制來管理及減輕風險,也就是如何讓評估高的「固有風險」(High Level Inherent Risk),透過有效的內部控制措施,減少它的風險發生的機率和減緩它的風險影響程度,讓「剩餘風險」(Residual Risk)被保持在低水準(Low Level),而它的關鍵取決於「有效的內部控制措施」,因此,內部稽核的查核與確認性工作(Audit/Assurance)就變成相當重要,為確保風險項目的剩餘風險一直保持在低水準,則稽核測試的頻率須要增加,通常當交易完成時,若能夠及時檢查,是否有違反公司政策及內控程序的地方,立即檢查,找出問題,及時改正,提升內部控制有效性,確保低的風險水平。(關於風險管理議題,請參考https://blog.uprofit-tw.com/?p=1047)

提升查核測試頻率和組織資訊化程度有關,目前,一般企業公司內部日常交易作業,幾乎都已經變成資訊化管理,現代科技發展,促成持續性稽核與監控的技術精進,各企業幾乎超過50%以上,都已經電腦化,那我們還在使用傳統人工的查核方法進行稽核工作嗎?我只能說瞎子摸象、隔靴掻癢,閉著眼睛做,但對查核結果一點信心都沒有,發展持續性稽核監控技術,首要在資料分析能力的建置,遵循「資料分析能力成熟度模型」來發展稽核組織或其他營運分析單位的基本能力,才是建構有效的「持續性稽核與監控作業」的不二法門,相關作業內容與方式,請參考「AACM稽核分析能力成熟度模型- Audit Analytics Capability Model」

GRC&BA Analytics Technology

關於 David Chuang

David Chuang
CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員