第一部分：GRC的理论概论和实务应用尽管GRC（Governance,RiskandComplianceManagement）的概念在国内才刚刚兴起，但其在国外已经发展相当长时间。GRC以美国安然、法国兴业银行等一系列反面教材为触发点，以《萨班斯法案》（Sarbanes-OxleyAct，简称SOX法案）为源泉，并贯穿到企业治理、风险管理和合规经营等各方面。随着企业的发展，以整体管控、战略执行为目标，实现企业管控、风险规避、战略绩效、业务流程管理及包括质量、安全、环境等在内各种遵从管理，服务于管理层和决策层的GRC管控系统被认为是企业在日益复杂的竞争环境下赖以生存和发展的必然和有效选择。中国经济快速增长带动中国企业不断做大、做强，并迈出国门，但在扩张并走向世界的过程中，中国企业逐渐暴露出“低效率低绩效、管控能力薄弱、不合规不透明”等诸多管控问题，不少企业也因此遭受了重大损失；GRC正是很好解决这些问题的管理方法与工具。一、GRC是一个管理方法与系统工具的集合GRC全称就是Governance（公司治理或管控），RiskManagement（风险管理）andComplianceManagement（法规遵从）；是以企业管控、风险和法规遵从为对象，为决策层和管理层提供综合信息和流程控制的支持。1.GRC管理理念是GRC市场发展的罗盘GRC理论在国外已发展较长时间，但国外各相关产业经营者对GRC还没有形成一个统一的标准定义，国内同样如此，目前较为完整的定义如下。(1)GRC完整定义GRC是在企业的各经营业务之上，以战略为中心，以流程管理为基础，通过绩效管理和风险内控管理措施，对各项经营管理过程进行管理和控制，保障战略和经营目标达成的管理方法和工具的总称；GRC涉及以下三个组成部分：Governance（治理/管控）：建立完整的制度安排和治理框架，公平对待各利益相干者，制定公司战略目标和政策，监督绩效，遵从法律及制度规定，透明和披露经营状况，对各项经营管理过程本身进一步进行管理和监督。RiskManagement（风险管理）：对所有业务和法规风险进行结构化的识别、评估、缓解、监视和控制。ComplianceManagement（遵从管理）：通过内部控制管理机制和体系，确保各项制度和法规得以遵从、政策得以贯彻、各项经营和管理目标得以有效达成。(2)GRC治理模型GRC管控的主要目的是保障基于企业管控和治理的战略执行，因此企业治理是一个结果，也更是一个手段。而对齐战略目标，以业务运营为基础，注重业务执行与监控，关注防范风险与合规，并引入绩效考核的企业管控闭环（如图1）保证了企业管控的有效性，也保证了企业治理的持续性。图1企业管控闭环模型针对快速崛起与发展的中国企业来说，GRC是用于改善企业做强、做大过程中所面对突出管理问题（如经营绩效，集团管控，合规透明）的管理方法体系和工具集合。图2GRC的集合视图(3)GRC的企业实践GRC管理理念是从企业发展的需求出发，以企业发展中遇到的问题为向导，保证企业管控的有效性、及时性、持续性，是针对企业管控问题的管理方法和工具的集合；只有将GRC理念落实到企业，才能让GRC指导和支撑企业管控，有效服务于战略执行；才能实践才能体现它的价值，检验它的有效性，保持它的先进性。GRC在企业的实践应包含管理体系建立与工具搭建两个方面。二、GRC理念与工具市场规模不断扩展随着GRC理论的日趋成熟和企业管理方法的不断提高，越来越多的企业管理者开始意识到GRC在企业管控过程中的重要作用；也有越来越多的企业将GRC管理理念和工具引入企业的管理工作中。1、GRC市场现状自2006年以来，国内外关于GRC管理理念的研究在不断深化、完善。GRC理念从最初单一的SOX法案遵从，扩展到目前的涉及风险管理、法规遵从、审计管理、制度管理等；而国内GRC厂商更是根据国内企业发展特点将企业管控、绩效管理、流程管理、全面预算管理等整合入GRC集成解决方案中。GRC解决方案的扩展与完善，使其在企业管控中的涉及面更加广泛，也使得其对于企业管控的作用更加突出，企业对其的依赖性更大。（1）国际GRC市场受金融危机影响震荡扩展随着国外迪拜危机、雷曼兄弟、通用破产保护，国内三鹿、黄光裕等事件的出现，企业对于GRC应用越来越广泛；但经济危机令国外企业在过去两年纷纷消减IT投入，因此过去两年国外GRC市场并没像AMRResearch2008年预测的那样持续增长。据据2009年底AMRResearch对151个美国企业进行的调查显示，2007年到2009年美国GRC市场投入下降约5%，但调查同样显示美国GRC市场在2010年将有大幅增长预计将要达到298亿美元，如图3所示。单位：亿美元数据来源：AMRResearch