公司治理、风险及合规管理(Governance，Risk＆Compliance，以下简称“GRC”)是指企业为满足内部和外部的法定要求和标准，而开展的建立公司治理结构、识别并设计受法规影响的流程、识别及评估风险、设计及实施内部控制系统、监督并改进内部控制系统的有效性等工作。

1、企业风险管理

一个持续经营的企业不可避免地会面对各种各样的风险，如因环境变化或不明朗的政策引起的环境风险、因不适当的引导纲领和规划而产生的战略风险以及企业参与投资活动产生投资风险．企业运作必然会有资金风险，甚至为人为原因产生的道德风险，特别是随着社会和经济的发展，企业在不断变化的市场环境下的交易行为和自身组织创新也产生了各种风险。

企业风险管理的目标是通过对企业的风险进行控制和管理，尽可能使得某一风险事件或行为造成的损失比预期小，创造的价值比预期大，即风险溢价最大化。具体地说，根据企业确定的任务或预期，管理者制定企业的战略目目标，选择战略并确定其他与之相关的目标在企业内层层分解和落实。确定了企业的目标，才能够确定对目标的实现有潜在影响的事项。企业风险管理就是提供给企业管理者一个适当的过程，既能够帮助制定企业的目标，又能够将目标与企业的任务或预期联系在一起，并且保证制定的目标与企业的风险偏好相一致。企业风险管理目的在于企业目标的实现，保证股东财富的最大化。企业风险管理涉及企业各个层次的员工，渗透于企业各项活动中的一系列行动，这些行动普遍存在管理者对企业的日常管理中，是企业日常管理所固有的。

企业必须从全局、从总体层面上考虑企业的各项活动，应以风险组合的观点看待风险。风险管理过程应用于企业内部每个层次和部门，应考虑组织内所有层面的活动，从企业总体的活动(如战略计划和资源分配)到业务部门的活动(如市场部、人力资源部)，再到业务流程(如生产过程和新客户信用符合)，而不是孤立地进行若干个独立的风险管理。对企业管理者而言，对企业所面临的风险应树立总体层面上的风险组合观，应从风险管理的有效性考虑，通过对企业不同阶段不同方面的各种风险的识别和评价，并在此基础上优化组合各种风险防范策略，对风险实施有效的控制和监督，以最少的成本获得最大的风险溢价。

风险是客观存在的，企业无法回避它给企业发展带来的影响，企业需要有意识地面对风险。风险是可以预防和控制的，通过风险管理、风险控制，不仅可以带来风险价值，也可以创造风险溢价，这是成功风险管理的关键。

2、企业内部控制

企业内部控制是风险应对的手段，正是因为存在各种各样的风险，企业才有必要建立良好的内部控制系统，从而保证企业目标的实现。内部控制有利于提高企业经营效率，降低资产损失风险，有助于保证财务报表的可靠性、企业经营活动的合法合规性。内部控制体系能够有效地监督业务流程的运行情，并在发生违规业务时及时报告。

内部控制体系设计不是一成不变的，需要根据企业实际的状态以及所开展的业务灵活设定，但是必须要遵循一定的标准体系。企业在初创期和业务发展期，于业务发生的需要，通常会制定较为灵活的政策和业务流程，从而适应客户多变的需求。而进入稳定期且业务成熟以后，其灵活的业务流程会慢慢地向标准化和规范化演变，会更加注重业务流程执行的合规性，保证企业的长期稳定和健康发展。应当说，企业业务流程执行合规与否，与企业内部控制建设和推行力度有非常密切的关系。

3、企业合规管理

企业的合规管理是指企业通过制定合规政策，按照外部法规的要求统一制定并持续修改内部规范，监督内部规范的执行，以实现增强内部控制，对违规行为进行持续监测、识别、预警、防范、控制、化解合规风险的一整套管理活动和机制。合规管理，是内控的一个重要方面，也是风险管理的一个关键环节。全球化经营的企业尤其要关注海外经营国的合规要求，防范合规风险。

全球贸易条款，越来越多的中国企业开始执行跨境贸易，跨境贸易与境内贸易不同，除了在管理贸易合同、费用结算、收发货等传统的内容之外，更需要关注与各国海外相关的关务事宜、关税事宜以及在跨境贸易过程中不可避免的贸易禁运、贸易黑名单、自由贸易协定、贸易最惠国待遇等内容。