حاکمیت ، ریسک و تطبیق (GRC) مفهومی است که به عنوان چتری کلان موضوعات کلیدی مرتبط با حاکمیت، راهبری و کنترل را در سازمان پوشش می دهد. اولین بار این واژه در سال 2007 میلادی مورد استفاده قرار گرفت. در تعریف اولیه این واژه بدین صورت توصیف شد:
\” مجموعه یکپارچه ای از قابلیت های سازمانی که سازمان را در مسیر تحقق اهدافش توانمند ساخته، به موضوع عدم قطعیت می پردازد و یکپارچگی را تسری می بخشد.\”
این مفهوم بیان کننده یکی از قابلیت های سازمان ها برای یکپارچگی فرآیندهای حاکمیت، ریسک و تطبیق به منظور تحقق اهداف سازمانی است. کارکردهای حاکمیت، ریسک و کنترل در گذشته به صورت منفصل و جداگانه در سازمان ها متداول بوده است. لیکن این سه حوزه دارای تعاملات و ارتباطات مستقیم بوده و پرداختن جداگانه به هریک نمی تواند اثربخشی لازم را در نظارت و هدایت سازمان ها به همراه داشته باشد.
به عنوان مثال در حال حاضر در برخی از بانک ها کمیته های ر یسک و تطبیق و حسابرسی داخلی به صورت مستقل فعالیت می کنند. تعاملات این کمیته ها با سایر ارکان سازمان ها از جمله واحد بازرسی نیز تعریف شده و استاندارد نیست. با مرور عملکرد این واحدها مشخص می شود که نوعی گسستگی و موازی کاری بین ماموریت ها و وظایف این ارکان وجود دارد. برای رفع این مشکل و ایجاد هم افزایی، باید فرآیندهای یکپارچه ای در قالب حاکمیت، ریسک و تطبیق در سازمان ها شکل گیرد.
رویکرد یکپارچه به حاکمیت، ریسک و تطبیق باعث می شود این سه فرآیند در راستای یکدیگر بوده و همدیگر را پشتیبانی کنند. این سه فرآیند گرچه دارای مرزهای مشخصی بوده لیکن بر یکدیگر تاثیرگذار هستند.
حسابرس داخلی مسئولیت ارزیابی کارایی و اثربخشی فرآیندهای ریسک، حاکمیت و کنترل را بر عهده دارد. از این رو حسابرسان داخلی می توانند در یکپارچه سازی این فرآیندها نقش کلیدی بر عهده داشته باشند. حسابرسان داخلی می توانند در نقش مشاوره ای خود به بهبود مستمر این فرآیندها کمک کنند تا رویکردی یکپارچه بین آنها حاکم شود.