GRC軟件管理：一個頂仨

申請免費試用、咨詢電話：400-8352-114

幾乎是從薩班斯－奧克斯利法案（Sarbanes-Oxley Act, 簡稱SOX）宣告生效之日起，尤其是在其中的第404款成為令企業(yè)頭痛之極的條文之后，IT企業(yè)就一直在兜售據(jù)稱可減輕合規(guī)工作負擔的軟件。IT企業(yè)的通常做法是將本來用于其他工作的應(yīng)用軟件——例如某些軟件原本是用來管理文件和工作流程、或提供商業(yè)法規(guī)資料庫的，現(xiàn)在倉促改良一下，當作合規(guī)軟件出售。

如果這些軟件供應(yīng)商指望借此大撈一票的話，他們很快就會失望。雖然隨著時間的推移，許多企業(yè)已認識到自動化軟件有助于解決SOX合規(guī)問題，但對大多數(shù)企業(yè)來說，相對流程再造和其他工作，采用軟件仍處于次要地位。最近美國證券交易委員會（Securities and Exchange Commission, SEC）發(fā)布了新的指導(dǎo)原則，將404款合規(guī)工作的重點從巨細無遺地記錄企業(yè)內(nèi)控機制的所有細小方面轉(zhuǎn)向評估重大風險，這樣一來，企業(yè)很快就不必再記錄所有細枝末節(jié)了。

當機遇之神來敲門時，軟件企業(yè)和IT顧問的耳朵比狗還尖。甚至在404款合規(guī)工作手冊修訂之前，軟件企業(yè)便已開始修改SOX應(yīng)用軟件， 將其轉(zhuǎn)變?yōu)楦鼮閺?fù)雜、覆蓋領(lǐng)域更廣的軟件產(chǎn)品，可處理受SOX影響較大的兩個相關(guān)領(lǐng)域：公司治理和風險管理。

由此便誕生了“公司治理、風險管理及合規(guī)軟件（GRC軟件）”。其核心是一種追蹤系統(tǒng)，可捕捉各種合規(guī)要求對特定企業(yè)的影響的相關(guān)數(shù)據(jù)，同時記錄企業(yè)在滿足合規(guī)要求方面的進展。

但如今，GRC軟件已不只是一種自動化一覽表，而開始提供更為高級的決策支持功能。這主要是因為，在日益增多的監(jiān)管規(guī)定本身也帶來了新的風險（即企業(yè)因未滿足某項規(guī)定而面臨處罰的風險）的同時，其他形式的風險也受到美國企業(yè)界的更多關(guān)注。事實上，GRC幾乎已成企業(yè)風險管理（ERM）的代名詞，許多GRC軟件產(chǎn)品聲稱可幫助企業(yè)監(jiān)控和分析多種業(yè)務(wù)風險，而監(jiān)管合規(guī)風險只是其中之一。

并非只有你一個人覺得這種廣告宣傳既誘人又費解。即便是那些已經(jīng)采用了GRC軟件的企業(yè)也承認：它們也不太確定這種軟件究竟有何意義以及到底能發(fā)揮多大作用。盡管該技術(shù)在不斷進步，但有些企業(yè)表示更偏愛只涉及有限領(lǐng)域的GRC軟件，其他的一些企業(yè)則在推行一種側(cè)重于組織架構(gòu)和工作流程而非IT技術(shù)的GRC戰(zhàn)略。

重復(fù)勞動

盡管看法不盡相同，但許多企業(yè)都同意兩點：第一，公司治理、監(jiān)管合規(guī)和風險管理工作之間往往存在一定程度的交叉；第二，在處理這些工作時如果缺乏秩序會導(dǎo)致重復(fù)勞動和較高成本。

“目前，企業(yè)的IT預(yù)算中有大約8.5%的資金是用于合規(guī)工作，”Gartner的分析師弗蘭奇·考德維爾（French Caldwell）說，“下一步是利用它們在系統(tǒng)（即為了合規(guī)目的單純捕捉數(shù)據(jù)的系統(tǒng)）的投資，運用這些數(shù)據(jù)來輔助公司在運營風險和績效方面的決策?！?/P>

雖然“下一步”是合乎邏輯的，但大多數(shù)企業(yè)的實際操作并非如此。考德維爾說，企業(yè)通常已經(jīng)采購了多種套裝軟件，來處理GRC工作的不同方面。造成這種情況的原因有很多。首先，不同部門往往是各自負責GRC管理工作的不同方面。合規(guī)和風險管理工作可能各有一套班子負責，即便在合規(guī)部門內(nèi)部，負責SOX財務(wù)合規(guī)工作的員工同負責衛(wèi)生和安全合規(guī)（針對職業(yè)安全與衛(wèi)生監(jiān)管局、環(huán)境保護署和其他一些聯(lián)邦監(jiān)管機構(gòu)的法規(guī)）的員工之間也可能無甚交流。這樣，每個部門都會采購符合自身需求的一套軟件?！斑@往往會導(dǎo)致企業(yè)重復(fù)購買類似的軟件產(chǎn)品，”考德維爾說，“如果它們統(tǒng)一購買一張企業(yè)版軟件的許可證，就可以省下很多錢?！?/P>

甲骨文（Oracle）和SAP公司均已涉足GRC軟件領(lǐng)域。據(jù)甲骨文負責應(yīng)用策略的集團副總裁克里斯·里昂（Chris Leone ）說，他們所提供的一系列產(chǎn)品的設(shè)計宗旨是“記錄和監(jiān)控所有GRC工作的總協(xié)調(diào)軟件”。Gartner的考德維爾表示：“提供企業(yè)資源規(guī)劃（ERP）行業(yè)的軟件企業(yè)也進入了GRC市場，這說明對GRC市場不可等閑視之，而對于那些強調(diào)運營風險管理的企業(yè)來說，采用統(tǒng)一的技術(shù)平臺將大有裨益?！?/P>

不過許多企業(yè)不這么看。 運輸服務(wù)公司YRC Worldwide的總顧問丹·楚瑞（Dan Churay）表示，盡管在公司治理、風險管理和合規(guī)工作之間確實存在一些協(xié)同效應(yīng)，“但軟件供應(yīng)商、IT顧問和企業(yè)內(nèi)部接觸風險管理或合規(guī)工作不久的人員可能都夸大了這幾方面的交叉部分。”

YRC與普華永道（PricewaterhouseCoopers）合作開發(fā)了一種以工作匯報關(guān)系和風險分析為核心而非以安裝軟件為核心的GRC戰(zhàn)略。楚瑞說：“我們也在考慮擴大我們從Certus Software采購的SOX軟件的用途，在其中嵌入更多控制功能?！钡攸c還是在于評估哪些風險可以由企業(yè)集中管理，而不是由專家處理。

超前于時代？

漢堡王公司（Burger King Corp.）負責財務(wù)的高級副總裁克里斯·安德森（Chris Anderson）指出，該公司在其10-K文件中有長達12頁的描述風險因素的內(nèi)容。他說：“沒有哪個軟件套裝能夠處理所有這些風險。”而在漢堡王，“合規(guī)”一詞涵蓋了很多工作，從SOX合規(guī)（由財務(wù)部門負責）到針對食品安全和相關(guān)聯(lián)邦法規(guī)的合規(guī)工作（由專門部門負責）不一而足。“我們確實覺得SOX合規(guī)軟件很有用，”安德森說，“但我們還是選擇了一種更簡單的可用作文件和流程圖表資料庫的軟件?！?/P>

普華永道負責美國區(qū)GRC咨詢服務(wù)的合伙人邁爾斯·埃佛森（Miles Everson）表示，“企業(yè)往往采購了太多軟件，它們應(yīng)該把重點放在減少不同的監(jiān)管職能部門的數(shù)量和整合這些部門的合規(guī)工作上?！?/P>

但軟件企業(yè)反駁說，正因為如此GRC軟件才愈顯重要：要整合相關(guān)工作正需要GRC軟件所提供的技術(shù)基礎(chǔ)。也許這種軟件有點超前于時代了。畢馬威的馬克·古德本（Mark Goodburn）指出：“過去，企業(yè)要管理兩件事，人才和流程，然后隨著IT技術(shù)的興起又要管理信息技術(shù)；而現(xiàn)在，要管理的第四件事就是GRC，但它要成為企業(yè)文化的一個不可分割的部分仍需假以時日?！?/P>

Gartner預(yù)測，從現(xiàn)在起到2010年，GRC軟件銷售將實現(xiàn)23.8%的強勁復(fù)合增長率，但AMR Research 認為在短期內(nèi)增長率遠沒有那么高。預(yù)測數(shù)字不同的一個原因是GRC本身的定義既五花八門，又變化無常。GRC作為一個軟件種類，最大的問題就是企業(yè)是否愿意進行GRC意在促進的對合規(guī)工作的整合。