GRC軟件管理：一個(gè)頂仨

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

幾乎是從薩班斯－奧克斯利法案（Sarbanes-Oxley Act, 簡(jiǎn)稱SOX）宣告生效之日起，尤其是在其中的第404款成為令企業(yè)頭痛之極的條文之后，IT企業(yè)就一直在兜售據(jù)稱可減輕合規(guī)工作負(fù)擔(dān)的軟件。IT企業(yè)的通常做法是將本來用于其他工作的應(yīng)用軟件——例如某些軟件原本是用來管理文件和工作流程、或提供商業(yè)法規(guī)資料庫的，現(xiàn)在倉(cāng)促改良一下，當(dāng)作合規(guī)軟件出售。

如果這些軟件供應(yīng)商指望借此大撈一票的話，他們很快就會(huì)失望。雖然隨著時(shí)間的推移，許多企業(yè)已認(rèn)識(shí)到自動(dòng)化軟件有助于解決SOX合規(guī)問題，但對(duì)大多數(shù)企業(yè)來說，相對(duì)流程再造和其他工作，采用軟件仍處于次要地位。最近美國(guó)證券交易委員會(huì)（Securities and Exchange Commission, SEC）發(fā)布了新的指導(dǎo)原則，將404款合規(guī)工作的重點(diǎn)從巨細(xì)無遺地記錄企業(yè)內(nèi)控機(jī)制的所有細(xì)小方面轉(zhuǎn)向評(píng)估重大風(fēng)險(xiǎn)，這樣一來，企業(yè)很快就不必再記錄所有細(xì)枝末節(jié)了。

當(dāng)機(jī)遇之神來敲門時(shí)，軟件企業(yè)和IT顧問的耳朵比狗還尖。甚至在404款合規(guī)工作手冊(cè)修訂之前，軟件企業(yè)便已開始修改SOX應(yīng)用軟件， 將其轉(zhuǎn)變?yōu)楦鼮閺?fù)雜、覆蓋領(lǐng)域更廣的軟件產(chǎn)品，可處理受SOX影響較大的兩個(gè)相關(guān)領(lǐng)域：公司治理和風(fēng)險(xiǎn)管理。

由此便誕生了“公司治理、風(fēng)險(xiǎn)管理及合規(guī)軟件（GRC軟件）”。其核心是一種追蹤系統(tǒng)，可捕捉各種合規(guī)要求對(duì)特定企業(yè)的影響的相關(guān)數(shù)據(jù)，同時(shí)記錄企業(yè)在滿足合規(guī)要求方面的進(jìn)展。

但如今，GRC軟件已不只是一種自動(dòng)化一覽表，而開始提供更為高級(jí)的決策支持功能。這主要是因?yàn)?，在日益增多的監(jiān)管規(guī)定本身也帶來了新的風(fēng)險(xiǎn)（即企業(yè)因未滿足某項(xiàng)規(guī)定而面臨處罰的風(fēng)險(xiǎn)）的同時(shí)，其他形式的風(fēng)險(xiǎn)也受到美國(guó)企業(yè)界的更多關(guān)注。事實(shí)上，GRC幾乎已成企業(yè)風(fēng)險(xiǎn)管理（ERM）的代名詞，許多GRC軟件產(chǎn)品聲稱可幫助企業(yè)監(jiān)控和分析多種業(yè)務(wù)風(fēng)險(xiǎn)，而監(jiān)管合規(guī)風(fēng)險(xiǎn)只是其中之一。

并非只有你一個(gè)人覺得這種廣告宣傳既誘人又費(fèi)解。即便是那些已經(jīng)采用了GRC軟件的企業(yè)也承認(rèn)：它們也不太確定這種軟件究竟有何意義以及到底能發(fā)揮多大作用。盡管該技術(shù)在不斷進(jìn)步，但有些企業(yè)表示更偏愛只涉及有限領(lǐng)域的GRC軟件，其他的一些企業(yè)則在推行一種側(cè)重于組織架構(gòu)和工作流程而非IT技術(shù)的GRC戰(zhàn)略。

重復(fù)勞動(dòng)

盡管看法不盡相同，但許多企業(yè)都同意兩點(diǎn)：第一，公司治理、監(jiān)管合規(guī)和風(fēng)險(xiǎn)管理工作之間往往存在一定程度的交叉；第二，在處理這些工作時(shí)如果缺乏秩序會(huì)導(dǎo)致重復(fù)勞動(dòng)和較高成本。

“目前，企業(yè)的IT預(yù)算中有大約8.5%的資金是用于合規(guī)工作，”Gartner的分析師弗蘭奇·考德維爾（French Caldwell）說，“下一步是利用它們?cè)谙到y(tǒng)（即為了合規(guī)目的單純捕捉數(shù)據(jù)的系統(tǒng)）的投資，運(yùn)用這些數(shù)據(jù)來輔助公司在運(yùn)營(yíng)風(fēng)險(xiǎn)和績(jī)效方面的決策?！?/P>

雖然“下一步”是合乎邏輯的，但大多數(shù)企業(yè)的實(shí)際操作并非如此。考德維爾說，企業(yè)通常已經(jīng)采購(gòu)了多種套裝軟件，來處理GRC工作的不同方面。造成這種情況的原因有很多。首先，不同部門往往是各自負(fù)責(zé)GRC管理工作的不同方面。合規(guī)和風(fēng)險(xiǎn)管理工作可能各有一套班子負(fù)責(zé)，即便在合規(guī)部門內(nèi)部，負(fù)責(zé)SOX財(cái)務(wù)合規(guī)工作的員工同負(fù)責(zé)衛(wèi)生和安全合規(guī)（針對(duì)職業(yè)安全與衛(wèi)生監(jiān)管局、環(huán)境保護(hù)署和其他一些聯(lián)邦監(jiān)管機(jī)構(gòu)的法規(guī)）的員工之間也可能無甚交流。這樣，每個(gè)部門都會(huì)采購(gòu)符合自身需求的一套軟件?！斑@往往會(huì)導(dǎo)致企業(yè)重復(fù)購(gòu)買類似的軟件產(chǎn)品，”考德維爾說，“如果它們統(tǒng)一購(gòu)買一張企業(yè)版軟件的許可證，就可以省下很多錢?！?/P>

甲骨文（Oracle）和SAP公司均已涉足GRC軟件領(lǐng)域。據(jù)甲骨文負(fù)責(zé)應(yīng)用策略的集團(tuán)副總裁克里斯·里昂（Chris Leone ）說，他們所提供的一系列產(chǎn)品的設(shè)計(jì)宗旨是“記錄和監(jiān)控所有GRC工作的總協(xié)調(diào)軟件”。Gartner的考德維爾表示：“提供企業(yè)資源規(guī)劃（ERP）行業(yè)的軟件企業(yè)也進(jìn)入了GRC市場(chǎng)，這說明對(duì)GRC市場(chǎng)不可等閑視之，而對(duì)于那些強(qiáng)調(diào)運(yùn)營(yíng)風(fēng)險(xiǎn)管理的企業(yè)來說，采用統(tǒng)一的技術(shù)平臺(tái)將大有裨益。”

不過許多企業(yè)不這么看。 運(yùn)輸服務(wù)公司YRC Worldwide的總顧問丹·楚瑞（Dan Churay）表示，盡管在公司治理、風(fēng)險(xiǎn)管理和合規(guī)工作之間確實(shí)存在一些協(xié)同效應(yīng)，“但軟件供應(yīng)商、IT顧問和企業(yè)內(nèi)部接觸風(fēng)險(xiǎn)管理或合規(guī)工作不久的人員可能都夸大了這幾方面的交叉部分?！?/P>

YRC與普華永道（PricewaterhouseCoopers）合作開發(fā)了一種以工作匯報(bào)關(guān)系和風(fēng)險(xiǎn)分析為核心而非以安裝軟件為核心的GRC戰(zhàn)略。楚瑞說：“我們也在考慮擴(kuò)大我們從Certus Software采購(gòu)的SOX軟件的用途，在其中嵌入更多控制功能?！钡攸c(diǎn)還是在于評(píng)估哪些風(fēng)險(xiǎn)可以由企業(yè)集中管理，而不是由專家處理。

超前于時(shí)代？

漢堡王公司（Burger King Corp.）負(fù)責(zé)財(cái)務(wù)的高級(jí)副總裁克里斯·安德森（Chris Anderson）指出，該公司在其10-K文件中有長(zhǎng)達(dá)12頁的描述風(fēng)險(xiǎn)因素的內(nèi)容。他說：“沒有哪個(gè)軟件套裝能夠處理所有這些風(fēng)險(xiǎn)?！倍跐h堡王，“合規(guī)”一詞涵蓋了很多工作，從SOX合規(guī)（由財(cái)務(wù)部門負(fù)責(zé)）到針對(duì)食品安全和相關(guān)聯(lián)邦法規(guī)的合規(guī)工作（由專門部門負(fù)責(zé)）不一而足。“我們確實(shí)覺得SOX合規(guī)軟件很有用，”安德森說，“但我們還是選擇了一種更簡(jiǎn)單的可用作文件和流程圖表資料庫的軟件?！?/P>

普華永道負(fù)責(zé)美國(guó)區(qū)GRC咨詢服務(wù)的合伙人邁爾斯·埃佛森（Miles Everson）表示，“企業(yè)往往采購(gòu)了太多軟件，它們應(yīng)該把重點(diǎn)放在減少不同的監(jiān)管職能部門的數(shù)量和整合這些部門的合規(guī)工作上?！?/P>

但軟件企業(yè)反駁說，正因?yàn)槿绱薌RC軟件才愈顯重要：要整合相關(guān)工作正需要GRC軟件所提供的技術(shù)基礎(chǔ)。也許這種軟件有點(diǎn)超前于時(shí)代了。畢馬威的馬克·古德本（Mark Goodburn）指出：“過去，企業(yè)要管理兩件事，人才和流程，然后隨著IT技術(shù)的興起又要管理信息技術(shù)；而現(xiàn)在，要管理的第四件事就是GRC，但它要成為企業(yè)文化的一個(gè)不可分割的部分仍需假以時(shí)日。”

Gartner預(yù)測(cè)，從現(xiàn)在起到2010年，GRC軟件銷售將實(shí)現(xiàn)23.8%的強(qiáng)勁復(fù)合增長(zhǎng)率，但AMR Research 認(rèn)為在短期內(nèi)增長(zhǎng)率遠(yuǎn)沒有那么高。預(yù)測(cè)數(shù)字不同的一個(gè)原因是GRC本身的定義既五花八門，又變化無常。GRC作為一個(gè)軟件種類，最大的問題就是企業(yè)是否愿意進(jìn)行GRC意在促進(jìn)的對(duì)合規(guī)工作的整合。