如果這些軟件指望借此大撈一票的話，他們很快就會(huì)失望。雖然隨著時(shí)間的推移，許多企業(yè)已認(rèn)識(shí)到自動(dòng)化軟件有助于解決SOX合規(guī)問(wèn)題，但對(duì)大多數(shù)企業(yè)來(lái)說(shuō)，相對(duì)流程再造和其他工作，采用軟件仍處于次要地位。最近美國(guó)證券交易委員會(huì)（SecuritiesandExchangeCommission,SEC）發(fā)布了新的指導(dǎo)原則，將404款合規(guī)工作的重點(diǎn)從巨細(xì)無(wú)遺地記錄企業(yè)內(nèi)控機(jī)制的所有細(xì)小方面轉(zhuǎn)向評(píng)估重大風(fēng)險(xiǎn)，這樣一來(lái)，企業(yè)很快就不必再記錄所有細(xì)枝末節(jié)了。

當(dāng)機(jī)遇之神來(lái)敲門(mén)時(shí)，軟件企業(yè)和IT顧問(wèn)的耳朵比狗還尖。甚至在404款合規(guī)工作手冊(cè)修訂之前，軟件企業(yè)便已開(kāi)始修改SOX應(yīng)用軟件，將其轉(zhuǎn)變?yōu)楦鼮閺?fù)雜、覆蓋領(lǐng)域更廣的軟件產(chǎn)品，可處理受SOX影響較大的兩個(gè)相關(guān)領(lǐng)域：公司治理和風(fēng)險(xiǎn)管理。

由此便誕生了“公司治理、風(fēng)險(xiǎn)管理及合規(guī)軟件（GRC軟件）”。其核心是一種追蹤系統(tǒng)，可捕捉各種合規(guī)要求對(duì)特定企業(yè)的影響的相關(guān)數(shù)據(jù)，同時(shí)記錄企業(yè)在滿足合規(guī)要求方面的進(jìn)展。

但如今，GRC軟件已不只是一種自動(dòng)化一覽表，而開(kāi)始提供更為高級(jí)的決策支持功能。這主要是因?yàn)?，在日益增多的監(jiān)管規(guī)定本身也帶來(lái)了新的風(fēng)險(xiǎn)（即企業(yè)因未滿足某項(xiàng)規(guī)定而面臨處罰的風(fēng)險(xiǎn)）的同時(shí)，其他形式的風(fēng)險(xiǎn)也受到美國(guó)企業(yè)界的更多關(guān)注。事實(shí)上，GRC幾乎已成企業(yè)風(fēng)險(xiǎn)管理（ERM）的代名詞，許多GRC軟件產(chǎn)品聲稱可幫助企業(yè)監(jiān)控和分析多種業(yè)務(wù)風(fēng)險(xiǎn)，而監(jiān)管合規(guī)風(fēng)險(xiǎn)只是其中之一。

并非只有你一個(gè)人覺(jué)得這種廣告宣傳既誘人又費(fèi)解。即便是那些已經(jīng)采用了GRC軟件的企業(yè)也承認(rèn)：它們也不太確定這種軟件究竟有何意義以及到底能發(fā)揮多大作用。盡管該技術(shù)在不斷進(jìn)步，但有些企業(yè)表示更偏愛(ài)只涉及有限領(lǐng)域的GRC軟件，其他的一些企業(yè)則在推行一種側(cè)重于組織架構(gòu)和工作流程而非IT技術(shù)的GRC戰(zhàn)略。

重復(fù)勞動(dòng)

盡管看法不盡相同，但許多企業(yè)都同意兩點(diǎn)：第一，公司治理、監(jiān)管合規(guī)和風(fēng)險(xiǎn)管理工作之間往往存在一定程度的交叉；第二，在處理這些工作時(shí)如果缺乏秩序會(huì)導(dǎo)致重復(fù)勞動(dòng)和較高成本。

“目前，企業(yè)的IT預(yù)算中有大約8.5%的資金是用于合規(guī)工作，”Gartner的分析師弗蘭奇·考德維爾（FrenchCaldwell）說(shuō)，“下一步是利用它們?cè)谙到y(tǒng)（即為了合規(guī)目的單純捕捉數(shù)據(jù)的系統(tǒng)）的投資，運(yùn)用這些數(shù)據(jù)來(lái)輔助公司在運(yùn)營(yíng)風(fēng)險(xiǎn)和績(jī)效方面的決策?！?P>雖然“下一步”是合乎邏輯的，但大多數(shù)企業(yè)的實(shí)際操作并非如此?？嫉戮S爾說(shuō)，企業(yè)通常已經(jīng)采購(gòu)了多種套裝軟件，來(lái)處理GRC工作的不同方面。造成這種情況的原因有很多。首先，不同部門(mén)往往是各自負(fù)責(zé)GRC管理工作的不同方面。合規(guī)和風(fēng)險(xiǎn)管理工作可能各有一套班子負(fù)責(zé)，即便在合規(guī)部門(mén)內(nèi)部，負(fù)責(zé)SOX財(cái)務(wù)合規(guī)工作的員工同負(fù)責(zé)衛(wèi)生和安全合規(guī)（針對(duì)職業(yè)安全與衛(wèi)生監(jiān)管局、環(huán)境保護(hù)署和其他一些聯(lián)邦監(jiān)管機(jī)構(gòu)的法規(guī)）的員工之間也可能無(wú)甚交流。這樣，每個(gè)部門(mén)都會(huì)采購(gòu)符合自身需求的一套軟件?！斑@往往會(huì)導(dǎo)致企業(yè)重復(fù)購(gòu)買(mǎi)類似的軟件產(chǎn)品，”考德維爾說(shuō)，“如果它們統(tǒng)一購(gòu)買(mǎi)一張企業(yè)版軟件的許可證，就可以省下很多錢(qián)?！?P>甲骨文（Oracle）和SAP公司均已涉足GRC軟件領(lǐng)域。據(jù)甲骨文負(fù)責(zé)應(yīng)用策略的集團(tuán)副總裁克里斯·里昂（ChrisLeone）說(shuō)，他們所提供的一系列產(chǎn)品的設(shè)計(jì)宗旨是“記錄和監(jiān)控所有GRC工作的總協(xié)調(diào)軟件”。Gartner的考德維爾表示：“提供企業(yè)資源規(guī)劃（ERP）行業(yè)的軟件企業(yè)也進(jìn)入了GRC市場(chǎng)，這說(shuō)明對(duì)GRC市場(chǎng)不可等閑視之，而對(duì)于那些強(qiáng)調(diào)運(yùn)營(yíng)風(fēng)險(xiǎn)管理的企業(yè)來(lái)說(shuō)，采用統(tǒng)一的技術(shù)平臺(tái)將大有裨益?！?P>不過(guò)許多企業(yè)不這么看。運(yùn)輸服務(wù)公司YRCWorldwide的總顧問(wèn)丹·楚瑞（DanChuray）表示，盡管在公司治理、風(fēng)險(xiǎn)管理和合規(guī)工作之間確實(shí)存在一些協(xié)同效應(yīng)，“但軟件供應(yīng)商、IT顧問(wèn)和企業(yè)內(nèi)部接觸風(fēng)險(xiǎn)管理或合規(guī)工作不久的人員可能都夸大了這幾方面的交叉部分?！?P>YRC與普華永道（PricewaterhouseCoopers）合作開(kāi)發(fā)了一種以工作匯報(bào)關(guān)系和風(fēng)險(xiǎn)分析為核心而非以安裝軟件為核心的GRC戰(zhàn)略。楚瑞說(shuō)：“我們也在考慮擴(kuò)大我們從CertusSoftware采購(gòu)的SOX軟件的用途，在其中嵌入更多控制功能?！钡攸c(diǎn)還是在于評(píng)估哪些風(fēng)險(xiǎn)可以由企業(yè)集中管理，而不是由專家處理。

超前于時(shí)代？

漢堡王公司（BurgerKingCorp.）負(fù)責(zé)財(cái)務(wù)的高級(jí)副總裁克里斯·安德森（ChrisAnderson）指出，該公司在其10-K文件中有長(zhǎng)達(dá)12頁(yè)的描述風(fēng)險(xiǎn)因素的內(nèi)容。他說(shuō)：“沒(méi)有哪個(gè)軟件套裝能夠處理所有這些風(fēng)險(xiǎn)。”而在漢堡王，“合規(guī)”一詞涵蓋了很多工作，從SOX合規(guī)（由財(cái)務(wù)部門(mén)負(fù)責(zé)）到針對(duì)食品安全和相關(guān)聯(lián)邦法規(guī)的合規(guī)工作（由專門(mén)部門(mén)負(fù)責(zé)）不一而足。“我們確實(shí)覺(jué)得SOX合規(guī)軟件很有用，”安德森說(shuō)，“但我們還是選擇了一種更簡(jiǎn)單的可用作文件和流程圖表資料庫(kù)的軟件。”

普華永道負(fù)責(zé)美國(guó)區(qū)GRC咨詢服務(wù)的合伙人邁爾斯·埃佛森（MilesEverson）表示，“企業(yè)往往采購(gòu)了太多軟件，它們應(yīng)該把重點(diǎn)放在減少不同的監(jiān)管職能部門(mén)的數(shù)量和整合這些部門(mén)的合規(guī)工作上?！?P>但軟件企業(yè)反駁說(shuō)，正因?yàn)槿绱薌RC軟件才愈顯重要：要整合相關(guān)工作正需要GRC軟件所提供的技術(shù)基礎(chǔ)。也許這種軟件有點(diǎn)超前于時(shí)代了。畢馬威的馬克·古德本（MarkGoodburn）指出：“過(guò)去，企業(yè)要管理兩件事，人才和流程，然后隨著IT技術(shù)的興起又要管理信息技術(shù)；而現(xiàn)在，要管理的第四件事就是GRC，但它要成為企業(yè)文化的一個(gè)不可分割的部分仍需假以時(shí)日?！?P>Gartner預(yù)測(cè)，從現(xiàn)在起到2010年，GRC軟件銷售將實(shí)現(xiàn)23.8%的強(qiáng)勁復(fù)合增長(zhǎng)率，但AMRResearch認(rèn)為在短期內(nèi)增長(zhǎng)率遠(yuǎn)沒(méi)有那么高。預(yù)測(cè)數(shù)字不同的一個(gè)原因是GRC本身的定義既五花八門(mén)，又變化無(wú)常。GRC作為一個(gè)軟件種類，最大的問(wèn)題就是企業(yè)是否愿意進(jìn)行GRC意在促進(jìn)的對(duì)合規(guī)工作的整合。