访Dave Anderson：GRC为C-SOX做好准备

  SAP的GRC业内公认是领先的。Dave Anderson作为作为SAP企业治理、风险管理和合规解决方案全球市场营销总监不免也要自夸一下。他介绍说：“SAP治理、风险与合规（Governance, Risk And Compliance, GRC）解决方案以风险管理为导向，通过风险管理模块（Risk Management）、流程控制模块（Process Control）和访问控制模块（Access Control）为公司可以提供了全方位的风险管理平台、内部控制管理平台和访问权限管理平台。SAP GRC解决方案基于SAP NetWeaver平台运行，提供与SAP商务套件和第三方应用程序集成的能力。实现端到端的GRC活动自动化，大幅度的降低企业在治理、风控和内控工作上所需要的成本。”

  ▲SAP企业治理、风险管理和合规解决方案全球市场营销总监Dave Anderson和SAP中国区风险管控和可持续发展方案总监刘宏伟

  具体来说，SAP的GRC主要分成6个模块：第一是风险管理、第二是访问控制、第三是流程控制、第四是全球贸易服务、第五是业务的持续性，最后一块环境健康以及安全。

  SAP希望能够通过这几个模块能够进一步更好的支持企业的业务流程，包括把这些治理风险管理、合规相关的流程进行自动化，从而获得更高的可视性以及透明度，从而推动企业策略的实施。

  SAP的GRC解决方案定位主要是针对企业所面临的三个方面的挑战：第一块是企业风险管理、第二是合规管理、第三是内控。现在在企业里面风险管理这一块，它的信息往往是割裂的，没有一个跨企业的可视度或者说整个企业的视角。SAP希望能够通过GRC的解决方案，来帮企业管理这方面的问题，即在可视性方面遭遇的挑战，通过更好的风险管理来驱动公司的业绩和公司的战略实施。

  对于企业合规管理来说，SAP的GRC的解决方案的目标是把手工的流程自动化，这里面包括方方面面的具体工作。比如说测试控制、文本建档、内控合规流程的文本记录等等。合规控制涉及的面非常广，包括在国内经营业务，以及在跨国的经营业务方面所碰到的各种挑战，针对合规管理提供客户解决方案。

  至于内控，在如今许多企业内部审计往往资源缺失或者资源匮乏，SAP的GRC可以通过自动化使得整个企业内部的审计效率得到进一步的提高，这里面包括文档建立、控制等等，这一些都能够做好。

  Dave Anderson总结说：“归根到底，GRC是我们帮企业应对在风险管理、合规管理以及内部审计三大块面临的挑战。根本目标帮企业在风险管理、合规管理以及内审方面做得更好，使得公司能够有统一的GRC的体系，最终可以帮助企业提审它的业绩，使得它的业务流程能够有更好的可视性以及透明度。”

  具体来说，SAP通过三到四个不同的具体措施来帮企业在风险、合规以及内审三个方面做得更好。比如在合规方面，SAP是这样做的：先把合规的控制点或者是控制体系第一时间内嵌到业务流程中，待业务流程启动或者部属之后，就已经内嵌了合规所需要的控制点，实现实时功能，而不是以前说的先有一个业务流程部属，再去看里面各个点是不是符合监管合规的要求。

  而内审方面，SAP主要工作是把内审做得更为自动化，比如说在控制点的测试，以及文本文档的建立，以及证据的搜集，使得内部审计这一块做得更为有效。

  风险管理这块，SAP希望实现的是主动的风险监督，实时的风险监督以及不间断的风险监督。SAP会考虑哪些会影响测试实施的风险，针对这类风险进行化解的工作，避免这类风险对公司造成财务上的损失。

  SAP的GRC特别重视风险管理。Dave Anderson在采访中提到，风险类别多种多样的。所谓的风险类别。SAP GRC解决方案针对不同的风险，有一些预置的风险大类，针对风险大类设定一些关键的风险指标，而且对风险指标进行监督。这些风险可能会涉及不同的领域，有的和供应链相关，有的和生产相关，有的跟财务流程相关。总体上来说，SAP GRC将风险类别分7-8类，包括IT风险、经营风险、法律合规风险、环境风险，在每一个类别的风险上会细分到几百种具体的风险，比如针对矿业和制造型企业来讲，这里面的风险包括安全生产方面的风险，供应链中断的风险，劳资纠纷的风险，输入能源价格上升给企业运营造成的风险，这些是大类之下具体的风险，具体风险后有关键风险指标（KRI）。

  Dave Anderson用一句话来总结SAP GRC的目标：“GRC最终的目标一方面是帮企业降低成本，另一方面是提高效益以及业绩。”