【IT168 专访】2010年8月25日，SAP企业治理、风险管理和合规解决方案全球市场营销总监Dave Anderson先生来到中国，在上海SAP研究院接受了媒体采访，就自今年4月26日，财政部会同证监会、审计署、银监会、保监会联合发布《企业内部控制配套指引》，决定自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行这一事件引发的持续热议畅谈SAP GRC给企业内控带来的帮助以及SAP如何帮助中国企业构建中国企业内部控制规范体系等话题。SAP中国区风险管控和可持续发展方案总监刘宏伟同时在座。

　　企业风险内控，GRC必不可少

　　自《萨班斯-奥克斯利公司治理法案》实施以来，企业内部风险控制就一直是企业信息化建设中一个重要话题。但不少企业没有注意的是，萨班斯法案是一个持续合规的过程，并不是今年做了明年就可以不做的事情。由于SOX合规的时间要求，很多企业一开始采用手工控制来实现。几年下来发现会发现维持手工控制的运行并对其记录所需付出的成本是巨大的。这时候，Governance, Risk And Compliance, GRC就是一个必然的选择。

　　SAP很早就在ERP版本中就提供AIS，MIC这些组件，而今，它的GRC已经是业内非常受欢迎的产品/产品较受欢迎了。作为SAP企业治理、风险管理和合规解决方案全球市场营销总监，Dave Anderson对企业没有部署GRC会给内控带来什么问题，了如指掌。

▲SAP企业治理、风险管理和合规解决方案全球市场营销总监Dave Anderson

　　在采访中，Dave Anderson对不采用GRC的后果有一针见血的论述，他说：“如果不能去很好的处理这些风险管理、合规方面的挑战，会影响到公司的业绩；尤其当你不能在企业的层面上建立一个覆盖整个企业的GRC体制的话，可能你的战略实施和绩效都会受到很多影响。比如说风险管理，没有一个自动的或者是主动的方法和工具帮助你实时的识别风险，一些潜在的风险事件就会被公司忽略，风险在几个月里面甚至更长的时间会爆发，这样会给业绩带来非常负面的影响。”

　　Dave Anderson举了SAP一个客户，一家全球的运输公司作为例子。这家公司2008年-2009年裁员期间遇到了问题，发生了3.45亿美元的亏损。当时发生这个情况是由于没有一个实时的，主动识别的能力，从而导致风险事件发生之后没有被察觉。这就体现了风险识别的重要性以及整个企业在风险管理以及在合规等方面有更高的可视性及透明度的重要性。

　　当然，他强调，正如维持手工控制的运行并对其记录所需付出的成本是巨大的，企业内控体系一定要使用内控软件进行自动管理。一般来说，企业在设计控制系统以及内控点的时候会先画流程图，然后定义控制点，其后对控制点进行测试，看看这个控制点是不是有效。如果没有自动流程的话，基于这样一个控制点的控制系统可能会运用一段时间，隔了一段时间再进行测试，可能再一次进行测试的时候，会发现原来设置的控制点并不是最为有效的，可能等它发生的时候已经晚了。所以，如果没有自动化的控制，会给企业造成影响。

　　他又举一个美国客户的例子来说明没有自动化控制的危害。这家客户是美国的著名零售商，在公司内部也针对监管的要求设置一些控制点，但是在设定之后它并没有对控制点进行一个不间断、实时的监控，最后造成了公司IT信息技术的安全受到了破坏，涉及到9000万名客户的资料被泄露，给公司带来的40亿美元的经济损失，也受到了有关部门4000到4500万美元罚款。

　　举例都是负面的，未免有点吓人，所以Dave Anderson又举了个正面例子。他根据SAP和沟通的记录得出一个数据，就是企业可以通过自动化流程带来的节约。他说，SAP的许多客户在内审上面所用的开销相当于净收入的5%甚至8%-10%，从一般的企业规模来讲，把它换成具体的数字可能就是500万、600万、800万美元之多，这是在没有实施自动化的GRC流程之前通过人工的内审所花费的审计费用。如果可以采用自动化流程，这笔费用就可以节约下来。

　　在采访中，有问到，许多ERP如果有一个好的业务流程，设定比较完整，每一个都是严格执行的，本身就具有风险管理的能力，是否可以取代GRC呢？

　　Dave Anderson回答说，一些ERP所体现的业务流程里确实已经内设了风险控制的流程或者风险控制点，但是SAP GRC不光只是局限在单个业务流程方面的风险，而是跨整个企业更全面的风险控制观。ERP的业务流程是很具体的，比如说财务流程或者从采购到支付的流程，或者从订单的采集到收盘这个流程。但还有许多不在具体业务流程内的风险控制呢，还有整体的公司运营风险呢？比如数据中心给整个公司的IT服务造成的风险，还有法律相关的风险，合规相关的风险，这些风险没有在ERP风险控制里那么规范。所以GRC还是必须的。

　　GRC是一种企业战略层面的整体的管理，它能帮助建立企业级的风险管理的体制，把企业级的风险管理系统自动化，而且做到实时的监控，来避免各种各样的风险。如果把这些风险的自动化做到实时的监控，那公司的风险管理人员或者企业业主，一方面管理业务流程，同时也能够更高层次的去随时监控、识别、化解这一些企业级的风险。

　　SAP中国区风险管控和可持续发展方案总监刘宏伟还做了补充回答，他说：“如果我们把一些风险全部放在ERP里面做，技术实现没有难度，但是很大一个问题，举一个很简单的例子，销售定单如果按照正常的走，可能三分钟下一个定单，但是你要把所有控制点都设在订单系统里，本来是GRC需要做的工作，如果放在业务操作系统执行的话，它的定单可能要一个小时，所以说GRC和ERP分工和系统业务定位是不一样的。”