本地化技术与合作为C-SOX做好准备

　　有着中国“萨班斯法案”之称的中国企业内部控制规范体系，将于明年1月1日起正式实施。Dave Anderson认为这对于SAP的GRC来说面临着非常大的机会，GRC解决方案一方面能够帮助中国的企业提高内控的水平，风险管理和合规的水平，同时也能够在第一时间帮助他们在费用支出上能够做到节省。

　　事实上，SAP很早就在中国实施过GRC方案了。SAP中国区风险管控和可持续发展方案总监刘宏伟介绍了2007年无锡尚德太阳能实施GRC的案例。当时该公司是证交所上市公司，本身就面临着《企业内部控制基本规范》的合规要求，而且企业内部也有风险管理要求。当时该公司评估多家企业的GRC方案，最终选了SAP的方案。另外，联想今年1月也采用SAP GRC，预计在年底上线。

▲采访

　　不过，Dave Anderson也认为，对于企业的IT治理来说，中国才刚刚起步，还处于早期的阶段。但从另一方面来讲，这同时也给中国企业带来很多的机会，比如说中国企业可以避免美国和欧洲公司以前曾经走过的弯路。所以SAP针对这样的市场情况我们在中国也投入了大量的资源，同时也相继推出不同的活动，来捕捉中国GRC市场给我们的机会。他认为，随着中国《企业内部控制基本规范》的颁布，中国的企业界已经呈现出非常明显的要做好风险管理、合规的趋势。从这一点来说，中国市场正是蓄势待发，将来一定在GRC这一块有非常大的发展。

　　具体谈到SAP的GRC对C-SOX（即中国的萨班斯法案。SOX是萨班斯法案的缩写）在企业的实施有什么帮助时，Dave Anderson表示，C-SOX对访问控制这一块有非常大的要求，包括IT访问权的控制，所以SAP的GRC解决方案能够配套支持中国的C-Sox。

　　另外，他谈到，现在很多企业在做C-SOX的同时，采用的方法是基于风险的模式和方法，把风险和合规一体化起来。如果公司里面只是设置一些控制点，这个是完全不够的，怎么把控制点和公司技术和公司流程以及整个风险管理体系真正整合起来，整个配套系统才能真正帮助解决企业风险问题。这就是为什么中国企业做C-Sox合规的时候，强调是基于风险的模式和方法，这个方法能够在考虑风险的时候，把合规的东西一并整合在里面解决掉。

　　SAP一直把GRC解决方案称为多合规环境的框架，但是针对国家不同行业的，具体内容肯定要根据国家具体的要求以及内容进行定制，比如说SAP针对支付卡行业的PCI，针对美国企业的萨班法案，中国有C-Sox，这些必须要针对具体的当地需求进行定制，使得SAP内容能够为当地的用户所用，并和他们的商业相关。在这个方面SAP GRC会通过本土的团队，和当地市场的合作伙伴企业，令当地的内容更丰富，使得它符合当地企业。SAP GRC的解决方案的优势在于能提供一整套基础的功能和框架。

　　刘宏伟补充说，目前我们已跟20多家国企就构建C-SOX和企业内控信息化平台在沟通，帮助企业认识到风控信息化平台的价值，我们不仅和企业一对一的沟通，我们还透过专业的咨询公司例如德勤、普华和甫翰（Protivity）和企业建立对话。今年6月，SAP和德勤已经成功地把C-SOX GRC本土化的非常好的实践的软件版本已经正式发布，其实SAP方面负责GRC非常好的实践的开发团队也就在SAP中国研究院楼里，GRC非常好的实践提供了预置内容，帮助企业在做GRC、C-SOX的时候，可以快速地部属实施，非常方便。

　　为了能更好为国内C-Sox服务，Dave Anderson也提及SAP本地化的一些举措。首先实现了本地化支持，培养本地团队，包括帮助他们了解内控流程，提供培训，传递和风险管理相关的知识，通过本地团队把SAP GRC解决方案推向市场。其次是帮助合作伙伴变得更强大。目前SAP合作伙伴主要分两类：一类做审计的四大，他们专长在于IT审计和风险管理咨询，这个是他们的专长。另外还有一类在IT技术服务非常领先的，像IBM、埃森哲、源讯、凯捷，SAP也对他们进行培训，他们有很强大的SAP ERP实施团队，对ERP系统，包括非ERP，对整个信息化系统，对整个业务流程咨询能力也是他们的专长。

　　除了上述内功外，SAP还针对中国企业内控系统这一块，在2010年有一系列的市场活动，最终的目的使一线的人员能够配备足够的知识和能力去捕捉市场的机会。

　　Dave Anderson认为，对中国企业来说，最大的困难就是如何有效的对控制点进行持续的监控以及测试，因为他以前在美国做审计工作的时候帮助过很多企业做合规方面的工作，很多公司控制点都有了，做的非常好，进行审核的时候也都通过了，也进行了认证，认证为合规的。但过了几个月之后发现一旦通过认证之后，对方马上开始松懈，可能3个月之后会发现这一点控制点不存在了，或者是因为不经常测试，而发现这不是一个很有效的控制点。所以中国企业现在有非常好的机会，一个是在应对C-SOX出台这么大的背景，在这个基础上建立一个合规的文化。SAP希望把建立起来的合规文化和相关流程能够真正地内化到日常的业务操作当中，使每个企业业主去负责掌控每个流程，管理人员都能够对风险控制有认识，对它实时监控，把这个工作做好。这样做的话不光保证了合规、风控方面的工作，也对最终业务的表现起到了一个促进的作用，整个公司的流程效益会更高，最终带来的还是财务上的好处。