【IT168 专访】2010年8月25日，SAP企业治理、风险管理和合规解决方案全球市场营销总监Dave Anderson先生来到中国，在上海SAP研究院接受了媒体采访，就自今年4月26日，财政部会同证监会、审计署、银监会、保监会联合发布《企业内部控制配套指引》，决定自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行这一事件引发的持续热议畅谈SAP GRC给企业内控带来的帮助以及SAP如何帮助中国企业构建中国企业内部控制规范体系等话题。SAP中国区风险管控和可持续发展方案总监刘宏伟同时在座。

　　企业风险内控，GRC必不可少

　　自《萨班斯-奥克斯利公司治理法案》实施以来，企业内部风险控制就一直是企业信息化建设中一个重要话题。但不少企业没有注意的是，萨班斯法案是一个持续合规的过程，并不是今年做了明年就可以不做的事情。由于SOX合规的时间要求，很多企业一开始采用手工控制来实现。几年下来发现会发现维持手工控制的运行并对其记录所需付出的成本是巨大的。这时候，Governance, Risk And Compliance, GRC就是一个必然的选择。

　　SAP很早就在ERP版本中就提供AIS，MIC这些组件，而今，它的GRC已经是业内非常受欢迎的产品/产品较受欢迎了。作为SAP企业治理、风险管理和合规解决方案全球市场营销总监，Dave Anderson对企业没有部署GRC会给内控带来什么问题，了如指掌。

▲SAP企业治理、风险管理和合规解决方案全球市场营销总监Dave Anderson

　　在采访中，Dave Anderson对不采用GRC的后果有一针见血的论述，他说：“如果不能去很好的处理这些风险管理、合规方面的挑战，会影响到公司的业绩；尤其当你不能在企业的层面上建立一个覆盖整个企业的GRC体制的话，可能你的战略实施和绩效都会受到很多影响。比如说风险管理，没有一个自动的或者是主动的方法和工具帮助你实时的识别风险，一些潜在的风险事件就会被公司忽略，风险在几个月里面甚至更长的时间会爆发，这样会给业绩带来非常负面的影响。”

　　Dave Anderson举了SAP一个客户，一家全球的运输公司作为例子。这家公司2008年-2009年裁员期间遇到了问题，发生了3.45亿美元的亏损。当时发生这个情况是由于没有一个实时的，主动识别的能力，从而导致风险事件发生之后没有被察觉。这就体现了风险识别的重要性以及整个企业在风险管理以及在合规等方面有更高的可视性及透明度的重要性。

　　当然，他强调，正如维持手工控制的运行并对其记录所需付出的成本是巨大的，企业内控体系一定要使用内控软件进行自动管理。一般来说，企业在设计控制系统以及内控点的时候会先画流程图，然后定义控制点，其后对控制点进行测试，看看这个控制点是不是有效。如果没有自动流程的话，基于这样一个控制点的控制系统可能会运用一段时间，隔了一段时间再进行测试，可能再一次进行测试的时候，会发现原来设置的控制点并不是最为有效的，可能等它发生的时候已经晚了。所以，如果没有自动化的控制，会给企业造成影响。

　　他又举一个美国客户的例子来说明没有自动化控制的危害。这家客户是美国的著名零售商，在公司内部也针对监管的要求设置一些控制点，但是在设定之后它并没有对控制点进行一个不间断、实时的监控，最后造成了公司IT信息技术的安全受到了破坏，涉及到9000万名客户的资料被泄露，给公司带来的40亿美元的经济损失，也受到了有关部门4000到4500万美元罚款。

　　举例都是负面的，未免有点吓人，所以Dave Anderson又举了个正面例子。他根据SAP和沟通的记录得出一个数据，就是企业可以通过自动化流程带来的节约。他说，SAP的许多客户在内审上面所用的开销相当于净收入的5%甚至8%-10%，从一般的企业规模来讲，把它换成具体的数字可能就是500万、600万、800万美元之多，这是在没有实施自动化的GRC流程之前通过人工的内审所花费的审计费用。如果可以采用自动化流程，这笔费用就可以节约下来。

　　在采访中，有问到，许多ERP如果有一个好的业务流程，设定比较完整，每一个都是严格执行的，本身就具有风险管理的能力，是否可以取代GRC呢？

　　Dave Anderson回答说，一些ERP所体现的业务流程里确实已经内设了风险控制的流程或者风险控制点，但是SAP GRC不光只是局限在单个业务流程方面的风险，而是跨整个企业更全面的风险控制观。ERP的业务流程是很具体的，比如说财务流程或者从采购到支付的流程，或者从订单的采集到收盘这个流程。但还有许多不在具体业务流程内的风险控制呢，还有整体的公司运营风险呢？比如数据中心给整个公司的IT服务造成的风险，还有法律相关的风险，合规相关的风险，这些风险没有在ERP风险控制里那么规范。所以GRC还是必须的。

　　GRC是一种企业战略层面的整体的管理，它能帮助建立企业级的风险管理的体制，把企业级的风险管理系统自动化，而且做到实时的监控，来避免各种各样的风险。如果把这些风险的自动化做到实时的监控，那公司的风险管理人员或者企业业主，一方面管理业务流程，同时也能够更高层次的去随时监控、识别、化解这一些企业级的风险。

　　SAP中国区风险管控和可持续发展方案总监刘宏伟还做了补充回答，他说：“如果我们把一些风险全部放在ERP里面做，技术实现没有难度，但是很大一个问题，举一个很简单的例子，销售定单如果按照正常的走，可能三分钟下一个定单，但是你要把所有控制点都设在订单系统里，本来是GRC需要做的工作，如果放在业务操作系统执行的话，它的定单可能要一个小时，所以说GRC和ERP分工和系统业务定位是不一样的。”

　　SAP的GRC领先业界

　　SAP的GRC业内公认是领先的。Dave Anderson作为作为SAP企业治理、风险管理和合规解决方案全球市场营销总监不免也要自夸一下。他介绍说：“SAP治理、风险与合规（Governance, Risk And Compliance, GRC）解决方案以风险管理为导向，通过风险管理模块（Risk Management）、流程控制模块（Process Control）和访问控制模块（Access Control）为企业提供了全方位的风险管理平台、内部控制管理平台和访问权限管理平台。SAP GRC解决方案基于SAP NetWeaver平台运行，提供与SAP商务套件和第三方应用程序集成的能力。实现端到端的GRC活动自动化，大大降低企业在治理、风控和内控工作上所需要的成本。”

▲SAP企业治理、风险管理和合规解决方案全球市场营销总监Dave Anderson和SAP中国区风险管控和可持续发展方案总监刘宏伟

　　具体来说，SAP的GRC主要分成6个模块：第一是风险管理、第二是访问控制、第三是流程控制、第四是全球贸易服务、第五是业务的持续性，最后一块环境健康以及安全。

　　SAP希望通过这几个模块能够进一步更好的支持企业的业务流程，包括把这些治理风险管理、合规相关的流程进行自动化，从而获得更高的可视性以及透明度，从而推动企业策略的实施。

　　SAP的GRC解决方案定位主要针对企业所面临的三个方面的挑战：第一块是企业风险管理、第二是合规管理、第三是内控。现在在企业里面风险管理这一块，它的信息往往是割裂的，没有一个跨企业的可视度或者说整个企业的视角。SAP希望通过GRC的解决方案，来帮助企业管理这方面的问题，即在可视性方面遭遇的挑战，通过更好的风险管理来驱动公司的业绩以及公司的战略实施。

　　对于企业合规管理来说，SAP的GRC的解决方案的目标是把手工的流程自动化，这里面包括方方面面的具体工作。比如说测试控制、文本建档、内控合规流程的文本记录等等。合规控制涉及的面非常广，包括在国内经营业务，以及在跨国的经营业务方面所碰到的各种挑战，针对合规管理提供客户解决方案。

　　至于内控，在如今许多企业内部审计往往资源缺失或者资源匮乏，SAP的GRC能够通过自动化使得整个公司内部的审计效率得到进一步的提高，这里面包括文档建立、控制等等，这一些都能够做好。

　　Dave Anderson总结说：“归根到底，GRC是我们帮助企业应对在风险管理、合规管理以及内部审计三大块面临的挑战。根本目标帮助企业在风险管理、合规管理以及内审方面做得更好，使得公司能够有统一的GRC的体系，最终能够帮助企业提审它的业绩，使得它的业务流程能够有更好的可视性以及透明度。”

　　具体来说，SAP通过三到四个不同的具体措施来帮助企业在风险、合规以及内审三个方面做得更好。比如在合规方面，SAP是这样做的：先把合规的控制点或者是控制体系第一时间内嵌到业务流程中，待业务流程启动或者部属之后，就已经内嵌了合规所需要的控制点，实现实时功能，而不是以前说的先有一个业务流程部属，再去看里面各个点是不是符合监管合规的要求。

　　而内审方面，SAP主要工作是把内审做得更为自动化，比如说在控制点的测试，以及文本文档的建立，以及证据的搜集，使得内部审计这一块做得更为有效。

　　风险管理这块，SAP希望实现的是主动的风险监督，实时的风险监督以及不间断的风险监督。SAP会考虑哪些会影响测试实施的风险，针对这类风险进行化解的工作，避免这类风险对公司造成财务上的损失。

　　SAP的GRC特别重视风险管理。Dave Anderson在采访中提到，风险类别多种多样的。所谓的风险类别。SAP GRC解决方案针对不同的风险，有一些预置的风险大类，针对风险大类设定一些关键的风险指标，而且对风险指标进行监督。这些风险可能会涉及不同的领域，有的和供应链相关，有的和生产相关，有的跟财务流程相关。总体上来说，SAP GRC将风险类别分7-8类，包括IT风险、经营风险、法律合规风险、环境风险，在每一个类别的风险上会细分到几百种具体的风险，比如针对矿业和制造型企业来讲，这里面的风险包括安全生产方面的风险，供应链中断的风险，劳资纠纷的风险，输入能源价格上升给企业运营造成的风险，这些是大类之下具体的风险，具体风险后有关键风险指标（KRI）。

　　Dave Anderson用一句话来总结SAP GRC的目标：“GRC最终的目标一方面是帮助企业降低成本，另一方面是提高效益以及业绩。”

　　本地化技术与合作为C-SOX做好准备

　　有着中国“萨班斯法案”之称的中国企业内部控制规范体系，将于明年1月1日起正式实施。Dave Anderson认为这对于SAP的GRC来说面临着非常大的机会，GRC解决方案一方面能够帮助中国的企业提高内控的水平，风险管理和合规的水平，同时也能够在第一时间帮助他们在费用支出上能够做到节省。

　　事实上，SAP很早就在中国实施过GRC方案了。SAP中国区风险管控和可持续发展方案总监刘宏伟介绍了2007年无锡尚德太阳能实施GRC的案例。当时该公司是证交所上市公司，本身就面临着《企业内部控制基本规范》的合规要求，而且企业内部也有风险管理要求。当时该公司评估多家企业的GRC方案，最终选了SAP的方案。另外，联想今年1月也采用SAP GRC，预计在年底上线。

▲采访

　　不过，Dave Anderson也认为，对于企业的IT治理来说，中国才刚刚起步，还处于早期的阶段。但从另一方面来讲，这同时也给中国企业带来很多的机会，比如说中国企业可以避免美国和欧洲公司以前曾经走过的弯路。所以SAP针对这样的市场情况我们在中国也投入了大量的资源，同时也相继推出不同的活动，来捕捉中国GRC市场给我们的机会。他认为，随着中国《企业内部控制基本规范》的颁布，中国的企业界已经呈现出非常明显的要做好风险管理、合规的趋势。从这一点来说，中国市场正是蓄势待发，将来一定在GRC这一块有非常大的发展。

　　具体谈到SAP的GRC对C-SOX（即中国的萨班斯法案。SOX是萨班斯法案的缩写）在企业的实施有什么帮助时，Dave Anderson表示，C-SOX对访问控制这一块有非常大的要求，包括IT访问权的控制，所以SAP的GRC解决方案能够配套支持中国的C-Sox。

　　另外，他谈到，现在很多企业在做C-SOX的同时，采用的方法是基于风险的模式和方法，把风险和合规一体化起来。如果公司里面只是设置一些控制点，这个是完全不够的，怎么把控制点和公司技术和公司流程以及整个风险管理体系真正整合起来，整个配套系统才能真正帮助解决企业风险问题。这就是为什么中国企业做C-Sox合规的时候，强调是基于风险的模式和方法，这个方法能够在考虑风险的时候，把合规的东西一并整合在里面解决掉。

　　SAP一直把GRC解决方案称为多合规环境的框架，但是针对国家不同行业的，具体内容肯定要根据国家具体的要求以及内容进行定制，比如说SAP针对支付卡行业的PCI，针对美国企业的萨班法案，中国有C-Sox，这些必须要针对具体的当地需求进行定制，使得SAP内容能够为当地的用户所用，并和他们的商业相关。在这个方面SAP GRC会通过本土的团队，和当地市场的合作伙伴企业，令当地的内容更丰富，使得它符合当地企业。SAP GRC的解决方案的优势在于能提供一整套基础的功能和框架。

　　刘宏伟补充说，目前我们已跟20多家国企就构建C-SOX和企业内控信息化平台在沟通，帮助企业认识到风控信息化平台的价值，我们不仅和企业一对一的沟通，我们还透过专业的咨询公司例如德勤、普华和甫翰（Protivity）和企业建立对话。今年6月，SAP和德勤已经成功地把C-SOX GRC本土化的非常好的实践的软件版本已经正式发布，其实SAP方面负责GRC非常好的实践的开发团队也就在SAP中国研究院楼里，GRC非常好的实践提供了预置内容，帮助企业在做GRC、C-SOX的时候，可以快速地部属实施，非常方便。

　　为了能更好为国内C-Sox服务，Dave Anderson也提及SAP本地化的一些举措。首先实现了本地化支持，培养本地团队，包括帮助他们了解内控流程，提供培训，传递和风险管理相关的知识，通过本地团队把SAP GRC解决方案推向市场。其次是帮助合作伙伴变得更强大。目前SAP合作伙伴主要分两类：一类做审计的四大，他们专长在于IT审计和风险管理咨询，这个是他们的专长。另外还有一类在IT技术服务非常领先的，像IBM、埃森哲、源讯、凯捷，SAP也对他们进行培训，他们有很强大的SAP ERP实施团队，对ERP系统，包括非ERP，对整个信息化系统，对整个业务流程咨询能力也是他们的专长。

　　除了上述内功外，SAP还针对中国企业内控系统这一块，在2010年有一系列的市场活动，最终的目的使一线的人员能够配备足够的知识和能力去捕捉市场的机会。

　　Dave Anderson认为，对中国企业来说，最大的困难就是如何有效的对控制点进行持续的监控以及测试，因为他以前在美国做审计工作的时候帮助过很多企业做合规方面的工作，很多公司控制点都有了，做的非常好，进行审核的时候也都通过了，也进行了认证，认证为合规的。但过了几个月之后发现一旦通过认证之后，对方马上开始松懈，可能3个月之后会发现这一点控制点不存在了，或者是因为不经常测试，而发现这不是一个很有效的控制点。所以中国企业现在有非常好的机会，一个是在应对C-SOX出台这么大的背景，在这个基础上建立一个合规的文化。SAP希望把建立起来的合规文化和相关流程能够真正地内化到日常的业务操作当中，使每个企业业主去负责掌控每个流程，管理人员都能够对风险控制有认识，对它实时监控，把这个工作做好。这样做的话不光保证了合规、风控方面的工作，也对最终业务的表现起到了一个促进的作用，整个公司的流程效益会更高，最终带来的还是财务上的好处。