赛车动力系统乏力可能只意味着无法超越对手，但缺了制动系统则可能随时车毁人亡。在生死竞赛中，每个企业都如一辆时刻奔驰在高速路上的赛车，用各种方法加大马力——投入ERP、CRM等动力系统。然而，在目睹了数起国外明星企业的瞬间坍塌之后，面对国内外监管环境的变化，国内企业猛然意识到，内控和风险管理这套制动系统似乎更加重要。
    嗅觉灵敏的管理软件厂商当然不会放过这个巨大的商机，他们正迫切需要新的概念以改变ERP市场日趋平庸的现状，于是一夜之间，以实现GRC（治理、风险和法规遵从)为代表的融入管控理念的解决方案遍地开花。与此同时，那些在ERP时代扮演追随者角色的国内IT厂商们，似乎也从这里看到了反超的希望……

    萨班斯法案成就国外GRC

    国外GRC市场从无到有几乎在一夜之间，发展速度之快远远超过了ERP当年的速度。这大部分要归功于萨班斯法案的铁面无情，特别是其中的404条款让美国企业叫苦不迭，使GRC成了美国企业，尤其是上市企业在未来几年IT投资中的硬约束。从2002年到2006年的四五年间，萨班斯法案引发的内控和监管风潮席卷了西方世界。
这股风潮让管理软件厂商大喜过望。在ERP市场之外，这意味着一片巨大的蓝海从天而降，而且，相比其他新概念催生的市场，这个市场四处散发着更强的诱惑力——有了政策的强制性执行，以往培育新市场所需要的时间和金钱成本，在这里基本都可以省掉。而且相比来说，国外企业业务对信息化的依赖程度普遍更高，因此各个企业在IT 方面支持GRC几乎是板上钉钉的事。
如今GRC有多热，看看各咨询公司的报告就一目了然。Gartner今年初发布的一份报告显示，在其调查的美国用户中，75%的企业表示对GRC系统有需求，而且Gartner估计，2007年软件提供商们销售GRC相关的软件许可证的收入可达7300万美元，预计2008年销售收入的增长率将高达70%。为了凸显GRC的火热程度，Gartner甚至将这份报告直接命名为IT风险管理年（2008 - The Year of IT Risk Management）。
AMR 研究公司最新报告也显示，今年德国、日本及美国在GRC相关科技和服务上的总投入将达到321亿美元。报告称，在今年2、3月份对420名业务和IT主管的调研中，65%的受访者回答说他们公司今年增加了GRC预算。“尽管经济直线下滑，但不会对GRC的投入产生任何影响。” AMR分析师约翰•汉格迪说。
    有这样火热和几乎稳赚的新市场摆在面前，管理软件厂商谁也不愿落后，尤其是ERP厂商一个不拉地冲进了这个市场。
事实上，早在2006年7月15日萨班斯法案生效之前，不少管理软件厂商就心急火燎地推出了自己的GRC管理产品。但是因为GRC概念本身算不上十分成熟，市面上的GRC产品很杂，而且大多是以具体业务为对象的单一软件，很少有从战略层面形成的架构完整的GRC集成产品。更有不太负责的厂商，把以前用于管理法规案例库之类的软件简单包装一下换个名字就开始销售。
这一局面在萨班斯法案生效前不到两个月发生了变化。
    2006年5月26日，全球管理软件业的领头羊SAP出手了，而且一出手就很重。SAP不仅推出了整体的企业治理、风险管理和合规审查（GRC）端对端解决方案，而且专门成立了一个新的部门负责这条产品线，并声称要取代市场上各自为战的GRC方案。SAP指出，当前的GRC管理方法存在两种问题：业务流程和系统高度分散化，使得风险和合规管理复杂化；在实现综合GRC的分阶段管理方法方面没有或者很少投资。
    之后，2007年6月25日，Oracle首先面向金融服务市场（银行、保险、资本市场）推出了GRC整体解决方案；一年之后，又推出了面向更广泛市场的新版本。
值得注意的是，SAP和Oracle都是在收购其他专业厂商的基础上形成了自己的GRC产品。
    后来，IBM、CA、微软相继推出了各自的GRC整体解决方案。这些产品在风险管理方面的处理和分析更复杂，合规方面针对的法规更加丰富。
虽然，欧美市场GRC市场已经热得发烫，但是必须承认的是，GRC理论框架仍然在成熟的过程之中，尤其是在内控及风险管理领域更是如此，而且市场上对相关细分市场的划分和界定仍然处于争议阶段，标准也尚未统一。

    国内国外各行其道

    上世纪90年代，ERP概念风行欧美，没多久国内也很快形成了ERP的供需市场。然而十多年后，当GRC在欧美掀起冲天热浪的时候，这一现象却没有在国内重演。国内管理软件企业的做法颇有点与国外同行各行其道的味道，市场也表现出鲜明的本土特色。
     特色之一是，在国外企业纷纷将原来的管控业务划归GRC这一新概念之下时，除了SAP、Oracle等国际厂商沿用了其在欧美的称谓之外，GRC的国内企业附和者却是寥寥。它们坚持使用管控软件来命名这个新的市场，颇有“你走阳关道，我走独木桥”的味道。
例如2006年初，用友把当时三大战略产品之一的eHR软件的应用模式定位于集团管控企业，首次提出了集团管控软件这一概念，在两年后，又将这一概念进行升级，将“集团管控的全球化”作为其高端产品NC的三大定位之一。随后，金蝶也将集团管控作为ESA产品的重要覆盖领域。
    直到2007年，慧点科技在国内厂商中第一个引入GRC，并正式提出要以GRC这个管理概念统领的各个业务板块会师为目标时，国内外市场才算有了第一个交点。
    从某种程度上说，外部监管环境变化的不同，和国内外企业发展的不同特点导致在市场源发性需求上存在的巨大差异，是造成今日国内外管控市场至少在名称上分庭抗礼的重要原因。追根溯源，国外GRC市场的一夜成名源于世通、安然公司财务欺诈引发的资本市场诚信危机导致的内控和监管风潮，其时萨班斯法案生效在即，客户投资GRC首先是为了达到合规的要求，因此，在各个GRC产品中，法规遵从顺利成章地成为重点，不少厂商把一些能纳入的法规搜罗了个遍，就是为了获得用户更多青睐。
    后来，由于GRC存在三部分相互交叉、映射的特点，为了降低治理、风险与法规遵从独立开展引发重复投资和职能交叉产生的成本和复杂性，客户对GRC产品的着眼点才转移到治理、风险与法规遵从的管理和决策工具的集成化和完整性方面。
    而在国内市场，从2006年开始，外部监管环境也产生了巨大的变化，如2006年沪深证券交易所发布《上市公司内部控制机制》，同年国资委发布《中央企业全面风险管理指引》，2007年3月，企业内部控制标准委员会发布了《企业内部控制规范———基本规范》和17项具体规范的征求意见稿，一度被视为中国版萨班斯法案即将推出的信号。
这些规范在促使中央企业和国内上市企业提供内控质量和运营透明度方面形成了强有力的推动。但是，对处于当前发展阶段的国内大中型企业来说，解决内部管理面临的挑战的需求无疑更为迫切。其中国际化产生的管理难题和企业发展到集团化阶段后产生的离心力是最突出的两个挑战。  
    当前，以联想、海尔、中国石油、中国移动为代表的大批中国大型企业已经在初步形成全球化布局，由此带来的管理方面的挑战也日益严峻。用友公司高级副总裁李友表示：“现在越来越多企业要建立全球的体系，越来越多中国企业谋求到美国、新加坡、日本、英国去境外上市。所以企业希望它的管控是全球化管控，总部在中国，可能在全球化运作。另外，越来越多的国外企业到中国来发展，通过收购、兼并扩大它的业务，也需要管控的范围要包含中国的部分。用友提出全球化集团管控，就是面向中国企业的全球化运作的趋势。”
    慧点科技副总裁韩国权认为，中国企业的成长期都比较短，往往迅速步入到一个看似业务成熟的状态，但是管理上远远没有成熟，却同时要在从国内到国际竞争环境的条件下寻求发展。在这样的情况下，企业一方面要迅速膨胀，一方面又迫切希望在管理上有一个统一的模式，能够在重组、兼并的过程中迅速在分支机构中推行。
“实际上，如果不这么做，企业在集团化扩张的过程中就会遭遇离心力大于向心力。为了解决失控的危险，势必要求加强集团管控的能力。”他说。
    因此，从某个角度看，管控或者说集团管控解决方案对于国内正处于当前发展阶段的企业来说有着更为现实的意义。因此，国内软件厂商们没有马上改头换面，而是在抓住管控一点集中火力，也是基于市场焦点需求这一现实因素。
    但是，不得不承认的一点是，国内管控市场虽然经历了两年发展，却一直处于不温不火的状态，与国外GRC市场迅速膨胀形成规模的发展速度相比，显然要慢了很多。
    对此，赛迪顾问企业战略咨询中心高级咨询分析师董军博士认为，尽管国内企业对于内控和风险管理的需求非常迫切，但是对于中国这样的转型经济，企业内控和风险管理首先是一个管理问题，或者说是治理机制的问题，技术和方法当然非常重要，但是只是第二位的。国外企业在内控机制和风险管理制度的建设方面相对比较完善，因此过渡到信息化管控的过程是一个比较顺利的过程，但是，国内很多企业在这方面还是一穷二白，或者存在很多漏洞，相关管控软件的发展也受到了一定制约，这与ERP当年发展时遇到的瓶颈有相似之处。要克服风险管控软件市场的瓶颈，需要从多方面出发，首先，各方面要端正认识，风险管控是一个系统工程，而不是简单的信息化的过程；其次，企业要全面提升自身素质和管理水平，从战略的高度管理风险，健全风险管控组织，形成风险管控文化，规范和优化企业各项业务流程，完善风险管控信息系统等；再次，软件厂商要考虑国内企业的差异，增加研发投入，开发出适合国内企业的风险管控软件；最后，政府部门、监管机构和市场管理部门要采取切实的方法进行正确引导。
韩国权从实施角度提出了自己的看法。他表示，在实施过程中，迫切需要对企业最佳实践有丰富经验的咨询公司充当软件提供商与企业之间的桥梁。
   “咨询公司在中间拉一把很重要。”他说，“企业很清楚当前的管理和业务现状，而管控软件厂商勾画的蓝图能够说明的是未来，但是具体实施时，需要咨询公司首先将管控的业务流程梳理清楚，甚至提出优化方案，这样从现在到未来才有章可循。”

      殊途同归?
       2008年6月28日，财政部、证监会、审计署、银监会、保监会等五部门联合发布了《企业内部控制基本规范》。《企业内部控制基本规范》确立了我国企业建立和实施内部控制的基础框架，促使大批国内上市企业必须直面内控标准，并未雨绸缪制定企业的内部控制制度，客观上，将国内所有上市企业都推到了管控软件厂商的面前，这无疑给国内管控市场的发展又打了一剂强心针。
    巨大的市场前景吸引了更多的参与者投身这个市场，除了SAP、Oracle、IBM、IDS Sheer、SAS、微软组成的国际阵营之外，也形成了用友、金蝶、慧点科技、博科咨询等厂商组成的国内阵营。
   但是比较这些厂商的产品和理念，我们发现，对于以什么为核心实现管控和风险管理这一目标，以及如何更快占领市场，各厂商的做法存在相当大的差异。
    应该说，厂商从各自擅长的领域出发，在既有的产品架构之上向管控方向延伸是造成这一差异的最主要原因，目前市面上的管控软件均带有鲜明的风格。
    作为全球ERP行业的领先厂商，SAP强调将GRC嵌入到业务流程之中，从生产制造和资源充分的角度，利用现有软件，帮助公司将GRC集成到自身业务和IT战略之中，并依靠在行业方面积累的丰富经验，在行业方面展开纵深扩展。
    同样CA的思路也与SAP相通，将核心业务流程和GRC管理在企业层面上的整合放在首位。
    在数据库市场起家，近年来对商业智能市场情有独钟的Oracle，则把数据库安全技术和商业智能方面的积累尽数纳入自家的GRC产品，加上收购LogicalApps后获得的管控软件，推出了包含Oracle应用存取控制治理软件、Oracle融合GRC 智能软件和Oracle GRC 管理软件三大部分的应用组合套件。
    同样来自德国的IDS Sheer在业务流程管理方面浸淫多年，在其原有的ARIS模型基础之上，以业务流程和流程绩效为监控对象，强调识别受风险影响的流程，提出了GRC程序模型的ARIS价值工程。
    而以财务管理为基础成长起来的金蝶，其推出的管控产品则将财务作为管控的主线。例如金蝶将支持集成的全面预算管理、支持不同资金管理模式、支持多层面的财务报告体系、支持支出循环内部控制、支持增值循环内部控制等作为其管控产品的六大关键性应用。
曾经专注于企业审计软件领域的博科资讯则将审计、财务分析和计划整合到自己的管控引擎之中，试图在管控软件的易用性方面突出自己的优势。
    相比之下，慧点科技是国内第一个旗帜鲜明地推出GRC概念，并在GRC概念之下推广管控产品的企业，而且较早地开展了在企业内控方面的研究。
    由于OA应用是慧点科技赖以起家的产品，因此，以通过OA导入业务流程管理，通过内控管理延伸风险管理，通过绩效管理实现企业实时监控等，然后再逐步引导客户考虑全面的GRC，成为慧点科技最大的特色。
    除此之外，与其他厂商奉行通过行业纵向开拓的策略不同的是，为了加大行业的覆盖力度，慧点科技采取的是“产品+服务”的战略，有意避免将精力过多投入某个行业，即在产品研发时，将各行业大型企业管控的共性作为研究的主要对象。而将与业务相关的管控需求放在服务和实施环节解决。
    ERP、商业智能、数据库、业务流程、财务、OA……为了达到企业管控这一目标，各个厂商的实现路径可谓五花八门。
    对于这种现状，中国人民大学信息资源管理学院赵季春教授表示，企业管控和风险管理涵盖财务、人力资源、业务流程、组织架构、文化等方方面面，完整的管控并非一两个方面能够概括，厂商的视角和管控核心虽然各有千秋，但是没有根本的孰优孰劣的区别，各种产品都需要在各自的基础上进行横向延伸，最终实现统合。

    国内厂商可望反超？

    在ERP领域，国内管理厂商软件在国外先进同行的阴影下前进了十多年。国外产品在管理思想、行业经验积累和实现技术方面占尽优势。多年的发展使国内厂商在中低端市场取得了一定优势，但是在利润最丰厚的高端领域还需努力。
当管控这一具有远大前景的市场出现在他们面前的时候，他们迎头赶上，甚至有机会反超。看看一些国内厂商在近两年取得的不俗战绩，我们似乎有理由相信这样的可能。
    近年来，国内厂商一改在高端乏力的态势，在集团管控领域成功开拓了一大批高端客户。在慧点科技的客户名单上，聚集了中国移动、华能国际、中国五矿、中海油、中国神华、中化集团、南方航空等数十家声名显赫的大型中央下属企业。
    2008年上半年，慧点科技成功签约中国移动内控与内审管理平台一期工程项目，一期工程涉及了中国移动集团下属的所有子公司，规模和复杂性都达到了相当的水平。2008年初，用友也成功签约上海宝钢，负责其集团管理信息化项目。
    业内资深管理专家黄骁俭认为他们的成功来源于两个方面。首先，国内企业对集团管控这一需求的定位准确，把握到了中国大型企业当前的发展需求，是一个很聪明的做法；其次，由于国内集团化企业在管理模式上具有很强的中国特色，与国外集团化企业的管控模式存在较大的区别，国内软件厂商提出的解决方案与企业原有的管控方式最为吻合。
    他举例说，国外集团化企业的管控模式往往是先有总公司，后有子公司，国内的很多大型企业由于自身发展历程的特殊性，恰恰是先有子公司，后有总公司，国外管控软件往往难以适应。

    记者手记    管控市场期待中国队形

    记得去年的时候，在一次采访中，一位国外内控专家曾经说，中国GRC软件的水平与欧美的差距至少有六年。这句话当时给记者留下了很深的印象。如今看来，这个判断固然有正确的成分，但具体到中国市场又未必尽然。
   在十多年管理软件厂商与国外先进同行的抗争之中，本土化优势曾经被一再提起，但是，十年过去，今日的市场格局证明，在技术水平和经验积累没有达到一定程度之前，把本土化优势成功转化为竞争优势只是能停留在口号层面。
    但是今天，无论是国内厂商的资质和心态，还是市场环境，都悄然发生了变化。十多年的经验和技术积累使国内厂商普遍具备了基于本土市场融入本土特色的管理软件产品。中国经济在全球经济体中的影响力日益增强，管理模式“适应世界”的趋势正在向“适应中国”的方向悄然转化，中国传统管理方法注重系统化、平衡性的思想正在为现代管理思想注入新的营养。这些都为有中国特色的管控解决方案的异军突起创造了前所未有的机遇。
    今年6月，全球权威咨询机构Gartner与SAP之间爆发了一场就GRC产品孰是孰非的口水战。Gartner认为SAP提供的内控机制存在很大不足，SAP随即进行反驳，认为Gartner根本没有理解SAP所提供报告的机制的先进之处。这一现象说明，如今的管控市场仍处于百家争鸣的状态，标准也远远没有成熟，继续演进的空间还很大。况且，从时间上来说，国内厂商几乎与国际厂商同时起步。在这样的情况下，国内厂商应该大胆创新，坚定在未来不同解决方案的竞争版图中独树一帜的信心。而今天，国内企业敢于在管控市场与国外潮流分庭抗礼正是这种自信的一种体现。
    在采访过程中，一位受访者曾经豪迈地称，SAP是以德国阵型征服了世界，在管控市场，有一天，他们同样有信心站成中国阵型走向世界。
    我们衷心地期待这一天的到来！
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。