与Web2.0或其他激动人心的科技创新相比,企业治理、风险管理和合规性(合称GRC)这些工作实在是乏味之极。不过,这可是个高增长领域:根据AMR 研究公司(AMR Research,下称AMR)新出炉的一份报告,今年德国、日本及美国在GRC相关科技和服务上的总投入将达到321亿美元,比去年提高7.4%。
“直线下滑的经济不会对GRC的投入产生任何影响。” AMR分析师约翰·汉格迪(John Hagerty)表示。在今年2、3月份对420名业务和IT主管的调研中,65%的受访者回答说他们公司今年增加了GRC预算,另有26%的人表示预算将和去年持平。
企业舍得拨配大笔的预算,软件厂商当然也就会花大力气来提高GRC产品的吸引力。从广义上讲,目前的GRC产品功能包括商业应用程序的访问和控制自动化,以及对异常交易活动的监控等。最近,甲骨文公司(Oracle,下称甲骨文)发布了Access Controls Governor 8.0,这是它去年10月收购LogicalApps公司的成果结晶。该软件包含了一个面向服务的框架,并提供了让IT部门可以将访问控制嵌入到非甲骨文软件中的集成模板,这些都是此前的版本没有的。另外,软件的其他功能还包括生成管理显示板和报告,为管理策略创建知识库以及有关调节性控制的任务自动化。
今年3月,思爱普(SAP)升级了它的GRC软件产品系列,其中部分软件来自于它在2006年收购的GRC厂商维尔萨系统公司(Virsa Systems)。
费雷斯特市场调研公司(Forrester Research)的分析师克里斯·麦克林(Chris McClean)表示,虽然目前合规性仍是企业使用GRC软件的主要原因,但企业也越来越期望它们能用于防范各种风险,包括欺诈和洗钱等。AMR的哈格迪(Hagerty)也赞成这一观点,并表示还可以将GRC当作“披着羊皮的铜墙铁壁”,不过它的主要功能还是用于维护防火墙以内数据和系统的完整性。国际数据公司(IDC)分析师卡瑟琳·维尔海德(Kathleen Wilhide)说,日益增长的审计成本,尤其是与10-K报表相关的成本,也迫使企业在整个公司范围内部署GRC系统。
有的软件是专为GRC推出的,如甲骨文和SAP的产品。但GRC技术也可归纳到更广泛的领域内,如流程管理,甚至是商业智能。SAP执行副总裁道格·梅里特(Doug Merritt)曾负责过公司2006年GRC产品的上线工作,他表示:“该产品的销售增长速度超过了近年来SAP其他任何领域内的软件产品。”GRC拥有如此强劲的发展势头,难怪今年3月SAP的投资部门SAP Ventures会与其他几家公司联合向硅谷新秀LogLogic公司注资1,500万美元。该公司生产的软件主要用于管理“对用户活动进行全面审计跟踪”的IT日志。
萨班斯·奥克斯利法案(Sarbanes-Oxley)敦促企业抛弃以往那种亡羊补牢式的局部安全措施,鼓励它们开发出整体性的安全策略来控制风险。在AMR调研的美国受访者中,38%的人表示他们将GRC问题放到了全球层面来考虑,而36%的人则回答说他们是从全国层面来考虑,只有25%的人表示他们公司只是从具体部门或业务入手来解决GRC问题。
