如果这些软件指望借此大捞一票的话，他们很快就会失望。虽然随着时间的推移，许多企业已认识到自动化软件有助于解决SOX合规问题，但对大多数企业来说，相对流程再造和其他工作，采用软件仍处于次要地位。最近美国证券交易委员会（SecuritiesandExchangeCommission,SEC）发布了新的指导原则，将404款合规工作的重点从巨细无遗地记录企业内控机制的所有细小方面转向评估重大风险，这样一来，企业很快就不必再记录所有细枝末节了。

当机遇之神来敲门时，软件企业和IT顾问的耳朵比狗还尖。甚至在404款合规工作手册修订之前，软件企业便已开始修改SOX应用软件，将其转变为更为复杂、覆盖领域更广的软件产品，可处理受SOX影响较大的两个相关领域：公司治理和风险管理。

由此便诞生了“公司治理、风险管理及合规软件（GRC软件）”。其核心是一种追踪系统，可捕捉各种合规要求对特定企业的影响的相关数据，同时记录企业在满足合规要求方面的进展。

但如今，GRC软件已不只是一种自动化一览表，而开始提供更为高级的决策支持功能。这主要是因为，在日益增多的监管规定本身也带来了新的风险（即企业因未满足某项规定而面临处罚的风险）的同时，其他形式的风险也受到美国企业界的更多关注。事实上，GRC几乎已成企业风险管理（ERM）的代名词，许多GRC软件产品声称可帮助企业监控和分析多种业务风险，而监管合规风险只是其中之一。

并非只有你一个人觉得这种广告宣传既诱人又费解。即便是那些已经采用了GRC软件的企业也承认：它们也不太确定这种软件究竟有何意义以及到底能发挥多大作用。尽管该技术在不断进步，但有些企业表示更偏爱只涉及有限领域的GRC软件，其他的一些企业则在推行一种侧重于组织架构和工作流程而非IT技术的GRC战略。

重复劳动

尽管看法不尽相同，但许多企业都同意两点：第一，公司治理、监管合规和风险管理工作之间往往存在一定程度的交叉；第二，在处理这些工作时如果缺乏秩序会导致重复劳动和较高成本。

“目前，企业的IT预算中有大约8.5%的资金是用于合规工作，”Gartner的分析师弗兰奇·考德维尔（FrenchCaldwell）说，“下一步是利用它们在系统（即为了合规目的单纯捕捉数据的系统）的投资，运用这些数据来辅助公司在运营风险和绩效方面的决策。”

虽然“下一步”是合乎逻辑的，但大多数企业的实际操作并非如此。考德维尔说，企业通常已经采购了多种套装软件，来处理GRC工作的不同方面。造成这种情况的原因有很多。首先，不同部门往往是各自负责GRC管理工作的不同方面。合规和风险管理工作可能各有一套班子负责，即便在合规部门内部，负责SOX财务合规工作的员工同负责卫生和安全合规（针对职业安全与卫生监管局、环境保护署和其他一些联邦监管机构的法规）的员工之间也可能无甚交流。这样，每个部门都会采购符合自身需求的一套软件。“这往往会导致企业重复购买类似的软件产品，”考德维尔说，“如果它们统一购买一张企业版软件的许可证，就可以省下很多钱。”

甲骨文（Oracle）和SAP公司均已涉足GRC软件领域。据甲骨文负责应用策略的集团副总裁克里斯·里昂（ChrisLeone）说，他们所提供的一系列产品的设计宗旨是“记录和监控所有GRC工作的总协调软件”。Gartner的考德维尔表示：“提供企业资源规划（ERP）行业的软件企业也进入了GRC市场，这说明对GRC市场不可等闲视之，而对于那些强调运营风险管理的企业来说，采用统一的技术平台将大有裨益。”

不过许多企业不这么看。运输服务公司YRCWorldwide的总顾问丹·楚瑞（DanChuray）表示，尽管在公司治理、风险管理和合规工作之间确实存在一些协同效应，“但软件供应商、IT顾问和企业内部接触风险管理或合规工作不久的人员可能都夸大了这几方面的交叉部分。”

YRC与普华永道（PricewaterhouseCoopers）合作开发了一种以工作汇报关系和风险分析为核心而非以安装软件为核心的GRC战略。楚瑞说：“我们也在考虑扩大我们从CertusSoftware采购的SOX软件的用途，在其中嵌入更多控制功能。”但重点还是在于评估哪些风险可以由企业集中管理，而不是由专家处理。

超前于时代？

汉堡王公司（BurgerKingCorp.）负责财务的高级副总裁克里斯·安德森（ChrisAnderson）指出，该公司在其10-K文件中有长达12页的描述风险因素的内容。他说：“没有哪个软件套装能够处理所有这些风险。”而在汉堡王，“合规”一词涵盖了很多工作，从SOX合规（由财务部门负责）到针对食品安全和相关联邦法规的合规工作（由专门部门负责）不一而足。“我们确实觉得SOX合规软件很有用，”安德森说，“但我们还是选择了一种更简单的可用作文件和流程图表资料库的软件。”

普华永道负责美国区GRC咨询服务的合伙人迈尔斯·埃佛森（MilesEverson）表示，“企业往往采购了太多软件，它们应该把重点放在减少不同的监管职能部门的数量和整合这些部门的合规工作上。”

但软件企业反驳说，正因为如此GRC软件才愈显重要：要整合相关工作正需要GRC软件所提供的技术基础。也许这种软件有点超前于时代了。毕马威的马克·古德本（MarkGoodburn）指出：“过去，企业要管理两件事，人才和流程，然后随着IT技术的兴起又要管理信息技术；而现在，要管理的第四件事就是GRC，但它要成为企业文化的一个不可分割的部分仍需假以时日。”

Gartner预测，从现在起到2010年，GRC软件销售将实现23.8%的强劲复合增长率，但AMRResearch认为在短期内增长率远没有那么高。预测数字不同的一个原因是GRC本身的定义既五花八门，又变化无常。GRC作为一个软件种类，最大的问题就是企业是否愿意进行GRC意在促进的对合规工作的整合。