【IT168 报道】面对复杂多变的商业趋势，各行各业越来越多的企业和组织在治理、风险与合规(GRC)的管理上开始采用比以往覆盖范围更广的整合型方法。摈弃了传统的单独针对特定法规指令和风险加以应对的策略，他们力求在整个企业实现各项GRC流程的持续性、一致性、有效性和透明性。这种方式拥有诸多战略性优势--更低的成本、更全面的风险管理和合规、更灵活的业务运营以及更快速和有效的决策。

　　对于精明的企业管理者说，各种趋势让他们对整合的GRC策略更加"求之若渴"。法规机构的监察力度持续加强，投资者和潜在业务合作伙伴也越来越关注企业行为和程序。近期接连发生的高风险管理事故（从次贷危机到知名机构的失控交易亏损）催生了更加严格的管制，并引起了立法机构的注意。同时，目前出台的法规开始要求企业制定明确的风险管理策略，这促使众多企业着手对自己的风险和合规职能进行整合。

　　整合型GRC方案所面临的挑战

　　随着企业和组织逐渐实施更结构化、更统一的GRC方案，一直以来关于数据的各种忧虑和问题（包括可靠性、可访问性、及时性、安全性、相关性及质量）也都被显著放大。业务复杂性、全球运营、重组和大范围外包将带来前所未有的新风险，加上目前不断出台的新的规章制度，使得可靠、及时的高质量数据越发成为有效部署风险管理和及时法规报告工作的重中之重。遗憾的是，地域上的分散性和各项外部系统、流程及外部数据源的引入，导致了用于全球范围GRC管理的数据变得支离破碎。

　　此外，随着风险和治理职能的结合，二者之间相互关系和依存性问题就凸显出来，这对于获取全面、可靠、及时的数据，以及实现一致和统一的数据整合方法都提出了更高的要求。更令众多企业和组织感到手足无措的是，多种数据质量和集成规则和标准陆续出台，访问和传送各种风险及合规活动数据的不一致的方法也不断涌现。风险和治理职能的融合以及整合型GRC方案的出现，使企业和组织必须避免将这些信息、技术和流程任意混杂的情况。虽然对整合GRC策略的不断增长的需求可能会引起高层的关注，但危机四伏的经济市场决定了过多的投入和不统一的解决方案都是不可取的。

　　对于那些希望在GRC策略中，能充分发挥可靠、及时、高质量数据的优势的企业和组织来说，以下发展计划值得参考一下：

　　从数据质量入手

　　如果数据由于质量问题而无法得到信赖，那么对数据流程所作的任何投资都将是徒劳的。无论是数据采集错误，实施拙劣的数据迁移和系统整合，低质量的数据都会严重影响组织的日常运营。一些法规要求企业通过数据质量记分板来证明数据质量，但如果没有成熟的技术和流程加以支持，要想在整个企业范围实施这种方法还是会面临很大的困难。因此，首要之务就是部署行之有效的工具和流程，它们可以准确识别、定量测量、持续监控和主动提升数据质量。

　　通过全面可靠的数据提升监控力度和透明度

　　风险和法规压力对企业（而非部门层面）有着较大影响。有效缓解这种压力所需的数据则以各种不同的应用程序、数据库和格式分散在企业内外。除了封装式应用程序（如 ERP）之外，很多GRC所需数据的保存方式使其难以接入主机，而且大多是非结构化格式，譬如Excel、PowerPoint和PDF文件。企业不仅需要有效掌握所有数据，而且需要具备强大的工具来对其进行归纳，以便解决数据质量、缺口和不兼容等问题。

　　实时提升灵活性并降低风险

　　在抵御风险上，企业常常需要与时间赛跑。过时的数据不值得信赖，组织需要采集数据的能力，即在交易源系统创建出数据后立即采集，识别发生更改的内容，进而以实时、接近实时或批量的速度筛选、转换和传递数据，以便进行有意义的分析和利用。

　　通过ICC缩小GRC成本并提升效率

　　没有合适的流程和技术，生成及时、可靠数据的成本将是极其昂贵的。企业和组织可通过采用集成能力中心(ICC)的方式来降低数据采集、集成、清洗和交付的成本。本质上说，ICC能在一个组中通过综合数据集成和质量技能、技术和流程，来达到优化资源的目的。通过对工具、非常好的实践、数据界面和映射以及业务规则的重复使用，ICC能加快项目交付速度，同时大大削减开发和维护成本。此外，由于ICC能利用过去取得的成功经验，无需在每个新项目上重新探索，它可减少在数据集成和质量保证工作上的重复。

　　借助数据沿袭和影响分析满足审核和证明方面的要求

　　包括《萨班斯o奥克斯利法案》和巴塞尔协议II在内的很多法规都要求企业和组织全面记录和报告数据在企业中生成和使用的方式。举例来说，金融机构可通过部署可审核的数据集成流程，减少巴塞尔协议II要求的资本准备金。但是，如果没有合适的技术和架构作为支撑，企业同样会付出高昂的成本，并面临超乎寻常的困难。特别是，企业需要能够利用所有元数据来了解数据元素的沿袭情况并有效识别数据的来源、转换和更改。与此同时，企业还可利用元数据来来了解更改数据库给现有报告和流程带来的影响。如此，企业就可以更好地实施有条理并且可重复的数据集成和交付流程，并通过自动化的数据流程记录来满足审核要求。

　　通过简化复杂数据的转换，有效降低GRC成本

　　在企业中，用于GRC的重要数据大多采用了极其复杂的形式，给使用者访问数据和与其他企业数据的整合带来了很大麻烦。这些数据包括采用表格形式的非结构化数据、采用旧格式和标准（如 SWIFT）的半结构化数据和复杂的结构化数据。企业和组织需要在各种整合情形下的对企业范围内的复杂数据进行转换。如此一来，企业就需要一款平台和自动化流程从各个系统中采集相关信息，经过转换后以一种适于任何用户或系统的可用格式来进行交付。如果使用自定义的分散形式来进行这一活动，将导致各种昂贵、低效和不稳定的界面混杂在一起，极大束缚业务灵活性和正常决策的制定。

　　治理、风险与合规三者息息相关。因此，部署全面的平台和流程来解决围绕GRC出现的各种数据集成、数据质量和复杂数据难题势在必行。这将帮助企业沉着应对各种法规和业务风险，优化业务流程和决策制定，并以较低的成本实现合规性。有效的企业GRC策略必须以有效的企业数据整合为基础；如果不能接入全面、可靠和及时的高质量数据，从战略高度统一管理GRC的方方面面也就无从谈起。