穿透式监管解读（三）｜平台即 ERP 加 GRC，兼谈中国 GRC 软件前途

我在《国资委推动ERP解读（一）｜从会计和财务的区别谈转型管理》《国资委推动ERP解读（二）｜中国IT治理模式》两篇文中提出，国资委1 号文、2 号文要求的中央企业的穿透式监管以及相应信息系统——数字化资源管理平台（简称DRP）的建设，是中国企业软件行业里程碑式的事件，最近国资委后续出台了15 号文明确了穿透式监管跟内控体系建设的关系。这篇文章进行了详尽解读穿透式监管体系的全图景与全路径｜ 2026年国资委三份文件的交织解读

我写的书中：

明确指出业务流程管理以及ERP 信息系统最基本的管理价值就是服务于内控，书里详细讲解了我自己过去为大型美国公司工作时，对于流程、ERP 和内控之间关系的切身体验。

记录企业财务信息以及确保业财一体化的ERP 系统是穿通式监管的基础，不过，要实现体系化的穿透式监管，在信息技术上会涉及到这样一些架构组件：

- 业务和财务的信息记录：亦即监管的数据源。ERP 是企业最核心、最基础的信息系统，除了ERP 外，几乎所有的企业信息系统都可能构成监管、内控的数据源，包括资金系统（司库管理）、采购系统、费控报销系统、合同系统、客户关系管理系统、人力资源管理系统等等，还有一些其他非结构化数据的系统，例如办公自动化（OA）、邮件、聊天平台、政策文件等，也都是监管数据源。

- 信息管理：我这里用了“信息管理”而非“数据管理”或者“数据治理”这些词，我认为更准确地表述了这样一个理念——数据本身是没有足够的业务含义的，只有在一定的治理框架下、经过整理加工，才是对业务或监管有价值的信息。无论是主数据管理、数据仓库，以至于今天面向人工智能的业务本体，都是将上述数据源的原始数据进行提炼加工、关系建模，实现监管分析并支持后续行动；

- 数据分析：发挥监管作用的算法基础是风险模型——开发风险模型常采用机器学习等人工智能技术，这些模型的应用则是数据挖掘和文本挖掘

- 流程编排和作业控制：在监管活动中，一方面监管线索发现、证据提取、监管措施下达等，需要用业务流程管理来加强人员协同、实现过程闭环，另一方面，在具体的业务流程中，也需要根据风控和监管要求，将业务控制点设置进业务流程中，实现业务的主动、实时、自动化的合规性控制。

- 用户交互：提供直观友好的用户交互界面，为管理者、监管人员提供风险评估、事件预警、态势分析等数据分析以及事件跟踪的功能。

我认为中国央国企的“穿透式监管”管理体系以及落地的DRP信息系统，约等于美国的治理、风险和合规管理（简称GRC）体系及其信息系统。

GRC（Governance, Risk and Compliance）这个概念起源于美国，主要由美国的企业舞弊丑闻、监管法规和行业组织推动形成，成为了美国大型企业的管理规范，并且也形成了标准化的信息系统软件——称为GRC软件，近年来有研究者称为“集成风险管理（IRM）”软件，尽管他们认为GRC 和IRM的范畴不同，不过我不想介入这种争论口水，个人认为这两个词就是抄手和馄饨的区别。

2001-2002年，美国爆发一系列大型企业财务丑闻，安然（Enron）、世界通信（WorldCom）、泰科（Tyco）等公司通过虚假会计、隐藏债务等方式欺诈投资者，导致股市崩盘、投资者巨亏。美国国会迅速通过《年萨班斯-奥克斯利法案》（Sarbanes-Oxley Act，简称SOX），核心是加强公司治理、内部控制和财务报告合规，尤其是SOX 404条款要求上市公司建立严格的内部控制体系并接受外部审计。其后，欧美、日本也都推出了跟SOX 类似的法规，中国在2010年代后引入企业风险管理体系，常与COSO框架结合，所谓今天国央企的穿透式监管、内控体系等，其框架、术语和实践都可以追溯到美国SOX体系。参见《人民反对 ERP》

在美国，企业面临必须把治理（Governance）、风险管理（Risk）和合规（Compliance）三件事整合起来管的强制要求，之前三者是各自为政的（治理归董事会、风险归风控、合规归法务/审计），SOX让它们必须形成闭环，否则就面临巨额罚款甚至刑事责任；GRC作为整合概念应运而生。

2002年初，企业软件研究机构Forrester Research分析师Michael Rasmussen首次提出并使用了GRC这个缩写，用于描述“治理、风险、合规”三者的集成技术平台。

同年，一位曾经担任过埃森哲咨询顾问的信息系统和会计专家Scott Mitchell在美国创立Open Compliance and Ethics Group（OCEG，开源合规与道德组织），这是一个非营利智库，就是#企业知识开源的性质。OCEG把GRC定义为“帮助组织实现‘有原则绩效（Principled Performance）’的集成能力”，并在2004年发布首个GRC 能力模型红皮书，成为行业标准框架。2007年，Scott Mitchell在《国际披露与治理杂志》发表首篇同行评审论文，正式把GRC概念推向学术界。

Gartner也跟进了GRC概念的推广，不过到了2017 年，Gartner 认为GRC工具聚焦于监管检查、政策管理、审计留痕，重点在合规管理的操作层面，无法真正帮助CEO/高管把风险管理与业务战略对齐；为此，它将GRC 升级为IRM，企业通过风险感知文化和技术手段，实现战略风险、运营风险、IT风险的简化、自动化和集成管理，从而提升决策和绩效，把风险管理从被动防守转向主动赋能业务。我个人认为，在解决方案市场上，GRC和IRM 并无本质区别，还有个类似名词叫企业风险管理（ERM），后文为叙述方便起见，我会使用GRC/IRM 的说法。

SOX实施后，美国企业急需工具来应对合规，从GRC概念初始，就产生了一批原生GRC软件厂商，如OpenPages、RSA Archer、MetricStream等；同时，SAP、Oracle两家头部ERP厂商通过自研、并购和外部战略合作等方式，迅速推出了GRC解决方案。

经过20年发展，今天美国GRC 软件已经形成了一个可观的市场，我将各类GRC 厂商分为五种解决方案的血缘：

1. ERP厂商

ERP厂商天然掌握企业资金、财务、采购、人力等核心的数据，可以直接在ERP平台上开发GRC模块，实现在业务系统中管风险和合规。SAP 通过自研和并购形成的GRC，提供了系统权限、风险管理、流程控制等工具，至今仍是主流GRC 产品，常用于全SAP环境的企业。 Oracle 亦并购了多家公司退出GRC方案，不过2025年已经正式退出这个市场。

2. ECM厂商

Enterprise Content Management（企业内容管理，简称ECM，这是个古老的企业软件产品品类，参见《IT考古｜企业级互联网软件的鼻祖》）厂商主要做政策、记录、档案等非结构化数据的文档生命周期、版本控制、合规归档等，GRC需要大量的政策库、证据管理、审计留痕，因此ECM是GRC的主要组成部分，ECM 厂商提供GRC 的政策管理、记录管理、信息治理等。例如，ECM 领导者加拿大软件工哦OpenText通常认为是GRC厂商，常与SAP/Oracle等ERP集成。前些年Dell 整合EMC业务中就有另一家ECM 头部厂商Documentum，同时也有领先的专业GRC 厂商RSA Archer，可见ECM 和GRC 有紧密关系。

3. 数据分析/挖掘厂商

GRC需要从海量业务数据中识别风险信号，例如异常交易、合规偏差、文本中的风险关键词等。因而审计软件以及通用的数据分析厂商把数据挖掘、BI、AI/NLP等能力包装成GRC模块。这类血统的GRC 厂商包括Diligent（原Galvanize/ACL Analytics）、Workiva（强报表+分析）、Pathlock（ERP数据分析+风险）、MetricStream的部分AI模块等。IBM OpenPages被IBM 收购之后，也属于IBM 数据分析和AI产品线。

4. 流程自动化厂商

无论是日常工作流，还是审计风控事件，GRC都是流程驱动的，即实现“风险评估→响应→监控→整改”的闭环。工作流和流程自动化厂商天然擅长流程编排、任务分配、自动化审批，这类GRC 厂商最有代表性的是起家于ITSM（IT服务管理）的ServiceNow（参见《剖析ServiceNow | 中国企业软件公司如何做到年营收100亿美元，市值2000亿美元》），其工作流引擎自然扩展成GRC模块，今天处于GRC一线厂商阵营。奥锐方是我们推广的AI 原生流程自动化厂商，欢迎参加奥锐方认证企业智动化顾问考证指南+新期招募，一文读懂！

5. 原生GRC软件

从GRC需求出发，专门设计的平台，不依赖任何ERP/ECM/工作流母体。这类厂商代表是Archer（2000年代创立，后先后被RSA、EMC、Dell 等多轮收购，最近被资本收购后独立运作），MetricStream（AI-first企业GRC），LogicGate、Riskonnect、Protecht等。OpenPages 也是原生GRC公司，2010年被致力于向大数据软件转型的IBM收购，至今仍是IBM 软件业务的主力，也在GRC 厂商一线阵营中。普华永道、安永等会计审计公司也推出了自己的GRC 软件。

下面是美国GRC 软件市场的几个主流评测：

如果我们从美国GRC 软件市场的发展看，随着国央企穿透式监管的深化，在中国，无论是金蝶、用友等ERP 厂商，还是产品实质是业务流程管理的协同软件厂商，例如致远、泛微，以及大量的数据中台厂商，都可能进入到穿透式监管的解决方案领域。实际上，国内很多大型企业在前些年都已经上了集团风控、审计平台，这些平台很大程度上也参考了 GRC 的理念和架构；这一轮由国资委推动 DRP，可以说是中国企业 ERP+GRC 的产业升级机会。

美国的GRC/IRM平台以及穿透式监管的DRP平台，应该实现核心功能的标准化：

1. 集中数据管理

这是平台基础，通过连接器或API，从ERP、HR、财务、供应链等业务系统，以及内部文档服务器、邮件系统等，自动归集结构化的事务处理数据和非结构化的文档、制度、邮件等数据。建立单一的监管数据源，将所有相关的资产、流程、风险、控制、损失事件、审计发现等全部集中，形成360度视图。

2. 业务流程控制

通过与业务流程引擎深度集成，系统可以在关键业务节点（如合同审批、采购付款）自动触发合规检查。例如，当一笔付款单超过预算阈值或供应商在黑名单中时，流程可被自动阻断或转人工复核。平台应该支持定义自动化的工作流，将风险识别、评估、处置的任务自动推送给业务部门（第一道防线）、风险部门（第二道防线）和审计部门（第三道防线），形成闭环管理。

3. 实时风险评估

现代GRC/IRM平台可以实时扫描ERP等系统中的用户权限和交易日志，瞬间发现职责分离冲突或可疑的敏感操作。风险不仅是一个静态的风险热力图，通过接入外部舆情、经济指标等数据，平台可以实时更新关键风险指标的评分，并向管理层发出预警，达到的对重大风险“看得见、算得准、管得住”的状态。

4. 法规规则更新

GRC/IRM平台应该具备监管变更管理能力，利用自然语言处理和人工智能，扫描监管文件，抓取法规变更，将新法规条款自动映射到企业已有的内部政策、控制库和风险清单上，例如，通知相关责任人“某项新规可能影响你负责的3项控制”，从而实现规则的实时更新和影响控制的快速响应。

5. 风控合规活动管理

这是GRC平台最显性的投资回报（ROI）体现。通过自动化证据收集、控制自评和测试，大幅减少审计、监管人员用于邮件沟通、文档索要和数据整理的手工工作量，减少事务性活动的成本。审计转向持续审计和数据驱动审计，不再依赖抽样，可对全量业务数据进行分析，更容易发现隐藏的模式和异常。系统自动生成的审计报告和追踪整改计划，也让整个审计周期大大缩短。

我认为ERP 是穿通式监管的数据基础，GRC/IRM 是穿透式监管的执行平台，所以，如果用一句话解释国资委定义的DRP，我认为就是ERP+GRC。

坦白说，我目前从国资委三个文件中，看到对DRP系统功能标准化定义还是比较弱的，希望国资委在推进DRP 建设中，能够以中国国央企管理模式为基础，促进软件产品标准化，不要又各种央企数科公司各自为战，零零碎碎地找一些廉价技术解决方案来手搓DRP 平台，主流的国产企业软件厂商被视作外包开发资源，最后浪费掉了这个中国企业软件行业崛起的巨大机会。