我不会说我每周一早上都会问这个问题，但它确实比我想象的要频繁得多。尤其是当风险、合规或审计部门要求其IT部门向他们发送一份合适的治理、风险和合规（GRC）供应商的列表，但没有真正解释他们的职责时需要。进来本质，他们心里的要求很简单，只要给我"[…]和[…]"公布的名单和排名（用你最喜欢的分析公司填写-空格）。这应该可以解决问题。

这通常是引发上述问题的原因，IT部门主动要求讨论什么是GRC解决方案，以确保他们只向内部客户提供相关选项。

正如我的同事Jan Gardiner几周前提到的（GRC≠访问授权管理），对于我们SAP，GRC投资组合是10多种解决方案的组合。

因此，在进一步讨论之前，我的答案总是一样的，"好吧，你需要做什么？"我可以花几个小时来解释和说明一个完整的内部控制解决方案的好处，物联网关键技术，但如果最初的要求来自审计团队，云服务器服务商，他们正在寻找一个工具来帮助他们支持基于风险的审计过程，大数据与人工智能，我不确定它会有多大用处。

要求是什么？

所以首先要确定需求。当然，说起来容易做起来难，但这将是一切的基础。如果需求团队在详细需求方面对他们到底需要什么没有一个预先定义的想法，你可以随时从内部了解到什么是已经可用的和正在使用的（工具、电子表格、共享驱动器等）。

即使你当时决定没有一个是正确的选择，这仍然会让你对什么有一个很好的了解人们今天使用的是什么，目的是什么。如果你进一步调查并采访关键用户，他们甚至可能会告诉你他们目前缺少什么。这一点很重要，大数据发展前景，因为它可能会导致超出最初表达的需求或痛点。

为今天做准备，但为明天做计划

既然你知道了需求，就定义你今天在哪里以及你明天（或后天）想要在哪里。记住，一个工具永远不会一下子解决你所有的问题，但如果你的期望没有得到妥善的管理，它会带来新的问题。

利用你上面收集的信息，制定一个路线图，今天促进工作生活需要的第一个特点是什么，目前，什么是"很好拥有"，但你知道会是什么重要的是在未来。

考虑到这一点，开始优先考虑，以便选择的工具将能够回答立即的要求，但也伴随着公司的发展。

把表拉萨留给亚里士多德！

你的公司已经有了大量的风险登记簿、控制库、审计库等。

这是你公司的"GRC记忆"，你当然不想摆脱它。

尽可能多地收集，然后与企业主一起审查数据，确定应该结转什么，什么是多余的，什么是可以放手的，等等。

对于你认为值得保留的，确保它是完整的，并且有很好的记录。这样，不仅可以使用新工具，还可以确保导入数据的一致性。如果你没有合适的燃料，就不需要一级方程式赛车，对吧？

当然，我已经过度简化了流程，大数据处理平台，但对于一个简短的博客来说，这是我的意图。但我希望这仍然给你一些思考的食物，下次你的企业主打电话说，"我们需要一个GRC工具，你有什么建议？"