很久很久以前，在被称为"福雷斯特"的神奇世界里，有一个美丽的想法，一个乌托邦式的企业愿景，企业可以比以往任何时候都更努力、更好、更快、更强。组织将蓬勃发展，因为孤立的部门将开始走向成熟，协调一致，朝着共同的目标协同工作。知识、信息和最佳实践将毫不费力地围绕企业流动，提供"闻所未闻的"效率和优势。任务分担、对他人的依赖和规模经济将会增加，全球云购，而重复和浪费的努力将会减少。组织可以由一个单一的、普遍理解的真理版本来服务。

组织中所有层级的高管都将被赋予对未来不确定性的非凡洞察力，并预先配备适当的工具和流程，大数据的未来，以自信地协商最佳的前进道路。加强战略决策。每一次成功的机会都在增加。创造竞争优势。实时、连续、自动化、细粒度分析取代了时间点、事后、手动、摘要信息。预防胜于检测。猜测被洞察力所取代。使用先进技术，让员工共享共同的流程和目标。

这个概念的美妙之处在于简单。这是激进的，但远比革命更具进化性。技术进步意味着这不仅仅是乐观的理想主义，这是绝对可行的事实上，采用这一点似乎完全有可能基于它提供的竞争优势。这是合乎逻辑的。这需要努力、调整和协调，但这不仅仅是一个梦想，这是一个自然的过程。

这些概念与时间团队、信息共享、共同目标、风险和控制意识、高效的企业管理、规模经济、结构一样古老。这与技术无关，但技术无疑是促成因素。

新的方法学获得了一个新的名称，但它是正确的吗？

这是人、政策、过程和技术的结合，这个21世纪的方法论需要一个新的名称，但不幸的是，在我看来，这个名称低估了承诺。选择的名称是"Governance，Risk Management and Compliance"或"GRC"。

在SAP，我们非常喜欢三个字母的缩写词，甚至连我们的公司名称都是一个。然而，这三个词结合在一起，虽然事实上是正确的，但更多的是混淆市场，而不是激发市场。治理意味着规则，合规意味着强制性活动，风险管理虽然本质上是企业本身的生命之血，但往往只是从一个负面的角度被误解

效率和业务优势从名称上看并不明显。但在2002年，美国发生了一些悲剧事件，国内大数据，由于GRC思想既被接受，又被滥用，使人们无法进行进一步的讨论。

2002年的转折点

在那一年，安然、世通和泰科等机构的巨额会计丑闻促使美国国会通过了《2002年萨班斯-奥克斯利法案》（Sarbanes-Oxley Act of 2002，SOX），以保护投资者投资者避免了公司进行虚假会计活动的可能性。该法案要求进行严格的改革，以改善企业的财务披露，但最初遭到批评人士的抨击。

这被视为政府不必要且代价高昂地干预企业管理，使美国处于竞争劣势。国际上也感受到了连锁反应，所有在美国证券交易所注册的外国公司现在都必须遵守这项新规定。

全球企业界发生了永久性的变化，有两个关键部分推动了这一变化。

首先，第302条规定，高级管理层应对所报告的财务报表的准确性负责。一些高管因为没有"盯着路"而坐牢…。这对许多人来说是可怕的。第二，第404条要求管理层和审计员建立内部控制，并就这些控制的充分性制定报告方法。对于那些以前没有有效管理企业控制权的组织来说，这可能是非常昂贵的。

2002年萨班斯-奥克斯利法案对GRC的影响

在2002年到2003年间，从公开证券交易所注销的美国公司数量增加了三倍。一个答案是必须的，对许多人来说，这种新兴的方法GRC-承诺会有所帮助。人们忘记了精简组织、提高效率的好处，GRC的重点转向遵守SOX和其他法规。

控制管理本身受损，因为建立控制的目的纯粹是为了合规，而较少是为了适当缓解既定风险或发展机遇。这是公司宣传其产品的盈利时间作为"GRC解决方案"，但这些解决方案中的许多都是孤立的，点式解决方案通过GRC的"真正"含义的核心推动了股权的形成。

在欧洲和世界其他地区，SOX的影响是显而易见的。新的法规出现了，旧的法规变得更加严格，然而，法规遵从性往往不像美国那样是主要的驱动因素。对于国际公司来说，GRC的全部承诺可能并不是"最重要的"，但他们往往更关注风险、控制、公司治理或业务效率的概念，而不是纯粹的监管合规性。

GRC仍然需要"成长"，在未来十到十二年的过程中，我相信它已经做了。这是一个渐进的过程，由许多不同的事件、重大的技术进步以及最终的必然性所驱动？