各类厂商纷纷往内控市场挤,并捧出令人目不暇接的方案。这个市场是否如人们所期望的那样,将成为继ERP之后又一个新的市场增长点?
市场: 等待井喷
内控是个筐,什么都可以往里装。客观上是因为内控涵盖了企业运行的全过程,每一个企业都可以从中找到与自己产品相结合的点,并将自己的产品包装成“为企业加强内控服务的”。在主观上,内控以及风险管理等思想的流行,给了软件厂商一个跟随潮流的机会。
于是,ERP厂商、OA协同软件、业务流程管理软件、数据集成软件,甚至备份、邮件归档等存储软件,各个应用领域涌现出来的厂商和方案令人目不暇接。
它们看好的,都是一个叫做GRC(Governance、Risk、Compliance)的市场,或者叫做企业内控。只是,这个市场能否如人们期望的那样,成为继ERP之后另一个新的市场增长点?
蜂拥而至
《基本规范》的出台,让IT供应商无一例外地瞄准了中国企业的需求。毕竟,以前在美国上市、需要遵循萨班斯法案的中国企业数量很有限。
用友刘巍认为,众多觊觎内控管理市场的厂商可以分为三类:一类是慧点公司等从流程管理、协同办公起家的厂商,内控制度中确实有一个层面是关注内控流程的。同样的还有国外的IDS Scheer,主张企业在全部的流程运转中实施监控与控制。第二类是以ERP起家的厂商,其产品和方案会更注重内控执行体系、规范的有效性。第三类则是德勤、IBM等以咨询服务起家的企业,软件更侧重自我评测、流程管理。
目前,用友、金蝶、浪潮等本土ERP软件厂商已经积极行动起来。2008年底,用友发布NC 5.5产品时就推出了“用友NC内部控制与风险管理解决方案”,其针对中大型企业的U8也强化了内控的功能。今年3月,金蝶发布了高端ERP的新版本EAS V6.0,也将“管控全面风险,降低运营成本,高效协同供应链”作为着力点。
浪潮ERP副总裁魏代森认为,传统的管理软件系统本身就具有风险管理和内部控制的一些内容,只不过在《基本规范》出台之前,大家并没有把它们归纳出来。不同的是,国外诸如SAP、Oracle等企业已经针对萨班斯法案做出了相应的产品调整。
CA则形成了IT治理、IT安全和IT管理三大系列产品。用檀林的话来说,CA是萨班斯法案最大的受害者与受益者。2003年,美国证监会对CA的审计中发现了一个分期付款被提前确认的漏洞,CA最终受罚十多亿美元。新CEO上任后,在CA引入了非常强的治理机制,同时,CA的产品线做了调整。如今,CA建立了一个整合的全球法规遵循知识库,整合了全球各行业的最佳实践和法规要求,如银行业的巴塞尔协议,以及医疗、能源等行业一共400多个法规,建立了一万多个控制点,将法规遵从所需要的控制点一一对应到IT系统中,形成了可简化企业风险合规性管理的实施平台。
面对中国的《基本规范》,檀林也看到了其中的问题,“现在做合规最大的挑战就是,咨询商的能力不够充分强大”。因此,CA也希望在中国找一些本土咨询服务商,参考国内各行业的合规要求,对产品进行本地化的改造。
众多厂商中,每类厂商都有自己固有的客户群,面对企业内控的市场,谁的优势更大一些呢?
“因为中国刚出《基本规范》,SAP、Oracle等还没有在国内正式推出类似的产品,从起始点来看,国内、国外ERP厂商的起跑线是相同的,谁动手更早,谁的优势就更大。”刘巍表示。
魏代森也认为,国内与国外内控市场的差异性还是很大的,如政策、法律、文化以及企业管理方式上都有很大差异,国外公司虽然对萨班斯法案的遵循经验较多,但在国内市场不一定仍有优势。
市场有多大
市场无疑是在升温,厂商都感受到了这一点。
檀林指出,中国对合规越来越重视,国内企业也开始建立内控部门,甚至设立CRO等,这都反映了企业战略导向的变化: 从以前不计风险、一味追求销售收入的增长,变为开始追求企业的可持续增长。
慧点的韩国权发现,企业对内控态度的变化有两个时间点:“一个是去年国家出台《基本规范》,在那之前,国内企业认为自己不在海外上市,萨班斯法案的遵循跟自己没有关系。规范出台后,企业开始有强烈的要求去看、去学习。另外一个时间点与金融危机、风险管理有关,从今年开始,企业风险管理的意识变得特别强。”
这显然是一个很好的契机,是厂商获得更多用户的机会。韩国权乐观预计,市场的空间是巨大的,“所有的企业都需要管理,只不过这么大的蛋糕要一口一口地吃下去。”
其实,不同类型企业看到的机会并不一样。如果说慧点看到的是GRC这个市场的话,用友看到的则是推动用户的IT系统向集成化、统一化发展的契机。
刘巍表示,原来一个企业协同办公、ERP、网上审计可能用的都是不同厂商的产品,在建立内控体系的要求下,客户可能会倾向于选择同一个厂商的产品,以解决信息传递的有效性问题。其中,哪个厂商集成得更好、更全,其就更有优势,企业也会选择以它为核心,作为总承包商将其他产品集成进来。
所有的企业都需要管理,这句话本身并没有错,但并不是所有的企业都需要内控相关的软件产品。那些受到外在监管压力、自身有发展动力的企业,才是潜在的用户群。那么,用户对内控相关的IT产品的真实需求有多大?
比如恒瑞医药,从2005年~2008年,集团内所有子公司都针对集团管理要求上了ERP,这些子公司的ERP都在同一个平台上,通过对每个子公司ERP当中的关键信息如生产、销售、人事情况等加以汇总,形成管理层需要的各种报表。CIO王卫列认为,加强内控管理的IT软件有两类: 一类是集团管理软件,一类就是数据挖掘。
“GRC的理念很好,但要在企业中落地还是要基于ERP这类软件的应用,目前我们没有这个需要,集团管理、财务和预算管理、数据挖掘等就足够了。”王卫列说。因此,他对国内上市的恒瑞医药达到《基本规范》的要求很有信心,尽管企业没有专门做一些加强内控的IT投资。
有意引入一套内控管理信息系统的先声药业曾与IBM、慧点等企业接触过,但是百万元的报价让封磊觉得有些昂贵。在衡量了投入与产出之后,先声药业暂时还没有采购内控管理自动化平台。封磊认为,与ERP、电子商务等理念一样,GRC的理念与产品也有一个逐渐普及的过程,至于什么时候能够普及,他也不知道。未知,正是GRC市场最诱惑人的地方。
01
图注:先声药业有萨班斯法案遵循的经历,但该公司认为,内控理念和产品在中国的普及,需要一个长期的过程。