序1

慧点科技从2004年开始深入研究GRC理论、构建GRC管理应用体系，2008年开始向国内市场介绍GRC概念，至今已11年有余，在全体慧点人的共同努力下，我们终于能有机会借此书向市场诠释我们对GRC的一些理解和认识，同时，我们也希望能通过本书的编撰，进一步明确和指导慧点科技未来的发展方向。

从1998年成立以来，慧点科技一直以办公自动化厂商的身份为市场所熟知及认可。曾几何时，当我们向客户作自我介绍时，客户的第一反应是“哦，慧点，办公自动化系统(OA)做得不错”。我们当然非常感谢客户对我们在此领域内的能力的认可，但实际上，选择“办公自动化”这个方向是慧点在理想和现实之间进行折衷后的无奈选择，因为在慧点的管理理念中，我们始终都在坚持和践行的是“以市场为导向，在客户价值中实现企业价值”的初衷，我们一直希望慧点的产品和服务是基于明确的客户价值导向的。客户价值来自哪里？来自产品能够切实解决客户的“难”“关”“痛”的能力，一个有核心价值的产品对于客户而言应该是雪中送炭，而不止于锦上添花。然而，作为一个过于笼统的概念，“办公自动化”似乎还不能很好地概括和指引我们能为以及应该为客户提供的价值。作为一家从清华研究所走出来的企业，慧点科技在流程管理和内容管理方面进行了大量系统的研究与实践，也积累了很多技术基础；而作为管理软件企业，我们一直希望找到一个清晰的管理理念来统领慧点科技的产品体系，能够让我们在更广阔的空间里发挥我们的既有优势并形成可持续的产品。

2004年，峰回路转，慧点接触了GRC，很快确认GRC正是我们一直努力寻找的理念，并由此展开了对GRC体系坚持不懈的研究、学习和实践，并在GRC中国化的道路上取得了丰硕成果。借此机会，我们基于11年的理解和实践，总结出一个中国智慧与GRC管理体系相结合的相对完整的理论体系，并附以对相应IT系统建设的理解和实践案例，编撰成书，以飨读者。也在这里记述我们认知、实践GRC的过程，希望有更多同道者来添砖加瓦，能够让中国的GRC体系伴随着中国企业的世界化进程成为世界级的管理软件体系。

初识GRC

从慧点科技成立起，我们就试图寻找一个管理价值导向的概念，以便突破“办公自动化”的功能性定义来传递我们的技术特点和价值导向，在无奈中，慧点也一直在市场上演绎“广义办公自动化”的概念，时间长了许多慧点的客户也都知道了我们的纠结。2004年，有一天我正在深圳出差，一位长期关注慧点发展的客户的领导在欧洲给我发来短信，建议我关注GRC这个概念，并且指出这可能正是我们想要寻找的。我如获至宝，第一时间去网上搜集了资料。当时GRC作为一个管理概念被提出不久，网络上可参考的资料还比较少，也比较粗浅，但即便如此，也已经让我产生了一种拨云见日的感觉：我们这么多年在流程管理、内容管理等方面的技术实践，我们在业务上长期锁定集团客户的管理层、决策层需求，不就是在努力帮客户解决GRC的问题吗？从管理的角度看，慧点科技一直以来想在办公自动化体系中以协同为中心与ERP融合实现从报表到报告、从报告到决策、从决策到管理执行这四个关键环节的管理闭环。随着中国企业管理水平的不断提升，越来越多的客户也在主动拓展或进一步细化完善传统办公自动化系统的功能需求，在ERP之外的管理应用需求已经扩展成为一个庞大的需求集。纲举目张，GRC体系所提出的“管控、风险、合规遵从”概念，刚好清晰地指出了在一个企业的生存发展过程中，决策者在面对企业内部管理、外部社会环境和监管环境时，应当如何平衡，如何实现企业的良性运转，如何建立体系实现“有原则的绩效”的过程——G, Governance，指出了企业如何进行有效率的内部治理，搭建权责绩效框架，为“有原则的绩效”营造有利环境；R, Risk Management，企业面对“有原则的绩效”的目标，如何开展风险的识别、分析、评价和应对；C, Compliance，企业如何识别所处的社会环境，如何有效地应对法律和行业监管。所以，当办公自动化扩展为GRC整体管理体系，当被动的需求驱动转向管理驱动、决策驱动，当工程实践型体系升级为管理落地型体系，通过升级和转身，慧点科技明确了以GRC管理体系为依据，帮助中国企业快速、长久、健康发展的业务方向。

GRC实践

在确定了将GRC作为我们未来的研究发展方向后，慧点开始了对GRC的中国化实践。一方面，我们对GRC的理论体系进行深入学习；另一方面，主动寻找一切机会对GRC理论体系进行系统实践。2002年，美国《萨班斯法案》的提出，给了慧点一个非常好的机会，通过跟IBM、普华等国际知名企业合作，慧点得以从2004年开始深入中国在美上市公司《萨班斯法案》遵从的工作当中。此后，在国资委辖下央企的全面风险管理体系建设、证监会辖下券商及上市公司的合规体系建设及内控体系建设浪潮中，慧点科技均扮演了重要角色，为众多客户提供了风控信息系统及配套服务。在此过程中，涵盖集团管控、风险管理、内控、内审信息系统及法律风险管理、决策风险管理等专项风险管控系统在内的GRC解决方案体系逐渐成型，而通过持续不断的产品实践及与大量客户的沟通，我们更充分地理解了GRC各板块之间的关系以及GRC与OA及ERP等原有管理应用体系的涵盖及关联关系，在我们持续不断的努力下，GRC理论框架变得更加清晰，更加符合中国特色。

在对GRC理论框架的不断践行中，我们对其理论依据的理解也在不断加深。慧点科技的创始人大多毕业于清华大学自动化系，因此从系统论和控制论的角度，我们可以这样理解GRC体系：GRC理论中提到“实现有原则的企业绩效”，可以视作一个控制目标；而企业和外部环境的交互过程，可以视作一个系统，对于系统，我们要监测输入、输出，建立反馈机制，同时加载控制。系统论中有一个重要观点：总体最优不一定局部最优，在“有原则的绩效”的目标的指引下，企业如何建立治理基础，如何选择管控重点，如何确定逐次发展的顺序，这又是决策层管理艺术的一个集中体现，GRC是管理技术与艺术的统一。随着中国企业管理认知水平的不断提升，作为主要面向管理层和决策层的GRC管理体系及对应的管控系统，其核心管控作用正在逐渐突显，在市场上也正受到越来越广泛的认可。

GRC在其他领域的应用

在慧点科技对GRC体系的解读中，GRC管控体系可以解读为自上而下的三个环节。首先，GRC定位了管理过程中的一系列关键问题；其次，为了解决这些问题，GRC体系结合COSO模型、ERM模型，形成了一整套解决企业管理问题的方法论；再次，在管理信息化应用当中，GRC又提供了一整套的IT理论架构，那就是如何在“以流程为中心、以风险辨识为基础、以实现有原则绩效为目标”的整体思想下，构建一体化企业管理信息化架构。在工业3.0时代，慧点科技以公司治理为立足点，在这三个层面上都进行了深入的研究和实践；而随着工业4.0时代的来临，“互联网+”概念的深入人心，整个社会都在面临一场新的革命，市场、政策、环境的快速变化，包括企业在内的任何一个组织都需要具备越来越准确的快速反应能力，控制风险以及应对监管的能力，在此过程中，GRC体系所涵盖和关注的领域越来越成为组织管理及发展的核心，而GRC体系也开始广泛应用于企业管理之外的社会治理、公共管理等领域。作为中国GRC管理体系实践的先行者，慧点科技也已在住房公积金管理、社会综合治理等社会治理领域进行了GRC管理体系的实践和尝试，也取得了一定的成绩。

作为一家软件企业，慧点科技用了11年的时间，去理解GRC、践行GRC、推广GRC，我们希望能够在这个领域进行更多的分享和交流。一方面，希望有更多的中国企业、社会组织能够在GRC管理体系中受益；另一方面，通过持续的实践和经验积累，慧点可以持续完善方法论和解决方案体系，使GRC保持旺盛的生命力，同时与更多行业领域融合发展，逐渐形成一套更加完整的、用中国智慧解决系统化问题的整体解决方案。

自1998年慧点科技成立以来，慧点人一直在践行慧点科技的企业愿景——“中国管理软件推动中国企业走向世界”。我们相信，随着中国经济的发展，越来越多的中国企业将走出国门，走向世界舞台，这就需要有属于中国自己的优秀管理软件来帮助中国企业应对纷繁复杂的国际环境。以GRC管理体系为指引方向，配以中国的管理智慧，慧点科技有信心在此过程中为中国企业提供强有力的信息化支撑，并将向着成为“中国本土优秀管理软件提供商”这一方向而坚持不懈地努力。

慧点科技董事长

姜晓丹

2015年冬