让一屋子的IT专业人士定义治理、风险管理和合规(GRC),你很可能会得到一堆茫然的眼神。 事实上,GRC的定义确实不易——部分原因在于这三个术语本身似乎都需各自定义。Gartner副总裁/首席研究员、该领域权威专家弗伦奇·考德威尔在2010年的一篇博客中对此有过精辟阐述:
- 治理——政策制定与决策执行的过程。
- 风险管理——确保重要业务流程与行为始终符合相关政策和决策所设定的容忍度范围的过程,超出该范围将导致不可接受的潜在损失风险。
- 合规——指遵循政策与决策的过程。政策可源于内部指令、程序及要求,亦可源于外部法律、法规、标准及协议。
GRC混淆的根源
这三种定义至少可以说是相当抽象,对初学者理解各类可能归入不同范畴的技术帮助甚微。由于GRC领域复杂多元且认知度不高,来自不同市场领域的B2B软件供应商时常将自家平台/解决方案冠以GRC技术之名,这往往令真正的GRC供应商们翻白眼并暗自嘀咕。
我曾发表过多篇博文,探讨HotDocs如何用于解决治理、风险管理(风险缓解)及合规性问题,尤其针对交易文件和表单的生成。鉴于HotDocs绝非"GRC"平台,真正的GRC从业者或许会将我视为更大问题的一部分——本已难以理解的分类体系正变得愈发混乱。
外部治理、风险与合规性验证
那么,我为何要在此强调这一点?因为另一位高德纳副总裁、业务流程自动化领域的权威专家吉姆·西努尔,最近亲自撰写了一篇博客,讲述某大型政府机构如何借助HotDocs解决了重大的治理、风险与合规(GRC)难题。该博文生动记录了该机构如何将合同生成时间从三个月缩短至三小时,同时几乎消除了因合同中的人为错误引发的法律纠纷。
结论
文档生成是否属于GRC类别的子集?对此我暂不作肯定回答。但文档生成能否用于管控文档生成流程,同时降低人为错误风险,并确保符合内部政策与外部法规?绝对可以!
编者按 本文最初发表于 HotDocs.com.2024 年 6 月,Mitratech 收购了高级文档自动化平台 HotDocs。此后,我们对内容进行了更新,以纳入与我们的产品、法规变化和合规性相一致的信息。
