“基业常青”是每个企业经营者的梦想，但企业在经营过程中时时刻刻都会面临各种风险，这些风险可能来自自然界，也可能来自人为误操作。对于企业而言，不仅要实现眼前的盈利，更要未雨绸缪提前预防，以规避未来可能的风险。这也正是国家推行《企业内部基本控制规范》(也称C-SOX法)的主要目的。从今年1月1日C-SOX正式开始实施，中国上市公司必须执行C-SOX，这也就意味着风险管控正在成为这些公司必须考虑的问题，而帮助企业实现C-SOX落地的IT治理、风险与合规性（GRC）解决方案开始风行也不足为奇。
　　“随着美国萨班斯法和有中国版萨班斯法之称的C-SOX的施行，GRC的话题正在引起越来越多人的关注。” 赛门铁克IT管理、风险与合规部门区域产品管理总监Caroline Wong告诉记者。刚加入赛门铁克不久的Caroline Wong拥有信息系统安全认证专家（CISSP）的头衔，此前在eBay、Zynga公司任职，全面负责这些企业的信息安全工作。
　　据Caroline Wong介绍，一个典型的GRC实施过程可以分为四个阶段：第一个是计划，即确定企业将选择什么样的标准或者是什么样的法规框架去实现合规，据此制定一套管控框架，通过技术和流程上的保障，在这个管控框架中实现合规；第二个是评估，即根据确定的标准评估在企业安全合规框架中所使用的技术和流程管控手段，是不是达到了前一阶段制定的标准；第三个是报告，要把问题向各个利益相关方做充分的沟通，包括负责采取补救措施的部门主管和安全技术方面的采购决策负责人等?；最后是补救，因为仅仅制定和评估标准是不够的，一个负责安全的部门必须要能够驱动相应的变化去提高整个企业的安全和合规水平。
　　“这个过程很复杂，完全手工几乎无法完成，因此GRC解决方案必不可少。”Caroline Wong表示，GRC解决方案就是通过自动化、可视化等手段来帮助企业进行企业风险管理、合规管理以及内控，从而规避风险，同时驱动公司的业绩以及公司的战略实施。这也正是赛门铁克可以为企业提供帮助的地方。
　　赛门铁克今年刚刚发布了最新版的GRC——Symantec Control Compliance Suite 11。其中，包含众多模块，可以为GRC的四个阶段提供帮助。比如，计划阶段的策略管理模块帮助企业主管给CIO/CSO在制定策略上进行授权，而风险管理模块则让负责人对风险管理做出界定等。值得一提的是，该解决方案还新增了风险管理模块（Risk Manager），它把技术问题转化成与企业流程相关的风险问题，为利益相关方提供关于IT风险的定制化分析，并且可以基于业务关键性而非技术严重性，确定补救措施的优先级。Caroline Wong说，基于赛门铁克新一代GRC解决方案，安全主管能够依据IT风险指标为特定人群定制不同的风险报表，从而使企业中围绕IT风险进行的沟通更为有效。
　　Caroline Wong特别强调，企业实施合规和风险管控对企业而言是一件好事，因为这并不仅仅是要花钱满足各种法规的要求、应对各种审计，同时，也可以帮助企业改善经营业绩。比如，可以降低公司的运营风险，提升公司美誉度、知名度，最终提升竞争力，更好地帮助企业达成经营目标。