金融服务公司需要将行政管理、风险管理、法规遵从（GRC）自动化，目前的市场上有利于GRC的工具并不短缺。Gartner公司在今年早些时候估计，2009年GRC软件的市场规模达到1.17亿美元，预测下一年度还会有稳定的小幅增长。

　　随着金融服务公司的规章数目的增加，在整理政府机构所需的各种报告时，这些GRC工具至关重要，也可以把它作为一个更加积极主动的手段。多数产品都提供简单的仪表板，通过它，用户一眼就能发现公司的哪个部分遵从了某个特定的规章。

　　许多IT和风险经理人初次接触GRC分析的情景都很类似——使用一个简单的电子表格对风险和安全政策进行跟踪。不过，这不是一个可靠的、可广泛使用的方法，它需要大量人力，而且容易出错。一个更好的策略是使用自动GRC评估工具对从现有IT安全设备获得的信息进行评估，如防火墙配置日志、漏洞扫描、包含客户信息的数据库及其它类似的数据。利用这些工具找出缺陷，然后交给审计人员或法律顾问，让他们制定更加合符法律的规范，以减少公司可能面临的风险。

　　GRC工具的供应商包括：Agiliance公司（RiskVision）、 Archer科技（今年早些时候被EMC公司收购）、Wolter Kluwer's ARC Logics unit（Axentis）、BWise公司（GRC Platform）、eGestalt科技公司（Secure GRC）、Global Velocity公司（GV- 2010）、Lumension安全公司（Risk Analyzer）、兆丰国际（MEGA Suite）、MetricStream公司（GRC Platform）、OpenPages公司（General Compliance Management）、Thomson Reuters公司（Paisley Enterprise GRC）、QUMAS公司（Compliance Solution）、Relational Security公司（rSam）和赛门铁克公司（Control Compliance Suite）。 

　　在你深入评估这些自动化工具之前，请回答以下7个问题，它们可以决定你的分析方向：

1. 现有的安全设备如何与你将要部署的GRC工具集成使用？有些工具，如Rsam和Agiliance，它们本身有连接器，可以直接和一些不同的漏洞扫描产品（如Qualys和Nessus）配合使用。其它的工具则需要你将信息通过XML、SQL查询、逗号分隔文件等方式进行解析，这无疑需要更多的时间。
2. 你是否想要为所有对外的企业应用程序提供统一的风险识别框架？如果贵公司只有一个负责风险评估的部门，那么这种统一的框架或许是不必要的。另一方面，如果不同的部门做出了互相冲突的风险评估，那么一个共同的起点将有助于加速风险评估过程。
3. 报告部分是否足够灵活、便于阅读？预览这些部分，了解生成对分析师和管理人员有意义的报告需要做多少工作，这对你有帮助。
4. 当发现有规则遵从或者风险方面的问题时，权限升级过程是如何工作的？最终将由谁来负责解决这些问题？你所选择的工具应有助于推动这一升级过程，而且集成了一些相应的工作流程。同时它还应该能比较容易地融入到现有的身份验证系统中，如活动目录（Active Directory）或LDAP。
5. GRC供应商来自软件销售的收入与来自服务的收入各占多少？如果你正在寻找易用、易于部署的产品，那么你就应该考虑一个主要收入来自软件销售的供应商；如果你乐意支付顾问费和配置费，那么就应该选择主要收入来自软件服务的供应商。
6. 你是选择一个本地安装的软件，还是选择软件即服务的方式（SaaS）？像Agiliance这类产品，软件中带有针对上述两种方式的配置信息；而另外一些软件，如eGestalt，则只提供对托管方式的支持。后者可能会更易于安装和配置，当然也能减少成本，你需要根据自己的情况进行选择。但有些公司不愿意使用基于云计算的服务，它们仍然倾向于使用本地安装的软件来完成工作。
7. 随软件一起的有多少个预置的模板？有些产品提取规则遵从中的问卷调查，然后将其直接纳入到自己的软件产品。而其他的产品，如Global Velocity，则根本没有多少模板。

　　正如你所看到的那样，无论是在评估方面还是实现方面，GRC工具都涉及到很多东西。未来几年，随着市场需求不断增长，这些工具会逐渐成熟起来。届时，也能看到GRC功能集成到现有的安全设备。