作者:张述冠
法规遵从会使部门变得更加积极、高效而富有战斗力,进而通过一系列灵活变更的流程、策略及程序,达到部门对业务的全面控制。
对企业来说,法规遵从并不是一个“一时”的业务,而是今后需要一直持续进行的
活动。达到法规遵从要比维持这一行为容易得多。
理想的商业世界中,谁需要法规?有些人即使冒着更换职业的风险,也要反对法规,这种精神我实在佩服。然而遗憾的是,我们并不是生活在理想世界,而是现实激烈的商业环境中。以往经验已不止一次告诫我们,一些集团董事由于不“按章办事”,而严重损害了投资者对企业的投资信心,以致最终对企业经济造成不可估量的影响。
不知你有没有意识到,我们几乎每隔一段时间就能听到有关公司法人渎职的消息。譬如ID被盗,个人隐私暴露等。对于那些坚持认为法规会影响经济自由的人来说,经济自动调节的时代已“一去不复返”了,这似乎是一种“灭顶之灾”。然而现实是,我们处于一个“法规盛行”的时代,不管你是喜欢还是厌恶,都不得不与它“共存亡”。
不过,值得庆幸的是,企业可以对此采取一种积极乐观的态度,从而最大程度地从中获益。而且,企业在遵从这些既定法规的同时,还可获得不少机会来改进业务流程,进而促进部门业务的良性运转。
本文主要探讨的是,为何IT部门很难遵从这些法规,以及遵从中经常会发生的一些错误。另外,本文还分析了一些遵从法规要注意的基本事项,以及IT部门如何从中获益。
IT和法规遵从:二者是否可以共存?
在很多人看来,单单把IT和法规遵从两个词放在一起说,似乎很牵强。许多IT经理坚信,法规遵从就是一种“非差异化”(non-differentiating)行为。当他们试图以百米冲刺的速度进行IT建设,以便为企业争取竞争优势时,法规却如同一阵强劲的逆风使他们不得不减下速来,而且不曾取得任何有形的收益。
IT部门排斥法规遵从,其中原因众多。首先,绝大多数的法规都需要给予解释。因为管理者在制定法规时,只描述了他们想要什么,而并没有说明他们希望部门去如何实施。而在IT部门内部,也没有统一的行为准则去告诉你如何去遵从不同的法规。
一些组织过分遵从法规,而另一些组织对法规遵从却仅仅是“意思”了一下而已。因此许多IT领导都在思忖,如何能根据自身行业状况,来遵从众多不同的法规。这无疑是一个复杂的问题,由此他们不得不聘请一些法规和安全咨询顾问来帮助解决这一难题。这无疑又是一笔昂贵的预算支出。
然而,不管愿不愿意,他们都必须付诸行动,并不可避免地会经历一些挫折,最终实现法规遵从。那么然后呢?他们何时才能得到自己应得的回报?接下来,在某个不可预知的时刻,法规管理者会突然以监督者的身份对组织登门造访——意即突击检查。更为糟糕的是,这就意味着,对企业来说,法规遵从并不是一个“一时”的业务,而是今后需要一直持续进行的活动。
达到法规遵从要比维持这一行为容易得多。而且,典型的“先干完活,再担忧其后果”的IT文化,使得今后在IT部门推崇这一行为变得更加困难。因此,正是上述这些因素造成了IT部门对法规遵从的强烈抵制。
回顾一下上述分析,我们或许可以得出一个结论:IT和法规遵从间的关系就如同火和油般不相容。然而我要说的是,如果方法得当,IT和法规遵从不但能共存,而且还能使整个组织从中受益。
为什么以及如何去实现和维持法规遵从?
就IT法规遵从而言,最首要的就是要遵守法律和规章制度,避免触及社会敏感性及争议性问题,并保持企业股东的愉悦。这也是企业遵从法规的终极目标。这样,在你的竞争者去碰触那些明文禁止的社会焦点问题时,企业才能顺利通过管理部门的监督。
此外,IT法规遵从还有另外一个好处。实际上,若忽视了这一益处,IT法规遵从就不能正确地得到实现和维持。这一益处就是,法规遵从会使IT组织变得更加积极、高效而富有战斗力,进而通过一系列灵活变更的流程、策略及程序,达到部门对业务的全面控制。
因此,IT部门应当放宽眼界,立足于这两个方面去看待法规遵从问题。尽管对IT部门来说,用“补缀”(band-aid)的方法来通过监督检查是完全合法的,但是“补缀”并不能实现和维持真正的法规遵从。
虽然从近期来看,这种方法成本低,但实际从长远看来它的代价是极其昂贵的。因为当每次颁布一项新法规,或突击进行法律监察时,就必须要重新确立一套法规遵从。这就意味着要花费更多本不必要的金钱和精力,以及更多的挫折和痛苦。然而最终,这种做法只不过产生了一些仅供炫耀的控制和不切实际的文档。它们对部门是毫无价值的。流程并未得到改善,部门业务也毫无起色。
另一个极端是,一些IT部门选择相对保险的一面,他们试图遵从每一项法规,而不管是否会真正将它付诸实施。此外,他们还把每一法规都作为一个独立的议题加以提出,以避免对法规中的重合部分,进行重复控制和编写文档的工作。
但是,如此众多的法规,如此纷繁复杂的程序,只会使员工对遵从行为变得难以承受而更加抵制。本来,部门倾注了大量资源,怀揣美好意愿,试图能有一个良好的回报。然而到头来,付出回馈的仅仅是精疲力竭的员工,缘木求鱼的控制,教条主义的官僚主义,以及漏洞百出的法规遵从。
巧妙的法规遵从的首要一条,就是要获得高层管理者的支持。IT高层管理者必须要身先士卒,把法规遵从的意识灌输到企业文化中,并不断强化宣传,和员工进行沟通。假若不能获得高层支持,那收益就很有限了,IT部门也会掉入“清扫地毯下的尘土”的陷阱中。
另一方面,确保IT员工之间的团结协作同获得高层支持同样重要。既然IT员工是日常IT活动的执行者,因此他们对法规变更持支持态度是十分重要的。一般来说,人员因素在法规遵从中起很大作用。因此,我们不能笼统地说遵从是一种自上而下,或自下而上的行为,它是关乎每个人(上至高层决策者,下至桌面帮助系统的分析员)的一项“业务”。
在IT高层管理者及员工支持确保无忧后,需要对所有的IT法规要求进行分析,并对法规范围和比重给予评估。不要画蛇添足,除非这“足”有实际价值。做那些“要求”做的对IT部门有价值的行为。
然后,从众多不同法规中找出互相重合的部分,这样选用一种控制方法即可。在此,需先准备好一个控制目录,这样就可以对法规要求与当前环境间的差距进行衡量。控制还需加以确定,其中应体现相关的法规要求,而且按必要程度增加新控制,去掉多余无用的控制。这有助于IT部门浓缩而有效。
谈到法规重合部分的要求时,需特别关注两条:控制和责任。这是几乎每条法规都要求具备的。IT管理者必须明白谁做什么,为什么,何时以及如何去做。在此,以流程为中心的业务操作及IT员工是实现控制及会计核算的关键因素。如果IT部门不能有效控制其资金、流程及资源,也就不能去有效遵从各项法规。
关于控制及责任,法规管理者也必须确保其一言一行都有所依据。因此,文档对法规的真正遵从是至关重要的。IT部门必须具备文档管理的能力,以便保证流程、策略和程序都能存入文档。文档除了对法规遵从有用,还有助于确保环境稳定。IT部门必须让IT员工全程参与IT策略和程序的设计。如果程序设计脱离实际,那制作的文档也必与IT员工的日常生活相去甚远,这可能导致员工对遵从新程序的抵制。
IT文化和流程改变之后,就需通过不断培训和沟通来把法规遵从付诸实施。部门根据其规模大小,需对IT员工进行一系列正式或非正式培训,以使他们对IT流程、策略及程序的变化变得敏感。要务必杜绝迂回控制。为防范惯常冒犯者,部门还需采取一些正确的预防性措施,诸如发布警告,暂停甚至终止等。
不管一个员工技术多么娴熟,知识多么渊博,如果他没有任何原因就是不愿遵从法规,那就意味着他对部门来说也是无必要的。相应地,那些按流程标准执行任务的员工都应得到奖赏。
和其他管理活动一样,对IT法规遵从的管理也需进行全程监控,而且遵从程度要用“仪表盘”给予测定。所谓的“仪表盘”包括的测量指标有:内部控制的数目,遵从流程的个数,开放性条款的数目,流程循环周期等。另外,法规遵从的状态也不是保持静止的,它会随时间变换。因此,采取及时持续的测评,有助于IT部门在变化发生时保持遵从行为的正常进行。
上述任一条款都不是切实的方法论,它们仅仅是部门进行管理的基础,这也正是所有法规所要求的:权责到位的管理实践。尽管这种方法迄今为止成本最高,但IT法规遵从正是基于此种原则。因此从长远来看,部门还是受益的。因为采用此种方法,部门不仅仅能对目前的法规保持遵从,而且还能很容易地遵从以后的法规要求,从而形成良性循环。
爱它还是离开它?
经历最近的公司治理丑闻后,商业环境已经发生极大变化。目前我们几乎所有的业务往来都是通过计算机系统来操作的,新一轮的法规自然影响了IT。这对IT是一个全新的挑战。因为法规遵从以前仅仅是少数几个管理行业需要关注的问题,如今,它已成为所有行业都必须面临的问题。
然而,一些法规仅仅覆盖某些特殊的行业,如制药行业的电子记录和电子签名,有的法则则涉及到交叉行业,如Sarbanes-Oxley法案。除此以外,一些企业还需遵从多重法规,这使得法规遵从变得尤其复杂。
不遵从不是一种明智的选择,因为它会导致一连串严重后果。例如,公众出丑,收益及共享市场的损失,罚金,流程无效等,甚至还有对个人来说最严重的——噩梦缠身。
然而,IT似乎总是在遵从法规上显得困难重重,举步维艰。许多IT领导把遵从行为看作是NDA(非差异化行为)。在此我要说的是,如果方法得当,遵从行为完全可以成为DA(差异化行为),并为IT增值。
法规遵从除了可以避免罚金,树立良好公众形象外,从长远来看,还可以让企业获得低成本、高效率的竞争优势,从竞争者中脱颖而出。另外,它还可以提高企业生产力,促进积极进取的企业文化的形成。IT应当把法规遵从看做是企业一个千载难逢的机会,从而后退一步仔细想想,如何对此进行有效运作。
对于法规遵从,一些IT部门只是如蜻蜓点水,浅尝辄止;而还有一些部门却过分重视而弄巧成拙。实际上,不管法规和行业如何,对待遵从的合理的方法应当包含以下几点基本因素:
◆ 人为因素:整个部门都应当对法规负责,并持支持态度。
◆ 评估其适应性:分析企业所需遵从法规的每项要求,并确定其对企业的适应性。
◆ 找出法规适用范围,及重叠要求:找出重叠的法规要求,这样只用选择一种控制即可。而且,要对你现有的控制进行分析,它们可能与一些法规要求相适应。按照实际情况增添新的、或删掉一些不必要的控制。
◆ 确定控制和责任:尽管每条法规都有不同的语言背景,但相同的是,它们都不排斥控制和责任。
◆ 形成文档:要确保言行一致。强制遵从并奖励员工:要时刻沟通,并在IT遵从、策略和程序上给予持续培训。
◆ 衡量遵从程度:要设计出“仪表盘”,以便不时监督遵从程度。
尽管,实施和改进上述几个方面的巨额成本令人十分头疼,然而若运作有效,从长远来看实际上是节省成本的。因为,这样就可以很轻易地弄清目前和将来的法规要求。而且,流程改进也能促进IT生产的自动化,从而提高部门生产力。
要遵从一些艰涩的法规是不那么令人愉悦的,对此我十分赞同。而且我非常希望有一天,IT和商业都能面临少一点的法规,企业只用通过诚信合作和完好的业务经验,来增加股东的收益值。
(本文选自itsmwatch.com)