作者:张述冠

法规遵从会使部门变得更加积极、高效而富有战斗力，进而通过一系列灵活变更的流程、策略及程序，达到部门对业务的全面控制。

对企业来说，法规遵从并不是一个“一时”的业务，而是今后需要一直持续进行的
活动。达到法规遵从要比维持这一行为容易得多。

理想的商业世界中，谁需要法规？有些人即使冒着更换职业的风险，也要反对法规，这种精神我实在佩服。然而遗憾的是，我们并不是生活在理想世界，而是现实激烈的商业环境中。以往经验已不止一次告诫我们，一些集团董事由于不“按章办事”，而严重损害了投资者对企业的投资信心，以致最终对企业经济造成不可估量的影响。

不知你有没有意识到，我们几乎每隔一段时间就能听到有关公司法人渎职的消息。譬如ID被盗，个人隐私暴露等。对于那些坚持认为法规会影响经济自由的人来说，经济自动调节的时代已“一去不复返”了，这似乎是一种“灭顶之灾”。然而现实是，我们处于一个“法规盛行”的时代，不管你是喜欢还是厌恶，都不得不与它“共存亡”。

不过，值得庆幸的是，企业可以对此采取一种积极乐观的态度，从而最大程度地从中获益。而且，企业在遵从这些既定法规的同时，还可获得不少机会来改进业务流程，进而促进部门业务的良性运转。

本文主要探讨的是，为何IT部门很难遵从这些法规，以及遵从中经常会发生的一些错误。另外，本文还分析了一些遵从法规要注意的基本事项，以及IT部门如何从中获益。

IT和法规遵从：二者是否可以共存?

在很多人看来，单单把IT和法规遵从两个词放在一起说，似乎很牵强。许多IT经理坚信，法规遵从就是一种“非差异化”(non-differentiating)行为。当他们试图以百米冲刺的速度进行IT建设，以便为企业争取竞争优势时，法规却如同一阵强劲的逆风使他们不得不减下速来，而且不曾取得任何有形的收益。

IT部门排斥法规遵从，其中原因众多。首先，绝大多数的法规都需要给予解释。因为管理者在制定法规时，只描述了他们想要什么，而并没有说明他们希望部门去如何实施。而在IT部门内部，也没有统一的行为准则去告诉你如何去遵从不同的法规。

一些组织过分遵从法规，而另一些组织对法规遵从却仅仅是“意思”了一下而已。因此许多IT领导都在思忖，如何能根据自身行业状况，来遵从众多不同的法规。这无疑是一个复杂的问题，由此他们不得不聘请一些法规和安全咨询顾问来帮助解决这一难题。这无疑又是一笔昂贵的预算支出。

然而，不管愿不愿意，他们都必须付诸行动，并不可避免地会经历一些挫折，最终实现法规遵从。那么然后呢？他们何时才能得到自己应得的回报？接下来，在某个不可预知的时刻，法规管理者会突然以监督者的身份对组织登门造访——意即突击检查。更为糟糕的是，这就意味着，对企业来说，法规遵从并不是一个“一时”的业务，而是今后需要一直持续进行的活动。

达到法规遵从要比维持这一行为容易得多。而且，典型的“先干完活，再担忧其后果”的IT文化，使得今后在IT部门推崇这一行为变得更加困难。因此，正是上述这些因素造成了IT部门对法规遵从的强烈抵制。

回顾一下上述分析，我们或许可以得出一个结论：IT和法规遵从间的关系就如同火和油般不相容。然而我要说的是，如果方法得当，IT和法规遵从不但能共存，而且还能使整个组织从中受益。

为什么以及如何去实现和维持法规遵从？

就IT法规遵从而言，最首要的就是要遵守法律和规章制度，避免触及社会敏感性及争议性问题，并保持企业股东的愉悦。这也是企业遵从法规的终极目标。这样，在你的竞争者去碰触那些明文禁止的社会焦点问题时，企业才能顺利通过管理部门的监督。

此外，IT法规遵从还有另外一个好处。实际上，若忽视了这一益处，IT法规遵从就不能正确地得到实现和维持。这一益处就是，法规遵从会使IT组织变得更加积极、高效而富有战斗力，进而通过一系列灵活变更的流程、策略及程序，达到部门对业务的全面控制。

因此，IT部门应当放宽眼界，立足于这两个方面去看待法规遵从问题。尽管对IT部门来说，用“补缀”(band-aid)的方法来通过监督检查是完全合法的，但是“补缀”并不能实现和维持真正的法规遵从。

虽然从近期来看，这种方法成本低，但实际从长远看来它的代价是极其昂贵的。因为当每次颁布一项新法规，或突击进行法律监察时，就必须要重新确立一套法规遵从。这就意味着要花费更多本不必要的金钱和精力，以及更多的挫折和痛苦。然而最终，这种做法只不过产生了一些仅供炫耀的控制和不切实际的文档。它们对部门是毫无价值的。流程并未得到改善，部门业务也毫无起色。

另一个极端是，一些IT部门选择相对保险的一面，他们试图遵从每一项法规，而不管是否会真正将它付诸实施。此外，他们还把每一法规都作为一个独立的议题加以提出，以避免对法规中的重合部分，进行重复控制和编写文档的工作。

但是，如此众多的法规，如此纷繁复杂的程序，只会使员工对遵从行为变得难以承受而更加抵制。本来，部门倾注了大量资源，怀揣美好意愿，试图能有一个良好的回报。然而到头来，付出回馈的仅仅是精疲力竭的员工，缘木求鱼的控制，教条主义的官僚主义，以及漏洞百出的法规遵从。

巧妙的法规遵从的首要一条，就是要获得高层管理者的支持。IT高层管理者必须要身先士卒，把法规遵从的意识灌输到企业文化中，并不断强化宣传，和员工进行沟通。假若不能获得高层支持，那收益就很有限了，IT部门也会掉入“清扫地毯下的尘土”的陷阱中。

另一方面，确保IT员工之间的团结协作同获得高层支持同样重要。既然IT员工是日常IT活动的执行者，因此他们对法规变更持支持态度是十分重要的。一般来说，人员因素在法规遵从中起很大作用。因此，我们不能笼统地说遵从是一种自上而下，或自下而上的行为，它是关乎每个人(上至高层决策者，下至桌面帮助系统的分析员)的一项“业务”。

在IT高层管理者及员工支持确保无忧后，需要对所有的IT法规要求进行分析，并对法规范围和比重给予评估。不要画蛇添足，除非这“足”有实际价值。做那些“要求”做的对IT部门有价值的行为。

然后，从众多不同法规中找出互相重合的部分，这样选用一种控制方法即可。在此，需先准备好一个控制目录，这样就可以对法规要求与当前环境间的差距进行衡量。控制还需加以确定，其中应体现相关的法规要求，而且按必要程度增加新控制，去掉多余无用的控制。这有助于IT部门浓缩而有效。

谈到法规重合部分的要求时，需特别关注两条：控制和责任。这是几乎每条法规都要求具备的。IT管理者必须明白谁做什么，为什么，何时以及如何去做。在此，以流程为中心的业务操作及IT员工是实现控制及会计核算的关键因素。如果IT部门不能有效控制其资金、流程及资源，也就不能去有效遵从各项法规。

关于控制及责任，法规管理者也必须确保其一言一行都有所依据。因此，文档对法规的真正遵从是至关重要的。IT部门必须具备文档管理的能力，以便保证流程、策略和程序都能存入文档。文档除了对法规遵从有用，还有助于确保环境稳定。IT部门必须让IT员工全程参与IT策略和程序的设计。如果程序设计脱离实际，那制作的文档也必与IT员工的日常生活相去甚远，这可能导致员工对遵从新程序的抵制。

IT文化和流程改变之后，就需通过不断培训和沟通来把法规遵从付诸实施。部门根据其规模大小，需对IT员工进行一系列正式或非正式培训，以使他们对IT流程、策略及程序的变化变得敏感。要务必杜绝迂回控制。为防范惯常冒犯者，部门还需采取一些正确的预防性措施，诸如发布警告，暂停甚至终止等。

不管一个员工技术多么娴熟，知识多么渊博，如果他没有任何原因就是不愿遵从法规，那就意味着他对部门来说也是无必要的。相应地，那些按流程标准执行任务的员工都应得到奖赏。

和其他管理活动一样，对IT法规遵从的管理也需进行全程监控，而且遵从程度要用“仪表盘”给予测定。所谓的“仪表盘”包括的测量指标有：内部控制的数目，遵从流程的个数，开放性条款的数目，流程循环周期等。另外，法规遵从的状态也不是保持静止的，它会随时间变换。因此，采取及时持续的测评，有助于IT部门在变化发生时保持遵从行为的正常进行。

上述任一条款都不是切实的方法论，它们仅仅是部门进行管理的基础，这也正是所有法规所要求的：权责到位的管理实践。尽管这种方法迄今为止成本最高，但IT法规遵从正是基于此种原则。因此从长远来看，部门还是受益的。因为采用此种方法，部门不仅仅能对目前的法规保持遵从，而且还能很容易地遵从以后的法规要求，从而形成良性循环。

爱它还是离开它？

经历最近的公司治理丑闻后，商业环境已经发生极大变化。目前我们几乎所有的业务往来都是通过计算机系统来操作的，新一轮的法规自然影响了IT。这对IT是一个全新的挑战。因为法规遵从以前仅仅是少数几个管理行业需要关注的问题，如今，它已成为所有行业都必须面临的问题。

然而，一些法规仅仅覆盖某些特殊的行业，如制药行业的电子记录和电子签名，有的法则则涉及到交叉行业，如Sarbanes-Oxley法案。除此以外，一些企业还需遵从多重法规，这使得法规遵从变得尤其复杂。

不遵从不是一种明智的选择，因为它会导致一连串严重后果。例如，公众出丑，收益及共享市场的损失，罚金，流程无效等，甚至还有对个人来说最严重的——噩梦缠身。

然而，IT似乎总是在遵从法规上显得困难重重，举步维艰。许多IT领导把遵从行为看作是NDA(非差异化行为)。在此我要说的是，如果方法得当，遵从行为完全可以成为DA(差异化行为)，并为IT增值。

法规遵从除了可以避免罚金，树立良好公众形象外，从长远来看，还可以让企业获得低成本、高效率的竞争优势，从竞争者中脱颖而出。另外，它还可以提高企业生产力，促进积极进取的企业文化的形成。IT应当把法规遵从看做是企业一个千载难逢的机会，从而后退一步仔细想想，如何对此进行有效运作。

对于法规遵从，一些IT部门只是如蜻蜓点水，浅尝辄止；而还有一些部门却过分重视而弄巧成拙。实际上，不管法规和行业如何，对待遵从的合理的方法应当包含以下几点基本因素：

◆ 人为因素：整个部门都应当对法规负责，并持支持态度。

◆ 评估其适应性：分析企业所需遵从法规的每项要求，并确定其对企业的适应性。

◆ 找出法规适用范围，及重叠要求：找出重叠的法规要求，这样只用选择一种控制即可。而且，要对你现有的控制进行分析，它们可能与一些法规要求相适应。按照实际情况增添新的、或删掉一些不必要的控制。

◆ 确定控制和责任：尽管每条法规都有不同的语言背景，但相同的是，它们都不排斥控制和责任。

◆ 形成文档：要确保言行一致。强制遵从并奖励员工：要时刻沟通，并在IT遵从、策略和程序上给予持续培训。

◆ 衡量遵从程度：要设计出“仪表盘”，以便不时监督遵从程度。

尽管，实施和改进上述几个方面的巨额成本令人十分头疼，然而若运作有效，从长远来看实际上是节省成本的。因为，这样就可以很轻易地弄清目前和将来的法规要求。而且，流程改进也能促进IT生产的自动化，从而提高部门生产力。

要遵从一些艰涩的法规是不那么令人愉悦的，对此我十分赞同。而且我非常希望有一天，IT和商业都能面临少一点的法规，企业只用通过诚信合作和完好的业务经验，来增加股东的收益值。

(本文选自itsmwatch.com)