信息安全管理系列之六十九 發(fā)揮標準引領(lǐng)作用的關(guān)鍵因素探討

李寬 謝宗曉

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003 年起，從事信息安全風(fēng)險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文160 多篇，出版專著20 多本。

信息安全管理系列之六十九

如何讓標準在企業(yè)的治理和管理中起到引領(lǐng)作用，是目前標準化領(lǐng)域的研究熱點，也是存在的難題。本文以金融企業(yè)標準為例，將標準體系融合進入企業(yè)治理和管理的框架分為集成、設(shè)計、實施、評估和改進的子過程，并分別進行了討論。

謝宗曉（特約編輯）

摘要：按照集成、設(shè)計、實施、評估和改進的框架，討論了如何在企業(yè)治理和管理中更好地發(fā)揮標準的作用。

關(guān)鍵詞：標準引領(lǐng) 企業(yè)治理 企業(yè)管理

Discussion on the Key Factors that Play the Role of Standard in Enterprise Governance and Management

Li Kuan （Agricultural Bank of China）

Xie Zongxiao （China Financial Certification Authority）

Abstract： According to the framework of integration， design， implementation， evaluation and improvement， this paper discusses how to play the better role of standards in enterprise governance and management.

Key words：? standard leading role， enterprise governance， enterprise management

0 引言

標準是企業(yè)治理與管理的重要工具，已經(jīng)是各行各業(yè)的普遍共識。而如何讓標準在治理和管理中發(fā)揮引領(lǐng)作用，各個單位都在積極探索。實際上，金融標準，尤其是整個標準體系，其有效性取決于其融合到本文件實施者治理和管理中的程度，尤其是要得到各級人員的支持，特別是來自最高管理層的支持。

如何將風(fēng)險管理融入企業(yè)的治理與管理，實際上是將金融標準融入企業(yè)治理與管理的一個重要的子領(lǐng)域，目前已經(jīng)歸納了一套行之有效的方法[1]，而管理體系的標準具有強烈的相關(guān)性[2]，我們將這個方法擴大到整個金融企業(yè)標準化的范疇，可以得到金融企業(yè)標準體系融合進入企業(yè)治理和管理的框架，見圖1。

1 領(lǐng)導(dǎo)和承諾

領(lǐng)導(dǎo)支持與承諾是標準化工作能夠開展的基礎(chǔ)和核心。

企業(yè)的決策層、最高管理層和監(jiān)督機構(gòu)應(yīng)將企業(yè)標準體系中的文件列為各種活動的依據(jù)之一?？蓚鲗?dǎo)這樣的意愿的方式包括：一是在決議、工作規(guī)劃、規(guī)章制度和相關(guān)規(guī)范性文件中，明確了企業(yè)標準體系地位、作用、發(fā)展目標和管理方法;二是為企業(yè)標準化工作分配了必要的資源;三是建立了完成企業(yè)標準化工作的責(zé)任制。這樣，才能使得企業(yè)標準化管理與其目標、策略和文化保持一致;使優(yōu)質(zhì)高效完成企業(yè)標準化工作成為崗位職責(zé)和崗位考核的一部分。

同時，尤其是在企業(yè)標準體系建立的初期，要明確企業(yè)標準不適用的情況，并通過寫入規(guī)章制度、寫入會議紀要、寫入工作意見或領(lǐng)導(dǎo)明確批示等方式，明確不適用的時間、范圍。

對企業(yè)標準文件執(zhí)行的狀況要建立必要的檢查監(jiān)督機制，哪怕在初期檢查監(jiān)督的結(jié)果并不與績效直接掛鉤，也應(yīng)掌握標準文件是否適用以及不能適用的原因。

2 集成

將標準文件集成到各項工作中是標準發(fā)揮作用的精髓和保障。

標準發(fā)揮作用，必須在工作流程和對工作成果的相關(guān)管理環(huán)節(jié)發(fā)揮作用，而這一作用只能通過將標準體系中的標準文件集成到各項工作中來實現(xiàn)。集成必須符合治理架構(gòu)和環(huán)境，符合企業(yè)文化和工作慣例，在理想情況下，將納入標準體系中的主動貫標和被動貫標[3]變成工作環(huán)節(jié)中相關(guān)人的潛在貫標。

主動貫標，就是主動宣傳貫徹相關(guān)標準。按照貫徹的標準實施一般可獲得最佳秩序并為可持續(xù)發(fā)展奠定基礎(chǔ)的標準，但實施標準往往會導(dǎo)致成本的增加，并可能在短期內(nèi)看不到明顯的效益。被動貫標，就是只要使用某種硬件或軟件，或應(yīng)用了某種框架，就需要知悉并遵循的標準，不遵循標準一般會導(dǎo)致工作無法繼續(xù)進行，或不能獲得預(yù)期的結(jié)果。潛在貫標，就是不必知悉標準的內(nèi)容，甚至不必知悉標準的存在，只要使用了某種硬件、軟件，就肯定會實施標準，且不實施或錯誤實施將會得到警告乃至不能完成預(yù)期目標的標準。

將企業(yè)標準體系集成到相關(guān)工作中是一個動態(tài)的迭代過程，要根據(jù)金融機構(gòu)的需求和文化進行定制。標準化應(yīng)該能夠成為企業(yè)宗旨、治理、領(lǐng)導(dǎo)和承諾、戰(zhàn)略、目標和運營的有機組成部分，而不是一項邊界清晰的獨立工作，否則，很難擺脫邊緣化的局面。

3 設(shè)計

標準體系融入企業(yè)的治理與管理要經(jīng)過精心設(shè)計。

標準體系融入治理與管理，有著多種實現(xiàn)的途徑。在標準化的理念深入人心后，確實可能成為一個基礎(chǔ)資源，為治理和管理的各個方面所主動調(diào)用。但是在這樣的文化和慣例形成前，標準化工作者必須精心做好設(shè)計工作，才能有效推進標準化工作。

3.1 剖析組織及其環(huán)境

在設(shè)計企業(yè)標準化的管理框架時，要分析金融機構(gòu)的外部和內(nèi)部環(huán)境。

對于外部環(huán)境，一是要考慮社會、文化、政治、法律、監(jiān)管、金融、技術(shù)、經(jīng)濟和環(huán)境因素，無論是國際、國家、區(qū)域還是地方因素;二是要考慮影響本機構(gòu)目標的關(guān)鍵驅(qū)動因素和趨勢;三是要考慮外部利益相關(guān)方的關(guān)系、觀念、價值觀、需求和期望;四是要考慮合同關(guān)系和承諾;五是要考慮相關(guān)標準被動貫標的情況。按照黨和國家制定“十四五”規(guī)劃的要求，標準化工作得到了前所未有的重視，為標準化工作的發(fā)展奠定了極好的外部環(huán)境。

對于內(nèi)部環(huán)境，一是要考慮本金融機構(gòu)的愿景、使命和價值觀;二是要考慮治理、組織結(jié)構(gòu)、角色和責(zé)任制;三是要考慮戰(zhàn)略、目標和政策;四是要考慮企業(yè)文化 ;五是要考慮在資源和知識（例如資本、時間、人員、知識產(chǎn)權(quán)、過程、系統(tǒng)和技術(shù)）方面具有的最大能力;六是要考慮數(shù)據(jù)、信息系統(tǒng)和信息流;七是要考慮涉及的部門和人員對標準化工作的真實看法和標準化工作給他們帶來的實際影響;八是要考慮合同關(guān)系和承諾。

這些內(nèi)外部的環(huán)境，往往形成了標準化工作的約束，約束是不能打破和違背的，能夠調(diào)整的只能是工作的原則和策略，否則，一定會導(dǎo)致工作的被動。

3.2 闡明標準化管理承諾

金融機構(gòu)應(yīng)通過明確傳達組織目標和標準化管理承諾的決議、意見或其他形式，表明并明確表示其對企業(yè)標準化管理的持續(xù)承諾。這些承諾可以在年度工作會議上和專題工作會議上、領(lǐng)導(dǎo)講話中對企業(yè)標準化提出總體要求或與相關(guān)業(yè)務(wù)關(guān)系的要求。這些承諾涉及：一是機構(gòu)內(nèi)管理企業(yè)標準體系的目的以及與目標和其他政策的關(guān)聯(lián);二是將企業(yè)標準體系管理納入本機構(gòu)整體文化的需求;三是要求將企業(yè)標準體系管理整合到核心業(yè)務(wù)活動和決策中的要求;四是明確授權(quán)，建立有效的問責(zé)制;五是提供必要的資源，這將在下面詳細進行分析;六是明確處理管理模式?jīng)_突的方式，這是極為重要的，在發(fā)生沖突時，實際上往往不能按照標準執(zhí)行，此時如果生搬硬套標準的要求，往往適得其反;七是將其納入機構(gòu)的績效考核指標;八是如何進行評審和改進。

3.3 分配組織角色并明確責(zé)權(quán)利

在金融機構(gòu)內(nèi)部，標準化工作最好做到層層有人負責(zé)，每個層面的人員的責(zé)任與義務(wù)并不一樣，但是應(yīng)負有的責(zé)任應(yīng)使得每個相關(guān)人員知悉。

3.4 分配資源

標準化工作所需要的資源，隨著標準制修訂和實施的過程和標準內(nèi)容的不同而異。一是包括人員、技能、經(jīng)驗和能力，尤其是適宜的人員，與軟件開發(fā)類似，往往不能簡單用人月來衡量，其中，給從事標準化工作的相關(guān)人員以充分的時間也是重要的資源;二是與標準相關(guān)的內(nèi)部流程和方法，這可能是最難以獲得的資源，但如果這個資源得不到保證，則制定的標準不能符合企業(yè)內(nèi)部的實際情況，實施的標準不能落實到工作中;三是標準文件化的過程和程序，尤其是協(xié)商一致的過程;四是信息和知識管理系統(tǒng)，以確保標準的體系性和協(xié)調(diào)性;五是專業(yè)發(fā)展和培訓(xùn)需求，有些時候，僅僅走出去的短期培訓(xùn)是不夠的，還需要請進來，通過標準的制定與宣貫，在實踐中培養(yǎng)人員。

3.5 建立有效溝通機制

標準化工作在金融機構(gòu)內(nèi)的開展，經(jīng)過批準的有效溝通機制是必備的保障。一方面，交流涉及與各相關(guān)部門和人員共享信息;另一方面，協(xié)商還涉及參與者積極提供反饋，期望該反饋將有助于并影響決策或其他活動。交流和協(xié)商宜及時進行，并確保適當?shù)厥占⒄?、綜合和共享相關(guān)信息，提供反饋并進行改進。

在這方面，用好標準工程師機制[3]，將一方面解決將標準化工作融入金融機構(gòu)慣常的部門間信息傳遞機制，一方面又能夠避免將無關(guān)的信息頻繁發(fā)送到所有部門引起的疲勞。

4 組織

標準體系的實施需要精心地組織。

在金融機構(gòu)的標準體系框架制定后，應(yīng)精心組織實施。一是制定適當?shù)挠媱?，包括時間和資源;二是確定在標準實施范圍內(nèi)，在何時、何地以及如何做出不同類型的決策，以及由誰做出;三是必要時修改適用的決策過程。

成功實施框架需要各相關(guān)部門和人員的主動性與參與。這才能使標準在實施的范圍內(nèi)能夠?qū)χ卫砗凸芾砉ぷ髦猩婕暗墓ぷ鲗ο蟆⒐ぷ鲗ο蟮奶卣饕约肮ぷ鲗ο笾g的關(guān)聯(lián)建立完整的視圖。恰當設(shè)計和實施的企業(yè)標準體系框架將確保企業(yè)標準化管理過程是標準實施范圍內(nèi)所有活動（包括決策）的一部分，且內(nèi)部和外部環(huán)境的變化都將得到充分體現(xiàn)。

5 評估

標準體系實施的效果應(yīng)進行有效性評估。

為了評估企業(yè)標準體系管理框架的有效性，應(yīng)定期根據(jù)其目的、實施計劃、指標和預(yù)期行為來衡量企業(yè)技術(shù)標準管理框架的績效;并確定標準體系中的標準文件是否仍然適合支持實現(xiàn)金融機構(gòu)的目標。

6 改進

在標準體系投入運行后，應(yīng)持續(xù)監(jiān)控和微調(diào)企業(yè)標準體系管理框架，以應(yīng)對外部和內(nèi)部的變化，并及時進行必要的微調(diào)。同時，應(yīng)定期按照PDCA的方法論，持續(xù)改進企業(yè)標準體系的適宜性、充分性和有效性，以及企業(yè)標準體系集成到企業(yè)治理和管理的方式。

企業(yè)標準體系的制定和實施不僅不能一蹴而就，也不可能一勞永逸。只有持續(xù)地對保持標準體系及其中所包括的標準文件與時俱進，能夠切實滿足金融機構(gòu)治理和管理的目標，才有可能使得標準體系能夠從點到面，逐步徹底融入企業(yè)的治理和管理中，真正發(fā)揮標準的作用。

參考文獻

[1] Risk management — Guidelines：ISO 31000：2018.

[2] Principles and rules for the structure and drafting of ISO and IEC documents：ISO/IEC Directives， Part 2.

[3] 銀行業(yè)金融機構(gòu)企業(yè)標準體系建設(shè)指南：T/CBA 206—2020.