李寬 謝宗曉

“十二五”國家重點(diǎn)圖書出版規(guī)劃項(xiàng)目《信息安全管理體系叢書》執(zhí)行主編。自2003 年起，從事信息安全風(fēng)險(xiǎn)評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文160 多篇，出版專著20 多本。

信息安全管理系列之六十九

如何讓標(biāo)準(zhǔn)在企業(yè)的治理和管理中起到引領(lǐng)作用，是目前標(biāo)準(zhǔn)化領(lǐng)域的研究熱點(diǎn)，也是存在的難題。本文以金融企業(yè)標(biāo)準(zhǔn)為例，將標(biāo)準(zhǔn)體系融合進(jìn)入企業(yè)治理和管理的框架分為集成、設(shè)計(jì)、實(shí)施、評估和改進(jìn)的子過程，并分別進(jìn)行了討論。

謝宗曉（特約編輯）

摘要：按照集成、設(shè)計(jì)、實(shí)施、評估和改進(jìn)的框架，討論了如何在企業(yè)治理和管理中更好地發(fā)揮標(biāo)準(zhǔn)的作用。

關(guān)鍵詞：標(biāo)準(zhǔn)引領(lǐng) 企業(yè)治理 企業(yè)管理

Discussion on the Key Factors that Play the Role of Standard in Enterprise Governance and Management

Li Kuan （Agricultural Bank of China）

Xie Zongxiao （China Financial Certification Authority）

Abstract： According to the framework of integration， design， implementation， evaluation and improvement， this paper discusses how to play the better role of standards in enterprise governance and management.

Key words：? standard leading role， enterprise governance， enterprise management

0 引言

標(biāo)準(zhǔn)是企業(yè)治理與管理的重要工具，已經(jīng)是各行各業(yè)的普遍共識(shí)。而如何讓標(biāo)準(zhǔn)在治理和管理中發(fā)揮引領(lǐng)作用，各個(gè)單位都在積極探索。實(shí)際上，金融標(biāo)準(zhǔn)，尤其是整個(gè)標(biāo)準(zhǔn)體系，其有效性取決于其融合到本文件實(shí)施者治理和管理中的程度，尤其是要得到各級人員的支持，特別是來自最高管理層的支持。

如何將風(fēng)險(xiǎn)管理融入企業(yè)的治理與管理，實(shí)際上是將金融標(biāo)準(zhǔn)融入企業(yè)治理與管理的一個(gè)重要的子領(lǐng)域，目前已經(jīng)歸納了一套行之有效的方法[1]，而管理體系的標(biāo)準(zhǔn)具有強(qiáng)烈的相關(guān)性[2]，我們將這個(gè)方法擴(kuò)大到整個(gè)金融企業(yè)標(biāo)準(zhǔn)化的范疇，可以得到金融企業(yè)標(biāo)準(zhǔn)體系融合進(jìn)入企業(yè)治理和管理的框架，見圖1。

1 領(lǐng)導(dǎo)和承諾

領(lǐng)導(dǎo)支持與承諾是標(biāo)準(zhǔn)化工作能夠開展的基礎(chǔ)和核心。

企業(yè)的決策層、最高管理層和監(jiān)督機(jī)構(gòu)應(yīng)將企業(yè)標(biāo)準(zhǔn)體系中的文件列為各種活動(dòng)的依據(jù)之一?？蓚鲗?dǎo)這樣的意愿的方式包括：一是在決議、工作規(guī)劃、規(guī)章制度和相關(guān)規(guī)范性文件中，明確了企業(yè)標(biāo)準(zhǔn)體系地位、作用、發(fā)展目標(biāo)和管理方法;二是為企業(yè)標(biāo)準(zhǔn)化工作分配了必要的資源;三是建立了完成企業(yè)標(biāo)準(zhǔn)化工作的責(zé)任制。這樣，才能使得企業(yè)標(biāo)準(zhǔn)化管理與其目標(biāo)、策略和文化保持一致;使優(yōu)質(zhì)高效完成企業(yè)標(biāo)準(zhǔn)化工作成為崗位職責(zé)和崗位考核的一部分。

同時(shí)，尤其是在企業(yè)標(biāo)準(zhǔn)體系建立的初期，要明確企業(yè)標(biāo)準(zhǔn)不適用的情況，并通過寫入規(guī)章制度、寫入會(huì)議紀(jì)要、寫入工作意見或領(lǐng)導(dǎo)明確批示等方式，明確不適用的時(shí)間、范圍。

對企業(yè)標(biāo)準(zhǔn)文件執(zhí)行的狀況要建立必要的檢查監(jiān)督機(jī)制，哪怕在初期檢查監(jiān)督的結(jié)果并不與績效直接掛鉤，也應(yīng)掌握標(biāo)準(zhǔn)文件是否適用以及不能適用的原因。

2 集成

將標(biāo)準(zhǔn)文件集成到各項(xiàng)工作中是標(biāo)準(zhǔn)發(fā)揮作用的精髓和保障。

標(biāo)準(zhǔn)發(fā)揮作用，必須在工作流程和對工作成果的相關(guān)管理環(huán)節(jié)發(fā)揮作用，而這一作用只能通過將標(biāo)準(zhǔn)體系中的標(biāo)準(zhǔn)文件集成到各項(xiàng)工作中來實(shí)現(xiàn)。集成必須符合治理架構(gòu)和環(huán)境，符合企業(yè)文化和工作慣例，在理想情況下，將納入標(biāo)準(zhǔn)體系中的主動(dòng)貫標(biāo)和被動(dòng)貫標(biāo)[3]變成工作環(huán)節(jié)中相關(guān)人的潛在貫標(biāo)。

主動(dòng)貫標(biāo)，就是主動(dòng)宣傳貫徹相關(guān)標(biāo)準(zhǔn)。按照貫徹的標(biāo)準(zhǔn)實(shí)施一般可獲得最佳秩序并為可持續(xù)發(fā)展奠定基礎(chǔ)的標(biāo)準(zhǔn)，但實(shí)施標(biāo)準(zhǔn)往往會(huì)導(dǎo)致成本的增加，并可能在短期內(nèi)看不到明顯的效益。被動(dòng)貫標(biāo)，就是只要使用某種硬件或軟件，或應(yīng)用了某種框架，就需要知悉并遵循的標(biāo)準(zhǔn)，不遵循標(biāo)準(zhǔn)一般會(huì)導(dǎo)致工作無法繼續(xù)進(jìn)行，或不能獲得預(yù)期的結(jié)果。潛在貫標(biāo)，就是不必知悉標(biāo)準(zhǔn)的內(nèi)容，甚至不必知悉標(biāo)準(zhǔn)的存在，只要使用了某種硬件、軟件，就肯定會(huì)實(shí)施標(biāo)準(zhǔn)，且不實(shí)施或錯(cuò)誤實(shí)施將會(huì)得到警告乃至不能完成預(yù)期目標(biāo)的標(biāo)準(zhǔn)。

將企業(yè)標(biāo)準(zhǔn)體系集成到相關(guān)工作中是一個(gè)動(dòng)態(tài)的迭代過程，要根據(jù)金融機(jī)構(gòu)的需求和文化進(jìn)行定制。標(biāo)準(zhǔn)化應(yīng)該能夠成為企業(yè)宗旨、治理、領(lǐng)導(dǎo)和承諾、戰(zhàn)略、目標(biāo)和運(yùn)營的有機(jī)組成部分，而不是一項(xiàng)邊界清晰的獨(dú)立工作，否則，很難擺脫邊緣化的局面。

3 設(shè)計(jì)

標(biāo)準(zhǔn)體系融入企業(yè)的治理與管理要經(jīng)過精心設(shè)計(jì)。

標(biāo)準(zhǔn)體系融入治理與管理，有著多種實(shí)現(xiàn)的途徑。在標(biāo)準(zhǔn)化的理念深入人心后，確實(shí)可能成為一個(gè)基礎(chǔ)資源，為治理和管理的各個(gè)方面所主動(dòng)調(diào)用。但是在這樣的文化和慣例形成前，標(biāo)準(zhǔn)化工作者必須精心做好設(shè)計(jì)工作，才能有效推進(jìn)標(biāo)準(zhǔn)化工作。

3.1 剖析組織及其環(huán)境

在設(shè)計(jì)企業(yè)標(biāo)準(zhǔn)化的管理框架時(shí)，要分析金融機(jī)構(gòu)的外部和內(nèi)部環(huán)境。

對于外部環(huán)境，一是要考慮社會(huì)、文化、政治、法律、監(jiān)管、金融、技術(shù)、經(jīng)濟(jì)和環(huán)境因素，無論是國際、國家、區(qū)域還是地方因素;二是要考慮影響本機(jī)構(gòu)目標(biāo)的關(guān)鍵驅(qū)動(dòng)因素和趨勢;三是要考慮外部利益相關(guān)方的關(guān)系、觀念、價(jià)值觀、需求和期望;四是要考慮合同關(guān)系和承諾;五是要考慮相關(guān)標(biāo)準(zhǔn)被動(dòng)貫標(biāo)的情況。按照黨和國家制定“十四五”規(guī)劃的要求，標(biāo)準(zhǔn)化工作得到了前所未有的重視，為標(biāo)準(zhǔn)化工作的發(fā)展奠定了極好的外部環(huán)境。

對于內(nèi)部環(huán)境，一是要考慮本金融機(jī)構(gòu)的愿景、使命和價(jià)值觀;二是要考慮治理、組織結(jié)構(gòu)、角色和責(zé)任制;三是要考慮戰(zhàn)略、目標(biāo)和政策;四是要考慮企業(yè)文化 ;五是要考慮在資源和知識(shí)（例如資本、時(shí)間、人員、知識(shí)產(chǎn)權(quán)、過程、系統(tǒng)和技術(shù)）方面具有的最大能力;六是要考慮數(shù)據(jù)、信息系統(tǒng)和信息流;七是要考慮涉及的部門和人員對標(biāo)準(zhǔn)化工作的真實(shí)看法和標(biāo)準(zhǔn)化工作給他們帶來的實(shí)際影響;八是要考慮合同關(guān)系和承諾。

這些內(nèi)外部的環(huán)境，往往形成了標(biāo)準(zhǔn)化工作的約束，約束是不能打破和違背的，能夠調(diào)整的只能是工作的原則和策略，否則，一定會(huì)導(dǎo)致工作的被動(dòng)。

3.2 闡明標(biāo)準(zhǔn)化管理承諾

金融機(jī)構(gòu)應(yīng)通過明確傳達(dá)組織目標(biāo)和標(biāo)準(zhǔn)化管理承諾的決議、意見或其他形式，表明并明確表示其對企業(yè)標(biāo)準(zhǔn)化管理的持續(xù)承諾。這些承諾可以在年度工作會(huì)議上和專題工作會(huì)議上、領(lǐng)導(dǎo)講話中對企業(yè)標(biāo)準(zhǔn)化提出總體要求或與相關(guān)業(yè)務(wù)關(guān)系的要求。這些承諾涉及：一是機(jī)構(gòu)內(nèi)管理企業(yè)標(biāo)準(zhǔn)體系的目的以及與目標(biāo)和其他政策的關(guān)聯(lián);二是將企業(yè)標(biāo)準(zhǔn)體系管理納入本機(jī)構(gòu)整體文化的需求;三是要求將企業(yè)標(biāo)準(zhǔn)體系管理整合到核心業(yè)務(wù)活動(dòng)和決策中的要求;四是明確授權(quán)，建立有效的問責(zé)制;五是提供必要的資源，這將在下面詳細(xì)進(jìn)行分析;六是明確處理管理模式?jīng)_突的方式，這是極為重要的，在發(fā)生沖突時(shí)，實(shí)際上往往不能按照標(biāo)準(zhǔn)執(zhí)行，此時(shí)如果生搬硬套標(biāo)準(zhǔn)的要求，往往適得其反;七是將其納入機(jī)構(gòu)的績效考核指標(biāo);八是如何進(jìn)行評審和改進(jìn)。

3.3 分配組織角色并明確責(zé)權(quán)利

在金融機(jī)構(gòu)內(nèi)部，標(biāo)準(zhǔn)化工作最好做到層層有人負(fù)責(zé)，每個(gè)層面的人員的責(zé)任與義務(wù)并不一樣，但是應(yīng)負(fù)有的責(zé)任應(yīng)使得每個(gè)相關(guān)人員知悉。

3.4 分配資源

標(biāo)準(zhǔn)化工作所需要的資源，隨著標(biāo)準(zhǔn)制修訂和實(shí)施的過程和標(biāo)準(zhǔn)內(nèi)容的不同而異。一是包括人員、技能、經(jīng)驗(yàn)和能力，尤其是適宜的人員，與軟件開發(fā)類似，往往不能簡單用人月來衡量，其中，給從事標(biāo)準(zhǔn)化工作的相關(guān)人員以充分的時(shí)間也是重要的資源;二是與標(biāo)準(zhǔn)相關(guān)的內(nèi)部流程和方法，這可能是最難以獲得的資源，但如果這個(gè)資源得不到保證，則制定的標(biāo)準(zhǔn)不能符合企業(yè)內(nèi)部的實(shí)際情況，實(shí)施的標(biāo)準(zhǔn)不能落實(shí)到工作中;三是標(biāo)準(zhǔn)文件化的過程和程序，尤其是協(xié)商一致的過程;四是信息和知識(shí)管理系統(tǒng)，以確保標(biāo)準(zhǔn)的體系性和協(xié)調(diào)性;五是專業(yè)發(fā)展和培訓(xùn)需求，有些時(shí)候，僅僅走出去的短期培訓(xùn)是不夠的，還需要請進(jìn)來，通過標(biāo)準(zhǔn)的制定與宣貫，在實(shí)踐中培養(yǎng)人員。

3.5 建立有效溝通機(jī)制

標(biāo)準(zhǔn)化工作在金融機(jī)構(gòu)內(nèi)的開展，經(jīng)過批準(zhǔn)的有效溝通機(jī)制是必備的保障。一方面，交流涉及與各相關(guān)部門和人員共享信息;另一方面，協(xié)商還涉及參與者積極提供反饋，期望該反饋將有助于并影響決策或其他活動(dòng)。交流和協(xié)商宜及時(shí)進(jìn)行，并確保適當(dāng)?shù)厥占?、整理、綜合和共享相關(guān)信息，提供反饋并進(jìn)行改進(jìn)。

在這方面，用好標(biāo)準(zhǔn)工程師機(jī)制[3]，將一方面解決將標(biāo)準(zhǔn)化工作融入金融機(jī)構(gòu)慣常的部門間信息傳遞機(jī)制，一方面又能夠避免將無關(guān)的信息頻繁發(fā)送到所有部門引起的疲勞。

4 組織

標(biāo)準(zhǔn)體系的實(shí)施需要精心地組織。

在金融機(jī)構(gòu)的標(biāo)準(zhǔn)體系框架制定后，應(yīng)精心組織實(shí)施。一是制定適當(dāng)?shù)挠?jì)劃，包括時(shí)間和資源;二是確定在標(biāo)準(zhǔn)實(shí)施范圍內(nèi)，在何時(shí)、何地以及如何做出不同類型的決策，以及由誰做出;三是必要時(shí)修改適用的決策過程。

成功實(shí)施框架需要各相關(guān)部門和人員的主動(dòng)性與參與。這才能使標(biāo)準(zhǔn)在實(shí)施的范圍內(nèi)能夠?qū)χ卫砗凸芾砉ぷ髦猩婕暗墓ぷ鲗ο?、工作對象的特征以及工作對象之間的關(guān)聯(lián)建立完整的視圖。恰當(dāng)設(shè)計(jì)和實(shí)施的企業(yè)標(biāo)準(zhǔn)體系框架將確保企業(yè)標(biāo)準(zhǔn)化管理過程是標(biāo)準(zhǔn)實(shí)施范圍內(nèi)所有活動(dòng)（包括決策）的一部分，且內(nèi)部和外部環(huán)境的變化都將得到充分體現(xiàn)。

5 評估

標(biāo)準(zhǔn)體系實(shí)施的效果應(yīng)進(jìn)行有效性評估。

為了評估企業(yè)標(biāo)準(zhǔn)體系管理框架的有效性，應(yīng)定期根據(jù)其目的、實(shí)施計(jì)劃、指標(biāo)和預(yù)期行為來衡量企業(yè)技術(shù)標(biāo)準(zhǔn)管理框架的績效;并確定標(biāo)準(zhǔn)體系中的標(biāo)準(zhǔn)文件是否仍然適合支持實(shí)現(xiàn)金融機(jī)構(gòu)的目標(biāo)。

6 改進(jìn)

在標(biāo)準(zhǔn)體系投入運(yùn)行后，應(yīng)持續(xù)監(jiān)控和微調(diào)企業(yè)標(biāo)準(zhǔn)體系管理框架，以應(yīng)對外部和內(nèi)部的變化，并及時(shí)進(jìn)行必要的微調(diào)。同時(shí)，應(yīng)定期按照PDCA的方法論，持續(xù)改進(jìn)企業(yè)標(biāo)準(zhǔn)體系的適宜性、充分性和有效性，以及企業(yè)標(biāo)準(zhǔn)體系集成到企業(yè)治理和管理的方式。

企業(yè)標(biāo)準(zhǔn)體系的制定和實(shí)施不僅不能一蹴而就，也不可能一勞永逸。只有持續(xù)地對保持標(biāo)準(zhǔn)體系及其中所包括的標(biāo)準(zhǔn)文件與時(shí)俱進(jìn)，能夠切實(shí)滿足金融機(jī)構(gòu)治理和管理的目標(biāo)，才有可能使得標(biāo)準(zhǔn)體系能夠從點(diǎn)到面，逐步徹底融入企業(yè)的治理和管理中，真正發(fā)揮標(biāo)準(zhǔn)的作用。

參考文獻(xiàn)

[1] Risk management — Guidelines：ISO 31000：2018.

[2] Principles and rules for the structure and drafting of ISO and IEC documents：ISO/IEC Directives， Part 2.

[3] 銀行業(yè)金融機(jī)構(gòu)企業(yè)標(biāo)準(zhǔn)體系建設(shè)指南：T/CBA 206—2020.