李寬 謝宗曉

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003 年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發(fā)表論文160 多篇，出版專著20 多本。

信息安全管理系列之六十九

如何讓標準在企業(yè)的治理和管理中起到引領作用，是目前標準化領域的研究熱點，也是存在的難題。本文以金融企業(yè)標準為例，將標準體系融合進入企業(yè)治理和管理的框架分為集成、設計、實施、評估和改進的子過程，并分別進行了討論。

謝宗曉（特約編輯）

摘要：按照集成、設計、實施、評估和改進的框架，討論了如何在企業(yè)治理和管理中更好地發(fā)揮標準的作用。

關鍵詞：標準引領 企業(yè)治理 企業(yè)管理

Discussion on the Key Factors that Play the Role of Standard in Enterprise Governance and Management

Li Kuan （Agricultural Bank of China）

Xie Zongxiao （China Financial Certification Authority）

Abstract： According to the framework of integration， design， implementation， evaluation and improvement， this paper discusses how to play the better role of standards in enterprise governance and management.

Key words：? standard leading role， enterprise governance， enterprise management

0 引言

標準是企業(yè)治理與管理的重要工具，已經是各行各業(yè)的普遍共識。而如何讓標準在治理和管理中發(fā)揮引領作用，各個單位都在積極探索。實際上，金融標準，尤其是整個標準體系，其有效性取決于其融合到本文件實施者治理和管理中的程度，尤其是要得到各級人員的支持，特別是來自最高管理層的支持。

如何將風險管理融入企業(yè)的治理與管理，實際上是將金融標準融入企業(yè)治理與管理的一個重要的子領域，目前已經歸納了一套行之有效的方法[1]，而管理體系的標準具有強烈的相關性[2]，我們將這個方法擴大到整個金融企業(yè)標準化的范疇，可以得到金融企業(yè)標準體系融合進入企業(yè)治理和管理的框架，見圖1。

1 領導和承諾

領導支持與承諾是標準化工作能夠開展的基礎和核心。

企業(yè)的決策層、最高管理層和監(jiān)督機構應將企業(yè)標準體系中的文件列為各種活動的依據之一?？蓚鲗н@樣的意愿的方式包括：一是在決議、工作規(guī)劃、規(guī)章制度和相關規(guī)范性文件中，明確了企業(yè)標準體系地位、作用、發(fā)展目標和管理方法;二是為企業(yè)標準化工作分配了必要的資源;三是建立了完成企業(yè)標準化工作的責任制。這樣，才能使得企業(yè)標準化管理與其目標、策略和文化保持一致;使優(yōu)質高效完成企業(yè)標準化工作成為崗位職責和崗位考核的一部分。

同時，尤其是在企業(yè)標準體系建立的初期，要明確企業(yè)標準不適用的情況，并通過寫入規(guī)章制度、寫入會議紀要、寫入工作意見或領導明確批示等方式，明確不適用的時間、范圍。

對企業(yè)標準文件執(zhí)行的狀況要建立必要的檢查監(jiān)督機制，哪怕在初期檢查監(jiān)督的結果并不與績效直接掛鉤，也應掌握標準文件是否適用以及不能適用的原因。

2 集成

將標準文件集成到各項工作中是標準發(fā)揮作用的精髓和保障。

標準發(fā)揮作用，必須在工作流程和對工作成果的相關管理環(huán)節(jié)發(fā)揮作用，而這一作用只能通過將標準體系中的標準文件集成到各項工作中來實現。集成必須符合治理架構和環(huán)境，符合企業(yè)文化和工作慣例，在理想情況下，將納入標準體系中的主動貫標和被動貫標[3]變成工作環(huán)節(jié)中相關人的潛在貫標。

主動貫標，就是主動宣傳貫徹相關標準。按照貫徹的標準實施一般可獲得最佳秩序并為可持續(xù)發(fā)展奠定基礎的標準，但實施標準往往會導致成本的增加，并可能在短期內看不到明顯的效益。被動貫標，就是只要使用某種硬件或軟件，或應用了某種框架，就需要知悉并遵循的標準，不遵循標準一般會導致工作無法繼續(xù)進行，或不能獲得預期的結果。潛在貫標，就是不必知悉標準的內容，甚至不必知悉標準的存在，只要使用了某種硬件、軟件，就肯定會實施標準，且不實施或錯誤實施將會得到警告乃至不能完成預期目標的標準。

將企業(yè)標準體系集成到相關工作中是一個動態(tài)的迭代過程，要根據金融機構的需求和文化進行定制。標準化應該能夠成為企業(yè)宗旨、治理、領導和承諾、戰(zhàn)略、目標和運營的有機組成部分，而不是一項邊界清晰的獨立工作，否則，很難擺脫邊緣化的局面。

3 設計

標準體系融入企業(yè)的治理與管理要經過精心設計。

標準體系融入治理與管理，有著多種實現的途徑。在標準化的理念深入人心后，確實可能成為一個基礎資源，為治理和管理的各個方面所主動調用。但是在這樣的文化和慣例形成前，標準化工作者必須精心做好設計工作，才能有效推進標準化工作。

3.1 剖析組織及其環(huán)境

在設計企業(yè)標準化的管理框架時，要分析金融機構的外部和內部環(huán)境。

對于外部環(huán)境，一是要考慮社會、文化、政治、法律、監(jiān)管、金融、技術、經濟和環(huán)境因素，無論是國際、國家、區(qū)域還是地方因素;二是要考慮影響本機構目標的關鍵驅動因素和趨勢;三是要考慮外部利益相關方的關系、觀念、價值觀、需求和期望;四是要考慮合同關系和承諾;五是要考慮相關標準被動貫標的情況。按照黨和國家制定“十四五”規(guī)劃的要求，標準化工作得到了前所未有的重視，為標準化工作的發(fā)展奠定了極好的外部環(huán)境。

對于內部環(huán)境，一是要考慮本金融機構的愿景、使命和價值觀;二是要考慮治理、組織結構、角色和責任制;三是要考慮戰(zhàn)略、目標和政策;四是要考慮企業(yè)文化 ;五是要考慮在資源和知識（例如資本、時間、人員、知識產權、過程、系統和技術）方面具有的最大能力;六是要考慮數據、信息系統和信息流;七是要考慮涉及的部門和人員對標準化工作的真實看法和標準化工作給他們帶來的實際影響;八是要考慮合同關系和承諾。

這些內外部的環(huán)境，往往形成了標準化工作的約束，約束是不能打破和違背的，能夠調整的只能是工作的原則和策略，否則，一定會導致工作的被動。

3.2 闡明標準化管理承諾

金融機構應通過明確傳達組織目標和標準化管理承諾的決議、意見或其他形式，表明并明確表示其對企業(yè)標準化管理的持續(xù)承諾。這些承諾可以在年度工作會議上和專題工作會議上、領導講話中對企業(yè)標準化提出總體要求或與相關業(yè)務關系的要求。這些承諾涉及：一是機構內管理企業(yè)標準體系的目的以及與目標和其他政策的關聯;二是將企業(yè)標準體系管理納入本機構整體文化的需求;三是要求將企業(yè)標準體系管理整合到核心業(yè)務活動和決策中的要求;四是明確授權，建立有效的問責制;五是提供必要的資源，這將在下面詳細進行分析;六是明確處理管理模式沖突的方式，這是極為重要的，在發(fā)生沖突時，實際上往往不能按照標準執(zhí)行，此時如果生搬硬套標準的要求，往往適得其反;七是將其納入機構的績效考核指標;八是如何進行評審和改進。

3.3 分配組織角色并明確責權利

在金融機構內部，標準化工作最好做到層層有人負責，每個層面的人員的責任與義務并不一樣，但是應負有的責任應使得每個相關人員知悉。

3.4 分配資源

標準化工作所需要的資源，隨著標準制修訂和實施的過程和標準內容的不同而異。一是包括人員、技能、經驗和能力，尤其是適宜的人員，與軟件開發(fā)類似，往往不能簡單用人月來衡量，其中，給從事標準化工作的相關人員以充分的時間也是重要的資源;二是與標準相關的內部流程和方法，這可能是最難以獲得的資源，但如果這個資源得不到保證，則制定的標準不能符合企業(yè)內部的實際情況，實施的標準不能落實到工作中;三是標準文件化的過程和程序，尤其是協商一致的過程;四是信息和知識管理系統，以確保標準的體系性和協調性;五是專業(yè)發(fā)展和培訓需求，有些時候，僅僅走出去的短期培訓是不夠的，還需要請進來，通過標準的制定與宣貫，在實踐中培養(yǎng)人員。

3.5 建立有效溝通機制

標準化工作在金融機構內的開展，經過批準的有效溝通機制是必備的保障。一方面，交流涉及與各相關部門和人員共享信息;另一方面，協商還涉及參與者積極提供反饋，期望該反饋將有助于并影響決策或其他活動。交流和協商宜及時進行，并確保適當地收集、整理、綜合和共享相關信息，提供反饋并進行改進。

在這方面，用好標準工程師機制[3]，將一方面解決將標準化工作融入金融機構慣常的部門間信息傳遞機制，一方面又能夠避免將無關的信息頻繁發(fā)送到所有部門引起的疲勞。

4 組織

標準體系的實施需要精心地組織。

在金融機構的標準體系框架制定后，應精心組織實施。一是制定適當的計劃，包括時間和資源;二是確定在標準實施范圍內，在何時、何地以及如何做出不同類型的決策，以及由誰做出;三是必要時修改適用的決策過程。

成功實施框架需要各相關部門和人員的主動性與參與。這才能使標準在實施的范圍內能夠對治理和管理工作中涉及的工作對象、工作對象的特征以及工作對象之間的關聯建立完整的視圖。恰當設計和實施的企業(yè)標準體系框架將確保企業(yè)標準化管理過程是標準實施范圍內所有活動（包括決策）的一部分，且內部和外部環(huán)境的變化都將得到充分體現。

5 評估

標準體系實施的效果應進行有效性評估。

為了評估企業(yè)標準體系管理框架的有效性，應定期根據其目的、實施計劃、指標和預期行為來衡量企業(yè)技術標準管理框架的績效;并確定標準體系中的標準文件是否仍然適合支持實現金融機構的目標。

6 改進

在標準體系投入運行后，應持續(xù)監(jiān)控和微調企業(yè)標準體系管理框架，以應對外部和內部的變化，并及時進行必要的微調。同時，應定期按照PDCA的方法論，持續(xù)改進企業(yè)標準體系的適宜性、充分性和有效性，以及企業(yè)標準體系集成到企業(yè)治理和管理的方式。

企業(yè)標準體系的制定和實施不僅不能一蹴而就，也不可能一勞永逸。只有持續(xù)地對保持標準體系及其中所包括的標準文件與時俱進，能夠切實滿足金融機構治理和管理的目標，才有可能使得標準體系能夠從點到面，逐步徹底融入企業(yè)的治理和管理中，真正發(fā)揮標準的作用。

參考文獻

[1] Risk management — Guidelines：ISO 31000：2018.

[2] Principles and rules for the structure and drafting of ISO and IEC documents：ISO/IEC Directives， Part 2.

[3] 銀行業(yè)金融機構企業(yè)標準體系建設指南：T/CBA 206—2020.