李宽 谢宗晓

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003 年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文160 多篇，出版专著20 多本。

信息安全管理系列之六十九

如何让标准在企业的治理和管理中起到引领作用，是目前标准化领域的研究热点，也是存在的难题。本文以金融企业标准为例，将标准体系融合进入企业治理和管理的框架分为集成、设计、实施、评估和改进的子过程，并分别进行了讨论。

谢宗晓（特约编辑）

摘要：按照集成、设计、实施、评估和改进的框架，讨论了如何在企业治理和管理中更好地发挥标准的作用。

关键词：标准引领 企业治理 企业管理

Discussion on the Key Factors that Play the Role of Standard in Enterprise Governance and Management

Li Kuan （Agricultural Bank of China）

Xie Zongxiao （China Financial Certification Authority）

Abstract： According to the framework of integration， design， implementation， evaluation and improvement， this paper discusses how to play the better role of standards in enterprise governance and management.

Key words：  standard leading role， enterprise governance， enterprise management

0 引言

标准是企业治理与管理的重要工具，已经是各行各业的普遍共识。而如何让标准在治理和管理中发挥引领作用，各个单位都在積极探索。实际上，金融标准，尤其是整个标准体系，其有效性取决于其融合到本文件实施者治理和管理中的程度，尤其是要得到各级人员的支持，特别是来自最高管理层的支持。

如何将风险管理融入企业的治理与管理，实际上是将金融标准融入企业治理与管理的一个重要的子领域，目前已经归纳了一套行之有效的方法[1]，而管理体系的标准具有强烈的相关性[2]，我们将这个方法扩大到整个金融企业标准化的范畴，可以得到金融企业标准体系融合进入企业治理和管理的框架，见图1。

1 领导和承诺

领导支持与承诺是标准化工作能够开展的基础和核心。

企业的决策层、最高管理层和监督机构应将企业标准体系中的文件列为各种活动的依据之一。可传导这样的意愿的方式包括：一是在决议、工作规划、规章制度和相关规范性文件中，明确了企业标准体系地位、作用、发展目标和管理方法;二是为企业标准化工作分配了必要的资源;三是建立了完成企业标准化工作的责任制。这样，才能使得企业标准化管理与其目标、策略和文化保持一致;使优质高效完成企业标准化工作成为岗位职责和岗位考核的一部分。

同时，尤其是在企业标准体系建立的初期，要明确企业标准不适用的情况，并通过写入规章制度、写入会议纪要、写入工作意见或领导明确批示等方式，明确不适用的时间、范围。

对企业标准文件执行的状况要建立必要的检查监督机制，哪怕在初期检查监督的结果并不与绩效直接挂钩，也应掌握标准文件是否适用以及不能适用的原因。

2 集成

将标准文件集成到各项工作中是标准发挥作用的精髓和保障。

标准发挥作用，必须在工作流程和对工作成果的相关管理环节发挥作用，而这一作用只能通过将标准体系中的标准文件集成到各项工作中来实现。集成必须符合治理架构和环境，符合企业文化和工作惯例，在理想情况下，将纳入标准体系中的主动贯标和被动贯标[3]变成工作环节中相关人的潜在贯标。

主动贯标，就是主动宣传贯彻相关标准。按照贯彻的标准实施一般可获得最佳秩序并为可持续发展奠定基础的标准，但实施标准往往会导致成本的增加，并可能在短期内看不到明显的效益。被动贯标，就是只要使用某种硬件或软件，或应用了某种框架，就需要知悉并遵循的标准，不遵循标准一般会导致工作无法继续进行，或不能获得预期的结果。潜在贯标，就是不必知悉标准的内容，甚至不必知悉标准的存在，只要使用了某种硬件、软件，就肯定会实施标准，且不实施或错误实施将会得到警告乃至不能完成预期目标的标准。

将企业标准体系集成到相关工作中是一个动态的迭代过程，要根据金融机构的需求和文化进行定制。标准化应该能够成为企业宗旨、治理、领导和承诺、战略、目标和运营的有机组成部分，而不是一项边界清晰的独立工作，否则，很难摆脱边缘化的局面。

3 设计

标准体系融入企业的治理与管理要经过精心设计。

标准体系融入治理与管理，有着多种实现的途径。在标准化的理念深入人心后，确实可能成为一个基础资源，为治理和管理的各个方面所主动调用。但是在这样的文化和惯例形成前，标准化工作者必须精心做好设计工作，才能有效推进标准化工作。

3.1 剖析组织及其环境

在设计企业标准化的管理框架时，要分析金融机构的外部和内部环境。

对于外部环境，一是要考虑社会、文化、政治、法律、监管、金融、技术、经济和环境因素，无论是国际、国家、区域还是地方因素;二是要考虑影响本机构目标的关键驱动因素和趋势;三是要考虑外部利益相关方的关系、观念、价值观、需求和期望;四是要考虑合同关系和承诺;五是要考虑相关标准被动贯标的情况。按照党和国家制定“十四五”规划的要求，标准化工作得到了前所未有的重视，为标准化工作的发展奠定了极好的外部环境。

对于内部环境，一是要考虑本金融机构的愿景、使命和价值观;二是要考虑治理、组织结构、角色和责任制;三是要考虑战略、目标和政策;四是要考虑企业文化 ;五是要考虑在资源和知识（例如资本、时间、人员、知识产权、过程、系统和技术）方面具有的最大能力;六是要考虑数据、信息系统和信息流;七是要考虑涉及的部门和人员对标准化工作的真实看法和标准化工作给他们带来的实际影响;八是要考虑合同关系和承诺。

这些内外部的环境，往往形成了标准化工作的约束，约束是不能打破和违背的，能够调整的只能是工作的原则和策略，否则，一定会导致工作的被动。

3.2 阐明标准化管理承诺

金融机构应通过明确传达组织目标和标准化管理承诺的决议、意见或其他形式，表明并明确表示其对企业标准化管理的持续承诺。这些承诺可以在年度工作会议上和专题工作会议上、领导讲话中对企业标准化提出总体要求或与相关业务关系的要求。这些承诺涉及：一是机构内管理企业标准体系的目的以及与目标和其他政策的关联;二是将企业标准体系管理纳入本机构整体文化的需求;三是要求将企业标准体系管理整合到核心业务活动和决策中的要求;四是明确授权，建立有效的问责制;五是提供必要的资源，这将在下面详细进行分析;六是明确处理管理模式冲突的方式，这是极为重要的，在发生冲突时，实际上往往不能按照标准执行，此时如果生搬硬套标准的要求，往往适得其反;七是将其纳入机构的绩效考核指标;八是如何进行评审和改进。

3.3 分配组织角色并明确责权利

在金融机构内部，标准化工作最好做到层层有人负责，每个层面的人员的责任与义务并不一样，但是应负有的责任应使得每个相关人员知悉。

3.4 分配资源

标准化工作所需要的资源，随着标准制修订和实施的过程和标准内容的不同而异。一是包括人员、技能、经验和能力，尤其是适宜的人员，与软件开发类似，往往不能简单用人月来衡量，其中，给从事标准化工作的相关人员以充分的时间也是重要的资源;二是与标准相关的内部流程和方法，这可能是最难以获得的资源，但如果这个资源得不到保证，则制定的标准不能符合企业内部的实际情况，实施的标准不能落实到工作中;三是标准文件化的过程和程序，尤其是协商一致的过程;四是信息和知识管理系统，以确保标准的体系性和协调性;五是专业发展和培训需求，有些时候，仅仅走出去的短期培训是不够的，还需要请进来，通过标准的制定与宣贯，在实践中培养人员。

3.5 建立有效沟通机制

标准化工作在金融机构内的开展，经过批准的有效沟通机制是必备的保障。一方面，交流涉及与各相关部门和人员共享信息;另一方面，协商还涉及参与者积极提供反馈，期望该反馈将有助于并影响决策或其他活动。交流和协商宜及时进行，并确保适当地收集、整理、综合和共享相关信息，提供反馈并进行改进。

在这方面，用好标准工程师机制[3]，将一方面解决将标准化工作融入金融机构惯常的部门间信息传递机制，一方面又能够避免将无关的信息频繁发送到所有部门引起的疲劳。

4 组织

标准体系的实施需要精心地组织。

在金融机构的标准体系框架制定后，应精心组织实施。一是制定适当的计划，包括时间和资源;二是确定在标准实施范围内，在何时、何地以及如何做出不同类型的决策，以及由谁做出;三是必要时修改适用的决策过程。

成功实施框架需要各相关部门和人员的主动性与参与。这才能使标准在实施的范围内能够对治理和管理工作中涉及的工作对象、工作对象的特征以及工作对象之间的关联建立完整的视图。恰当设计和实施的企业标准体系框架将确保企业标准化管理过程是标准实施范围内所有活动（包括决策）的一部分，且内部和外部环境的变化都将得到充分体现。

5 评估

标准体系实施的效果应进行有效性评估。

为了评估企业标准体系管理框架的有效性，应定期根据其目的、实施计划、指标和预期行为来衡量企业技术标准管理框架的绩效;并确定标准体系中的标准文件是否仍然适合支持实现金融机构的目标。

6 改进

在标准体系投入运行后，应持续监控和微调企业标准体系管理框架，以应对外部和内部的变化，并及时进行必要的微调。同時，应定期按照PDCA的方法论，持续改进企业标准体系的适宜性、充分性和有效性，以及企业标准体系集成到企业治理和管理的方式。

企业标准体系的制定和实施不仅不能一蹴而就，也不可能一劳永逸。只有持续地对保持标准体系及其中所包括的标准文件与时俱进，能够切实满足金融机构治理和管理的目标，才有可能使得标准体系能够从点到面，逐步彻底融入企业的治理和管理中，真正发挥标准的作用。

参考文献

[1] Risk management — Guidelines：ISO 31000：2018.

[2] Principles and rules for the structure and drafting of ISO and IEC documents：ISO/IEC Directives， Part 2.

[3] 银行业金融机构企业标准体系建设指南：T/CBA 206—2020.