ISACA Journal | 信息系统审计实践:文化审计
最合适的工作、最合适的候选人、企业道德准则和企业使命都是我们在看待职业或招聘空缺职位时用来对文化进行分类的流行语。个人一旦进入组织或新团队后就会得到诸如团队合作者、领导素质、高绩效或可指导性等评价。文化一直是一个组织的重要组成部分,它决定或破坏组织的有效性。事实上,文化是决定声誉风险和客户风险的关键评估点。员工和客户都倾向于选择符合他们对成功、诚信和可靠性看法的组织。
文化已经被评估了几十年。一直被认为是组织行为的软艺术之一,文化往往是所有企业变革活动中最具影响力的。在咨询方面,文化评估一直是最受欢迎的活动,是与客户高管建立联系和发展高级领导关系的机会,也是提出可以解决企业绩效问题的变革的机会。但最终建议的遵循程度如何?与具有规定审计发现和补救期限的监管要求不同,文化让人感觉无法量化、是非技术性的且容易被归咎于无数组织弊病。有没有办法让风险管理和审计专业人士通过软性的、不可量化的信息来产生可操作的建议?在没有更传统审计的监管推力的情况下,如何鼓励企业遵循建议?当参与的人可能已经在要求进行的人的脑海中得出了预定的结论时,如何促进进展?作为这些问题的背景,虚构的故事可以绘制有关风险评估和文化审计方法的场景以供考虑。
Jenny Patel作为业务技术运营 (tech-ops) 团队的一员,在Fabfarma工作了近 20 年。这些年来,她看到了业务运营模式的巨大变化,就像她看到为她的业务团队管理的技术一样。对制造成功药品的关注与以往一样强烈,但产品下线的方式发生了重大变化。系统正常运行时间至关重要,特别是对于时间敏感的药物组合,如果发生中断并且生产线停机时间超过允许的时间,这些药物组合将会以数万欧元的成本被淘汰。竞争是影响 Jenny 部门的另一个日益增长的因素,它始终将工厂推向 Jenny 认为最前沿的技术,以便在其他公司提交并确立市场领导地位之前尽快通过管道进行临床试验。监管一直存在,但最近的公共隐私问题引发了对数据收集、保留和检索的新要求,这让业务技术运营团队承担了额外任务。即便如此,珍妮觉得这些举措进展顺利。她一直是一个亲力亲为的团队成员,喜欢参与重要的工作。当系统或应用程序出现故障时,她是第一批介入并帮助团队重新上线的经理之一。直到危机已经结束,业务开始运转,感觉很好。
工作繁忙但感觉尽在掌握之中,当David Dwightfelt接替即将退休的首席信息官 (CIO) 时,珍妮大吃一惊,更令她惊讶的是,一位新的高层管理人员会影响到她在中层管理部门的工作。这始于一条简洁的员工公告,通知 IT 组织有关“转型”的信息。起初,珍妮觉得很安全。毕竟,她不是核心 IT,而是直接与业务部门合作,在现场工作,使他们从总部获得的技术发挥作用。然后她收到助理副总裁 (AVP) 的通知,称业务技术运营将进行重组,她以及她的同事和员工将不得不重新申请他们的职位。有人告诉她,可能会有裁员,因此在接下来的两周内竞标工作时,她应该仔细考虑自己的职位和其他潜在职位。
业务技术运营团队听到了猖獗的谣言。是什么导致了这一大规模变革的决定?一位经理表示,该公司曾抱怨 IT 反应不够快。另一位声称,股东大会促使退休的首席信息官更换为变革者。其他人反驳说这是因为市场, Fabfarma刚刚失去了有前途的制药企业的头把交椅,需要加速改变新兴技术的处理方式。David Dwightfelt也成为热门话题。他是从哪里来的?在他以前的组织中,IT 发生了什么?“Dive in and Destroy David”(也被称为“3D”)甚至来自技术背景吗?珍妮简直不敢相信,不知道接下来该怎么办。她是否应该在发现自己失业之前找一份新工作?还是应该留下来尝试学习如何使这项工作为她的职业生涯服务?她并不孤单。大多数商业技术运营团队都在努力弄清楚 3D 对他们的工作意味着什么。有很多猜测,但最大的变化来自新 CIO的上任。
图片来源于公共图片库
在聘用 Jenny Patel 的公司里,领导层的想法是什么?那些在制造车间里的人除了自我提供的信息外一无所知,这些信息会导致士气低落和加剧员工在变革开始时的不满情绪。公司是否打算制造这种戏剧性的颠覆?缺乏信息是进行组织文化转变的正确方法吗?
方法始终是文化评估和变革的关键。重要的是要了解组织试图解决什么问题,领导力寻求解决问题的速度,以及为什么关注特定问题的文化。了解变革的必要性和变革的欲望始于对以下问题的回答:
是否需要颠覆,包括技术颠覆?
是什么(如果有的话)市场竞争威胁促使了这一行动?
文化变化可能会解决消费者或客户态度的重大变化吗?
监管环境是否有变化,如果有,时间框架要求是什么?
董事会的态度变化是否促使提出评估要求?
组织的决策者在考虑文化风险评估/审计参与时可以而且应该提供答案。任何这些因素的问题都可能表明需要采取行动。然而,改变一个组织的文化不会很快发生,除非有什么戏剧性的态度改变并立即迫使新的行为发生。组织变革者必须对必须改变的内容有清晰的认识,变革者必须致力于执行可能不受欢迎且通常会在实现长期利益之前导致短期后果的变革。决策者不仅必须致力于出于特定的、商定的原因进行文化变革,而且决策者还必须确定如何进行变革以及谁应该领导变革。
Theo Andropolous带领他的网络销售团队穿越了国际销售领域的边缘,与美国的跨国客户合作了 15 年。政治和由此产生的法规,加上国内技术基础设施的考虑,总是让这项工作充满挑战,但Theo为挑战而生。每年,西奥都会尝试在美国以外站稳脚跟,但迄今为止,都没有真正产生重大影响。然而,商业状况正在发生变化,经济似乎正在走向无国界模式。Theo 的公司ConnectMe Global 决定采取大胆的举措,与一家欧洲新贵成立合资企业,并建立一个覆盖技术产品团队,以创建一种统一的文化,从而为ConnectMe Global 带来无处不在的知名度。从公司的角度来看,这个决定很快就做出了,决策基本上是在10 个月里定稿,但它不是轻易做出的。在早期,一个以其在全球文化评估方面的专业知识而闻名的咨询集团参与其中。这些顾问不仅是构思方面的专家,而且拥有成功的业绩记录。ConnectMe Global的决策者从风险评估开始,并确定现有基础的竞争风险并不可怕,但存在扩大竞争基础的巨大机会。
资本成本管理是一个重要的考虑因素,与顾问的虚拟会议触发了一项调查,该调查会发送给精心挑选的即将参与潜在合资计划的经理。并鼓励选定的经理将调查扩展到他们的员工。该调查概述了潜在的重组和合资伙伴关系,一旦确定该计划完成,该组织可能会解散。公司决策者和顾问团队都仔细研究并记录了“完整”在指标和最终市场份额状态方面的含义,并将摘要信息传递给调查对象。决策团队和接受调查的人都清楚调查的目标:拟议的重组和合作伙伴关系在现实世界中是否有效?被选中的团队会接受预计仅持续两年的倡议的挑战吗?
当调查请求出现在他的办公桌上时,西奥很兴奋。问题和目标很明确,他喜欢这样一个事实,即他的意见将有助于确定正式的行动方案。他也喜欢调查的开放基调。提议概述了范围并确定了两个倡议选项,允许提出修改计划或建议另一条路径。倡议还清楚地概述了所涉及的团队,并鼓励,并鼓励人们通过他们的调查回复进行思考。
为最初的里程碑制定了时间表,包括调查读数和决定日期。对其他里程碑的估计被列入提议的时间框架。Theo 很高兴接受调查,并准备参与其中,尽管这项大胆的任务中列出了挑战。
图片来源于公共图片库
这两个故事概述了非常不同的场景,组织将实施文化转变视为实现其目标的最佳方式。重要的是要了解为什么选择了如此不同的路径:
了解风险——作为公司内部人员甚至董事会成员,很难客观地看待文化转变或文化解决方案的好处。就雇用 Jenny Patel 的公司而言,高管们面临着过时的工厂技术以及他们和董事会认为对管理技术的过时态度。他们聘请了一个风险评估团队来确认或更正他们的观点,并接受了评估报告,即现有的 IT 文化需要彻底改革。由咨询团队主持的便利讨论测试了执行团队对可能需要长达 18 个月的颠覆性改革进行管理的意愿。
对于雇用 Theo 的公司而言,这一关键的风险看起来有所不同,在评估团队审查后,该公司的风险似乎很低。相反, ConnectMe Global 的评估指出,公司可以通过组织内已知的变革领导者团队提供财务支持的上行机会。由顾问为那些将参与的人构建的包容性和开放性调查确认了管理层的情绪,以继续前进。在这两种情况下,通过独立顾问小组的客观的外部参与,有助于确定风险。
这两个示例提供了有关如何启动更改的线索,包括:
选择最佳方法——风险评估一直持续到项目方法阶段。当前的员工会接受文化转变吗?新员工能否很好、足够快地同化以推动这一转变?对风险领域进行客观审查,并在可能的情况下进行客观调查以确认行动方案是关键。Jenny 的公司已通过聘请信誉良好的外部机构进行文化评估进行了尽职调查,虽然没有正式调查,但通过要求每个人都竞标的更积极的方式获得了员工反馈。这是一种不同但很有说服力的方式来收集员工对新职位的反应并衡量员工重新申请自己工作的意愿。Theo 的公司采用更具包容性的方法,其评估结论是当前团队可以成为公司正在考虑的计划的变革推动者。
部署团队掌握着关键——通过文化变革执行的计划受益于负责、问责、咨询和知情 (RACI) 框架,以保持与组织设想的新动态所必需的角色保持一致。RACI 促进问责制、包容性和跟进。戏剧性的文化变革可能需要一个类似于Triple D 的变革代理人——在变革期间聘请一名高管,执行计划并在计划结束后离开高管团队。当内部品牌熟悉度和独特的内部项目技能是该计划成功的关键属性时, 像ConnectMe Global这样的基层内部领导可能是合适的。
意识和沟通是必须的——即使是剧烈的文化变革也需要意识,以避免公司想要保留的团队成员的流失。剧烈的文化变革需要指导和沟通,而包容性文化转变则受益于信息和互动,这些互动利用集体投入来实现预期结果。
清晰的文档使任务步入正轨——在所有活动中,由程序和确认的执行承诺支持的清晰文档可在减少谣言的同时使计划步入正轨。决策必须明确,对受影响区域和人员的期望必须在简单明了的政策和程序材料中明确。
文化转变或文化发起的项目需要衡量标准——与系统和应用程序控制不同,文化计划不属于通过或失败的类别。必须创建能够提供客观反馈的指标,这些反馈可以转化为渐进式行动,而不是单个端点。内部和外部调查、生产力指标和带有反馈的损耗跟踪都是可以提供有关如何改进或接近最终目标的数据的指标示例。
何时以及如何监控——文化主导的举措,就像任何举措或项目一样,需要触发点来进行审查和决策评估。如果确定有必要,里程碑和时间表为重新评估和调整计划提供了良好的接触点。正如 Theo 和ConnectMe Global 所指出的,某些里程碑的时间框架可能要等到该计划开始之后才能评估,但估计仍然很重要。它们为监控团队提供了良好的控制点,以评估和确保里程碑是相关的,控制根据需要进行重新设计,并且它们对于负责任和负责任的团队和执行成员来说是现实的。
文化可能是评估和审计中最有趣和最有影响力的领域之一。它驱动了组织的性格,使组织能够与客户、股东和员工保持同步。尽管文化转变很难衡量,但分配目标和制定衡量成功的指标是可能的。作为与企业决策者的协作努力,为该计划制定最佳方法可确保以负责任的方式实施变革。跟踪适应组织在实施路径中所经历的里程碑可以识别沿途的成功。密切关注最终目标必须是首要任务。报告应经常传达给决策者,并应鼓励在整个组织受影响的领域进行适当的沟通,以确保转变以预期的结果进行。
ISACA Blog | 如何在内部审计部门内建立数据科学团队
编者注:本文出自ISACA Journal 2022年第5期。尾注略。文章内容仅代表作者本人观点。
作者:CINDY BAXTER | CISA, ITIL FOUNDATION,是 What's the Risk, LLC 的董事。她的实践侧重于网络安全、隐私和业务连续性/灾难恢复的综合风险控制和流程评估。
翻译:王刘东博(Franklin Wang)关注渗透测试,web安全,ISACA微信公众号特邀通讯员,任职于安永企业咨询有限公司。
校对:尹杭宇,CISM,PMP, ISACA微信公众号特邀通讯员。