【CIOAge.com报道】2007年8月30日，IBM在京举行了主题为“整合 治理 协作 创新”的IBM 2007 开发者高峰论坛，IBM与1000多名与会者分享了最前沿的软件开发理念——加强跨地域开发团队的协作、突出模块化在软件开发中的价值和将科学的治理观引入软件开发，同时发布了与这些理念相对应的一系列新产品和解决方案。CIOAge.com与51CTO.com共同对此次大会进行了全程网络视频直播并制作了专题页面 http://www.51cto.com/exp/830Rational/。
在当日下午的分论坛上，Rational北方区的技术负责人李纪华讲解了"如何用Rational工具帮助遵循规范"，以下是他的演讲实录。
这个“循规蹈矩”在我们中国传统里面略带贬义的词汇。当我们遵循某种规定或者法规的时候，首先很难彻底理解。因为这个国际规则就是这样，所以我们通常借用一个鲁迅的话就是拿来主义，我们首先先适应，先通过审查。我们第一步先要循规蹈矩，首先说让开发人员熟悉这个法律，那个代价都受不了，我们第一步要循规蹈矩，通过审查，通过规定。第二我们彻底消化它，结合自身的情况，做持续性的改进。因为一个法律的改进，需要一个很长的修订过程，但是不是一个完美的东西，但是是一个合理的东西。但是这个过程当中，哪些东西为我所用，我应该在哪个领域进行投入，当你坚持持续改进的话，最后达到一个量变到质变的过程，这也是给大家一个建议，特别是中国的企业的一个建议。所以今天的讲座里面会跟大家稍微比较概括全面的介绍一下遵规的所有的内涵及外延，结合Rational的方案做好这个工作。在座的企业里面有没有一个叫做Complicnce  Officer的职位，在座的企业的公司没有在国外上市、香港上市，作为一个现在的上市企业的话，现在特点在香港和美国上市的话，刚才我们反复提到的萨班斯法案，公司里面谁去监督、谁负责这个制度，现在有遵规、合规、还有循规，非常统一的。
我们看到这个遵规的一个概要。我们生存在一个法律的国家，我们国家的制度，到一些企业的处罚条例，内部的规章制度，非常广泛。我在准备题目的时候，特别关注了一些日常的生活的东西。这个东西大家可以看到，小心地滑的标识，我搜索了很多的法案，有很多这样的案例。在四川有一个餐馆小孩就摔死了，然后跟他们打官司。为什么很多餐馆说已经提醒过你了，地上滑，你摔倒了，我已经尽责任了。然后美国有一条法规，叫职业和健康安全的法律，运用这个法律里面的条文设立了这个东西。这是最早的他们的出处，这个在我们生活当中广泛使用了。我看了中国的法律，一个是消费者权益法，另外在我们《民法》里面有类似的描述，描述的原文，在公共场合提供商品和服务的时候，要保证消费者的健康安全，这是法律里面的条文，但是落实到生活当中很多的条例，大家如果感兴趣的话，大家回去查一下，几乎中国的省或者市，特别是市一级的有具体的消费者的条例，比法来的更具体，如果一旦出了官司，就要有很多的法律依据。这是我们日常生活的事情。对于我们软件开发现在可能更关键一些。
这是现在我们在经济全球化、一体化的情况下，我们面对的各种常见的法律。大家都知道这些是做什么的吗？非常多的法，现在大家看新闻，看到中国的玩具被人家拒绝了，要召回了，因为印证了他们的法律，或者一些全球化的WTO的法律，非常残酷的，因为经济全球化，必须有统一的标准约束彼此，这是我们的现实。那么我稍微跟踪了一下这些东西，发现这些都是干什么了，比如说萨班斯法案。还有Basel  II，跟个人的信息安全的观念。我们想到在网络银行上，如果个人的信息被窃取了，被传递了，是违法的。不是银行就是网站违法了，因为我的个人信息被窃取了，如果被检查机构检查到的话，说明这个银行或者网站违规了。换句话说，因为客户在你这里的安全性没有得到保证。如果是上市公司的话，这个问题还不小。这是现在法律的重要性，还有一些法律，是用于医疗卫生机构的，在国外的检查非常细致和严格。前一个阶段我们药监局的腐败问题，跟国外对比的话，我们有很大的距离。我们假药横行。我们现在的食品、医药仔细分析了一下，都是非常密切相关。现在对于比较热门的就是这个法律，是现在的上市公司的做检查的，其中的404号法案跟IT系统非常密切的，中国的公司在国外上市必须要通过审查的。所以说我们很多的大型企业里面，如果是上市公司的话，现在纷纷设立了这个部门，整天教育员工要符合这个规定那个规定，跟我们的软件开发结合在一起来看看。
什么是“遵规”无法是按照规章制度来办事情，按照约定来做事情。我们还有一个关于IT治理和遵规实际上有着千丝万缕的关系，实际上从企业治理过来的，现在发现IT越来越乱了，遗留的系统非常多，开发工具也是五花八门的，开发系统整个的需求也在变，然后资产经过几十年的积累，IT的资产越来越多，能不能治理一个企业一样来治理IT，出现了IT治理，它的内涵无非是建立一系列的职权、流程的一个全面的框架，可以让人更好地在IT系统整个大的流程里面发挥它的作用。就是把IT都搞得井井有条。但是和这个法规什么关系呢，实际上法律建立了很多的度量指标，你IT做得好不好，你说做得好与不好，有一个标尺来衡量它，这个标准来说，我们IT普遍采用很多的标准，比如说CMMI，或者还有Six  Sigma，还有很多IT方面的标杆、标尺，你是否满足了，你是否做到了，你用的哪种方法达到什么层次，也是衡量你治理级别的一个标杆。所以说是相辅相成的，跟我们的IT治理。通过分析，我们发现这么多法规，都有它的特点，刚才讲的我发现的特点是跟金融、金融的面很广，包括保险、证券，还有跟食品、药品这几个方面非常密切。同时又跟安全性、风险管理、还有机密性、透明性几个方面都有关系。我们把这几个法规、还有几个特点罗列了一下，大家可以宏观看到这些法律法规，主要在美国来适用，中国还在治理当中。中国的法律研究很难给出一个准确的，包括网上犯罪，我们还好像有一个法律正在制定，关于网络的黑客行为，很多是在制定过程当中。我们可以借鉴一下国外的法律法规。还有这些法规有很多的特点，一个是强制性的，不要问为什么，你违反了就是违规了，你要执行。这些法律法规包括IT的标准，包括CMMI的法规都是非指导性的，不会告诉你一步步怎么做到这一点，你达到这个层次是合规了，如果你不合规的话，不会告诉你这个过程，所以说不是有指导性的。并且它在持续变化，不是今天合规就是明天合规的，这些法律会有变化，这个大家可以理解，因为这些法律法规推出之后，要看到市场的反应，要经常做调整。还有对IT的影响加大，虽然法律法规很少有直接施加于IT的，但是现在的业务系统几乎都是IT系统，所以对规章制度的遵循程度直接落实到IT系统的执行程度上，比如说拿这个来说，要做财务的审核审计，所有的都是计算机打出来的，从你系统里面生成出来的东西。比如说对IT的影响加大。还有有非证实性，这些法律法规用了某种方式，比如说用了CMMI，然后这个审计部门说就算过了，不推荐你用什么方案，不强制说用什么方案，不会帮助你证实用了这样的方案是一定合规，他们有自己的一套方法审计你。这也是告诉大家，你在遵规的过程当中，有很多不同的渠道和手段，但是要看你的理解是否透彻。另外的话，这个遵规跟风险、利益、损害有密切相关。所以遵规实际上已经把损害降低到最低级别的一个门槛。比如说你们分析一下法律法规，那个法律法规保证的你最低级别的安全性，比如说让你的地面不要滑，是最低级别，当然没有规定一定要铺上地毯，只是说不要滑倒，所以跟风险有很大关系，只要你合规，就避免最低程度的风险，但是不是让你很舒服。然后它覆盖的范围很广，从战略层，组织层，流程，应用和数据，技术，基础设施，这个跟规定都有关系。