IBM Rational技术开发高峰论坛循规方案专场

IBM  Rational北方区的技术负责人李纪华

如何用Rational工具帮助遵循规范

    【IT168 现场报道】这个“循规蹈矩”在我们中国传统里面略带贬义的词汇。当我们遵循某种规定或者法规的时候，首先很难彻底理解。因为这个国际规则就是这样，所以我们通常借用一个鲁迅的话就是拿来主义，我们首先先适应，先通过审查。我们第一步先要循规蹈矩，首先说让开发人员熟悉这个法律，那个代价都受不了，我们第一步要循规蹈矩，通过审查，通过规定。第二我们彻底消化它，结合自身的情况，做持续性的改进。因为一个法律的改进，需要一个很长的修订过程，但是不是一个完美的东西，但是是一个合理的东西。但是这个过程当中，哪些东西为我所用，我应该在哪个领域进行投入，当你坚持持续改进的话，最后达到一个量变到质变的过程，这也是给大家一个建议，特别是中国的企业的一个建议。所以今天的讲座里面会跟大家稍微比较概括全面的介绍一下遵规的所有的内涵及外延，结合Rational的方案做好这个工作。在座的企业里面有没有一个叫做Complicnce  Officer的职位，在座的企业的公司没有在国外上市、香港上市，作为一个现在的上市企业的话，现在特点在香港和美国上市的话，刚才我们反复提到的萨班斯法案，公司里面谁去监督、谁负责这个制度，现在有遵规、合规、还有循规，非常统一的。

    我们看到这个遵规的一个概要。我们生存在一个法律的国家，我们国家的制度，到一些企业的处罚条例，内部的规章制度，非常广泛。我在准备题目的时候，特别关注了一些日常的生活的东西。这个东西大家可以看到，小心地滑的标识，我搜索了很多的法案，有很多这样的案例。在四川有一个餐馆小孩就摔死了，然后跟他们打官司。为什么很多餐馆说已经提醒过你了，地上滑，你摔倒了，我已经尽责任了。然后美国有一条法规，叫职业和健康安全的法律，运用这个法律里面的条文设立了这个东西。这是最早的他们的出处，这个在我们生活当中广泛使用了。我看了中国的法律，一个是消费者权益法，另外在我们《民法》里面有类似的描述，描述的原文，在公共场合提供商品和服务的时候，要保证消费者的健康安全，这是法律里面的条文，但是落实到生活当中很多的条例，大家如果感兴趣的话，大家回去查一下，几乎中国的省或者市，特别是市一级的有具体的消费者的条例，比法来的更具体，如果一旦出了官司，就要有很多的法律依据。这是我们日常生活的事情。对于我们软件开发现在可能更关键一些。

    这是现在我们在经济全球化、一体化的情况下，我们面对的各种常见的法律。大家都知道这些是做什么的吗？非常多的法，现在大家看新闻，看到中国的玩具被人家拒绝了，要召回了，因为印证了他们的法律，或者一些全球化的WTO的法律，非常残酷的，因为经济全球化，必须有统一的标准约束彼此，这是我们的现实。那么我稍微跟踪了一下这些东西，发现这些都是干什么了，比如说萨班斯法案。还有Basel  II，跟个人的信息安全的观念。我们想到在网络银行上，如果个人的信息被窃取了，被传递了，是违法的。不是银行就是网站违法了，因为我的个人信息被窃取了，如果被检查机构检查到的话，说明这个银行或者网站违规了。换句话说，因为客户在你这里的安全性没有得到保证。如果是上市公司的话，这个问题还不小。这是现在法律的重要性，还有一些法律，是用于医疗卫生机构的，在国外的检查非常细致和严格。前一个阶段我们药监局的腐败问题，跟国外对比的话，我们有很大的距离。我们假药横行。我们现在的食品、医药仔细分析了一下，都是非常密切相关。现在对于比较热门的就是这个法律，是现在的上市公司的做检查的，其中的404号法案跟IT系统非常密切的，中国的公司在国外上市必须要通过审查的。所以说我们很多的大型企业里面，如果是上市公司的话，现在纷纷设立了这个部门，整天教育员工要符合这个规定那个规定，跟我们的软件开发结合在一起来看看。

    什么是“遵规”无法是按照规章制度来办事情，按照约定来做事情。我们还有一个关于IT治理和遵规实际上有着千丝万缕的关系，实际上从企业治理过来的，现在发现IT越来越乱了，遗留的系统非常多，开发工具也是五花八门的，开发系统整个的需求也在变，然后资产经过几十年的积累，IT的资产越来越多，能不能治理一个企业一样来治理IT，出现了IT治理，它的内涵无非是建立一系列的职权、流程的一个全面的框架，可以让人更好地在IT系统整个大的流程里面发挥它的作用。就是把IT都搞得井井有条。但是和这个法规什么关系呢，实际上法律建立了很多的度量指标，你IT做得好不好，你说做得好与不好，有一个标尺来衡量它，这个标准来说，我们IT普遍采用很多的标准，比如说CMMI，或者还有Six  Sigma，还有很多IT方面的标杆、标尺，你是否满足了，你是否做到了，你用的哪种方法达到什么层次，也是衡量你治理级别的一个标杆。所以说是相辅相成的，跟我们的IT治理。通过分析，我们发现这么多法规，都有它的特点，刚才讲的我发现的特点是跟金融、金融的面很广，包括保险、证券，还有跟食品、药品这几个方面非常密切。同时又跟安全性、风险管理、还有机密性、透明性几个方面都有关系。我们把这几个法规、还有几个特点罗列了一下，大家可以宏观看到这些法律法规，主要在美国来适用，中国还在治理当中。中国的法律研究很难给出一个准确的，包括网上犯罪，我们还好像有一个法律正在制定，关于网络的黑客行为，很多是在制定过程当中。我们可以借鉴一下国外的法律法规。还有这些法规有很多的特点，一个是强制性的，不要问为什么，你违反了就是违规了，你要执行。这些法律法规包括IT的标准，包括CMMI的法规都是非指导性的，不会告诉你一步步怎么做到这一点，你达到这个层次是合规了，如果你不合规的话，不会告诉你这个过程，所以说不是有指导性的。并且它在持续变化，不是今天合规就是明天合规的，这些法律会有变化，这个大家可以理解，因为这些法律法规推出之后，要看到市场的反应，要经常做调整。还有对IT的影响加大，虽然法律法规很少有直接施加于IT的，但是现在的业务系统几乎都是IT系统，所以对规章制度的遵循程度直接落实到IT系统的执行程度上，比如说拿这个来说，要做财务的审核审计，所有的都是计算机打出来的，从你系统里面生成出来的东西。比如说对IT的影响加大。还有有非证实性，这些法律法规用了某种方式，比如说用了CMMI，然后这个审计部门说就算过了，不推荐你用什么方案，不强制说用什么方案，不会帮助你证实用了这样的方案是一定合规，他们有自己的一套方法审计你。这也是告诉大家，你在遵规的过程当中，有很多不同的渠道和手段，但是要看你的理解是否透彻。另外的话，这个遵规跟风险、利益、损害有密切相关。所以遵规实际上已经把损害降低到最低级别的一个门槛。比如说你们分析一下法律法规，那个法律法规保证的你最低级别的安全性，比如说让你的地面不要滑，是最低级别，当然没有规定一定要铺上地毯，只是说不要滑倒，所以跟风险有很大关系，只要你合规，就避免最低程度的风险，但是不是让你很舒服。然后它覆盖的范围很广，从战略层，组织层，流程，应用和数据，技术，基础设施，这个跟规定都有关系。

    另外一个方面我们看看假设有一个审计公司，到你们公司做审计的话，要做哪些事情，有内部审计，外部审计。英文里面有个词语，一个是inspector，带有外部审计，请一个审计公司来帮助审计。还有auditor是内部审计。有三件事情要记住，说你所做的事，一方面是说文档化，要把你做的事记录下来。比如说人家来了，告诉人家你如何做软件开发。第二件事是做你所说的事。有一个企业说过CMMI，我们好像像应付托福考试一样，你的行为要一致的，你写了那么多文档，到具体的落实当中，你可能按照CMMI的0级来做，这个严格审计的话可以审计出来。最后就是要有能够证明两个是一致的。它的目的是看你的业务控制力度，到底和流程是否一致。这个控制的依据在哪里，常用的手段和问题呢，你的流程在哪儿，他需要看你的文档，人家需要备案。第二要衡量你的流程是否成熟，如何证明你的成熟，会拿你的历史数据来看，比方说今天来审计了，昨天才把文档写好了，他会看你这个流程是否成熟，是不是跑了一年两年的流程，一定有历史数据，这是一个稳定不稳定，成熟不成熟的证据。还有流程本身是否遵规，对你本身的流程进行检查。还有产出的流程与工件的关联性，还有提交的时候移交过程、签署过程在哪里，你交一个过程的时候一定要签字，在审计的时候这点很关键。一定要签字，在国外很认签名。在很多情况下需要签字的，把文档交到另外一个部门需要签字的，这是应付审计的。当然这个有好处的，出了事的话好查实。还有支持工具之间是否有链接性，集成性。如果你用的工具五花八门的，之间没有关系的话，那应付审计的话非常麻烦。他需要你有证据来证明。这样的话你很辛苦。还有你的测试结果与需求的关联性。这是审计人员或者审查人员，我们内部叫QA的过程，跟外部的调查公司有异曲同工的地方，他们会从这个方面入手。这些审查人员在什么时间进入你公司的现场，往往在公司出事的时候，美国的很多的公司为什么接受审查呢，是因为这些公司闹出丑闻，2001年安然是一个导火索。首先从三个地方进行审查，告诉你系统设计有缺陷造成这个事故，第二是不是人为的错误，第三是不是有恶意行为。一旦事故发生的时候，这些审查人员怎么样调查你。如果你软件本身出了一个Bug，你需要看一下是不是设计的情况，人为的错误，还有恶意行为呢，不能把恶意行为放在第一位。

    所以我们讲遵规既是一个需求，有一些企业必须遵循它，也是一个机会，契机，借助这个大环境，这个推动力，帮助我们优化一个软件的开发过程。这个遵规表现在三个层面的体现上，第一要避免惩罚，要遵循这个规定，避免一些不必要的麻烦。很多企业的出发点从这里开始。然后在做好遵规之后，第二阶段很重要的是自我改进和持续优化。自己慢慢看这个规定生搬硬套的，循规蹈矩的做完了，看看有没有持续性的改进。然后量变达到质变的时候，充分利用遵规可以赢取业务优势。对于国内CMMI的遵循和改进的道路，我们发现很多的公司现在做到一个遵规以后，就不再往前走了。我过了CMMI几级之后，我该怎么做起来怎么做，我们真正没有从CMMI里面，或者ISO9000也好，没有吸取真正的精华的东西，去改进自身。只是考完了托福了，英语还是那样。然后你很难达到这个方面，不客气的讲，我的感觉以及看到一些数据，北京市过CMMI3的企业有多少，可能有上百家，但是真正可以承担的一千万两千万以上外包业务的究竟有多少。就会知道为什么过了CMMI那么多的级别，为什么达不到这个阶段，大概没有脚踏实地地做事情，这也是一个机会，就要靠大家如何抓住这个机会。

    下面我们看看IT组织，特别是我们软件交付组织的遵规，有哪些具体的。刚才讲了这么多遵规的内容，到底要归结到IT系统上。现在查你业务的时候，基本上查你IT的应用系统。这是一些大的企业，一些咨询公司说过的话，比如说像KPMG头说的，任何审计都是IT的审计，符合规定已经变成它的需求了，还有可以符合哪些规定，应对哪些审查。这是我做了一些小规模研究，发现在IT上使用的一些标准和框架。很多都是大家很熟悉的，比如说CMM、CMMI，ITIL是符合IT业的标准，还有Six  Sigma是项目管理的方面，还有国军标5000是做了CMMI一个汉化的标准。IBM自身有很多的方法和标准，IPD我们做产品研发的，IRUP是我们做软件开发管理的标准。很多成为业界公认的标准。比如说ISO9000的标准，因为9000太多了，现在大家知道ISO  900X里面有很多的内涵。还有COBIT，这边关于IT治理方面的，有一些东西大家不太熟悉。大家注意关注一下这些标准。包括COSO，主要是对内部审计的一个框架，更大的做整个IT治理的一个规范或者一个评价标准。这么多标准，同样IT的规范和标准，跟我们刚才看到的金融、食品、卫生的标准，实际上都是息息相关的，这边的遵规可以直接影响到业务系统的遵规，这个方面我们想看看开发对于遵规的影响。如果我们审计一个公司，具体的IT开发的遵规程度如何，很可能会问到这些问题。大家可以看看，就是说你的企业里面是否有这样的一个环境去记录和审计，来应对这些审计。首先谁批准了把这些东西部署到测试和生产环境，记录在哪里，签字在什么地方，然后签字的这些记录在哪里。然后当前测试环境下、生产环境下，部署的什么版本的构建，又是谁同意，谁做的构建。比如说给客户交付了1.0，然后客户说传输网络坏了，能不能重新传一下，对不起，昨天那个东西组合不出来了，只能给你一个1.1版，还在测试当中。你在构建当中，没有任何记录，还要重新构建一次。然后有哪些工件呢，提交的什么内容，这些东西在哪儿，工件之间的关联性怎么样，还有哪些源代码文件，可执行文件跟源代码的版本有哪些关系，如何编译出来的。我们做的软件开发做得很细致了，要落实到这些地方去，是很实用的。这些规定，这些东西看上去好像挺严格的，但是如果照着去做的话，一定会有好处的。你如果刚刚接触这个方面的话，可以照着去做，慢慢去消化。

    我们看结合前面讲的几件事情，说你要做的事，实际上先把你的流程建立起来，要做什么东西，要有一个很好的思路。这个思路在我们软件开发里面，就要把软件流程做好，包括技术控制的流程，包括业务控制的流程，还有一个职责分立的过程，审批、授权、质量把关的三层分立。为什么这么做呢，就是大家要互相监督，怕什么东西，集中在一个人身上肯定要出事。中国药监局为什么出事呢，因为质量把关管，质量授权也管，审批也管，他只要一签字肯定出事。做什么药品批出去了，假药出去了，没有人监督它可以出事。你做软件开发，如果三个方面没有分开的话，我觉得很危险，没有人考核你，非常危险。第二点做你说的事，如果你做了这些工作流，这些流程看上去很漂亮、很完美，你一定要做到，一定要认真执行，如果执行不下去，不合理，不要再这里说。你人行要一致，你说了人家要检查你，如果内部QA很严格，当然这个前提是你分立，如果你开发完了，你自己做质量审核就另外说。如果别人的话肯定要审核的。第三一定要证明，所有的东西都要有记录。特别是一些签署的过程，报告的记录。如果坚持做这三点的话，才能赢取竞争的优势。这个CMMI五个级有很多内部相通的地方，第二级的时候可以做可重复流程，不管好坏，这样的话可以遵守某些规定，好不好的话先不管，第三级的时候遵循标准化的流程，这个可能比较好的做法，经过消化后的话，到了四级之后知道好在什么地方，必须经过一些大量的统计指标度量指标，这样的话可以做持续性改进。这是有内部相通的地方的。

    下面我们看一下典型的遵规的项目管理过程，涉及到企业里面的很多的决策。一开始提出发现的业务问题，一个审计要求。接下来有一些人做风险评估，我们是否要立一个新的项目，开始做这个事情，这个项目要做可行性报告，然后进行审批，接下来开发层面开始介入，要做解决方案的设计，开发仅仅发布版本的时候，什么时候进行发布，接下来做功能性的开发，领导团队，然后要做签署。这个项目立项，开始组织开发团队，开始批钱了，这些地方需要有签字证明。然后这个地方非常严格，开发和测试当中要做非常重要的签署过程，什么时候进行测试的，什么时候测试给了生产，这是有严格过程的。我前一段时间做银行的，我发现银行这个方面做得很严格，因为这几个部门都是分布在不同地方，如果没有这种签署记录基本上没有办法管理，如果通过邮件的话把东西传过去了，怎么审计呢，如果删除了的话怎么找呢，必须要有记录。在运营过程当中要接受审计员的一些审核。这是我们的一个典型的过程。如果我们结合具体的问题来看的话，如果我们把IT做得再具体一些，说你做得事是我们的流程的定义，首先要预先定义好这个项目谁来批准，怎么批准，这个钱从什么地方来，什么时间，做什么权限，要做什么事情，流程要写好，规定好。如果项目评优先级的话，你的标准是什么，保留和撤销的标准是什么，要预先制定好，文档的话要制定好，你做不到的话不要写。如果甲方做CMMI的时候，其实很多事情不用那么生搬硬套做的，应该选择一些重点的领域做，当然这个考试过去的话，其实该扔的可以扔，剩下的东西要按照这个步骤很好地去做。在技术上有很多具体的问题。从Rational产品支持上面可以有两个产品推荐给大家，一个是RMC，是植根于开源的，是一个方法的写作平台，ROP只是一个输入。跟我们写论文一样，这个抄一点那个抄一点，成为我自己的东西了。这个工具跟那个很类似，从ROP里面抄一点，或者CMMI抄一点，最后形成公司自己的开发流程，产品发布出来像一个网站出来，我公司的流程全部是活的，如果新员工来了以后，企业如何做开发的，自己可以浏览、学习可以去看，这个固化你的开发流程非常有好处的。另外一个工具RPM做项目的组合和管理的，里面有一个强大的流程模板，整个项目的开发过程可以进入流程，一个风险、问题，缺陷的典型的处理过程和爆发的时机，暴露的指出，如何消除它，消除的途经，花多少人，需要什么技能可以全部装在这个模板里边，你做项目的时候，这个模板可以做大量参考，如果出现风险的话，可以把这个项目抓过来自己用。在遵规流程地定义上，可以帮助你很大的忙。前不久一个客户做CMMI，用了一个RPM的模板，任何一个工程师过来以后把这个模板拿过来，第一步开箱，有一个单子记录的很清楚，有一个安装手册，一切都是标准化的东西。

    第二点做你所说的事，这个方面Rational提供了很多开发的工具和开发的平台，帮你做事情可以做得比较轻松一点，不要给开发人员增加太大的负担，让开发人员理解法律法规不太可能的事情。要把遵规的过程自动化和流程化，不自觉地就遵规了。我画出一个图，一个开发人员做日常开发的时候，用UCM的方式进行开发的时候，首先第一步选择开发的活动，第二步检出并修改文件，然后编译和链接，然后测试变化，然后检入变化。这个周期花费了很多的时间做了这个东西，然后可以帮助他做审计。这个简单的过程里面，修改某一个缺陷到底动了哪些文件和版本。这个东西不自觉地被工具记录下来。跟我们写日记一样，实际上挺痛苦的，每天要回顾今天所干的事情，但是如果坚持下去的话，不自觉地写日记的话，对你的帮助很大。其实Clear  Quest、Clear  Cast你今天工作了一天你很容易找到，你可以看到你做了多少。也是一个写日记的过程，是一个帮助你做遵规的过程。

    我们看到这张图从交付的角度来说，实际上交付给客户的到底是什么呢，甲方会怀疑你给我的什么东西，以前做得很粗放，搞一个大包送上来，如果遵规的话很严格你这个可执行文件给我的怎么出来的，你做出来的什么时间。然后这个里面的内容包含了哪些工件，最终你这个里面包含哪些功能，哪些文件和版本的变化，如果软件开发可以做到一个逆推的过程的话，可以做任何审计。不要老是想着正向推，如果出事的话要逆推找这个原因，现在没有客户没有办法说清楚在系统上跑的什么版本，但是逆推可以保证你的可追踪性。这个方面有很多的产品，Rational有很多产品可以帮助你做到可逆推的逆倒性。

    最后看看Rational的方案，从沟通的高层来进行管理，从战术层面上，变更和发布管理，质量控制架构方面的控制，还有细节的工件层面进行控制管理。在软件交付平台，Rational的覆盖程度很广，你在企业里面做遵规，这个方面改进的时候，一定要选择一个适合自己的开发过程，不要生搬硬套的去CMMI也好，或者Six  Sigma也好。第一步可以做拿来主义，第二步要根据自身的情况做定制，你定制好要按照这个方向去做，不断改进。Rational可以给你提供很好的支持平台和方法。那么从遵规的整个方案来说，IBM遵规是很庞大的方案，今天我们讲的方案只是侧重在应用的开发部署和监控的，如果你对IT的运行管理、信息管理，业务的监控这个方面感兴趣的话，IBM和其他的软件部门可以帮助你来做，IBM有五大软件功能，实际上针对五个不同的领域进行不同的解决方案。

    那么Rational的整张图可以看到，从战略层面上，从战术层面上，团队的协作上，以及每一种决策的支持上，有很多的工具，很多的方法可以支持。我觉得对大家最有利的是基于开放的平台，很多的公司，第三方的工具可以放在我们的平台里面去。我想提的最近的一个变化，我们刚刚收购一家企业，这家企业在做安全性测试，以前测试好了，用户接收测试，然后就上线了，但是在遵规的背景之下，当然看到遵规跟你的私密性，都有很多的关系，导致很多的系统出现了这个方面的问题，容易遭受攻击，个人资料被剽窃了。前不久出现一个网络问题，银行的网络系统被攻击了，发现个人的身份证号，密码都出现了。跟你的外部系统的安全性有很大的关系，所以Rational最近收购的这家企业专门做安全性测试的，你的应用系统是否具备了抗干扰性、抗攻击性。我们很多的网民系统，最后的有一个认证号的地方可以分析出来，可能受到黑客的攻击，然后有不同的参数测试。告诉你的URL不要这么些等等。这些Rational的产品，有一个非常强的安全性和遵规测试，特别是基于外部的系统，一般的应用系统有两个组件可以扫描你的系统里面是否有攻击的部分，特别是你的外部系统，我们不停地向这个方向做努力。

    最后我们看看整个Rational产品线的整个的可跟踪性怎么可以做到的。从一开始的业务线上，从需求管理开始，到你的提案的提出，基于提案做提案的审核，然后做投资回报的分析，最后做批准。然后做资源的组成开发团队。这条业务线都是有产品来覆盖的，比如说Rational  Portfolio  manager做项目管理的，会跟我们的有集成关系，然后在？进行追踪，还有针对需求的变更，然后进一步跟源代码进行关联，然后进行构建脚本，然后进入应用系统，然后进行发布。燃烧这些产品之间都是告诉可以集成的，然后进行测试，然后把测试结果保持在Clear  Quest进行追踪和部署，从而把整个脉络梳理清楚。如果大家要关心一下遵规更多的东西，我们有两门培训课程，还有一本非常好的红皮书希望大家可以阅读，还有药品检查的方面。

    给大家介绍一个案例，就要福特，每年投入IT方面20亿美金，按照IT服务业ITIL的方法进行投入。很遗憾他没有通过审计，发现他违规的地方上千。尽管照着ITIL去做的话，发现很多的方面不符。在投产方面缺乏职责分立，类似的这种情况很多。缺乏可审计和可跟踪性，谁，什么，为什么，哪儿，这些方面做的很差。通过Rational的应用，有4000个应用最后120个审查通过认证和审计。然后做到一个三权分立，开发人员，构建经理，部署经理，他们之间互相牵扯还有一个互相的关系。具体的审计和负责工具，开发组长签署变更，构建管理员，保证构建可以进行QA，可以部署到生产，一切环节做到职权分立，做到签署和可追踪。那么客户这边有这么一个决策，专门负责遵规方面的，得到的结果是你可以承受的方式通过审计，付出了很大的代价。但是至少是买了Rational的东西，通过审计。对应用开发部门，按照ITIL的原则进行了职责化，可以保证一个安全的生产环境。具体的控制方法，关键在工作流程中有三个关键控制点，第一点控制由开发组长来进行控制，把什么样的开发成果放在一个共享集成区里面去，要签字的。比如说上面面对上百开发人员，但是最后要集成起来，这个权限在开发组长那儿，是他负责。也许具体做事情的人是集成人员，做合并的人员，这个要负责对他的变化的审批。所以说对于共享区、集成区里面的内容，如果说我上回交错了，再交一遍的话，不是你想就可以，需要通过他的审批。第二控制点由构建管理员进行控制，所有参与构建的对于都会被加入版本控制，我只相信版本控制那条基线的内容，其他人给的任何传输的介质都不相信。因为那个东西是开发组长来负责的，中间不要任何干扰。否则一些非常细小的东西，可能产生不可预期的后果。第三我通过控制之后叫QA  Ready，可以进行测试，在部署的时候，由发布管理员进行控制的，如果没有被置成QA  Ready则不允许进入QA环境，如果所提交的基线没有被置为Prod  Ready的话就不允许通过。这是刚才实施过程的一个具体的做法。平时的开发活动有一个活动的实体进行跟踪和控制，一旦发生变更的话，有一个严格的变更处理过程，部署的时候部署包有自身的生命周期。几个方面有千丝万缕的转移的关系，我看到一个实体的状态的时候可以判断出来处于一个什么阶段，归谁负责。比如说放在这儿的时候，归谁负责，谁来签署以及这个传递的过程，从它到这儿的时候谁来传递，有一个非常强的流程化的控制。其实你日常生活当中，日常开发中不知不觉在遵守某种规定，变成习惯了，习惯成自然了，自然会产生效率。我们要正面看待遵规的问题。当然Rational有很多全球的其他的成功的案例。
    最后总结一下遵规管理对一些大型企业来说，对外的全球性的企业是势在必行的，包括IBM自身要遵守很多的规定。如果在座的是IBM的都知道，要求非常严格。包括正装的要求。最好的控制会产生最少的干扰。然后可以提供很好的IT治理的基础。如果想获得更多的案例、白皮书，大家可以上IBM的官方网站。