级别: 初级 Patrick McKenna, Instructional Designer with IBM Rational University, Learning Solutions and Services, IBM
2007 年 3 月 15 日 本文来自于 Rational Edge:通过一个逼真的在软件开发同事之间交流场景,学习 IBM Rational Method Composer 和 IBM Rational Portfolio Manager 如何帮助IT组织遵循 Sarbanes-Oxley 法案。
1929年耗费了投资商200亿美元的"Great Crash"事件后,美国国会在1933年通过了国家安全法案并在次年通过了安全交易法案,以达到"通过提供更多的组织和政府监督,恢复投资商对我们的资本市场的信心"的目的。
1
在那之后的70年,随着2000年公司丑闻和拥有5万亿资产的dot.com公司的破产,导致在2002年又一个美国国家安全法律 Sarbanes-Oxley(常称其为SOX)法案出台,它拥有一个补充任务:"根据安全法律通过改进对法人监督的准确性和可靠性,来保护投资商的利益。"
2
本质上说,SOX需要公司主动的公开投资商需要的信息,使得他们能够做出精明的决策。这就意味着,IT部门和其他业务部门,必须不断地寻找创新的方式去管理和报告关键性公司信息。这个要求使得一些组织陷入一种慌乱的局面。但是我们实际上并不需要这么紧张。
这篇文章描述了一个逼真的软件开发小组同事之间的交流,通过这个例子,显示了 Rational Method Composer 和 Rational Portfolio Manager 如何为组织提供每一个他们需要的,用来在 SOX 监督中,构建遵循交付过程并探测每一个可能成为腐败事件的早期警告征兆。文章中还举例说明了当健壮的遵循过程支持具有成本效益的 GDD(地域分布式开发,Geographic Distributed Development)模型时,还需要有额外的支出。
新的遵循需求:CIO的故事
Fatima是一个年轻的项目经理,他在3个月前加入了Pharmland这家大型的药物公司的IT部门。每周的星期二,她都会在中午的11:55离开她的办公室,,赶往4层的会议室,参加每周一次的IT人员的午餐会。
这周二,她向同僚们打了招呼,用纸盘盛了一块皮萨饼,打了一杯苏打水,然后坐在了CIO,Mary的旁边,站起来后点击她的笔记本电脑上的"Enter"键。"法规遵循与竞争——现今社会中的IT开发"标题出现在投影板上。
Mary环视了一下屋子,说:"谢谢每一位到场的人,我知道你们每个人都很繁忙。让我们从这个标题的实际意义开始我们今天的话题。
"首先,你们大家都知道我们公司的产品范围非常广泛,很多药品都接近最后的专利申请阶段,将一种新药投放市场要花费上亿美元。我们的品牌不能和同行的产品竞争,尤其是那些海外生产的产品。我们都知道股票市场会惩罚我们甚至最微小的失误。
"我们为了生存,就需要寻找创新的方式来处理更多迫切的遵循需求。"
Roger,一个开发人员举手说到。"Mary,你所说的'更多迫切的遵循需求是什么?"
"谢谢你的提问,Roger。你们都知道我们按照Food & Drug (F&D)规章做事时各自的职责。但是现在我们必须按照美国安全法律制定的Sarbanes-Oxley或者叫做SOX来做事。它会影响到我们所做的每一件事。它的设计是通过要求公司公开会影响股价的信息,来达到保护投资商利益的目的。所以我们可以认为我们的R&D部门在开发一种新的药物。现阶段还好,但是一到临床试验的第三个阶段,药物就会出现很多无法预期的毒性。 我们撤下的新产品,使我们损失了7亿5千万美元的成本投资,以及今后可能带来的100亿美元的税收收入。这种消息会严重影响我们的股价,因此SOX需要我们公开这种类型的信息。"
Fatima举手提问,"Mary,SOX如何明确地影响我们在IT行业所做的事情?"
"恩," Mary回答到,"假如你有一个开发项目支持新药物。如果项目出了问题,这要比你交付一些代码到临床试验去测试一种新药要花费的时间久。这会导致药物发布时间的拖后,使得我们竞争对手的产品更早的进入市场。甚至更糟糕的是,假设我们按时交付了代码,但是它存在一些致命的缺陷。临床试验的结果是不可靠的,这会给我们整条产品线的完整性带来很多问题。简言之,我们在IT行业所作的事情,会影响到公司的每一个业务过程中的遵循可靠性。"
Fatima和其他开发人员陷入了沉默。Mary的信息传递给了他们。她再次按下"Enter"健,然后指向幻灯片。"我刚才说的话可以总结为以下几点:
- 企业项目投资组合(Enterprise Project Portfolio ,EPP)描绘了公司未来的价值观。
- EPP通过IT 项目组合来支持。
- IT 项目组合所发生的改变可以反映出公司未来的价值观。
"实时的调整花费是非常重要的,但是永远不要在遵循上抄近路。请确保你的开发过程是这个样子的:
"感谢各位的聆听。如果你们有任何问题,都可以来找我。"
被需要的是:一个新的交付过程
在例会过后,Fatima回到了她的办公室,思考变化了的需求。在F&D规定中做的所有改变都是必要的,所有根"验证系统"相关的代码都用来做设计、开发、加工、测试和分发公司的产品。
Fatima坐下来,拿起一份来自于 Clinical Trials 部门的变更需求。在表单上,质量经理Ping解释FDA是如何将它的GLP (Good Laboratory Practices)带入ISO 17025标准中的,这就是Pharmland 的 LIMS (Laboratory Information Management System)中一些代码需要被更改的原因。
在看到Mary的演讲之前,Fatima认为这是一个很小的项目,只需要几个月的工作既可完成。她还暂定将其交给外包处理,并把过程的选择权交给承包人。但是,在Mary的言论进入她的脑后,Fatima决定再仔细思考一下她的话。她拿起需求根Ping谈论起来。
"我想了解更多关于LIMS代码更改的需求,"她解释到。Ping的眼睛亮了起来。因为在IT领域并不是每天都有人对你的工作感兴趣。他开始解释到。"LIMS代码处理所有来自化学药品的测试结果,微生物、毒性、效力、在试管中以及动物和人的体内,还有协议等等。部分过程的数据点已经被移除,为的是让结果更加清晰。
"GLP修订版本为这次移除调用了一种新的算法,但是我们必须小心的使用它,"他说。"如果代码无意的将有效数据点排除在外,我们可能会错过一个完美的药品,甚至得到一个糟糕的产品。不管是哪种情况,新药物的产品线应该被妥协。就像Mary在例会上所说的,这可能会导致我们的股价下跌。这对于我来说意义重大。因为我是一个将近退休的人,我的退休基金中包含很多公司的股份。"
Fatima为Ping帮助她理解这个简单的代码维护项目的商业重要性而表示感谢。随后她做出了两个解决方案:1)为这个项目寻找一个可用的支撑开发流程的工具,2)尝试使用能够提供SOX所要公开信息的早期告警事件的可靠工具。
为了将其付诸实践,她与Ari作了一次会谈,Ari是IT部门提供标准流程的一名方法工程师。
RMC和RMC/RPM集成的介绍
Fatima出现在Ari的办公室时,她正在喝咖啡,Fatima手里拿着很多报告,坐在一个椅子上。"我想问一些关于你使用的用来支撑开发流程的工具的问题,"她说。
Fatima向Ari解释了LIMS代码给项目带来的改变,以及她要怎样为其建立一个健壮的遵循流程。Ari思考了一会,说到,"你最好的解决方案是使用Rational Method Composer——简称RMC。我使用这个工具很快的建立了交付流程。RMC拥有各种各样的方法、流程、指导以及工具,当然也包含遵循需求的帮助。"
他点击了电脑桌面上的一个图标,打开了RMC 7.1(如图1所示),然后解释到,"RMC拥有很多RUP规程外的内容。你可以复用或者定制其中的几项来使用,然后加入一些新的素材。这样你就可以为你的项目小组制作一个关于方法的Web站点。这是确保每一个人都能理解,并有权使用这种方法的措施。"
图1:Rational Method Composer (RMC) 7.1运行画面
"RMC帮助你为特定的项目类型(你打算生产什么,它将如何被生产以及整个项目周期你所需要的员工)定义了一个端到端的交付流程。流程将会反映出这个项目类型的最佳实践,同时还伴随你的特定计划和项目管理所需要的。
"因此对于你的LIMS项目来说,你可以建立一个交付流程,来反映你的遵循需求。让我们来看一下视图。在 Process Editor (例图2)中,我们可以从左边的Library选项中选择遵循交付流程(compliance_dp) 。这时Compliance Management的RUP元素将会显示在右边的窗格中。当你点击编辑器底部的Work Breakdown Structure Tab时,你可以看到遵循交付流程的典型的细目分类。然后你可以根据需求将其制作成你需要的交付流程,并将其输出到RPM。
图2:RMC Process Editor
"当你为项目构建交付流程时,你可以为RMC的套件补充插件程序,如Compliance Configuration的Library View所示(图3)。我已经将Library View视图放大,好让你看清两个你需要了解的特定的插件程序。
- 第一个是rup_compliance;这是为你的LIMS项目定制的。
- 第二个是rup_psm,PSM或者Practical Software Measurement的插件程序,它为你的项目提供一种度量方法。
"你可以从http://www.ibm.com/developerworks/rational/downloads/06/rmc_plugin7_1/下载这两个插件程序,然后将其导入到RMC 7.1中。
图3:RUP插件程序库
"现在让我们回到Process Editor中。我将会详细描述rup_compliance>Processes>Delivery Processes>compliance_dp,你可以看到遵循交付流程的Description视图。你在窗体底部看到的另一个标签——Work Breakdown Structure,Team Allocation等等——为你建立一个遵循交付流程提供了所有你需要的信息(如图4所示)。
"让我们看看嵌入其中的一些行为,'Plan Project Configuration和Change Control'以及它们的子任务,'Augment CM for Compliance.'这些是促进遵循和遵循审计的一些行为的类型。"
图4:一个遵循交付流程的描述视图
Ari停顿了一下,看了看Fatima。"我是不是说得太快了?这只是一个概括,让你知道RMC这个工具能为你做什么。"Fatima点点头,说到,"是的,我大概有了一定的印象。请继续。"
"好的,下面我要讲述PSM插件程序Browsing Perspective的配置窗口(config_for_psm),如图5所示。我会给你展示一些任务的度量。例如,你可以看到Measurement Analyst任务的授权是什么,而不管是你自己假定的或者将其分配给了一个小组成员。然后,你可以在我们刚刚看到的遵循管理交付流程的PSM插件程序中添加内容。这会让你更加接近你的需求。或许你还需要根据特定的项目需求,做一些额外的变更。"
图5:Measurement Analyst任务的描述
他继续说到,"还有另外一件事我要跟你说明。"当他点击桌面的RPM图标,并输入用户名和密码已打开RPM 7.0客户端程序(如图6所示)时,Ari解释到,"你知道,我们使用Rational Portfolio Manager (RPM)来管理项目。RPM和RMC是整合在一起的。因此你可以在RMC中设计一个流程,然后将其转换到RPM中。"
图6:Rational Portfolio Manager (RPM) 7.0运行界面
"RPM启动后会显示你上次最后使用时的画面。因为昨天我访问了Work Management,回顾了一些项目的Earned Value信息,所以会出现如图7所示的画面。你可以在Work Management中查看所有的项目,包括结构的分类、可交付程度、里程碑、任务等等。这个视图中有很多信息可以帮助你追踪遵循。
"你可以根据自己的需求制作Work Management版面视图。如果你使用Compliance版面工作,根据你的安全权限,你可以制作自己的版面。
图7:RPM Work Management视图
"好的,让我们开始使用RPM/RMC,首先,你在RMC中设计一个交付流程,使用任意一种插件程序。"然后使用Export Wizard,将流程以.xml文件的格式导出到一个本地文件夹。如图8所示。
图8:在RPM中以.xml文件格式导出一个交付流程到本地文件夹
"下一步,从RPM Template视图,你可以导入.xml文件作为一个本地项目模版(如图9所示)。
图9:导入.xml文件作为一个本地项目模版
"一旦导入过程完成,你就可以从Template视图拖拽交付流程,并将其放入你的项目的Work Management视图中(如图10所示)。
图10:将一个交付流程放置到Work Management视图的项目中
"导入的分类结构和你的RMC发表的方法Web站点连接在一起。因此你的小组成员(不管他在世界上的任何地方)都可以访问并应用RMC/RUP作为他们执行任务的指导。每一个成员都会准确的看到相同的分类结构,只要他们拥有必要的安全访问权限。"
Ari冲着Fatima微笑。"这就是所有我能告诉你的关于使用RMC进行流程设计,插件程序以及和RPM整合的内容。如果你想要了解更多关于RPM作为业务管理工具的信息,你可以和业务经理Pat谈谈。"
"Ari,谢谢你的帮忙," Fatima说到。"我再仔细思考一下你说的内容,然后再去找Pat谈谈RPM。非常感谢,"然后她径直走下大厅。
项目业务视图
Pat,项目业务经理,直接向Mary汇报。在上周的例会上,Pat解释了企业项目投资委员会(Enterprise Project Portfolio Office)的工作,谈到她的大部分工作都是监控和分析项目的信息,被称作"发起"或者"投资。"每周一的早晨,Pat都会向Mary报告开发方面的事情——在IT项目业务中"什么事情做对了和什么事情做错了" ——在Mary会见C级别的业务经理之前。
"你好Pat," Fatima说到。"我能耽误您几分钟时间么?"
"当然,有什么需要帮忙的?" Pat回答到。Fatima解释到LIMS改变了需求计划,Ping关心这给药物产品线的完整带来的潜在影响,以及Ari对RMC所作的解释,它的插件程序以及其与RPM的集成。
"现在,你可以解释一下我怎样才能最好的利用RPM来管理项目信息么?" Fatima回答到。
"我会尽力的,"Pat说到。"然后坐到椅子上。首先,在设计过程中,你需要在描述视图工作——Work或者Scope以及Resource Management。每一个描述视图都有一系列你的系统管理员设立的portlet,它们都是基于你的开发流程所需的信息。
"你需要为项目加入一些财务评估。请点击Work Management工具栏的描述图标,然后详细描述Financials Portlet。将评估数据输入到底部窗体的Expense,Capital和Benefits Tabs中。
"你可以 Time Phase the Estimates,察看Summary,(包含ROI和Gross Profit数据),然后使用Cross Charge Tab查询客户端中心项目的一些部分的花费(如图11所示)。
图11:输入项目的财务评估
"Pat,其实这就像是一个特性,我可以用它来快速的作出不同的选择:例如,自己生产或者购买,朝向海岸或者背向海岸。这不正是Mary在例会上所说的要具有竞争力么?"
"正是这样," Pat说到。"一旦你的项目开始实施,你和你的小组成员可以在Work管理视图回顾数据。当然,如果你想要查看项目是否存在问题,并得到早期预警报告的话,那么你需要查看Scope视图,它提供了关于项目风险、变更请求、需求、错误、问题等等方面的信息(如图12所示)。这个信息可能会揭示出一个问题,而这个问题会作为SOX揭露出来。"
图12:RPM中的Scope视图
"好吧,Pat。但是我如何在Scope视图查看一些我需要确认的细节信息呢?比如说我如何确认一个问题并找到修复它的方法?"Fatima问到。
Pat解释到:"在RPM中,你可以在Portfolio Dashboard视图中查看你的项目的所有信息(如图13所示)。这是一个很大的优点,因为它能让你站在一个很高的层次来审查你的项目以及它们是如何执行的。它能够让你更加接近项目、任务、可交付性、里程碑和所有你可能会远离目标到一个不遵循区域的项目元素。你马上就会看到任何会引起你的项目发生问题的趋势,这些都是你应该调查的方面。到了最后,信息会成为企业生存的血液。Portfolio Dashboard是一个丰富信息来源,它能为你和业务经理的工作——保持项目的生存和完整性,提供所需的信息。
图13:Rational Portfolio Manager 中的 Portfolio Dashboard
"从Portfolio dashboard中,你可以观看到Investment Maps,它用彩色代码,图形方式标示。让我们看一个Investment Map的例子(如图14所示),它配置了4个度量:
- 垂直轴:收入/收益
- 水平轴:毛利润(GP)所占总利润的比例
- 圆圈的尺寸:成本
- 圆圈的颜色:健康状态
"如果这是我的业务,那么它就跟我有关。项目A和项目E,我的两个拥有最大Revenue/Benefits(三千两百万美元)和GP/savings的投资项目,它们正处于非正常状态。因此它们分别处于红色和琥珀色状态,我想要找出发生这种情况的原因。我将会花几分钟的时间给你演示如何做。
图14:Portfolio Dashboard中的一个带编码的彩色投资图
"但是,首先让我们看另一个我需要调查的项目的投资图。它的颜色是黄色,比绿色的低一个级别,因此它的健康状态还不是很严重。但是它被编码成了'CPL',这意味着它是遵循的项目。由于遵循的项目通常都很重要,因此我想查看一下这个项目的细节信息。
"对于任何的项目来说,你不需要离开 Investment Map来查看更多信息。你可以通过点击项目图标来获得一个关键项目指标的管理报告。因此,让我们右键点击CPL项目图标,然后从菜单中选择Quick Dash(如图15所示)来获得一份关键项目数据的列表:时间表、财务范围等等(如图16所示)。
图15:点击 Investment Map 图标获得 Quick Dash 管理报告
图16:关键项目数据的 Quick Dash 报告
"如果你想要了解质量和遵循方面的信息,你可以右健点击项目图标,然后在菜单中选择 Scope Management(如图17所示)
图17:点击 Investment Map 图标获得项目范围条目分布的 Pie 图表
"这会产生一个饼图,通过6个部分显示项目范围条目的分布情况(如图18所示),包含变更的需求、错误和风险信息等等。
图18:从 Investment Map 得到的 Scope Management:饼图表显示了项目范围条目的分布信息
"你甚至能从饼图中得到更多的信息。如果你右健点击 Risk 分段,你会得到一个包含'Impact/Trend Risk(s)' 和'Risk(s) OLAP Pivots"的内容菜单(如图19所示)。
"如果你点击Impact/Trend Risk(s),你会得到一个并行的棒图(如图19所示)。左边的图显示了Risk Criticality。你可以根据风险等级来显示已选择的条目:No Impact to Critical。右边的图显示了状态信息。同样,你可以选择显示所需的信息,从All Opened到Critical Closed条目。
图19:一个 Investment Map 中显示的 Impact/Trend 风险信息
"这个级别的详细信息为你了解你的项目关于遵循的状态信息提供了一个很好的方式。如果你想要获得更多的细节信息,你可以回到内容菜单,它在你右健点击饼图的Risk分段处,访问资源的其他信息,例如OLAP Pivots Scorecards和Reports。
"你会看到:Investment Maps是一个功能非常强大的工具,它可以用来调查可能存在的遵循问题,并会显示在Scope视图中," Pat 概括说到。
"好的,我还不知道我们已经通过Rational Portfolio Manager,有了那么多特定的与遵循相关的可用信息,"Fatima说到。"还有其他我需要知道的信息么?"
"嗯,查看你的项目度量的趋向如何也是非常有用的," Pat说到。"你可以通过应用RPM Project Console 集成来为监视业务和技术状态来构建一个仪表板。你建立了度量图表,然后通过Rational Portfolio Manager中的Metrics Portal来查看。下面是一个关于缺陷趋势图的例子(图 20)。
图20:Rational Portfolio Manager Metrics Portal 中的缺陷趋势图
"我想我已经给你介绍了一些基本信息,Fatima。希望这些都对你有帮助," Pat说到。
"你可能想不到。现在我已经获得了所有所需的支持,它可以帮助我达到SOX和其他遵循的需求。非常感谢,Pat," Fatima说完后走回她的办公室。
泰然自若的行动
回到办公室之后,Fatima想到,"这真是一个美妙的拜访。我有很多种方法可以让LIMS项目更加遵循 SOX:
- 我可以使用Rational Method Composer和它的插件程序来设置一个遵循交付流程。
- 我可以将流程导出到Rational Portfolio Manager,它可以帮助我计划和执行流程作为分类的结构。
- 我可以使用RPM Financial Portlet来快速的计算不同项目选项的花费并对大多数竞争选项作出选择。
- 在某些事情将要变为不遵循SOX的候选之前,我可以使用 RPM Portfolio Dashboard中的Investment Maps 和 Scope Management 找出投资问题。
- 由于RPM是一个以 Web为中心的应用程序,我小组中的每一个成员都获得了访问遵循交付流程和支持RUP/RMC的信息,而不管他们在任何地方。这个流程将会足够健壮以支持有效的GDD(地域分布式开发)。我认为我可以将很多项目外包,这样可以节省很多资金;RMC拥有的估算特性可以帮助我确认这个问题。
- RPM和RMC的集成将会给我的流程所需的所有特性,Mary曾说下面这些都是关键性的需求:
- 可追溯性:我用RMC构建的交付流程将会基于可追踪的需求分析。
- 透明度:Work和Scope Management报告和Portfolio Dashboard (RPM)将会给我提供不间断的状态信息。
- 审计:如果必要,那么我可以为遵循文档建立所有所需的报告。
- 可重复性:我将会建立一个拥有模版的可重复的流程。我在RPM中建立的基于角色的安全选择权将可以被重复。
- 文档化:项目周期的每一个状态都将被记录在文档中。
Fatima停下来看了看她办公室的另一边,走廊尽头的窗户。太阳即将落山了。"在午饭时间,我还对我的工作感到一丝不安。但是现在感觉一切都是易于管理的。或许我还能从这个业务中获得一点不错的回报。能有这么优秀的同事我感到非常的幸运,并且还拥有这么适用的工具。"
免责声明:IBM的顾客有确保他们拥有的是合法需求遵循的职责。这是顾客唯一的职责:获得适合合法的商议作为鉴定和阐明任何相关法律和调整需求,这些需求可能反映了客户的业务以及任何客户需要采用这个法律的行为。IBM不会提供法律建议或者担保它的服务或者产品能够保证客户是遵循的情况。
注释
1 http://www.sec.gov
2您可以从http://www.sec.gov/about/laws/soa2002.pdf阅读SOX 法案的全文
参考资料
关于作者  | 
| | Patrick McKenna 是蒙特利尔 IBM Rational Portfolio Manager 小组的一名资深的技术顾问。他负责设计用户的培训,编写项目业务管理文档,并坚持更新业务原理和部署方法的文档。在去IBM之前,他与销售团队一起,担任咨询、培训和人力资源开发方面的工作。他在各种ISO技术委员会从事了7年的工作,并为开发ISO 9000和ISO 13485国际标准做出了贡献。他拥有化学硕士和教育学硕士学位。 |
对本文的评价
| 
