我印象最深的一句话是“如果不到最后一分钟，人们就不会采取任何行动。”这句话体现了我个人的做事方式；而在我的行业中，它却是一个不成文的规律，企业应付很多年度活动时也采取这样的做法。每年从第四季度初期开始，当银行和信用社猛然意识到自己原来承诺要做的审计和评估工作在此时必须完结的时候，企业的工作量会有一个显著的增加。除此之外，监察员一般也不关心工作的时间安排，他们只关心在规定的时间内工作是否完成了，这种工作方式令人感到十分奇怪。

　　这引出了另外一个有趣的问题，关于监察员怎样操作的问题。一般说来，如果有现成的报告，他们不会发现多少（如果有的话）报告以外的东西。所以许多对信息安全和IT部分的检查关注更多的是近期的报告，除此之外没有什么其他的内容。我们总是会发现这方面的证据，当我们进行第一年审计或者评估工作时，会发现很多检查从来没有涉及到的而已存在多年的缺陷或问题。

　　过去，我曾说过几乎没有机构会制定一个当前业务连续性计划，而对这个计划是否合适的测试就更少了，这令人非常惊讶。但是，更让我惊讶的是这种情况在很多的检查范围内已经存在了许多年。怎么竟然能出现这种情况呢？

　　让我来告诉你是怎么回事的吧：根据要求，企业会提供一个文件汇总，然后情况大体是这样的，进行实地工作的监察员把他们收到的文件进行登记，然后随便看看，得出结论——“你没问题”。因为从事这个领域的人们一般时间太少，而需要顾及的东西又太多，这使得他们没有足够的时间进行深入检查。有时，一个监察员恰巧打开一个文档，审核一些关键的细节，他们可能会在文档上面做出标记或者备忘录，指出我们缺少近期业务影响的分析，但是这种情况几乎没发生过。

　　我喜欢给客户一些建议，告诉他们进行必要的产品规则遵从工作的两种原因，可以从中选择一种：第一个原因是这个工作是正确的管理机构和减少风险的方法，或者第二个原因是你不得不这样做。由于监察员的工作方式，非常多的金融机构都倾向于后者，事先准备好一个报告，在要求的时候提交。但这真的是金融机构运作的正确方法吗？

　　还有，你想一下报告的价值很大程度上是由它的内容以及从事这方面工作的从业者决定的，这种情况下，重要的问题没有被检测到的可能性难道不会增加吗？如果你所做的只是为报告支付一定费用（通常由报价最低的投标公司完成），而监察员所做的只是登记那些在合适的时间范围里完成的报告，为这样的过程担心真的有意义吗？

　　我比较侧重于说明报告的价值。我的公司长期从事查找真正风险的工作，不是简单地在检查完文件列表后出具一份证明然后就收钱走人。我们趋向于检查客户的基础设施，就如同把自己的钱存在他们那里一样，把我们所看到的跟金融服务现代化法案GLBA 和美国国家信贷联盟署 NCUA的要求直接联系起来。这种方式的价值体现在我们能够作出个金融机构董事们也可以参考的报告，而不仅仅是针对IT工作人员。

　　但是，如果没人真正关心报告的内容，而只是关心它是否存在，那么费心地好好做这项工作又有什么意义呢？

　　也许，我们的行业需要采用跟PCI人员类似的态度。也许，美国联邦储蓄保险公司（FDIC）和美国国家信贷联盟署（NCUA）应该给从业人员颁发证书，以证明他们是合格的GLBA专家。虽然在一定程度上，各个公司之间还是存在区别的，但是如果监察员只打算依靠报告的资格和完整性进行评估的话，这么做至少还应该有一个公认的标准和极大的可能性，在这一决定的背后定会有一些理由。

　　情况到了必须要改变的时候了，希望就在不远的将来。因为使用“最后一刻”的逻辑是有缺陷的，它只适用于对自己的坏习惯进行强制管理。