一项调查显示,85%的中国企业IT内控不完善或者缺乏有效的执行,与此同时,大多数企业管理者认为IT内控能力不足,会成为企业发展的瓶颈。
内控与风险管理需要IT技术
近年来,IT已经成为推动企业发展的重要动力,企业对IT的依赖程度也越来越高,IT内控已成为企业信息化管理中规避潜在风险的重要方法。
“无论是市场还是企业本身,均存在着对企业内部控制的要求。许多国家均已颁布了相关法案,如美国的《萨班斯法案》、日本的《金融商品交易法》、中国的《企业内部控制基本规范》等,都对企业治理、职权控制、信息发布等方面提出了严格的企业规则和监管要求。”山东北方联合会计师事务所合伙人李建军表示。
“IT技术能帮助企业在内控和风险管理过程中实现可行、可控和可视,使内控规范具体落地,并且能对执行的效果进行评估、评价和信息反馈。”GBU集团管控事业部内控风险业务总监刘巍表示,IT内控是一个需要企业全员参与的体系,它的安全、稳定和可靠尤为重要,其整个授权和相关的权限管理对技术要求非常高。同时,IT内控是一个需要逐步建设、长期规划的系统,这就要求该系统的架构必须能够满足可扩展、个性化应用的需求。
水能载舟,亦能覆舟
“IT技术的发展可能会让企业作弊的手段更专业、更隐蔽,预防措施主要是防火墙、分级授权、备份、监控到位,以杜绝外部侵入。”李建军说。
“信息安全里面有这样一句话‘投入越早,见效越好,资金投入也越少’。从成本方面考虑来讲,越早投入信息安全建设,你的成本就越少。”东软NETEYE网络安全产品营销中心技术总监曹鹏这样向记者表示。
IT技术对企业的内控、对企业的管理作用不容置疑,但是也存在利用IT技术盗取企业重要信息的隐患。
“信息安全其实最大的一部分内容就是监控,随时响应。因为控制体系建好之后不需要经常变化,日常工作就是监控和响应,而且这也代表了信息安全大部分的内容。监控和响应在传统情况下都由专人专职来做,这样的效果肯定不好,因为随着信息系统的飞速膨胀,人员的配套很难快速跟上。”曹鹏表示。
“技术”与“人”之间的桥梁
“面对IT风险,这就需要用一种手段,或者一种技术在人和机器之间搭建一个桥梁。”曹鹏告诉记者,现在东软正在帮国内一些单位做一套系统,名叫“IT综合运维管理平台”,这个平台主要实现的功能就是可以收集我们所有搭在网络中的设备,如终端的主机、安全的设备等,然后把所有这些能够产生日志和事件的网元单位的运行信息汇总,进行关联分析之后,再把分析处理的结果发给相应的管理员。
风险无处不在、难以度量,这使得企业很难去评估风险,很多时候企业在实施IT内控和风险管理时常常感到无从下手。IT内控能力的提升在很大程度上取决于企业中的“技术”与“人”这两个因素的契合程度。
传统情况下,网络中一些系统主机每天的日志和事件量可能成百上千,甚至上万条。如果一天发5000条事件给一个人,让他做出分析,这个是不现实的。事实上这5000条事件收集并归类压缩之后,可能也就15条事件是需要管理员去关注的。
“信息安全里还有一句话叫‘全员一致、人人参与、共同维护’。每一个信息系统的管理员,都应该参与到安全系统的维护中。现在,我们有一个公端的系统,可以把相应问题发给每一个对应的人,这样管理员的工作就相对很轻松了。”曹鹏告诉记者,OA管理员每天只需看一下OA的事件就可以,然后把对这个问题的解决和处理方法通过公端反馈回来,这样就可以把安全管理通过一个平台,让每一个人都能参与进来,然后大家共同让整个平台运维。