IT內(nèi)控是一把“雙刃劍”

　　一項調(diào)查顯示，85％的中國企業(yè)IT內(nèi)控不完善或者缺乏有效的執(zhí)行，與此同時，大多數(shù)企業(yè)管理者認為IT內(nèi)控能力不足，會成為企業(yè)發(fā)展的瓶頸。

　　內(nèi)控與風險管理需要IT技術(shù)

　　近年來，IT已經(jīng)成為推動企業(yè)發(fā)展的重要動力，企業(yè)對IT的依賴程度也越來越高，IT內(nèi)控已成為企業(yè)信息化管理中規(guī)避潛在風險的重要方法。

　　“無論是市場還是企業(yè)本身，均存在著對企業(yè)內(nèi)部控制的要求。許多國家均已頒布了相關(guān)法案，如美國的《薩班斯法案》、日本的《金融商品交易法》、中國的《企業(yè)內(nèi)部控制基本規(guī)范》等，都對企業(yè)治理、職權(quán)控制、信息發(fā)布等方面提出了嚴格的企業(yè)規(guī)則和監(jiān)管要求。”山東北方聯(lián)合會計師事務(wù)所合伙人李建軍表示。

　　“IT技術(shù)能幫助企業(yè)在內(nèi)控和風險管理過程中實現(xiàn)可行、可控和可視，使內(nèi)控規(guī)范具體落地，并且能對執(zhí)行的效果進行評估、評價和信息反饋。”GBU集團管控事業(yè)部內(nèi)控風險業(yè)務(wù)總監(jiān)劉巍表示，IT內(nèi)控是一個需要企業(yè)全員參與的體系，它的安全、穩(wěn)定和可靠尤為重要，其整個授權(quán)和相關(guān)的權(quán)限管理對技術(shù)要求非常高。同時，IT內(nèi)控是一個需要逐步建設(shè)、長期規(guī)劃的系統(tǒng)，這就要求該系統(tǒng)的架構(gòu)必須能夠滿足可擴展、個性化應(yīng)用的需求。

　　水能載舟，亦能覆舟

　　“IT技術(shù)的發(fā)展可能會讓企業(yè)作弊的手段更專業(yè)、更隱蔽，預(yù)防措施主要是防火墻、分級授權(quán)、備份、監(jiān)控到位，以杜絕外部侵入。”李建軍說。

　　“信息安全里面有這樣一句話‘投入越早，見效越好，資金投入也越少’。從成本方面考慮來講，越早投入信息安全建設(shè)，你的成本就越少。”東軟NETEYE網(wǎng)絡(luò)安全產(chǎn)品營銷中心技術(shù)總監(jiān)曹鵬這樣向記者表示。

　　IT技術(shù)對企業(yè)的內(nèi)控、對企業(yè)的管理作用不容置疑，但是也存在利用IT技術(shù)盜取企業(yè)重要信息的隱患。

　　“信息安全其實最大的一部分內(nèi)容就是監(jiān)控，隨時響應(yīng)。因為控制體系建好之后不需要經(jīng)常變化，日常工作就是監(jiān)控和響應(yīng)，而且這也代表了信息安全大部分的內(nèi)容。監(jiān)控和響應(yīng)在傳統(tǒng)情況下都由專人專職來做，這樣的效果肯定不好，因為隨著信息系統(tǒng)的飛速膨脹，人員的配套很難快速跟上。”曹鵬表示。

　　“技術(shù)”與“人”之間的橋梁

　　“面對IT風險，這就需要用一種手段，或者一種技術(shù)在人和機器之間搭建一個橋梁。”曹鵬告訴記者，現(xiàn)在東軟正在幫國內(nèi)一些單位做一套系統(tǒng)，名叫“IT綜合運維管理平臺”，這個平臺主要實現(xiàn)的功能就是可以收集我們所有搭在網(wǎng)絡(luò)中的設(shè)備，如終端的主機、安全的設(shè)備等，然后把所有這些能夠產(chǎn)生日志和事件的網(wǎng)元單位的運行信息匯總，進行關(guān)聯(lián)分析之后，再把分析處理的結(jié)果發(fā)給相應(yīng)的管理員。

　　風險無處不在、難以度量，這使得企業(yè)很難去評估風險，很多時候企業(yè)在實施IT內(nèi)控和風險管理時常常感到無從下手。IT內(nèi)控能力的提升在很大程度上取決于企業(yè)中的“技術(shù)”與“人”這兩個因素的契合程度。

　　傳統(tǒng)情況下，網(wǎng)絡(luò)中一些系統(tǒng)主機每天的日志和事件量可能成百上千，甚至上萬條。如果一天發(fā)5000條事件給一個人，讓他做出分析，這個是不現(xiàn)實的。事實上這5000條事件收集并歸類壓縮之后，可能也就15條事件是需要管理員去關(guān)注的。

　　“信息安全里還有一句話叫‘全員一致、人人參與、共同維護’。每一個信息系統(tǒng)的管理員，都應(yīng)該參與到安全系統(tǒng)的維護中�，F(xiàn)在，我們有一個公端的系統(tǒng)，可以把相應(yīng)問題發(fā)給每一個對應(yīng)的人，這樣管理員的工作就相對很輕松了。”曹鵬告訴記者，OA管理員每天只需看一下OA的事件就可以，然后把對這個問題的解決和處理方法通過公端反饋回來，這樣就可以把安全管理通過一個平臺，讓每一個人都能參與進來，然后大家共同讓整個平臺運維。