|
2009上市公司内控管理与信息化建设论坛 速记
2009上市公司内控管理与信息化建设论坛 会议纪要 2009年5月15日 上午
主持人:非常感谢姜处长。下面有请网康科技服务部总监陆续周先生。 陆续周:很荣幸有这个机会,跟各位专家交流一下内控体系,我本身有在一个大企业做过10年的IT系统,而且比较早的实现了有关的业务内控,我的交流分五个部分,引言,把内控条例读薄。 内控刚才也讲了是一个全员的工作,尤其是核心团队共同实施,因为借助信息化实施,所以一般CIO比较痛苦,我该怎么办。其实整个技术层面内控里面是一个支撑,如果说我不能一下子全做到,有一个办法分布落实,这个时候可以看到把内控条例读薄对我们有很大帮助。一个经济学的泰斗跟我说过,书里面东西比电视好,书里面东西可以让人聪明,电视可以让人变傻,因为书是可以越读越薄,把内控条例读薄对我们有很大帮助。在这个内控条例里面我们最主要是宣传、培训,让每一个落实人心,无论是美国的安然,还是经济危机美国企业高管,依旧发高额年薪,往往是因为人的不当操作导致,内控精髓是规范人的行为,让规范深入人心,同时让人难以有意、无意违反这个条例。所以我的标题就是“内控以人为本”。 我觉得要想把内控读薄有很多范围,画了四个框。首先内控是一把手工程,从董事会,最高层要重视。第二点是整个核心团队, 共同参与设计不要指望就是IT部门做内容不可能。但是IT部门的这种支撑、架构是必不可少,我们内控所有流程都在支撑系统中,人的大脑效率是很低,我们一定确保内控条例,确保我们规范真正深入人心。往往人懂了不抵触,就会知道这样的好处。我以前的公司老板跟员工说我为什么要做好控制,因为只有我们控制住我们才可以活着,如果公司不好,员工得不好,所以公司600人一样可以进行很好了内控体系,我们有了框架以后我们怎么把内控体系读薄,构成一个企业无非是两种,一个是活生生的人,还有一个是企业资产,同时我们业务运作有业务流程和财务流程,是我们要做内控体系要关注方面,把我们这些梳理清楚以后,有了这些关注点以后,我们怎么对每一个点进行内控规范设计,在内控条例章节里面可以看到,第一章第六节,权责分配、企业愿景、人力奖惩、可审计、反舞弊。每一个设计流程关键点切分,每个点都很重要,但是每一个点流程应该怎么做的,第一我们处理任何一个流程,任何关注点的时候我们要遵循第二章到五节第一风险分析,控制措施,信息沟通,监督检查,一点可以分成20个操作步骤,不管有多少点我要抓住关键操作过程就一定可以做下去,我本来想画一个四维图,本人美工有限画不出来。 我觉得还有一个很大的纬度就是我们网络,内部和外部网络,有这么多点我已经知道了,那么我该怎么做,今天有做窗效应。如果我想做窗等到我们所有的窗户一次性采购完,这样的话让别人认为窗户破是应该的,不破窗户我要打破,这个是一个很知名的效应叫“破窗效应”。这样的话用最快的效益,把能够修复好尽快修好,给人一个意识我不能再打破其他窗户了。这种思路一定要灌输,内控条例里面有没有可以尽快修复破窗呢。 这是整个架构内部外部网络,内部网络关注于每个企业的个性,比如说金融、石化、科研、政府内网一定不一样。一个是设备制造商内网一定不一样,它的流程很复杂,外部网络比如说我访问互联网、访问邮件、访问外部应用是有通用的,是一种普适性很强的,不妨我们从最容易下手的地方下手,把破窗破除掉。 这是我的心得,内控先找软柿子捏,在这种外网互联网环境里面我们可以看到,它实际上贯彻了一个企业企业文化,企业愿景,就是人员基础,我们利用互联网知道应该做什么,不应该做什么,这个是通用而不准则,因为是一个基础所以很重要,因为通用是一个软柿子,很成熟不需要我们太多考虑我们业务的关注点,在外界很多大量已经成熟可用的方法,来破除破窗。同时互联网这种行为是人的第二人生,可以反映出一个企业人的文化、思路、想法。因为我们曾经给客户做咨询的时候,我们很轻松发现哪些员工想跳槽,是一个人的思路直接体现,所以当我们了解人的思路以后,了解了关键点之后,我们想让我们其他规范深入人心会变得很容易。所以说互联网行为的内控实际上是一个已经成熟,而且成本效应更高的软柿子,我们不妨从这里下手。 内控为两种,那么互联网内控,问题到底在哪里,我们现有体系是不是已经把内控实现了。我们来看一下,根据我们服务过很多客户的角度看,第一现有状况很普遍,内网IT没有认证,没有专业互联网接入的安全体系,会导致我们内部的人员根本不知道谁做的,我相信我们越大的网络越会采用动态的成本,这种情况我们怎么知道谁做了什么事,我们不能关注到人何谈内容,没有权限、没有规范。第二,我们互联网上可以看到无论是HTTP网页下载,还是最流行的P2P下载,还是IM的收取,都是面临企业挑战希望员工不违背的事情,大概30%是国家级的网站,我听到收音机,说北京市青少年每周平均上网时间是37.5小时,如果按8小时工作日,将近5天,而且其中有一半的学生访问过色情网站。实际上可以看到这里面网页的问题很大,同时像P2P基本上没有太多用来传数据,基本上是娱乐。像IM、UML都是我们想控制的,但是却控制不住。第三点实际上在我们外网业务我们缺少有效出口,我不知道外面的文字是什么,这时候带来是本身在金融危机下避免风险是最主要的事情,规避风险,那么因为我们无法控制,接入的风险就很大。同时我们企业机密,核心信息往外发送是太简单容易的事情,我印象最深当时国内两大运营商,签署互不侵犯条约,这个时候我们对数据保护来说存在很多的问题。其实我们IT系统最重要是要付出有所得,由于我们局域网带宽很大,运营商核心网带宽也很大,我们想让企业网能够匹配这个大小不可能。第五点最重要的一点,跟企业文化有关系,我们在一个专业的报表里面可以看到,我们员工在互联网上,只有45%是查询有效资料,其它的是在做与工作无无关的事情。如果一个企业文是让员工积极向上,而在某一些工作行为当中是积极向下。的确我们想控制,但是为什么控制不之呢,可以看到,安全里面有一个很重要效应叫“独眼鹿效应”,这个“独眼鹿效应”我们默认的是防外,不防内。第二是说很多我们不希望发生的行为,往往披一个合法的外衣。现在可以看到现在的我们信息专家,80端口的迅雷,我们有太多协议。 第三我们内容细节没有办法判断,因为我服务公司是一个研发公司,从网络传一个SP是什么我不知道,我只知道是一个文件这种情况我们怎么管理。 我们讲两个案例,一个是华为电脑,可以看到300多带宽70%以上流量被工作无关的内容占用。第二是国家核电,自成立以来是一个部级单位。为什么和困惑,我不知道网络可以传输B2PIM里面内容是什么,但是我想知道里面内容是什么,不能让里面核心的东西出去,这是我们中国企业困惑的。在国外企业来说可以看到通用电器,还有摩根大通、环球电视,这些都很早做了互联网控制。 有了这些问题我们怎么做,我们服务客户我们觉得我们把这个条例读清楚,互联网技术层面传统的有传输的HTTP等等,新兴的P2P,等等。在我们内控点上结合我们有哪些,第一主体健全,我们行为要符合企业远景,我们行为要可审计,要能给IT成本很大收益,我们行为能够让人力资源部进行相应控制,我这是我们在外网、内网的着眼点。管理方法我们在两年前就提出内控风险管理,就是一个典型的干预,大家遵循是螺旋式上升原理,我是任务模式不是功能模式。比如说我们设备防火墙,是把功能模式,但是不是任务模式有效灌输给我们客户以一种方法引导我们,所以我们很早提出的理念就是遵守我们风险评估。 具体的建议,第一点无论是什么样的系统,我建议都新用一个路由器放进去。你是双面的,单面的,还是旁路接入都可以,把我们互联网出口进行这种进行下一步分析。首先建立有效的行为主体识别机制,与组织建构真实的相关可靠的真实的网。这是我们第一步主体健全。第二是我们分析进行相应的风险分析,我们知道有网站,应用,流量问题,为什么搜索习惯写在里面,我们曾经用一分钟的时间搜索,就是一个员工做什么,虽然就是几个字,十几条,这种搜索习惯很容易看到企业的员工的心态。第二,我们专业网页应用完善自己监督与控制,是内控体系第二步,我们是借助全球最大的中文搜索部,对各种各样外发信息内容,大小,人员行为识别,对流量通过我们独有通道来有效控制,可以能够让我们安全体系、能够让我们互联网控制体系达到有效的控制。第三点是最最重要的,一个我们解决方案决不能是看,控,一定是可分析、可统计、可查询。这个是我们内控里面很重要,我如果持续发现我们网络有新的问题出现,流量有异常,不断发现我们有异常,不断地和我们主管公司高层沟通,发布报表可以有效让这种制度落实到人心,让大家知道我该怎么做。 通过对外网的内控体系、内控思路、内控方法的灌输,我相信合法、合规行为将将一个积极向上企业文化提心,信息保密,外发控制会得到有效,同时资产保护也会得到很大的保护。当时华北电网部署网上体系以后,带宽下降了150兆,国家核电全网采购了我们的体系,他的所有代发体系就健全了。 这是网康的服务案例,大家都是全网采购,无论是国家部委,这是最大金融机构,国内很大上市公司,还有制造业、媒体,各个区域像华北电网等等。可以看到通过部署这些装置,很有效的能够管理企业。 网康公司实际上已经持续5年为互联网提供专业服务,我们以每年300%速度提升。我们价值,我们理念是以人为本互联网管理思路,以人为本价值呈现我们在第8层上,我们希望能够在第8次做到人与技术完美结合,服务于我们中国企业上好网,用好网谢谢大家。
责编:王丹
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
最新专题
专家专栏
|
|