IT內(nèi)控是一把“雙刃劍”

　　一項(xiàng)調(diào)查顯示，85％的中國企業(yè)IT內(nèi)控不完善或者缺乏有效的執(zhí)行，與此同時(shí)，大多數(shù)企業(yè)管理者認(rèn)為IT內(nèi)控能力不足，會(huì)成為企業(yè)發(fā)展的瓶頸。

　　內(nèi)控與風(fēng)險(xiǎn)管理需要IT技術(shù)

　　近年來，IT已經(jīng)成為推動(dòng)企業(yè)發(fā)展的重要?jiǎng)恿�，企業(yè)對(duì)IT的依賴程度也越來越高，IT內(nèi)控已成為企業(yè)信息化管理中規(guī)避潛在風(fēng)險(xiǎn)的重要方法。

　　“無論是市場還是企業(yè)本身，均存在著對(duì)企業(yè)內(nèi)部控制的要求。許多國家均已頒布了相關(guān)法案，如美國的《薩班斯法案》、日本的《金融商品交易法》、中國的《企業(yè)內(nèi)部控制基本規(guī)范》等，都對(duì)企業(yè)治理、職權(quán)控制、信息發(fā)布等方面提出了嚴(yán)格的企業(yè)規(guī)則和監(jiān)管要求。”山東北方聯(lián)合會(huì)計(jì)師事務(wù)所合伙人李建軍表示。

　　“IT技術(shù)能幫助企業(yè)在內(nèi)控和風(fēng)險(xiǎn)管理過程中實(shí)現(xiàn)可行、可控和可視，使內(nèi)控規(guī)范具體落地，并且能對(duì)執(zhí)行的效果進(jìn)行評(píng)估、評(píng)價(jià)和信息反饋。”GBU集團(tuán)管控事業(yè)部內(nèi)控風(fēng)險(xiǎn)業(yè)務(wù)總監(jiān)劉巍表示，IT內(nèi)控是一個(gè)需要企業(yè)全員參與的體系，它的安全、穩(wěn)定和可靠尤為重要，其整個(gè)授權(quán)和相關(guān)的權(quán)限管理對(duì)技術(shù)要求非常高。同時(shí)，IT內(nèi)控是一個(gè)需要逐步建設(shè)、長期規(guī)劃的系統(tǒng)，這就要求該系統(tǒng)的架構(gòu)必須能夠滿足可擴(kuò)展、個(gè)性化應(yīng)用的需求。

　　水能載舟，亦能覆舟

　　“IT技術(shù)的發(fā)展可能會(huì)讓企業(yè)作弊的手段更專業(yè)、更隱蔽，預(yù)防措施主要是防火墻、分級(jí)授權(quán)、備份、監(jiān)控到位，以杜絕外部侵入。”李建軍說。

　　“信息安全里面有這樣一句話‘投入越早，見效越好，資金投入也越少’。從成本方面考慮來講，越早投入信息安全建設(shè)，你的成本就越少。”東軟NETEYE網(wǎng)絡(luò)安全產(chǎn)品營銷中心技術(shù)總監(jiān)曹鵬這樣向記者表示。

　　IT技術(shù)對(duì)企業(yè)的內(nèi)控、對(duì)企業(yè)的管理作用不容置疑，但是也存在利用IT技術(shù)盜取企業(yè)重要信息的隱患。

　　“信息安全其實(shí)最大的一部分內(nèi)容就是監(jiān)控，隨時(shí)響應(yīng)。因?yàn)榭刂企w系建好之后不需要經(jīng)常變化，日常工作就是監(jiān)控和響應(yīng)，而且這也代表了信息安全大部分的內(nèi)容。監(jiān)控和響應(yīng)在傳統(tǒng)情況下都由專人專職來做，這樣的效果肯定不好，因?yàn)殡S著信息系統(tǒng)的飛速膨脹，人員的配套很難快速跟上。”曹鵬表示。

　　“技術(shù)”與“人”之間的橋梁

　　“面對(duì)IT風(fēng)險(xiǎn)，這就需要用一種手段，或者一種技術(shù)在人和機(jī)器之間搭建一個(gè)橋梁。”曹鵬告訴記者，現(xiàn)在東軟正在幫國內(nèi)一些單位做一套系統(tǒng)，名叫“IT綜合運(yùn)維管理平臺(tái)”，這個(gè)平臺(tái)主要實(shí)現(xiàn)的功能就是可以收集我們所有搭在網(wǎng)絡(luò)中的設(shè)備，如終端的主機(jī)、安全的設(shè)備等，然后把所有這些能夠產(chǎn)生日志和事件的網(wǎng)元單位的運(yùn)行信息匯總，進(jìn)行關(guān)聯(lián)分析之后，再把分析處理的結(jié)果發(fā)給相應(yīng)的管理員。

　　風(fēng)險(xiǎn)無處不在、難以度量，這使得企業(yè)很難去評(píng)估風(fēng)險(xiǎn)，很多時(shí)候企業(yè)在實(shí)施IT內(nèi)控和風(fēng)險(xiǎn)管理時(shí)常常感到無從下手。IT內(nèi)控能力的提升在很大程度上取決于企業(yè)中的“技術(shù)”與“人”這兩個(gè)因素的契合程度。

　　傳統(tǒng)情況下，網(wǎng)絡(luò)中一些系統(tǒng)主機(jī)每天的日志和事件量可能成百上千，甚至上萬條。如果一天發(fā)5000條事件給一個(gè)人，讓他做出分析，這個(gè)是不現(xiàn)實(shí)的。事實(shí)上這5000條事件收集并歸類壓縮之后，可能也就15條事件是需要管理員去關(guān)注的。

　　“信息安全里還有一句話叫‘全員一致、人人參與、共同維護(hù)’。每一個(gè)信息系統(tǒng)的管理員，都應(yīng)該參與到安全系統(tǒng)的維護(hù)中�，F(xiàn)在，我們有一個(gè)公端的系統(tǒng)，可以把相應(yīng)問題發(fā)給每一個(gè)對(duì)應(yīng)的人，這樣管理員的工作就相對(duì)很輕松了。”曹鵬告訴記者，OA管理員每天只需看一下OA的事件就可以，然后把對(duì)這個(gè)問題的解決和處理方法通過公端反饋回來，這樣就可以把安全管理通過一個(gè)平臺(tái)，讓每一個(gè)人都能參與進(jìn)來，然后大家共同讓整個(gè)平臺(tái)運(yùn)維。