IT部门要做的事情

    如果说凯维埃尔涉嫌违规以及兴业银行对此视而不见还有什么好处的话，那就是这起事件会促使公司主管们谈论各自公司内部的风险管理和IT控制。

    克劳福德表示，这种讨论会从一些简单的话题开始，比如询问一系列假设性问题。这些问题包括：
 

    •你能够察觉表明实际面临风险比你所认识的还要大的异常情况吗？有没有出现什么不良事件？IT部门能察觉表明你可能遭受这种性质的事件吗？如果这样，你应当关注哪种异常情况？
 

    •为高风险的高层员工提供的授权和权限是不是过于宽松？提供给每个角色或每个用户的授权是不是基本上使明确的职务分离毫无成效？公司有没有足够到位的机制来监控这种行为？确保落实职务分离的控制机制效果又如何？
 

    •有什么异常行为表明你可能面临比较大的风险？你的控制系统或者指标本身可能受到破坏的风险有多大？你有什么办法可以落实更有效的控制机制、又仍能利用新的商业机遇？

    克劳福德强调：“要对人员能做的事情进行限制，还要对技术能做的事情进行限制。”不过眼下有好多问题需要公司加以关注，比如高层员工共享访问权限。
 

    他说：“技能娴熟的专业人员熟悉系统架构，尤其熟悉如何潜入进去，这个问题是兴业银行案所暴露出来的最大风险之一。”
说到底，公司明白自己所作的取舍，以及愿意自己的公司可以承受多大的风险，这点至关重要。
 

    克劳福德说：“许多公司只是现在才开始认识到IT环境里面的控制。如果你把整个公司和发展战略都寄托在IT控制身上，那么公司就应该确保这些控制拥有相当强的抗破坏能力。”