【IT168 信息化】

    内控是一个全员的工作，尤其是核心团队共同实施，因为借助信息化实施，所以一般CIO比较痛苦，我该怎么办。其实整个技术层面内控里面是一个支撑，如果说我不能一下子全做到，有一个办法分布落实，这个时候可以看到把内控条例读薄对我们有很大帮助。一个经济学的泰斗跟我说过，书里面东西比电视好，书里面东西可以让人聪明，电视可以让人变傻，因为书是可以越读越薄，把内控条例读薄对我们有很大帮助。在这个内控条例里面我们最主要是宣传、培训，让每一个落实人心，无论是美国的安然，还是经济危机美国企业高管，依旧发高额年薪，往往是因为人的不当操作导致，内控精髓是规范人的行为，让规范深入人心，同时让人难以有意、无意违反这个条例。所以我的标题就是“内控以人为本”。

    要想把内控读薄有很多范围，画了四个框。首先内控是一把手工程，从董事会，最高层要重视。第二点是整个核心团队， 共同参与设计不要指望就是IT部门做内容不可能。但是IT部门的这种支撑、架构是必不可少，我们内控所有流程都在支撑系统中，人的大脑效率是很低，我们一定确保内控条例，确保我们规范真正深入人心。往往人懂了不抵触，就会知道这样的好处。我以前的公司老板跟员工说我为什么要做好控制，因为只有我们控制住我们才可以活着，如果公司不好，员工得不好，所以公司600人一样可以进行很好了内控体系，我们有了框架以后我们怎么把内控体系读薄，构成一个企业无非是两种，一个是活生生的人，还有一个是企业资产，同时我们业务运作有业务流程和财务流程，是我们要做内控体系要关注方面，把我们这些梳理清楚以后，有了这些关注点以后，我们怎么对每一个点进行内控规范设计，在内控条例章节里面可以看到，第一章第六节，权责分配、企业愿景、人力奖惩、可审计、反舞弊。每一个设计流程关键点切分，每个点都很重要，但是每一个点流程应该怎么做的，第一我们处理任何一个流程，任何关注点的时候我们要遵循第二章到五节第一风险分析，控制措施，信息沟通，监督检查，一点可以分成20个操作步骤，不管有多少点我要抓住关键操作过程就一定可以做下去，我本来想画一个四维图，本人美工有限画不出来。

    还有一个很大的纬度就是我们网络，内部和外部网络，有这么多点我已经知道了，那么我该怎么做，今天有做窗效应。如果我想做窗等到我们所有的窗户一次性采购完，这样的话让别人认为窗户破是应该的，不破窗户我要打破，这个是一个很知名的效应叫“破窗效应”。这样的话用最快的效益，把能够修复好尽快修好，给人一个意识我不能再打破其他窗户了。这种思路一定要灌输，内控条例里面有没有可以尽快修复破窗呢。

    这是整个架构内部外部网络，内部网络关注于每个企业的个性，比如说金融、石化、科研、政府内网一定不一样。一个是设备制造商内网一定不一样，它的流程很复杂，外部网络比如说我访问互联网、访问邮件、访问外部应用是有通用的，是一种普适性很强的，不妨我们从最容易下手的地方下手，把破窗破除掉。

    这是我的心得，内控先找软柿子捏，在这种外网互联网环境里面我们可以看到，它实际上贯彻了一个企业企业文化，企业愿景，就是人员基础，我们利用互联网知道应该做什么，不应该做什么，这个是通用而不准则，因为是一个基础所以很重要，因为通用是一个软柿子，很成熟不需要我们太多考虑我们业务的关注点，在外界很多大量已经成熟可用的方法，来破除破窗。同时互联网这种行为是人的第二人生，可以反映出一个企业人的文化、思路、想法。因为我们曾经给客户做咨询的时候，我们很轻松发现哪些员工想跳槽，是一个人的思路直接体现，所以当我们了解人的思路以后，了解了关键点之后，我们想让我们其他规范深入人心会变得很容易。所以说互联网行为的内控实际上是一个已经成熟，而且成本效应更高的软柿子，我们不妨从这里下手。

    内控为两种，那么互联网内控，问题到底在哪里，我们现有体系是不是已经把内控实现了。我们来看一下，根据我们服务过很多客户的角度看，第一现有状况很普遍，内网IT没有认证，没有专业互联网接入的安全体系，会导致我们内部的人员根本不知道谁做的，我相信我们越大的网络越会采用动态的成本，这种情况我们怎么知道谁做了什么事，我们不能关注到人何谈内容，没有权限、没有规范。第二，我们互联网上可以看到无论是HTTP网页下载，还是最流行的P2P下载，还是IM的收取，都是面临企业挑战希望员工不违背的事情，大概30%是优异的网站，我听到收音机，说北京市青少年每周平均上网时间是37.5小时，如果按8小时工作日，将近5天，而且其中有一半的学生访问过色情网站。实际上可以看到这里面网页的问题很大，同时像P2P基本上没有太多用来传数据，基本上是娱乐。像IM、UML都是我们想控制的，但是却控制不住。第三点实际上在我们外网业务我们缺少有效出口，我不知道外面的文字是什么，这时候带来是本身在金融危机下避免风险是最主要的事情，规避风险，那么因为我们无法控制，接入的风险就很大。同时我们企业机密，核心信息往外发送是太简单容易的事情，我印象最深当时国内两大运营商，签署互不侵犯条约，这个时候我们对数据保护来说存在很多的问题。其实我们IT系统最重要是要付出有所得，由于我们局域网带宽很大，运营商核心网带宽也很大，我们想让企业网能够匹配这个大小不可能。第五点最重要的一点，跟企业文化有关系，我们在一个专业的报表里面可以看到，我们员工在互联网上，只有45%是查询有效资料，其它的是在做与工作无无关的事情。如果一个企业文是让员工积极向上，而在某一些工作行为当中是积极向下。的确我们想控制，但是为什么控制不之呢，可以看到，安全里面有一个很重要效应叫“独眼鹿效应”，这个“独眼鹿效应”我们默认的是防外，不防内。第二是说很多我们不希望发生的行为，往往披一个合法的外衣。现在可以看到现在的我们信息专家，80端口的迅雷，我们有太多协议。

    第三我们内容细节没有办法判断，因为我服务公司是一个研发公司，从网络传一个SP是什么我不知道，我只知道是一个文件这种情况我们怎么管理。

    我们讲两个案例，一个是华为电脑，可以看到300多带宽70%以上流量被工作无关的内容占用。第二是国家核电，自成立以来是一个部级单位。为什么和困惑，我不知道网络可以传输B2PIM里面内容是什么，但是我想知道里面内容是什么，不能让里面核心的东西出去，这是我们中国企业困惑的。在国外企业来说可以看到通用电器，还有摩根大通、环球电视，这些都很早做了互联网控制。

    有了这些问题我们怎么做，我们服务客户我们觉得我们把这个条例读清楚，互联网技术层面传统的有传输的HTTP等等，新兴的P2P，等等。在我们内控点上结合我们有哪些，第一主体健全，我们行为要符合企业远景，我们行为要可审计，要能给IT成本很大收益，我们行为能够让人力资源部进行相应控制，我这是我们在外网、内网的着眼点。管理方法我们在两年前就提出内控风险管理，就是一个典型的干预，大家遵循是螺旋式上升原理，我是任务模式不是功能模式。比如说我们设备防火墙，是把功能模式，但是不是任务模式有效灌输给我们客户以一种方法引导我们，所以我们很早提出的理念就是遵守我们风险评估。

    具体的建议，第一点无论是什么样的系统，我建议都新用一个路由器放进去。你是双面的，单面的，还是旁路接入都可以，把我们互联网出口进行这种进行下一步分析。首先建立有效的行为主体识别机制，与组织建构真实的相关可靠的真实的网。这是我们第一步主体健全。第二是我们分析进行相应的风险分析，我们知道有网站，应用，流量问题，为什么搜索习惯写在里面，我们曾经用一分钟的时间搜索，就是一个员工做什么，虽然就是几个字，十几条，这种搜索习惯很容易看到企业的员工的心态。第二，我们专业网页应用完善自己监督与控制，是内控体系第二步，我们是借助全球最大的中文搜索部，对各种各样外发信息内容，大小，人员行为识别，对流量通过我们独有通道来有效控制，可以能够让我们安全体系、能够让我们互联网控制体系达到有效的控制。第三点是最最重要的，一个我们解决方案决不能是看，控，一定是可分析、可统计、可查询。这个是我们内控里面很重要，我如果持续发现我们网络有新的问题出现，流量有异常，不断发现我们有异常，不断地和我们主管公司高层沟通，发布报表可以有效让这种制度落实到人心，让大家知道我该怎么做。

    通过对外网的内控体系、内控思路、内控方法的灌输，我相信合法、合规行为将将一个积极向上企业文化提心，信息保密，外发控制会得到有效，同时资产保护也会得到很大的保护。