IT内控是一把“双刃剑”

　　一项调查显示，85％的中国企业IT内控不完善或者缺乏有效的执行，与此同时，大多数企业管理者认为IT内控能力不足，会成为企业发展的瓶颈。

　　内控与风险管理需要IT技术

　　近年来，IT已经成为推动企业发展的重要动力，企业对IT的依赖程度也越来越高，IT内控已成为企业信息化管理中规避潜在风险的重要方法。

　　“无论是市场还是企业本身，均存在着对企业内部控制的要求。许多国家均已颁布了相关法案，如美国的《萨班斯法案》、日本的《金融商品交易法》、中国的《企业内部控制基本规范》等，都对企业治理、职权控制、信息发布等方面提出了严格的企业规则和监管要求。”山东北方联合会计师事务所合伙人李建军表示。

　　“IT技术能帮助企业在内控和风险管理过程中实现可行、可控和可视，使内控规范具体落地，并且能对执行的效果进行评估、评价和信息反馈。”GBU集团管控事业部内控风险业务总监刘巍表示，IT内控是一个需要企业全员参与的体系，它的安全、稳定和可靠尤为重要，其整个授权和相关的权限管理对技术要求非常高。同时，IT内控是一个需要逐步建设、长期规划的系统，这就要求该系统的架构必须能够满足可扩展、个性化应用的需求。

　　水能载舟，亦能覆舟

　　“IT技术的发展可能会让企业作弊的手段更专业、更隐蔽，预防措施主要是防火墙、分级授权、备份、监控到位，以杜绝外部侵入。”李建军说。

　　“信息安全里面有这样一句话‘投入越早，见效越好，资金投入也越少’。从成本方面考虑来讲，越早投入信息安全建设，你的成本就越少。”东软NetEye网络安全产品营销中心技术总监曹鹏这样向记者表示。

　　IT技术对企业的内控、对企业的管理作用不容置疑，但是也存在利用IT技术盗取企业重要信息的隐患。

　　“信息安全其实最大的一部分内容就是监控，随时响应。因为控制体系建好之后不需要经常变化，日常工作就是监控和响应，而且这也代表了信息安全大部分的内容。监控和响应在传统情况下都由专人专职来做，这样的效果肯定不好，因为随着信息系统的飞速膨胀，人员的配套很难快速跟上。”曹鹏表示。

　　“技术”与“人”之间的桥梁

　　“面对IT风险，这就需要用一种手段，或者一种技术在人和机器之间搭建一个桥梁。”曹鹏告诉记者，现在东软正在帮国内一些单位做一套系统，名叫“IT综合运维管理平台”，这个平台主要实现的功能就是可以收集我们所有搭在网络中的设备，如终端的主机、安全的设备等，然后把所有这些能够产生日志和事件的网元单位的运行信息汇总，进行关联分析之后，再把分析处理的结果发给相应的管理员。

　　风险无处不在、难以度量，这使得企业很难去评估风险，很多时候企业在实施IT内控和风险管理时常常感到无从下手。IT内控能力的提升在很大程度上取决于企业中的“技术”与“人”这两个因素的契合程度。

　　传统情况下，网络中一些系统主机每天的日志和事件量可能成百上千，甚至上万条。如果一天发5000条事件给一个人，让他做出分析，这个是不现实的。事实上这5000条事件收集并归类压缩之后，可能也就15条事件是需要管理员去关注的。

　　“信息安全里还有一句话叫‘全员一致、人人参与、共同维护’。每一个信息系统的管理员，都应该参与到安全系统的维护中。现在，我们有一个公端的系统，可以把相应问题发给每一个对应的人，这样管理员的工作就相对很轻松了。”曹鹏告诉记者，OA管理员每天只需看一下OA的事件就可以，然后把对这个问题的解决和处理方法通过公端反馈回来，这样就可以把安全管理通过一个平台，让每一个人都能参与进来，然后大家共同让整个平台运维。