随着现代科技的不断发展和渗透，处于信息时代的企业，业务经营活动、各种数据以及财务报告的产生与传递，越来越多地依赖IT系统的自动化处理，高度自动化的过程，带给企业高效率的同时也带来业务风险。那么IT如何去控制这些风险，最大化发挥IT价值帮助企业的业务发展，是每一位信息化管理者正在思考的问题。到底该如何着手去做这事情，记者采访了耐世特汽车系统(苏州)有限公司IT经理刘哲，他结合公司实际经验，分享了IT风险控制，防大于治的观点。

　　好制度造就“人人有责”的风险管理文化

　　耐世特汽车系统公司是转向系统及相关先进技术的全球供应商，该公司为通用、福特、克莱斯勒、大众、标致雪铁龙、菲亚特、宝马等60多家汽车制造商设计、制造、销售电动助力转向器、液压助力转向器、转向管柱和传动轴产品，是全球一级汽车零部件供应商。公司在全球34个国家和地区设有制造厂、客户服务中心和技术研发中心，在苏州分布着两个工厂和一个研发中心，同时，在苏州部署了亚太区的一个数据中心。面对公司如此庞大的组织和信息化要求，做到有效控制IT所可能面临的风险，是至关重要的。

　　建立完善和健全的风险控制制度，是IT风险控制的前提条件，也是最重要的。一般来说，在规划信息化的时候，除了要关注IT技术外，更要建立能使IT正常运转的制度，或者称为IT治理机制。通过机制的建立，清楚的定义出IT组织可提供什么样的服务，强调IT风险控制其实就是企业重要的组成部分，继而通过推动流程优化、操作规范等控管手段，达到完善IT治理，减少IT风险的目的。

　　据资料显示，经常对泄密的事件调查后发现，一般是内部人员的不注意造成的后果远远大于外部人的窃取。刘哲介绍说：”在耐世特内部，即便是IT经理也没有任何应用系统方面的访问特权。我们选取HP作为全球的基础架构支持服务提供商，不单单是出于技术层面的考虑，主要是由第三方控制管控IT系统的访问权限，更能有效地隔绝那些’不经意’的信息泄漏。经常有用户过来，会跟我说请帮忙在某个目录下开个权限。但我只能告诉他，很不好意思我没有这个权限，作为IT经理也并具有任何超级权限。”这就是通过制度对内部人员进行权责分明，实现防治风险的有效方法，ITSOX中的”Segregationofduties”就是这样被有效实现的。

　　同时耐世特选择通过实行外包，有效转嫁部分风险给有着专业管理的第三方供应商，专业的人做专业的事，其抗风险性会更强。”比如说，我们去年就把公司的邮件系统转移到了Google的云计算平台上，至少我比较不担心因为服务器问题导致数据丢失邮件的状况了。Google的数据中心会比较专业。”刘哲笑着说。

　　在耐世特有很好的团队合作和追求卓越的氛围，制度的制定不只是单个部门在运作，IT的风险控制其实是涵盖在整个公司的风险控制框架内的。全民动员做管控，包括财务、人力资源、质量等部门。比如每个员工入职时，人力资源部会要求签阅员工手册，并告知公司信息安全方针。同时，除了每年接受外部事务所的IT年审外，公司还设有专门的内控审计小组，对IT流程进行评估，并针对每次的审计结果再次给出合理化流程，形成不断改进良性循环的文化。

　　练好内功加强对风险未知性的管理

　　人们都知道，最大的风险来源于对问题的未知性。面对日益复杂IT运行环境，随着系统越来越多，可能产生的问题也是越来越多。信息部门最重要的工作之一就是评估相关风险对企业的经营的影响，并有效加以控制。刘哲说：”IT只有先修练好内功，做好一笔清晰的账本，才能做到有效管理”。他说到的修炼内功，指的是该公司基于ITIL的实践框架，利用了开源软件，构建了属于IT自己的运行维护管理系统，通过系统管理所有用户的账号情况、固定资产、维保及合约管理等日常流程，用零投入的方式实现了IT业务流程的系统化。

　　IT风险是一种潜在的可能，是指某些威胁将会造成IT资产甚至相关资产的损失或者破坏。因此尽可能地将自己知道的风险情况，把所有可能的事情都列举出来，防患于未然。随时随刻都清晰明了的掌控所有资产和用户的安全状况，比如电脑和账户管理，可精确到每台电脑位置在哪里，谁在用，电脑编号，更换情况等。这种集中管理账户的模式，既明显减少管理工作量也大幅提高了效率，所有账户的管理都不再各自为政，而是归并到统一的管理平台上，全公司员工的应用授权工作可以一步到位。

　　在正常情况下系统运行稳定，也会很少遇到风险，但问题和错误往往会出现在变更中，因此如何做好变更管理也是风险控制中最至关重要的一环。公司有很多的服务器和网络设备，为了保证正常运行，每年都会做维保。该系统能提供保单情况跟踪，定期有email提醒是否需要续保或定期保养。对于应用系统变更，会控制到每次变更到哪一步、追踪步骤、故障情况、修理状况，以及最终解决结果，直观清晰地展示给相关技术人员，从而保障了业务连续性，最小限度地减少业务损失。

　　实施人性化精益管理，有效防错机制

　　有效的安全防卫不仅是技术问题，也是一个管理问题，只有在人性化管理下才能实施有效防错机制。作为IT经理，刘哲就很关心用户的不同特质，继而制定行之有效的IT机制。比如他关注到新员工特别是80，90后中，微博渐渐取代了短信的趋势。可能几年前，我们还在为对办公室上网行为做那些限制而努力，哪些网站不能上，哪些端口要封，相比现在虽然也有限制，但这些限制已经变得越来越无力。每人都有手机，公司又不可能颁布禁止员工带手机或者屏蔽信号等不合时宜的举措。因此他认为，作为IT管理者，应该换一个角度来看，时代在不停进步和发展，千百年的故事和道理告诉我们：疏胜于堵。

　　在IT风险控制上，有的风险随着信息化的发展越来越大众化，因此IT人员不仅关注设备上的管理，还要对人员进行疏导和培训。教员工如何保护自己的隐私不被泄露，如何利用软件在手机上、电脑上进行数据保护。通过这样的人性化的知识传输，员工更容易接受。在教员工如何保护自己隐私的同时，也保护了公司的数据安全。

　　同时对文件的管理，耐世特有很详细的规定，实行将文件分类分级管理，会设定哪些文件是机密类型，哪些是绝对不能放在共享盘的，哪个部门可以看哪些文件。比如对于汽车行业最重要的工程图纸之类是高度保密的，就不能放在公共平台上。同时设定每个目录都有数据责任人，负责管理该类别下的所有文件和使用者权限，使用者必须要获得该责任人的授权。IT部门还会定期跟这些责任人核对管理和执行情况，详细查看各目录的所有文件和被授权者状态，对由于人员变更可能出现的问题加以分析和指导。

　　作为汽车行业的耐世特提倡精益管理，在为顾客提供满意的产品和服务的同时，努力把浪费降到最低程度。IT风险控制提倡任何防错的机制，与其防治不如避免错误的发生，努力消除或降低风险的可能性。比如面对现在五花八门纷繁复杂的加密软件，与其要一个个安装实施，还不如教他哪些资料不要放上去了。当然我们不是讳疾忌医，并不是因为有风险就什么都不敢做不去做，是要做到有选择、有区别的操作。

　　最后，刘哲还强调：每个公司的IT要有一个自己的底线，哪些是一定要控制住的，哪些是可以放开的，是必须严格要求执行的。