赵彦利：风险管理是一把双刃剑

　　比特网记者就企业内部控制规范相关事宜采访了山石网科副总裁赵彦利先生。

　　嘉宾介绍：

　　赵彦利先生现任Hillstone副总裁，具有14年的网络安全经验，全面负责公司的整体市场营销战略及售前和售后部门的运作。加入Hillstone之前，赵彦利先生曾分别担任Fortinet大中华区技术总监，CipherTrust中国区技术总监等职，对网络安全行业从技术到市场拥有深刻的见地。2000年3月到2004年10月，担任NetScreen中国区技术总监，成功地将NetScreen产品推广到电信、银行和大中型企业，成为国内最大市场份额的安全品牌。

　　记者：在中国企业加快融入全球经济一体化进程的背景下，大多数中国企业集团已经是上市或拟上市的公司，而集团层面的内控与风险管控可谓这些企业当前应对经济危机的核心。为贯彻实施“基本规范”，很多企业已经逐步构建了内控与风险管理的各种制度体系，但真正借助信息化系统刚性实施内控与风险管理者，还为数甚少。您是如何看待这个问题的?

　　赵彦利：我觉得任何一个事情在实施的时候都需要有一个过程，首先我觉得对这个问题的理解，实际来讲，需要企业的管理层也有充分的认知。在这个前提下，我们要有相应的策略，然后有更加完善的想法来跟得上法规的实施。作为一个企业的管理者来讲，我们需要充分去认识法规的重要性，因为它一方面是衡量我们企业的一个尺子，去规范我们企业的管理行为。同时，又是来帮助你去化解或规避管理中的一种风险，是一把双刃剑，作为一个企业来讲，一个成功的企业必须要围绕这个法规要做更多的工作，要有更多的手段来提供相应可实施的方案，在这种实施的过程中，我觉得IT手段是必不可少的。很多的时候我们在讲，管理很重要的是我们管理的思维方式，同时，我们也有相应的一种手段，你有管理的意识之后，你要落实下来，落实的过程之中你就必须要有很好的手段。

　　实际来讲，在企业的这种经营过程中，目前越来越依靠以IT的手段来提供更好的防控措施。那么IT手段的这种防控，实际来讲，给我们企业有很多的课题可以做，比如我们日常的采购行为，我们日常和客户之间的订立合同流程，甚至我们在企业财务上的一些审计，包括我们日常内部的开发流程等等，各个环节是不是符合法规的要求，在每个层面上我们可能都需要有更好的防控措施来完善这种法规的执行。这块我们也是在我们自身的企业里边也在充分的去理解的方针，包括我们自身的一些企业经营管理各个基本环节里边也都在朝着这个方向在努力。实际来讲，一方面我们自身企业需要这个手段，同时我们也有更多的这种想法，为企业在这方面做更多的工作，然后有更多的方法来提高管理手段和效率。

　　记者：对于企业而言，存在着许多风险，作为一名管理者该如何发现公司的那些环节存在漏洞并且制定相关的规章制度，从而有效的对可能存在的风险进行管控。

　　赵彦利：这是一个比较大的一个话题，实际上来讲，在管理的时候一方面是管理者本身自身的一些经验，依靠他的经验，然后去规避一些风险，或者是潜在的一些问题。这些都是人为的经验，然而现在大型企业的运营过程中的复杂程度就造成了你单纯的靠人工的方式是很难去发现和规避，或者是预测这种风险，很多时候要借助于更加完善的一种IT信息化的手段。比如说我们企业都会有上ERP的系统，ERP本身在整个这种企业管理上讲，每个环节上都会有一个非常好的流程去控制企业的风险，这是一种相关的运行手段。

　　在其他的日常管理上，我们在制定策略的时候要更加充分的理解整个各个环节里存在的风险，然后在制定政策的时候，或者我们在实施电子化的过程中，我们也都会有更加充分的想法来规避这些风险，比如说我们日常的一些邮件，包括日常的一些订单的管理等等，这都是相关的一些不同层面的方面，我们在管理手段上一定是可以追溯的，如果是企业发现了问题，我们必须要有手段能够去查这个问题的所在，一定要能够回溯，回溯的话我们的一些系统里边有一些日志的信息，有一些历史的信息，我们回过头就可以去查，可以查到问题的所在。

　　同时，我们在整个管理过程中逐渐的去监控这个系统的运行状况，是不是某一环节上可能会存在风险，同时我们在不同的管理层面要有相互的制约，这样的话，从运行的时候我们有运行方面的保证，同时我们在管理上有多重的监控手段，然后最大限度地去防控这种风险。