化解第三方風險

宗 菊

普華永道《2010年全球信息安全狀況調查》顯示，超過60％的中國受訪者認為。在全球經濟放緩的背景下，自己的企業正在面臨著更多來自于第三方的安全風險。當企業的發展越來越依賴于商業伙伴的合作與共享，當信息化已經成為企業提升競爭力的必由之路，CFO該如何有效地管理信息系統并規避相關風險?面對如此高的第三方安全風險預期，CFO又該從中獲得哪些警示?近日，本刊記者專訪了此項調查的發起人、普華永道風險管理及內部控制服務部北京合伙人季瑞華。類型

從全球范圍來看，第三方風險的第一種類型是商業伙伴風險。由于商業伙伴包括了供應商和客戶兩個層面，這一風險又可以進一步細分為來自供應商的風險和來自客戶的風險。

由于此次調查是面向全球的，鑒于國情與經濟發展水平不同，中國企業所面臨的第三方風險類型與表現程度跟歐美企業可能存在_定的差異，這無疑是中國的CFO們在面對相關調查結論時首先要明確的問題，季瑞華表示。

從供應商層面來看，國內外情況大不相同。部分信息系統較為發達的歐美企業，已經能夠實現與供應商一對一的聯接，比如制造類企業，當原材料達到最低存貨水平時，系統會根據兩家企業間的框架協議自動生成采購要求并進行數據和信息的交換，供應商也會及時補充貨源。此外這種聯接也可以設置成一對多的，即企業自動生成的采購要求可以同時傳達給多家供應商，接到信息的供應商可以自行決定是否供貨與供貨的價格等問題，這就為企業的原材料采購流程提供了一個商業平臺。相比之下，國內企業與供應商實現信息系統對接的還比較少。

從客戶層面來看，國內外的情況比較相似。企業通常會提供一些渠道允許客戶登入系統以完成信息的查詢、修改等任務。比如金融業的網上銀行，無論是個人客戶還是企業客戶都可以自由登入，而其登入的口令和密碼銀行卻是不知道的。即使很多企業，尤其是金融行業，已經采取了技術于段去加強系統安全，但這里面仍然潛藏著一個固有的風險，即當客戶通過自身的賬戶從事不合規甚至違法的操作時，或由于其他第三者利用客戶的賬戶進行違規違法操作時，企業卻很難知曉與監控。這種風險對于企業來說，尤疑是來自第三方的安全風險。

正如信息技術在誕生伊始就被冠以“雙刃劍”的稱謂一樣，當業務伙伴能夠自由進入企業內部系統，及時掌握相關信息時，安全風險也就接踵而來，而且隨著這種聯接與開放程度的提高，風險也相應地增大。

第三方風險的第二種類型是來自外包服務的風險。相對于來自商業伙伴的風險，其風險水平要更高一些。所渭外包(Outsoureing)，是企業為了維持自身的核心競爭能力，將非核心業務委派給外部的專業公司，以實現降低營運成本，提高服務品質的戰略管理模式。外包又可以細分為多種類型，其中的業務流程外包(Business Process Outsoureing，BPO)在國外被大量使用，諸如薪酬的支付、系統的開發與機器設備的維護等。由于工作職權和內容的轉移，當外包服務的提供者能夠隨意登陸企業內部系統時，安全風險勢必由于控制的缺失而提高。

相比之下，中國企業對外包的理解與國外存在一定的差異，真正意義上的外包還做得比較少，即便是有，通常也是在同一個集團下面完成的。基于整體經濟層面發展的考量，我國采取了相關舉措，鼓勵與推動國內信息技術業務外包的發展，因此在未來，中國企業使用外包服務將會更為普及。源于這類服務的風險很多，最關鍵的是客戶信息未經允許而被披露或出售(如近期媒體曾經報道的多個非法販賣客戶信息的案例)。“很顯然，這是中國企業未來發展的一個方向，而隨著企業適用外包的情況逐漸增多，第三方可能導致的安全風險也會隨之提高。”季瑞華表示。

成因

第三方風險通常會表現為IT的風險，但它絕不僅僅是一個技術問題，因為風險最終都會影響到企業的業務層面，從而構成業務風險。

在過去的5至10年中，相當多的企業也為實現信息化做了很多的功課，同時也在信息安全領域投入了很大的力量，購置了大量的技術工具，但從實際結果來看，中國企業的信息安全水平和國外企業相比還是有一定的差距。季瑞華認為，中國企業信息安全風險水平整體偏高的原因主要體現在如下幾個方面：

1組織結構不到位

中國企業很少會有CIO或者CSO等高層職位，取而代之的是諸如信息中心主管和經理之類的中層職位，且管理職權較為分散，這就決定了企業信息系統運行的相關問題，包括系統風險的問題，較難在公司的戰略層面得到適當的關注。再加上公司內部條塊制的部門設置，更加大了技術部門和業務部門的溝通成本和協調難度，最終造成在企業層面復雜信息系統的推廣與管理不到位的局面，或是出現多頭管理的情況，最終導致系統安全未能從企業整體層面得到考慮。

2技術與業務結合不夠

信息安全風險通常被看成為一個技術的問題，由技術部門通過開發或購買安全系統來解決。實際上，信息安全是一個業務層面的問題，涉及到的不僅僅是技術，更需要企業人員和流程的配合，而規范人員和流程，又是通過企業的相關制度來實現的。因此，過度重視技術而忽略人員和流程是無法提升企業的信息安全管理水平的。

3商業環境與法律制度不健全

國外發展成熟的企業，會與第三方簽訂相關的配套協議，從而有效地規避對方的違約行為給自己帶來的安全風險，并確保合作進行過程中出現的任何問題，都有相應的解決機制。相比之下，由于中國企業在與第三方合作方面還處于起步階段，再加上很多“第三方”也往往是同一個集團的成員，因此缺少類似的法律框架和商業制度，這樣在危機的背景下，企業顯然要承擔額外的風險，諸如信息的泄露、數據的丟失等，可見在法律與制度層面，中國還有很多工作要做。

對策

當企業要和第三方完成系統的結合與數據的交換，或進行信息服務外包時，與技術手段相比，業務目標顯然應該獲得更多的關注。企業要做到以業務為核心，圍繞著業務來選擇合適的技術手段。

同時，鑒于不同行業不同企業交易類型的差別，信息技術的選擇也會有較大的差異，除了要考慮到技術本身固有的風險之外，待處理信息的私密性和敏感性也會對技術手段的選擇產生較大的影響。正如超市的信息系統與商業銀行的信息系統相比，雖然交易量同樣很大，但由于價值較低，信息的私密性和敏感性程度相對不高，所以二者在技術手段的處理上就會完全不同。

此外，特定的行業和企業也要參考實施相關的行業標準(比如信息安全領域的ISO 27000系列標準；信息系統外包服務的ITIL標準；以及金融行業的國際結算銀行相關行業監管指引和當地監管機構的具體制度安排等)，通過合規性處理來提升企業整體的風險管理能力。

整體上，企業可以通過如下手段加強信息安全管理水平和執行力度：

一與第三方制訂明確的服務水平協議或其它商業協議，特別針對一些敏感的領域，如客戶的信息保密義務。針對第三方的服務，也考慮增加審核權的條款，使企業有權利對第三方服務機構進行不定期的審核。

二定期審閱評價第三方的服務，如通過雙方同意的關鍵業務和關鍵風險指標進行評價。

三對第三方的安全管理和控制進行審核，如很多企業委托其內部審計人員或外部審計師執行專項審計。

四鼓勵第三方委托對立的專業人員進行有關服務機構的專項審計。國際上常見的如根據SAS70審計機制所進行的工作。

總之，企業信息系統的構建要突破純粹的技術層面，雖然IT是支撐企業發展的支柱，但是以業務為出發點考慮問題才是核心的原則，也只有從業務的角度來看待IT，才能管好IT。