公司安全大bug：財務總監

　　再好的制度也可能被人有意無意的打破。

　　大公司選擇信息屏蔽

　　文/本刊記者 戴璐

　　為了得到一家零售業公司，一家民營企業的老總和他的幕僚挑燈夜談，為的就是能在收購談判中掌握更多話語權。但是，意想不到的事發生了，這家民營企業突然遭到稅務局的調查。

　　事后，這家企業的老總才得知，他們自以為很秘密的收購談判，其實早已被對手、一家合資企業知道了，結果對方散布謠言導致稅務局的突然檢查，使其失去了收購機會。

　　這是中瑞華恒信

　　不僅在關鍵的商業活動期間，企業日常經營活動中的泄密事件也會令企業付出代價。張連起曾為某大型國企集團做過咨詢服務，該企業的產品實行上網競價，細分成本數據對其價格策略至關重要。

　　然而，令其備受困擾的是，競爭對手總能報出比他們的底線價格更低的價格。后來檢查發現，問題的關鍵在于這家企業的ERP系統對接觸信息的人員和權限控制不嚴，很多重要的財務數據可以為一般的財會人員看到，這就造成了公司關鍵產品成本的詳細信息外泄，所以才總被對手占得先機。

　　不過，企業保密甚至高度機密信息外泄，并非總是商業間諜或得內鬼所為。在摩托羅拉、佳能等多家跨國公司工作過的財務經理胡明認為，企業重要的商業信息外流，有很多原因。

　　“IT從業人員的流動性很強，跳槽員工會將積累的知識經驗全部帶走，與原來的同事保持聯絡，說者無意，聽者有心，會造成信息泄露�！�

　　很多大型跨國公司還是有一些比較健全的制度來保護其信息安全，胡明工作過的兩家跨國公司就有所不同。

　　在摩托羅拉，有專門的信息安全官，而且推行了POPI項目，翻譯成中文的意思就是保護公司專有信息。信息都要確定保密級別，明確公開范圍，并定期抽調各部門的人員組成小組檢查，違規員工將被警告甚至通報批評，多次犯錯會影響績效考評。

　　胡明認為，這套制度會讓大家腦中繃緊一根弦，意識到涉及保密級別的信息不能輕易對外披露或吐露。

　　而佳能中國則走了另外一條信息防漏路線。在佳能，外面的客人必須要在與辦公區域相對隔離的會議室接待，而公司內部的會議則必須要在辦公區內舉行。

　　不過，多年的從業經驗讓胡明感覺，再好的制度也可能被人有意無意的打破。

　　“人不是流水線上的產品，雖然控制，但是崗位輪換和員工私下里的討論就會引起信息共享程度超過了組織的控制，”胡明說，“一般，公司的老員工都會對全盤性的信息多少有些掌握，這是無法避免和阻止的。”

　　不過，為了防止保密級別高的信息在各部門之間私下流動，一些大公司選擇了信息屏蔽的做法。比如，上市公司業績只是公開一個籠統的數據，真正敏感的、具體詳細的財務信息只有很少人能夠確切掌握。有些具體項目的信息還會采用不同會計口徑公布。

　　但胡明認為，由于公司業績同員工個人福利、收入增加等切身利益關系密切，公司披露給他們一些總體的財務情況是必要的，但只提供非精確的信息又可以保護公司的利益。

　　而這種做法通常用來防范財務信息向會計或財務以外的部門不當傳遞，對至少掌握部分確切信息的財會人員，就未必能奏效。

　　所以，胡明覺得任何一種控制都不是絕對有效的，而過度控制和缺乏控制一樣是有害的。很多時候，讓員工有信息安全的意識和獲得信任關系的激勵勝過任何一種制度防范。