公司安全大bug：财务总监

　　再好的制度也可能被人有意无意的打破。

　　大公司选择信息屏蔽

　　文/本刊记者 戴璐

　　为了得到一家零售业公司，一家民营企业的老总和他的幕僚挑灯夜谈，为的就是能在收购谈判中掌握更多话语权。但是，意想不到的事发生了，这家民营企业突然遭到税务局的调查。

　　事后，这家企业的老总才得知，他们自以为很秘密的收购谈判，其实早已被对手、一家合资企业知道了，结果对方散布谣言导致税务局的突然检查，使其失去了收购机会。

　　这是中瑞华恒信

　　不仅在关键的商业活动期间，企业日常经营活动中的泄密事件也会令企业付出代价。张连起曾为某大型国企集团做过咨询服务，该企业的产品实行上网竞价，细分成本数据对其价格策略至关重要。

　　然而，令其备受困扰的是，竞争对手总能报出比他们的底线价格更低的价格。后来检查发现，问题的关键在于这家企业的ERP系统对接触信息的人员和权限控制不严，很多重要的财务数据可以为一般的财会人员看到，这就造成了公司关键产品成本的详细信息外泄，所以才总被对手占得先机。

　　不过，企业保密甚至高度机密信息外泄，并非总是商业间谍或得内鬼所为。在摩托罗拉、佳能等多家跨国公司工作过的财务经理胡明认为，企业重要的商业信息外流，有很多原因。

　　“IT从业人员的流动性很强，跳槽员工会将积累的知识经验全部带走，与原来的同事保持联络，说者无意，听者有心，会造成信息泄露。”

　　很多大型跨国公司还是有一些比较健全的制度来保护其信息安全，胡明工作过的两家跨国公司就有所不同。

　　在摩托罗拉，有专门的信息安全官，而且推行了POPI项目，翻译成中文的意思就是保护公司专有信息。信息都要确定保密级别，明确公开范围，并定期抽调各部门的人员组成小组检查，违规员工将被警告甚至通报批评，多次犯错会影响绩效考评。

　　胡明认为，这套制度会让大家脑中绷紧一根弦，意识到涉及保密级别的信息不能轻易对外披露或吐露。

　　而佳能中国则走了另外一条信息防漏路线。在佳能，外面的客人必须要在与办公区域相对隔离的会议室接待，而公司内部的会议则必须要在办公区内举行。

　　不过，多年的从业经验让胡明感觉，再好的制度也可能被人有意无意的打破。

　　“人不是流水线上的产品，虽然控制，但是岗位轮换和员工私下里的讨论就会引起信息共享程度超过了组织的控制，”胡明说，“一般，公司的老员工都会对全盘性的信息多少有些掌握，这是无法避免和阻止的。”

　　不过，为了防止保密级别高的信息在各部门之间私下流动，一些大公司选择了信息屏蔽的做法。比如，上市公司业绩只是公开一个笼统的数据，真正敏感的、具体详细的财务信息只有很少人能够确切掌握。有些具体项目的信息还会采用不同会计口径公布。

　　但胡明认为，由于公司业绩同员工个人福利、收入增加等切身利益关系密切，公司披露给他们一些总体的财务情况是必要的，但只提供非精确的信息又可以保护公司的利益。

　　而这种做法通常用来防范财务信息向会计或财务以外的部门不当传递，对至少掌握部分确切信息的财会人员，就未必能奏效。

　　所以，胡明觉得任何一种控制都不是绝对有效的，而过度控制和缺乏控制一样是有害的。很多时候，让员工有信息安全的意识和获得信任关系的激励胜过任何一种制度防范。