题目的答案是:当公司没有这项信息安全管理规章的时候,你做不了什么,唯一能做的是迅速寻找补救办法,止损,并防止下次事故的发生,但是你也不知道怎么去做,只能抱怨推诿。
10月份,公司的数据共享资料库出现了意外,导致公司自近三年团队的照片资料完全丢失。这个事情发生在我们小公司看起来损失不大,但是对于项目宣传管理人员来讲,是损失了近三年的存档宣传资料,素材还有宝贵的客户相片,视频资料,可以说是一次重大的业务损失和管理失误!尤其是依赖以市场宣传以持续开发业务的服务型公司来讲,这个失误和损失实际上是很遗憾的,这意味着过往的影像资料存储模式是错误的,存放规章制度也是却是的,信息安全内控管理也是真空。
中小企业内控管理缺失
信息安全,数据库、历史档案的丢失普遍会出现在一般的小公司里,而很多大公司都会对服务器加以层层保护,甚至需要通过信息安全ISO标准审核,中小企业的管理是我们升级转型社会中的一个难题,因为中小企业疲于奔命,基本上找不到在行政管理,内部控制以及规章制度上面专职的人才,即便有也是由老板、财务或者公司的某些亲信来做兼职的管理,这就导致很多规章制度它的出现是先因为业务的发生转而变成不成文的默契,从而罗列成为一些条文。
这样做的结果是,很多规章制度的设定是短视的,也需要频繁修订,由于中小企业一旦商业模式相对固定,必然面临比较快速的发展阶段,这样的阶段大家都是快步小跑的,合适的规范和管理会在现实中一直落后与业务,很多情况下管理、内控和制度变成了救火的角色,丧失了预防和促进的角色。一个员工靠自律可以很好定位自己的价值,一个公司能走多远靠规范化和标准化经营,这个标准化经营并不是双轨制,而是针对企业和员工共同的标准。
而很多人会认为,一家公司没有到一定规模谈规范化经营和落实内部控制是扯淡,但是我们反观国外企业,他们在设定项目的时候,规范、合规的经营和公司的规章制度会先行。
可以这么说,一旦一家公司 持续经营了,必须开展企业内控和文化建设的力度和投入会快速增加
风险管理、评估技术和持续性管理能力是创业者的基石
实际上商业模式的设计和项目运营的设计其中一个不可缺少环节就是业务闭环和内部控制衔接勾连的设计,也需要有可持续运营的计划这个篇幅,这个过程就是商业模式和项目运营的一个不可或缺的部分。
这几年提倡万众创业,资本市场活跃,风投机构会针对很多创业项目做风险评估,如果一个创业者的商业计划书中缺少了风险评估和风险报告这个模块,会增加投资者对于团队把控风险能力项的加分,而且是权重很高的加分,要知道风投和投资机构之所以投钱,他们经营的就是可能性和风险,这两个权重第一是判断商业盈利和可持续性的可能性,第二是尽可能清晰地预见风险和对应的可行性措施。
缺少风控人才和专职人员,很多企业并无设置此职能
2015年7月29日,国家将风险管理师列入新版职业大典,这意味着企业人力资源须对大典中所列职业项目的入职资格和标准实施审核限定,企业对风控人员定岗、定资格和定编时代的开始,也预示持证上岗时代的开始。规范化经营的企业将应监管和市场运营需求设立风险管理和内控专职岗位。
十年一更的职业大典为企业管理升级优化指引了一条明确的道路,企业要更好应对市场竞争,设立风险管理岗或者其他同类职能岗位,培养招收专业风险管理和内控人才似乎是非常必要的。
不要让灰色地带成为企业致命的阿基琉斯之踵
在CERM的课程上,《信息安全管理》的课程中,老师提出了一个问题,如果某一天上班,突然公司网络断了10分钟,你能接受吗?很多人说可以接受,有些人说不能接受,因为他是企业主,每一分钟的流逝意味着公司资产的流逝。老师又问,网络中断多久是不可承受的极限呢? 很显然,对于一个企业主来说不希望中断一分钟。
继而有一个很实际的问题:谁来管这个网络中断的问题? 明文规定了吗,我相信很多人都会找到行政会找到网管,但是现实是很多公司并没有制定信息互联网持续经营的管理计划。尤其是现在的企业对于互联网的依赖性非常高。标准的产生有它的普适性也有它的最佳实践和充分事件熟练验证的可靠性。所以引入标准管理也是减少管理成本减少摸石头过河的一个好办法。
解决问题从岗位的工作手册完善开始,从不断的培训和宣贯开始,从安全宣导开始
事情发生了,怎么不让事故再次发生,解决问题从岗位的工作手册完善开始,从不断的培训和宣贯开始,从安全宣导开始,建立业务规章制度需要让第一道防线,也是当值业务人员,听到炮火的人员去贡献智慧,而管理者要做的是厘清他们的责任和义务,帮助员工分工,定位好岗位、职能、项目责任人,如果你缺乏这样做,管理者是不合格的。
松下幸之助说,培训得成本很高,不培训得付出更多。培训是工作的一部分,不断的增强风险管理意识是一个常态化的工作。这样的工作是企业管理的本质,也是企业家的主要核心工作。
网友评论