近年来，网络犯罪在我国及全球均呈上升态势，达到了前所未有的程度。而随着技术进步，企业还将面临更多这种无声的攻击，技术基础设施的核心部分岌岌可危。

AA美国分会会长华纳·约翰斯顿发布一份调查报告，此次调查获得的数据表明，财务专业正在逐步适应流程和系统所遭受的严重外部攻击。为了应对持续发展、日益复杂的威胁，主要的利益相关方群体——包括财务专业人士、IT专业人员和相关的政府监管和执法机构等，其反应和需求也在不断变化。

阿里云财务总监徐铮铮、通用电气运输业务部门大中华地区首席财务执行官黄衍智两位AA会员就报告中提到的一些问题，发表了自己的观点。

视野：私营机构的财务部门在预防网络袭击和监控网络安全方面主要面临哪些挑战？

AA报告指出，尽管近70%的受访者表示，他们对自身企业的网络风险管理政策和流程有着高度或非常高度的认识，而且57%的受访者声称已针对网络威胁，对自身企业的IT系统进行了妥善保护。但仍有近三分之一（32%）的受访者坦承，对传输或存储过程中的数据加密政策一无所知。不仅如此，31%的受访者谈到，尚未建立从员工设备中删除未授权软件的流程。另外，只有41%的受访者表示，遵守了企业内部网络安全培训和教育项目所包含的风险管理协议。尽管三分之二的受访者都表示，他们使用了云服务器提供商的网络安全实践，并非常信任其完整性，但其余三分之一则表示完全没有使用云存储。这或许说明，使用自己可以控制的服务器能令他们感到更加安全。

阿里云财务总监徐铮铮认为，私营机构安全能力较弱，缺乏安全经验积累。传统观念下，企业认为把数据放在本地的机房里就是安全的，但是，只要服务器是联通网络的，就会有被袭击和入侵的风险。私营机构由于总体风险概率小，导致私营机构在风险能力的积累上比较弱，但是一旦发生风险，后果不堪设想。安全能力，未来更多是基于数据分析的能力，基于云平台搭建的安全能力，虽然应对的安全事件概率也小，但是总量还是会高于私营机构，在积累了大量的安全经验及数据后，有比较好的网络攻击防御经验，以及风险评估预测模型。建议可以更多借助外部专家的经验来完善安全策略。

AA报告显示，日常业务实际情况和网络安全最佳实践理论之间也存在一些矛盾。我们每周都能听到有关网络安全漏洞的新闻，这清楚表明，企业、特别是每位员工都应开始遵守此类最佳实践，其作用至关重要。各国的技术或许有所不同，但调查发现，世界各地从业人员之间的认知并无明显区别。差异之处主要是对网络犯罪威胁严重程度的认知，以及从业人员所使用IT系统的安全性。大多数受访者（71%）表示，他们会定期实施风险缓解举措，如漏洞扫描和软件补丁更新等；约40%的受访企业采取了更为复杂、（侵入式的）渗透测试；而近半数（45%）企业会定期开展安全审计。

针对财务部门监控网络安全方面的能力，通用电气运输业务部门大中华地区首席财务执行官黄衍智表示质疑，财务部主要的挑战来自于对IT系统的了解及管控能力。主数据库是每家企业核心资料。大部分财务人员需要使用数据库里的资料来作出各项分析给与管理层。为了达到及时性，财务人员使用云端的技术来完成相关任务。该云端的监控网络安全是否到位，该分析报告是否存放在受保护的云端存储，这都是财务人员不具备的能力。

视野：如何平衡网络风险管理的成本与效益？

AA报告调查显示，对网络攻击的问题上，内、外部报告之间有着非常明显的差别。内部报告往往只到达报告链中高一级别的管理者。只有17%的受访者表示，会定期向高级主管层报告网络攻击。而不到半数的受访者表示，唯有在攻击得逞的情况下，才会向执法部门提交外部报告。这或许体现了企业不愿意“公开”数据受侵的心态，因为这可能会损害企业声誉，甚至影响股票价格。近50%的受访者表示自身公司在遭受网络攻击时，有可能或者非常可能聘请外部咨询顾问。

而网络风险管理带来的成本与效益也成为不容忽视的问题，阿里云财务总监徐铮铮认为，网络风险管理是值得企业加大投入的地方，因为网络袭击或者入侵一旦发生，后果不堪设想，会对企业的经营情况造成重大的冲击，甚至带来企业的倒闭或者信誉风险。所以，评估网络风险管理的投入成本可以与对应的风险带来的损失挂钩，进行分析。私营企业应该更加积极地加入到互联网安全生态的建设中来，未来所有的企业都是互联网企业，多多少少都与互联网脱不了干系，网络风险管理能力需要大家共创共建。

通用电气运输业务部门大中华地区首席财务执行官黄衍智也赞同此观点，他认为按照成本收益分析法，所有的投资都必须带来相关的收益。在网络风险管理上，完善IT保护系统需要投资成本。而这些要被保护的信息有多少价值，都是可以衡量的。除此之外，该投资成本也可以分为不同阶段来执行，并与科技和信息价值的发展相匹配。

网络安全面临的威胁和问题

AA报告还指出，在此环境下，问题和解决办法同样繁多：立法是否紧跟形式发展？会出现怎样的局面？是否将制定可强制执行的信息及相关技术控制目标？还是针对数据完整性的《萨班斯-奥克斯利法案》（Sarbanes-Oxley）？谁来证明企业是否安全？贵公司拥有哪些展示自身数据安全的认证或资格认定？网络攻击的威胁如此严重且千变万化，获得认证等于是向所有黑客发出邀请，由其测试自己的技能并否定这一认证。如果是这样，认证又如何证明企业的安全可靠？

然而，眼下的现实是，会计师面临着越来越大的压力，而消费者也日渐担心，在线商务、银行业和购物等行业在经历了指数级增长后可能会放慢增长步伐。同样，政府也迫于压力做出响应，所有的防卫和情报机构都承担了应对网络威胁的任务。包括会计师事务所在内的企业，如果不能提供更好的网络安全防御措施，就会失去客户。政府和私营部门之间有时不太稳定的工作关系也将受到考验，迫使双方都不得不整合自身的活动、技术和系统，而要求华尔街、硅谷和华盛顿更紧密整合的呼声也越来越高。

AA报告原文：

阅读更多AA研究报告，请访问：