华为轮值董事长徐直军：我们到底是流程的奴隶还是主人？(5)

质量分过程质量和结果质量，过程质量如果不构筑在流程中，把业务都跑完了，质量单独在外面存在是不可能的。质量要求也好，质量标准也好，我们要构筑在流程里面，过程质量也有要求有标准，能够得到保证。过程质量有保证才能确保结果质量。基于过程质量的管理能带来结果质量，由于追求结果质量迫使我们到源头来管控过程质量。
内控是内部要求，目的是防止腐败，控制风险。我们最早搞内控的时候，把内控和流程分离。内控在这边搞得热火朝天，流程在那边搞得热火朝天，后来发现存在问题，就把两者合并了。内控就是我们公司内部要求的风险管理和防腐败。本质就两个点：一个叫职责分离，目的是防腐败和财务风险；另一个是关键控制点，在关键控制点要有控制要素和控制程序。内控也必须构筑在流程中。内控若在流程外，不在流程里，是不可行的。我们原来支撑流程建设的是流程部，支撑内控建设的是内控部，两个部门各行其是。后来发现问题后，我们把流程建设和内控建设部合并。至于SACA、CT干啥？就是跟质量管理一样，看流程执行到关键控制点和需SOD的时候是否按流程内控要求遵从了。
信息安全是内部管理要求，是围绕核心资产进行管理和保护。核心信息资产产生于哪里？是产生于业务流程中的。所以信息安全也要构筑在流程中。以前信息安全管理是修万里长城，修了好多年，防不胜防，发了100多个文件。后来发布了EMT决议，把信息安全的管理思路调了180度，要求不要到处防，不要去修万里长城，首先只防核心资产。要防核心资产，首先要把核心资产识别出来，只有识别出来了才好进行保护，要识别出来及很好地保护还是得基于流程。
信息安全部转变观念，不修万里长城了，把100多个信息安全的文件清得快没了，这也是为什么大家感觉好点了。
同时把信息安全和共享两个职责都放到信息安全部，要求既要抓信息安全，也要抓信息共享，信息安全部的考核指标是既有信息安全，又有共享，这样就好多了。现在到各个部门去看，很少有人反馈说搞信息安全搞得啥都看不到。既然不是核心资产就通通共享，是核心资产就在核心资产保护的环境下也共享起来。通过考核共享率，这样就没有特别极端了，合理多了。要把信息安全构筑在流程中，流程走到哪里，核心信息资产就定义到哪里，保护到那里。核心资产怎么定义？由业务部门来定义，基于流程来定义。
网络安全也是一样的。网络安全我们强调的是产品在各个流程中要具备网络安全的能力、要有防御能力。