Highlights

绩效茗谱●陈绣茗

Author: Tan KW   |   Latest post: Sun, 8 Nov 2020, 9:34 AM

 

企业内部个资保安管理/陈绣茗

Author: Tan KW   |  Publish date: Sun, 8 Nov 2020, 9:34 AM


在网络蓬勃的时代,除了个人应该知道如何自我保护,确保个人资料安全,企业不管大小都应该自我准备一套资料管理系统,以便确保本身包括顾客档案数据隐私受到妥善的保护。

网上的个资隐私保护,如今被各国广泛注意,其实广义的资料管理,也包括企业内部的大小讯息管理。

如此广大的管理范围,中小企业可以根据以下几项管理方法,为自己建立一套内部资料管理系统。

 

第一:定义需要规范的资料

定义需要被规范的资料的目的,是确保保护个资和机密信息免遭未经授权的使用和披露,有助于保护知识产权。

规范资料的第一步,就是分析资料对企业的影响水平,之后再归类,进一步规范如何管理这些讯息。以下作为规范资料的例子。

 

第二、规范后的资料,应该如何处理

当我们将资料类别规范好,就可以进而规划标准进行管理,如下:

*文件应该作何标记以示其类别,例如:内部文件,在文件的业角将标记“仅供内部使用”等。

*用户应该是否被授权存取讯息?

*谁有权力更改文件、文件的更改又是否需要经过批准?

*文件是否可以被复制?如果被复制是否需要报告或者登记,或仅能由签署保密协议的承包商和第三方制作?

*资料应该如何被传递出去?仅限亲手交付,或允许快递,或允许电子邮寄传递?电子文件是否应该加密?如果传真的话,是否需要对方确认传真号码才通传,以便传真到错误的号码,以致泄漏机密文件?

应由IT部门处理

*若要销毁讯息,应该如何处理?若为电子数据,又可以采取何种方法以致确保储存资料的硬盘驱动器已经损坏,不会有第三者捡到而可以被复原。

笔记本计算机等的报销,是应该由IT部门,以进行适当处理。

第三、规范资料泄漏呈报程序。

若有任何可疑,或危害资料安全的事件发生,或者发现违规者,可以根据作业程序进行报告,确保事件可以尽快得到处理,以减少因为内部资料泄漏而遭受损失。

 

 

https://www.enanyang.my/名家专栏/企业内部个资保安管理陈绣茗

  Be the first to like this.
 

信息管理预防危机/陈绣茗

Author: Tan KW   |  Publish date: Sun, 1 Nov 2020, 8:06 AM


一场病毒疫情加速了电子化作业,许多公司因为行动管控令与顾虑员工健康与安全,而让员工在家工作。

信息管理并非仅限大企业或机构,电子网络化的世界,信息无处不在,同时也因此无处隐藏,一连接上网,只要一个不小心或不注意,就会掉入所谓钓鱼(fishing)、木马(Trojan)陷阱。

不仅仅危害健康的病毒可怕,其实,处于电子世界的病毒也一样可怕。

本身认为做好保安应从认识危机开始,就如同当我们对冠状病毒有更多的认识,就会知道如何可以更进一步采取自我保护措施,如戴口罩勤洗手等。

身为信息科技的用户,本身就必须具备一些危机知识。

危机一:盗窃身分,例如面簿户头、电邮和网上银行户头被窃盗。

举一个电邮被窃盗例子,案例业主经常必须与外国供货商做交易,一天收到此位供货商告知款项没有收到之后,回去调查所有电子邮寄,才惊讶发觉邮件上所写的银行账户被做了手脚,所以他们转账付款其实是去了另一个人的户头。

可是,电子邮件上面明明显示是这位供货商的电子邮件,找来网络专家调查后才发觉,原来他们之前的电子邮件被拦截盗取了,这个拦截者变成双方的中介,所有邮件都会经过这个“中介”后,才抵达双方的电子户头。

电子邮件的身分是如何被盗窃?

以下几点是造成电子邮件被盗窃的可能:

●用户使用该电邮地址在“假的网站”登入,因此被盗窃者获得电邮地址。这个情况称为被钓(fished)。

●电子邮件的密码过度简单。要获得一个人的电子邮件不难,只要拿到名片就可以得到了。加上如今译码软件非常厉害,如果电子邮件的密码过度简单,基本上盗窃者在一天之内,就可以将电邮密码破解,因此,可以从背后操控你的电子邮件、甚至可以安装勒索软件,进一步来操控以致达到可以勒索用户的目的。

●除了被钓,就是病毒侵犯或遭到勒索软件(Ransomware)的侵犯,因此泄漏了电子邮件密码。

●另外,还有一些预付款欺诈:如通知你赢得彩票、遗产等等,要你输入你的电子邮件。或应聘一些电子工作的招聘,例如电子邮件提供工作,接收/积累/转移金额等等。

●不小心或因为好奇按了垃圾邮件中的连接。

●使用该电子邮件到一些高风险的网站,如色情网站、免费下载歌曲、电影网站等。

●私人电脑被偷。

除了以上,泄漏电子邮件身分也会是因为人为疏忽,例如通过附加错误的文件,发送给错误的接收者等。

危机二:私人电脑安装不合法软件及没注重防火墙。

我们都知道,软件都设有防火墙,就如同今时我们出门都要戴口罩一样,有设立防火墙,就等于可以将一部份的病毒与勒索软件扫在门外。

危机三:公共网络上网处理隐私事务。

从上网风险的角度来看,使用公共网络上网与使用私人网络上网,当然前者为高风险。在公共场合进行银行转账交易,或者在一个隐蔽的角落转账,当然前者风险为高。

主要的风险是“不知道”,不知道在公共网络上有没有拦截软件,不知道坐在自己周围的是谁,加上盗窃者或黑客是很喜欢在公共的地方钓鱼。

所谓愿者上钓啊,若要处理高隐私事务,劝告还是在私人场合为安全。

曾经有一位信息科技界的朋友告诉我,若真的紧急需要在公共场合使用手机上网,尤其是必须处理高隐私如银行转账,使用个人通讯网络(mobile network)比使用公共网络(WIFI)安全。

危机四:从不换密码,而且密码越没有规律越好。

许多人应该有听过,设立密码不要设计自己的身分证号码或者生日等等,尽可能与自己毫无关系,可是这样又如何可以记得?

其实,可以设立一些自己才会知道又不会忘记的秘密,如事件、或歌曲、明星等,然后再编制加插号码、符号等。

如今许多网站,尤其银行网上保安系统越做越强,确保用户不会忘记更换密码。

以上几点提供个人一些基本参考,下星期再分享企业内部又可以如何做好信息保安管理。

 

 

https://www.enanyang.my/名家专栏/信息管理预防危机陈绣茗

  Be the first to like this.
 

为何需要更完善的作业程序?/陈绣茗

Author: Tan KW   |  Publish date: Sun, 25 Oct 2020, 8:47 AM


这个星期最有话题性的一天,就是一位友人问及他的公司是否需要写SOP?就当这家公司是案例公司。

案例公司进行贸易批发,所谓批发并非批发给零售的批发,而是批发给一些本地批发公司。

企业已经有超过20年的历史,至于公司大事件可也没有过,员工人数约有20人左右。

案例公司也有为员工准备一些作业程序,业主说道相信以上如同其公司的中小企业比比皆是,而且根据他所了解的作业程序,应该是家家户户都需要的宝典。

可从自身的企业管理,他又难以想象需要作业程序的理由,问我究竟需要撰写作业程序的企业,是不是有条件性,例如营业额必须达到多少等等。

以下综合多年的经验,提出几个管理上常见的问题,如果一家企业内频频发生这样问题,就表示应该注意过去写过的作业程序,或者是时候着手撰写作业程序。

1.服务、产品质量等作业全靠“好”员工

很多企业其实都很幸运,因为他们所聘请的员工极大部分都是“好”员工。也就因为有了这一位“好”员工,业主的烦恼便有人可以分担。

举一个例子,一家经营多店的企业,聘请了一位市场开发专员,这位专员是因为冠病疫情影响,从一家国际大公司退下来的员工,本身具备的知识与经验非常丰富。

业主对这位员工爱不释手,不管大小问题、本份与否都问这位员工,员工不介意被问,但几个月下来也就因为这样导致公司内部开始出现谣言,说这位员工是老板第二,甚至有些员工出现排挤的态度。

“好”员工也有风险

不说“好”员工可以如何帮到公司,让我们提一提“好”员工的风险。

除了上述例子企业内部因为争位出现排挤,另外就是这个员工始终还是人,人会老、会病、知识会衰退、可能会遇到意外等,种种风险企业是否有想过?还是认为这个问题应该是很多年后才会发生?

大企业之所以不管遇到任何人事问题都可以纹风不动,因为他们在这一方面都规划得非常好,其中一个方案就是撰写作业程序。

2.公司高层很忙,可是员工不忙

或者高层发现自己并不清楚员工为什么而忙碌,每每交代工作,只会听到员工告诉老板说,“我现在手上有很多事情,我等下再做”。

讲到这里,案例业主心有戚戚焉般的点点头,我趁机问他这么多年是不是都很忙?从他的大笑我可想而知我的猜测是正确的。很多业主都有这个毛病,就是“忙惯了”,有些“不忙还不习惯”。

这么多年对着中小企业,我很很清楚管理架构很多都是处于扁平的状态,甚至有些公司没有中阶管理层。业主本身身兼多职,忙进忙出,乐不亦呼。

业主固然是要忙,但是为日常业务忙还是为企业拓展奔波忙,这个差别很大。从生产力的角度来思考,就知道,身为业主若长时间为业务忙进忙出,实在就是大材小用。

过去有分享如何用作业程序来达到分配工作与下放权力,有兴趣知道细节可以回顾文章以作参考。

3.管理层与员工有期望断层

业主常投诉员工没有表现,员工则投诉业主要求多多改变多多。

大家应该同意,一家企业若要发展也需要上下同心,上下揪心、沟通不良,员工长年工作下来不但需要承受无谓的压力影响身心健康,业主同样也是承受着无人可理解的压力。

以上三大状况,是综合这么多年从不同业主企业内部发现共同的问题,若企业内部出现这样的问题,应早日思考如何建立起一个标准作业程序。

作业程序非万灵丹

当然作业程序并非百灵仙丹,有时候也会失灵的。什么时候会失灵?

1.管理层朝令夕改,今天宣布计划A,明日改成B,后天又跑C。虽然作业程序可以规范标准与非标准作业,但是,若遇到一个常常更动标准的业主,所谓标准作业也会显得并不怎么标准,员工到最后就是应用自己智慧工作。此种企业,“好”员工就显得特别重要。

2.长年不修的作业程序。一个长年都不修的作业程序,不符合现在作业属正常,自然就不灵光了。

3.一人或只有夫妇当家,作业程序也会失灵。失灵不是因为不够好,而是不需要。

 

 

https://www.enanyang.my/名家专栏/为何需要更完善的作业程序陈绣茗

  Be the first to like this.
 

编制好流程须具备思维/陈绣茗

Author: Tan KW   |  Publish date: Sun, 18 Oct 2020, 8:46 AM


不久之前,才在一家公司为其员工提供内部撰写作业程序(Standard Operating Procedure)培训,在2天的课程结束时提供意见分享,其中几位新的员工说,第一天学习编制流程遇到非常大的障碍,花费很多讨论才将流程画出来。

但第二天撰写作业程序时,就显得很简单,因为是以步骤式的方式写流程,比较容易明白。

针对以上企业员工的学习分享仔细作培训后反思,察觉学习编制流程的人,若不具备流程思维,或者从工程、电子、信息等本科毕业,肯定会认为编制流程是一个很大的挑战,曾经何时我自己在编制流程的时候也是如此。

因为要编制一个好的流程--所要求具备的思维,是对行为或者事件的逻辑推论能力。

一般上的员工,他们在课堂上并非理科,或者他们在课堂上并没有培养推论能力,难免要叫他们一天学会流程编制,确实是有点难。

再加上,要编制一个能符合企业目标、目的的作业流程,种种因素考虑,确实很难。

熟悉环境更易上手

相对若将这些流程步骤写成第一步、第二步等方式(编制作业流程的时候,是将一个工作分成不同的主题,再根据主题将流程以步骤的方式写下来),确实有助于思维运作,因为人比较容易从自己熟悉的环境条件下,去明白一个新的技能或者知识。

这不难解释,过去我不只一次在文章中有分享,若要一个员工用最快的速度学习会一个技能,或培养一个习惯,最好可以顺着这个员工本身的才能、资历与背景来做培训安排。

听后学习分享,马上为学员做思维调整,唯恐这些员工不注重流程反而直接跳入撰写作业流程。

作业活动一目了然

一﹑流程的好处,是能赋予阅读的人对作业的活动,可以有一目了然的作用,因为流程是订定作业范围后编制出来。

例如,一个收货程序,就包含了单据与货品核对、产品品质检验、实体入库、数据入库呈报等,如果将这几个作业以流程的方式呈现,就可以让负责收货程序的管理人,有很明确的概念,甚至当作业发生问题或者错误,这个管理人可以很快速从流程中寻找问题根源。

但是,在作业程序中,若将这一长串的流程写成步骤,将会使得文件过长,而最终影响阅读的效果,所谓读后面忘记前面之状况,因为太难去将这一堆的步骤记下来。

当然,若将步骤分成好几段,是可以解决过长的问题,却又丧失一目了然的作用。

也因此,平常在企业辅导中,流程编制我都仅限于管理人,撰写作业程序后就下放给员工去跟从执行。

还记得在这堂课之前的另一课堂上,有学员提问要如何进阶展现复查的流程,因为他的上司要求他将部门重组后的作业流程画出来。

忌看细节忘整体

二、若没有流程展现出整体的作业,编制作业程序的过程,是很容易因关注细节而忘记整体,这一个作业与另一个作业脱节。

这是一个简单的概念,一个人站在高山上看到的是一片森林,一个人在森林中只会看到近距离的树与地上的草,而看不到更远景象。

就是因为失去这个全体的景象,就很容易陷入过去我分享过编制作业程序的误区。

长时间下来作业程序编制得越多,越可能发生所谓失去方向,更糟糕的是,以前的版本与现代的版本产生出入,或者部分内容重复等状况。

原因就是,编制的人可能是不一样的人,故具备不一样的思维习惯,加上修改作业程序往往比写一本新的作业程序来得难。

就如之前所分享过编制作业流程与程序的文章所言,若要达到一本作业程序发挥其效益,从整体作业至细微作业,将是一个事倍功半的方法。

既使修改程序,也是需要与作业流程作对接,这样就确保不会在文件呈现中,发生信息中断或作业中断的状况。

 

 

https://www.enanyang.my/名家专栏/编制好流程须具备思维陈绣茗

  Be the first to like this.
 

设小组应对企业危机/陈绣茗

Author: Tan KW   |  Publish date: Sun, 11 Oct 2020, 8:09 AM


冠病病情扩散的状态实在令人担忧,其中包括对自己的业务感到担忧。

从过去各种数据与新闻获知,第二波传染将会比第一波严重,希望经过一些管制后,病情可以获得控制,大家可以恢复以往生活。

变,乃是企业必须具备的能力,因为万事没有一个确定,企业必须随时准备改变。所以过去曾经分享过企业可以如何为自己准备企业持续备案(Business Continuity Plan),若有兴趣可以重温。

今日为大家分享这星期阅读的一篇旧参考文献,危机来临时应如何应变,以下有几个步骤可以提供参考:

1.当危机来临,企业可以成立独立危机应对小组,这个危机小组直接向高层报告。

2.小组成员不一定是部门经理,而是平常就有受过危机管理的员工。

3.小组成员首先必须针对危机对企业的影响作出评估,并分辨出该危机将为企业带来何种程度的影响。如果企业平常就不断有对未来危机作出假设性的策划,那么,这个小组就可以参考这个策划作出判断。

4.当影响程度被确定后,小组成员必须思考并提供抢救计划。策划这个抢救计划必须涉及部门负责人(如果部门负责人不是小组成员之一)。

或者平常就有针对假设性危机制订抢救计划(Disaster Recovery Plan),那么当危机发生的时候,小组成员亦可以对这个计划分析其可行性,直接执行该计划或者修正制订出一个更符合现在状况的计划。

赋予绝对权力

切记,制订计划的同时,必须对各方面进行考虑,如人员知识与能力、财务能力、远距离操作的控制、顾客维系或满意兼顾,需不需要外在协助,如数据库(data center)等。

5.在操作各种危机应对计划的时候,高层必须赋予这个小组绝对权力以调人员,以便展开各种抢救计划(Recovery Plan),否则工作执行可能会面对障碍或者缓慢,因为时间的拖延可能会对企业造成更大的不利。

例如,在上一次的行动管控令下,许多公司开始寻找架构成为网商,可是架构成为网商将会耗费资金,而财务经理可能正在为公司的现金流担忧,并且建议封锁其他额外的支出,以便应对现有的固定财务支出。

假设,这个架构网商的预算超出,那么危机小组领队是否有权力批准?或者必须经过高层?若高层又恰好不在,或者该高层平常就不太理会公司营运,在现阶段又无法到公司亲理,那又应该如何处理?

当然,业主可以根据预算管理,只要超出预算便不行,或者业主可以赋予批准金额权限,只要在权限之内,便可。

文献中还指出,建议企业平常就将危机管理视为日常管理活动之一,这样当危机发生的时候,企业就相对应准备好,而不是风暴来临前才匆匆忙忙的准备。

这就像人的健康一样,预防胜于治疗,如果平常都照顾卫生安全,那么就不会这么容易得病。

尤其在这个时候,出入洗手、保持卫生干净、戴口罩、配合国家卫生政策,这样相信病情很快就可以获得控制。

 

 

https://www.enanyang.my/名家专栏/设小组应对企业危机陈绣茗

  Be the first to like this.
 

别随便写作业程序/陈绣茗

Author: Tan KW   |  Publish date: Sun, 4 Oct 2020, 8:07 AM


经过一场病毒的威胁,要延续企业生命力,不少企业开始意识到作业程序的重要性,但是作业程序并非是在学校就可以学习到的知识,更不是因为个人很会写文章就可以编制出来的文件。

编制作业程序其实是一个技巧,就如同骑单车一样,有需要的人就需要学习,否则不学也不会对于日常工作有所影响。

避免过多文字

有些业主问我说,是不是律师就一定可以将作业程序写好?

因为律师善于撰写条文,繁文缛节都可以照顾齐全。

但是答案并非如此,原因在于过多的文字会让读者无从阅读。

撰写作业程序的人,都必须清楚明白,这本书是让对工作标准不熟悉的人做参考或阅读,一个对本身工作都不清楚了人,又如何去从这么多的文字中明白自己应该注意什么,工作操作的标准又如何?

身为作业程序编制者,这么多年,我们需要针对不同的文件使用者的职位、阶级、教育、语言背景来区分文件,考虑不同的人使用不同的信息(不是什么都需要写在里面),根据各种状况采取不同文件编制方式来呈现条文。

曾经为了要让非本地人对作业方法达到一目了然的木的目的,几位编制伙伴讨论一番后是决定在图上画图。

又有人说,外人怎么样都不比工作的当事人了解作业,因此由当事人写作业程序是最恰当了。

答案是未必,除非这位工作当事人有学习如何撰写作业程序,否则将会陷入两个常见的问题。

问题一:作业程序要不太多细节,要不东漏西漏。

产生这个问题只有一个后果,作业程序失效。

失效的原因在于太多细节,使得阅读者读完作业程序后失去阅读的重心,因此反而不知从何开始遵从。再者,一个工作的人就是需要知道与工作相关的信息,知道太少无法工作,知道太多制造思维混乱也未必是好事。

至於包含太少讯息,这个问题的致因在于,探讨作业流程的时候并没有将所有流程规范在内。

在许多熟悉作业的员工眼皮底下,这些作业流程成了理所当然,成了常识,因此认为没有必要将这么简单的常识写在内,因此从作业程序中去除。

可是对于一个新人或不熟悉作业的员工而言是没有所谓常识,阅读一本过于简单的作业程序后将易使对方有失去阅读或工作方向。

不晓得各位读者曾经有过这样的经验,就是在阅读一本作业程序后,感觉好像没有读?

问题二:作业程序没有规划不利阅读。

很多人都可以建立一个文件,任何人只要会应用微软word应用程序,都可以建立文件,可是建立一个可以让阅读者有一目了然的感觉,整篇文章是干净、整齐,讯息分阶层、分段落、分章节、分课本等等。

最终依然达到将应该包含在内的讯息都包括在内,是另一个层次。

编辑文件确实需要不断练习,加上不断参考外来文件的编制方法,不断改进。曾经看过一本这样的文件,这家业主投诉说员工不遵从作业程序,认为是员工倚老卖老之故。

我拿起一看,文件上密密麻麻的文字,阅读几页后就感觉疲惫。试问,这样的状况下,员工又如何愿意阅读或能记得阅读后的内容,既然无法理解甚至记得内容,员工自然不会遵从。

当然,不排除员工倚老卖老确实是作业程序导入失败之因,不过,如果所有人包括新员工都不遵守作业程序,那么企业应思考是不是作业程序的编辑出了问题,内容是否更新,或者是作业程序培训不到位。

 

 

https://www.enanyang.my/名家专栏/别随便写作业程序陈绣茗

  Be the first to like this.
 


APPS
I3 Messenger
Individual or Group chat with anyone on I3investor
MQ Trader
View Trading Signals and run Live Backtest
MQ Affiliate
Earn rewards with MQ Affiliate Program
 
 

529  557  546  538 

ActiveGainersLosers
Top 10 Active Counters
 NameLastChange 
 KANGER 0.185+0.005 
 AT 0.200.00 
 BINTAI 0.795+0.10 
 KGROUP 0.060.00 
 MTRONIC 0.115+0.005 
 ASIABIO-OR 0.015+0.005 
 IRIS 0.36+0.005 
 VIVOCOM 1.01+0.205 
 FINTEC 0.105+0.01 
 SOLUTN 1.27+0.15 

FEATURED POSTS

1. The Equity Market Index Benchmark in Malaysia CMS
2. Trading Scenarios of Derivatives Bursa Derivatives Education Series
3. Derivatives 101 Bursa Derivatives Education Series
4. Why Trade FKLI? Bursa Derivatives Education Series
5. MQ Trader - Introduction to MQ Trader Affiliate Program MQ Trader Announcement!
PARTNERS & BROKERS