在這場(chǎng)噩夢(mèng)中，CIO與IT部門自然也無法幸免，甚至，他們的苦難要遠(yuǎn)遠(yuǎn)多于其他部門——由于企業(yè)高層對(duì)于IT內(nèi)控的片面認(rèn)識(shí)，IT部門承擔(dān)了很多原本不應(yīng)該屬于它的工作。在應(yīng)對(duì)《薩班斯法案》的過程中，大部分公司都把IT內(nèi)控的繁瑣工作推給了IT部門，但是，在國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）全球副總裁任家明看來，這種做法是不負(fù)責(zé)任的，IT內(nèi)控永遠(yuǎn)都不應(yīng)該被看成是IT部門的工作。

　　任家明從1984年開始從業(yè)于信息審計(jì)與安全事業(yè)，曾經(jīng)在畢馬威擔(dān)任管理職務(wù)，現(xiàn)任ISACA全球副總裁、國(guó)際IT治理協(xié)會(huì)（ITGI）副主席、香港計(jì)算機(jī)學(xué)會(huì)信息安全組主席、IIA香港分會(huì)理事以及國(guó)際注冊(cè)舞弊審核師協(xié)會(huì)香港分會(huì)創(chuàng)會(huì)副主席。最近幾年，任家明致力于在亞太地區(qū)推廣公司治理與IT治理的最佳方法，以及COSO和COBIT框架標(biāo)準(zhǔn)。

　　CIOINSIGHT記者近期采訪了任家明，與他就IT內(nèi)控的相關(guān)話題展開了交流。

　　CIOI：這幾年，很多中國(guó)公司都在因IT內(nèi)控而焦頭爛額，在你看來，為什么會(huì)出現(xiàn)這種狀況呢？

　　任家明：IT內(nèi)控是項(xiàng)很繁瑣的工作，剛開始的一兩年尤其會(huì)很辛苦，所有公司都會(huì)感覺到困難重重，中國(guó)公司自然也不能例外。

　　在這個(gè)過程中，中國(guó)公司有很多非常普遍的問題也逐漸暴露出來。比如有些公司，在IT內(nèi)控方面已經(jīng)有意無意地做了一些工作，但是卻并沒有把這些工作整理出來，只是這里一張紙，那里一張紙的，無法形成完善的文檔。IT內(nèi)控要求把所有重要流程的文檔都整理出來，什么時(shí)候什么人需要什么樣的流程，隨時(shí)都可以找到，這些流程在很多中國(guó)公司之前是沒有的。還有就是分工并不明確，尤其是IT部門，在人手比較少的情況下，每個(gè)人都要參與好多工作，相應(yīng)地給他們的權(quán)限就比較多。但是，從內(nèi)控的角度來講，分工必須清楚，一個(gè)人不能同時(shí)有好幾個(gè)不同的權(quán)限。這不是一家兩家公司暴露出來的問題，是幾乎所有中國(guó)公司普遍存在的問題。

　　另外一個(gè)比較普遍的問題，就是很多公司的高級(jí)管理層對(duì)IT治理沒有足夠的認(rèn)知。在跟他們談IT治理的時(shí)候，他們很容易這樣說：“IT？不要跟我談，跟我的CIO或者IT部門談就可以了。”他們不明白IT治理是怎么回事。但是，在我們的理念里，根據(jù)我們以往的經(jīng)驗(yàn)，業(yè)務(wù)一定要與IT聯(lián)系起來。IT不可能脫離業(yè)務(wù)去獨(dú)立工作，業(yè)務(wù)也不可能沒有IT。現(xiàn)在可以看到，每個(gè)上市公司都在用信息系統(tǒng)幫助他們做報(bào)表，我相信在中國(guó)，找不到一家上市公司的報(bào)表都是純手工做的。業(yè)務(wù)與IT的真正關(guān)系究竟怎么密切，很多公司的高級(jí)管理層并不明白，要把他們的這種意識(shí)提高還需要做很多工作。

　　不過在我看來，最困難的部分是，中國(guó)現(xiàn)在的狀況下沒有足夠的人才幫助這些公司完成IT內(nèi)控的工作。一家公司要做IT內(nèi)控方面的工作，要涉及至少兩方面的人才，一個(gè)是顧問，一定數(shù)量的顧問可以幫助企業(yè)完成前兩年最艱難的工作；另外就是審計(jì)師。我不久前和四大會(huì)計(jì)師事務(wù)所的一些審計(jì)合伙人溝通時(shí)發(fā)現(xiàn)，他們也遇到了同樣的問題。比如今年他們每家公司在中國(guó)都需要補(bǔ)充2000到3000名審計(jì)師，也就是說僅僅這4家公司的人才缺口就超過了一萬人，然而在中國(guó)根本沒有這么多有相關(guān)經(jīng)驗(yàn)的審計(jì)師。

　　CIOI：你所說的“相關(guān)經(jīng)驗(yàn)”主要是指什么？

　　任家明：現(xiàn)在中國(guó)單方面的人才確實(shí)很多，比如熟知財(cái)務(wù)，或者熟知IT，但是IT內(nèi)控要求的是對(duì)財(cái)務(wù)、IT和公司內(nèi)部控制點(diǎn)等不同范疇都有經(jīng)驗(yàn)，這不是一個(gè)會(huì)計(jì)師或者IT從業(yè)者就可以做的工作。在香港我們有2000多個(gè)ISACA會(huì)員，在內(nèi)地卻總共不到1000人，這種差別是非常大的。

　　并且現(xiàn)在只有在美國(guó)上市的公司需要做IT內(nèi)控，可以想象一下，如果所有的中國(guó)上市公司都被要求做這些工作，我們到哪里去找這么多IT內(nèi)控方面的人才呢？當(dāng)然，沒有這些人才供應(yīng)給市場(chǎng)，我們監(jiān)管機(jī)構(gòu)就不可能出臺(tái)這方面的政策，否則會(huì)招惹許多麻煩。現(xiàn)在，不僅在美國(guó)、加拿大等西方國(guó)家，亞太地區(qū)的一些國(guó)家也開始出臺(tái)相應(yīng)的政策，日本現(xiàn)在有類似于薩班斯法案的JSOX，韓國(guó)也在醞釀KSOX。我相信，在中國(guó)，類似的CSOX也一定會(huì)來，但是究竟是什么時(shí)候來，是3年還是5年后，這要看多久才可以把這方面人才的缺口彌補(bǔ)上來。

    CIOI：造成人才缺口如此之大的原因主要是什么？

　　任家明：我剛剛提到香港地區(qū)，香港是個(gè)比較大的國(guó)際商業(yè)城市，它很早以前就是中西文化交融的地方。香港有很多外國(guó)的公司，很多人從這些公司中獲取了相似的經(jīng)驗(yàn)，他們對(duì)IT內(nèi)控的內(nèi)容接觸得要早一些。并且，很重要的原因就是，香港人用的是英語，而目前IT內(nèi)控相關(guān)的標(biāo)準(zhǔn)和框架也都是英文的，還沒有中文的版本，雖然內(nèi)地很多人的英語基礎(chǔ)也很好，但是在對(duì)這些專業(yè)內(nèi)容的理解上，他們還是更習(xí)慣看中文。再加上很少有真正的IT內(nèi)控經(jīng)驗(yàn)，在做的時(shí)候往往一頭霧水，不知道怎么做是最好的，也不知道最好的應(yīng)該是什么樣的。

　　CIOI：你前面提到，很多公司的IT部門分工不是太明確，權(quán)限過多。要解決這個(gè)問題是不是只有增加人手？

　　任家明：也不一定，當(dāng)然，解決這個(gè)問題最容易做的方法就是增加人手，但是增加人手最直接的影響就是公司的成本會(huì)增加，很多公司不愿意這么做。從我的經(jīng)驗(yàn)來看，造成這種狀況大多數(shù)情況下，并非人手真的不夠，而是沒有形成分工的意識(shí)，不知道某個(gè)員工的分工究竟在哪，也就不可能根據(jù)分工賦予不同的權(quán)限。還有的就是為了省事，IT部門往往把所有權(quán)限都下發(fā)，比如很多工作，文員根本不會(huì)涉及到，為什么還要給他們權(quán)限？

　　我們時(shí)常看到，有的經(jīng)理跑到IT部門說：“我是經(jīng)理，什么權(quán)限我都要。”但我要說：“你是經(jīng)理，你是做審批的工作，或者你是做數(shù)據(jù)分析的，你就應(yīng)該把這方面的工作做好，是什么分工就給你什么權(quán)限。無疑這不是容易做到的。”

　　CIOI：如果把IT內(nèi)控的工作也進(jìn)行分工，普遍會(huì)認(rèn)為，IT內(nèi)控主要是IT部門的工作，你覺得應(yīng)該是這樣嗎？

　　任家明：IT內(nèi)控從來都不只是IT部門的工作。之前也有人說過，IT內(nèi)控是IT審計(jì)師的工作，這種觀點(diǎn)我也不同意。IT審計(jì)師可以在IT內(nèi)控工作中起到帶頭的作用，幫助一家公司認(rèn)識(shí)IT內(nèi)控是什么。但是從長(zhǎng)久來看，IT內(nèi)控應(yīng)該是整個(gè)公司的工作，而不是某個(gè)具體部門的。

　　道理也很簡(jiǎn)單，比如說薪酬管理的軟件，財(cái)務(wù)人員會(huì)使用這個(gè)軟件發(fā)放工資，這個(gè)軟件是不是也要IT部門去做內(nèi)控呢？不應(yīng)該吧。從這個(gè)角度來講，IT系統(tǒng)屬于哪個(gè)部門使用，哪個(gè)部門就應(yīng)該做相應(yīng)系統(tǒng)的內(nèi)控。如果你是這個(gè)部門的主管，部門涉及到的IT系統(tǒng)的內(nèi)控就應(yīng)該歸你管，是你的責(zé)任。當(dāng)然，從公司整體來講，誰應(yīng)該最終對(duì)IT內(nèi)控負(fù)全部責(zé)任呢？也不該是CIO或者IT部門，而是公司的最高管理層。再往上一層，就是公司的審計(jì)委員會(huì)，審計(jì)委員會(huì)應(yīng)該跟最高管理層溝通，將IT內(nèi)控的工作制度化，并進(jìn)行分工，每個(gè)部門的主管，要跟他們負(fù)責(zé)各自部門財(cái)務(wù)內(nèi)控工作一樣，也要負(fù)責(zé)各自部門的IT內(nèi)控。

　　IT部門在IT內(nèi)控方面也有很多要做的工作，但絕對(duì)不應(yīng)該是全部，應(yīng)該讓每個(gè)部門的主管管理好自己部門的IT內(nèi)控。剛才提到的美國(guó)的《薩班斯法案》，里面有一個(gè)404條款，404里面的標(biāo)題就是：“管理層對(duì)內(nèi)控做風(fēng)險(xiǎn)評(píng)估。”為什么不是說財(cái)務(wù)去做風(fēng)險(xiǎn)評(píng)估，而是管理層呢？?jī)?nèi)控原本就應(yīng)該是整個(gè)管理層的責(zé)任，而不僅僅是財(cái)務(wù)部門的責(zé)任，IT內(nèi)控也是如此。

　　CIOI：你不同意IT內(nèi)控被看成只是IT部門的職責(zé)，但是實(shí)際上很多公司IT內(nèi)控項(xiàng)目的負(fù)責(zé)人都來自IT部門，這是為什么？

　　任家明：現(xiàn)在你發(fā)現(xiàn)的和我發(fā)現(xiàn)的都是一樣的，那就是IT部門更多地在承擔(dān)IT內(nèi)控的工作。這是很尷尬的現(xiàn)實(shí)，究其原因，主要是大部分公司的管理層對(duì)IT內(nèi)控的認(rèn)知不夠所造成的。每當(dāng)這些管理層聽到別人向他談IT內(nèi)控，很自然地，他就會(huì)把IT內(nèi)控當(dāng)成了IT部門的工作，要轉(zhuǎn)變這種現(xiàn)實(shí)需要一個(gè)過程。

　　特別是在實(shí)施IT內(nèi)控的第一年，要避免這種情況出現(xiàn)非常困難。當(dāng)經(jīng)過一段時(shí)間，管理層對(duì)IT內(nèi)控多了一些認(rèn)知的時(shí)候，這種情形就會(huì)慢慢好轉(zhuǎn)。但是，很重要的一點(diǎn)，管理層和審計(jì)委員會(huì)的人員一定要明白，業(yè)務(wù)與IT的融合應(yīng)該怎么去做，IT不可能脫離業(yè)務(wù)而單獨(dú)存在，IT內(nèi)控最終的目的還是為了控制業(yè)務(wù)風(fēng)險(xiǎn)。其實(shí)，在美國(guó)也有同樣的問題，但是現(xiàn)在已經(jīng)比三四年前他們剛開始做IT內(nèi)控的時(shí)候好得多了。中國(guó)的公司要真正轉(zhuǎn)變這種偏見，也需要花一段時(shí)間。

　　CIOI：在管理層沒有完全轉(zhuǎn)變對(duì)IT內(nèi)控的偏見之前，CIO和IT部門豈不是很冤？

　　任家明：對(duì)啊。他們也都比較頭痛，之前誰都沒有接觸過IT內(nèi)控，現(xiàn)在卻要他們來做，真是沒有辦法。但是，總要有人對(duì)管理層的“偏見”付出代價(jià)。雖然管理層會(huì)想當(dāng)然地把IT內(nèi)控歸為IT部門的職責(zé)，但是IT部門在開始這項(xiàng)工作的時(shí)候，不會(huì)比其他部門占多大優(yōu)勢(shì)，他們同樣困難重重。

　　最開始的時(shí)候，當(dāng)顧問或者審計(jì)師與他們談COBIT時(shí)，很多IT經(jīng)理也很茫然，因?yàn)樗麄冎案揪蜎]有聽過COBIT。

　　ISACA以前在中國(guó)沒有做太多工作，所以不一定所有人都聽過COBIT，這也是很正常的。我相信現(xiàn)在很多人都已經(jīng)聽過COBIT，但是雖然聽過，真正去做的時(shí)候，很多人還是會(huì)不明白，當(dāng)要找一些真正有經(jīng)驗(yàn)做過COBIT的人時(shí)，還是會(huì)很難找。關(guān)于這方面的人才可能還需要等幾年，才會(huì)有人真正可以站出來說：“我有經(jīng)驗(yàn)。”如果現(xiàn)在有人跟我說他有這方面的經(jīng)驗(yàn)，我會(huì)反問：“真的嗎？你的經(jīng)驗(yàn)是從哪里來的？”真的是這樣，在美國(guó)，剛開始的時(shí)候也是如此。聽過COBIT或者獲得相關(guān)的培訓(xùn)證書，并不代表知道COBIT怎么去用。這也很好理解，比如要成為一名醫(yī)生，不可能看幾本書就知道怎么去做手術(shù)。IT內(nèi)控方面的人才也是這樣，有認(rèn)知是好的開始，但并不代表說真的有經(jīng)驗(yàn)。同樣作為醫(yī)生，如果做過100個(gè)手術(shù)，那是真的有經(jīng)驗(yàn)，要是只做過兩三個(gè)手術(shù)，就說自己有經(jīng)驗(yàn)，這就有疑問了，因?yàn)楹芏嗵乩銢]有見過，一旦發(fā)生，你也不知道怎么去處理，這怎么能算得上是有經(jīng)驗(yàn)?zāi)兀坎贿^，總體來講，雖然CIO和IT部門承擔(dān)了原本不屬于自己的工作，他們的表現(xiàn)還是很值得肯定的。

    CIOI:既然IT內(nèi)控的人才這么稀缺，對(duì)CIO和IT部門來講，雖然承擔(dān)了本不該屬于自己的工作，還是很值得的，因?yàn)檫@是一個(gè)全新的機(jī)遇，是這樣嗎？

　　任家明：是這樣。在香港也是如此，之前很多IT方面的技術(shù)人員，他們之前從來都沒有接觸過這么高層次的東西，因?yàn)檫@原本應(yīng)該是管理層涉及的范疇。所以很多比較聰明的IT人員會(huì)認(rèn)為：“嗯，這是一個(gè)好機(jī)會(huì)，我可以接觸到本應(yīng)該是管理層做的事情，如果我知道怎么做了，有了這方面的經(jīng)驗(yàn)，將來我也可以成為管理層的一員。”當(dāng)然，不可能所有人都認(rèn)為這是個(gè)機(jī)遇，我也看到過有些人會(huì)抱怨說：“好煩，不想做了，我又沒有那么大的野心。”

　　在香港，我看到很多IT部門的人員，參加各種各樣的培訓(xùn)課程，他們就是想多一些這方面的知識(shí)，甚至很多IT審計(jì)的培訓(xùn)課他們都來聽。有時(shí)候，我也很好奇，我問他們：“你又不是審計(jì)師，你來聽這個(gè)做什么呢？”他們卻說：“這雖然不是IT部門的工作，但是我可以知道IT審計(jì)師來的時(shí)候他們最關(guān)心的是什么，我需要準(zhǔn)備什么，知道他們?cè)趺醋觯乙部梢园盐业墓ぷ髯龅酶谩?rdquo;這是一個(gè)非常聰明的想法，我之前都沒有這樣想過。把IT內(nèi)控歸為IT部門的工作，確實(shí)讓CIO和IT部門感到有些冤，但是如果積極去看，這確實(shí)是個(gè)很好的機(jī)會(huì)，對(duì)于個(gè)人的發(fā)展來說，可以多一些機(jī)遇。雖然不同的人可能會(huì)有不同想法，我還是希望中國(guó)的IT部門員工能多一些遠(yuǎn)見，把這種挑戰(zhàn)看成是機(jī)遇。我們常常說“機(jī)會(huì)是給有準(zhǔn)備的人的”，如果你沒有準(zhǔn)備好，即使有機(jī)會(huì)擺在你面前，你也不會(huì)利用。

　　CIOI：但是這只會(huì)是一個(gè)機(jī)遇，從長(zhǎng)遠(yuǎn)來看，IT內(nèi)控仍然不會(huì)是IT部門主要的工作，對(duì)嗎？

　　任家明：對(duì)，我覺得永遠(yuǎn)都不該是IT部門來承擔(dān)IT內(nèi)控的工作。現(xiàn)在，我們看到很多美國(guó)公司開始把不同部門的管理層召集起來，成立IT委員會(huì)。因?yàn)樗麄兿朊靼琢艘稽c(diǎn)，并不是CIO一個(gè)人可以做所有的IT決策，因?yàn)镮T與業(yè)務(wù)的密切聯(lián)系，使得任何IT決策都可能影響到整個(gè)公司。

　　各個(gè)部門的管理層集體做決策，通過委員會(huì)集體討論，決定下一步該怎么去做，我相信這是大勢(shì)所趨。沒有人說CIO可以把所有IT的決策都做出來。事實(shí)告訴我們，CIO一個(gè)人做出的決策，往往是一個(gè)不受歡迎的決策，推行的時(shí)候阻力很大，但是如果管理層一起去討論，進(jìn)而批準(zhǔn)，阻力自然會(huì)少很多。

　　CIOI:據(jù)我了解，很多公司都把IT內(nèi)控當(dāng)成項(xiàng)目來做，既然是項(xiàng)目，那一定是有開始也有結(jié)束，在項(xiàng)目終結(jié)之后，IT內(nèi)控該怎么繼續(xù)呢？

　　任家明：我同意剛開始的時(shí)候把IT內(nèi)控看成是一個(gè)項(xiàng)目。正如你所說，既然是項(xiàng)目，就會(huì)有開始，也有終結(jié)的時(shí)候。那么，在項(xiàng)目終結(jié)之后，IT內(nèi)控該怎么繼續(xù)就顯得非常關(guān)鍵了。

　　我們通常說IT內(nèi)控在第一年是一個(gè)項(xiàng)目，第二年就已經(jīng)不是了，為什么呢？因?yàn)榈谝荒晟婕暗墓ぷ鞣浅６啵写罅康臅r(shí)間在做培訓(xùn)，還要把所有的文檔都準(zhǔn)備好，把每個(gè)人的分工、權(quán)限都明確，把所有的流程都梳理好……這些工作做好之后，IT內(nèi)控的責(zé)任就可以交還給管理層了。

　　在第一年，管理層也許并不知道IT內(nèi)控該做什么，但是經(jīng)過第一年的IT內(nèi)控項(xiàng)目之后，現(xiàn)在就必須要知道了。相關(guān)的文檔、人才等都已經(jīng)交還給你，這時(shí)候你就不能說不知道該做什么了，從現(xiàn)在開始，IT內(nèi)控就是你的責(zé)任，你要管理。

　　有時(shí)候我們留意有些公司在第二年、第三年還需要有人幫一點(diǎn)忙，但這只是局部的幫忙。雖然大部分公司在第一年都會(huì)把IT內(nèi)控當(dāng)做是項(xiàng)目，但是除了第一年之外，IT內(nèi)控的職責(zé)應(yīng)該交給管理層來承擔(dān)。

    CIOI：也有專家提出，可以在第一年IT內(nèi)控項(xiàng)目組的基礎(chǔ)上組建專職的IT內(nèi)控部門，你會(huì)贊成這種做法嗎？

　　任家明：經(jīng)驗(yàn)告訴我們，不是太多的公司會(huì)這么做。有些公司，比如銀行、保險(xiǎn)公司會(huì)成立專門的部門，但是其他大部分公司都不會(huì)有一個(gè)獨(dú)立的部門去負(fù)責(zé)IT內(nèi)控。

　　我們之所以堅(jiān)持認(rèn)為一定要把IT內(nèi)控交給整個(gè)管理層去做，很重要的一個(gè)原因就是，一旦有一個(gè)單獨(dú)的部門負(fù)責(zé)這件事情，所有人都會(huì)說：“這是內(nèi)控部門的職責(zé)，不是我的工作”。就如找一個(gè)餐廳經(jīng)理，之前可能需要有管理經(jīng)驗(yàn)、財(cái)務(wù)經(jīng)驗(yàn)和人事經(jīng)驗(yàn)，現(xiàn)在又要加一個(gè)，即有內(nèi)控的經(jīng)驗(yàn)，因?yàn)閮?nèi)控也是你的工作了。所有的管理層都不應(yīng)該逃避對(duì)IT內(nèi)控應(yīng)該承擔(dān)的責(zé)任，否則，今天你還是經(jīng)理，可能明天你就不是了，因?yàn)楣倦S時(shí)會(huì)找一個(gè)多一些內(nèi)控經(jīng)驗(yàn)的人來代替你。

　　CIOI:不僅是IT內(nèi)控，其實(shí)有些公司在做IT審計(jì)的時(shí)候，也是從IT部門調(diào)人到審計(jì)部門承擔(dān)IT審計(jì)的工作。IT部門正在承擔(dān)越來越多不屬于它的工作，你覺得是這樣嗎？

　　任家明：我覺得這只是一個(gè)階段，IT人員要多知道一些IT審計(jì)、內(nèi)控的知識(shí)，IT審計(jì)也確實(shí)需要了解一些技術(shù)層面的東西。當(dāng)然，這畢竟是一個(gè)階段，當(dāng)過了這個(gè)階段，每個(gè)人都會(huì)有一個(gè)選擇，愿意去審計(jì)部門工作，或者愿意繼續(xù)留在IT部門工作，這是兩個(gè)很容易分開的工作。一開始的時(shí)候，很難找到對(duì)這兩方面專業(yè)都有所掌握的人才，所以會(huì)從IT部門借調(diào)一些人過去。但是，長(zhǎng)遠(yuǎn)來看，這是不合適的，IT就是IT，審計(jì)就是審計(jì)，是有明確分工的。這就像我們剛開始談的，是因?yàn)槿瞬挪粔蛟斐傻摹?/div>