任家明：正解IT内控

　　在这场噩梦中，CIO与IT部门自然也无法幸免，甚至，他们的苦难要远远多于其他部门——由于企业高层对于IT内控的片面认识，IT部门承担了很多原本不应该属于它的工作。在应对《萨班斯法案》的过程中，大部分公司都把IT内控的繁琐工作推给了IT部门，但是，在国际信息系统审计协会（ISACA）全球副总裁任家明看来，这种做法是不负责任的，IT内控永远都不应该被看成是IT部门的工作。

　　任家明从1984年开始从业于信息审计与安全事业，曾经在毕马威担任管理职务，现任ISACA全球副总裁、国际IT治理协会（ITGI）副主席、香港计算机学会信息安全组主席、IIA香港分会理事以及国际注册舞弊审核师协会香港分会创会副主席。最近几年，任家明致力于在亚太地区推广公司治理与IT治理的最佳方法，以及COSO和COBIT框架标准。

　　CIOINSIGHT记者近期采访了任家明，与他就IT内控的相关话题展开了交流。

　　CIOI：这几年，很多中国公司都在因IT内控而焦头烂额，在你看来，为什么会出现这种状况呢？

　　任家明：IT内控是项很繁琐的工作，刚开始的一两年尤其会很辛苦，所有公司都会感觉到困难重重，中国公司自然也不能例外。

　　在这个过程中，中国公司有很多非常普遍的问题也逐渐暴露出来。比如有些公司，在IT内控方面已经有意无意地做了一些工作，但是却并没有把这些工作整理出来，只是这里一张纸，那里一张纸的，无法形成完善的文档。IT内控要求把所有重要流程的文档都整理出来，什么时候什么人需要什么样的流程，随时都可以找到，这些流程在很多中国公司之前是没有的。还有就是分工并不明确，尤其是IT部门，在人手比较少的情况下，每个人都要参与好多工作，相应地给他们的权限就比较多。但是，从内控的角度来讲，分工必须清楚，一个人不能同时有好几个不同的权限。这不是一家两家公司暴露出来的问题，是几乎所有中国公司普遍存在的问题。

　　另外一个比较普遍的问题，就是很多公司的高级管理层对IT治理没有足够的认知。在跟他们谈IT治理的时候，他们很容易这样说：“IT？不要跟我谈，跟我的CIO或者IT部门谈就可以了。”他们不明白IT治理是怎么回事。但是，在我们的理念里，根据我们以往的经验，业务一定要与IT联系起来。IT不可能脱离业务去独立工作，业务也不可能没有IT。现在可以看到，每个上市公司都在用信息系统帮助他们做报表，我相信在中国，找不到一家上市公司的报表都是纯手工做的。业务与IT的真正关系究竟怎么密切，很多公司的高级管理层并不明白，要把他们的这种意识提高还需要做很多工作。

　　不过在我看来，最困难的部分是，中国现在的状况下没有足够的人才帮助这些公司完成IT内控的工作。一家公司要做IT内控方面的工作，要涉及至少两方面的人才，一个是顾问，一定数量的顾问可以帮助企业完成前两年最艰难的工作；另外就是审计师。我不久前和四大会计师事务所的一些审计合伙人沟通时发现，他们也遇到了同样的问题。比如今年他们每家公司在中国都需要补充2000到3000名审计师，也就是说仅仅这4家公司的人才缺口就超过了一万人，然而在中国根本没有这么多有相关经验的审计师。

　　CIOI：你所说的“相关经验”主要是指什么？

　　任家明：现在中国单方面的人才确实很多，比如熟知财务，或者熟知IT，但是IT内控要求的是对财务、IT和公司内部控制点等不同范畴都有经验，这不是一个会计师或者IT从业者就可以做的工作。在香港我们有2000多个ISACA会员，在内地却总共不到1000人，这种差别是非常大的。

　　并且现在只有在美国上市的公司需要做IT内控，可以想象一下，如果所有的中国上市公司都被要求做这些工作，我们到哪里去找这么多IT内控方面的人才呢？当然，没有这些人才供应给市场，我们监管机构就不可能出台这方面的政策，否则会招惹许多麻烦。现在，不仅在美国、加拿大等西方国家，亚太地区的一些国家也开始出台相应的政策，日本现在有类似于萨班斯法案的JSOX，韩国也在酝酿KSOX。我相信，在中国，类似的CSOX也一定会来，但是究竟是什么时候来，是3年还是5年后，这要看多久才可以把这方面人才的缺口弥补上来。

    CIOI：造成人才缺口如此之大的原因主要是什么？

　　任家明：我刚刚提到香港地区，香港是个比较大的国际商业城市，它很早以前就是中西文化交融的地方。香港有很多外国的公司，很多人从这些公司中获取了相似的经验，他们对IT内控的内容接触得要早一些。并且，很重要的原因就是，香港人用的是英语，而目前IT内控相关的标准和框架也都是英文的，还没有中文的版本，虽然内地很多人的英语基础也很好，但是在对这些专业内容的理解上，他们还是更习惯看中文。再加上很少有真正的IT内控经验，在做的时候往往一头雾水，不知道怎么做是最好的，也不知道最好的应该是什么样的。

　　CIOI：你前面提到，很多公司的IT部门分工不是太明确，权限过多。要解决这个问题是不是只有增加人手？

　　任家明：也不一定，当然，解决这个问题最容易做的方法就是增加人手，但是增加人手最直接的影响就是公司的成本会增加，很多公司不愿意这么做。从我的经验来看，造成这种状况大多数情况下，并非人手真的不够，而是没有形成分工的意识，不知道某个员工的分工究竟在哪，也就不可能根据分工赋予不同的权限。还有的就是为了省事，IT部门往往把所有权限都下发，比如很多工作，文员根本不会涉及到，为什么还要给他们权限？

　　我们时常看到，有的经理跑到IT部门说：“我是经理，什么权限我都要。”但我要说：“你是经理，你是做审批的工作，或者你是做数据分析的，你就应该把这方面的工作做好，是什么分工就给你什么权限。无疑这不是容易做到的。”

　　CIOI：如果把IT内控的工作也进行分工，普遍会认为，IT内控主要是IT部门的工作，你觉得应该是这样吗？

　　任家明：IT内控从来都不只是IT部门的工作。之前也有人说过，IT内控是IT审计师的工作，这种观点我也不同意。IT审计师可以在IT内控工作中起到带头的作用，帮助一家公司认识IT内控是什么。但是从长久来看，IT内控应该是整个公司的工作，而不是某个具体部门的。

　　道理也很简单，比如说薪酬管理的软件，财务人员会使用这个软件发放工资，这个软件是不是也要IT部门去做内控呢？不应该吧。从这个角度来讲，IT系统属于哪个部门使用，哪个部门就应该做相应系统的内控。如果你是这个部门的主管，部门涉及到的IT系统的内控就应该归你管，是你的责任。当然，从公司整体来讲，谁应该最终对IT内控负全部责任呢？也不该是CIO或者IT部门，而是公司的最高管理层。再往上一层，就是公司的审计委员会，审计委员会应该跟最高管理层沟通，将IT内控的工作制度化，并进行分工，每个部门的主管，要跟他们负责各自部门财务内控工作一样，也要负责各自部门的IT内控。

　　IT部门在IT内控方面也有很多要做的工作，但绝对不应该是全部，应该让每个部门的主管管理好自己部门的IT内控。刚才提到的美国的《萨班斯法案》，里面有一个404条款，404里面的标题就是：“管理层对内控做风险评估。”为什么不是说财务去做风险评估，而是管理层呢？内控原本就应该是整个管理层的责任，而不仅仅是财务部门的责任，IT内控也是如此。

　　CIOI：你不同意IT内控被看成只是IT部门的职责，但是实际上很多公司IT内控项目的负责人都来自IT部门，这是为什么？

　　任家明：现在你发现的和我发现的都是一样的，那就是IT部门更多地在承担IT内控的工作。这是很尴尬的现实，究其原因，主要是大部分公司的管理层对IT内控的认知不够所造成的。每当这些管理层听到别人向他谈IT内控，很自然地，他就会把IT内控当成了IT部门的工作，要转变这种现实需要一个过程。

　　特别是在实施IT内控的第一年，要避免这种情况出现非常困难。当经过一段时间，管理层对IT内控多了一些认知的时候，这种情形就会慢慢好转。但是，很重要的一点，管理层和审计委员会的人员一定要明白，业务与IT的融合应该怎么去做，IT不可能脱离业务而单独存在，IT内控最终的目的还是为了控制业务风险。其实，在美国也有同样的问题，但是现在已经比三四年前他们刚开始做IT内控的时候好得多了。中国的公司要真正转变这种偏见，也需要花一段时间。

　　CIOI：在管理层没有完全转变对IT内控的偏见之前，CIO和IT部门岂不是很冤？

　　任家明：对啊。他们也都比较头痛，之前谁都没有接触过IT内控，现在却要他们来做，真是没有办法。但是，总要有人对管理层的“偏见”付出代价。虽然管理层会想当然地把IT内控归为IT部门的职责，但是IT部门在开始这项工作的时候，不会比其他部门占多大优势，他们同样困难重重。

　　最开始的时候，当顾问或者审计师与他们谈COBIT时，很多IT经理也很茫然，因为他们之前根本就没有听过COBIT。

　　ISACA以前在中国没有做太多工作，所以不一定所有人都听过COBIT，这也是很正常的。我相信现在很多人都已经听过COBIT，但是虽然听过，真正去做的时候，很多人还是会不明白，当要找一些真正有经验做过COBIT的人时，还是会很难找。关于这方面的人才可能还需要等几年，才会有人真正可以站出来说：“我有经验。”如果现在有人跟我说他有这方面的经验，我会反问：“真的吗？你的经验是从哪里来的？”真的是这样，在美国，刚开始的时候也是如此。听过COBIT或者获得相关的培训证书，并不代表知道COBIT怎么去用。这也很好理解，比如要成为一名医生，不可能看几本书就知道怎么去做手术。IT内控方面的人才也是这样，有认知是好的开始，但并不代表说真的有经验。同样作为医生，如果做过100个手术，那是真的有经验，要是只做过两三个手术，就说自己有经验，这就有疑问了，因为很多特例你没有见过，一旦发生，你也不知道怎么去处理，这怎么能算得上是有经验呢？不过，总体来讲，虽然CIO和IT部门承担了原本不属于自己的工作，他们的表现还是很值得肯定的。

    CIOI:既然IT内控的人才这么稀缺，对CIO和IT部门来讲，虽然承担了本不该属于自己的工作，还是很值得的，因为这是一个全新的机遇，是这样吗？

　　任家明：是这样。在香港也是如此，之前很多IT方面的技术人员，他们之前从来都没有接触过这么高层次的东西，因为这原本应该是管理层涉及的范畴。所以很多比较聪明的IT人员会认为：“嗯，这是一个好机会，我可以接触到本应该是管理层做的事情，如果我知道怎么做了，有了这方面的经验，将来我也可以成为管理层的一员。”当然，不可能所有人都认为这是个机遇，我也看到过有些人会抱怨说：“好烦，不想做了，我又没有那么大的野心。”

　　在香港，我看到很多IT部门的人员，参加各种各样的培训课程，他们就是想多一些这方面的知识，甚至很多IT审计的培训课他们都来听。有时候，我也很好奇，我问他们：“你又不是审计师，你来听这个做什么呢？”他们却说：“这虽然不是IT部门的工作，但是我可以知道IT审计师来的时候他们最关心的是什么，我需要准备什么，知道他们怎么做，我也可以把我的工作做得更好。”这是一个非常聪明的想法，我之前都没有这样想过。把IT内控归为IT部门的工作，确实让CIO和IT部门感到有些冤，但是如果积极去看，这确实是个很好的机会，对于个人的发展来说，可以多一些机遇。虽然不同的人可能会有不同想法，我还是希望中国的IT部门员工能多一些远见，把这种挑战看成是机遇。我们常常说“机会是给有准备的人的”，如果你没有准备好，即使有机会摆在你面前，你也不会利用。

　　CIOI：但是这只会是一个机遇，从长远来看，IT内控仍然不会是IT部门主要的工作，对吗？

　　任家明：对，我觉得永远都不该是IT部门来承担IT内控的工作。现在，我们看到很多美国公司开始把不同部门的管理层召集起来，成立IT委员会。因为他们想明白了一点，并不是CIO一个人可以做所有的IT决策，因为IT与业务的密切联系，使得任何IT决策都可能影响到整个公司。

　　各个部门的管理层集体做决策，通过委员会集体讨论，决定下一步该怎么去做，我相信这是大势所趋。没有人说CIO可以把所有IT的决策都做出来。事实告诉我们，CIO一个人做出的决策，往往是一个不受欢迎的决策，推行的时候阻力很大，但是如果管理层一起去讨论，进而批准，阻力自然会少很多。

　　CIOI:据我了解，很多公司都把IT内控当成项目来做，既然是项目，那一定是有开始也有结束，在项目终结之后，IT内控该怎么继续呢？

　　任家明：我同意刚开始的时候把IT内控看成是一个项目。正如你所说，既然是项目，就会有开始，也有终结的时候。那么，在项目终结之后，IT内控该怎么继续就显得非常关键了。

　　我们通常说IT内控在第一年是一个项目，第二年就已经不是了，为什么呢？因为第一年涉及的工作非常多，有大量的时间在做培训，还要把所有的文档都准备好，把每个人的分工、权限都明确，把所有的流程都梳理好……这些工作做好之后，IT内控的责任就可以交还给管理层了。

　　在第一年，管理层也许并不知道IT内控该做什么，但是经过第一年的IT内控项目之后，现在就必须要知道了。相关的文档、人才等都已经交还给你，这时候你就不能说不知道该做什么了，从现在开始，IT内控就是你的责任，你要管理。

　　有时候我们留意有些公司在第二年、第三年还需要有人帮一点忙，但这只是局部的帮忙。虽然大部分公司在第一年都会把IT内控当做是项目，但是除了第一年之外，IT内控的职责应该交给管理层来承担。

    CIOI：也有专家提出，可以在第一年IT内控项目组的基础上组建专职的IT内控部门，你会赞成这种做法吗？

　　任家明：经验告诉我们，不是太多的公司会这么做。有些公司，比如银行、保险公司会成立专门的部门，但是其他大部分公司都不会有一个独立的部门去负责IT内控。

　　我们之所以坚持认为一定要把IT内控交给整个管理层去做，很重要的一个原因就是，一旦有一个单独的部门负责这件事情，所有人都会说：“这是内控部门的职责，不是我的工作”。就如找一个餐厅经理，之前可能需要有管理经验、财务经验和人事经验，现在又要加一个，即有内控的经验，因为内控也是你的工作了。所有的管理层都不应该逃避对IT内控应该承担的责任，否则，今天你还是经理，可能明天你就不是了，因为公司随时会找一个多一些内控经验的人来代替你。

　　CIOI:不仅是IT内控，其实有些公司在做IT审计的时候，也是从IT部门调人到审计部门承担IT审计的工作。IT部门正在承担越来越多不属于它的工作，你觉得是这样吗？

　　任家明：我觉得这只是一个阶段，IT人员要多知道一些IT审计、内控的知识，IT审计也确实需要了解一些技术层面的东西。当然，这毕竟是一个阶段，当过了这个阶段，每个人都会有一个选择，愿意去审计部门工作，或者愿意继续留在IT部门工作，这是两个很容易分开的工作。一开始的时候，很难找到对这两方面专业都有所掌握的人才，所以会从IT部门借调一些人过去。但是，长远来看，这是不合适的，IT就是IT，审计就是审计，是有明确分工的。这就像我们刚开始谈的，是因为人才不够造成的。

　　不过，在现在这个阶段，对于IT部门的员工来讲，确实有很多新的机遇出现，但是，要明确的是，这些新机遇是针对IT部门的员工来讲的，并非是IT部门遇到了新机遇。

　　CIOI:IT内控要求的复合型人才，既要懂IT又要懂财务，从你的经验来看，是财务部门的人学IT更快一些，还是IT部门的人学财务更快一些？

　　任家明：在以前，我们找IT审计师，都是从会计师中选拔，再做一些IT培训。但是，我们发现现在正经历相反的过程，虽然很多会计师在取得CPA之后也会去接受IT的培训，但是比例已经不同了，以前可能是95％的IT审计师都是会计师背景，现在可能只有50％了。从我来讲，我更愿意帮助一个IT人员做其他方面的培训，比如IT治理和财务等方面，IT人员接受这些培训会更容易一些。因为IT技术的不断进步，使得技术层面的知识正在变得越来越复杂，已经不是一个普通的会计师可以很快学得来的了。

　　所以我觉得，现在的IT审计师里面，财务与IT背景的人大概是一半一半，将来可能IT背景的人会越来越多，财务背景的人可能只剩下20％了。