在這場噩夢中，CIO與IT部門自然也無法幸免，甚至，他們的苦難要遠遠多于其他部門——由于企業(yè)高層對于IT內(nèi)控的片面認識，IT部門承擔了很多原本不應該屬于它的工作。在應對《薩班斯法案》的過程中，大部分公司都把IT內(nèi)控的繁瑣工作推給了IT部門，但是，在國際信息系統(tǒng)審計協(xié)會（ISACA）全球副總裁任家明看來，這種做法是不負責任的，IT內(nèi)控永遠都不應該被看成是IT部門的工作。

　　任家明從1984年開始從業(yè)于信息審計與安全事業(yè)，曾經(jīng)在畢馬威擔任管理職務，現(xiàn)任ISACA全球副總裁、國際IT治理協(xié)會（ITGI）副主席、香港計算機學會信息安全組主席、IIA香港分會理事以及國際注冊舞弊審核師協(xié)會香港分會創(chuàng)會副主席。最近幾年，任家明致力于在亞太地區(qū)推廣公司治理與IT治理的最佳方法，以及COSO和COBIT框架標準。

　　CIOINSIGHT記者近期采訪了任家明，與他就IT內(nèi)控的相關(guān)話題展開了交流。

　　CIOI：這幾年，很多中國公司都在因IT內(nèi)控而焦頭爛額，在你看來，為什么會出現(xiàn)這種狀況呢？

　　任家明：IT內(nèi)控是項很繁瑣的工作，剛開始的一兩年尤其會很辛苦，所有公司都會感覺到困難重重，中國公司自然也不能例外。

　　在這個過程中，中國公司有很多非常普遍的問題也逐漸暴露出來。比如有些公司，在IT內(nèi)控方面已經(jīng)有意無意地做了一些工作，但是卻并沒有把這些工作整理出來，只是這里一張紙，那里一張紙的，無法形成完善的文檔。IT內(nèi)控要求把所有重要流程的文檔都整理出來，什么時候什么人需要什么樣的流程，隨時都可以找到，這些流程在很多中國公司之前是沒有的。還有就是分工并不明確，尤其是IT部門，在人手比較少的情況下，每個人都要參與好多工作，相應地給他們的權(quán)限就比較多。但是，從內(nèi)控的角度來講，分工必須清楚，一個人不能同時有好幾個不同的權(quán)限。這不是一家兩家公司暴露出來的問題，是幾乎所有中國公司普遍存在的問題。

　　另外一個比較普遍的問題，就是很多公司的高級管理層對IT治理沒有足夠的認知。在跟他們談IT治理的時候，他們很容易這樣說：“IT？不要跟我談，跟我的CIO或者IT部門談就可以了。”他們不明白IT治理是怎么回事。但是，在我們的理念里，根據(jù)我們以往的經(jīng)驗，業(yè)務一定要與IT聯(lián)系起來。IT不可能脫離業(yè)務去獨立工作，業(yè)務也不可能沒有IT。現(xiàn)在可以看到，每個上市公司都在用信息系統(tǒng)幫助他們做報表，我相信在中國，找不到一家上市公司的報表都是純手工做的。業(yè)務與IT的真正關(guān)系究竟怎么密切，很多公司的高級管理層并不明白，要把他們的這種意識提高還需要做很多工作。

　　不過在我看來，最困難的部分是，中國現(xiàn)在的狀況下沒有足夠的人才幫助這些公司完成IT內(nèi)控的工作。一家公司要做IT內(nèi)控方面的工作，要涉及至少兩方面的人才，一個是顧問，一定數(shù)量的顧問可以幫助企業(yè)完成前兩年最艱難的工作；另外就是審計師。我不久前和四大會計師事務所的一些審計合伙人溝通時發(fā)現(xiàn)，他們也遇到了同樣的問題。比如今年他們每家公司在中國都需要補充2000到3000名審計師，也就是說僅僅這4家公司的人才缺口就超過了一萬人，然而在中國根本沒有這么多有相關(guān)經(jīng)驗的審計師。

　　CIOI：你所說的“相關(guān)經(jīng)驗”主要是指什么？

　　任家明：現(xiàn)在中國單方面的人才確實很多，比如熟知財務，或者熟知IT，但是IT內(nèi)控要求的是對財務、IT和公司內(nèi)部控制點等不同范疇都有經(jīng)驗，這不是一個會計師或者IT從業(yè)者就可以做的工作。在香港我們有2000多個ISACA會員，在內(nèi)地卻總共不到1000人，這種差別是非常大的。

　　并且現(xiàn)在只有在美國上市的公司需要做IT內(nèi)控，可以想象一下，如果所有的中國上市公司都被要求做這些工作，我們到哪里去找這么多IT內(nèi)控方面的人才呢？當然，沒有這些人才供應給市場，我們監(jiān)管機構(gòu)就不可能出臺這方面的政策，否則會招惹許多麻煩。現(xiàn)在，不僅在美國、加拿大等西方國家，亞太地區(qū)的一些國家也開始出臺相應的政策，日本現(xiàn)在有類似于薩班斯法案的JSOX，韓國也在醞釀KSOX。我相信，在中國，類似的CSOX也一定會來，但是究竟是什么時候來，是3年還是5年后，這要看多久才可以把這方面人才的缺口彌補上來。

    CIOI：造成人才缺口如此之大的原因主要是什么？

　　任家明：我剛剛提到香港地區(qū)，香港是個比較大的國際商業(yè)城市，它很早以前就是中西文化交融的地方。香港有很多外國的公司，很多人從這些公司中獲取了相似的經(jīng)驗，他們對IT內(nèi)控的內(nèi)容接觸得要早一些。并且，很重要的原因就是，香港人用的是英語，而目前IT內(nèi)控相關(guān)的標準和框架也都是英文的，還沒有中文的版本，雖然內(nèi)地很多人的英語基礎也很好，但是在對這些專業(yè)內(nèi)容的理解上，他們還是更習慣看中文。再加上很少有真正的IT內(nèi)控經(jīng)驗，在做的時候往往一頭霧水，不知道怎么做是最好的，也不知道最好的應該是什么樣的。

　　CIOI：你前面提到，很多公司的IT部門分工不是太明確，權(quán)限過多。要解決這個問題是不是只有增加人手？

　　任家明：也不一定，當然，解決這個問題最容易做的方法就是增加人手，但是增加人手最直接的影響就是公司的成本會增加，很多公司不愿意這么做。從我的經(jīng)驗來看，造成這種狀況大多數(shù)情況下，并非人手真的不夠，而是沒有形成分工的意識，不知道某個員工的分工究竟在哪，也就不可能根據(jù)分工賦予不同的權(quán)限。還有的就是為了省事，IT部門往往把所有權(quán)限都下發(fā)，比如很多工作，文員根本不會涉及到，為什么還要給他們權(quán)限？

　　我們時常看到，有的經(jīng)理跑到IT部門說：“我是經(jīng)理，什么權(quán)限我都要。”但我要說：“你是經(jīng)理，你是做審批的工作，或者你是做數(shù)據(jù)分析的，你就應該把這方面的工作做好，是什么分工就給你什么權(quán)限。無疑這不是容易做到的。”

　　CIOI：如果把IT內(nèi)控的工作也進行分工，普遍會認為，IT內(nèi)控主要是IT部門的工作，你覺得應該是這樣嗎？

　　任家明：IT內(nèi)控從來都不只是IT部門的工作。之前也有人說過，IT內(nèi)控是IT審計師的工作，這種觀點我也不同意。IT審計師可以在IT內(nèi)控工作中起到帶頭的作用，幫助一家公司認識IT內(nèi)控是什么。但是從長久來看，IT內(nèi)控應該是整個公司的工作，而不是某個具體部門的。

　　道理也很簡單，比如說薪酬管理的軟件，財務人員會使用這個軟件發(fā)放工資，這個軟件是不是也要IT部門去做內(nèi)控呢？不應該吧。從這個角度來講，IT系統(tǒng)屬于哪個部門使用，哪個部門就應該做相應系統(tǒng)的內(nèi)控。如果你是這個部門的主管，部門涉及到的IT系統(tǒng)的內(nèi)控就應該歸你管，是你的責任。當然，從公司整體來講，誰應該最終對IT內(nèi)控負全部責任呢？也不該是CIO或者IT部門，而是公司的最高管理層。再往上一層，就是公司的審計委員會，審計委員會應該跟最高管理層溝通，將IT內(nèi)控的工作制度化，并進行分工，每個部門的主管，要跟他們負責各自部門財務內(nèi)控工作一樣，也要負責各自部門的IT內(nèi)控。

　　IT部門在IT內(nèi)控方面也有很多要做的工作，但絕對不應該是全部，應該讓每個部門的主管管理好自己部門的IT內(nèi)控。剛才提到的美國的《薩班斯法案》，里面有一個404條款，404里面的標題就是：“管理層對內(nèi)控做風險評估。”為什么不是說財務去做風險評估，而是管理層呢？內(nèi)控原本就應該是整個管理層的責任，而不僅僅是財務部門的責任，IT內(nèi)控也是如此。

　　CIOI：你不同意IT內(nèi)控被看成只是IT部門的職責，但是實際上很多公司IT內(nèi)控項目的負責人都來自IT部門，這是為什么？

　　任家明：現(xiàn)在你發(fā)現(xiàn)的和我發(fā)現(xiàn)的都是一樣的，那就是IT部門更多地在承擔IT內(nèi)控的工作。這是很尷尬的現(xiàn)實，究其原因，主要是大部分公司的管理層對IT內(nèi)控的認知不夠所造成的。每當這些管理層聽到別人向他談IT內(nèi)控，很自然地，他就會把IT內(nèi)控當成了IT部門的工作，要轉(zhuǎn)變這種現(xiàn)實需要一個過程。

　　特別是在實施IT內(nèi)控的第一年，要避免這種情況出現(xiàn)非常困難。當經(jīng)過一段時間，管理層對IT內(nèi)控多了一些認知的時候，這種情形就會慢慢好轉(zhuǎn)。但是，很重要的一點，管理層和審計委員會的人員一定要明白，業(yè)務與IT的融合應該怎么去做，IT不可能脫離業(yè)務而單獨存在，IT內(nèi)控最終的目的還是為了控制業(yè)務風險。其實，在美國也有同樣的問題，但是現(xiàn)在已經(jīng)比三四年前他們剛開始做IT內(nèi)控的時候好得多了。中國的公司要真正轉(zhuǎn)變這種偏見，也需要花一段時間。

　　CIOI：在管理層沒有完全轉(zhuǎn)變對IT內(nèi)控的偏見之前，CIO和IT部門豈不是很冤？

　　任家明：對啊。他們也都比較頭痛，之前誰都沒有接觸過IT內(nèi)控，現(xiàn)在卻要他們來做，真是沒有辦法。但是，總要有人對管理層的“偏見”付出代價。雖然管理層會想當然地把IT內(nèi)控歸為IT部門的職責，但是IT部門在開始這項工作的時候，不會比其他部門占多大優(yōu)勢，他們同樣困難重重。

　　最開始的時候，當顧問或者審計師與他們談COBIT時，很多IT經(jīng)理也很茫然，因為他們之前根本就沒有聽過COBIT。

　　ISACA以前在中國沒有做太多工作，所以不一定所有人都聽過COBIT，這也是很正常的。我相信現(xiàn)在很多人都已經(jīng)聽過COBIT，但是雖然聽過，真正去做的時候，很多人還是會不明白，當要找一些真正有經(jīng)驗做過COBIT的人時，還是會很難找。關(guān)于這方面的人才可能還需要等幾年，才會有人真正可以站出來說：“我有經(jīng)驗。”如果現(xiàn)在有人跟我說他有這方面的經(jīng)驗，我會反問：“真的嗎？你的經(jīng)驗是從哪里來的？”真的是這樣，在美國，剛開始的時候也是如此。聽過COBIT或者獲得相關(guān)的培訓證書，并不代表知道COBIT怎么去用。這也很好理解，比如要成為一名醫(yī)生，不可能看幾本書就知道怎么去做手術(shù)。IT內(nèi)控方面的人才也是這樣，有認知是好的開始，但并不代表說真的有經(jīng)驗。同樣作為醫(yī)生，如果做過100個手術(shù)，那是真的有經(jīng)驗，要是只做過兩三個手術(shù)，就說自己有經(jīng)驗，這就有疑問了，因為很多特例你沒有見過，一旦發(fā)生，你也不知道怎么去處理，這怎么能算得上是有經(jīng)驗呢？不過，總體來講，雖然CIO和IT部門承擔了原本不屬于自己的工作，他們的表現(xiàn)還是很值得肯定的。

    CIOI:既然IT內(nèi)控的人才這么稀缺，對CIO和IT部門來講，雖然承擔了本不該屬于自己的工作，還是很值得的，因為這是一個全新的機遇，是這樣嗎？

　　任家明：是這樣。在香港也是如此，之前很多IT方面的技術(shù)人員，他們之前從來都沒有接觸過這么高層次的東西，因為這原本應該是管理層涉及的范疇。所以很多比較聰明的IT人員會認為：“嗯，這是一個好機會，我可以接觸到本應該是管理層做的事情，如果我知道怎么做了，有了這方面的經(jīng)驗，將來我也可以成為管理層的一員。”當然，不可能所有人都認為這是個機遇，我也看到過有些人會抱怨說：“好煩，不想做了，我又沒有那么大的野心。”

　　在香港，我看到很多IT部門的人員，參加各種各樣的培訓課程，他們就是想多一些這方面的知識，甚至很多IT審計的培訓課他們都來聽。有時候，我也很好奇，我問他們：“你又不是審計師，你來聽這個做什么呢？”他們卻說：“這雖然不是IT部門的工作，但是我可以知道IT審計師來的時候他們最關(guān)心的是什么，我需要準備什么，知道他們怎么做，我也可以把我的工作做得更好。”這是一個非常聰明的想法，我之前都沒有這樣想過。把IT內(nèi)控歸為IT部門的工作，確實讓CIO和IT部門感到有些冤，但是如果積極去看，這確實是個很好的機會，對于個人的發(fā)展來說，可以多一些機遇。雖然不同的人可能會有不同想法，我還是希望中國的IT部門員工能多一些遠見，把這種挑戰(zhàn)看成是機遇。我們常常說“機會是給有準備的人的”，如果你沒有準備好，即使有機會擺在你面前，你也不會利用。

　　CIOI：但是這只會是一個機遇，從長遠來看，IT內(nèi)控仍然不會是IT部門主要的工作，對嗎？

　　任家明：對，我覺得永遠都不該是IT部門來承擔IT內(nèi)控的工作。現(xiàn)在，我們看到很多美國公司開始把不同部門的管理層召集起來，成立IT委員會。因為他們想明白了一點，并不是CIO一個人可以做所有的IT決策，因為IT與業(yè)務的密切聯(lián)系，使得任何IT決策都可能影響到整個公司。

　　各個部門的管理層集體做決策，通過委員會集體討論，決定下一步該怎么去做，我相信這是大勢所趨。沒有人說CIO可以把所有IT的決策都做出來。事實告訴我們，CIO一個人做出的決策，往往是一個不受歡迎的決策，推行的時候阻力很大，但是如果管理層一起去討論，進而批準，阻力自然會少很多。

　　CIOI:據(jù)我了解，很多公司都把IT內(nèi)控當成項目來做，既然是項目，那一定是有開始也有結(jié)束，在項目終結(jié)之后，IT內(nèi)控該怎么繼續(xù)呢？

　　任家明：我同意剛開始的時候把IT內(nèi)控看成是一個項目。正如你所說，既然是項目，就會有開始，也有終結(jié)的時候。那么，在項目終結(jié)之后，IT內(nèi)控該怎么繼續(xù)就顯得非常關(guān)鍵了。

　　我們通常說IT內(nèi)控在第一年是一個項目，第二年就已經(jīng)不是了，為什么呢？因為第一年涉及的工作非常多，有大量的時間在做培訓，還要把所有的文檔都準備好，把每個人的分工、權(quán)限都明確，把所有的流程都梳理好……這些工作做好之后，IT內(nèi)控的責任就可以交還給管理層了。

　　在第一年，管理層也許并不知道IT內(nèi)控該做什么，但是經(jīng)過第一年的IT內(nèi)控項目之后，現(xiàn)在就必須要知道了。相關(guān)的文檔、人才等都已經(jīng)交還給你，這時候你就不能說不知道該做什么了，從現(xiàn)在開始，IT內(nèi)控就是你的責任，你要管理。

　　有時候我們留意有些公司在第二年、第三年還需要有人幫一點忙，但這只是局部的幫忙。雖然大部分公司在第一年都會把IT內(nèi)控當做是項目，但是除了第一年之外，IT內(nèi)控的職責應該交給管理層來承擔。

    CIOI：也有專家提出，可以在第一年IT內(nèi)控項目組的基礎上組建專職的IT內(nèi)控部門，你會贊成這種做法嗎？

　　任家明：經(jīng)驗告訴我們，不是太多的公司會這么做。有些公司，比如銀行、保險公司會成立專門的部門，但是其他大部分公司都不會有一個獨立的部門去負責IT內(nèi)控。

　　我們之所以堅持認為一定要把IT內(nèi)控交給整個管理層去做，很重要的一個原因就是，一旦有一個單獨的部門負責這件事情，所有人都會說：“這是內(nèi)控部門的職責，不是我的工作”。就如找一個餐廳經(jīng)理，之前可能需要有管理經(jīng)驗、財務經(jīng)驗和人事經(jīng)驗，現(xiàn)在又要加一個，即有內(nèi)控的經(jīng)驗，因為內(nèi)控也是你的工作了。所有的管理層都不應該逃避對IT內(nèi)控應該承擔的責任，否則，今天你還是經(jīng)理，可能明天你就不是了，因為公司隨時會找一個多一些內(nèi)控經(jīng)驗的人來代替你。

　　CIOI:不僅是IT內(nèi)控，其實有些公司在做IT審計的時候，也是從IT部門調(diào)人到審計部門承擔IT審計的工作。IT部門正在承擔越來越多不屬于它的工作，你覺得是這樣嗎？

　　任家明：我覺得這只是一個階段，IT人員要多知道一些IT審計、內(nèi)控的知識，IT審計也確實需要了解一些技術(shù)層面的東西。當然，這畢竟是一個階段，當過了這個階段，每個人都會有一個選擇，愿意去審計部門工作，或者愿意繼續(xù)留在IT部門工作，這是兩個很容易分開的工作。一開始的時候，很難找到對這兩方面專業(yè)都有所掌握的人才，所以會從IT部門借調(diào)一些人過去。但是，長遠來看，這是不合適的，IT就是IT，審計就是審計，是有明確分工的。這就像我們剛開始談的，是因為人才不夠造成的。

　　不過，在現(xiàn)在這個階段，對于IT部門的員工來講，確實有很多新的機遇出現(xiàn)，但是，要明確的是，這些新機遇是針對IT部門的員工來講的，并非是IT部門遇到了新機遇。

　　CIOI:IT內(nèi)控要求的復合型人才，既要懂IT又要懂財務，從你的經(jīng)驗來看，是財務部門的人學IT更快一些，還是IT部門的人學財務更快一些？

　　任家明：在以前，我們找IT審計師，都是從會計師中選拔，再做一些IT培訓。但是，我們發(fā)現(xiàn)現(xiàn)在正經(jīng)歷相反的過程，雖然很多會計師在取得CPA之后也會去接受IT的培訓，但是比例已經(jīng)不同了，以前可能是95％的IT審計師都是會計師背景，現(xiàn)在可能只有50％了。從我來講，我更愿意幫助一個IT人員做其他方面的培訓，比如IT治理和財務等方面，IT人員接受這些培訓會更容易一些。因為IT技術(shù)的不斷進步，使得技術(shù)層面的知識正在變得越來越復雜，已經(jīng)不是一個普通的會計師可以很快學得來的了。

　　所以我覺得，現(xiàn)在的IT審計師里面，財務與IT背景的人大概是一半一半，將來可能IT背景的人會越來越多，財務背景的人可能只剩下20％了。