对于众多在美国上市的公司来讲，2002年出台的《萨班斯法案》简直是它们噩梦的开始。为了应对《萨班斯法案》的苛刻要求，这些公司不得不担负高额的合规成本，并为此投入巨大精力。特别是404条款对内部控制的“刁难”，在给审计师事务所带来可观收入的同时，实在让众多在美上市的公司感到焦头烂额。

　　在这场噩梦中，CIO与IT部门自然也无法幸免，甚至，他们的苦难要远远多于其他部门——由于企业高层对于IT内控的片面认识，IT部门承担了很多原本不应该属于它的工作。在应对《萨班斯法案》的过程中，大部分公司都把IT内控的繁琐工作推给了IT部门，但是，在国际信息系统审计协会（ISACA）全球副总裁任家明看来，这种做法是不负责任的，IT内控永远都不应该被看成是IT部门的工作。

　　任家明从1984年开始从业于信息审计与安全事业，曾经在毕马威担任管理职务，现任ISACA全球副总裁、国际IT治理协会（ITGI）副主席、香港计算机学会信息安全组主席、IIA香港分会理事以及国际注册舞弊审核师协会香港分会创会副主席。最近几年，任家明致力于在亚太地区推广公司治理与IT治理的最佳方法，以及COSO和COBIT框架标准。

　　CIOINSIGHT记者近期采访了任家明，与他就IT内控的相关话题展开了交流。

　　CIOI：这几年，很多中国公司都在因IT内控而焦头烂额，在你看来，为什么会出现这种状况呢？

　　任家明：IT内控是项很繁琐的工作，刚开始的一两年尤其会很辛苦，所有公司都会感觉到困难重重，中国公司自然也不能例外。

　　在这个过程中，中国公司有很多非常普遍的问题也逐渐暴露出来。比如有些公司，在IT内控方面已经有意无意地做了一些工作，但是却并没有把这些工作整理出来，只是这里一张纸，那里一张纸的，无法形成完善的文档。IT内控要求把所有重要流程的文档都整理出来，什么时候什么人需要什么样的流程，随时都可以找到，这些流程在很多中国公司之前是没有的。还有就是分工并不明确，尤其是IT部门，在人手比较少的情况下，每个人都要参与好多工作，相应地给他们的权限就比较多。但是，从内控的角度来讲，分工必须清楚，一个人不能同时有好几个不同的权限。这不是一家两家公司暴露出来的问题，是几乎所有中国公司普遍存在的问题。

　　另外一个比较普遍的问题，就是很多公司的高级管理层对IT治理没有足够的认知。在跟他们谈IT治理的时候，他们很容易这样说：“IT？不要跟我谈，跟我的CIO或者IT部门谈就可以了。”他们不明白IT治理是怎么回事。但是，在我们的理念里，根据我们以往的经验，业务一定要与IT联系起来。IT不可能脱离业务去独立工作，业务也不可能没有IT。现在可以看到，每个上市公司都在用信息系统帮助他们做报表，我相信在中国，找不到一家上市公司的报表都是纯手工做的。业务与IT的真正关系究竟怎么密切，很多公司的高级管理层并不明白，要把他们的这种意识提高还需要做很多工作。

　　不过在我看来，最困难的部分是，中国现在的状况下没有足够的人才帮助这些公司完成IT内控的工作。一家公司要做IT内控方面的工作，要涉及至少两方面的人才，一个是顾问，一定数量的顾问可以帮助企业完成前两年最艰难的工作；另外就是审计师。我不久前和四大会计师事务所的一些审计合伙人沟通时发现，他们也遇到了同样的问题。比如今年他们每家公司在中国都需要补充2000到3000名审计师，也就是说仅仅这4家公司的人才缺口就超过了一万人，然而在中国根本没有这么多有相关经验的审计师。

　　CIOI：你所说的“相关经验”主要是指什么？

　　任家明：现在中国单方面的人才确实很多，比如熟知财务，或者熟知IT，但是IT内控要求的是对财务、IT和公司内部控制点等不同范畴都有经验，这不是一个会计师或者IT从业者就可以做的工作。在香港我们有2000多个ISACA会员，在内地却总共不到1000人，这种差别是非常大的。

　　并且现在只有在美国上市的公司需要做IT内控，可以想象一下，如果所有的中国上市公司都被要求做这些工作，我们到哪里去找这么多IT内控方面的人才呢？当然，没有这些人才供应给市场，我们监管机构就不可能出台这方面的政策，否则会招惹许多麻烦。现在，不仅在美国、加拿大等西方国家，亚太地区的一些国家也开始出台相应的政策，日本现在有类似于萨班斯法案的JSOX，韩国也在酝酿KSOX。我相信，在中国，类似的CSOX也一定会来，但是究竟是什么时候来，是3年还是5年后，这要看多久才可以把这方面人才的缺口弥补上来。