CIOI:造成人才缺口如此之大的原因主要是什么?
任家明:我刚刚提到香港地区,香港是个比较大的国际商业城市,它很早以前就是中西文化交融的地方。香港有很多外国的公司,很多人从这些公司中获取了相似的经验,他们对IT内控的内容接触得要早一些。并且,很重要的原因就是,香港人用的是英语,而目前IT内控相关的标准和框架也都是英文的,还没有中文的版本,虽然内地很多人的英语基础也很好,但是在对这些专业内容的理解上,他们还是更习惯看中文。再加上很少有真正的IT内控经验,在做的时候往往一头雾水,不知道怎么做是最好的,也不知道最好的应该是什么样的。
CIOI:你前面提到,很多公司的IT部门分工不是太明确,权限过多。要解决这个问题是不是只有增加人手?
任家明:也不一定,当然,解决这个问题最容易做的方法就是增加人手,但是增加人手最直接的影响就是公司的成本会增加,很多公司不愿意这么做。从我的经验来看,造成这种状况大多数情况下,并非人手真的不够,而是没有形成分工的意识,不知道某个员工的分工究竟在哪,也就不可能根据分工赋予不同的权限。还有的就是为了省事,IT部门往往把所有权限都下发,比如很多工作,文员根本不会涉及到,为什么还要给他们权限?
我们时常看到,有的经理跑到IT部门说:“我是经理,什么权限我都要。”但我要说:“你是经理,你是做审批的工作,或者你是做数据分析的,你就应该把这方面的工作做好,是什么分工就给你什么权限。无疑这不是容易做到的。”
CIOI:如果把IT内控的工作也进行分工,普遍会认为,IT内控主要是IT部门的工作,你觉得应该是这样吗?
任家明:IT内控从来都不只是IT部门的工作。之前也有人说过,IT内控是IT审计师的工作,这种观点我也不同意。IT审计师可以在IT内控工作中起到带头的作用,帮助一家公司认识IT内控是什么。但是从长久来看,IT内控应该是整个公司的工作,而不是某个具体部门的。
道理也很简单,比如说薪酬管理的软件,财务人员会使用这个软件发放工资,这个软件是不是也要IT部门去做内控呢?不应该吧。从这个角度来讲,IT系统属于哪个部门使用,哪个部门就应该做相应系统的内控。如果你是这个部门的主管,部门涉及到的IT系统的内控就应该归你管,是你的责任。当然,从公司整体来讲,谁应该最终对IT内控负全部责任呢?也不该是CIO或者IT部门,而是公司的最高管理层。再往上一层,就是公司的审计委员会,审计委员会应该跟最高管理层沟通,将IT内控的工作制度化,并进行分工,每个部门的主管,要跟他们负责各自部门财务内控工作一样,也要负责各自部门的IT内控。
IT部门在IT内控方面也有很多要做的工作,但绝对不应该是全部,应该让每个部门的主管管理好自己部门的IT内控。刚才提到的美国的《萨班斯法案》,里面有一个404条款,404里面的标题就是:“管理层对内控做风险评估。”为什么不是说财务去做风险评估,而是管理层呢?内控原本就应该是整个管理层的责任,而不仅仅是财务部门的责任,IT内控也是如此。
CIOI:你不同意IT内控被看成只是IT部门的职责,但是实际上很多公司IT内控项目的负责人都来自IT部门,这是为什么?
任家明:现在你发现的和我发现的都是一样的,那就是IT部门更多地在承担IT内控的工作。这是很尴尬的现实,究其原因,主要是大部分公司的管理层对IT内控的认知不够所造成的。每当这些管理层听到别人向他谈IT内控,很自然地,他就会把IT内控当成了IT部门的工作,要转变这种现实需要一个过程。
特别是在实施IT内控的第一年,要避免这种情况出现非常困难。当经过一段时间,管理层对IT内控多了一些认知的时候,这种情形就会慢慢好转。但是,很重要的一点,管理层和审计委员会的人员一定要明白,业务与IT的融合应该怎么去做,IT不可能脱离业务而单独存在,IT内控最终的目的还是为了控制业务风险。其实,在美国也有同样的问题,但是现在已经比三四年前他们刚开始做IT内控的时候好得多了。中国的公司要真正转变这种偏见,也需要花一段时间。
CIOI:在管理层没有完全转变对IT内控的偏见之前,CIO和IT部门岂不是很冤?
任家明:对啊。他们也都比较头痛,之前谁都没有接触过IT内控,现在却要他们来做,真是没有办法。但是,总要有人对管理层的“偏见”付出代价。虽然管理层会想当然地把IT内控归为IT部门的职责,但是IT部门在开始这项工作的时候,不会比其他部门占多大优势,他们同样困难重重。
最开始的时候,当顾问或者审计师与他们谈COBIT时,很多IT经理也很茫然,因为他们之前根本就没有听过COBIT。
ISACA以前在中国没有做太多工作,所以不一定所有人都听过COBIT,这也是很正常的。我相信现在很多人都已经听过COBIT,但是虽然听过,真正去做的时候,很多人还是会不明白,当要找一些真正有经验做过COBIT的人时,还是会很难找。关于这方面的人才可能还需要等几年,才会有人真正可以站出来说:“我有经验。”如果现在有人跟我说他有这方面的经验,我会反问:“真的吗?你的经验是从哪里来的?”真的是这样,在美国,刚开始的时候也是如此。听过COBIT或者获得相关的培训证书,并不代表知道COBIT怎么去用。这也很好理解,比如要成为一名医生,不可能看几本书就知道怎么去做手术。IT内控方面的人才也是这样,有认知是好的开始,但并不代表说真的有经验。同样作为医生,如果做过100个手术,那是真的有经验,要是只做过两三个手术,就说自己有经验,这就有疑问了,因为很多特例你没有见过,一旦发生,你也不知道怎么去处理,这怎么能算得上是有经验呢?不过,总体来讲,虽然CIO和IT部门承担了原本不属于自己的工作,他们的表现还是很值得肯定的。
|
