CIOI:既然IT内控的人才这么稀缺，对CIO和IT部门来讲，虽然承担了本不该属于自己的工作，还是很值得的，因为这是一个全新的机遇，是这样吗？

　　任家明：是这样。在香港也是如此，之前很多IT方面的技术人员，他们之前从来都没有接触过这么高层次的东西，因为这原本应该是管理层涉及的范畴。所以很多比较聪明的IT人员会认为：“嗯，这是一个好机会，我可以接触到本应该是管理层做的事情，如果我知道怎么做了，有了这方面的经验，将来我也可以成为管理层的一员。”当然，不可能所有人都认为这是个机遇，我也看到过有些人会抱怨说：“好烦，不想做了，我又没有那么大的野心。”

　　在香港，我看到很多IT部门的人员，参加各种各样的培训课程，他们就是想多一些这方面的知识，甚至很多IT审计的培训课他们都来听。有时候，我也很好奇，我问他们：“你又不是审计师，你来听这个做什么呢？”他们却说：“这虽然不是IT部门的工作，但是我可以知道IT审计师来的时候他们最关心的是什么，我需要准备什么，知道他们怎么做，我也可以把我的工作做得更好。”这是一个非常聪明的想法，我之前都没有这样想过。把IT内控归为IT部门的工作，确实让CIO和IT部门感到有些冤，但是如果积极去看，这确实是个很好的机会，对于个人的发展来说，可以多一些机遇。虽然不同的人可能会有不同想法，我还是希望中国的IT部门员工能多一些远见，把这种挑战看成是机遇。我们常常说“机会是给有准备的人的”，如果你没有准备好，即使有机会摆在你面前，你也不会利用。

　　CIOI：但是这只会是一个机遇，从长远来看，IT内控仍然不会是IT部门主要的工作，对吗？

　　任家明：对，我觉得永远都不该是IT部门来承担IT内控的工作。现在，我们看到很多美国公司开始把不同部门的管理层召集起来，成立IT委员会。因为他们想明白了一点，并不是CIO一个人可以做所有的IT决策，因为IT与业务的密切联系，使得任何IT决策都可能影响到整个公司。

　　各个部门的管理层集体做决策，通过委员会集体讨论，决定下一步该怎么去做，我相信这是大势所趋。没有人说CIO可以把所有IT的决策都做出来。事实告诉我们，CIO一个人做出的决策，往往是一个不受欢迎的决策，推行的时候阻力很大，但是如果管理层一起去讨论，进而批准，阻力自然会少很多。

　　CIOI:据我了解，很多公司都把IT内控当成项目来做，既然是项目，那一定是有开始也有结束，在项目终结之后，IT内控该怎么继续呢？

　　任家明：我同意刚开始的时候把IT内控看成是一个项目。正如你所说，既然是项目，就会有开始，也有终结的时候。那么，在项目终结之后，IT内控该怎么继续就显得非常关键了。

　　我们通常说IT内控在第一年是一个项目，第二年就已经不是了，为什么呢？因为第一年涉及的工作非常多，有大量的时间在做培训，还要把所有的文档都准备好，把每个人的分工、权限都明确，把所有的流程都梳理好⋯⋯这些工作做好之后，IT内控的责任就可以交还给管理层了。

　　在第一年，管理层也许并不知道IT内控该做什么，但是经过第一年的IT内控项目之后，现在就必须要知道了。相关的文档、人才等都已经交还给你，这时候你就不能说不知道该做什么了，从现在开始，IT内控就是你的责任，你要管理。

　　有时候我们留意有些公司在第二年、第三年还需要有人帮一点忙，但这只是局部的帮忙。虽然大部分公司在第一年都会把IT内控当做是项目，但是除了第一年之外，IT内控的职责应该交给管理层来承担。