任家明:正解IT内控
对于众多在美国上市的公司来讲,2002年出台的《萨班斯法案》简直是它们噩梦的开始。为了应对《萨班斯法案》的苛刻要求,这些公司不得不担负高额的合规成本,并为此投入巨大精力。特别是404条款对内部控制的刁难,
对于众多在美国上市的公司来讲,2002年出台的《萨班斯法案》简直是它们噩梦的开始。为了应对《萨班斯法案》的苛刻要求,这些公司不得不担负高额的合规成本,并为此投入巨大精力。特别是404条款对内部控制的“刁难”,在给审计师事务所带来可观收入的同时,实在让众多在美上市的公司感到焦头烂额。
在这场噩梦中,CIO与IT部门自然也无法幸免,甚至,他们的苦难要远远多于其他部门——由于企业高层对于IT内控的片面认识,IT部门承担了很多原本不应该属于它的工作。在应对《萨班斯法案》的过程中,大部分公司都把IT内控的繁琐工作推给了IT部门,但是,在国际信息系统审计协会(ISACA)全球副总裁任家明看来,这种做法是不负责任的,IT内控永远都不应该被看成是IT部门的工作。
任家明从1984年开始从业于信息审计与安全事业,曾经在毕马威担任管理职务,现任ISACA全球副总裁、国际IT治理协会(ITGI)副主席、香港计算机学会信息安全组主席、IIA香港分会理事以及国际注册舞弊审核师协会香港分会创会副主席。最近几年,任家明致力于在亚太地区推广公司治理与IT治理的最佳方法,以及COSO和COBIT框架标准。
CIOINSIGHT记者近期采访了任家明,与他就IT内控的相关话题展开了交流。
CIOI:这几年,很多中国公司都在因IT内控而焦头烂额,在你看来,为什么会出现这种状况呢?
任家明:IT内控是项很繁琐的工作,刚开始的一两年尤其会很辛苦,所有公司都会感觉到困难重重,中国公司自然也不能例外。
在这个过程中,中国公司有很多非常普遍的问题也逐渐暴露出来。比如有些公司,在IT内控方面已经有意无意地做了一些工作,但是却并没有把这些工作整理出来,只是这里一张纸,那里一张纸的,无法形成完善的文档。IT内控要求把所有重要流程的文档都整理出来,什么时候什么人需要什么样的流程,随时都可以找到,这些流程在很多中国公司之前是没有的。还有就是分工并不明确,尤其是IT部门,在人手比较少的情况下,每个人都要参与好多工作,相应地给他们的权限就比较多。但是,从内控的角度来讲,分工必须清楚,一个人不能同时有好几个不同的权限。这不是一家两家公司暴露出来的问题,是几乎所有中国公司普遍存在的问题。
另外一个比较普遍的问题,就是很多公司的高级管理层对IT治理没有足够的认知。在跟他们谈IT治理的时候,他们很容易这样说:“IT?不要跟我谈,跟我的CIO或者IT部门谈就可以了。”他们不明白IT治理是怎么回事。但是,在我们的理念里,根据我们以往的经验,业务一定要与IT联系起来。IT不可能脱离业务去独立工作,业务也不可能没有IT。现在可以看到,每个上市公司都在用信息系统帮助他们做报表,我相信在中国,找不到一家上市公司的报表都是纯手工做的。业务与IT的真正关系究竟怎么密切,很多公司的高级管理层并不明白,要把他们的这种意识提高还需要做很多工作。
不过在我看来,最困难的部分是,中国现在的状况下没有足够的人才帮助这些公司完成IT内控的工作。一家公司要做IT内控方面的工作,要涉及至少两方面的人才,一个是顾问,一定数量的顾问可以帮助企业完成前两年最艰难的工作;另外就是审计师。我不久前和四大会计师事务所的一些审计合伙人沟通时发现,他们也遇到了同样的问题。比如今年他们每家公司在中国都需要补充2000到3000名审计师,也就是说仅仅这4家公司的人才缺口就超过了一万人,然而在中国根本没有这么多有相关经验的审计师。
CIOI:你所说的“相关经验”主要是指什么?
任家明:现在中国单方面的人才确实很多,比如熟知财务,或者熟知IT,但是IT内控要求的是对财务、IT和公司内部控制点等不同范畴都有经验,这不是一个会计师或者IT从业者就可以做的工作。在香港我们有2000多个ISACA会员,在内地却总共不到1000人,这种差别是非常大的。
并且现在只有在美国上市的公司需要做IT内控,可以想象一下,如果所有的中国上市公司都被要求做这些工作,我们到哪里去找这么多IT内控方面的人才呢?当然,没有这些人才供应给市场,我们监管机构就不可能出台这方面的政策,否则会招惹许多麻烦。现在,不仅在美国、加拿大等西方国家,亚太地区的一些国家也开始出台相应的政策,日本现在有类似于萨班斯法案的JSOX,韩国也在酝酿KSOX。我相信,在中国,类似的CSOX也一定会来,但是究竟是什么时候来,是3年还是5年后,这要看多久才可以把这方面人才的缺口弥补上来。
CIOI:造成人才缺口如此之大的原因主要是什么?
任家明:我刚刚提到香港地区,香港是个比较大的国际商业城市,它很早以前就是中西文化交融的地方。香港有很多外国的公司,很多人从这些公司中获取了相似的经验,他们对IT内控的内容接触得要早一些。并且,很重要的原因就是,香港人用的是英语,而目前IT内控相关的标准和框架也都是英文的,还没有中文的版本,虽然内地很多人的英语基础也很好,但是在对这些专业内容的理解上,他们还是更习惯看中文。再加上很少有真正的IT内控经验,在做的时候往往一头雾水,不知道怎么做是最好的,也不知道最好的应该是什么样的。
CIOI:你前面提到,很多公司的IT部门分工不是太明确,权限过多。要解决这个问题是不是只有增加人手?
任家明:也不一定,当然,解决这个问题最容易做的方法就是增加人手,但是增加人手最直接的影响就是公司的成本会增加,很多公司不愿意这么做。从我的经验来看,造成这种状况大多数情况下,并非人手真的不够,而是没有形成分工的意识,不知道某个员工的分工究竟在哪,也就不可能根据分工赋予不同的权限。还有的就是为了省事,IT部门往往把所有权限都下发,比如很多工作,文员根本不会涉及到,为什么还要给他们权限?
我们时常看到,有的经理跑到IT部门说:“我是经理,什么权限我都要。”但我要说:“你是经理,你是做审批的工作,或者你是做数据分析的,你就应该把这方面的工作做好,是什么分工就给你什么权限。无疑这不是容易做到的。”
CIOI:如果把IT内控的工作也进行分工,普遍会认为,IT内控主要是IT部门的工作,你觉得应该是这样吗?
任家明:IT内控从来都不只是IT部门的工作。之前也有人说过,IT内控是IT审计师的工作,这种观点我也不同意。IT审计师可以在IT内控工作中起到带头的作用,帮助一家公司认识IT内控是什么。但是从长久来看,IT内控应该是整个公司的工作,而不是某个具体部门的。
道理也很简单,比如说薪酬管理的软件,财务人员会使用这个软件发放工资,这个软件是不是也要IT部门去做内控呢?不应该吧。从这个角度来讲,IT系统属于哪个部门使用,哪个部门就应该做相应系统的内控。如果你是这个部门的主管,部门涉及到的IT系统的内控就应该归你管,是你的责任。当然,从公司整体来讲,谁应该最终对IT内控负全部责任呢?也不该是CIO或者IT部门,而是公司的最高管理层。再往上一层,就是公司的审计委员会,审计委员会应该跟最高管理层沟通,将IT内控的工作制度化,并进行分工,每个部门的主管,要跟他们负责各自部门财务内控工作一样,也要负责各自部门的IT内控。
IT部门在IT内控方面也有很多要做的工作,但绝对不应该是全部,应该让每个部门的主管管理好自己部门的IT内控。刚才提到的美国的《萨班斯法案》,里面有一个404条款,404里面的标题就是:“管理层对内控做风险评估。”为什么不是说财务去做风险评估,而是管理层呢?内控原本就应该是整个管理层的责任,而不仅仅是财务部门的责任,IT内控也是如此。
CIOI:你不同意IT内控被看成只是IT部门的职责,但是实际上很多公司IT内控项目的负责人都来自IT部门,这是为什么?
任家明:现在你发现的和我发现的都是一样的,那就是IT部门更多地在承担IT内控的工作。这是很尴尬的现实,究其原因,主要是大部分公司的管理层对IT内控的认知不够所造成的。每当这些管理层听到别人向他谈IT内控,很自然地,他就会把IT内控当成了IT部门的工作,要转变这种现实需要一个过程。
特别是在实施IT内控的第一年,要避免这种情况出现非常困难。当经过一段时间,管理层对IT内控多了一些认知的时候,这种情形就会慢慢好转。但是,很重要的一点,管理层和审计委员会的人员一定要明白,业务与IT的融合应该怎么去做,IT不可能脱离业务而单独存在,IT内控最终的目的还是为了控制业务风险。其实,在美国也有同样的问题,但是现在已经比三四年前他们刚开始做IT内控的时候好得多了。中国的公司要真正转变这种偏见,也需要花一段时间。
CIOI:在管理层没有完全转变对IT内控的偏见之前,CIO和IT部门岂不是很冤?
任家明:对啊。他们也都比较头痛,之前谁都没有接触过IT内控,现在却要他们来做,真是没有办法。但是,总要有人对管理层的“偏见”付出代价。虽然管理层会想当然地把IT内控归为IT部门的职责,但是IT部门在开始这项工作的时候,不会比其他部门占多大优势,他们同样困难重重。
最开始的时候,当顾问或者审计师与他们谈COBIT时,很多IT经理也很茫然,因为他们之前根本就没有听过COBIT。
ISACA以前在中国没有做太多工作,所以不一定所有人都听过COBIT,这也是很正常的。我相信现在很多人都已经听过COBIT,但是虽然听过,真正去做的时候,很多人还是会不明白,当要找一些真正有经验做过COBIT的人时,还是会很难找。关于这方面的人才可能还需要等几年,才会有人真正可以站出来说:“我有经验。”如果现在有人跟我说他有这方面的经验,我会反问:“真的吗?你的经验是从哪里来的?”真的是这样,在美国,刚开始的时候也是如此。听过COBIT或者获得相关的培训证书,并不代表知道COBIT怎么去用。这也很好理解,比如要成为一名医生,不可能看几本书就知道怎么去做手术。IT内控方面的人才也是这样,有认知是好的开始,但并不代表说真的有经验。同样作为医生,如果做过100个手术,那是真的有经验,要是只做过两三个手术,就说自己有经验,这就有疑问了,因为很多特例你没有见过,一旦发生,你也不知道怎么去处理,这怎么能算得上是有经验呢?不过,总体来讲,虽然CIO和IT部门承担了原本不属于自己的工作,他们的表现还是很值得肯定的。
CIOI:既然IT内控的人才这么稀缺,对CIO和IT部门来讲,虽然承担了本不该属于自己的工作,还是很值得的,因为这是一个全新的机遇,是这样吗?
任家明:是这样。在香港也是如此,之前很多IT方面的技术人员,他们之前从来都没有接触过这么高层次的东西,因为这原本应该是管理层涉及的范畴。所以很多比较聪明的IT人员会认为:“嗯,这是一个好机会,我可以接触到本应该是管理层做的事情,如果我知道怎么做了,有了这方面的经验,将来我也可以成为管理层的一员。”当然,不可能所有人都认为这是个机遇,我也看到过有些人会抱怨说:“好烦,不想做了,我又没有那么大的野心。”
在香港,我看到很多IT部门的人员,参加各种各样的培训课程,他们就是想多一些这方面的知识,甚至很多IT审计的培训课他们都来听。有时候,我也很好奇,我问他们:“你又不是审计师,你来听这个做什么呢?”他们却说:“这虽然不是IT部门的工作,但是我可以知道IT审计师来的时候他们最关心的是什么,我需要准备什么,知道他们怎么做,我也可以把我的工作做得更好。”这是一个非常聪明的想法,我之前都没有这样想过。把IT内控归为IT部门的工作,确实让CIO和IT部门感到有些冤,但是如果积极去看,这确实是个很好的机会,对于个人的发展来说,可以多一些机遇。虽然不同的人可能会有不同想法,我还是希望中国的IT部门员工能多一些远见,把这种挑战看成是机遇。我们常常说“机会是给有准备的人的”,如果你没有准备好,即使有机会摆在你面前,你也不会利用。
CIOI:但是这只会是一个机遇,从长远来看,IT内控仍然不会是IT部门主要的工作,对吗?
任家明:对,我觉得永远都不该是IT部门来承担IT内控的工作。现在,我们看到很多美国公司开始把不同部门的管理层召集起来,成立IT委员会。因为他们想明白了一点,并不是CIO一个人可以做所有的IT决策,因为IT与业务的密切联系,使得任何IT决策都可能影响到整个公司。
各个部门的管理层集体做决策,通过委员会集体讨论,决定下一步该怎么去做,我相信这是大势所趋。没有人说CIO可以把所有IT的决策都做出来。事实告诉我们,CIO一个人做出的决策,往往是一个不受欢迎的决策,推行的时候阻力很大,但是如果管理层一起去讨论,进而批准,阻力自然会少很多。
CIOI:据我了解,很多公司都把IT内控当成项目来做,既然是项目,那一定是有开始也有结束,在项目终结之后,IT内控该怎么继续呢?
任家明:我同意刚开始的时候把IT内控看成是一个项目。正如你所说,既然是项目,就会有开始,也有终结的时候。那么,在项目终结之后,IT内控该怎么继续就显得非常关键了。
我们通常说IT内控在第一年是一个项目,第二年就已经不是了,为什么呢?因为第一年涉及的工作非常多,有大量的时间在做培训,还要把所有的文档都准备好,把每个人的分工、权限都明确,把所有的流程都梳理好……这些工作做好之后,IT内控的责任就可以交还给管理层了。
在第一年,管理层也许并不知道IT内控该做什么,但是经过第一年的IT内控项目之后,现在就必须要知道了。相关的文档、人才等都已经交还给你,这时候你就不能说不知道该做什么了,从现在开始,IT内控就是你的责任,你要管理。
有时候我们留意有些公司在第二年、第三年还需要有人帮一点忙,但这只是局部的帮忙。虽然大部分公司在第一年都会把IT内控当做是项目,但是除了第一年之外,IT内控的职责应该交给管理层来承担。
CIOI:也有专家提出,可以在第一年IT内控项目组的基础上组建专职的IT内控部门,你会赞成这种做法吗?
任家明:经验告诉我们,不是太多的公司会这么做。有些公司,比如银行、保险公司会成立专门的部门,但是其他大部分公司都不会有一个独立的部门去负责IT内控。
我们之所以坚持认为一定要把IT内控交给整个管理层去做,很重要的一个原因就是,一旦有一个单独的部门负责这件事情,所有人都会说:“这是内控部门的职责,不是我的工作”。就如找一个餐厅经理,之前可能需要有管理经验、财务经验和人事经验,现在又要加一个,即有内控的经验,因为内控也是你的工作了。所有的管理层都不应该逃避对IT内控应该承担的责任,否则,今天你还是经理,可能明天你就不是了,因为公司随时会找一个多一些内控经验的人来代替你。
CIOI:不仅是IT内控,其实有些公司在做IT审计的时候,也是从IT部门调人到审计部门承担IT审计的工作。IT部门正在承担越来越多不属于它的工作,你觉得是这样吗?
任家明:我觉得这只是一个阶段,IT人员要多知道一些IT审计、内控的知识,IT审计也确实需要了解一些技术层面的东西。当然,这毕竟是一个阶段,当过了这个阶段,每个人都会有一个选择,愿意去审计部门工作,或者愿意继续留在IT部门工作,这是两个很容易分开的工作。一开始的时候,很难找到对这两方面专业都有所掌握的人才,所以会从IT部门借调一些人过去。但是,长远来看,这是不合适的,IT就是IT,审计就是审计,是有明确分工的。这就像我们刚开始谈的,是因为人才不够造成的。
不过,在现在这个阶段,对于IT部门的员工来讲,确实有很多新的机遇出现,但是,要明确的是,这些新机遇是针对IT部门的员工来讲的,并非是IT部门遇到了新机遇。
CIOI:IT内控要求的复合型人才,既要懂IT又要懂财务,从你的经验来看,是财务部门的人学IT更快一些,还是IT部门的人学财务更快一些?
任家明:在以前,我们找IT审计师,都是从会计师中选拔,再做一些IT培训。但是,我们发现现在正经历相反的过程,虽然很多会计师在取得CPA之后也会去接受IT的培训,但是比例已经不同了,以前可能是95%的IT审计师都是会计师背景,现在可能只有50%了。从我来讲,我更愿意帮助一个IT人员做其他方面的培训,比如IT治理和财务等方面,IT人员接受这些培训会更容易一些。因为IT技术的不断进步,使得技术层面的知识正在变得越来越复杂,已经不是一个普通的会计师可以很快学得来的了。
所以我觉得,现在的IT审计师里面,财务与IT背景的人大概是一半一半,将来可能IT背景的人会越来越多,财务背景的人可能只剩下20%了。
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞