欧美日操-欧美日韩91-欧美日韩99-欧美日韩ay在线观看-xxxx色-xxxx视频在线

任家明:正解IT內控

2014-11-08 20:39:38 大云網  點擊量: 評論 (0)
對于眾多在美國上市的公司來講,2002年出臺的《薩班斯法案》簡直是它們噩夢的開始。為了應對《薩班斯法案》的苛刻要求,這些公司不得不擔負高額的合規成本,并為此投入巨大精力。特別是404條款對內部控制的刁難,
對于眾多在美國上市的公司來講,2002年出臺的《薩班斯法案》簡直是它們噩夢的開始。為了應對《薩班斯法案》的苛刻要求,這些公司不得不擔負高額的合規成本,并為此投入巨大精力。特別是404條款對內部控制的“刁難”,在給審計師事務所帶來可觀收入的同時,實在讓眾多在美上市的公司感到焦頭爛額。
  在這場噩夢中,CIO與IT部門自然也無法幸免,甚至,他們的苦難要遠遠多于其他部門——由于企業高層對于IT內控的片面認識,IT部門承擔了很多原本不應該屬于它的工作。在應對《薩班斯法案》的過程中,大部分公司都把IT內控的繁瑣工作推給了IT部門,但是,在國際信息系統審計協會(ISACA)全球副總裁任家明看來,這種做法是不負責任的,IT內控永遠都不應該被看成是IT部門的工作。
  任家明從1984年開始從業于信息審計與安全事業,曾經在畢馬威擔任管理職務,現任ISACA全球副總裁、國際IT治理協會(ITGI)副主席、香港計算機學會信息安全組主席、IIA香港分會理事以及國際注冊舞弊審核師協會香港分會創會副主席。最近幾年,任家明致力于在亞太地區推廣公司治理與IT治理的最佳方法,以及COSO和COBIT框架標準。
  CIOINSIGHT記者近期采訪了任家明,與他就IT內控的相關話題展開了交流。
  CIOI:這幾年,很多中國公司都在因IT內控而焦頭爛額,在你看來,為什么會出現這種狀況呢?
  任家明:IT內控是項很繁瑣的工作,剛開始的一兩年尤其會很辛苦,所有公司都會感覺到困難重重,中國公司自然也不能例外。
  在這個過程中,中國公司有很多非常普遍的問題也逐漸暴露出來。比如有些公司,在IT內控方面已經有意無意地做了一些工作,但是卻并沒有把這些工作整理出來,只是這里一張紙,那里一張紙的,無法形成完善的文檔。IT內控要求把所有重要流程的文檔都整理出來,什么時候什么人需要什么樣的流程,隨時都可以找到,這些流程在很多中國公司之前是沒有的。還有就是分工并不明確,尤其是IT部門,在人手比較少的情況下,每個人都要參與好多工作,相應地給他們的權限就比較多。但是,從內控的角度來講,分工必須清楚,一個人不能同時有好幾個不同的權限。這不是一家兩家公司暴露出來的問題,是幾乎所有中國公司普遍存在的問題。
  另外一個比較普遍的問題,就是很多公司的高級管理層對IT治理沒有足夠的認知。在跟他們談IT治理的時候,他們很容易這樣說:“IT?不要跟我談,跟我的CIO或者IT部門談就可以了。”他們不明白IT治理是怎么回事。但是,在我們的理念里,根據我們以往的經驗,業務一定要與IT聯系起來。IT不可能脫離業務去獨立工作,業務也不可能沒有IT。現在可以看到,每個上市公司都在用信息系統幫助他們做報表,我相信在中國,找不到一家上市公司的報表都是純手工做的。業務與IT的真正關系究竟怎么密切,很多公司的高級管理層并不明白,要把他們的這種意識提高還需要做很多工作。
  不過在我看來,最困難的部分是,中國現在的狀況下沒有足夠的人才幫助這些公司完成IT內控的工作。一家公司要做IT內控方面的工作,要涉及至少兩方面的人才,一個是顧問,一定數量的顧問可以幫助企業完成前兩年最艱難的工作;另外就是審計師。我不久前和四大會計師事務所的一些審計合伙人溝通時發現,他們也遇到了同樣的問題。比如今年他們每家公司在中國都需要補充2000到3000名審計師,也就是說僅僅這4家公司的人才缺口就超過了一萬人,然而在中國根本沒有這么多有相關經驗的審計師。
  CIOI:你所說的“相關經驗”主要是指什么?
  任家明:現在中國單方面的人才確實很多,比如熟知財務,或者熟知IT,但是IT內控要求的是對財務、IT和公司內部控制點等不同范疇都有經驗,這不是一個會計師或者IT從業者就可以做的工作。在香港我們有2000多個ISACA會員,在內地卻總共不到1000人,這種差別是非常大的。
  并且現在只有在美國上市的公司需要做IT內控,可以想象一下,如果所有的中國上市公司都被要求做這些工作,我們到哪里去找這么多IT內控方面的人才呢?當然,沒有這些人才供應給市場,我們監管機構就不可能出臺這方面的政策,否則會招惹許多麻煩。現在,不僅在美國、加拿大等西方國家,亞太地區的一些國家也開始出臺相應的政策,日本現在有類似于薩班斯法案的JSOX,韓國也在醞釀KSOX。我相信,在中國,類似的CSOX也一定會來,但是究竟是什么時候來,是3年還是5年后,這要看多久才可以把這方面人才的缺口彌補上來。
    CIOI:造成人才缺口如此之大的原因主要是什么?
  任家明:我剛剛提到香港地區,香港是個比較大的國際商業城市,它很早以前就是中西文化交融的地方。香港有很多外國的公司,很多人從這些公司中獲取了相似的經驗,他們對IT內控的內容接觸得要早一些。并且,很重要的原因就是,香港人用的是英語,而目前IT內控相關的標準和框架也都是英文的,還沒有中文的版本,雖然內地很多人的英語基礎也很好,但是在對這些專業內容的理解上,他們還是更習慣看中文。再加上很少有真正的IT內控經驗,在做的時候往往一頭霧水,不知道怎么做是最好的,也不知道最好的應該是什么樣的。
  CIOI:你前面提到,很多公司的IT部門分工不是太明確,權限過多。要解決這個問題是不是只有增加人手?
  任家明:也不一定,當然,解決這個問題最容易做的方法就是增加人手,但是增加人手最直接的影響就是公司的成本會增加,很多公司不愿意這么做。從我的經驗來看,造成這種狀況大多數情況下,并非人手真的不夠,而是沒有形成分工的意識,不知道某個員工的分工究竟在哪,也就不可能根據分工賦予不同的權限。還有的就是為了省事,IT部門往往把所有權限都下發,比如很多工作,文員根本不會涉及到,為什么還要給他們權限?
  我們時常看到,有的經理跑到IT部門說:“我是經理,什么權限我都要。”但我要說:“你是經理,你是做審批的工作,或者你是做數據分析的,你就應該把這方面的工作做好,是什么分工就給你什么權限。無疑這不是容易做到的。”
  CIOI:如果把IT內控的工作也進行分工,普遍會認為,IT內控主要是IT部門的工作,你覺得應該是這樣嗎?
  任家明:IT內控從來都不只是IT部門的工作。之前也有人說過,IT內控是IT審計師的工作,這種觀點我也不同意。IT審計師可以在IT內控工作中起到帶頭的作用,幫助一家公司認識IT內控是什么。但是從長久來看,IT內控應該是整個公司的工作,而不是某個具體部門的。
  道理也很簡單,比如說薪酬管理的軟件,財務人員會使用這個軟件發放工資,這個軟件是不是也要IT部門去做內控呢?不應該吧。從這個角度來講,IT系統屬于哪個部門使用,哪個部門就應該做相應系統的內控。如果你是這個部門的主管,部門涉及到的IT系統的內控就應該歸你管,是你的責任。當然,從公司整體來講,誰應該最終對IT內控負全部責任呢?也不該是CIO或者IT部門,而是公司的最高管理層。再往上一層,就是公司的審計委員會,審計委員會應該跟最高管理層溝通,將IT內控的工作制度化,并進行分工,每個部門的主管,要跟他們負責各自部門財務內控工作一樣,也要負責各自部門的IT內控。
  IT部門在IT內控方面也有很多要做的工作,但絕對不應該是全部,應該讓每個部門的主管管理好自己部門的IT內控。剛才提到的美國的《薩班斯法案》,里面有一個404條款,404里面的標題就是:“管理層對內控做風險評估。”為什么不是說財務去做風險評估,而是管理層呢?內控原本就應該是整個管理層的責任,而不僅僅是財務部門的責任,IT內控也是如此。
  CIOI:你不同意IT內控被看成只是IT部門的職責,但是實際上很多公司IT內控項目的負責人都來自IT部門,這是為什么?
  任家明:現在你發現的和我發現的都是一樣的,那就是IT部門更多地在承擔IT內控的工作。這是很尷尬的現實,究其原因,主要是大部分公司的管理層對IT內控的認知不夠所造成的。每當這些管理層聽到別人向他談IT內控,很自然地,他就會把IT內控當成了IT部門的工作,要轉變這種現實需要一個過程。
  特別是在實施IT內控的第一年,要避免這種情況出現非常困難。當經過一段時間,管理層對IT內控多了一些認知的時候,這種情形就會慢慢好轉。但是,很重要的一點,管理層和審計委員會的人員一定要明白,業務與IT的融合應該怎么去做,IT不可能脫離業務而單獨存在,IT內控最終的目的還是為了控制業務風險。其實,在美國也有同樣的問題,但是現在已經比三四年前他們剛開始做IT內控的時候好得多了。中國的公司要真正轉變這種偏見,也需要花一段時間。
  CIOI:在管理層沒有完全轉變對IT內控的偏見之前,CIO和IT部門豈不是很冤?
  任家明:對啊。他們也都比較頭痛,之前誰都沒有接觸過IT內控,現在卻要他們來做,真是沒有辦法。但是,總要有人對管理層的“偏見”付出代價。雖然管理層會想當然地把IT內控歸為IT部門的職責,但是IT部門在開始這項工作的時候,不會比其他部門占多大優勢,他們同樣困難重重。
  最開始的時候,當顧問或者審計師與他們談COBIT時,很多IT經理也很茫然,因為他們之前根本就沒有聽過COBIT。
  ISACA以前在中國沒有做太多工作,所以不一定所有人都聽過COBIT,這也是很正常的。我相信現在很多人都已經聽過COBIT,但是雖然聽過,真正去做的時候,很多人還是會不明白,當要找一些真正有經驗做過COBIT的人時,還是會很難找。關于這方面的人才可能還需要等幾年,才會有人真正可以站出來說:“我有經驗。”如果現在有人跟我說他有這方面的經驗,我會反問:“真的嗎?你的經驗是從哪里來的?”真的是這樣,在美國,剛開始的時候也是如此。聽過COBIT或者獲得相關的培訓證書,并不代表知道COBIT怎么去用。這也很好理解,比如要成為一名醫生,不可能看幾本書就知道怎么去做手術。IT內控方面的人才也是這樣,有認知是好的開始,但并不代表說真的有經驗。同樣作為醫生,如果做過100個手術,那是真的有經驗,要是只做過兩三個手術,就說自己有經驗,這就有疑問了,因為很多特例你沒有見過,一旦發生,你也不知道怎么去處理,這怎么能算得上是有經驗呢?不過,總體來講,雖然CIO和IT部門承擔了原本不屬于自己的工作,他們的表現還是很值得肯定的。
    CIOI:既然IT內控的人才這么稀缺,對CIO和IT部門來講,雖然承擔了本不該屬于自己的工作,還是很值得的,因為這是一個全新的機遇,是這樣嗎?
  任家明:是這樣。在香港也是如此,之前很多IT方面的技術人員,他們之前從來都沒有接觸過這么高層次的東西,因為這原本應該是管理層涉及的范疇。所以很多比較聰明的IT人員會認為:“嗯,這是一個好機會,我可以接觸到本應該是管理層做的事情,如果我知道怎么做了,有了這方面的經驗,將來我也可以成為管理層的一員。”當然,不可能所有人都認為這是個機遇,我也看到過有些人會抱怨說:“好煩,不想做了,我又沒有那么大的野心。”
  在香港,我看到很多IT部門的人員,參加各種各樣的培訓課程,他們就是想多一些這方面的知識,甚至很多IT審計的培訓課他們都來聽。有時候,我也很好奇,我問他們:“你又不是審計師,你來聽這個做什么呢?”他們卻說:“這雖然不是IT部門的工作,但是我可以知道IT審計師來的時候他們最關心的是什么,我需要準備什么,知道他們怎么做,我也可以把我的工作做得更好。”這是一個非常聰明的想法,我之前都沒有這樣想過。把IT內控歸為IT部門的工作,確實讓CIO和IT部門感到有些冤,但是如果積極去看,這確實是個很好的機會,對于個人的發展來說,可以多一些機遇。雖然不同的人可能會有不同想法,我還是希望中國的IT部門員工能多一些遠見,把這種挑戰看成是機遇。我們常常說“機會是給有準備的人的”,如果你沒有準備好,即使有機會擺在你面前,你也不會利用。
  CIOI:但是這只會是一個機遇,從長遠來看,IT內控仍然不會是IT部門主要的工作,對嗎?
  任家明:對,我覺得永遠都不該是IT部門來承擔IT內控的工作。現在,我們看到很多美國公司開始把不同部門的管理層召集起來,成立IT委員會。因為他們想明白了一點,并不是CIO一個人可以做所有的IT決策,因為IT與業務的密切聯系,使得任何IT決策都可能影響到整個公司。
  各個部門的管理層集體做決策,通過委員會集體討論,決定下一步該怎么去做,我相信這是大勢所趨。沒有人說CIO可以把所有IT的決策都做出來。事實告訴我們,CIO一個人做出的決策,往往是一個不受歡迎的決策,推行的時候阻力很大,但是如果管理層一起去討論,進而批準,阻力自然會少很多。
  CIOI:據我了解,很多公司都把IT內控當成項目來做,既然是項目,那一定是有開始也有結束,在項目終結之后,IT內控該怎么繼續呢?
  任家明:我同意剛開始的時候把IT內控看成是一個項目。正如你所說,既然是項目,就會有開始,也有終結的時候。那么,在項目終結之后,IT內控該怎么繼續就顯得非常關鍵了。
  我們通常說IT內控在第一年是一個項目,第二年就已經不是了,為什么呢?因為第一年涉及的工作非常多,有大量的時間在做培訓,還要把所有的文檔都準備好,把每個人的分工、權限都明確,把所有的流程都梳理好……這些工作做好之后,IT內控的責任就可以交還給管理層了。
  在第一年,管理層也許并不知道IT內控該做什么,但是經過第一年的IT內控項目之后,現在就必須要知道了。相關的文檔、人才等都已經交還給你,這時候你就不能說不知道該做什么了,從現在開始,IT內控就是你的責任,你要管理。
  有時候我們留意有些公司在第二年、第三年還需要有人幫一點忙,但這只是局部的幫忙。雖然大部分公司在第一年都會把IT內控當做是項目,但是除了第一年之外,IT內控的職責應該交給管理層來承擔。
    CIOI:也有專家提出,可以在第一年IT內控項目組的基礎上組建專職的IT內控部門,你會贊成這種做法嗎?
  任家明:經驗告訴我們,不是太多的公司會這么做。有些公司,比如銀行、保險公司會成立專門的部門,但是其他大部分公司都不會有一個獨立的部門去負責IT內控。
  我們之所以堅持認為一定要把IT內控交給整個管理層去做,很重要的一個原因就是,一旦有一個單獨的部門負責這件事情,所有人都會說:“這是內控部門的職責,不是我的工作”。就如找一個餐廳經理,之前可能需要有管理經驗、財務經驗和人事經驗,現在又要加一個,即有內控的經驗,因為內控也是你的工作了。所有的管理層都不應該逃避對IT內控應該承擔的責任,否則,今天你還是經理,可能明天你就不是了,因為公司隨時會找一個多一些內控經驗的人來代替你。
  CIOI:不僅是IT內控,其實有些公司在做IT審計的時候,也是從IT部門調人到審計部門承擔IT審計的工作。IT部門正在承擔越來越多不屬于它的工作,你覺得是這樣嗎?
  任家明:我覺得這只是一個階段,IT人員要多知道一些IT審計、內控的知識,IT審計也確實需要了解一些技術層面的東西。當然,這畢竟是一個階段,當過了這個階段,每個人都會有一個選擇,愿意去審計部門工作,或者愿意繼續留在IT部門工作,這是兩個很容易分開的工作。一開始的時候,很難找到對這兩方面專業都有所掌握的人才,所以會從IT部門借調一些人過去。但是,長遠來看,這是不合適的,IT就是IT,審計就是審計,是有明確分工的。這就像我們剛開始談的,是因為人才不夠造成的。
  不過,在現在這個階段,對于IT部門的員工來講,確實有很多新的機遇出現,但是,要明確的是,這些新機遇是針對IT部門的員工來講的,并非是IT部門遇到了新機遇。
  CIOI:IT內控要求的復合型人才,既要懂IT又要懂財務,從你的經驗來看,是財務部門的人學IT更快一些,還是IT部門的人學財務更快一些?
  任家明:在以前,我們找IT審計師,都是從會計師中選拔,再做一些IT培訓。但是,我們發現現在正經歷相反的過程,雖然很多會計師在取得CPA之后也會去接受IT的培訓,但是比例已經不同了,以前可能是95%的IT審計師都是會計師背景,現在可能只有50%了。從我來講,我更愿意幫助一個IT人員做其他方面的培訓,比如IT治理和財務等方面,IT人員接受這些培訓會更容易一些。因為IT技術的不斷進步,使得技術層面的知識正在變得越來越復雜,已經不是一個普通的會計師可以很快學得來的了。
  所以我覺得,現在的IT審計師里面,財務與IT背景的人大概是一半一半,將來可能IT背景的人會越來越多,財務背景的人可能只剩下20%了。
 
大云網官方微信售電那點事兒

責任編輯:葉雨田

免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
?
主站蜘蛛池模板: 色资源站| 网站三级| 亚洲欧美日韩精品中文乱码 | 欧美一级成人免费大片| 午夜成人在线视频| 一本大道香蕉大vr在线吗视频| 欧美精品v欧洲精品| 欧美日本中文字幕| 日本高清视频一区二区三区| 亚洲欧美日韩精品久久| 日韩欧美综合在线| 亚洲欧美不卡视频| 亚洲热热久久九九精品| 日韩精品在线第一页| 奇米777狠狠色噜噜狠狠狠| 欧美一区二区三区日韩免费播| 欧美乱码伦视频免费| 一级毛片完整免费版| 亚洲国产三级| 婷婷综合激情| 日本www免费| 欧美久久久久久| 亚洲视频五区| 午夜免费看视频| 日本中文字幕在线视频| 亚洲欧美日本国产一区二区三区| 欧洲在线播放| 思思久久99热只有精品| 日韩欧美一区二区不卡| 日韩在线小视频| 手机看片精品高清国产日韩| 一级录像免费录像| 天天天操操操| 亚洲青草视频| 午夜快播| 亚洲欧美日本在线观看| 日本午夜精华| 欧美成人免费一级人片| 亚洲欧洲日产国码 最新| 日本久热| 日韩专区欧美|