信息化职责不清 IT内控与全面预算带来管理困惑

　　由“IT内控与全面预算”带来的管理困惑来了。2009年，这种困惑将被无限放大，面对IT内控与全面预算协调与管理的争议，让企业高管们不得不进行内部选择与较量：CIO与CEO的较量,CIO与CFO的较量，CEO与CFO的较量，在金融危机影响下，这种较量无处不在，无时不在，节约成本还是降低风险?开源节流还是减员增效?一系列问题困惑着CFO/CIO/CEO,由管理引发的各种矛盾开始了，企业高层之间的较量随时爆发。

　　由于企业高层对于IT内控与全面预算的片面认识，IT部门承担了很多原本不应该属于它的工作。在应对美国《萨班斯法案》的过程中，大部分公司都把IT内控与全面预算的繁琐工作推给了IT部门，但是，在业内专家看来，这种做法是不负责任的，IT内控与全面预算永远都不应该被看成是IT部门的工作。近期，笔者对信息化全面预算管理专家、厚盾科技公司总经理陈龙章进行了走访，以下是聊天记录的节选部分，仅供读者参考。

　　问：IT内控与全面预算工作主要是IT部门的工作。你如何理解这句话?

　　陈龙章：IT内控与全面预算从来都不只是IT部门的工作。之前也有人说过，IT内控与全面预算是IT审计师的工作，这种观点我也不同意。IT审计师可以在IT内控与全面预算工作中起到带头的作用，帮助一家公司认识IT内控与全面预算是什么。但是从长久来看，IT内控与全面预算应该是整个公司的工作，而不是某个具体部门的。

　　道理也很简单，比如说薪酬管理的软件，财务人员会使用这个软件发放工资，这个软件是不是也要IT部门去做内控与全面预算呢?不应该吧。从这个角度来讲，IT系统属于哪个部门使用，哪个部门就应该做相应系统的内控。如果你是这个部门的主管，部门涉及到的IT系统的内控就应该归你管，是你的责任。当然，从公司整体来讲，谁应该最终对IT内控与全面预算负全部责任呢?也不该是CIO或者IT部门，而是公司的最高管理层CEO/CFO/COO等。再往上一层，就是公司的审计委员会，审计委员会应该跟最高管理层沟通，将IT内控与全面预算的工作制度化，并进行分工，每个部门的主管，要跟他们负责各自部门财务内控工作一样，也要负责各自部门的IT内控与全面预算。

　　IT部门在IT内控与全面预算方面也有很多要做的工作，但绝对不应该是全部，应该让每个部门的主管管理好自己部门的IT内控与全面预算。美国《萨班斯法案》认为，“管理层要对内控做风险评估。”为什么不是说财务去做风险评估，而是管理层呢?内控与全面预算原本就应该是整个管理层的责任，而不仅仅是财务部门的责任，IT内控与全面预算也是如此。

　　问：当前，推进IT内控与全面预算工作让企业感到麻烦与头痛，为什么会出现这种状况?

　　陈龙章：IT内控与全面预算管理工作是项很繁琐的工作，刚开始的一两年尤其会很辛苦，所有公司都会感觉到困难重重。另外一个比较普遍的问题，就是很多公司的高级管理层对IT治理没有足够的认知。他们不明白IT治理是怎么回事。但是，在我们的理念里，根据我们以往的经验，业务一定要与IT联系起来。IT不可能脱离业务去独立工作，业务也不可能没有IT。不过在我看来，最困难的部分是，中国现在的状况下没有足够的人才帮助这些公司完成IT内控与全面预算的工作。一家公司要做IT内控与全面预算工作，要涉及至少两方面的人才，一个是顾问，一定数量的顾问可以帮助企业完成前两年最艰难的工作;另外就是审计师。不久前和会计师事务所的一些审计合伙人沟通时发现，他们也遇到了同样的问题。但是，从内控与全面预算的角度来讲，部门分工必须清楚，一个人不能同时有好几个不同的权限。这不是一家两家公司暴露出来的问题，是几乎所有国内企业普遍存在的问题。

　　问：你提到，很多企业的IT部门分工不是太明确，权限过多。如何解决这个问题?

　　陈龙章：解决这个问题最容易做的方法就是增加人手，但是增加人手最直接的影响就是公司的成本会增加，很多公司不愿意这么做。从我的经验来看，造成这种状况大多数情况下，并非人手真的不够，而是没有形成分工的意识，不知道某个员工的分工究竟在哪，也就不可能根据分工赋予不同的权限。还有的就是为了省事，IT部门往往把所有权限都下发，比如很多工作，文员根本不会涉及到，为什么还要给他们权限?我们时常看到，有的经理跑到IT部门说：“我是经理，什么权限我都要。”但我要说：“你是经理，你是做审批的工作，或者你是做数据分析的，你就应该把这方面的工作做好，是什么分工就给你什么权限。无疑这些具体工作不是容易做到的。

　　问：IT部门职责定位确实有问题，但是事实却恰恰相反，很多公司IT内控与全面预算项目的负责人都来自IT部门，这是为什么?

　　陈龙章：现在你发现的和我发现的都是一样的，那就是IT部门更多地在承担IT内控与全面预算的工作。这是很尴尬的现实，究其原因，主要是大部分公司的管理层对IT内控与全面预算的认知不够所造成的。每当这些管理层听到别人向他谈IT内控与全面预算，很自然地，他就会把IT内控与全面预算当成了IT部门的工作，要转变这种现实需要一个过程。

　　特别是在实施IT内控与全面预算的第一年，要避免这种情况出现非常困难。当经过一段时间，管理层对IT内控与全面预算多了一些认知的时候，这种情形就会慢慢好转。但是，很重要的一点，管理层和审计委员会的人员一定要明白，业务与IT的融合应该怎么去做，IT不可能脱离业务而单独存在，IT内控与全面预算最终的目的还是为了控制业务风险。国内企业要真正转变这种偏见，也需要花一段时间。

　　问：国内企业对IT内控与全面预算认识工作存在偏见，CIO和IT部门先要背一段时间黑锅。是这样吗?

　　陈龙章：没错。他们比较头痛，之前谁都没有接触过IT内控与全面预算，现在却要他们来做，真是没有办法。但是，总要有人对管理层的“偏见”付出代价。虽然管理层会想当然地把IT内控与全面预算归为IT部门的职责，但是IT部门在开始这项工作的时候，不会比其他部门占多大优势，他们同样困难重重。IT内控与全面预算方面的人才也是这样，有认知是好的开始，但并不代表说真的有经验。同样作为医生，如果做过100个手术，那是真的有经验，要是只做过两三个手术，就说自己有经验，这就有疑问了，因为很多特例你没有见过，一旦发生，你也不知道怎么去处理，这怎么能算得上是有经验呢?不过，总体来讲，虽然CIO和IT部门承担了原本不属于自己的工作，他们的表现还是很值得肯定的。

　　问：从长远来看，IT内控与全面预算仍然不会是IT部门主要的工作，对吗?

　　陈龙章：对，我觉得永远都不该是IT部门来承担IT内控与全面预算的工作。现在，我们看到很多美国公司开始把不同部门的管理层召集起来，成立IT委员会。因为他们想明白了一点，并不是CIO一个人可以做所有的IT决策，因为IT与业务的密切联系，使得任何IT决策都可能影响到整个公司。

　　各个部门的管理层集体做决策，通过委员会集体讨论，决定下一步该怎么去做，我相信这是大势所趋。没有人说CIO可以把所有IT的决策都做出来。事实告诉我们，CIO一个人做出的决策，往往是一个不受欢迎的决策，推行的时候阻力很大，但是如果管理层一起去讨论，进而批准，阻力自然会少很多。

　　问：很多公司都把IT内控与全面预算当成项目来做，既然是项目，那一定是有开始也有结束，在项目终结之后，IT内控与全面预算该怎么继续呢?

　　陈龙章：我同意刚开始的时候把IT内控与全面预算看成是一个项目。我们通常说IT内控与全面预算在第一年是一个项目，第二年就已经不是了，为什么呢?因为第一年涉及的工作非常多，有大量的时间在做培训，还要把所有的文档都准备好，把每个人的分工、权限都明确，把所有的流程都梳理好，这些工作做好之后，IT内控与全面预算的责任就可以交还给管理层了。

　　在第一年，管理层也许并不知道IT内控与全面预算该做什么，但是经过第一年的IT内控与全面预算项目之后，现在就必须要知道了。相关的文档、人才等都已经交还给你，这时候你就不能说不知道该做什么了，从现在开始，IT内控与全面预算就是你的责任，你要管理。

　　有时候我们留意有些公司在第二年、第三年还需要有人帮一点忙，但这只是局部的帮忙。虽然大部分公司在第一年都会把IT内控与全面预算当做是项目，但是除了第一年之外，IT内控与全面预算的职责应该交给管理层来承担。

　　推进IT内控与全面预算，是提升企业信息化管理工作的一项重要措施，只有长期不懈努力，才能取得成功。