科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道信息化职责不清 IT内控与全面预算带来管理困惑

信息化职责不清 IT内控与全面预算带来管理困惑

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

由“IT内控与全面预算”带来的管理困惑来了。2009年,这种困惑将被无限放大,面对IT内控与全面预算协调与管理的争议,让企业高管们不得不进行内部选择与较量:CIO与CEO的较量,CIO与CFO的较量,CEO与CFO的较量,在金融危机影响下,这种较量无处不在,无时不在,节约成本还是降低风险?开源节流还是减员增效?

来源:比特网 2009年4月24日

关键字: IT运维 企业安全 IT管理

  • 评论
  • 分享微博
  • 分享邮件

  由“IT内控与全面预算”带来的管理困惑来了。2009年,这种困惑将被无限放大,面对IT内控与全面预算协调与管理的争议,让企业高管们不得不进行内部选择与较量:CIO与CEO的较量,CIO与CFO的较量,CEO与CFO的较量,在金融危机影响下,这种较量无处不在,无时不在,节约成本还是降低风险?开源节流还是减员增效?一系列问题困惑着CFO/CIO/CEO,由管理引发的各种矛盾开始了,企业高层之间的较量随时爆发。

  由于企业高层对于IT内控与全面预算的片面认识,IT部门承担了很多原本不应该属于它的工作。在应对美国《萨班斯法案》的过程中,大部分公司都把IT内控与全面预算的繁琐工作推给了IT部门,但是,在业内专家看来,这种做法是不负责任的,IT内控与全面预算永远都不应该被看成是IT部门的工作。近期,笔者对信息化全面预算管理专家、厚盾科技公司总经理陈龙章进行了走访,以下是聊天记录的节选部分,仅供读者参考。

  问:IT内控与全面预算工作主要是IT部门的工作。你如何理解这句话?

  陈龙章:IT内控与全面预算从来都不只是IT部门的工作。之前也有人说过,IT内控与全面预算是IT审计师的工作,这种观点我也不同意。IT审计师可以在IT内控与全面预算工作中起到带头的作用,帮助一家公司认识IT内控与全面预算是什么。但是从长久来看,IT内控与全面预算应该是整个公司的工作,而不是某个具体部门的。

  道理也很简单,比如说薪酬管理的软件,财务人员会使用这个软件发放工资,这个软件是不是也要IT部门去做内控与全面预算呢?不应该吧。从这个角度来讲,IT系统属于哪个部门使用,哪个部门就应该做相应系统的内控。如果你是这个部门的主管,部门涉及到的IT系统的内控就应该归你管,是你的责任。当然,从公司整体来讲,谁应该最终对IT内控与全面预算负全部责任呢?也不该是CIO或者IT部门,而是公司的最高管理层CEO/CFO/COO等。再往上一层,就是公司的审计委员会,审计委员会应该跟最高管理层沟通,将IT内控与全面预算的工作制度化,并进行分工,每个部门的主管,要跟他们负责各自部门财务内控工作一样,也要负责各自部门的IT内控与全面预算。

  IT部门在IT内控与全面预算方面也有很多要做的工作,但绝对不应该是全部,应该让每个部门的主管管理好自己部门的IT内控与全面预算。美国《萨班斯法案》认为,“管理层要对内控做风险评估。”为什么不是说财务去做风险评估,而是管理层呢?内控与全面预算原本就应该是整个管理层的责任,而不仅仅是财务部门的责任,IT内控与全面预算也是如此。

  问:当前,推进IT内控与全面预算工作让企业感到麻烦与头痛,为什么会出现这种状况?

  陈龙章:IT内控与全面预算管理工作是项很繁琐的工作,刚开始的一两年尤其会很辛苦,所有公司都会感觉到困难重重。另外一个比较普遍的问题,就是很多公司的高级管理层对IT治理没有足够的认知。他们不明白IT治理是怎么回事。但是,在我们的理念里,根据我们以往的经验,业务一定要与IT联系起来。IT不可能脱离业务去独立工作,业务也不可能没有IT。不过在我看来,最困难的部分是,中国现在的状况下没有足够的人才帮助这些公司完成IT内控与全面预算的工作。一家公司要做IT内控与全面预算工作,要涉及至少两方面的人才,一个是顾问,一定数量的顾问可以帮助企业完成前两年最艰难的工作;另外就是审计师。不久前和会计师事务所的一些审计合伙人沟通时发现,他们也遇到了同样的问题。但是,从内控与全面预算的角度来讲,部门分工必须清楚,一个人不能同时有好几个不同的权限。这不是一家两家公司暴露出来的问题,是几乎所有国内企业普遍存在的问题。

  问:你提到,很多企业的IT部门分工不是太明确,权限过多。如何解决这个问题?

  陈龙章:解决这个问题最容易做的方法就是增加人手,但是增加人手最直接的影响就是公司的成本会增加,很多公司不愿意这么做。从我的经验来看,造成这种状况大多数情况下,并非人手真的不够,而是没有形成分工的意识,不知道某个员工的分工究竟在哪,也就不可能根据分工赋予不同的权限。还有的就是为了省事,IT部门往往把所有权限都下发,比如很多工作,文员根本不会涉及到,为什么还要给他们权限?我们时常看到,有的经理跑到IT部门说:“我是经理,什么权限我都要。”但我要说:“你是经理,你是做审批的工作,或者你是做数据分析的,你就应该把这方面的工作做好,是什么分工就给你什么权限。无疑这些具体工作不是容易做到的。

  问:IT部门职责定位确实有问题,但是事实却恰恰相反,很多公司IT内控与全面预算项目的负责人都来自IT部门,这是为什么?

  陈龙章:现在你发现的和我发现的都是一样的,那就是IT部门更多地在承担IT内控与全面预算的工作。这是很尴尬的现实,究其原因,主要是大部分公司的管理层对IT内控与全面预算的认知不够所造成的。每当这些管理层听到别人向他谈IT内控与全面预算,很自然地,他就会把IT内控与全面预算当成了IT部门的工作,要转变这种现实需要一个过程。

  特别是在实施IT内控与全面预算的第一年,要避免这种情况出现非常困难。当经过一段时间,管理层对IT内控与全面预算多了一些认知的时候,这种情形就会慢慢好转。但是,很重要的一点,管理层和审计委员会的人员一定要明白,业务与IT的融合应该怎么去做,IT不可能脱离业务而单独存在,IT内控与全面预算最终的目的还是为了控制业务风险。国内企业要真正转变这种偏见,也需要花一段时间。

  问:国内企业对IT内控与全面预算认识工作存在偏见,CIO和IT部门先要背一段时间黑锅。是这样吗?

  陈龙章:没错。他们比较头痛,之前谁都没有接触过IT内控与全面预算,现在却要他们来做,真是没有办法。但是,总要有人对管理层的“偏见”付出代价。虽然管理层会想当然地把IT内控与全面预算归为IT部门的职责,但是IT部门在开始这项工作的时候,不会比其他部门占多大优势,他们同样困难重重。IT内控与全面预算方面的人才也是这样,有认知是好的开始,但并不代表说真的有经验。同样作为医生,如果做过100个手术,那是真的有经验,要是只做过两三个手术,就说自己有经验,这就有疑问了,因为很多特例你没有见过,一旦发生,你也不知道怎么去处理,这怎么能算得上是有经验呢?不过,总体来讲,虽然CIO和IT部门承担了原本不属于自己的工作,他们的表现还是很值得肯定的。

  问:从长远来看,IT内控与全面预算仍然不会是IT部门主要的工作,对吗?

  陈龙章:对,我觉得永远都不该是IT部门来承担IT内控与全面预算的工作。现在,我们看到很多美国公司开始把不同部门的管理层召集起来,成立IT委员会。因为他们想明白了一点,并不是CIO一个人可以做所有的IT决策,因为IT与业务的密切联系,使得任何IT决策都可能影响到整个公司。

  各个部门的管理层集体做决策,通过委员会集体讨论,决定下一步该怎么去做,我相信这是大势所趋。没有人说CIO可以把所有IT的决策都做出来。事实告诉我们,CIO一个人做出的决策,往往是一个不受欢迎的决策,推行的时候阻力很大,但是如果管理层一起去讨论,进而批准,阻力自然会少很多。

  问:很多公司都把IT内控与全面预算当成项目来做,既然是项目,那一定是有开始也有结束,在项目终结之后,IT内控与全面预算该怎么继续呢?

  陈龙章:我同意刚开始的时候把IT内控与全面预算看成是一个项目。我们通常说IT内控与全面预算在第一年是一个项目,第二年就已经不是了,为什么呢?因为第一年涉及的工作非常多,有大量的时间在做培训,还要把所有的文档都准备好,把每个人的分工、权限都明确,把所有的流程都梳理好,这些工作做好之后,IT内控与全面预算的责任就可以交还给管理层了。

  在第一年,管理层也许并不知道IT内控与全面预算该做什么,但是经过第一年的IT内控与全面预算项目之后,现在就必须要知道了。相关的文档、人才等都已经交还给你,这时候你就不能说不知道该做什么了,从现在开始,IT内控与全面预算就是你的责任,你要管理。

  有时候我们留意有些公司在第二年、第三年还需要有人帮一点忙,但这只是局部的帮忙。虽然大部分公司在第一年都会把IT内控与全面预算当做是项目,但是除了第一年之外,IT内控与全面预算的职责应该交给管理层来承担。

  推进IT内控与全面预算,是提升企业信息化管理工作的一项重要措施,只有长期不懈努力,才能取得成功。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章