内控实施人才是关健 CIO能否胜任？

　　2010年1月1日，《企业内部控制基本规范》（简称内控）在上市公司范围内正式实施。内部控制作为上市公司风险管理工作中非常重要的一环，对于加强企业风险控制，提高企业经营管理水平、风险行为防范能力和确保公司战略目标得以实现具有重要意义。

　　随着《企业内部控制基本规范》的颁布以及企业内控力度的不断加大，无疑将为国内集团企业尤其是上市公司的 IT 系统构建带来新的要求。企业做内控需要涉及到很多的因素，安全、管理、风险等等涉及到企业的方方面，同时企业实施内控有很多的因素影响。我们知道我们企业经营过程当中，业务管理过程中更多风险点需要控制。但综合所有企业实施内控的另一个重要原因确被众多的企业所忽略——人的因素。

　　内控以“人”为本

　　从IT的角度来看，通常做好企业内控需要抓好五个要素，即内部环境、风险评估、信息与沟通、控制措施和监督与检查。企业在实施IT内控项目不外有两个原因：一、提高企业内部管理水平、降低企业风险考虑实施内控管理项目。第二、来自外部法规遵守原因。但内控能给企业或者IT部门带来哪些益处？

　　“实施内控管理体系对IT的管理水平有很大的提升作用。企业在没有实施内控管理体系之前，企业提升IT管理水平无外没有办法。

　　实施内控是引进外面新的人才，为企业IT部门或者整个企业带来一些新的管理理念。同时，也对对IT人员综合能力的提升有很大的帮助。

　　同时，内控要求对IT方面有更大的投入，对IT的投入越大也需要管理。IT的实施队伍的管理水平和人员的水平都提出了很好的要求，”某上市公司CIO在某论坛上指出。

　　而在全球化经济形势下，国内企业应尽快加强内部控制，通过信息化手段提升企业的风险管控能力。那么，作为CIO应该如何来来帮助企业做内控，内控实施的关健因素之一又是什么？内控的人才又是如何来培养的？中国石油化工股份有限公司信息系统管理部教授级高工吴正宏指出，企业做内控必须是通过人去做的，必须要有人才。对外，内控人才我们可以把咨询公司请来做出一个审计报告，但是在企业内部我们要有相应的内控人才。相应的人才包括CIO、管理、技术等人才，是指对于企业内部的人才和相关部门的人包括企业的中级、高级的管理层都要对他们提出更高的要求。

　　据资料是显示，企业内部控制理论研究侧重会计审计角度，其研究成果也主要服务于审计方法的应用、审计成本的节约和审计风险的控制。所以，对企业内部控制建设的推进基本上局限于内部会计控制方面。从发展来看，内部控制的思想并不是因为审计而产生和发展的，而是由企业管理人员出于内部管理的需要而产生和发展起来的。但内部控制理论发展到今天，却主要得益于注册会计师这样的“外人”对内部控制的推动；而从企业管理的角度来推动内部控制的动力明显不足。内部控制要实现其“合理保证”（合理保证企业经营管理合法合规）的目标，必须突破审计行业或审计专业的限制，因此，从内控人才的角度来看，也要必须突破审计的狭隘的范围来看待企业内控的问题，必须以企业全面的角度来看待企业内控。

　　在过去，什么是内控、什么是风险管理、什么是IT等等这些问题，作为财务部门或者做业务部门都可以不懂，财务部门只需要懂财务，业务部门只需要了解业务上的事情 IT部门只需要了解IT的业务，在这种情况下如果不懂风险管理、不懂流程管理、不懂IT，那么企业怎么来做内控？

　　“过去的管理层只要懂自己专注的领域就可以，而现在不行，现在即要懂风险管理又要对内控都要有了解，虽然和专业的部相比了解程度不同，但要了解和所做的事情相匹配，不同的层面、不同的岗位也是一样的道理。作为IT部门也是一样如果支撑内控系统中变成很多应用系统，只有IT不行还要懂内控做到符合的内控的要求。”吴正宏分析到。

　　现阶段，企业做内控的现状就做内控的人才懂得太少，这包括管理层有问题等等。做财务的只懂财务、做业务的只懂业务、做IT的只懂 IT，这样做内控，IT与财务，财务与合规“对话”非常困难，换位思考也并不知道各个部门的位置在哪？这就导致了企业做内控做急需复合人才，然而目前复合型人才现在特别少。

　　复合型人才是内功成功的关键

　　企业内控是很难做的事情，把原有不规范的流程变成规范的很困难，同时流程要在IT环境实现，必须又要懂业务又要懂怎么做流程还得懂IT，这样才能做出可用的流程。因此，复合型人才成为就成为企业的“香勃勃”。

　　企业做内控时，无论是优秀的IT技术人员，还是骨干的业务人员，企业中都受到企业的重视，但既懂业务又懂IT又懂审计的人才特别少。从大的环境来看，国内真正了解的是企业自身的复合型人才特别少，这是国内和国外发达国家相比的很重要的一个差距。所以，企业重视复合型人才的培养，要从多维度，多层次的培养去培养，这种培养极其重要。没有复合型的信息化人才，内控和IT都做不好。那么如何培养全方的复合型内控人才？笔者认为有几点：

　　一、提高管理层的意识

　　企业内部控制的有效实现取决于“人”的内部控制自律意识、内控文化及内控制度约束的有效性，在加强内部控制法人治理、组织结构、控制制度外，更为主要的是要加强人才管理，着力培养企业的“企业文化”。

　　要加强对企业中、高级管理人员的培养，增强管理层的自律意识，防范管理层的风险。企业董事、监事及其他高层管理人员的能力、品质及体现其经验丰富程度的资历，关系到企业的安全与发展，关系到员工利益的保护及内控体系的稳定。因此，有必要建立内部高层决策及管理人员的控制制度，应当建立高层人员信息档案，并进行动态监控，促使决策及管理人员强化自我约束，恪守职业道德，规范管理行为。

　　二、提高企业员工和IT人员的专业素质和水平

　　加强企业内审队伍的建设，提高内审人员的素质，是提高内部审计工作水平、发挥企业内部审计职能的根本保证。只有内审队伍和IT人员的专业素质和水平提高了，企业的内控水平才能提高。为了更好地加强内控建设，应从以下几方面人手：

　　1、调整配备好管理层，尤其是主管领导，要切实把那些思想和业务素质较高、责任感和事业心较强，充实到各级内审岗位上。同时严把进入关，各级企业应配备政策水平高，业务工作能力强的复合型人才从事内部审计工作。随着内控在企业治理结构中的地位日益重要，内控不仅需要财务会计专门人才，而且也需要具备管理学知识的专门人才，因此，负责内控人员必须具备相应的专业素质和能力，才能胜任工作。

　　2、抓好人才培训，实行达标上岗制度。为了提高审计队伍的整体素质，调动内控人员学习钻研业务的积极性，各级应逐步加强审计人员培训工作，加大对人才学习计算机、内控、风险管理、业务等知识的学习培训，全面提高复合型人才综合业务素质。

　　3、要从实际出发，因地制宜的制定和完善内部人才管理，妥善解决好内审人员的工资、福利及待遇等问题，充分调动内审人员的积极性。

　　4、建立奖惩责任制，严肃审计纪律。强化内部审计管理与控制，建立健全审计责任制。

　　5、外出培训，参加企业外的培训班，给企业内控人才提供更加专业的知识。

　　6、更多通过技术交流、内部沟通、实践中出发。在做信息化交流的时候和业务部门一一起探讨，把实际上把想法和业务共同融合。

　　CIO是不是合格的内控人才

　　做内控需要复合型人才，那么从信息化的角度来看，现阶段的CIO是不是一个合格的内控人才呢？ 我们知道内控的人才包括企业的管理层、CIO以及企业的所有人员。但现阶段的CIO做内控还是心有余而力不足。

　　CIO，是首席信息官，按照国外对于CIO职位的定义，把CIO划分管理层范畴，他们在企业中为企业的领导提供决策的依据及信息，因此，从国外的角度来看，CIO更具备做内控的条件与资本。首先，国外对于管理上比较严格，他们对于内控或者信息化的理解和认识意识普遍比较重视，这就造成企业的整个内控水平早在企业建立初期就有一套基于近内控管理体系的的模型出现，相比做起管理、控制都比较容易。比如摩托罗拉他们做企业内控就比较容易一些，有比较好的基础。在国内目前因为企业管理层对于内控、信息化的意识比较薄弱，导致了企业的很多一部分企业的信息化建设处于一般化的状态，企业的CIO职位也没有引起足够的重视，这就让整个CIO群体处于一般化的状态，更多的时候CIO只是做IT本部和业务部门的事情，对于内控只是为了应对外界的法规， 而没有想到究竟怎么才能通过内控来帮助企业有效的规避风险。

　　因此，综合所有的因素分析，国内企业的CIO更多的是辅助审计部门或者业务部做来做内控，而没有真正的主导内控工作，同时，因CIO缺乏一定的全面管理知识，导致了现阶段CIO暂时无法胜任内控实施全部工作。未来，大环境的改变、管理意识的提高、自身意识的提升必将使CIO成为企业全面实施内控的“一把手”。

　　关于内控

　　《企业内部控制基本规范内控规范》被称为中国的“萨班斯法案”，2008年6月28日，由财政部、证监会、审计署、银监会、保监会联合发布，目的在于加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展。

　　根据规范，执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。规范原定于去年7月1日起实施，但由于企业培训等准备工作没有做完等原因，这一规范的实施范围当时被缩小至境外上市的企业，境内上市企业的实行时间则推迟到了2010年1月1日。