從公司管理到IT審計(jì)要理解什么是IT審計(jì)，以及未來發(fā)展，必須理解一些基本概念，管理，治理，IT管理和IT治理。周末無事，就打算討論一下這個(gè)問題。歡迎大家和我交流MRZHUWMGMAILCOM一、管理先來理解一下什么是管理，什么是治理。假設(shè)有一個(gè)私人公司A，規(guī)模50人，年?duì)I業(yè)額5千萬。這樣的公司經(jīng)營發(fā)展，老板最關(guān)心的是什么呢是產(chǎn)品、生產(chǎn)、營銷方面的競爭力，也就是說有好產(chǎn)品能夠生產(chǎn)出來、以合理的價(jià)格賣出去并實(shí)現(xiàn)資金回籠、然后再生產(chǎn)，公司通過物流和資金流的不斷循環(huán)增值，得到發(fā)展壯大。在這一階段，公司面臨的最大風(fēng)險(xiǎn)可能是產(chǎn)品、財(cái)務(wù)、市場、人員等風(fēng)險(xiǎn)。為了公司的發(fā)展壯大，就要開發(fā)、生產(chǎn)、銷售等各個(gè)方面的管理。公司的總體運(yùn)作由老板（所有人）親自指揮，帶領(lǐng)手下一批得力干將。在這個(gè)階段，公司管理很重要。所謂管理，按照管理學(xué)的定義就是計(jì)劃、組織、領(lǐng)導(dǎo)、監(jiān)督四個(gè)職能的結(jié)合，即設(shè)定目標(biāo)、安排人員、協(xié)調(diào)激勵(lì)、監(jiān)督考核。二、治理假若A公司經(jīng)過5年的發(fā)展，規(guī)模擴(kuò)張到員工5000人、遍布全國有10幾家分公司，年銷售額幾個(gè)億，還在上交所掛牌上市了，變成上市公司了。公式上市就以為著引入外來資本，公司的所有權(quán)結(jié)構(gòu)發(fā)生了改變，整個(gè)公司再也是原來老板一個(gè)人說了算了（老板早發(fā)達(dá)了，在太平洋上買了一個(gè)島嶼曬太陽去了。）這時(shí)候誰說了算呢新的公司有很多股東，只有幾個(gè)大股東能夠提名自己的代表，稱為董事，成立了董事會。公司的大事情由董事會決議。董事會委任一個(gè)CEO，負(fù)責(zé)日常的經(jīng)營管理。CEO對董事會考核，決定其薪酬待遇。這樣看起來股東們很輕松了，坐在家里等分紅就好了。但是實(shí)際不是，問題出現(xiàn)了。1、所有權(quán)結(jié)構(gòu)變了，大股東和小股東存在利益沖突。原來股權(quán)結(jié)構(gòu)非常簡單，股東之間可能彼此都很信任?，F(xiàn)在股東數(shù)量很多，而且可能經(jīng)常變化。根據(jù)相對股權(quán)比例多少可以分為大股東和小股東兩個(gè)利益集團(tuán)。大股東占有公司控制權(quán)，擁有絕對的話語權(quán)。小股東相對弱勢。如果大股東不厚道，就很容易侵犯小股東的利益，就象家里孩子多，力氣大的就可能欺負(fù)力氣小的。我們經(jīng)常聽說的什么關(guān)聯(lián)公司利益輸送、大股東把上市公司作為提款機(jī)等現(xiàn)象，背后往往就是這么一回事。2、所有權(quán)和經(jīng)營權(quán)轉(zhuǎn)移的分離，帶來所有者和經(jīng)營者的利益沖突。現(xiàn)階段，雖然董事會是日常決策機(jī)構(gòu)。但是公司的日常經(jīng)營是由CEO（管理層）領(lǐng)導(dǎo)的。這就導(dǎo)致了所有權(quán)與經(jīng)營權(quán)的分離。董事會和管理層之間構(gòu)成了委托代理關(guān)系。委托方和代理方之間必然存在信息不對稱。信息不對稱可能導(dǎo)致道德風(fēng)險(xiǎn)和逆向選擇。這就是為什么管理層可能會通過報(bào)表造價(jià)，粉飾業(yè)績來得到高額的回報(bào)，或者為了片面追求自身利益違背董事會決議，諸如此類。我們周圍的上市公司丑聞不斷，其實(shí)最根本的原因就是公司不同利益相關(guān)者的的利益沖突，矛盾激化的結(jié)果。為了對付這種這種情況，學(xué)者就提出公司治理的概念。所謂公司治理，是為了滿足公司內(nèi)不同利益相關(guān)者的利益訴求，將公司決策權(quán)、執(zhí)行權(quán)、監(jiān)督權(quán)進(jìn)行分離，使利益相關(guān)者互相制衡，最終博弈各方達(dá)到均衡的一種制度度安排。就象民主國家的三權(quán)分立的原理是一樣的。公司治理的手段也是不斷創(chuàng)新的，董事會、獨(dú)立董事、審計(jì)委員會、股東大會、內(nèi)部審計(jì)、外部審計(jì)等等都是公司治理的手段或者工具選擇。好了，現(xiàn)在可以總結(jié)一下治理和管理的區(qū)別了。1管理主要強(qiáng)調(diào)的是“做正確的事”，即計(jì)劃、組織、領(lǐng)導(dǎo)、監(jiān)督。2治理更多強(qiáng)調(diào)的是通過組織架構(gòu)、權(quán)力分配等制度安排，來實(shí)現(xiàn)不同利益相關(guān)者之間的相互制衡。實(shí)質(zhì)上這二者之間并沒有嚴(yán)格的邊界。尤其是在大型上市公司中，治理與管理總是同時(shí)存在，互相促進(jìn)，以實(shí)現(xiàn)股東利益的最大化。我們也可以理解為公司治理是公司發(fā)展到一定程度，對公司管理提出的新的要求。三、IT管理現(xiàn)在來講什么是IT管理。前面講A公司從一個(gè)小公司，發(fā)展為一個(gè)大型上市公司的過程中，公司管理如何派生出公司治理?，F(xiàn)在談?wù)勲S著公司發(fā)展的不同階段，IT及其管理如何演變。A公司創(chuàng)業(yè)之初，也許就是老板帶了幾個(gè)伙計(jì)，開了一個(gè)門市部。每天老板去進(jìn)貨，找供貨商討價(jià)還價(jià)，門市部里面一個(gè)伙計(jì)負(fù)責(zé)零售，還雇了幾個(gè)銷售員專門去跑客戶，拉關(guān)系做工程，會計(jì)和出納工作基本上都是老板娘兼職做了。在這個(gè)階段，所謂進(jìn)貨價(jià)格、銷售價(jià)格、庫存數(shù)量、人員工資、客戶信息、應(yīng)收帳款這些重要數(shù)據(jù)都在老板的腦袋里面裝著。老板如果勤快一點(diǎn)，也許會做個(gè)筆記，這個(gè)階段，我們可以看成手工管理階段。公司里面連個(gè)懂電腦的人都沒有，更別說程序員、DBA、網(wǎng)管了。這家公司基本上和IT不發(fā)生什么關(guān)系。后來公司越做越大，開了好多個(gè)店面，銷售的產(chǎn)品種類，客戶數(shù)量、雇員數(shù)量、銷售額都達(dá)到一定的規(guī)模了，比如說，每年有幾千萬的銷售額了。這時(shí)候，老板的發(fā)現(xiàn)自己的腦子就有點(diǎn)不夠用了，而且老板的錢也掙夠了（完成原始積累了），就想公司的管理要正規(guī)一點(diǎn)。正好有個(gè)朋友是做MIS的，跟老板說公司的管理可以通過電腦來完成進(jìn)行啊，不僅能夠提高效率，還能夠節(jié)省人力，降低成本。于是老板決定逐步搞信息化。這個(gè)過程一般是這樣的，財(cái)務(wù)部門管錢是最重要的，所以先買了一套會計(jì)電算化軟件，比如金蝶或者用友，用了兩年覺得真不錯(cuò)，會計(jì)作帳正規(guī)多了，而且每個(gè)月的報(bào)表都很及時(shí)，經(jīng)營情況一目了然。吃到甜頭的老板決定在公司內(nèi)部推廣經(jīng)驗(yàn)，把庫存和銷售也通過電腦管理，所以上了一套進(jìn)銷存。公司為了加強(qiáng)企業(yè)形象建設(shè)，還開發(fā)了一個(gè)網(wǎng)站。再后來公司不斷發(fā)展，更加有錢了，要國際化，管理上要向世界巨頭看齊了。什么CRM、ERP、SCM、電子商務(wù)全見過世面了。于是公司就花了很多錢，聘請了某海外的著名咨詢公司上了一套ERP，例如SAP/ORACLE，什么財(cái)務(wù)集中、制造、庫存、銷售、HR統(tǒng)統(tǒng)拿來，連看門的門衛(wèi)面前都擺了電腦，為啥要考勤，和HR數(shù)據(jù)庫相連阿。公司成立了一個(gè)信息中心了，養(yǎng)了一幫閑散的無政府主義的程序員、網(wǎng)管、DBA，就是那些每天沒事情就上網(wǎng)發(fā)牢騷的人。我們看在這個(gè)階段，公司的很多部門工作都開始依賴電腦工作了，所有人都覺得電腦是個(gè)好東西了，用某個(gè)大人物的話說，電腦開始和水、陽關(guān)、空氣一樣不可或缺了。但是慢慢的問題又來了，例如1、三天兩頭的病毒發(fā)作；2、發(fā)現(xiàn)有員工把公司自己開發(fā)的軟件偷偷拷出去賣錢；3、網(wǎng)絡(luò)時(shí)好時(shí)壞；4、開發(fā)的軟件偶爾會算錯(cuò)帳、5、員工跳槽后，公司系統(tǒng)沒有人維護(hù)。6、會計(jì)系統(tǒng)硬盤壞了，丟掉一個(gè)月的財(cái)務(wù)數(shù)據(jù)，如此之類。老板也認(rèn)識到這個(gè)問題的重要性，不敢等閑視之。于是決定加強(qiáng)IT管理。于是高薪聘請了一個(gè)海龜，任命為CIO，享受副總待遇。制定并執(zhí)行了一系列管理制度，例如實(shí)行電腦標(biāo)準(zhǔn)安裝、用戶管理制度、信息安全制度、數(shù)據(jù)備份、病毒防護(hù)制度、人員考核制度、系統(tǒng)開發(fā)和測試標(biāo)準(zhǔn)、設(shè)備采購制度、問題管理流程、重大故障應(yīng)急處理流程等等。這些就是IT管理手段。這樣過了一段時(shí)間，公司的IT運(yùn)行果然逐漸穩(wěn)定起來了。業(yè)務(wù)部門的滿意度比以前提高了很多。老板以為這下子覺得可以松一口氣了。四、IT治理又過了很久，老板注意到新的問題又出來了。公司IT部門勢力擴(kuò)展很厲害，有好幾百人，掌握公司所有的IT資源。由于每個(gè)業(yè)務(wù)部門都必須依靠IT才能夠開展工作，IT部門通過技術(shù)手段逐漸凌駕與各業(yè)務(wù)部門之上，在公司內(nèi)部處在很強(qiáng)勢的地位。逐漸影響到公司的決策以及執(zhí)行。例如，1、IT投資管理，CIO宣稱今后的預(yù)算必須大幅度增加以滿足系統(tǒng)建設(shè)需要（投資黑洞，BLACKHOLE），而實(shí)際上投資收益并不理想。2、IT權(quán)力過大，對業(yè)務(wù)部門指手畫腳（IT暴君TYRANT）。3、對所有用戶的意見開始不以為然，對IT服務(wù)質(zhì)量也沒有以前重視了。4、IT戰(zhàn)略制定，由于IT的專業(yè)性特征，管理層很難對IT的發(fā)展戰(zhàn)略進(jìn)行規(guī)劃，IT發(fā)展與公司總體戰(zhàn)略很難協(xié)調(diào)，影響公司戰(zhàn)略執(zhí)行。這個(gè)問題并不是A公司獨(dú)有的，很多公司信息化發(fā)展到一定程度都會遇到這樣的問題，困擾了很多管理人。于是很多學(xué)者開始研究這一現(xiàn)象并提出各種對策。其中一個(gè)研究成果就是IT治理。這個(gè)方面最有影響的是MIT一個(gè)教授，然后就是ISACA下面的ITG研究院了。如同前面對公司治理概念的討論，IT治理更多強(qiáng)調(diào)的也是組織架構(gòu)和制度安排，以對IT進(jìn)行制衡。比較典型的治理手段包括1、成立IT委員會對IT戰(zhàn)略和重大決策；2、設(shè)立IT審計(jì)職能部門，負(fù)責(zé)對IT部門的盡職情況進(jìn)行獨(dú)立審計(jì)，向管理層報(bào)告；4、對IT部門進(jìn)行重組，（大概可以分為集中管理、聯(lián)邦式、分布式、混合式）。好了，我們現(xiàn)在可以再來總結(jié)一下IT管理和IT治理了。1、IT管理是通過管理手段，來保證IT部門“做正確的事情”，如提高服務(wù)質(zhì)量、提高系統(tǒng)的可用性、保證信息安全等。既然是管理，其基本內(nèi)容還是組織、計(jì)劃、領(lǐng)導(dǎo)、監(jiān)督。2、IT治理并不是要替代IT管理工作，IT治理的目的是通過組織架構(gòu)和制度安排，來對IT部門進(jìn)行制衡，促進(jìn)IT更好的完成工作，其最終目標(biāo)是保證組織目標(biāo)的完成。五、IT審計(jì)在談IT治理的時(shí)候，引出了IT審計(jì)的概念，認(rèn)為IT審計(jì)（包括內(nèi)審、外審）是IT治理的手段之一，是實(shí)現(xiàn)公司內(nèi)部IT有關(guān)的權(quán)力、職責(zé)、利益分配制衡的工具之一。這個(gè)是IT審計(jì)在現(xiàn)代公司存在的地位和意義。如果大家熟悉審計(jì)學(xué)理論的話，這一點(diǎn)就應(yīng)該很容易理解。IT審計(jì)也可以認(rèn)為是管理層與IT部門的委托代理關(guān)系背景下產(chǎn)生的，接受管理層委托來對IT部門進(jìn)行監(jiān)督評價(jià)，或者按照CIA新的定義，提供增值化的咨詢服務(wù)。這樣一說，很多長期受IT壓迫的兄弟開心了在公司受了IT這么多年的氣，今天終于風(fēng)水輪流轉(zhuǎn)，也有人來收拾你們了是不是這么樂觀呢一個(gè)職業(yè)的出現(xiàn)和它的發(fā)展，最終是由市場決定的。市場決定的手段無非是通過以下幾個(gè)因素1需求，需求的問題我們已經(jīng)論述過了