從公司管理到IT審計要理解什么是IT審計，以及未來發(fā)展，必須理解一些基本概念，管理，治理，IT管理和IT治理。周末無事，就打算討論一下這個問題。歡迎大家和我交流MRZHUWMGMAILCOM一、管理先來理解一下什么是管理，什么是治理。假設有一個私人公司A，規(guī)模50人，年營業(yè)額5千萬。這樣的公司經(jīng)營發(fā)展，老板最關心的是什么呢是產品、生產、營銷方面的競爭力，也就是說有好產品能夠生產出來、以合理的價格賣出去并實現(xiàn)資金回籠、然后再生產，公司通過物流和資金流的不斷循環(huán)增值，得到發(fā)展壯大。在這一階段，公司面臨的最大風險可能是產品、財務、市場、人員等風險。為了公司的發(fā)展壯大，就要開發(fā)、生產、銷售等各個方面的管理。公司的總體運作由老板（所有人）親自指揮，帶領手下一批得力干將。在這個階段，公司管理很重要。所謂管理，按照管理學的定義就是計劃、組織、領導、監(jiān)督四個職能的結合，即設定目標、安排人員、協(xié)調激勵、監(jiān)督考核。二、治理假若A公司經(jīng)過5年的發(fā)展，規(guī)模擴張到員工5000人、遍布全國有10幾家分公司，年銷售額幾個億，還在上交所掛牌上市了，變成上市公司了。公式上市就以為著引入外來資本，公司的所有權結構發(fā)生了改變，整個公司再也是原來老板一個人說了算了（老板早發(fā)達了，在太平洋上買了一個島嶼曬太陽去了。）這時候誰說了算呢新的公司有很多股東，只有幾個大股東能夠提名自己的代表，稱為董事，成立了董事會。公司的大事情由董事會決議。董事會委任一個CEO，負責日常的經(jīng)營管理。CEO對董事會考核，決定其薪酬待遇。這樣看起來股東們很輕松了，坐在家里等分紅就好了。但是實際不是，問題出現(xiàn)了。1、所有權結構變了，大股東和小股東存在利益沖突。原來股權結構非常簡單，股東之間可能彼此都很信任?，F(xiàn)在股東數(shù)量很多，而且可能經(jīng)常變化。根據(jù)相對股權比例多少可以分為大股東和小股東兩個利益集團。大股東占有公司控制權，擁有絕對的話語權。小股東相對弱勢。如果大股東不厚道，就很容易侵犯小股東的利益，就象家里孩子多，力氣大的就可能欺負力氣小的。我們經(jīng)常聽說的什么關聯(lián)公司利益輸送、大股東把上市公司作為提款機等現(xiàn)象，背后往往就是這么一回事。2、所有權和經(jīng)營權轉移的分離，帶來所有者和經(jīng)營者的利益沖突?，F(xiàn)階段，雖然董事會是日常決策機構。但是公司的日常經(jīng)營是由CEO（管理層）領導的。這就導致了所有權與經(jīng)營權的分離。董事會和管理層之間構成了委托代理關系。委托方和代理方之間必然存在信息不對稱。信息不對稱可能導致道德風險和逆向選擇。這就是為什么管理層可能會通過報表造價，粉飾業(yè)績來得到高額的回報，或者為了片面追求自身利益違背董事會決議，諸如此類。我們周圍的上市公司丑聞不斷，其實最根本的原因就是公司不同利益相關者的的利益沖突，矛盾激化的結果。為了對付這種這種情況，學者就提出公司治理的概念。所謂公司治理，是為了滿足公司內不同利益相關者的利益訴求，將公司決策權、執(zhí)行權、監(jiān)督權進行分離，使利益相關者互相制衡，最終博弈各方達到均衡的一種制度度安排。就象民主國家的三權分立的原理是一樣的。公司治理的手段也是不斷創(chuàng)新的，董事會、獨立董事、審計委員會、股東大會、內部審計、外部審計等等都是公司治理的手段或者工具選擇。好了，現(xiàn)在可以總結一下治理和管理的區(qū)別了。1管理主要強調的是“做正確的事”，即計劃、組織、領導、監(jiān)督。2治理更多強調的是通過組織架構、權力分配等制度安排，來實現(xiàn)不同利益相關者之間的相互制衡。實質上這二者之間并沒有嚴格的邊界。尤其是在大型上市公司中，治理與管理總是同時存在，互相促進，以實現(xiàn)股東利益的最大化。我們也可以理解為公司治理是公司發(fā)展到一定程度，對公司管理提出的新的要求。三、IT管理現(xiàn)在來講什么是IT管理。前面講A公司從一個小公司，發(fā)展為一個大型上市公司的過程中，公司管理如何派生出公司治理?，F(xiàn)在談談隨著公司發(fā)展的不同階段，IT及其管理如何演變。A公司創(chuàng)業(yè)之初，也許就是老板帶了幾個伙計，開了一個門市部。每天老板去進貨，找供貨商討價還價，門市部里面一個伙計負責零售，還雇了幾個銷售員專門去跑客戶，拉關系做工程，會計和出納工作基本上都是老板娘兼職做了。在這個階段，所謂進貨價格、銷售價格、庫存數(shù)量、人員工資、客戶信息、應收帳款這些重要數(shù)據(jù)都在老板的腦袋里面裝著。老板如果勤快一點，也許會做個筆記，這個階段，我們可以看成手工管理階段。公司里面連個懂電腦的人都沒有，更別說程序員、DBA、網(wǎng)管了。這家公司基本上和IT不發(fā)生什么關系。后來公司越做越大，開了好多個店面，銷售的產品種類，客戶數(shù)量、雇員數(shù)量、銷售額都達到一定的規(guī)模了，比如說，每年有幾千萬的銷售額了。這時候，老板的發(fā)現(xiàn)自己的腦子就有點不夠用了，而且老板的錢也掙夠了（完成原始積累了），就想公司的管理要正規(guī)一點。正好有個朋友是做MIS的，跟老板說公司的管理可以通過電腦來完成進行啊，不僅能夠提高效率，還能夠節(jié)省人力，降低成本。于是老板決定逐步搞信息化。這個過程一般是這樣的，財務部門管錢是最重要的，所以先買了一套會計電算化軟件，比如金蝶或者用友，用了兩年覺得真不錯，會計作帳正規(guī)多了，而且每個月的報表都很及時，經(jīng)營情況一目了然。吃到甜頭的老板決定在公司內部推廣經(jīng)驗，把庫存和銷售也通過電腦管理，所以上了一套進銷存。公司為了加強企業(yè)形象建設，還開發(fā)了一個網(wǎng)站。再后來公司不斷發(fā)展，更加有錢了，要國際化，管理上要向世界巨頭看齊了。什么CRM、ERP、SCM、電子商務全見過世面了。于是公司就花了很多錢，聘請了某海外的著名咨詢公司上了一套ERP，例如SAP/ORACLE，什么財務集中、制造、庫存、銷售、HR統(tǒng)統(tǒng)拿來，連看門的門衛(wèi)面前都擺了電腦，為啥要考勤，和HR數(shù)據(jù)庫相連阿。公司成立了一個信息中心了，養(yǎng)了一幫閑散的無政府主義的程序員、網(wǎng)管、DBA，就是那些每天沒事情就上網(wǎng)發(fā)牢騷的人。我們看在這個階段，公司的很多部門工作都開始依賴電腦工作了，所有人都覺得電腦是個好東西了，用某個大人物的話說，電腦開始和水、陽關、空氣一樣不可或缺了。但是慢慢的問題又來了，例如1、三天兩頭的病毒發(fā)作；2、發(fā)現(xiàn)有員工把公司自己開發(fā)的軟件偷偷拷出去賣錢；3、網(wǎng)絡時好時壞；4、開發(fā)的軟件偶爾會算錯帳、5、員工跳槽后，公司系統(tǒng)沒有人維護。6、會計系統(tǒng)硬盤壞了，丟掉一個月的財務數(shù)據(jù)，如此之類。老板也認識到這個問題的重要性，不敢等閑視之。于是決定加強IT管理。于是高薪聘請了一個海龜，任命為CIO，享受副總待遇。制定并執(zhí)行了一系列管理制度，例如實行電腦標準安裝、用戶管理制度、信息安全制度、數(shù)據(jù)備份、病毒防護制度、人員考核制度、系統(tǒng)開發(fā)和測試標準、設備采購制度、問題管理流程、重大故障應急處理流程等等。這些就是IT管理手段。這樣過了一段時間，公司的IT運行果然逐漸穩(wěn)定起來了。業(yè)務部門的滿意度比以前提高了很多。老板以為這下子覺得可以松一口氣了。四、IT治理又過了很久，老板注意到新的問題又出來了。公司IT部門勢力擴展很厲害，有好幾百人，掌握公司所有的IT資源。由于每個業(yè)務部門都必須依靠IT才能夠開展工作，IT部門通過技術手段逐漸凌駕與各業(yè)務部門之上，在公司內部處在很強勢的地位。逐漸影響到公司的決策以及執(zhí)行。例如，1、IT投資管理，CIO宣稱今后的預算必須大幅度增加以滿足系統(tǒng)建設需要（投資黑洞，BLACKHOLE），而實際上投資收益并不理想。2、IT權力過大，對業(yè)務部門指手畫腳（IT暴君TYRANT）。3、對所有用戶的意見開始不以為然，對IT服務質量也沒有以前重視了。4、IT戰(zhàn)略制定，由于IT的專業(yè)性特征，管理層很難對IT的發(fā)展戰(zhàn)略進行規(guī)劃，IT發(fā)展與公司總體戰(zhàn)略很難協(xié)調，影響公司戰(zhàn)略執(zhí)行。這個問題并不是A公司獨有的，很多公司信息化發(fā)展到一定程度都會遇到這樣的問題，困擾了很多管理人。于是很多學者開始研究這一現(xiàn)象并提出各種對策。其中一個研究成果就是IT治理。這個方面最有影響的是MIT一個教授，然后就是ISACA下面的ITG研究院了。如同前面對公司治理概念的討論，IT治理更多強調的也是組織架構和制度安排，以對IT進行制衡。比較典型的治理手段包括1、成立IT委員會對IT戰(zhàn)略和重大決策；2、設立IT審計職能部門，負責對IT部門的盡職情況進行獨立審計，向管理層報告；4、對IT部門進行重組，（大概可以分為集中管理、聯(lián)邦式、分布式、混合式）。好了，我們現(xiàn)在可以再來總結一下IT管理和IT治理了。1、IT管理是通過管理手段，來保證IT部門“做正確的事情”，如提高服務質量、提高系統(tǒng)的可用性、保證信息安全等。既然是管理，其基本內容還是組織、計劃、領導、監(jiān)督。2、IT治理并不是要替代IT管理工作，IT治理的目的是通過組織架構和制度安排，來對IT部門進行制衡，促進IT更好的完成工作，其最終目標是保證組織目標的完成。五、IT審計在談IT治理的時候，引出了IT審計的概念，認為IT審計（包括內審、外審）是IT治理的手段之一，是實現(xiàn)公司內部IT有關的權力、職責、利益分配制衡的工具之一。這個是IT審計在現(xiàn)代公司存在的地位和意義。如果大家熟悉審計學理論的話，這一點就應該很容易理解。IT審計也可以認為是管理層與IT部門的委托代理關系背景下產生的，接受管理層委托來對IT部門進行監(jiān)督評價，或者按照CIA新的定義，提供增值化的咨詢服務。這樣一說，很多長期受IT壓迫的兄弟開心了在公司受了IT這么多年的氣，今天終于風水輪流轉，也有人來收拾你們了是不是這么樂觀呢一個職業(yè)的出現(xiàn)和它的發(fā)展，最終是由市場決定的。市場決定的手段無非是通過以下幾個因素1需求，需求的問題我們已經(jīng)論述過了