|
小公司卧薪尝胆用上IT审计本文关键字: 评估与改进 要理解什么是IT审计,及其未来发展,我们得先了解一些基本概念,如管理、治理、IT管理和IT治理。 原始积累阶段重管理 假设有一个私人公司A,规模50人,年营业额5000万。这样的公司经营发展,老板最关心的是什么呢?是产品、生产、营销方面的竞争力。也就是说有好产品能够生产出来,以合理的价格卖出去,实现资金回笼,然后再生产,公司通过物流和资金流的不断循环增值,得到发展壮大。 在这一阶段,公司面临的最大风险可能来自产品、财务、市场、人员。为了公司的发展壮大,就要对开发、生产、销售等各方面进行管理,公司的总体运作由老板(所有人)亲自指挥。所谓管理,按照管理学的定义,就是计划、组织、领导、监督四个职能的结合,即设定目标、安排人员、协调激励、监督考核。 所有权结构演变出治理 假若A公司经过5年的发展,规模扩张到员工5000人、遍布全国十几家分公司、年销售额几个亿,还在上交所挂牌,变成了上市公司。公司引入外来资本,所有权结构发生了改变,整个公司再也不是老板一个人说了算了(老板早发达了,在太平洋上买了一个岛屿晒太阳)。 这时候谁说了算呢?新的公司有很多股东,只有几个大股东能够提名自己的代表,称为董事,成立了董事会。公司的大事情由董事会决议。董事会委任一个CEO,负责日常的经营管理。这样看起来,股东们轻松了,坐在家里等分红就好了。但实际上,问题出现了。 ①所有权结构变了,大股东和小股东存在利益冲突。原来股权结构非常简单,股东之间可能彼此都很信任。现在股东数量很多,还可能经常变化。根据股权比例,可以分为大股东和小股东两个利益集团。大股东占有公司控制权,拥有绝对的话语权,小股东相对弱势。如果大股东不厚道,就很容易侵犯小股东的利益,就像家里孩子多,力气大的就可能欺负力气小的。我们经常听说什么关联公司利益输送、大股东把上市公司作为提款机等现象,背后往往就是这么一回事。 ②所有权和经营权转移的分离,带来所有者和经营者的利益冲突。现阶段,虽然董事会是日常决策机构。但是公司的日常经营是由CEO(管理层)领导的。这就导致了所有权与经营权的分离。董事会和管理层之间构成了委托代理关系。委托方和代理方之间必然存在信息不对称,信息不对称可能导致道德风险和逆向选择。这就是为什么管理层可能会通过报表造价,粉饰业绩来得到高额回报,或者为了片面追求自身利益违背董事会决议,诸如此类。 我们周围的上市公司丑闻不断,其实就是公司不同利益相关者的的利益冲突、矛盾激化的结果。为了对付这种情况,学者提出了公司治理的概念。所谓公司治理,是为了满足公司内不同利益相关者的利益诉求,将公司决策权、执行权、监督权进行分离,使利益相关者互相制衡,最终博弈各方达到均衡的一种制度安排。董事会、独立董事、审计委员会、股东大会、内部审计、外部审计等等,都是公司治理的手段或工具选择。 好了,现在可以总结一下治理和管理的区别了。管理主要强调的是“做正确的事”,即计划、组织、领导、监督;治理更多强调的是通过组织架构、权力分配等制度安排,来实现不同利益相关者之间的相互制衡。实质上,这二者之间并没有严格的边界。尤其是在大型上市公司中,治理与管理总是同时存在,互相促进,以实现股东利益的最大化。我们也可以把公司治理理解为,公司发展到一定程度,对公司管理提出的新的要求。 公司上市派生出IT管理 前面讲A公司从一个小公司,发展为一个大型上市公司的过程中,公司管理如何派生出公司治理。现在谈谈随着公司发展到不同阶段,IT及其管理如何演变。 A公司创业之初,也许就是老板带了几个伙计,开了一个门市部。每天老板去进货,找供货商讨价还价,门市部里面一个伙计负责零售,还雇了几个销售员专门去跑客户,拉关系做工程,会计和出纳工作基本上都是老板娘兼职做了。 在这个阶段,所谓进货价格、销售价格、库存数量、人员工资、客户信息、应收帐款这些重要数据都在老板的脑袋里面装着。老板如果勤快一点,也许会做个笔记。这个阶段,我们可以看成手工管理阶段。公司里面连个懂电脑的人都没有,更别说程序员、DBA、网管了。这家公司基本上和IT不发生什么关系。 后来公司越做越大,开了好多个店面,销售的产品种类,客户数量、雇员数量、销售额都达到更高的规模了。老板发现自己的脑子有点不够用了,而且钱也挣够了(完成原始积累了),就想公司的管理要正规一点。正好有个朋友是做MIS的,跟老板说管理可以通过电脑来完成啊,不仅能提高效率,还能节省人力,降低成本。 于是老板决定逐步搞信息化。这个过程一般是这样的:财务部门管钱是最重要的,所以先买了一套会计电算化软件,比如金蝶或用友,用了两年觉得真不错,会计作帐正规多了,而且每个月的报表都很及时,经营情况一目了然。 吃到甜头的老板决定在公司内部推广经验,把库存和销售也通过电脑管理,所以上了一套进销存。为加强企业形象建设,还开发了一个网站。再后来公司不断发展,更加有钱了,要国际化,管理上要向世界巨头看齐了。 于是公司就花很多钱,聘请海外著名咨询公司上了一套ERP,例如SAP/ORACLE,什么财务集中、制造、库存、销售、HR统统拿来,连看门的门卫面前都摆了电脑,为啥?要考勤,和HR数据库相连。公司成立了一个信息中心,养了一帮闲散的无政府主义的程序员、网管、DBA,就是那些每天没事情就上网发牢骚的人。 到这个阶段,公司的很多部门都开始依赖电脑工作了,所有人都觉得电脑是个好东西了。用某个大人物的话说,电脑开始和水、阳光、空气一样不可或缺。 但慢慢地问题又来了,例如三天两头的病毒发作;员工把公司自己开发的软件偷偷拷出去卖钱;开发的软件偶尔会算错帐;员工跳槽后,系统没人维护;会计系统硬盘坏了,丢掉一个月的财务数据等等。 老板认识到问题的重要性,不敢等闲视之,决定加强IT管理。于是高薪聘请了一个海龟,任命为CIO,享受副总待遇。制定了一系列管理制度,例如电脑安装标准、用户管理制度、信息安全制度、数据备份、病毒防护制度、人员考核制度、系统开发和测试标准、设备采购制度、问题管理流程、重大故障应急处理流程等等。这些就是IT管理手段。 这样过了一段时间,公司的IT运行逐渐稳定下来了,业务部门的满意度比以前提高了很多。老板以为这下子觉得可以松一口气了。 IT治理制衡强势IT部门 过段时间,老板注意到新的问题又出来了。公司IT部门势力扩展很厉害,有好几百人,掌握公司所有的IT资源。由于每个业务部门都必须依靠IT才能够开展工作,IT部门通过技术手段逐渐凌驾在业务部门之上,在公司内部处在很强势的地位,逐渐影响到公司的决策以及执行。 例如IT投资管理,CIO宣称预算必须大幅增加,以满足系统建设需要(投资黑洞);IT权力过大,对业务部门指手画脚(IT暴君);对所有用户的意见开始不以为然,对IT服务质量也没有以前重视了;IT战略制定,由于IT的专业性特征,管理层很难对IT的发展战略进行规划,IT发展与公司总体战略很难协调,影响公司战略执行。 这个问题并不是A公司独有的,很多公司信息化发展到一定程度,都会遇到这样的问题。于是学者开始研究并提出各种对策,其中一个研究成果就是IT治理。 如同前面对公司治理概念的讨论,IT治理更多强调的,也是组织架构和制度安排,以对IT进行制衡。比较典型的治理手段包括:成立IT委员会,制定IT战略和重大决策;设立IT审计职能部门,向管理层报告;对IT部门进行重组(大概可以分为集中管理、联邦式、分布式、混合式)。 好了,我们现在可以再来总结一下IT管理和IT治理了。 IT管理是通过管理手段,保证IT部门“做正确的事情”,如提高服务质量、提高系统的可用性、保证信息安全等。既然是管理,其基本内容还是组织、计划、领导、监督。IT治理并不是要替代IT管理工作,IT治理的目的,是通过组织架构和制度安排,来对IT部门进行制衡,促进IT更好地工作,最终目标是保证组织目标的完成。 IT治理延伸出IT审计工具 在谈IT治理的时候,引出了IT审计的概念,认为IT审计(包括内审、外审)是IT治理的手段之一,是实现公司内部IT有关的权力、职责、利益分配制衡的工具之一。这个是IT审计在现代公司存在的地位和意义。 IT审计也可以认为是在管理层与IT部门的委托代理关系背景下产生的,接受管理层委托,对IT部门进行监督评价,或提供增值化的咨询服务。 这样一说,很多长期受IT压迫的兄弟开心了:在公司受了IT这么多年的气,今天终于风水轮流转,也有人来收拾你们了!是不是这么乐观呢? 一个职业的出现和发展,最终是由市场决定的。市场决定的手段无非是以下几个因素: ①需求。需求的问题我们已经论述过了,IT审计已经被定位为IT治理的重要手段和工具了。从目前的现状来看,需求的规模是相当可观的。 ②供给。供给的问题,实际上就是IT审计的从业者能否提供高质量的审计服务,涉及到IT审计从业者的胜任问题。这是我觉得很难回答的一个问题,以后有机会单独讨论。 ③成本。成本应该是价格的基础,可能和IT审计的期望待遇有关。 来源:IT168 责编:Rebecca.Jane 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:kaiyun体育官方人口
文章著作权分属kaiyun体育官方人口
、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|