公司管理层到了考虑IT治理的时候了

随着众多安全法规的不断推出，越来越多的企业开始关注法规遵从与企业信息安全的关系。与此同时，利用IT治理与安全架构，可以在很大程度上防御IT带来的信息安全风险。目前，不同的机构、不同的厂商都推出了不同的安全架构，它们在技术上的差异，以及最终会带来的应用结果值得用户注意。

刘保华：美国2003年推出萨班斯法案以来，越来越多的公司开始按照这个法案的要求执行。在你看来，现在

执行的总体情况如何？

任家明：在美国，大公司的IT治理已经比较成熟。它们往往有很多年的经验，但萨班斯法案的遵从也需要一段适应时间。这些公司一般都从财务方面着手，它们可以遵从一个叫COSO的框架。在《COSO内部控制整合框架》中，内部控制被定义为 ：由企业的董事会、管理层和其他人员参与控制的过程，旨在为下列目标提供合理保证：（1）财务报告的可靠性；（2）经营的效果和效率；（3）符合适用的法律和法规。《COSO内部控制整合框架》把内部控制划分为5个相互关联的要素，分别是控制环境、风险评估、控制活动、监控以及信息与沟通。其中每个要素均承载3个目标：经营目标、财务报告目标和合规性目标。

但是，很多企业在实施过程中发现，从IT角度看，上述框架用不上。COSO主要是财务方面的框架，但是很多公司的管理层都对一个问题非常头痛：他们并不懂IT治理。很多CEO从一开始就觉得IT治理不是管理层该管的事，只是IT部门的事情。这个问题在中国、日本、美国都很普遍。

刘保华：我们知道一个叫Cob的IT框架和萨班斯法案有密切的关系。你能否介绍一下Cob IT的框架？

任家明：IT治理研究所（以下简称ISACA）特别制定了一个针对IT的框架――Cob IT。这个框架在1995年开始被企业采用。在萨班斯法案之后，很多IT或者财务方面的人士都知道这个框架。但是，银行、保险、制造业等企业要熟悉这一框架，还有一段路要走。

2007年，日本有一个叫J-sox的法案出台。这个法案和美国的萨班斯法案非常相似。

刘保华：IT治理很重要的一个工作就是加强培训。我发现很多国际大公司对培训工作非常重视，IT内控治理的需求非常大。目前ISACA在培训方面的工作开展得如何？

任家明：萨班斯法案是从美国开始推行的，美国的经验会影响其他的国家。欧洲现在有了Euro-sox、日本有了J-sox、韩国有了K-sox，中国将来也可能有类似的法律。美国企业的做法对世界其他国家的影响很大。你如果了解了美国企业怎么做，对于将来如何较好地应对挑战，非常有好处。

法规遵从 中外存异也求同

对于不同国家的企业，IT治理要走不同的道路。在中国，我们也应该走中国特色的IT治理道路。但是对于全球IT治理共通性的话题，同样需要认真研究。

刘保华：萨班斯法案推出以后，我们做过很多报道。而且，我们发现这个法案对国内企业的影响非常大。现在该法案推出已经近6年了，你觉得中国企业应该注意哪些问题？

任家明：在美国，监管的工作大同小异。而在中国，由于不同地域的差别实在太大，在监管方面也出现千差万别的情况。因此你要明白这些差异，才能合理应对。这也是为什么中国企业不能照搬很多美国企业经验的原因。所以,现在很多公司在合规的时候，都是找香港公司帮忙。这些公司有美国和加拿大的经验，而且也了解国内的现实情况。

刘保华：中国内地企业在做萨班斯法案合规的时候，普遍反映没有合适的人来做，怎么办？

任家明：其实这是目前IT治理最严重的一个问题。ISACA在香港有超过3000个委员，但在内地却只有不到1000个委员。香港总人口只有700万人，而内地却有13亿。比较一下可以发现，内地的人才缺乏是很严重的。同时，现在国内的教育机构也还没有来得及培训出足够的人才。

我看到深圳、广州很多公司的监管者，他们也想做类似美国萨班斯法案的监管，同时他们也推荐公司的管理层去做类似的公司内控的评估，但是他们找不到相应的人才，没有合适的会计师。

就连全球4大会计事务所在中国也是这样的情况。他们在中国现在每天都在招人，但苦于找不到足够的人才。除了会计师不够，咨询师也不够。这个情况和美国也类似。以前美国也没有足够的人才，他们只有找内部的咨询人员来做，但后来慢慢就跟上了。在内地找IT治理的咨询师，同样很难。

所以要想做好IT治理，一方面需要足够多的咨询师，另一方面需要足够多的会计师，两者缺一不可。至于监管框架的制定，有美国等发达国家的经验，制定起来会很快。同时，IT治理关键还是需要国家来推进。

刘保华：除了人才的问题，如何对IT治理的效果进行阶段性的评估，也让很多企业非常头痛。你怎么看这个问题？

任家明：美国企业一般有3个层次的评判：第一，你有没有材料的审阅者；第二，根据材料模型，按照5个不同层次的要求将材料整理清楚；第三，把整理出来的材料，按照要求建立档案。

信息安全是IT治理的基石

信息安全是一个系统工程，它和IT治理息息相关，是IT治理的基石。对于企业的CEO和CIO来说，IT治理很重要的工作是通过IT治理来保证企业信息交互的安全可靠。

刘保华：你觉得一个比较完善的信息安全的生态系统和IT治理是什么关系？

任家明：不同的企业对信息安全和IT治理有不同的理解。很多国内的企业都习惯从技术的角度来考虑信息安全的问题。

在香港，很多公司都认为信息安全有三宝，首先是反病毒软件，其次是反间谍入侵软件，最后是防火墙，认为有这三宝就足够安全了。但是，我们做了测试后发现，有了这三样以后，仍然存在大量的信息安全漏洞。其实，一个完整的信息安全系统需要很多其他的东西，比如人才、流程等等，技术只是其中的一个工具而已。

比如，SAP、Oracle等公司都已经有了一些很成熟的ERP软件，它们在信息安全方面也考虑了很多。但是，公司如何根据自己的情况来进行安全部署，仍然是一个很大的问题。

刘保华：我们都是在一个开放的空间运作企业。为了应对开发环境的安全挑战，现在很多IT解决方案提供商都提出了自己的方案，比如微软提出“纵深防御体系”，赛门铁克提出“端到端的防御”。你怎么看上述情况？从IT治理的角度，如何保证上述环境的信息安全？

任家明：如何控制风险，其实并不是太难的事情。使用有线网络的时候，我们可以顺着网络线来找问题，而现在员工都用无线网络，安全的复杂性又增加了。

英国前不久做了调查，很多英国公司员工的IT账户和密码都可以很轻易地通过公司IT内部的无线网络获得。当公司主管通过无线网络传递一些涉及公司秘密的信息时，就存在很大的安全风险。

这些问题其实在全球的公司中都存在。解决问题的关键在于要找一个专业的机构对公司的IT系统做一个风险的评估。有了这个评估之后，公司主管就知道问题所在，从而制定相应的解决方案，并把最重要的资源用来解决最重要的问题。

IT治理人才现在将来会很贵

根据ISACA的统计，能够帮助公司进行法规遵从的人才全球大概不到5万人，而全球的需求目前已经达到20万人，而且这个数字会随着越来越多的国家在IT治理方面的立法和公司对IT治理的重视而提高。

刘保华：一个企业如果要进行IT治理花费很高。我听说现在中国在IT治理上的成本要高于美国，是吗？

任家明：企业在中国做合规所要花的钱，现在的确要比美国多。因为在美国有很多相关的人才，而在中国，懂英语（很多材料都是英文的）、懂财务、懂IT等等知识的复合型人才非常少，所以很贵。

将来，如果中国有类似萨班斯法案的法规出台的话，这类人才的薪酬一定会飙升得很快。所以我经常跟我的朋友讲，如果你想赚钱，多学一点IT治理的知识是一定有用的。我认为中国虽然现在没有类似的监管法规出台，但随着中国资本市场的成熟，随着中国市场和世界市场的日益接轨，3到5年之后，中国应该会有类似的法案出台。

刘保华：关于ISACA在中国的发展你们现在有什么具体的计划？你们如何与国内的大学进行合作，并把IT治理融入到大学的课程中。如何把美国的课程较好地引入到中国来，从而使其更加符合中国的国情？

任家明：ISACA目前在中国已经有三个分会，分别在中国的香港、台湾和澳门，但在中国内地还没有分会。将来我们会从几个方面来推动ISACA的发展。我们注意到，中国企业最需要的是最新的信息，但是目前的情况是信息太多，多到它们根本没有足够的时间去看这些信息。另外，这些信息全都是英文的，也影响了国内企业的阅读吸收。

所以我们有两方面的工作要做。一方面，我们会利用香港的资源，把香港的经验引入内地，我们首先会制作中文网站，内容也更符合国内市场；另一方面，我们也会在内地寻找合作伙伴和顾问。

我们有很多很好的标准、框架、白皮书、文案等资料，这些都是非常好的内容，中国相应的工作人员都是需要的。我们现在正在把这些资料翻译成中文。

目前，我们现在有三个不同的认证，第一个是CISA，是一个IT审计员的认证；第二个是CISN，是一个公司信息安全的认证；第三个是IT管制的认证，我们才刚刚开始做。目前全国只有100人符合这个认证的要求，而前两个已经有超过千人获得了。

记者手记：将IT治理化为企业的核心竞争力

今天，IT已成为企业业务发展和管理不可或缺的重要组成部分，其作用和影响力已从单一的业务部门扩散到企业与组织的每一个领域。在IT系统给企业带来活力、利润和竞争力的同时，也给企业增加了因此而带来的风险――日益依赖IT系统的企业面临着因IT系统故障导致的业务灾难。如何最大限度地降低IT对业务的负面影响，IT系统如何充分为企业战略目标服务，如何获得IT价值最大化，这是每个企业都必须直接面对的问题。

随着众多安全法规的不断推出，越来越多的企业开始关注法规遵从与企业信息安全的关系。与此同时，利用IT治理与安全架构，企业可以在很大程度上防御IT带来的信息安全风险。

信息安全架构与IT治理密不可分。假如把信息安全治理比作指引组织进行安全项目的路标，那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构。没有了信息安全架构，IT治理根本无从谈起。

IT治理需要遵从特定的原则，并在企业统一、完善及健全的安全架构中去实现，这是一个系统工程。

任何事物都有它的两面性。正确、恰当地使用IT系统能为企业带来飞速的发展，但系统缺陷、人为误操作、系统攻击等不可预料的各种风险也同样会使企业面临巨大的灾难。因此，企业用户更应该建立统一、完善、健全的信息安全架构来规范IT系统行为，通过建立冗余机制、灾备机制、详尽的策略遵从机制等各种风险控制机制，来降低整个企业的IT系统风险。