導語：IT審計的作用已經(jīng)被CIO認識到，但實際中還是要看企業(yè)的IT應用環(huán)境是否已經(jīng)達到IT審計來介入的要求，以及做IT審計所需投入的人力和財力成本。

在美國納斯達克上市的企業(yè)，必須遵從薩班斯法案（Sarbanes-Oxley Act，SOX），而國內(nèi)的上市公司也要將在今年（2010）開始實施內(nèi)控指引（《企業(yè)內(nèi)部控制基本規(guī)范內(nèi)控規(guī)范》）內(nèi)容。內(nèi)控的實施，對國內(nèi)企業(yè)CIO建設基于內(nèi)控環(huán)境的信息系統(tǒng)帶來新的挑戰(zhàn)。
IT內(nèi)控通常分為一般控制和應用控制兩大類。“一般控制”是指那些嵌入到IT流程和服務中的控制，如系統(tǒng)開發(fā)、變更管理、安全管理和計算機運行管理等；嵌入到業(yè)務應用系統(tǒng)的控制稱為“應用控制”，如完整性、準確性、有效性、授權和職責分離等等。有數(shù)據(jù)指出，80%的非IT故障是由變動管理行動中的人員因素或存在問題造成的，而在企業(yè)中引用IT審計，可以有效控制、規(guī)避IT風險，提高企業(yè)信息系統(tǒng)的安全性、可靠性，并幫助企業(yè)做到有效地法規(guī)遵從。
相關法規(guī)的實施和企業(yè)日漸迫切的信息安全需求，使IT審計的市場需求越來越強烈。但采用客觀標準對企業(yè)信息系統(tǒng)的策劃、開發(fā)、使用維護等相關活動和產(chǎn)物進行完整地、有效地檢查和評估的IT審計工作，到底多有用？在ITValue社區(qū)發(fā)起的“IT審計的作用”的調(diào)查中，有55.56%的人認為作用很大，并且能夠幫助企業(yè)規(guī)范IT流程，找到風險點，實現(xiàn)風險管控的目標。而其余的44.44%的人雖然也認為IT審計有作用，但僅僅能發(fā)現(xiàn)一些問題。

對于企業(yè)組織而言，實施基于風險管理的IT審計，是為了保證企業(yè)組織的信息安全，并達到企業(yè)風險管控的作用。祈福集團CIO何雪峰說：集團有專職人員負責審核各下述公司IT部門是否嚴格執(zhí)行集團的IT規(guī)范，并會對一些關鍵點定期上門檢查。

原貝發(fā)集團股份有限公司信息管理部經(jīng)理陳罡認為，IT審計的作用固然巨大，但實際情況中還是要看企業(yè)的IT應用環(huán)境是否已經(jīng)達到需要IT審計來介入的程度。另外，實施IT審計也需要一定的成本投入，彩虹集團信息化管理室主任陸永清認為：對數(shù)據(jù)服務依賴性高，靠數(shù)據(jù)經(jīng)營的企業(yè)——如金融、保險等行業(yè)應該嚴格遵循“內(nèi)控”要求，引入IT審計非常必要；而對數(shù)據(jù)服務連續(xù)性要求不很高的企業(yè)，要想達到內(nèi)控/SOX的要求標準，會增加企業(yè)的投入成本。

在IT審計人力方面，企業(yè)中可能沒有專職的IT審計人員，陳罡舉例說：企業(yè)中的操作系統(tǒng)管理員、數(shù)據(jù)庫管理員、應用系統(tǒng)管理員都是需要嚴格區(qū)分并由不同的人來擔任，以防止對系統(tǒng)的濫用，而在現(xiàn)實中，企業(yè)往往不可能有這么多人員來這么做，只是一個人兼任完事——IT審計也是如此。九州通醫(yī)藥集團信息技術總部部長田超波也認為，在分工沒那么細的企業(yè)中，IT審計可以由相關人員兼職來做，但需要有完整的授權及對操作的詳細記錄。