導語：IT審計的作用已經被CIO認識到，但實際中還是要看企業的IT應用環境是否已經達到IT審計來介入的要求，以及做IT審計所需投入的人力和財力成本。

在美國納斯達克上市的企業，必須遵從薩班斯法案（Sarbanes-Oxley Act，SOX），而國內的上市公司也要將在今年（2010）開始實施內控指引（《企業內部控制基本規范內控規范》）內容。內控的實施，對國內企業CIO建設基于內控環境的信息系統帶來新的挑戰。
IT內控通常分為一般控制和應用控制兩大類。“一般控制”是指那些嵌入到IT流程和服務中的控制，如系統開發、變更管理、安全管理和計算機運行管理等；嵌入到業務應用系統的控制稱為“應用控制”，如完整性、準確性、有效性、授權和職責分離等等。有數據指出，80%的非IT故障是由變動管理行動中的人員因素或存在問題造成的，而在企業中引用IT審計，可以有效控制、規避IT風險，提高企業信息系統的安全性、可靠性，并幫助企業做到有效地法規遵從。
相關法規的實施和企業日漸迫切的信息安全需求，使IT審計的市場需求越來越強烈。但采用客觀標準對企業信息系統的策劃、開發、使用維護等相關活動和產物進行完整地、有效地檢查和評估的IT審計工作，到底多有用？在ITValue社區發起的“IT審計的作用”的調查中，有55.56%的人認為作用很大，并且能夠幫助企業規范IT流程，找到風險點，實現風險管控的目標。而其余的44.44%的人雖然也認為IT審計有作用，但僅僅能發現一些問題。

對于企業組織而言，實施基于風險管理的IT審計，是為了保證企業組織的信息安全，并達到企業風險管控的作用。祈福集團CIO何雪峰說：集團有專職人員負責審核各下述公司IT部門是否嚴格執行集團的IT規范，并會對一些關鍵點定期上門檢查。

原貝發集團股份有限公司信息管理部經理陳罡認為，IT審計的作用固然巨大，但實際情況中還是要看企業的IT應用環境是否已經達到需要IT審計來介入的程度。另外，實施IT審計也需要一定的成本投入，彩虹集團信息化管理室主任陸永清認為：對數據服務依賴性高，靠數據經營的企業——如金融、保險等行業應該嚴格遵循“內控”要求，引入IT審計非常必要；而對數據服務連續性要求不很高的企業，要想達到內控/SOX的要求標準，會增加企業的投入成本。

在IT審計人力方面，企業中可能沒有專職的IT審計人員，陳罡舉例說：企業中的操作系統管理員、數據庫管理員、應用系統管理員都是需要嚴格區分并由不同的人來擔任，以防止對系統的濫用，而在現實中，企業往往不可能有這么多人員來這么做，只是一個人兼任完事——IT審計也是如此。九州通醫藥集團信息技術總部部長田超波也認為，在分工沒那么細的企業中，IT審計可以由相關人員兼職來做，但需要有完整的授權及對操作的詳細記錄。