導(dǎo)語：IT審計的作用已經(jīng)被CIO認(rèn)識到，但實際中還是要看企業(yè)的IT應(yīng)用環(huán)境是否已經(jīng)達(dá)到IT審計來介入的要求，以及做IT審計所需投入的人力和財力成本。

在美國納斯達(dá)克上市的企業(yè)，必須遵從薩班斯法案（Sarbanes-Oxley Act，SOX），而國內(nèi)的上市公司也要將在今年（2010）開始實施內(nèi)控指引（《企業(yè)內(nèi)部控制基本規(guī)范內(nèi)控規(guī)范》）內(nèi)容。內(nèi)控的實施，對國內(nèi)企業(yè)CIO建設(shè)基于內(nèi)控環(huán)境的信息系統(tǒng)帶來新的挑戰(zhàn)。
IT內(nèi)控通常分為一般控制和應(yīng)用控制兩大類。“一般控制”是指那些嵌入到IT流程和服務(wù)中的控制，如系統(tǒng)開發(fā)、變更管理、安全管理和計算機(jī)運(yùn)行管理等；嵌入到業(yè)務(wù)應(yīng)用系統(tǒng)的控制稱為“應(yīng)用控制”，如完整性、準(zhǔn)確性、有效性、授權(quán)和職責(zé)分離等等。有數(shù)據(jù)指出，80%的非IT故障是由變動管理行動中的人員因素或存在問題造成的，而在企業(yè)中引用IT審計，可以有效控制、規(guī)避IT風(fēng)險，提高企業(yè)信息系統(tǒng)的安全性、可靠性，并幫助企業(yè)做到有效地法規(guī)遵從。
相關(guān)法規(guī)的實施和企業(yè)日漸迫切的信息安全需求，使IT審計的市場需求越來越強(qiáng)烈。但采用客觀標(biāo)準(zhǔn)對企業(yè)信息系統(tǒng)的策劃、開發(fā)、使用維護(hù)等相關(guān)活動和產(chǎn)物進(jìn)行完整地、有效地檢查和評估的IT審計工作，到底多有用？在ITValue社區(qū)發(fā)起的“IT審計的作用”的調(diào)查中，有55.56%的人認(rèn)為作用很大，并且能夠幫助企業(yè)規(guī)范IT流程，找到風(fēng)險點，實現(xiàn)風(fēng)險管控的目標(biāo)。而其余的44.44%的人雖然也認(rèn)為IT審計有作用，但僅僅能發(fā)現(xiàn)一些問題。

對于企業(yè)組織而言，實施基于風(fēng)險管理的IT審計，是為了保證企業(yè)組織的信息安全，并達(dá)到企業(yè)風(fēng)險管控的作用。祈福集團(tuán)CIO何雪峰說：集團(tuán)有專職人員負(fù)責(zé)審核各下述公司IT部門是否嚴(yán)格執(zhí)行集團(tuán)的IT規(guī)范，并會對一些關(guān)鍵點定期上門檢查。

原貝發(fā)集團(tuán)股份有限公司信息管理部經(jīng)理陳罡認(rèn)為，IT審計的作用固然巨大，但實際情況中還是要看企業(yè)的IT應(yīng)用環(huán)境是否已經(jīng)達(dá)到需要IT審計來介入的程度。另外，實施IT審計也需要一定的成本投入，彩虹集團(tuán)信息化管理室主任陸永清認(rèn)為：對數(shù)據(jù)服務(wù)依賴性高，靠數(shù)據(jù)經(jīng)營的企業(yè)——如金融、保險等行業(yè)應(yīng)該嚴(yán)格遵循“內(nèi)控”要求，引入IT審計非常必要；而對數(shù)據(jù)服務(wù)連續(xù)性要求不很高的企業(yè)，要想達(dá)到內(nèi)控/SOX的要求標(biāo)準(zhǔn)，會增加企業(yè)的投入成本。

在IT審計人力方面，企業(yè)中可能沒有專職的IT審計人員，陳罡舉例說：企業(yè)中的操作系統(tǒng)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理員都是需要嚴(yán)格區(qū)分并由不同的人來擔(dān)任，以防止對系統(tǒng)的濫用，而在現(xiàn)實中，企業(yè)往往不可能有這么多人員來這么做，只是一個人兼任完事——IT審計也是如此。九州通醫(yī)藥集團(tuán)信息技術(shù)總部部長田超波也認(rèn)為，在分工沒那么細(xì)的企業(yè)中，IT審計可以由相關(guān)人員兼職來做，但需要有完整的授權(quán)及對操作的詳細(xì)記錄。