赵建凯︱文

导语：IT审计的作用已经被CIO认识到，但实际中还是要看企业的IT应用环境是否已经达到IT审计来介入的要求，以及做IT审计所需投入的人力和财力成本。

    在美国纳斯达克上市的企业，必须遵从萨班斯法案（Sarbanes-Oxley Act，SOX），而国内的上市公司也要将在今年（2010）开始实施内控指引（《企业内部控制基本规范内控规范》）内容。内控的实施，对国内企业CIO建设基于内控环境的信息系统带来新的挑战。

    IT内控通常分为一般控制和应用控制两大类。“一般控制”是指那些嵌入到IT流程和服务中的控制，如系统开发、变更管理、安全管理和计算机运行管理等；嵌入到业务应用系统的控制称为“应用控制”，如完整性、准确性、有效性、授权和职责分离等等。有数据指出，80%的非IT故障是由变动管理行动中的人员因素或存在问题造成的，而在企业中引用IT审计，可以有效控制、规避IT风险，提高企业信息系统的安全性、可靠性，并帮助企业做到有效地法规遵从。

    相关法规的实施和企业日渐迫切的信息安全需求，使IT审计的市场需求越来越强烈。但采用客观标准对企业信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估的IT审计工作，到底多有用？在ITValue社区发起的“IT审计的作用”的调查中，有55.56%的人认为作用很大，并且能够帮助企业规范IT流程，找到风险点，实现风险管控的目标。而其余的44.44%的人虽然也认为IT审计有作用，但仅仅能发现一些问题。

    对于企业组织而言，实施基于风险管理的IT审计，是为了保证企业组织的信息安全，并达到企业风险管控的作用。祈福集团CIO何雪峰说：集团有专职人员负责审核各下述公司IT部门是否严格执行集团的IT规范，并会对一些关键点定期上门检查。
 

    原贝发集团股份有限公司信息管理部经理陈罡认为，IT审计的作用固然巨大，但实际情况中还是要看企业的IT应用环境是否已经达到需要IT审计来介入的程度。另外，实施IT审计也需要一定的成本投入，彩虹集团信息化管理室主任陆永清认为：对数据服务依赖性高，靠数据经营的企业——如金融、保险等行业应该严格遵循“内控”要求，引入IT审计非常必要；而对数据服务连续性要求不很高的企业，要想达到内控/SOX的要求标准，会增加企业的投入成本。

    在IT审计人力方面，企业中可能没有专职的IT审计人员，陈罡举例说：企业中的操作系统管理员、数据库管理员、应用系统管理员都是需要严格区分并由不同的人来担任，以防止对系统的滥用，而在现实中，企业往往不可能有这么多人员来这么做，只是一个人兼任完事——IT审计也是如此。九州通医药集团信息技术总部部长田超波也认为，在分工没那么细的企业中，IT审计可以由相关人员兼职来做，但需要有完整的授权及对操作的详细记录。