審計（包括外部審計與內部審計）通常負有向管理層提供咨詢的責任，以幫助確保企業內部存在適當的內部控制，將主要風險控制到一個可接受的合理水平。

 

　　IT審計是伴隨著IT的飛速發展而產生的。當前，IT應用的進步導致了需要有專門的內部控制措施才能控制新的風險。這就需要新的技術來評估控制的有效性，確保企業數據以及生成這些數據的信息系統的安全。

 

　　目前還沒有一個IT審計的權威定義。IT審計一般指對信息系統的規劃、開發、實施、運行和維護等各個環節進行評價，確保與IT相關的風險控制在可接受水平的過程。

 

　　IT審計要回答什么

 

　　與一般的審計一樣，IT審計的任務與使命也是通過評價內部控制，確保風險控制在可接受的水平。但與一般審計不同的是，IT審計除了關注操作層面的風險外，還應關注戰略層面的風險，因為IT已經成為企業的戰略問題。另外，IT審計關注的風險主要與IT相關。具體來講，IT審計的任務與使命可以概括為三個方面：一是確保IT項目管理風險控制在合理水平；二是確保業務流程中與IT相關風險控制在可接受水平；三是確保信息和信息系統的安全。三個方面既涉及戰略風險，也涉及操作風險。

 

　　第一要務：IT項目管理風險“控制閥”

 

　　為了維持并提高競爭力，企業在持續地維持并更新現有的信息系統，并持續地開發和應用新的信息系統。資料研究表明，我國企業每年IT投入近萬億元，每年僅在ERP項目上的投資就超過80億元。以信息化程度名列前茅的金融業為例，2004年，全國金融業IT投資規模達到248.85億元，比2003年的237億元增長5.0％，其中銀行業IT投資規模達到212.35億元，比2003年的200億元增長6.2％。大集中處理系統、客戶關系管理系統和網上交易系統等，已成為金融企業IT建設的熱門話題。但是，IT項目完全成功的企業寥寥無幾，要么延期完成項目，要么超過預算，要么功能不足，甚至完全失敗，IT投資正陷入巨大的“黑洞”。據Gartner集團2002年對北美IT業1375家公司的調查發現，大約有40%的IT項目沒有達到預期的結果，研究還發現一個原計劃27周的IT項目在僅僅持續了14周后被取消。在我國，有人估計80%的系統失敗或未達到預期目標，某證券公司花巨資建設的大集中系統半途夭折就是一個典型例子。

 

　　與IT項目相關的風險包括：IT項目與企業目標不一致、IT項目部分或全部失敗、開發商倒閉、與開發商的合同存在的風險、項目外包風險和財務風險等。

 

　　IT審計的第一個任務與使命，就是通過評價IT項目管理過程中內部控制的適當性，確保風險控制在合理水平。例如，IT項目與企業目標不一致的風險實際上涉及到IT的戰略問題。要解決好IT的戰略問題，就要解決兩個動態過程的匹配問題，一是變化很快的企業環境，二是更新很快的信息技術。兩者的匹配又和諸多問題相關，如企業選擇IT的目的，主要為了提高效率，還是主要為了提高響應速度？還是主要為了引入新產品？由于IT的戰略問題，對IT已不能局限于管理，應當上升到治理，根據公司治理的要求，董事會應當對IT治理負最終責任。IT審計師通過評價內部控制的適當性，如董事會是否在確定IT戰略過程中發揮了應有的作用，幫助企業將風險控制到合理水平。

 

　　第二要務：業務流程與IT相關風險“調控鈕”

 

　　業務流程再造（Business Process Reengineering, 簡稱BPR）是企業為了在現代經營環境中求得生存和發展，應對競爭和顧客需求雙重壓力的一個措施。業務流程再造通過對系統過程的自動化，減少人工干預和控制，滿足顧客需求，實現成本節約，其特征是：根本性的思考，徹底的再設計，使企業效益獲得巨大的提高。

 

　　IT與業務流程再造是密不可分的，業務流程再造通常需要借助IT加以實現，如果沒有IT的支持，就無法達到業務流程的再造；IT項目也一般需要業務流程再造才能成功實施，因為業務流程再造是IT的內在驅動力。人們對業務流程再造的最大擔憂就是，企業流程中的主要控制會在提高效率的再造過程中被削弱甚至完全消失，從而給企業帶來風險。

 

　　效率和控制往往是一對矛盾，而削弱控制則容易帶來風險。因此需要在效率和控制之間找到一個平衡，或者在削弱原有控制提高效率的同時，需要找到補償控制。IT審計師的任務和使命就是要識別原有業務流程中的主要控制，評價這些主要控制被削弱或消失后的影響，向企業領導層提出建議，確保通過實施IT項目進行業務流程再造后，企業風險控制在可接受的水平。

 

　　第三要務：信息和信息系統安全的“護航者”

 

　　在信息社會，信息和產生該信息的信息系統是企業的重要資產，這已經得到社會的廣泛認同。但是，信息和信息系統的安全問題卻異常嚴峻，病毒、木馬、邏輯炮彈、蠕蟲、非授權訪問、網絡拒絕服務、計算機犯罪等，各種安全威脅應有盡有。根據美國計算機安全事件響應組協調中心（CERT）統計，1988年至2003年報告的安全事件總計319992件，其中1998年為6件，2003年增至137529件。

 

　　信息資產的安全問題是一個極其復雜的問題，涉及到技術、法律、管理等諸多方面。IT審計在信息安全方面的任務和使命，就是通過評價相關的內部控制的適當性，確保信息資產的安全，包括保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。

 

　　需要說明的是，IT審計并不能代替IT管理的責任，IT審計應當是獨立于IT管理的一種監督過程。但是，IT審計確實能夠為企業增加價值。