IT与业务的不断融合正在让越来越多的CIO面临前所未有的压力。一方面，IT的任何风吹草动，都可能对高度依赖IT的业务造成影响，这使得CIO必须格外关注IT的任何潜在风险。另一方面，随着业务流程逐渐被IT系统所固化，一些原本属于其他部门的风险开始转化给了IT部门和CIO。

　　为了缓解这种压力，CIO必须尽可能地发现IT系统的任何潜在风险，因为一旦这些风险演变为事故，CIO必须为此承担责任并付出代价。而信息系统审计(以下简称“IT审计”)的重要职责之一，就是帮助CIO发现这些潜在风险。

      遗憾的是，并不是所有的CIO都认为IT审计是在帮他们——由于不了解，造成了很多CIO对IT审计的种种误解和偏见。那么，对于CIO来讲，究竟该如何看待IT审计?又该如何配合IT审计?面对IT审计师出具的报告，CIO又该如何做?为此，CIOINSIGHT杂志邀请到了中国IT治理研究中心研究员王东红、巨人网络集团有限公司内部监察审计部副部长朱永明、金茂集团IT经理王浩，就IT审计的相关话题，展开了讨论。据我了解，金茂集团在今年3月刚刚请外部机构做了IT审计。王浩，请你先来谈谈，你对这次审计的切身感受。

　　王浩：这是我们第一次经历IT审计。整个审计持续了大概一个月，审得比较细致，审计内容涉及到了过去3年所有系统的变更记录、人员权限、数据备份、故障管理、业务系统风险等很多方面。

　　虽然我们一直非常关注信息系统可能潜在的各种风险，但是确实没有IT审计师们看得这么细。因此这次审计也指出了我们在风险控制方面存在的一些不足，特别是对一些文档制度建设的重要性，让我们有了更加深刻的认识。

　　最近，我正在对今年原定的IT计划做调整，如何弥补IT审计中发现的不足也被列进了我们今年的IT工作计划中。

　　CIOI:IT审计很重要的内容之一就是发现系统的潜在风险，王浩也提到了IT部门对IT风险一直是很关注的。那么IT审计师看待或者查找IT风险的角度与IT部门自己相比主要有哪些不同?

　　朱永明：据我了解，IT风险是指在信息处理和信息技术运用过程中产生的，可能成为影响组织目标实现的各种不确定因素。IT风险包括组织层面的信息技术风险、一般性控制层面的信息技术风险，以及业务流程层面的信息技术风险等。

　　我们的内部IT审计师的主要工作就是评估现有IT基础设施、组织、流程的风险，制定审计计划，实施审计，并就发现的缺陷与管理层讨论，跟踪后续整改，改进IT业务。

　　与CIO看待IT系统风险的角度相比，IT审计师更测重于管理而非技术方面，比如在安全方面更侧重于访问控制的措施，以及是否有定期回顾，还有就是该岗位的人员能否胜任工作，有无进行过适当培训以保障其胜任工作的能力等。

　　王东红：从我的经验看，CIO和IT部门面临的工作众多，识别潜在的IT风险并进行及时规避只是他们工作中的一部分。相比之下，IT审计师最重要的职责就是识别IT系统的潜在风险，所以，在一定程度上，IT审计师显得更专业。

　　据我们了解，大部分企业都没有建立相应的IT系统风险管理体系，这就造成了CIO看待IT风险的时候，往往是局部的，很难站在全局的角度，系统地去考虑可能存在的IT风险，这必然会忽略一些IT风险的存在。

　　任何审计都有详细的流程和标准，IT审计也是如此。IT审计师对IT系统进行审计时，会遵照既定的流程和标准一项项排查，比CIO和IT部门考虑得更细致，也更容易发现潜在的风险。比如，现在普遍存在的IT外包，很多企业对IT外包的管理非常粗放，IT审计师就会关注这些外包出去的环节，如其变更怎么管理、安全怎么管理等，这些都是CIO比较容易忽视的细节。

　　但是，有时候CIO的某些做法也是“迫不得已”，因为他们要考虑到业务的灵活性，必须对系统做一些临时的改动，即便这样的改动是存在风险的。

　　CIOI:在发现IT风险方面，IT审计师的工作确实是CIO工作很好的补充，这是否可以认为是IT审计受到重视的一个重要原因?

文章来源：IT专家网