（來源：《數字軍工》）
引言
??? 近年來，因上市公司頻頻“驚曝黑幕”，“公司治理”成為全球性的問題，受到廣泛的關注和重視，人們認識到只有建立一套完整的治理系統，才能徹底解決舞弊和管理不當的問題。

??? 同時，信息已經成為企業中最為寶貴的資產之一，信息技術（IT）在組織中已經扮演一個影響到組織全局、影響到企業治理結構的關鍵角色。在實現企業目標，以及提供收益方面，IT變得越來越重要，越來越多的人逐漸意識到治理必須擴展到IT領域的方方面面。

??? 在IT治理層面，IT審計與IT控制是必不可少的組成部分。那究竟什么是IT治理、什么是IT控制、什么又是IT審計，這三者之間的關鍵又是如何的呢？

什么是IT治理

??? 治理如果與企業治理和IT 治理聯系起來時好像比較難理解，但是如果與國家聯系起來就很容易理解，如國家治理、環境治理、黃河治理等，可以看出治理側重于宏觀決策方面，如，要做哪些事，誰來做這些事，以及如何建立決策機制、如何進行有效監控等，而管理則側重于具體執行，就是如何把事情做好。

???? IT治理是企業治理結構中不可或缺的一部分，而相關的IT治理流程則可確保企業IT目標與業務目標保持一致，并可持續發展。因此，IT治理必須與企業戰略目標一致，使IT發揮更大的作用、創造更多的價值，實現公司價值和利益的最大化。

??? 信息系統審計與控制協會（ISACA）在1998組建了IT治理協會（ITGI）對IT治理的定義是：IT治理是一種引導和控制企業各種關系和流程的結構，確保組織擁有適當的結構、政策、工作職責、運營管理機制和監督實務，以達到公司治理中對IT 方面的要求，旨在通過平衡信息技術及其流程中的風險和收益，增加價值，以實現企業目標。

??? 中國IT治理研究中心（ITGov）對IT治理的定義是： IT治理是指設計并實施信息化過程中各方利益最大化的制度安排，包括業務與信息化戰略融合的機制，權責對等的責任擔當框架和問責機制，資源配置的決策機制，組織保障機制，核心IT能力發展機制，績效管理機制以及覆蓋信息化全生命周期的風險管控機制。

為什么需要IT控制

??? 美國全國虛假財務報告委員會下屬的發起人委員會（COSO）將內部控制定義為：內部控制是一個過程，它由組織的董事會成員、管理層和其他成員參與，旨在為實現以下目標提供合理保證：

??經營的效率和效果
??財務報告的可靠性
??對有關法律和規章制度的遵循性

這些不同的但相互重疊的類別針對不同的需要，每個對應一個直接的重點。

第一類是針對組織的業務目標，包括業績和盈利目標，以及對IT相關信息與資產的保護。
第二類涉及公布財務報表的編制的可靠性，包括臨時和精簡的財務報表，以及收益情況和其他來源于這樣報表的公開報告的財務數據。在內部控制中IT系統頻繁地產生這樣的報告，因此對這些系統的控制具有重要的作用。

第三類處理組織對相關法律和規章的遵從情況。

??? 內部控制系統以不同的效率水平運作。如果董事會和管理層能合理保證下面各項，內部控制在三種分類的每一種中都可被認為是有效率的：

??他們明白企業的運營目標實現的程度
??發布的財務報表的編制是可靠的
??遵守適用的法律和條例

??? IT控制能夠幫助組織在IT運行環境過程中，適應不斷變化的約束因素，建立良好的風險控制環境，形成一個強大的彈性的內部控制系統，應對組織面臨的各種挑戰和意外事件。IT控制本身并不是目標，控制的存在是為了幫助實現業務目標?？刂埔苍S會加大經營成本，并且可能是非常昂貴的成本。但是沒有控制或控制不足，可能會導致更昂貴的后果。

為什么需要IT審計

??? IT審計是一個獲取并評價證據的過程，主要是判斷信息系統是否能夠保證資產的安全、數據的完整性、有效率利用組織的資源、有效果地實現組織目標地過程。

??? IT審計是監視和評審IT控制措施的執行情況和有效性的主要手段之一，可以從組織整體業務風險的角度，對實施和運行的控制措施進行持續監控，以管理組織的業務風險。

??? IT審計可以作為符合法律、法規以及管理要求的控制手段，可以證明管理層建立并維護了恰當的內控措施；可以提供證據說明業務相關數據的完整性，以及可以證明具備合法權限的人正確訪問數據；可以提供報警和審計報告確保管理層知道重大信息和任何變更；IT審計可以圍繞數據提供報告用于合規性評估，降低遵從成本。

IT治理、IT控制與IT審計之間的關系

??? IT治理是為組織建立一個長效的均衡的治理結構，在風險可控的環境下保證組織獲益。均衡的環境在滿足組織外部約束的同時需要考慮如何降低成本、提高股東收益、滿足客戶要求以及建立良好的社會形象等條件下不斷調整變化而達到的，因此IT治理側重于宏觀決策方面，要做哪些事，由誰來做這些事，以及如何建立決策機制、如何進行有效監控等。

??? IT控制就是在這樣的治理結構下，為實現組織的目標提供合理保證而實施的一系列政策和程序，內部控制是一個持續的過程，為了保證組織經營的效率和效果、財務報告的可靠性以及對有關法律和規章制度的遵循等情況下評估風險并設計、實施和持續監督控制措施?？梢钥闯鯥T控制的主要目的是建立一個可持續監控的控制環境使組織風險可識別、可控、可管理。

??? IT審計是一個獲取并評價證據的過程，主要目標就是對組織實施的風險管理環境和控制環境的保證措施進行識別和評估，判斷管理層關于控制的聲明是否是可靠的，所以審計必須保持其獨立性，以第三方客觀的立場進行檢查和評價。

??? 從以上論述可以看出，IT治理、IT控制以及IT審計之間既有聯系又有區別。分析來看，關注點是相同的，立場是不同。

??? 共同的關注點在于風險與保證。風險管理的主要目標是為了保證組織經營的效率和效果、財務報告的可靠性以及對有關法律和規章制度的遵循。保證，主要來自一系列相互依存的控制政策與程序，以及評價控制有效性的證據，這些證據可以證明控制是連續和充分的。

??? IT治理要明確目標與方向，為IT控制環境與活動設定明確的目標。

??? IT控制要建立一個完整的，具有彈性的內部控制體系，應對組織面臨地各種風險挑戰和意外事件。

??? IT審計是獲取與IT控制和保證措施相關的證據，評估IT控制的有效性、評價IT績效及IT戰略與業務目標的符合程度。

??? IT治理必須在風險與利益之間找到均衡，通過IT審計不斷促進調整IT控制環境，使組織在風險可識別、可控、可管理的環境下保證組織利益最大化。
?

轉載于:https://blog.51cto.com/infosec/460995

總結

以上是生活随笔為你收集整理的论IT治理、IT控制、IT审计之间的关系的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。