企业对IT系统的依赖程度不断加强的同时，IT系统正面临不断增多的各种各样的威胁。在全球加强行业监管和内部控制的趋势中，IT越来越充当重要角色，IT不仅要为业务的风险控制提供保障环境，而且其自身的风险控制也备受关注。IT风险也随之成为业务风险的一部分。

　　IT风险是指在信息处理和信息技术运用过程中产生的，可能成为影响组织目标实现的各种不确定因素。IT风险包括组织层面的信息技术风险、一般性控制层面的信息技术风险，以及业务流程层面的信息技术风险等。

　　IT与业务的不断融合正在让越来越多的CIO面临前所未有的压力。一方面，IT的任何风吹草动，都可能对高度依赖IT的业务造成影响，这使得CIO必须格外关注IT的任何潜在风险。另一方面，随着业务流程逐渐被IT系统所固化，一些原本属于其他部门的风险开始转化给了IT部门和CIO。

　　为了缓解这种压力，CIO必须尽可能地发现IT系统的任何潜在风险，因为一旦这些风险演变为事故，CIO必须为此承担责任并付出代价。而信息系统审计（以下简称“IT审计”）的重要职责之一，就是帮助CIO发现这些潜在风险。

　　因此，IT审计之所以受到越来越多企业的重视，正是出于业务稳定性和IT风险方面的考虑。在应对IT风险方面，IT审计的重要性包括两个层面：第一是预防风险，IT审计可以帮助企业识别并预防支撑业务的IT系统存在的风险，也可以帮助企业审核IT系统对外部法规的遵从性，从而避免来自外部法规监管可能存在的风险等。第二是帮助改进，特别是内审，不仅要发现风险，还要配合CIO针对审计中发现的风险进行有效管理，把风险防范做得更好。

　　IT审计最早出现在IT应用比较深入的金融业，后来逐渐扩展到其他行业。IT审计的目标是协助组织信息技术管理人员有效地履行其责任，以达成组织的信息技术管理目标。组织的信息技术管理目标是保证组织的信息技术战略，充分反映该组织的业务战略目标，提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性，提高信息系统运行的效果与效率，保证信息系统的运行符合法律、法规及监管的相关要求。
 
　　据我们了解，大部分企业都没有建立相应的IT系统风险管理体系，这就造成了CIO看待IT风险的时候，往往是局部的，很难站在全局的角度，系统地去考虑可能存在的IT风险，这必然会忽略一些IT风险的存在。

　　CIO和IT部门面临的工作众多，识别潜在的IT风险并进行及时规避只是他们工作中的一部分。相比之下，IT审计师最重要的职责就是识别IT系统的潜在风险，所以，在一定程度上，IT审计师显得更专业。

　　IT审计很重要的内容之一就是发现系统的潜在风险，那么IT审计师看待或者查找IT风险的角度与IT部门相比主要有哪些不同？

　　企业内部IT审计师的主要工作就是评估现有IT基础设施、组织、流程的风险，制定审计计划，实施审计，并就发现的缺陷与管理层讨论，跟踪后续整改，改进IT业务。

　　与CIO看待IT系统风险的角度相比，IT审计师更测重于管理而非技术方面，比如在安全方面更侧重于访问控制的措施，以及是否有定期回顾，还有就是该岗位的人员能否胜任工作，有无进行过适当培训以保障其胜任工作的能力等。

　　任何审计都有详细的流程和标准，IT审计也是如此。IT审计师对IT系统进行审计时，会遵照既定的流程和标准一项项排查，比CIO和IT部门考虑得更细致，也更容易发现潜在的风险。比如，现在普遍存在的IT外包，很多企业对IT外包的管理非常粗放，IT审计师就会关注这些外包出去的环节，如其变更怎么管理、安全怎么管理等，这些都是CIO比较容易忽视的细节。

　　但是，有时候CIO的某些做法也是“迫不得已”，因为他们要考虑到业务的灵活性，必须对系统做一些临时的改动，即便这样的改动是存在风险的。

　　CIO要支持IT审计师的工作,就需要CIO对IT审计能有最起码的认识。

　　首先，CIO应该了解IT审计师的沟通语言是什么，这是沟通的基础，只有沟通语言是一致的，才有可能进行沟通。那么IT审计师的沟通语言是什么呢？毫无疑问，就是COBIT、COSO、ITIL、BS7799这些大家公认的控制框架。

　　其次，CIO要改变观念，必须正确看待IT审计——他们不是来挑毛病的，而是来帮助IT部门发现问题、解决问题的。

　　第三，要弄清楚为什么IT审计师要审计这些控制点，审计的目的又是什么。对相应的控制点有深入的了解后，在下次审计时，就能赶在审计师前面，把相应的控制点做好。

　　与此同时，CIO可以建立一套自我评估的体系，在IT审计来临之前，在部门内部先自行进行自我评估。根据审计师的审计要点自我检查。这套自我评估体系其实就是风险管理体系。