IT审计如何生存

背景：随着企业的发展，业务对IT的依赖越来越严重，IT部门牛气十足，董事会每年无奈地批准给IT部门投入巨额的资金，但是，这部分资金的快速增长让大家越来越感到难以承受，这是一个无底的黑洞，为了制衡IT部门，IT审计诞生了，这让不懂技术的董事会以及其他业务部门感到美好的日子终于要到来了，但是IT审计真的能制衡霸道的IT部门吗？黑洞能消失吗？

IT 审计（包括内审、外审）是IT治理的手段之一，是实现公司内部IT有关的权力、职责、利益分配制衡的工具之一。IT审计也可以认为是管理层与IT部门的委托代理关系背景下产生的，接受管理层委托来对IT部门进行监督评价，或者按照CIA新的定义，提供增值化的咨询服务。

 IT审计机制的产生，很类似于建筑行业的监理，一个项目，一般涉及承包设计方、施工方、监理方、材料供应商等。在这个系统中，监理公司不能有双重职能，也就是不能同时是施工方，也不能同时是材料供应商，否则监理机制就会立即失效，但是正是这种看似有效的监理机制在现实生活中却没有生效，监理公司对工程的质量不能起到决定性的作用，所以很多建筑或者桥梁还是偷工减料、建成后坍塌的也不少。这种监理机制的失效至少是因为违背了市场经济中的利润最大化原则，任何公司都是要追求利益的，监理公司这个不能做那个也不能做，只做监理怎么赚大钱呢？监理公司甘愿做慈善机构吗？ 为了做大做强，它肯定会和其他各方进行勾结，从中捞好处，于是监理机制就失效了。当然我们还是看到很多有很多优秀成功的建筑项目，但这种项目的质量并不是监理公司发挥了重要作用，而是项目资金充分，大家都能拿到丰厚的收入，于是事情还是能够办好，但是这些都是些代价昂贵的成功,是以消耗巨额资金为代价的，其实不是真正的成功。

于是IT审计部门怎么生存成为一个问题，如果审计和IT部门是对立的，那么IT部门完全可以制造各种障碍让审计员无法实施有效的审计，就像会计做假账一样，其实很多的公司的会计报表都是假的，你审计得过来吗，如果要实施有效的审计那必须上级动真格亲自出马督导，将付出沉重的代价，审计的可行性大大降低，否则国家审计部门为什么不审计各个公司每期的财务报表而只要求公开披露呢？如果审计员和IT部门妥协或者勾结，那么审计机制也立即失效。对于外部审计来说，走形式的可能性更大，外部审计肯定会考虑自己的好处，它不会去得罪IT部门。

另一条道路是，IT外包的兴起，公司对IT吃钱太厉害已经不堪重负，可以考虑把IT外包，然后可以把压力加到外包公司的头上，外包公司为了争取客户绝对不会像IT部门那么霸道，这样公司的CIO的角色将发生改变，他们的职责变成对外包商的监管，以及思考业务对IT的需求，开拓新的业务，并传达这些需求让外包公司来满足，对新增的需求进行规划和资金预算等等。在这种情况下，审计部门代表公司利益可以不留情面对IT进行审计，外包公司只有讨好审计部门的份，所以外包公司会“做假账”，制造审计的门槛，所以要实施有效的审计，审计部门同样要付出沉重的代价（你要养一支庞大的技能高超的审计团队）。那么外部审计会有效吗? 外部审计的有效性还是取决于该审计公司的品格和能力，如果外部审计公司忠于职守，那么就会有效，否则也不会有效，最重要的是外部审计公司不能和IT外包公司勾结，否则就玩完了，一旦出现就该立即拒绝该公司的审计服务。格局其实变成了皇帝（某企业）、审计服务提供商（纪晓岚）、IT服务外包商(和申)。皇帝要有好日子过，就得让纪晓岚和和申吵吵架。这可能是有效的IT治理模式之一。问题是，和申很容易找，但是找个纪晓岚是不容易的。