IT治理就是企圖通過對(duì)IT（信息技術(shù)）投資方向、方式、價(jià)值及相關(guān)責(zé)任等重大決策方面的管理使IT使用達(dá)到理想的效果。在我國，開展IT治理風(fēng)險(xiǎn)審計(jì)有如下2點(diǎn)需要注意：

　　1．要掌握IT治理發(fā)展方向和新的研究領(lǐng)域2003年，普華永道受ISACAIT治理協(xié)會(huì)的委托，對(duì)IT治理框架及其應(yīng)用進(jìn)行調(diào)查，旨在跟蹤并預(yù)測IT治理的發(fā)展趨勢及新的研究領(lǐng)域。2005年，普華再次接受IT治理協(xié)會(huì)的委托，從2005年7月開始，歷時(shí)4個(gè)月，完成了對(duì)四大洲內(nèi)695家組織的調(diào)查，獲得重要發(fā)現(xiàn)：

　　（1）IT對(duì)業(yè)務(wù)的重要性前所未有。被調(diào)查者中，87%認(rèn)為，IT對(duì)公司戰(zhàn)略和愿景的交付極為重要；63%的人說，IT定期或者總是出現(xiàn)在董事會(huì)議上。

　?。?）相比IT經(jīng)理，普通經(jīng)理對(duì)IT更積極。與IT經(jīng)理相比，普通經(jīng)理認(rèn)為IT更緊急、更重要。

　　此外，他們總體上對(duì)IT與業(yè)務(wù)戰(zhàn)略整合更關(guān)心。

　?。?）不同行業(yè)間存在極大的差異。談到IT治理，IT、電信和金融服務(wù)業(yè)做得比較好，而零售業(yè)和制造業(yè)就要差一些，這些結(jié)果與IT在這些行業(yè)中的戰(zhàn)略重要性是一致的。

　　（4）IT職員是最重要的IT相關(guān)問題?？紤]到這個(gè)問題的所有方面，比如事件發(fā)生的頻率、問題的嚴(yán)重性和未來的發(fā)展等等，IT職員似乎成為IT資源中最重要的問題。

　?。?）IT安全不是最重要的IT相關(guān)問題。當(dāng)把問題的所有方面都考慮在內(nèi)的時(shí)候，安全性（和符合性）名列最后。

　?。?）IT外包正在成為過去時(shí)。IT外包不再被視為解決IT問題最有效方式。隨著業(yè)務(wù)和IT的發(fā)展，人們越來越意識(shí)到，IT問題不能被外包，越來越多的人傾向于由自己內(nèi)部來控制有問 題的系統(tǒng)。

　　（7）實(shí)施IT治理（和COBIT）不像原來設(shè)想那樣簡單。事實(shí)證實(shí)以下2點(diǎn)：良好的IT治理實(shí)踐不是一蹴而就的，它的確需要時(shí)間和持續(xù)的努力；實(shí)施COBIT不是簡單地照抄文檔，照搬它的條款來實(shí)施。相反，它是一個(gè)過程，這個(gè)過程包括選擇最合適的要素，根據(jù)需求量體裁衣，并將它們應(yīng)用于組織的特定需求。

　　2．IT治理風(fēng)險(xiǎn)審計(jì)的主體問題IT治理風(fēng)險(xiǎn)審計(jì)由誰來執(zhí)行呢？應(yīng)該說，不同體制、不同性質(zhì)的企業(yè)，執(zhí)行IT治理風(fēng)險(xiǎn)審計(jì)的主體是不同的。目前，就公司治理風(fēng)險(xiǎn)審計(jì)、IT治理風(fēng)險(xiǎn)審計(jì)主體應(yīng)如何構(gòu)成的研究在國際學(xué)術(shù)界基本上還是個(gè)空白。上市公司會(huì)計(jì)師執(zhí)行風(fēng)險(xiǎn)評(píng)估、控制測評(píng)和財(cái)務(wù)報(bào)告審計(jì)時(shí)，由于需要與公司治理層進(jìn)行溝通、對(duì)它的IT系統(tǒng)風(fēng)險(xiǎn)進(jìn)行測試，可能會(huì)對(duì)公司IT治理風(fēng)險(xiǎn)進(jìn)行一定程度的審計(jì)，但是，IT治理風(fēng)險(xiǎn)審計(jì)絕不是CPA審計(jì)的核心任務(wù)。

　　由企業(yè)審計(jì)委員會(huì)和內(nèi)部審計(jì)組織執(zhí)行IT治理風(fēng)險(xiǎn)審計(jì)怎么樣？從結(jié)構(gòu)層次上看，讓審計(jì)委員會(huì)和內(nèi)部審計(jì)來監(jiān)督IT治理效果應(yīng)該說級(jí)別不夠，很難起到威懾和監(jiān)督效果。

　　我們認(rèn)為，在公司治理比較有成效的企業(yè)，可由獨(dú)立于IT治理委員會(huì)、執(zhí)行管理層以外的董事成員和高管成員及審計(jì)委員會(huì)組成IT治理風(fēng)險(xiǎn)監(jiān)督審核機(jī)構(gòu)，這樣就形成：由IT治理層負(fù)責(zé)制定決策標(biāo)準(zhǔn)，由監(jiān)督層負(fù)責(zé)對(duì)決策及執(zhí)行情況實(shí)施審核。

　　這樣，反觀IT治理結(jié)構(gòu)的構(gòu)成，我們就會(huì)發(fā)現(xiàn)，目前提倡的IT系統(tǒng)是“一把手”工程就存在問題了。若董事會(huì)主席、CEO作為IT治理層的“一把手”，那么，就會(huì)給決策監(jiān)督造成麻煩，由此推論，我們認(rèn)為在公司治理比較有成效的企業(yè)，應(yīng)該由負(fù)責(zé)業(yè)務(wù)運(yùn)作的副總裁和CIO組成IT治理結(jié)構(gòu)，而董事會(huì)主席、CEO應(yīng)直接領(lǐng)導(dǎo)IT決策監(jiān)督工作。