要理解什么是IT审计以及未来发展，必须理解一些基本概念，管理，治理，IT管理和IT治理。

一、管理
假设有一个私人公司A，规模50人，年营业额5千万。这样的公司经营发展，老板最关心的是什么呢？是产品、生产、营销方面的竞争力，也就是说有好产品能够生产出来、以合理的价格卖出去并实现资金回笼、然后再生产，公司通过物流和资金流的不断循环增值，得到发展壮大。在这一阶段，公司面临的最大风险可能是产品、财务、市场、人员等风险。

为了公司的发展壮大，就要开发、生产、销售等各个方面的管理。公司的总体运作由老板（公司所有人）亲自指挥，带领手下一批得力干将。在这个阶段，公司管理很重要。

所谓管理，就是计划、组织、领导、监督四个职能的结合，即设定目标、安排人员、协调激励、监督考核。

二、治理

假若A公司经过5年的发展，规模扩张到员工5000人、遍布全国有十几家分公司，年销售额几个亿，还在上交所挂牌上市了，变成上市公司了。公司上市引入外来资本，所有权结构发生了改变，整个公司再也不是原来老板一个人说了算了。这时候谁说了算呢？新的公司有很多股东，只有几个大股东能够提名自己的代表，称为董事，成立了董事会。公司的大事情由董事会决议。董事会委任一个CEO，负责日常的经营管理。CEO对董事会考核，决定其薪酬待遇。这样看起来股东们很轻松了，坐在家里等分红就好了。但是实际不是，问题出现了。

1、 所有权结构变了，大股东和小股东存在利益冲突。原来股权结构非常简单，股东之间可能彼此都很信任。现在股东数量很多，而且可能经常变化。根据相对股权比例多少可以分为大股东和小股东两个利益集团。大股东占有公司控制权，拥有绝对的话语权。小股东相对弱势。如果大股东不厚道，就很容易侵犯小股东的利益，就像家里孩子多，力气大的就可能欺负力气小的。我们经常听说的什么关联公司利益输送、大股东把上市公司作为提款机等现象，背后往往就是这么一回事。

2、 所有权和经营权转移的分离，带来所有者和经营者的利益冲突。现阶段，虽然董事会是日常决策机构。但是公司的日常经营是由CEO（管理层）领导的。这就导致了所有权与经营权的分离。董事会和管理层之间构成了委托代理关系。委托方和代理方之间必然存在信息不对称。信息不对称可能导致道德风险和逆向选择。这就是为什么管理层可能会通过报表造价，粉饰业绩来得到高额的回报，或者为了片面追求自身利益违背董事会决议，诸如此类。

我们周围的上市公司丑闻不断，其实最根本的原因就是公司不同利益相关者的利益冲突、矛盾激化的结果。为了应对付这种情况，学者们就提出公司治理的概念。

所谓公司治理，是为了满足公司内不同利益相关者的利益诉求，将公司决策权、执行权、监督权进行分离，使利益相关者互相制衡，最终博弈各方达到均衡的一种制度安排。这和民主国家的三权分立的原理是一样的。公司治理的手段也是不断创新的，董事会、独立董事、审计委员会、股东大会、内部审计、外部审计等等都是公司治理的手段或者工具选择。

好了，现在可以总结一下治理和管理的区别了。

1) 管理主要强调的是“做正确的事”，即计划、组织、领导、监督。

2) 治理更多强调的是通过组织架构、权力分配等制度安排，来实现不同利益相关者之间的相互制衡。
这二者之间实质上并没有严格的边界。尤其是在大型上市公司中，治理与管理总是同时存在，互相促进，以实现股东利益的最大化。我们也可以理解为公司治理是公司发展到一定程度，对公司管理提出的新的要求。

三、IT管理
前面讲A公司从一个小公司，发展为一个大型上市公司的过程中，公司管理如何派生出公司治理。现在谈谈随着公司发展的不同阶段，IT及其管理如何演变。

A公司创业之初，也许就是老板带了几个伙计，开了一个门市部。每天老板去进货，找供货商讨价还价，门市部里面一个伙计负责零售，还雇了几个销售员专门去跑客户，拉关系做工程，会计和出纳工作基本上都是老板娘兼职做了。在这个阶段，所谓进货价格、销售价格、库存数量、人员工资、客户信息、应收帐款这些重要数据都在老板的脑袋里面装着。老板如果勤快一点，也许会做个笔记，这个阶段，我们可以看成手工管理阶段。公司里面连个懂电脑的人都没有，更别说程序员、DBA、网管了。这家公司基本上和IT不发生什么关系。

后来公司越做越大，开了好多个店面，销售的产品种类，客户数量、雇员数量、销售额都达到一定的规模了，比如说，每年有几千万的销售额了。这时候，老板的发现自己的脑子就有点不够用了，而且老板的钱也挣够了（完成原始积累了），就想公司的管理要正规一点。正好有个朋友是做MIS的，跟老板说公司的管理可以通过电脑来完成进行啊，不仅能够提高效率，还能够节省人力，降低成本。于是老板决定搞信息化。这个过程一般是这样的，财务部门管钱是最重要的，所以先买了一套会计电算化软件，比如金蝶或者用友，用了两年觉得真不错，会计作帐正规多了，而且每个月的报表都很及时，经营情况一目了然。吃到甜头的老板决定在公司内部推广经验，把库存和销售也通过电脑管理，所以上了一套进销存。公司为了加强企业形象建设，还开发了一个网站。

再后来公司不断发展，更加有钱了，要国际化，管理上要向世界巨头看齐了。什么CRM、 ERP、SCM、电子商务全见过世面了。于是公司就花了很多钱，聘请了某海外的著名咨询公司上了一套ERP，例如SAP/ORACLE，什么财务集中、制造、库存、销售、HR统统拿来，连看门的门卫面前都摆了电脑，为啥？要考勤，和HR数据库相连。公司成立了一个信息中心了，养了一帮程序员、网管、DBA。

在这个阶段，公司的很多部门工作都开始依赖电脑工作了，所有人都觉得电脑是个好东西了，用某个大人物的话说，电脑开始和水、阳关、空气一样不可或缺了。

但是慢慢的问题又来了，例如：

1、三天两头的病毒发作；

2、发现有员工把公司自己开发的软件偷偷拷贝出去卖钱；

3、网络时好时坏；

4、开发的软件偶尔会算错帐；

5、员工跳槽后，公司系统没有人维护。

6、会计系统硬盘坏了，丢掉一个月的财务数据，如此之类。

老板也认识到这个问题的重要性，不敢等闲视之。于是决定加强IT管理。于是高薪聘请了一个海龟，任命为CIO，享受副总待遇。制定并执行了一系列管理制度，例如实行电脑标准安装、用户管理制度、信息安全制度、数据备份、病毒防护制度、人员考核制度、系统开发和测试标准、设备采购制度、问题管理流程、重大故障应急处理流程等等。这些就是IT管理手段。

这样过了一段时间，公司的IT运行果然逐渐稳定起来了。业务部门的满意度比以前提高了很多。老板以为这下子觉得可以松一口气了.

四、IT治理
又过了很久，老板注意到新的问题又出来了。公司IT部门势力扩展很厉害，有好几百人，掌握公司所有的IT资源。由于每个业务部门都必须依靠IT才能够开展工作，IT部门通过技术手段逐渐凌驾与各业务部门之上，在公司内部处在很强势的地位。逐渐影响到公司的决策以及执行。例如：

1、IT投资管理，CIO宣称今后的预算必须大幅度增加以满足系统建设需要（投资黑洞，black hole），而实际上投资收益并不理想。

2、IT权力过大，对业务部门指手画脚（IT暴君 tyrant）。

3、对所有用户的意见开始不以为然，对IT服务质量也没有以前重视了。

4、IT战略制定，由于IT的专业性特征，管理层很难对IT的发展战略进行规划，IT发展与公司总体战略很难协调，影响公司战略执行。

这个问题并不是A公司独有的，很多公司信息化发展到一定程度都会遇到这样的问题，困扰了很多管理者。于是很多学者开始研究这一现象并提出各种对策。其中一个研究成果就是IT治理。这个方面最有影响的是MIT一个教授，然后就是ISACA下面的ITG研究院了。如同前面对公司治理概念的讨论，IT治理更多强调的也是组织架构和制度安排，以对IT进行制衡。

比较典型的治理手段包括：

1、成立IT委员会研究IT战略和重大决策；

2、设立IT审计职能部门，负责对IT部门的尽职情况进行独立审计，向管理层报告；

3、对IT部门进行重组，（大概可以分为集中管理、联邦式、分布式、混合式）。

好了，我们现在可以再来总结一下IT管理和IT治理的关系了。

1、IT管理是通过管理手段，来保证IT部门“做正确的事情”，如提高服务质量、提高系统的可用性、保证信息安全等。既然是管理，其基本内容还是组织、计划、领导、监督。

2、IT治理并不是要替代IT管理工作，IT治理的目的是通过组织架构和制度安排，来对IT部门进行制衡，促进IT更好的完成工作，其最终目标是保证组织目标的完成。

五、IT审计

在谈IT治理的时候，引出了IT审计的概念，认为IT审计（包括内审、外审）是IT治理的手段之一，是实现公司内部IT有关的权力、职责、利益分配制衡的工具之一。这个是IT审计在现代公司存在的地位和意义。如果大家熟悉审计学理论的话，这一点就应该很容易理解。IT审计也可以认为是管理层与IT部门的委托代理关系背景下产生的，接受管理层委托来对IT部门进行监督评价，或者按照CIA新的定义，提供增值化的咨询服务。

这样一说，很多长期受IT压迫的兄弟开心了：在公司受了IT这么多年的气，今天终于风水轮流转，也有人来收拾你们了！

其实任何一个职业的出现和发展，最终是由市场决定的。市场决定的手段无非是通过以下几个因素：

1. 需求， IT审计已经被定位为IT治理的重要手段和工具了。从目前的现状来看，需求的规模相当可观。

2. 供给，供给的问题实际上就是IT审计的从业者能否提供高质量的审计服务，涉及到IT审计从业者的胜任问题。这个问题是我觉得很难回答的一个问题，以后有机会单独讨论。

3. 成本，成本应该是价格的基础，可能和IT审计的期望待遇有关。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/178883/viewspace-16805/，如需转载，请注明出处，否则将追究法律责任。