从公司管理到IT审计（原创）

fangbob

景仰呀

douzhiyong

楼主总结的深入浅出，通俗易懂啊！楼主治大国如烹小鲜，看得出是业内资深人士，想与楼主深入交流学习
研究IT治理，首先要搞清的问题就是管理与治理、IT管理与IT治理的区别.
两年前写硕士论文就是IT治理相关的，也是基于MIT的peter well教授的IT治理理论，结合银行业做了些深入研究。
对于IT治理，学术界还有很多的不同认识，行业中经常提到的ITIL、COBIT等等的，其实只能算是管理上的问题，治理上其实主要说的还是所有权与经营权的问题，套用公司治理的定义，IT治理也就是组织内IT资产的所有权与经营权问题。楼主说的经济学问题，应该就是委托代理关系了。

我的邮箱：douzhiyong@163.com

sagittarius1

学习学习

cisamaqing

LZ目前忙于做IT Audit项目,比较忙碌,不过还是希望继续这个话题.

jerryhero

楼上的总结不错 但有些官腔  呵    开个玩笑

楼主写的很好

johnzw

原帖由 dctems 于 2007-10-1 09:55 发表
经济学，学过的，也很感兴趣，楼主有卖关子之嫌！我用一个行业来类比也谈谈.

IT审计机制的产生，很类似于建筑行业的监理，一个项目，一般涉及承包设计方、施工方、监理方、材料供应商等。在这个系统中，监理公司不能有双重职能，也就是不能同时是施工方，也不能同时是材料供应商，否则监理机制就会立即失效，但是正是这种看似有效的监理机制在现实生活中却没有生效，监理公司对工程的质量不能起到决定性的作用，所以很多建筑或者桥梁还是偷工减料、建成后坍塌的也不少。这种监理机制的失效至少是因为违背了市场经济中的利润最大化原则，任何公司都是要追求利益的，监理公司这个不能做那个也不能做，只做监理怎么赚大钱呢？为了做大做强，它肯定会和其他各方进行勾结，从中捞好处，于是监理机制就失效了。当然我们还是看到很多有很多优秀成功的建筑项目，但这种项目的质量并不是监理公司发挥了重要作用，而是项目资金充分，大家都能拿到丰厚的收入，于是事情还是能够办好，但是这些都是些代价昂贵的成功,是以耗尽财政资金为代价的，其实不是真正的成功。
IT审计部门怎么生存，是一个问题，如果审计和IT部门是对立的，那么IT部门完全可以制造各种障碍让审计员无法实施有效的审计，就像会计做假账一样，其实很多的公司的会计报表都是假的，你审计得过来吗，如果要实施有效的审计那必须上级动真格亲自出马督导，将付出沉重的代价，审计的可行性大大降低，否则为什么不审计各个公司每期的财务报表而只要求公开披露呢？如果审计员和IT部门妥协或者勾结，那么审计机制也立即失效。对于外部审计来说，走形式的可能性更大，外部审计肯定会考虑自己的好处，它不会去得罪IT部门。

这位朋友的见解也很不错，直接从宏观角度去刨析职能部门间的作用和反作用。有这样的风险意识是对的，但是这个风险很难解决，这是人类社会的基本风险元素，人的情感和思维。我们不能消除这个风险，那么我们最好接受，然后来看看cost/benefit，目前IT审计的兴起也就不到10年，也许过20年后，会有答案。

楼主引出这个问题，的确很好，从high-level来看IT gov的确是正确的，但是结论还没有，需要大家多多讨论。这是一个思维方式的锻炼。

gotulip

受益非浅

glen_sir

敬个礼吧。

pxhpxh@21cn.com

收获不小，我们为你加油！

mygod2013

很有深度。两个字：佩服；三个字：很佩服。