IT治理側(cè)重于宏觀決策方面的指導(dǎo)，告訴人們：要做哪些事，由誰(shuí)來(lái)做這些事，以及如何建立決策機(jī)制、如何進(jìn)行有效監(jiān)控等明確的目標(biāo)。IT治理為組織建立一個(gè)長(zhǎng)效均衡的治理結(jié)構(gòu)，在風(fēng)險(xiǎn)可控的環(huán)境下保證組織獲益。均衡的環(huán)境在滿足組織外部約束的同時(shí)需要考慮如何降低成本、提高股東收益、滿足客戶要求以及建立良好的社會(huì)形象等條件。

        IT控制是什么？

        IT控制就是在這樣的治理結(jié)構(gòu)下，為實(shí)現(xiàn)組織的目標(biāo)提供合理保證而實(shí)施的一系列政策和程序，內(nèi)部控制是一個(gè)持續(xù)的過(guò)程，為了保證組織經(jīng)營(yíng)的效率和效果、財(cái)務(wù)報(bào)告的可靠性以及對(duì)有關(guān)法律和規(guī)章制度的遵循等情況下評(píng)估風(fēng)險(xiǎn)并設(shè)計(jì)、實(shí)施和持續(xù)監(jiān)督控制措施。可以看出IT控制的主要目的是建立一個(gè)可持續(xù)監(jiān)控的控制環(huán)境使組織風(fēng)險(xiǎn)可識(shí)別、可控、可管理。

        IT審計(jì)是什么？

        IT審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)的過(guò)程，主要目標(biāo)就是對(duì)組織實(shí)施的風(fēng)險(xiǎn)管理環(huán)境和控制環(huán)境的保證措施進(jìn)行識(shí)別和評(píng)估，判斷管理層關(guān)于控制的聲明是否是可靠的，所以審計(jì)必須保持其獨(dú)立性，以第三方客觀的立場(chǎng)進(jìn)行檢查和評(píng)價(jià)。

        三者之間的關(guān)系

        從以上論述可以看出，IT治理、IT控制以及IT審計(jì)之間既有聯(lián)系又有區(qū)別。分析來(lái)看，關(guān)注點(diǎn)是相同的，立場(chǎng)是不同。

        共同的關(guān)注點(diǎn)在于風(fēng)險(xiǎn)與保證。風(fēng)險(xiǎn)管理的主要目標(biāo)是為了保證組織經(jīng)營(yíng)的效率和效果、財(cái)務(wù)報(bào)告的可靠性以及對(duì)有關(guān)法律和規(guī)章制度的遵循。保證，主要來(lái)自一系列相互依存的控制政策與程序，以及評(píng)價(jià)控制有效性的證據(jù)，這些證據(jù)可以證明控制是連續(xù)和充分的。

        IT 治理、IT控制與IT審計(jì)之間的關(guān)系

        IT治理要明確目標(biāo)與方向，為IT控制環(huán)境與活動(dòng)設(shè)定明確的目標(biāo)。

        IT控制要建立一個(gè)完整的，具有彈性的內(nèi)部控制體系，應(yīng)對(duì)組織面臨地各種風(fēng)險(xiǎn)挑戰(zhàn)和意外事件。

        IT審計(jì)是獲取與IT控制和保證措施相關(guān)的證據(jù)，評(píng)估IT控制的有效性、評(píng)價(jià)IT績(jī)效及IT戰(zhàn)略與業(yè)務(wù)目標(biāo)的符合程度。

        IT治理必須在風(fēng)險(xiǎn)與利益之間找到均衡，通過(guò)IT審計(jì)不斷促進(jìn)調(diào)整IT控制環(huán)境，使組織在風(fēng)險(xiǎn)可識(shí)別、可控、可管理的環(huán)境下保證組織利益最大化。