1.要掌握ＩＴ治理發(fā)展方向和新的研究領(lǐng)域

　　2003年，普華永道受ＩＳＡＣＡＩＴ治理協(xié)會(huì)的委托，對(duì)ＩＴ治理框架及其應(yīng)用進(jìn)行調(diào)查，旨在跟蹤并預(yù)測(cè)ＩＴ治理的發(fā)展趨勢(shì)及新的研究領(lǐng)域。2005年，普華再次接受ＩＴ治理協(xié)會(huì)的委托，從2005年7月開始，歷時(shí)4個(gè)月，完成了對(duì)四大洲內(nèi)695家組織的調(diào)查，獲得重要發(fā)現(xiàn)：

　?。?）ＩＴ對(duì)業(yè)務(wù)的重要性前所未有。被調(diào)查者中，87％認(rèn)為，ＩＴ對(duì)公司戰(zhàn)略和愿景的交付極為重要；63％的人說，ＩＴ定期或者總是出現(xiàn)在董事會(huì)議上。

　?。?）相比ＩＴ經(jīng)理，普通經(jīng)理對(duì)ＩＴ更積極。與ＩＴ經(jīng)理相比，普通經(jīng)理認(rèn)為ＩＴ更緊急、更重要。

　　此外，他們總體上對(duì)ＩＴ與業(yè)務(wù)戰(zhàn)略整合更關(guān)心。

　?。?）不同行業(yè)間存在極大的差異。談到ＩＴ治理，ＩＴ、電信和金融服務(wù)業(yè)做得比較好，而零售業(yè)和制造業(yè)就要差一些，這些結(jié)果與ＩＴ在這些行業(yè)中的戰(zhàn)略重要性是一致的。

　?。?）ＩＴ職員是最重要的ＩＴ相關(guān)問題?？紤]到這個(gè)問題的所有方面，比如事件發(fā)生的頻率、問題的嚴(yán)重性和未來的發(fā)展等等，ＩＴ職員似乎成為ＩＴ資源中最重要的問題。

　?。?）ＩＴ安全不是最重要的ＩＴ相關(guān)問題。當(dāng)把問題的所有方面都考慮在內(nèi)的時(shí)候，安全性（和符合性）名列最后。

　?。?）ＩＴ外包正在成為過去時(shí)。ＩＴ外包不再被視為解決ＩＴ問題最有效方式。隨著業(yè)務(wù)和ＩＴ的發(fā)展，人們?cè)絹碓揭庾R(shí)到，ＩＴ問題不能被外包，越來越多的人傾向于由自己內(nèi)部來控制有問題的系統(tǒng)。

　　（7）實(shí)施ＩＴ治理（和ＣＯＢＩＴ）不像原來設(shè)想那樣簡(jiǎn)單。事實(shí)證實(shí)以下2點(diǎn)：良好的ＩＴ治理實(shí)踐不是一蹴而就的，它的確需要時(shí)間和持續(xù)的努力；實(shí)施ＣＯＢＩＴ不是簡(jiǎn)單地照抄文檔，照搬它的條款來實(shí)施。相反，它是一個(gè)過程，這個(gè)過程包括選擇最合適的要素，根據(jù)需求量體裁衣，并將它們應(yīng)用于組織的特定需求。

　　2.ＩＴ治理風(fēng)險(xiǎn)審計(jì)的主體問題

　?。桑灾卫盹L(fēng)險(xiǎn)審計(jì)由誰來執(zhí)行呢？應(yīng)該說，不同體制、不同性質(zhì)的企業(yè)，執(zhí)行ＩＴ治理風(fēng)險(xiǎn)審計(jì)的主體是不同的。目前，就公司治理風(fēng)險(xiǎn)審計(jì)、ＩＴ治理風(fēng)險(xiǎn)審計(jì)主體應(yīng)如何構(gòu)成的研究在國(guó)際學(xué)術(shù)界基本上還是個(gè)空白。上市公司會(huì)計(jì)師執(zhí)行風(fēng)險(xiǎn)評(píng)估、控制測(cè)評(píng)和財(cái)務(wù)報(bào)告審計(jì)時(shí)，由于需要與公司治理層進(jìn)行溝通、對(duì)它的ＩＴ系統(tǒng)風(fēng)險(xiǎn)進(jìn)行測(cè)試，可能會(huì)對(duì)公司ＩＴ治理風(fēng)險(xiǎn)進(jìn)行一定程度的審計(jì)，但是，ＩＴ治理風(fēng)險(xiǎn)審計(jì)絕不是ＣＰＡ審計(jì)的核心任務(wù)。

　　由企業(yè)審計(jì)委員會(huì)和內(nèi)部審計(jì)組織執(zhí)行ＩＴ治理風(fēng)險(xiǎn)審計(jì)怎么樣？從結(jié)構(gòu)層次上看，讓審計(jì)委員會(huì)和內(nèi)部審計(jì)來監(jiān)督ＩＴ治理效果應(yīng)該說級(jí)別不夠，很難起到威懾和監(jiān)督效果。

　　我們認(rèn)為，在公司治理比較有成效的企業(yè)，可由獨(dú)立于ＩＴ治理委員會(huì)、執(zhí)行管理層以外的董事成員和高管成員及審計(jì)委員會(huì)組成ＩＴ治理風(fēng)險(xiǎn)監(jiān)督審核機(jī)構(gòu)，這樣就形成：由ＩＴ治理層負(fù)責(zé)制定決策標(biāo)準(zhǔn)，由監(jiān)督層負(fù)責(zé)對(duì)決策及執(zhí)行情況實(shí)施審核。

　　這樣，反觀ＩＴ治理結(jié)構(gòu)的構(gòu)成，我們就會(huì)發(fā)現(xiàn)，目前提倡的ＩＴ系統(tǒng)是“一把手”工程就存在問題了。若董事會(huì)主席、ＣＥＯ作為ＩＴ治理層的“一把手”，那么，就會(huì)給決策監(jiān)督造成麻煩，由此推論，我們認(rèn)為在公司治理比較有成效的企業(yè)，應(yīng)該由負(fù)責(zé)業(yè)務(wù)運(yùn)作的副總裁和ＣＩＯ組成ＩＴ治理結(jié)構(gòu)，而董事會(huì)主席、ＣＥＯ應(yīng)直接領(lǐng)導(dǎo)ＩＴ決策監(jiān)督工作。