但是，有时候CIO的某些做法也是“迫不得已”，因为他们要考虑到业务的灵活性，必须对系统做一些临时的改动，即便这样的改动是存在风险的。
　　
　　CIOI:在发现IT风险方面，IT审计师的工作确实是CIO工作很好的补充，这是否可以认为是IT审计受到重视的一个重要原因？
　　
　　王东红：目前将IT看成是业务的一部分已经成为一种共识。企业对IT系统的依赖程度不断加强的同时，IT系统正面临不断增多的各种各样的威胁。在全球加强行业监管和内部控制的趋势中，IT越来越充当重要角色，IT不仅要为业务的风险控制提供保障环境，而且其自身的风险控制也备受关注。IT风险也随之成为业务风险的一部分。
　　
　　因此，IT审计之所以受到越来越多企业的重视，正是出于业务稳定性和IT风险方面的考虑。在应对IT风险方面，IT审计的重要性包括两个层面：第一是预防风险，IT审计可以帮助企业识别并预防支撑业务的IT系统存在的风险，也可以帮助企业审核IT系统对外部法规的遵从性，从而避免来自外部法规监管可能存在的风险等。第二是帮助改进，特别是内审，不仅要发现风险，还要配合CIO针对审计中发现的风险进行有效管理，把风险防范做得更好。
　　
　　那么总体来看，CIO是否已经对IT审计的这些重要性有了足够认识？朱永明：业务对IT的依赖越来越大，由于IT本身的复杂性以及IT部门人员的工作特点，导致的IT风险越来越大。如果没有一些审计机制的建立，业务上将会受到重大影响。虽然我们是公司内部人员，但是，我还是能够比较深刻地感受到，CIO和IT部门对IT审计比较普遍地存在着这样的认识——他们认为IT审计人员不懂IT部门的业务和技术，完全是外行，因此对IT审计消极对待，这样他们自然也就无法理解IT审计工作的意义以及在组织中的重要作用了。
　　
　　王东红：我们作为“外来的和尚”对这方面的感受更深，CIO对于IT审计还有一种比较普遍的偏见——认为IT审计就是对IT部门的工作挑毛病，所以很多人对此比较抵触。不仅是对外部IT审计，甚至就像朱永明所说的，有些CIO对内部IT审计也抱着同样的态度。
　　
　　CIOI:朱永明、王东红提到的CIO以及IT部门对IT审计人员的误解，王浩，这种情况在你们那里是否也多多少少存在？

　　王浩：举个例子。给我们这次做IT审计的一些审计师也是刚毕业的大学生或者研究生，他们对IT部门的业务和技术确实了解不多。
　　
　　不过，这并不会对审计的结果产生太大影响，因为IT审计有严格的流程和标准，这些审计师只要按照流程一步步走下来就可以了。王浩说的这种情况是否也存在？
　　
　　王东红：这是一个更深层次的问题——目前国内的大部分IT审计师是否已经有足够能力胜任IT审计工作呢？我觉得还远远不够。严格意义上来讲，IT审计师应该需要有多方面的知识储备，不仅要懂IT、懂财务，还要懂审计、懂内控。就拿IT来讲，规划、开发、建设、运维等全生命周期的知识，IT审计师都应该具备。
　　
　　但是，目前在国内这样的复合型人才确实非常稀缺。要弥补这种人才短缺，有几种方法，一是依靠团队的力量，每个IT审计师只负责一块任务，比如专门对ERP进行审计、专门对安全进行审计等；第二要有规范的流程，这也是刚刚王浩提到的，这样可以弥补审计师的个人素质不足。
　　
　　CIOI:刚刚谈到一些CIO会认为IT审计是在“挑毛病”，我很想问问王浩，你也有这样的感觉吗？
　　
　　王浩：经历过上次的IT审计之后，我一直在不断地补充IT审计相关的知识，也看了一些书，对IT审计确实有了更深刻的认识。所以我并不认为IT审计是“挑毛病”。我倒是觉得IT审计是好事情，因为经过一次审计，肯定会知道哪些地方存在不足，还需要改进，这对IT部门的工作开展是有帮助的。
　　
　　之所以有些CIO对IT审计有误解，我觉得可能还是他们对IT审计接触得比较少。我们在做IT审计之前，咨询了很多企业的IT主管，除了金融行业外，其他的基本上都没有接触过IT审计，所以有偏见也属正常。