在PCAOB（美國公眾會計監(jiān)管委員會）審計標(biāo)準(zhǔn)Ⅱ中也特別指出，IT控制設(shè)計很重要，不可低估控制設(shè)計在整個IT控制環(huán)境中的重要性，并強(qiáng)調(diào)IT控制能有力地支持整個內(nèi)部控制環(huán)境。該標(biāo)準(zhǔn)又進(jìn)一步指出：公司整體內(nèi)部控制系統(tǒng)的有效性依賴于“其他控制是否有效”（指的是控制環(huán)境或IT一般控制的有效性）。 因此，理解IT控制與IT控制體系設(shè)計的相關(guān)理念，成為企業(yè)必備的重要能力。

　　首先，我們定義IT控制是由期望達(dá)到的（IT控制目標(biāo)）和達(dá)到這些目標(biāo)的方法（控制程序）構(gòu)成。IT控制目標(biāo)是指通過對具體的IT活動實施控制程序，以達(dá)到期望結(jié)果或目的的總體描述。可見，事實上，有效的IT控制設(shè)計與實施指明了一個組織將信息技術(shù)條件下的風(fēng)險降至可接受水平的途徑。這里IT風(fēng)險指的是IT使企業(yè)不能實現(xiàn)其經(jīng)營目標(biāo)的風(fēng)險。

　　然后，我們從人員職責(zé)、IT控制的構(gòu)成和IT控制對象這三個角度來理解IT控制的外延：

　　1.從人員職責(zé)角度看：首先是以下三類人員的職責(zé)：

　　?管理層——主要職責(zé)是確保控制存在并有效運行，為運營目標(biāo)和控制目標(biāo)的實現(xiàn)提供合理保證；

　　?低層管理者與員工——主要職責(zé)是執(zhí)行控制；

　　?審計師——主要職責(zé)是對控制的正確性進(jìn)行評估、提供改進(jìn)建議及保證聲明。

　　2.從IT控制的構(gòu)成角度看：IT控制包括IT控制環(huán)境、IT一般控制、IT應(yīng)用控制。

　　3.從IT控制對象與范圍看：IT控制對象包括企業(yè)IT生命周期的所有流程。

　　實現(xiàn)IT控制，中國企業(yè)需要應(yīng)對三大挑戰(zhàn)

　　國內(nèi)企業(yè)信息化建設(shè)速度越來越快，信息化水平越來越高，業(yè)務(wù)與財務(wù)報告流程對IT的依賴程度也隨之越來越高。對大多數(shù)企業(yè)而言，運用整合的ERP系統(tǒng)，或綜合運用各種經(jīng)營管理、財務(wù)管理方面的軟件，已經(jīng)成為財務(wù)報告系統(tǒng)強(qiáng)有力的支持。

　　隨著薩班斯法案的出臺，財務(wù)報告的內(nèi)部控制幾乎離不開IT控制，即使業(yè)務(wù)層面的管理控制也是IT支撐環(huán)境下的控制。但是，信息技術(shù)是一把雙刃劍，其潛在風(fēng)險也越來越大，企業(yè)在建立有效的IT控制，以保證財務(wù)報告的有效性方面正面臨著巨大的挑戰(zhàn)。

　　但是，目前國內(nèi)企業(yè)的內(nèi)部控制體系多為傳統(tǒng)的會計控制及管理控制，對IT控制缺少系統(tǒng)的考慮，企業(yè)的IT控制面臨三大挑戰(zhàn)。

　　挑戰(zhàn)之一：CIO缺乏內(nèi)部控制理論與實踐。

　　以薩班斯法案的要求來說明，404條款的遵照執(zhí)行有四個階段：1.公司應(yīng)制定內(nèi)部控制詳細(xì)目錄，確定內(nèi)部控制是否足夠，然后將這些控制與諸如COSO之類的內(nèi)部控制框架進(jìn)行對照； 2.公司被要求記錄控制措施評估方式，以及未來將用來彌補(bǔ)控制缺陷的政策和流程（如果有的話）; 3.公司必須進(jìn)行測試工作，以確保控制措施和補(bǔ)救手段起到預(yù)期作用； 4.管理層必須將前述三個階段的各項活動情況匯總成一份正式的評估報告。

　　法案的要求使很多人認(rèn)為，IT專業(yè)人士應(yīng)該對其負(fù)責(zé)的IT系統(tǒng)所產(chǎn)生的信息質(zhì)量及完整性負(fù)責(zé)，但問題在于，大多數(shù)IT專業(yè)人士對復(fù)雜的內(nèi)部控制并不精通或了解，因此難負(fù)其責(zé)。盡管不能說IT人員沒有參與風(fēng)險管理，但至少IT管理層沒有按照管理層或?qū)徲嫀熕蟮男问竭M(jìn)行正式的、規(guī)范化的風(fēng)險管理。CIO（首席信息官）們現(xiàn)在到了不得不補(bǔ)課的時候了，當(dāng)務(wù)之急是補(bǔ)充有關(guān)內(nèi)部控制方面的知識，理解企業(yè)所制定的SOX遵循計劃，才能專門針對IT控制擬定一個遵循執(zhí)行計劃，并把這個計劃與總體的SOX遵循計劃相整合。

　　挑戰(zhàn)之二：缺乏系統(tǒng)的IT控制體系

　　事實上，每個企業(yè)或多或少都有一些IT控制制度，很多企業(yè)錯誤地把這些靜態(tài)的控制制度等同于控制體系。現(xiàn)在越來越多的人認(rèn)識到，我們需要的是“發(fā)現(xiàn)問題，解決問題；發(fā)現(xiàn)新問題，解決新問題”的持續(xù)改進(jìn)體系。同時鑒于第一點原因，這些制度基本是由技術(shù)管理者制定，他們?nèi)狈σ?guī)范化風(fēng)險管理的經(jīng)驗，這些IT控制制度可能不太規(guī)范且不成體系，控制程序也不夠完善。IT控制制度一般存在于系統(tǒng)安全和變更管理等一般控制領(lǐng)域，缺乏從公司透明度角度出發(fā)、結(jié)合支持業(yè)務(wù)戰(zhàn)略和業(yè)務(wù)流程的完整內(nèi)部控制體系。

　　挑戰(zhàn)之三：現(xiàn)有IT控制體系不具有可審計性

　　薩班斯法案相關(guān)的條款要求上市公司必須有足夠的證據(jù)證明內(nèi)部控制的有效性，這就要求企業(yè)必須有完善的內(nèi)部控制流程及審計軌跡，在控制發(fā)揮作用的同時生成相應(yīng)的文檔記錄，以便在對內(nèi)部控制設(shè)計及運行的有效性進(jìn)行評價時有足夠的證據(jù)。

　　我國企業(yè)的IT控制程序設(shè)計及運行不具備可審計性。盡管很多企業(yè)有龐雜的規(guī)章制度，但該體系的完整性、有效性以及遵照執(zhí)行情況缺少評價，或沒有證據(jù)進(jìn)行評價。

　　因此，我們構(gòu)建IT控制系統(tǒng)時必須從全局著眼，借鑒國際內(nèi)部控制框架及國際最佳實踐經(jīng)驗，構(gòu)建一套系統(tǒng)化、標(biāo)準(zhǔn)化、可審計、可持續(xù)改進(jìn)的IT控制體系。

　　構(gòu)建有效而持續(xù)的IT控制需要正確的理念、適合的內(nèi)控框架和評估機(jī)制

　　對于企業(yè)，我們認(rèn)為在構(gòu)建IT控制體系時，需要從三個層面來考慮才能保證IT控制的有效性和持續(xù)性。為了更好地說明，筆者將以如何設(shè)計符合薩班斯法案要求的內(nèi)部控制為例，來展示構(gòu)建IT控制體系的主要思路，以供參考。

　　1. 要認(rèn)識到構(gòu)建IT控制體系是一個循序漸進(jìn)的過程

　　SEC管制條款內(nèi)容復(fù)雜，為了滿足薩班斯法案的要求，大多數(shù)企業(yè)需要調(diào)整其員工觀念和企業(yè)文化，通常也需要對IT系統(tǒng)及其處理流程作一些改進(jìn)。改進(jìn)的內(nèi)容包括控制設(shè)計、控制文件、控制文件的保留，以及IT控制的評估等方面。這是一個循序漸進(jìn)的過程，不能將原有的一切推倒重來。鑒于在美上市的中國企業(yè)多為國有企業(yè)，這些企業(yè)的規(guī)章制度普遍較為健全，所以對于它們而言，更為重要的是如何根據(jù)內(nèi)部控制的理念和原則，結(jié)合企業(yè)的實際情況，對不符合薩班斯法案404條款的各項差距進(jìn)行分析、彌補(bǔ)、測試和改進(jìn)。這項工作的順利開展需要企業(yè)人員具備相應(yīng)的理論知識和實踐經(jīng)驗，因此，IT控制和風(fēng)險管理培訓(xùn)就成為貫穿始終、必不可少的一項重要工作。

　　2. 要選擇好內(nèi)部控制框架

　　法案并沒有規(guī)定公司必須選擇什么樣的內(nèi)控框架作為管理層評價內(nèi)部控制有效性的依據(jù)， 需要企業(yè)自己選擇。國際上比較有名的內(nèi)控框架有英國的Turnbull、美國的COSO 和加拿大的CoCo , 它們從不同的角度剖析公司的經(jīng)營管理活動， 為營造良好的內(nèi)控框架提供了一系列政策和建議。PCAOB審計標(biāo)準(zhǔn)Ⅱ在“管理層用于開展其評估的內(nèi)部控制框架”一節(jié)中，明確管理層要依據(jù)一個適當(dāng)且公認(rèn)的、由專家遵照應(yīng)有程序制定的控制框架，來評估公司財務(wù)報告內(nèi)部控制的有效性，SEC也從側(cè)面認(rèn)可COSO框架。COSO 認(rèn)為，內(nèi)部控制是由企業(yè)董事會、經(jīng)理層和其他員工，為合理保證實現(xiàn)企業(yè)營運的效率及效果、財務(wù)報告的可靠性及合法合規(guī)等目標(biāo)而實施的一系列過程。內(nèi)控框架的構(gòu)成要素包括控制環(huán)境、風(fēng)險評估、控制活動、信息和溝通、監(jiān)督五個方面。這套理論得到了包括SEC、公司管理者、投資者、債權(quán)人及專家學(xué)者的普遍認(rèn)可， 國外許多公司都依據(jù)這個框架建立了內(nèi)控系統(tǒng)。我國公司也可以按COSO 建立內(nèi)控框架， 逐步與國際管理模式接軌。通過引入COSO 內(nèi)控要素， 形成一個相互聯(lián)系、綜合作用的控制整體， 使單純的控制活動與企業(yè)環(huán)境、管理目標(biāo)及控制風(fēng)險相結(jié)合， 形成一套不斷改進(jìn)、自我完善的內(nèi)控機(jī)制。

　　盡管COSO正在成為理解和評價內(nèi)部控制的全球性框架。但是，COSO不是唯一的控制框架，在有些情形下甚至可能不是最好的或最易于使用的框架，尤其是在COSO框架中沒有考慮到對IT控制目標(biāo)和相關(guān)控制活動的具體要求。目前，COBIT（信息系統(tǒng)和技術(shù)控制目標(biāo)，Control Objectives for Information and related Technology）正在成為更好地理解信息技術(shù)環(huán)境下內(nèi)部控制的國際公認(rèn)框架，該框架由美國IT治理研究所（ITGI）發(fā)布，是一個IT風(fēng)險管理與IT控制的綜合性分析框架，由覆蓋信息化生命周期的4個域、34個IT控制目標(biāo)、318個詳細(xì)控制目標(biāo)組成。COBIT也涉及企業(yè)經(jīng)營、合法合規(guī)等方面的控制。因此，該框架可作為制定IT控制目標(biāo)、審計、管理和執(zhí)行方針的依據(jù)。COBIT不是COSO框架的替代品，而是COSO框架的有力補(bǔ)充，這是因為在信息技術(shù)條件下，管理層、IT人員、審計師都需要理解和記錄IT相關(guān)流程、流程中資源利用情況，以及支持這些流程的控制。

　　尤其是那些信息資產(chǎn)密集型或高度依賴于自動化處理的企業(yè)，理解和評估信息技術(shù)條件下的內(nèi)部控制是一項巨大的挑戰(zhàn)，但也是實現(xiàn)薩班斯合規(guī)性的關(guān)鍵之處。COBIT對評估這種環(huán)境下的內(nèi)部控制會特別有效，COBIT的全部控制目標(biāo)為審計人員尋求實施薩班斯法案404條款內(nèi)部控制評審提供了強(qiáng)大的支持。不過對于初涉COBIT框架的人來說，其龐雜體系令人望而卻步，其指南分散在有很多圖表構(gòu)成的多卷本中。并且，COBIT自1996年問世以來，在很長的一段時間里，許多審計人員單純地將COBIT看作是專門的信息系統(tǒng)審計工具，認(rèn)為它對其他審計工作幫助不大。我們認(rèn)為，雖然COBIT的重點仍然在于IT，但是所有的相關(guān)人員包括審計人員都要研究COBIT框架，并將它作為一款優(yōu)秀的控制框架，用于幫助實現(xiàn)薩班斯法案的合規(guī)性要求。 

　　整合運用COBIT與COSO作為構(gòu)建IT控制的框架，是將兩種國際公認(rèn)框架進(jìn)行優(yōu)勢互補(bǔ)。同時在確定控制點、控制程序、留下相應(yīng)審計軌跡時，也可以參考IT運營、信息安全方面可審計的國際標(biāo)準(zhǔn)管理控制體系ISO20000、ISO17799等。

　　3. 建立一套自評估機(jī)制，確保內(nèi)部控制系統(tǒng)的持續(xù)有效

　　眾所周知， 企業(yè)的發(fā)展階段、和管理狀況以及外部環(huán)境的變化都是決定企業(yè)內(nèi)控體系建立和有效運行的前提。任何內(nèi)控體系都只是在一個特定的歷史階段有效。法案要求管理層每年都要對內(nèi)部控制有效性做出聲明，這也迫使公司必須建立一套控制自評估機(jī)制，評估內(nèi)部控制體系設(shè)計、執(zhí)行是否有效，以支持管理層的聲明。同時，自評估機(jī)制也可以幫助公司發(fā)現(xiàn)控制薄弱區(qū)和控制漏洞，及時審時度勢，彌補(bǔ)內(nèi)控體系的缺陷，確保內(nèi)控體系持續(xù)有效。這也正是薩班斯法案所要求的。

　　控制自我評估（CSA）是指企業(yè)內(nèi)部為實現(xiàn)目標(biāo)、控制風(fēng)險而對內(nèi)部控制系統(tǒng)的有效性和恰當(dāng)性實施自我評估的一種方法。國際內(nèi)部審計師協(xié)會（IIA）在1996年研究報告中總結(jié)了CSA的三個基本特征：關(guān)注業(yè)務(wù)的過程和控制的成效；由管理部門和職員共同進(jìn)行；用結(jié)構(gòu)化的方法開展自我評估。CSA最早出現(xiàn)在20世紀(jì)80年代末期，但其最主要的發(fā)展是在90年代，特別是在1992年COSO報告公布之后。COSO報告首次把內(nèi)部控制從原來自上而下財務(wù)模式的平面結(jié)構(gòu)發(fā)展為更全面的企業(yè)整體模式的立體框架。傳統(tǒng)的內(nèi)控評價方法只能用來評價諸如財務(wù)報告，資產(chǎn)與記錄的接觸、使用與傳遞，授權(quán)授信，崗位分離，數(shù)據(jù)處理與信息傳遞等的“硬控制”。在新的內(nèi)部控制模式下，迫切需要評價包括公司治理、高層經(jīng)營理念與管理風(fēng)格、職業(yè)道德、誠實品質(zhì)、勝任能力、風(fēng)險評估等的“軟控制”。在這種情況下，作為一種既可以用來評價傳統(tǒng)的硬控制，又可以用來評價非正式控制即軟控制的機(jī)制，CSA得到了普遍的信賴。

　　自評人員首先選擇要評審的內(nèi)控流程， 然后對其設(shè)計的健全、合理性進(jìn)行評價， 如果設(shè)計合理， 則測試其運行的有效性， 最后進(jìn)行綜合設(shè)計測試和運行測試， 評價內(nèi)控系統(tǒng)設(shè)計的合理性和運行的有效性。如果設(shè)計測試結(jié)果為不合理， 則直接進(jìn)行內(nèi)控系統(tǒng)的評價， 而不再進(jìn)行運行的有效性測試。　

　　內(nèi)控系統(tǒng)設(shè)計測試是指為了確定被審計單位內(nèi)控政策和程序設(shè)計合理、恰當(dāng)和完善進(jìn)行的測試。合理的標(biāo)準(zhǔn)即控制設(shè)計與目標(biāo)相關(guān)、恰當(dāng)和完善， 能有效保證信息的機(jī)密性、完整性和可用性。運行有效性測試是指為了確定被審計單位的內(nèi)控政策和程序在實際工作中是否得到貫徹執(zhí)行， 并發(fā)揮應(yīng)有的作用而進(jìn)行的測試。執(zhí)行有效的標(biāo)準(zhǔn)即內(nèi)控政策和程序在實際工作中得到了貫徹執(zhí)行并發(fā)揮了應(yīng)有的作用。

　　為了評估企業(yè)內(nèi)部控制水平，指導(dǎo)企業(yè)進(jìn)行差距分析并確定改進(jìn)目標(biāo)，建議企業(yè)借鑒成熟度理論，描述企業(yè)IT控制有效性的各種等級。

　　Level 1 –不可靠級 不可預(yù)知的環(huán)境，在這種環(huán)境中，控制活動沒有設(shè)計或不適當(dāng)；

　　Level 2 –不正式級 控制與披露活動已設(shè)計并適當(dāng)，但沒有充分記錄。控制更大程度上依賴于人，沒有正式的控制活動培訓(xùn)與溝通；

　　Level 3 –標(biāo)準(zhǔn)級 控制活動已被設(shè)計并適當(dāng)，控制活動已被記錄并在員工之間進(jìn)行了溝通。控制活動的偏離可能不被發(fā)現(xiàn)；

　　Level 4 –監(jiān)控級 標(biāo)準(zhǔn)化的控制，有定期的有效性測試并向管理層報告，有限的利用自動化工具支持控制活動；

　　Level 5 –優(yōu)化級 一個整合的內(nèi)部控制框架和實時的管理層監(jiān)控與持續(xù)改善 （全面風(fēng)險管理），運用自動化工具支持控制活動，也許組織在需要的時候?qū)刂苹顒舆M(jìn)行快速變更。

　　就某個內(nèi)部控制目標(biāo)而言，一些企業(yè)可能愿意接受等級不高于3的IT控制。考慮到薩班斯法案 “外部審計師應(yīng)就控制出具獨立的鑒證”這一要求，審計師對一些關(guān)鍵控制活動的有效性水平不能低于3級。

　　自評估的各種控制測試評價，有助于企業(yè)監(jiān)控完善企業(yè)內(nèi)部控制，也有助于管理者對內(nèi)部控制有效性做出一個明確的評定，并最終以報告書的形式對外呈現(xiàn)，用以表明IT控制系統(tǒng)總體的可靠性及完整性。控制不是一件簡單的事情，而是一個過程，需要對其不斷地評估和改進(jìn)，以符合當(dāng)前經(jīng)營的實際需要。這也必將成為IT部門組織文化的一個部分。

　　內(nèi)部控制由于成本限制，本身有一定的局限性，只能合理保證實現(xiàn)企業(yè)的經(jīng)營效果、效率，實現(xiàn)合法合規(guī)目標(biāo)以及財務(wù)報告的真實性。因此構(gòu)建IT控制要在發(fā)現(xiàn)評估的基礎(chǔ)上，做好風(fēng)險與控制成本之間的平衡。（作者系同濟(jì)大學(xué)經(jīng)濟(jì)管理學(xué)院管理學(xué)博士）