在PCAOB（美國公眾會計監(jiān)管委員會）審計標準Ⅱ中也特別指出，IT控制設計很重要，不可低估控制設計在整個IT控制環(huán)境中的重要性，并強調(diào)IT控制能有力地支持整個內(nèi)部控制環(huán)境。該標準又進一步指出：公司整體內(nèi)部控制系統(tǒng)的有效性依賴于“其他控制是否有效”（指的是控制環(huán)境或IT一般控制的有效性）。 因此，理解IT控制與IT控制體系設計的相關(guān)理念，成為企業(yè)必備的重要能力。

　　首先，我們定義IT控制是由期望達到的（IT控制目標）和達到這些目標的方法（控制程序）構(gòu)成。IT控制目標是指通過對具體的IT活動實施控制程序，以達到期望結(jié)果或目的的總體描述。可見，事實上，有效的IT控制設計與實施指明了一個組織將信息技術(shù)條件下的風險降至可接受水平的途徑。這里IT風險指的是IT使企業(yè)不能實現(xiàn)其經(jīng)營目標的風險。

　　然后，我們從人員職責、IT控制的構(gòu)成和IT控制對象這三個角度來理解IT控制的外延：

　　1.從人員職責角度看：首先是以下三類人員的職責：

　　?管理層——主要職責是確保控制存在并有效運行，為運營目標和控制目標的實現(xiàn)提供合理保證；

　　?低層管理者與員工——主要職責是執(zhí)行控制；

　　?審計師——主要職責是對控制的正確性進行評估、提供改進建議及保證聲明。

　　2.從IT控制的構(gòu)成角度看：IT控制包括IT控制環(huán)境、IT一般控制、IT應用控制。

　　3.從IT控制對象與范圍看：IT控制對象包括企業(yè)IT生命周期的所有流程。

　　實現(xiàn)IT控制，中國企業(yè)需要應對三大挑戰(zhàn)

　　國內(nèi)企業(yè)信息化建設速度越來越快，信息化水平越來越高，業(yè)務與財務報告流程對IT的依賴程度也隨之越來越高。對大多數(shù)企業(yè)而言，運用整合的ERP系統(tǒng)，或綜合運用各種經(jīng)營管理、財務管理方面的軟件，已經(jīng)成為財務報告系統(tǒng)強有力的支持。

　　隨著薩班斯法案的出臺，財務報告的內(nèi)部控制幾乎離不開IT控制，即使業(yè)務層面的管理控制也是IT支撐環(huán)境下的控制。但是，信息技術(shù)是一把雙刃劍，其潛在風險也越來越大，企業(yè)在建立有效的IT控制，以保證財務報告的有效性方面正面臨著巨大的挑戰(zhàn)。

　　但是，目前國內(nèi)企業(yè)的內(nèi)部控制體系多為傳統(tǒng)的會計控制及管理控制，對IT控制缺少系統(tǒng)的考慮，企業(yè)的IT控制面臨三大挑戰(zhàn)。

　　挑戰(zhàn)之一：CIO缺乏內(nèi)部控制理論與實踐。

　　以薩班斯法案的要求來說明，404條款的遵照執(zhí)行有四個階段：1.公司應制定內(nèi)部控制詳細目錄，確定內(nèi)部控制是否足夠，然后將這些控制與諸如COSO之類的內(nèi)部控制框架進行對照； 2.公司被要求記錄控制措施評估方式，以及未來將用來彌補控制缺陷的政策和流程（如果有的話）; 3.公司必須進行測試工作，以確保控制措施和補救手段起到預期作用； 4.管理層必須將前述三個階段的各項活動情況匯總成一份正式的評估報告。

　　法案的要求使很多人認為，IT專業(yè)人士應該對其負責的IT系統(tǒng)所產(chǎn)生的信息質(zhì)量及完整性負責，但問題在于，大多數(shù)IT專業(yè)人士對復雜的內(nèi)部控制并不精通或了解，因此難負其責。盡管不能說IT人員沒有參與風險管理，但至少IT管理層沒有按照管理層或?qū)徲嫀熕蟮男问竭M行正式的、規(guī)范化的風險管理。CIO（首席信息官）們現(xiàn)在到了不得不補課的時候了，當務之急是補充有關(guān)內(nèi)部控制方面的知識，理解企業(yè)所制定的SOX遵循計劃，才能專門針對IT控制擬定一個遵循執(zhí)行計劃，并把這個計劃與總體的SOX遵循計劃相整合。

　　挑戰(zhàn)之二：缺乏系統(tǒng)的IT控制體系

　　事實上，每個企業(yè)或多或少都有一些IT控制制度，很多企業(yè)錯誤地把這些靜態(tài)的控制制度等同于控制體系。現(xiàn)在越來越多的人認識到，我們需要的是“發(fā)現(xiàn)問題，解決問題；發(fā)現(xiàn)新問題，解決新問題”的持續(xù)改進體系。同時鑒于第一點原因，這些制度基本是由技術(shù)管理者制定，他們?nèi)狈σ?guī)范化風險管理的經(jīng)驗，這些IT控制制度可能不太規(guī)范且不成體系，控制程序也不夠完善。IT控制制度一般存在于系統(tǒng)安全和變更管理等一般控制領域，缺乏從公司透明度角度出發(fā)、結(jié)合支持業(yè)務戰(zhàn)略和業(yè)務流程的完整內(nèi)部控制體系。

　　挑戰(zhàn)之三：現(xiàn)有IT控制體系不具有可審計性

　　薩班斯法案相關(guān)的條款要求上市公司必須有足夠的證據(jù)證明內(nèi)部控制的有效性，這就要求企業(yè)必須有完善的內(nèi)部控制流程及審計軌跡，在控制發(fā)揮作用的同時生成相應的文檔記錄，以便在對內(nèi)部控制設計及運行的有效性進行評價時有足夠的證據(jù)。

　　我國企業(yè)的IT控制程序設計及運行不具備可審計性。盡管很多企業(yè)有龐雜的規(guī)章制度，但該體系的完整性、有效性以及遵照執(zhí)行情況缺少評價，或沒有證據(jù)進行評價。

　　因此，我們構(gòu)建IT控制系統(tǒng)時必須從全局著眼，借鑒國際內(nèi)部控制框架及國際最佳實踐經(jīng)驗，構(gòu)建一套系統(tǒng)化、標準化、可審計、可持續(xù)改進的IT控制體系。

　　構(gòu)建有效而持續(xù)的IT控制需要正確的理念、適合的內(nèi)控框架和評估機制

　　對于企業(yè)，我們認為在構(gòu)建IT控制體系時，需要從三個層面來考慮才能保證IT控制的有效性和持續(xù)性。為了更好地說明，筆者將以如何設計符合薩班斯法案要求的內(nèi)部控制為例，來展示構(gòu)建IT控制體系的主要思路，以供參考。

　　1. 要認識到構(gòu)建IT控制體系是一個循序漸進的過程

　　SEC管制條款內(nèi)容復雜，為了滿足薩班斯法案的要求，大多數(shù)企業(yè)需要調(diào)整其員工觀念和企業(yè)文化，通常也需要對IT系統(tǒng)及其處理流程作一些改進。改進的內(nèi)容包括控制設計、控制文件、控制文件的保留，以及IT控制的評估等方面。這是一個循序漸進的過程，不能將原有的一切推倒重來。鑒于在美上市的中國企業(yè)多為國有企業(yè)，這些企業(yè)的規(guī)章制度普遍較為健全，所以對于它們而言，更為重要的是如何根據(jù)內(nèi)部控制的理念和原則，結(jié)合企業(yè)的實際情況，對不符合薩班斯法案404條款的各項差距進行分析、彌補、測試和改進。這項工作的順利開展需要企業(yè)人員具備相應的理論知識和實踐經(jīng)驗，因此，IT控制和風險管理培訓就成為貫穿始終、必不可少的一項重要工作。

　　2. 要選擇好內(nèi)部控制框架

　　法案并沒有規(guī)定公司必須選擇什么樣的內(nèi)控框架作為管理層評價內(nèi)部控制有效性的依據(jù)， 需要企業(yè)自己選擇。國際上比較有名的內(nèi)控框架有英國的Turnbull、美國的COSO 和加拿大的CoCo , 它們從不同的角度剖析公司的經(jīng)營管理活動， 為營造良好的內(nèi)控框架提供了一系列政策和建議。PCAOB審計標準Ⅱ在“管理層用于開展其評估的內(nèi)部控制框架”一節(jié)中，明確管理層要依據(jù)一個適當且公認的、由專家遵照應有程序制定的控制框架，來評估公司財務報告內(nèi)部控制的有效性，SEC也從側(cè)面認可COSO框架。COSO 認為，內(nèi)部控制是由企業(yè)董事會、經(jīng)理層和其他員工，為合理保證實現(xiàn)企業(yè)營運的效率及效果、財務報告的可靠性及合法合規(guī)等目標而實施的一系列過程。內(nèi)控框架的構(gòu)成要素包括控制環(huán)境、風險評估、控制活動、信息和溝通、監(jiān)督五個方面。這套理論得到了包括SEC、公司管理者、投資者、債權(quán)人及專家學者的普遍認可， 國外許多公司都依據(jù)這個框架建立了內(nèi)控系統(tǒng)。我國公司也可以按COSO 建立內(nèi)控框架， 逐步與國際管理模式接軌。通過引入COSO 內(nèi)控要素， 形成一個相互聯(lián)系、綜合作用的控制整體， 使單純的控制活動與企業(yè)環(huán)境、管理目標及控制風險相結(jié)合， 形成一套不斷改進、自我完善的內(nèi)控機制。

　　盡管COSO正在成為理解和評價內(nèi)部控制的全球性框架。但是，COSO不是唯一的控制框架，在有些情形下甚至可能不是最好的或最易于使用的框架，尤其是在COSO框架中沒有考慮到對IT控制目標和相關(guān)控制活動的具體要求。目前，COBIT（信息系統(tǒng)和技術(shù)控制目標，Control Objectives for Information and related Technology）正在成為更好地理解信息技術(shù)環(huán)境下內(nèi)部控制的國際公認框架，該框架由美國IT治理研究所（ITGI）發(fā)布，是一個IT風險管理與IT控制的綜合性分析框架，由覆蓋信息化生命周期的4個域、34個IT控制目標、318個詳細控制目標組成。COBIT也涉及企業(yè)經(jīng)營、合法合規(guī)等方面的控制。因此，該框架可作為制定IT控制目標、審計、管理和執(zhí)行方針的依據(jù)。COBIT不是COSO框架的替代品，而是COSO框架的有力補充，這是因為在信息技術(shù)條件下，管理層、IT人員、審計師都需要理解和記錄IT相關(guān)流程、流程中資源利用情況，以及支持這些流程的控制。

　　尤其是那些信息資產(chǎn)密集型或高度依賴于自動化處理的企業(yè)，理解和評估信息技術(shù)條件下的內(nèi)部控制是一項巨大的挑戰(zhàn)，但也是實現(xiàn)薩班斯合規(guī)性的關(guān)鍵之處。COBIT對評估這種環(huán)境下的內(nèi)部控制會特別有效，COBIT的全部控制目標為審計人員尋求實施薩班斯法案404條款內(nèi)部控制評審提供了強大的支持。不過對于初涉COBIT框架的人來說，其龐雜體系令人望而卻步，其指南分散在有很多圖表構(gòu)成的多卷本中。并且，COBIT自1996年問世以來，在很長的一段時間里，許多審計人員單純地將COBIT看作是專門的信息系統(tǒng)審計工具，認為它對其他審計工作幫助不大。我們認為，雖然COBIT的重點仍然在于IT，但是所有的相關(guān)人員包括審計人員都要研究COBIT框架，并將它作為一款優(yōu)秀的控制框架，用于幫助實現(xiàn)薩班斯法案的合規(guī)性要求。 

　　整合運用COBIT與COSO作為構(gòu)建IT控制的框架，是將兩種國際公認框架進行優(yōu)勢互補。同時在確定控制點、控制程序、留下相應審計軌跡時，也可以參考IT運營、信息安全方面可審計的國際標準管理控制體系ISO20000、ISO17799等。

　　3. 建立一套自評估機制，確保內(nèi)部控制系統(tǒng)的持續(xù)有效

　　眾所周知， 企業(yè)的發(fā)展階段、和管理狀況以及外部環(huán)境的變化都是決定企業(yè)內(nèi)控體系建立和有效運行的前提。任何內(nèi)控體系都只是在一個特定的歷史階段有效。法案要求管理層每年都要對內(nèi)部控制有效性做出聲明，這也迫使公司必須建立一套控制自評估機制，評估內(nèi)部控制體系設計、執(zhí)行是否有效，以支持管理層的聲明。同時，自評估機制也可以幫助公司發(fā)現(xiàn)控制薄弱區(qū)和控制漏洞，及時審時度勢，彌補內(nèi)控體系的缺陷，確保內(nèi)控體系持續(xù)有效。這也正是薩班斯法案所要求的。

　　控制自我評估（CSA）是指企業(yè)內(nèi)部為實現(xiàn)目標、控制風險而對內(nèi)部控制系統(tǒng)的有效性和恰當性實施自我評估的一種方法。國際內(nèi)部審計師協(xié)會（IIA）在1996年研究報告中總結(jié)了CSA的三個基本特征：關(guān)注業(yè)務的過程和控制的成效；由管理部門和職員共同進行；用結(jié)構(gòu)化的方法開展自我評估。CSA最早出現(xiàn)在20世紀80年代末期，但其最主要的發(fā)展是在90年代，特別是在1992年COSO報告公布之后。COSO報告首次把內(nèi)部控制從原來自上而下財務模式的平面結(jié)構(gòu)發(fā)展為更全面的企業(yè)整體模式的立體框架。傳統(tǒng)的內(nèi)控評價方法只能用來評價諸如財務報告，資產(chǎn)與記錄的接觸、使用與傳遞，授權(quán)授信，崗位分離，數(shù)據(jù)處理與信息傳遞等的“硬控制”。在新的內(nèi)部控制模式下，迫切需要評價包括公司治理、高層經(jīng)營理念與管理風格、職業(yè)道德、誠實品質(zhì)、勝任能力、風險評估等的“軟控制”。在這種情況下，作為一種既可以用來評價傳統(tǒng)的硬控制，又可以用來評價非正式控制即軟控制的機制，CSA得到了普遍的信賴。

　　自評人員首先選擇要評審的內(nèi)控流程， 然后對其設計的健全、合理性進行評價， 如果設計合理， 則測試其運行的有效性， 最后進行綜合設計測試和運行測試， 評價內(nèi)控系統(tǒng)設計的合理性和運行的有效性。如果設計測試結(jié)果為不合理， 則直接進行內(nèi)控系統(tǒng)的評價， 而不再進行運行的有效性測試。　

　　內(nèi)控系統(tǒng)設計測試是指為了確定被審計單位內(nèi)控政策和程序設計合理、恰當和完善進行的測試。合理的標準即控制設計與目標相關(guān)、恰當和完善， 能有效保證信息的機密性、完整性和可用性。運行有效性測試是指為了確定被審計單位的內(nèi)控政策和程序在實際工作中是否得到貫徹執(zhí)行， 并發(fā)揮應有的作用而進行的測試。執(zhí)行有效的標準即內(nèi)控政策和程序在實際工作中得到了貫徹執(zhí)行并發(fā)揮了應有的作用。

　　為了評估企業(yè)內(nèi)部控制水平，指導企業(yè)進行差距分析并確定改進目標，建議企業(yè)借鑒成熟度理論，描述企業(yè)IT控制有效性的各種等級。

　　Level 1 –不可靠級 不可預知的環(huán)境，在這種環(huán)境中，控制活動沒有設計或不適當；

　　Level 2 –不正式級 控制與披露活動已設計并適當，但沒有充分記錄。控制更大程度上依賴于人，沒有正式的控制活動培訓與溝通；

　　Level 3 –標準級 控制活動已被設計并適當，控制活動已被記錄并在員工之間進行了溝通。控制活動的偏離可能不被發(fā)現(xiàn)；

　　Level 4 –監(jiān)控級 標準化的控制，有定期的有效性測試并向管理層報告，有限的利用自動化工具支持控制活動；

　　Level 5 –優(yōu)化級 一個整合的內(nèi)部控制框架和實時的管理層監(jiān)控與持續(xù)改善 （全面風險管理），運用自動化工具支持控制活動，也許組織在需要的時候?qū)刂苹顒舆M行快速變更。

　　就某個內(nèi)部控制目標而言，一些企業(yè)可能愿意接受等級不高于3的IT控制。考慮到薩班斯法案 “外部審計師應就控制出具獨立的鑒證”這一要求，審計師對一些關(guān)鍵控制活動的有效性水平不能低于3級。

　　自評估的各種控制測試評價，有助于企業(yè)監(jiān)控完善企業(yè)內(nèi)部控制，也有助于管理者對內(nèi)部控制有效性做出一個明確的評定，并最終以報告書的形式對外呈現(xiàn)，用以表明IT控制系統(tǒng)總體的可靠性及完整性。控制不是一件簡單的事情，而是一個過程，需要對其不斷地評估和改進，以符合當前經(jīng)營的實際需要。這也必將成為IT部門組織文化的一個部分。

　　內(nèi)部控制由于成本限制，本身有一定的局限性，只能合理保證實現(xiàn)企業(yè)的經(jīng)營效果、效率，實現(xiàn)合法合規(guī)目標以及財務報告的真實性。因此構(gòu)建IT控制要在發(fā)現(xiàn)評估的基礎上，做好風險與控制成本之間的平衡。（作者系同濟大學經(jīng)濟管理學院管理學博士）