薩班斯法案從根本上改變了企業(yè)的經(jīng)營(yíng)環(huán)境和法律環(huán)境，其目的在于通過(guò)加強(qiáng)內(nèi)部控制，來(lái)改進(jìn)公司治理狀況，并最終加強(qiáng)公司的責(zé)任。

　　當(dāng)前IT系統(tǒng)越來(lái)越多地對(duì)業(yè)務(wù)經(jīng)營(yíng)活動(dòng)進(jìn)行自動(dòng)化處理，這就需要IT提供必要數(shù)量的控制程序。因此，遵循薩班斯法案的程序需要包括基于IT系統(tǒng)的控制程序。對(duì)大多數(shù)企業(yè)而言，IT在建立與保持有效的財(cái)務(wù)報(bào)告內(nèi)部控制方面將發(fā)揮重要作用。通過(guò)運(yùn)用整合的ERP系統(tǒng)，或綜合運(yùn)用各種經(jīng)營(yíng)管理、財(cái)務(wù)管理方面的軟件，IT系統(tǒng)將為有效的財(cái)務(wù)報(bào)告內(nèi)部控制系統(tǒng)提供強(qiáng)有力的支持。

　　PCAOB第二號(hào)審計(jì)標(biāo)準(zhǔn)要求了解IT在內(nèi)部控制環(huán)境中的重要性。它特別指出：公司在其信息系統(tǒng)中運(yùn)用信息技術(shù)的狀況，影響著公司財(cái)務(wù)報(bào)告的內(nèi)部控制。

　　目前我國(guó)四大電信運(yùn)營(yíng)商全部在美國(guó)上市，他們現(xiàn)在正在構(gòu)建法案要求的內(nèi)控系統(tǒng)，IT內(nèi)部控制系統(tǒng)構(gòu)建及評(píng)審是無(wú)法繞過(guò)的工作。完善內(nèi)控，特別是電信企業(yè)信息化水平很高、業(yè)務(wù)流程依賴于IT流程的背景下，重視IT內(nèi)部控制，完善IT內(nèi)部控制十分迫切。本文討論我國(guó)公司如何依據(jù)法案的要求在短時(shí)間內(nèi)構(gòu)建一套IT內(nèi)控系統(tǒng)， 并通過(guò)有效的IT內(nèi)控評(píng)價(jià)活動(dòng)保證其持續(xù)健全有效， 以支持CEO 和CFO 的承諾進(jìn)行初步探討。

　　一、薩班斯法案的要求

　　世通公司造假案件和安然、安達(dá)信事件震驚了整個(gè)世界， 美國(guó)政府認(rèn)為這是公司上下串通、內(nèi)外勾結(jié)的嚴(yán)重結(jié)果， 所以法案對(duì)公司治理、內(nèi)部控制及外部審計(jì)同時(shí)做出了嚴(yán)格的要求。明確規(guī)定要求建立獨(dú)立稱職的審計(jì)委員會(huì)，管理層要負(fù)責(zé)內(nèi)控系統(tǒng)的完善和落實(shí)，并對(duì)財(cái)務(wù)報(bào)告的真實(shí)性負(fù)刑事責(zé)任 。綜觀整個(gè)法案， 最主要的是對(duì)公司內(nèi)控系統(tǒng)的要求， 主要體現(xiàn)在302條款和404 條款。法案對(duì)公司內(nèi)控系統(tǒng)不但規(guī)定嚴(yán)格， 而且實(shí)施要求和指南也在相續(xù)出臺(tái)， 如SEC 于2003年6月5日根據(jù)法案的要求頒布了404條的細(xì)化條例， PCAOB于2004 年3月9日發(fā)布第2號(hào)審計(jì)準(zhǔn)則， 對(duì)公司管理層提出了更明確的要求。

　　1、302條款的要求：

　　該條款要求由首席執(zhí)行官和財(cái)務(wù)主管在內(nèi)的企業(yè)管理層，對(duì)公司財(cái)務(wù)報(bào)告的內(nèi)部控制按季度和年度就以下事項(xiàng)發(fā)表聲明（予以證實(shí)）：

　　●    對(duì)建立和維護(hù)與財(cái)務(wù)報(bào)告有關(guān)的內(nèi)部控制負(fù)責(zé)。

　　●    設(shè)計(jì)了所需的內(nèi)部控制，以保證這些官員能知道該公司及其并表子公司的所有重大信息，尤其是報(bào)告期內(nèi)的重大信息；

　　●    與財(cái)務(wù)報(bào)告有關(guān)的內(nèi)部控制的任何變更都已得到恰當(dāng)?shù)呐叮@里的變更指最近一個(gè)會(huì)計(jì)季度已經(jīng)產(chǎn)生，或者合理預(yù)期將對(duì)于財(cái)務(wù)報(bào)告有關(guān)的內(nèi)部控制產(chǎn)生重大影響的變更。

　　在當(dāng)前環(huán)境下，IT系統(tǒng)驅(qū)動(dòng)著財(cái)務(wù)報(bào)告流程。諸如ERP之類的IT系統(tǒng)緊密地貫穿于企業(yè)經(jīng)濟(jì)業(yè)務(wù)的開(kāi)始、授權(quán)、記錄、處理和報(bào)告一整套過(guò)程中。就其本身而言，IT系統(tǒng)和整個(gè)財(cái)務(wù)報(bào)告流程也是緊密聯(lián)系的，為了遵循薩班斯法案，也要對(duì)IT內(nèi)部控制的有效性予以評(píng)估。

　　為強(qiáng)調(diào)這一點(diǎn)，PCAOB第2號(hào)審計(jì)標(biāo)準(zhǔn)討論了IT以及IT在測(cè)試內(nèi)部控制設(shè)計(jì)合理性及運(yùn)行有效性時(shí)的重要意義，并強(qiáng)調(diào)指出：[部分]

　　…內(nèi)部控制，包括與財(cái)務(wù)報(bào)告中所有重要賬戶及披露內(nèi)容相關(guān)的控制政策與程序，都應(yīng)該予以測(cè)試。

　　一般而言，這樣的控制包括IT一般控制，以及其他控制所依賴的控制。

　　2、404條款管理要求

　　薩班斯法案的404條款要求，管理層在其年度文件中提供關(guān)于與財(cái)務(wù)報(bào)告有關(guān)的內(nèi)部控制的年度評(píng)估報(bào)告。管理層的年度報(bào)告要求包括以下內(nèi)容：

　　●    管理層有責(zé)任為企業(yè)建立和維護(hù)恰當(dāng)?shù)呢?cái)務(wù)報(bào)告有關(guān)的內(nèi)部控制。

　　●    識(shí)別管理層所采用的內(nèi)部控制框架以便按要求評(píng)估公司與財(cái)務(wù)報(bào)告有關(guān)的內(nèi)部控制的有效性。

　　●    對(duì)從一上個(gè)會(huì)計(jì)年度未以來(lái)，與財(cái)務(wù)報(bào)告有關(guān)的內(nèi)部控制的有效性予以評(píng)估，其內(nèi)容也包括有關(guān)與財(cái)務(wù)報(bào)告有關(guān)的內(nèi)部控制是否有效的公開(kāi)聲明。

　　●    年度審計(jì)報(bào)告中，注冊(cè)會(huì)計(jì)師事務(wù)所發(fā)表的財(cái)務(wù)審計(jì)報(bào)告，包括管理層對(duì)與財(cái)務(wù)報(bào)告有關(guān)的內(nèi)部控制有效性評(píng)估的證明報(bào)告。

　　●    管理層關(guān)于公司針對(duì)財(cái)務(wù)報(bào)告內(nèi)部控制有效性評(píng)估的書(shū)面結(jié)論，應(yīng)包含在其對(duì)財(cái)務(wù)報(bào)告內(nèi)部控制的報(bào)告和其對(duì)審計(jì)師的信函中。這一書(shū)面結(jié)論可采取多種形式，但是管理層對(duì)公司面向財(cái)務(wù)報(bào)告的內(nèi)部控制的有效性必須發(fā)表直接意見(jiàn)

　　●    如果與財(cái)務(wù)報(bào)告有關(guān)的內(nèi)部控制中有一個(gè)或多個(gè)重要缺陷，管理層將不能對(duì)財(cái)務(wù)報(bào)告的內(nèi)部控制有效性做出評(píng)估結(jié)論，而且，管理層應(yīng)該披露自最近一個(gè)會(huì)計(jì)年度未以來(lái)財(cái)務(wù)報(bào)告內(nèi)部控制方面的所有重要缺陷。

　　面向財(cái)務(wù)報(bào)告的內(nèi)部控制在這一會(huì)計(jì)期間可能存在一個(gè)或多個(gè)重要缺陷，但管理層仍可能會(huì)報(bào)告“從最近一個(gè)會(huì)計(jì)年度未起（上個(gè)會(huì)計(jì)年度未起），與財(cái)務(wù)報(bào)告有關(guān)的內(nèi)部控制是有效的”。如果要做出這樣的結(jié)論，管理層必須在評(píng)估日前已經(jīng)改進(jìn)了內(nèi)部控制，消除了已有的缺陷，并在運(yùn)行和測(cè)試其有效性后得到了滿意的結(jié)果，測(cè)試的時(shí)間足以讓管理層認(rèn)為，從本會(huì)計(jì)年度起，與財(cái)務(wù)報(bào)告有關(guān)的內(nèi)部控制設(shè)計(jì)合理、運(yùn)行有效。

　　審計(jì)師需要合理地確定管理層的認(rèn)定目標(biāo)或?qū)徲?jì)目的（從而依此來(lái)收集審計(jì)證據(jù)），以支持管理層對(duì)內(nèi)部控制有效性的評(píng)估結(jié)論。通過(guò)對(duì)審計(jì)師在這一過(guò)程中所應(yīng)遵循程序的描述，PCAOB第二號(hào)審計(jì)標(biāo)準(zhǔn)接著指出：

　　公司在對(duì)財(cái)務(wù)報(bào)告做出確認(rèn)時(shí)需要借助于企業(yè)的IT系統(tǒng)。為了識(shí)別管理層對(duì)財(cái)務(wù)報(bào)告所作的相關(guān)認(rèn)定，審計(jì)師應(yīng)考慮每個(gè)重要賬戶潛在錯(cuò)報(bào)、漏報(bào)產(chǎn)生的原因。在決定一個(gè)認(rèn)定是否與某一重要賬戶余額或其披露相關(guān)時(shí)，審計(jì)師應(yīng)該評(píng)價(jià)IT系統(tǒng)的性質(zhì)、復(fù)雜程度以及企業(yè)IT的使用狀況。

　　PCAOB第2號(hào)審計(jì)標(biāo)準(zhǔn)還專門(mén)講述了IT在期末財(cái)務(wù)報(bào)告中運(yùn)用，它指出：…要了解期末財(cái)務(wù)報(bào)告的提供過(guò)程，審計(jì)師就應(yīng)在每一會(huì)計(jì)期末評(píng)估IT在該過(guò)程中的應(yīng)用范圍。……[部分]

　　因此所有企業(yè)構(gòu)建IT內(nèi)部控制至少都應(yīng)具備以下三層通用要素：企業(yè)管理層，業(yè)務(wù)流程和共享服務(wù)。

　　二、我國(guó)電信運(yùn)營(yíng)企業(yè)面臨的挑戰(zhàn)

　　由于電信企業(yè)的信息化水平比較高，業(yè)務(wù)對(duì)IT的依賴程度也比較高。因此依照薩班斯法案要求，完善與財(cái)務(wù)報(bào)告有關(guān)的內(nèi)部控制時(shí)，電信企業(yè)的內(nèi)部控制幾乎離不開(kāi)IT，即使業(yè)務(wù)控制也是在IT支持環(huán)境下的控制。因此，電信企業(yè)完善內(nèi)部控制幾乎可以說(shuō)是完善IT內(nèi)部控制，包括IT一般控制和IT應(yīng)用控制。但我們的現(xiàn)狀不容樂(lè)觀。

　　1 IT專業(yè)人士，尤其是管理層，缺乏內(nèi)部控制理論與實(shí)踐來(lái)滿足薩班斯法案的要求。

　　法案的要求使很多人認(rèn)為，IT專業(yè)人士應(yīng)該對(duì)其負(fù)責(zé)的IT系統(tǒng)所產(chǎn)生的信息質(zhì)量及完整性負(fù)責(zé)，但問(wèn)題在于，大多數(shù)IT專業(yè)人士對(duì)復(fù)雜的內(nèi)部控制并不精通或了解，難負(fù)其責(zé)。盡管這并不說(shuō)明IT人員沒(méi)有參與風(fēng)險(xiǎn)管理，但至少I(mǎi)T管理層沒(méi)有按照組織管理層或?qū)徲?jì)師所要求的形式進(jìn)行正式的、規(guī)范化的風(fēng)險(xiǎn)管理。 PCAOB指出首席信息官（CIO）們現(xiàn)在必須面對(duì)以下的挑戰(zhàn)：（1）增強(qiáng)他們有關(guān)內(nèi)部控制方面的知識(shí)；（2）理解企業(yè)所制定的總的SOX遵循計(jì)劃；（3）專門(mén)針對(duì)IT控制擬定一個(gè)遵循執(zhí)行計(jì)劃；（4）把這個(gè)計(jì)劃與總體的SOX遵循計(jì)劃相整合。

　　2 缺乏系統(tǒng)的內(nèi)部控制制度

　　事實(shí)上，每個(gè)電信企業(yè)都或多或少會(huì)都有一些IT內(nèi)部控制制度，正是由于第一點(diǎn)原因，這些制度基本是由技術(shù)管理者制定，他們?nèi)狈σ?guī)范化風(fēng)險(xiǎn)管理的經(jīng)驗(yàn)，這些IT控制制度可能不太規(guī)范，控制政策程序不太完善， IT控制制度一般存在于系統(tǒng)安全和變更管理等一些一般控制領(lǐng)域，缺乏從公司透明度角度出發(fā)的、結(jié)合支持業(yè)務(wù)流程的完整的內(nèi)部控制制度。所以這也是在國(guó)內(nèi)企業(yè)在符合薩班斯法案的道路上，問(wèn)題最多的領(lǐng)域。

　　2現(xiàn)有的IT內(nèi)部控制不具有可審計(jì)性

　　薩班斯法案相關(guān)的條款要求上市公司必須有足夠的證據(jù)證明內(nèi)部控制的有效性，這就要求企業(yè)必須有完善的內(nèi)部控制流程及審計(jì)軌跡，在控制發(fā)揮作用的同時(shí)生成相應(yīng)的文檔記錄，以便在對(duì)內(nèi)部控制設(shè)計(jì)及運(yùn)行的有效性進(jìn)行評(píng)價(jià)時(shí)有足夠的證據(jù)。我國(guó)的電信運(yùn)營(yíng)商的IT控制程序相對(duì)其他行業(yè)企業(yè)而言還是比較完善的，但距離薩班斯法案的要求還很遠(yuǎn)。很大的一個(gè)差距是我們內(nèi)部控制流程設(shè)計(jì)及運(yùn)行的可審計(jì)性不具備。很多企業(yè)有厚厚的規(guī)章制度，但是否執(zhí)行、執(zhí)行是否有效卻沒(méi)有關(guān)注、或沒(méi)有證據(jù)進(jìn)行評(píng)價(jià)。

　　因此，我們構(gòu)建IT內(nèi)部控制系統(tǒng)時(shí)必須從全局考慮，借鑒國(guó)際內(nèi)部控制框架及國(guó)際最佳實(shí)踐經(jīng)驗(yàn)，構(gòu)建一套系統(tǒng)化、標(biāo)準(zhǔn)化、可審計(jì)、可持續(xù)改進(jìn)的IT內(nèi)部控制系統(tǒng)。

　　三 構(gòu)建IT內(nèi)控系統(tǒng)的思路

　　（1）不能因耗時(shí)且成本高昂就摒棄原有的IT控制而另搞一套。SEC管制條款內(nèi)容復(fù)雜，為了滿足薩班斯法案的要求，大多數(shù)企業(yè)需要調(diào)整其員工觀念和企業(yè)文化，通常也需要對(duì)IT系統(tǒng)和其處理流程作一些改進(jìn)，改進(jìn)的內(nèi)容包括其控制設(shè)計(jì)、控制文件、控制文件的保留，以及IT控制的評(píng)估等方面。這是一個(gè)循序漸進(jìn)的過(guò)程，不能將原有的一切推倒重來(lái)。

　　（2）要選擇好內(nèi)控框架。法案并沒(méi)有規(guī)定公司必須選擇什么樣的內(nèi)控框架， 需要企業(yè)自己抉擇。國(guó)際上比較有名的內(nèi)控模式有英國(guó)的Cadbury、美國(guó)的COSO 和加拿大的COCO , 它們從不同的角度剖析公司的經(jīng)營(yíng)管理活動(dòng)， 為營(yíng)造良好的內(nèi)控框架提供了一系列的趨于一致的政策和建議。第2號(hào)審計(jì)標(biāo)準(zhǔn)依據(jù)COSO制定的內(nèi)部控制框架制訂，在“管理層用于開(kāi)展其評(píng)估的框架”一節(jié)中，明確管理層要依據(jù)一個(gè)適宜且公認(rèn)的由專家群體遵照應(yīng)有的程序制定的控制框架，來(lái)評(píng)估公司財(cái)務(wù)報(bào)告內(nèi)部控制的有效性。SEC對(duì)該標(biāo)準(zhǔn)的認(rèn)同等于從另外一個(gè)側(cè)面承認(rèn)COSO框架。COSO 認(rèn)為內(nèi)控是由企業(yè)董事會(huì)、經(jīng)理層和其他員工實(shí)施的， 為營(yíng)運(yùn)的效率效果、財(cái)務(wù)報(bào)告的可靠性及相關(guān)法令的遵循性等目標(biāo)的達(dá)成提供合理保證的過(guò)程。內(nèi)控框架的構(gòu)成要素包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和溝通、監(jiān)督五個(gè)方面。這套理論得到了包括SEC、公司管理者、投資者、債權(quán)人及專家學(xué)者的普遍認(rèn)可， 國(guó)外許多公司都依據(jù)這個(gè)框架建立了內(nèi)控系統(tǒng)， 我國(guó)公司也可以按COSO 建立內(nèi)控框架， 逐步與國(guó)際管理模式接軌。通過(guò)引入COSO 內(nèi)控要素， 形成一個(gè)相互聯(lián)系、綜合作用的控制整體， 使單純的控制活動(dòng)與企業(yè)環(huán)境、管理目標(biāo)及控制風(fēng)險(xiǎn)相結(jié)合， 形成一套不斷改進(jìn)、自我完善的內(nèi)控機(jī)制。

　　但是很明顯，SEC所推薦的COSO控制框架有助于遵循薩班斯法案，雖然它針對(duì)的是內(nèi)部控制，但沒(méi)有對(duì)IT控制目標(biāo)和相關(guān)控制活動(dòng)提出具體的要求與限制。由于COSO框架缺少對(duì)IT內(nèi)部控制的內(nèi)容，所以單獨(dú)以COSO為構(gòu)建IT內(nèi)部控制的框架顯然是不合適的。COBIT為管理IT風(fēng)險(xiǎn)與IT控制提供了一個(gè)綜合性的分析框架，是另外一個(gè)被國(guó)際認(rèn)可的業(yè)內(nèi)標(biāo)準(zhǔn)，由4大部分、34個(gè)IT處理流程、318個(gè)詳細(xì)控制目標(biāo)組成。COBIT也涉及企業(yè)經(jīng)營(yíng)、薩班斯法案遵循等方面的控制。但在薩班斯法案要求下，我們只考慮應(yīng)用COBIT中與財(cái)務(wù)報(bào)告相關(guān)的控制。

　　因此Cobit與COSO結(jié)合作為構(gòu)建IT內(nèi)部控制框架，將是兩種國(guó)際標(biāo)準(zhǔn)優(yōu)勢(shì)互補(bǔ)。同時(shí)在確定控制點(diǎn)、控制程序、留下相應(yīng)審計(jì)軌跡時(shí)，也可以參考BS15000以及ISO17799等一些國(guó)際標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)都是IT運(yùn)營(yíng)、安全方面可審計(jì)的一套標(biāo)準(zhǔn)管理控制體系。

　　（3）要建立一套自評(píng)估機(jī)制，確保內(nèi)部控制系統(tǒng)的持續(xù)有效

　　從歷史來(lái)看， 企業(yè)的發(fā)展階段和管理狀況，以及外部環(huán)境的變化都是決定企業(yè)內(nèi)控系統(tǒng)建立和運(yùn)行有效的前提。任何內(nèi)部控制系統(tǒng)都只是在一個(gè)特定的歷史階段有效，管理層對(duì)內(nèi)部控制有效性的聲明，要求公司必須建立一套自我評(píng)價(jià)機(jī)制，評(píng)價(jià)內(nèi)部控制系統(tǒng)設(shè)計(jì)、執(zhí)行是否有效，以支持管理層的聲明。同時(shí)自我評(píng)估機(jī)制也可以幫助公司發(fā)現(xiàn)控制弱的區(qū)域，以及控制漏洞，及時(shí)審勢(shì)度勢(shì)，彌補(bǔ)內(nèi)控系統(tǒng)的缺陷，確保內(nèi)部控制系統(tǒng)持續(xù)有效。這也是薩班斯法案所要求的。

　　控制自我評(píng)估（CSA）是指企業(yè)內(nèi)部為實(shí)現(xiàn)目標(biāo)、控制風(fēng)險(xiǎn)而對(duì)內(nèi)部控制系統(tǒng)的有效性和恰當(dāng)性實(shí)施自我評(píng)估的方法。國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）在1996年的研究報(bào)告中總結(jié)了CSA的三個(gè)基本特征：關(guān)注業(yè)務(wù)的過(guò)程和控制的成效；由管理部門(mén)和職員共同進(jìn)行；用結(jié)構(gòu)化的方法開(kāi)展自我評(píng)估。CSA最早出現(xiàn)在20世紀(jì)80年代末期，但其最主要的發(fā)展是在90年代，特別是在1992年COSO報(bào)告公布之后。COSO報(bào)告首次把內(nèi)部控制從原來(lái)自上而下財(cái)務(wù)模式的平面結(jié)構(gòu)發(fā)展為更具彈性的企業(yè)整體模式的立體框架。傳統(tǒng)的內(nèi)控評(píng)價(jià)方法只能用來(lái)評(píng)價(jià)諸如財(cái)務(wù)報(bào)告，資產(chǎn)與記錄的接觸、使用與傳遞，授權(quán)授信，崗位分離，數(shù)據(jù)處理與信息傳遞等的“硬控制”。在新的內(nèi)部控制模式下，迫切需要評(píng)價(jià)包括公司治理，高層經(jīng)營(yíng)理念與管理風(fēng)格，職業(yè)道德，誠(chéng)實(shí)品質(zhì)，勝任能力，風(fēng)險(xiǎn)評(píng)估等的“軟控制”。在這種情況下，作為一種既可以用來(lái)評(píng)價(jià)傳統(tǒng)的硬控制，又可以用來(lái)評(píng)價(jià)非正式控制即軟控制的機(jī)制，CSA得到了普遍的信賴。

　　自評(píng)人員首先選擇要評(píng)審的內(nèi)控流程， 然后對(duì)其設(shè)計(jì)的健全性進(jìn)行評(píng)價(jià)， 如果健全， 則測(cè)試其運(yùn)行的有效性， 最后綜合設(shè)計(jì)測(cè)試和運(yùn)行測(cè)試， 評(píng)價(jià)內(nèi)控系統(tǒng)的健全性和有效性。如果設(shè)計(jì)測(cè)試結(jié)果為不健全， 則直接進(jìn)行內(nèi)控系統(tǒng)的評(píng)價(jià)， 而不再進(jìn)行運(yùn)行的有效性測(cè)試。

　　內(nèi)控系統(tǒng)設(shè)計(jì)測(cè)試是指為了確定被審計(jì)單位內(nèi)控政策和程序設(shè)計(jì)是否合理、恰當(dāng)和完善進(jìn)行的測(cè)試。健全的標(biāo)準(zhǔn)即設(shè)計(jì)合理、恰當(dāng)和完善， 能有效保證信息的機(jī)密性、完整性和可用性。運(yùn)行有效性測(cè)試是指， 為了確定被審計(jì)單位的內(nèi)控政策和程序在實(shí)際工作中是否得到貫徹執(zhí)行， 并發(fā)揮應(yīng)有的作用而進(jìn)行的測(cè)試。有效的標(biāo)準(zhǔn)即內(nèi)控政策和程序在實(shí)際工作中得到了貫徹執(zhí)行并發(fā)揮了應(yīng)有的作用。

　　控制運(yùn)行的有效性評(píng)估。一旦控制設(shè)計(jì)的評(píng)估結(jié)果認(rèn)為內(nèi)部控制設(shè)計(jì)適當(dāng)，就需要對(duì)其目前和以后的運(yùn)行是否有效予以測(cè)試，而該測(cè)試由控制負(fù)責(zé)人及內(nèi)部控制程序管理團(tuán)隊(duì)來(lái)進(jìn)行。

　　一般而言，有些控制（如一般控制）程序是其他控制程序（如應(yīng)用控制）的基礎(chǔ)，企業(yè)組織對(duì)這些控制的測(cè)試范圍應(yīng)更廣、頻率更高。判斷測(cè)試范圍是否恰當(dāng)時(shí)，組織應(yīng)該考慮IT控制是如何影響財(cái)務(wù)信息披露與報(bào)告過(guò)程的。

　　一些企業(yè)利用外部服務(wù)機(jī)構(gòu)所提供的外包服務(wù)，這也應(yīng)該視為企業(yè)整個(gè)經(jīng)營(yíng)職責(zé)的一部分，在整個(gè)IT內(nèi)部控制程序中應(yīng)予以考慮。

　　在這種情況下，組織在確定其內(nèi)部控制的可靠性時(shí)，應(yīng)復(fù)核服務(wù)機(jī)構(gòu)所提供的控制活動(dòng)，并將其記錄下來(lái)，以便獨(dú)立審計(jì)師收集內(nèi)部控制是否有效的證據(jù)。因此，在決定證據(jù)的充分性、適當(dāng)性時(shí)，就有必要評(píng)估外包服務(wù)機(jī)構(gòu)的整體狀況。

　　綜合前面的各種控制測(cè)試評(píng)價(jià)，對(duì)內(nèi)部控制有效性作出一個(gè)明確的評(píng)定，并最終以管理報(bào)告書(shū)的形式呈現(xiàn)，以供高級(jí)經(jīng)理人員參考，用以表明IT控制系統(tǒng)總體的可靠性及完整性。控制不是一件簡(jiǎn)單的事情，而是一個(gè)過(guò)程，需要對(duì)其不斷的評(píng)估，不斷的改進(jìn)，以符合當(dāng)前經(jīng)營(yíng)的實(shí)際需要。這也必將成為IT部門(mén)組織文化的一個(gè)部分。