在PCAOB（美國公眾會計監管委員會）審計標準Ⅱ中也特別指出，IT控制設計很重要，不可低估控制設計在整個IT控制環境中的重要性，并強調IT控制能有力地支持整個內部控制環境。該標準又進一步指出：公司整體內部控制系統的有效性依賴于“其他控制是否有效”（指的是控制環境或IT一般控制的有效性）。 因此，理解IT控制與IT控制體系設計的相關理念，成為企業必備的重要能力。

　　首先，我們定義IT控制是由期望達到的（IT控制目標）和達到這些目標的方法（控制程序）構成。IT控制目標是指通過對具體的IT活動實施控制程序，以達到期望結果或目的的總體描述。可見，事實上，有效的IT控制設計與實施指明了一個組織將信息技術條件下的風險降至可接受水平的途徑。這里IT風險指的是IT使企業不能實現其經營目標的風險。

　　然后，我們從人員職責、IT控制的構成和IT控制對象這三個角度來理解IT控制的外延：

　　1.從人員職責角度看：首先是以下三類人員的職責：

　　?管理層——主要職責是確保控制存在并有效運行，為運營目標和控制目標的實現提供合理保證；

　　?低層管理者與員工——主要職責是執行控制；

　　?審計師——主要職責是對控制的正確性進行評估、提供改進建議及保證聲明。

　　2.從IT控制的構成角度看：IT控制包括IT控制環境、IT一般控制、IT應用控制。

　　3.從IT控制對象與范圍看：IT控制對象包括企業IT生命周期的所有流程。

　　實現IT控制，中國企業需要應對三大挑戰

　　國內企業信息化建設速度越來越快，信息化水平越來越高，業務與財務報告流程對IT的依賴程度也隨之越來越高。對大多數企業而言，運用整合的ERP系統，或綜合運用各種經營管理、財務管理方面的軟件，已經成為財務報告系統強有力的支持。

　　隨著薩班斯法案的出臺，財務報告的內部控制幾乎離不開IT控制，即使業務層面的管理控制也是IT支撐環境下的控制。但是，信息技術是一把雙刃劍，其潛在風險也越來越大，企業在建立有效的IT控制，以保證財務報告的有效性方面正面臨著巨大的挑戰。

　　但是，目前國內企業的內部控制體系多為傳統的會計控制及管理控制，對IT控制缺少系統的考慮，企業的IT控制面臨三大挑戰。

　　挑戰之一：CIO缺乏內部控制理論與實踐。

　　以薩班斯法案的要求來說明，404條款的遵照執行有四個階段：1.公司應制定內部控制詳細目錄，確定內部控制是否足夠，然后將這些控制與諸如COSO之類的內部控制框架進行對照； 2.公司被要求記錄控制措施評估方式，以及未來將用來彌補控制缺陷的政策和流程（如果有的話）; 3.公司必須進行測試工作，以確保控制措施和補救手段起到預期作用； 4.管理層必須將前述三個階段的各項活動情況匯總成一份正式的評估報告。

　　法案的要求使很多人認為，IT專業人士應該對其負責的IT系統所產生的信息質量及完整性負責，但問題在于，大多數IT專業人士對復雜的內部控制并不精通或了解，因此難負其責。盡管不能說IT人員沒有參與風險管理，但至少IT管理層沒有按照管理層或審計師所要求的形式進行正式的、規范化的風險管理。CIO（首席信息官）們現在到了不得不補課的時候了，當務之急是補充有關內部控制方面的知識，理解企業所制定的SOX遵循計劃，才能專門針對IT控制擬定一個遵循執行計劃，并把這個計劃與總體的SOX遵循計劃相整合。

　　挑戰之二：缺乏系統的IT控制體系

　　事實上，每個企業或多或少都有一些IT控制制度，很多企業錯誤地把這些靜態的控制制度等同于控制體系。現在越來越多的人認識到，我們需要的是“發現問題，解決問題；發現新問題，解決新問題”的持續改進體系。同時鑒于第一點原因，這些制度基本是由技術管理者制定，他們缺乏規范化風險管理的經驗，這些IT控制制度可能不太規范且不成體系，控制程序也不夠完善。IT控制制度一般存在于系統安全和變更管理等一般控制領域，缺乏從公司透明度角度出發、結合支持業務戰略和業務流程的完整內部控制體系。

　　挑戰之三：現有IT控制體系不具有可審計性

　　薩班斯法案相關的條款要求上市公司必須有足夠的證據證明內部控制的有效性，這就要求企業必須有完善的內部控制流程及審計軌跡，在控制發揮作用的同時生成相應的文檔記錄，以便在對內部控制設計及運行的有效性進行評價時有足夠的證據。

　　我國企業的IT控制程序設計及運行不具備可審計性。盡管很多企業有龐雜的規章制度，但該體系的完整性、有效性以及遵照執行情況缺少評價，或沒有證據進行評價。

　　因此，我們構建IT控制系統時必須從全局著眼，借鑒國際內部控制框架及國際最佳實踐經驗，構建一套系統化、標準化、可審計、可持續改進的IT控制體系。

　　構建有效而持續的IT控制需要正確的理念、適合的內控框架和評估機制

　　對于企業，我們認為在構建IT控制體系時，需要從三個層面來考慮才能保證IT控制的有效性和持續性。為了更好地說明，筆者將以如何設計符合薩班斯法案要求的內部控制為例，來展示構建IT控制體系的主要思路，以供參考。

　　1. 要認識到構建IT控制體系是一個循序漸進的過程

　　SEC管制條款內容復雜，為了滿足薩班斯法案的要求，大多數企業需要調整其員工觀念和企業文化，通常也需要對IT系統及其處理流程作一些改進。改進的內容包括控制設計、控制文件、控制文件的保留，以及IT控制的評估等方面。這是一個循序漸進的過程，不能將原有的一切推倒重來。鑒于在美上市的中國企業多為國有企業，這些企業的規章制度普遍較為健全，所以對于它們而言，更為重要的是如何根據內部控制的理念和原則，結合企業的實際情況，對不符合薩班斯法案404條款的各項差距進行分析、彌補、測試和改進。這項工作的順利開展需要企業人員具備相應的理論知識和實踐經驗，因此，IT控制和風險管理培訓就成為貫穿始終、必不可少的一項重要工作。

　　2. 要選擇好內部控制框架

　　法案并沒有規定公司必須選擇什么樣的內控框架作為管理層評價內部控制有效性的依據， 需要企業自己選擇。國際上比較有名的內控框架有英國的Turnbull、美國的COSO 和加拿大的CoCo , 它們從不同的角度剖析公司的經營管理活動， 為營造良好的內控框架提供了一系列政策和建議。PCAOB審計標準Ⅱ在“管理層用于開展其評估的內部控制框架”一節中，明確管理層要依據一個適當且公認的、由專家遵照應有程序制定的控制框架，來評估公司財務報告內部控制的有效性，SEC也從側面認可COSO框架。COSO 認為，內部控制是由企業董事會、經理層和其他員工，為合理保證實現企業營運的效率及效果、財務報告的可靠性及合法合規等目標而實施的一系列過程。內控框架的構成要素包括控制環境、風險評估、控制活動、信息和溝通、監督五個方面。這套理論得到了包括SEC、公司管理者、投資者、債權人及專家學者的普遍認可， 國外許多公司都依據這個框架建立了內控系統。我國公司也可以按COSO 建立內控框架， 逐步與國際管理模式接軌。通過引入COSO 內控要素， 形成一個相互聯系、綜合作用的控制整體， 使單純的控制活動與企業環境、管理目標及控制風險相結合， 形成一套不斷改進、自我完善的內控機制。

　　盡管COSO正在成為理解和評價內部控制的全球性框架。但是，COSO不是唯一的控制框架，在有些情形下甚至可能不是最好的或最易于使用的框架，尤其是在COSO框架中沒有考慮到對IT控制目標和相關控制活動的具體要求。目前，COBIT（信息系統和技術控制目標，Control Objectives for Information and related Technology）正在成為更好地理解信息技術環境下內部控制的國際公認框架，該框架由美國IT治理研究所（ITGI）發布，是一個IT風險管理與IT控制的綜合性分析框架，由覆蓋信息化生命周期的4個域、34個IT控制目標、318個詳細控制目標組成。COBIT也涉及企業經營、合法合規等方面的控制。因此，該框架可作為制定IT控制目標、審計、管理和執行方針的依據。COBIT不是COSO框架的替代品，而是COSO框架的有力補充，這是因為在信息技術條件下，管理層、IT人員、審計師都需要理解和記錄IT相關流程、流程中資源利用情況，以及支持這些流程的控制。

　　尤其是那些信息資產密集型或高度依賴于自動化處理的企業，理解和評估信息技術條件下的內部控制是一項巨大的挑戰，但也是實現薩班斯合規性的關鍵之處。COBIT對評估這種環境下的內部控制會特別有效，COBIT的全部控制目標為審計人員尋求實施薩班斯法案404條款內部控制評審提供了強大的支持。不過對于初涉COBIT框架的人來說，其龐雜體系令人望而卻步，其指南分散在有很多圖表構成的多卷本中。并且，COBIT自1996年問世以來，在很長的一段時間里，許多審計人員單純地將COBIT看作是專門的信息系統審計工具，認為它對其他審計工作幫助不大。我們認為，雖然COBIT的重點仍然在于IT，但是所有的相關人員包括審計人員都要研究COBIT框架，并將它作為一款優秀的控制框架，用于幫助實現薩班斯法案的合規性要求。 

　　整合運用COBIT與COSO作為構建IT控制的框架，是將兩種國際公認框架進行優勢互補。同時在確定控制點、控制程序、留下相應審計軌跡時，也可以參考IT運營、信息安全方面可審計的國際標準管理控制體系ISO20000、ISO17799等。

　　3. 建立一套自評估機制，確保內部控制系統的持續有效

　　眾所周知， 企業的發展階段、和管理狀況以及外部環境的變化都是決定企業內控體系建立和有效運行的前提。任何內控體系都只是在一個特定的歷史階段有效。法案要求管理層每年都要對內部控制有效性做出聲明，這也迫使公司必須建立一套控制自評估機制，評估內部控制體系設計、執行是否有效，以支持管理層的聲明。同時，自評估機制也可以幫助公司發現控制薄弱區和控制漏洞，及時審時度勢，彌補內控體系的缺陷，確保內控體系持續有效。這也正是薩班斯法案所要求的。

　　控制自我評估（CSA）是指企業內部為實現目標、控制風險而對內部控制系統的有效性和恰當性實施自我評估的一種方法。國際內部審計師協會（IIA）在1996年研究報告中總結了CSA的三個基本特征：關注業務的過程和控制的成效；由管理部門和職員共同進行；用結構化的方法開展自我評估。CSA最早出現在20世紀80年代末期，但其最主要的發展是在90年代，特別是在1992年COSO報告公布之后。COSO報告首次把內部控制從原來自上而下財務模式的平面結構發展為更全面的企業整體模式的立體框架。傳統的內控評價方法只能用來評價諸如財務報告，資產與記錄的接觸、使用與傳遞，授權授信，崗位分離，數據處理與信息傳遞等的“硬控制”。在新的內部控制模式下，迫切需要評價包括公司治理、高層經營理念與管理風格、職業道德、誠實品質、勝任能力、風險評估等的“軟控制”。在這種情況下，作為一種既可以用來評價傳統的硬控制，又可以用來評價非正式控制即軟控制的機制，CSA得到了普遍的信賴。

　　自評人員首先選擇要評審的內控流程， 然后對其設計的健全、合理性進行評價， 如果設計合理， 則測試其運行的有效性， 最后進行綜合設計測試和運行測試， 評價內控系統設計的合理性和運行的有效性。如果設計測試結果為不合理， 則直接進行內控系統的評價， 而不再進行運行的有效性測試。　

　　內控系統設計測試是指為了確定被審計單位內控政策和程序設計合理、恰當和完善進行的測試。合理的標準即控制設計與目標相關、恰當和完善， 能有效保證信息的機密性、完整性和可用性。運行有效性測試是指為了確定被審計單位的內控政策和程序在實際工作中是否得到貫徹執行， 并發揮應有的作用而進行的測試。執行有效的標準即內控政策和程序在實際工作中得到了貫徹執行并發揮了應有的作用。

　　為了評估企業內部控制水平，指導企業進行差距分析并確定改進目標，建議企業借鑒成熟度理論，描述企業IT控制有效性的各種等級。

　　Level 1 –不可靠級 不可預知的環境，在這種環境中，控制活動沒有設計或不適當；

　　Level 2 –不正式級 控制與披露活動已設計并適當，但沒有充分記錄。控制更大程度上依賴于人，沒有正式的控制活動培訓與溝通；

　　Level 3 –標準級 控制活動已被設計并適當，控制活動已被記錄并在員工之間進行了溝通。控制活動的偏離可能不被發現；

　　Level 4 –監控級 標準化的控制，有定期的有效性測試并向管理層報告，有限的利用自動化工具支持控制活動；

　　Level 5 –優化級 一個整合的內部控制框架和實時的管理層監控與持續改善 （全面風險管理），運用自動化工具支持控制活動，也許組織在需要的時候對控制活動進行快速變更。

　　就某個內部控制目標而言，一些企業可能愿意接受等級不高于3的IT控制。考慮到薩班斯法案 “外部審計師應就控制出具獨立的鑒證”這一要求，審計師對一些關鍵控制活動的有效性水平不能低于3級。

　　自評估的各種控制測試評價，有助于企業監控完善企業內部控制，也有助于管理者對內部控制有效性做出一個明確的評定，并最終以報告書的形式對外呈現，用以表明IT控制系統總體的可靠性及完整性。控制不是一件簡單的事情，而是一個過程，需要對其不斷地評估和改進，以符合當前經營的實際需要。這也必將成為IT部門組織文化的一個部分。

　　內部控制由于成本限制，本身有一定的局限性，只能合理保證實現企業的經營效果、效率，實現合法合規目標以及財務報告的真實性。因此構建IT控制要在發現評估的基礎上，做好風險與控制成本之間的平衡。（作者系同濟大學經濟管理學院管理學博士）