薩班斯法案從根本上改變了企業的經營環境和法律環境，其目的在于通過加強內部控制，來改進公司治理狀況，并最終加強公司的責任。

　　當前IT系統越來越多地對業務經營活動進行自動化處理，這就需要IT提供必要數量的控制程序。因此，遵循薩班斯法案的程序需要包括基于IT系統的控制程序。對大多數企業而言，IT在建立與保持有效的財務報告內部控制方面將發揮重要作用。通過運用整合的ERP系統，或綜合運用各種經營管理、財務管理方面的軟件，IT系統將為有效的財務報告內部控制系統提供強有力的支持。

　　PCAOB第二號審計標準要求了解IT在內部控制環境中的重要性。它特別指出：公司在其信息系統中運用信息技術的狀況，影響著公司財務報告的內部控制。

　　目前我國四大電信運營商全部在美國上市，他們現在正在構建法案要求的內控系統，IT內部控制系統構建及評審是無法繞過的工作。完善內控，特別是電信企業信息化水平很高、業務流程依賴于IT流程的背景下，重視IT內部控制，完善IT內部控制十分迫切。本文討論我國公司如何依據法案的要求在短時間內構建一套IT內控系統， 并通過有效的IT內控評價活動保證其持續健全有效， 以支持CEO 和CFO 的承諾進行初步探討。

　　一、薩班斯法案的要求

　　世通公司造假案件和安然、安達信事件震驚了整個世界， 美國政府認為這是公司上下串通、內外勾結的嚴重結果， 所以法案對公司治理、內部控制及外部審計同時做出了嚴格的要求。明確規定要求建立獨立稱職的審計委員會，管理層要負責內控系統的完善和落實，并對財務報告的真實性負刑事責任 。綜觀整個法案， 最主要的是對公司內控系統的要求， 主要體現在302條款和404 條款。法案對公司內控系統不但規定嚴格， 而且實施要求和指南也在相續出臺， 如SEC 于2003年6月5日根據法案的要求頒布了404條的細化條例， PCAOB于2004 年3月9日發布第2號審計準則， 對公司管理層提出了更明確的要求。

　　1、302條款的要求：

　　該條款要求由首席執行官和財務主管在內的企業管理層，對公司財務報告的內部控制按季度和年度就以下事項發表聲明（予以證實）：

　　●    對建立和維護與財務報告有關的內部控制負責。

　　●    設計了所需的內部控制，以保證這些官員能知道該公司及其并表子公司的所有重大信息，尤其是報告期內的重大信息；

　　●    與財務報告有關的內部控制的任何變更都已得到恰當的披露，這里的變更指最近一個會計季度已經產生，或者合理預期將對于財務報告有關的內部控制產生重大影響的變更。

　　在當前環境下，IT系統驅動著財務報告流程。諸如ERP之類的IT系統緊密地貫穿于企業經濟業務的開始、授權、記錄、處理和報告一整套過程中。就其本身而言，IT系統和整個財務報告流程也是緊密聯系的，為了遵循薩班斯法案，也要對IT內部控制的有效性予以評估。

　　為強調這一點，PCAOB第2號審計標準討論了IT以及IT在測試內部控制設計合理性及運行有效性時的重要意義，并強調指出：[部分]

　　…內部控制，包括與財務報告中所有重要賬戶及披露內容相關的控制政策與程序，都應該予以測試。

　　一般而言，這樣的控制包括IT一般控制，以及其他控制所依賴的控制。

　　2、404條款管理要求

　　薩班斯法案的404條款要求，管理層在其年度文件中提供關于與財務報告有關的內部控制的年度評估報告。管理層的年度報告要求包括以下內容：

　　●    管理層有責任為企業建立和維護恰當的財務報告有關的內部控制。

　　●    識別管理層所采用的內部控制框架以便按要求評估公司與財務報告有關的內部控制的有效性。

　　●    對從一上個會計年度未以來，與財務報告有關的內部控制的有效性予以評估，其內容也包括有關與財務報告有關的內部控制是否有效的公開聲明。

　　●    年度審計報告中，注冊會計師事務所發表的財務審計報告，包括管理層對與財務報告有關的內部控制有效性評估的證明報告。

　　●    管理層關于公司針對財務報告內部控制有效性評估的書面結論，應包含在其對財務報告內部控制的報告和其對審計師的信函中。這一書面結論可采取多種形式，但是管理層對公司面向財務報告的內部控制的有效性必須發表直接意見

　　●    如果與財務報告有關的內部控制中有一個或多個重要缺陷，管理層將不能對財務報告的內部控制有效性做出評估結論，而且，管理層應該披露自最近一個會計年度未以來財務報告內部控制方面的所有重要缺陷。

　　面向財務報告的內部控制在這一會計期間可能存在一個或多個重要缺陷，但管理層仍可能會報告“從最近一個會計年度未起（上個會計年度未起），與財務報告有關的內部控制是有效的”。如果要做出這樣的結論，管理層必須在評估日前已經改進了內部控制，消除了已有的缺陷，并在運行和測試其有效性后得到了滿意的結果，測試的時間足以讓管理層認為，從本會計年度起，與財務報告有關的內部控制設計合理、運行有效。

　　審計師需要合理地確定管理層的認定目標或審計目的（從而依此來收集審計證據），以支持管理層對內部控制有效性的評估結論。通過對審計師在這一過程中所應遵循程序的描述，PCAOB第二號審計標準接著指出：

　　公司在對財務報告做出確認時需要借助于企業的IT系統。為了識別管理層對財務報告所作的相關認定，審計師應考慮每個重要賬戶潛在錯報、漏報產生的原因。在決定一個認定是否與某一重要賬戶余額或其披露相關時，審計師應該評價IT系統的性質、復雜程度以及企業IT的使用狀況。

　　PCAOB第2號審計標準還專門講述了IT在期末財務報告中運用，它指出：…要了解期末財務報告的提供過程，審計師就應在每一會計期末評估IT在該過程中的應用范圍。……[部分]

　　因此所有企業構建IT內部控制至少都應具備以下三層通用要素：企業管理層，業務流程和共享服務。

　　二、我國電信運營企業面臨的挑戰

　　由于電信企業的信息化水平比較高，業務對IT的依賴程度也比較高。因此依照薩班斯法案要求，完善與財務報告有關的內部控制時，電信企業的內部控制幾乎離不開IT，即使業務控制也是在IT支持環境下的控制。因此，電信企業完善內部控制幾乎可以說是完善IT內部控制，包括IT一般控制和IT應用控制。但我們的現狀不容樂觀。

　　1 IT專業人士，尤其是管理層，缺乏內部控制理論與實踐來滿足薩班斯法案的要求。

　　法案的要求使很多人認為，IT專業人士應該對其負責的IT系統所產生的信息質量及完整性負責，但問題在于，大多數IT專業人士對復雜的內部控制并不精通或了解，難負其責。盡管這并不說明IT人員沒有參與風險管理，但至少IT管理層沒有按照組織管理層或審計師所要求的形式進行正式的、規范化的風險管理。 PCAOB指出首席信息官（CIO）們現在必須面對以下的挑戰：（1）增強他們有關內部控制方面的知識；（2）理解企業所制定的總的SOX遵循計劃；（3）專門針對IT控制擬定一個遵循執行計劃；（4）把這個計劃與總體的SOX遵循計劃相整合。

　　2 缺乏系統的內部控制制度

　　事實上，每個電信企業都或多或少會都有一些IT內部控制制度，正是由于第一點原因，這些制度基本是由技術管理者制定，他們缺乏規范化風險管理的經驗，這些IT控制制度可能不太規范，控制政策程序不太完善， IT控制制度一般存在于系統安全和變更管理等一些一般控制領域，缺乏從公司透明度角度出發的、結合支持業務流程的完整的內部控制制度。所以這也是在國內企業在符合薩班斯法案的道路上，問題最多的領域。

　　2現有的IT內部控制不具有可審計性

　　薩班斯法案相關的條款要求上市公司必須有足夠的證據證明內部控制的有效性，這就要求企業必須有完善的內部控制流程及審計軌跡，在控制發揮作用的同時生成相應的文檔記錄，以便在對內部控制設計及運行的有效性進行評價時有足夠的證據。我國的電信運營商的IT控制程序相對其他行業企業而言還是比較完善的，但距離薩班斯法案的要求還很遠。很大的一個差距是我們內部控制流程設計及運行的可審計性不具備。很多企業有厚厚的規章制度，但是否執行、執行是否有效卻沒有關注、或沒有證據進行評價。

　　因此，我們構建IT內部控制系統時必須從全局考慮，借鑒國際內部控制框架及國際最佳實踐經驗，構建一套系統化、標準化、可審計、可持續改進的IT內部控制系統。

　　三 構建IT內控系統的思路

　　（1）不能因耗時且成本高昂就摒棄原有的IT控制而另搞一套。SEC管制條款內容復雜，為了滿足薩班斯法案的要求，大多數企業需要調整其員工觀念和企業文化，通常也需要對IT系統和其處理流程作一些改進，改進的內容包括其控制設計、控制文件、控制文件的保留，以及IT控制的評估等方面。這是一個循序漸進的過程，不能將原有的一切推倒重來。

　　（2）要選擇好內控框架。法案并沒有規定公司必須選擇什么樣的內控框架， 需要企業自己抉擇。國際上比較有名的內控模式有英國的Cadbury、美國的COSO 和加拿大的COCO , 它們從不同的角度剖析公司的經營管理活動， 為營造良好的內控框架提供了一系列的趨于一致的政策和建議。第2號審計標準依據COSO制定的內部控制框架制訂，在“管理層用于開展其評估的框架”一節中，明確管理層要依據一個適宜且公認的由專家群體遵照應有的程序制定的控制框架，來評估公司財務報告內部控制的有效性。SEC對該標準的認同等于從另外一個側面承認COSO框架。COSO 認為內控是由企業董事會、經理層和其他員工實施的， 為營運的效率效果、財務報告的可靠性及相關法令的遵循性等目標的達成提供合理保證的過程。內控框架的構成要素包括控制環境、風險評估、控制活動、信息和溝通、監督五個方面。這套理論得到了包括SEC、公司管理者、投資者、債權人及專家學者的普遍認可， 國外許多公司都依據這個框架建立了內控系統， 我國公司也可以按COSO 建立內控框架， 逐步與國際管理模式接軌。通過引入COSO 內控要素， 形成一個相互聯系、綜合作用的控制整體， 使單純的控制活動與企業環境、管理目標及控制風險相結合， 形成一套不斷改進、自我完善的內控機制。

　　但是很明顯，SEC所推薦的COSO控制框架有助于遵循薩班斯法案，雖然它針對的是內部控制，但沒有對IT控制目標和相關控制活動提出具體的要求與限制。由于COSO框架缺少對IT內部控制的內容，所以單獨以COSO為構建IT內部控制的框架顯然是不合適的。COBIT為管理IT風險與IT控制提供了一個綜合性的分析框架，是另外一個被國際認可的業內標準，由4大部分、34個IT處理流程、318個詳細控制目標組成。COBIT也涉及企業經營、薩班斯法案遵循等方面的控制。但在薩班斯法案要求下，我們只考慮應用COBIT中與財務報告相關的控制。

　　因此Cobit與COSO結合作為構建IT內部控制框架，將是兩種國際標準優勢互補。同時在確定控制點、控制程序、留下相應審計軌跡時，也可以參考BS15000以及ISO17799等一些國際標準，這些標準都是IT運營、安全方面可審計的一套標準管理控制體系。

　　（3）要建立一套自評估機制，確保內部控制系統的持續有效

　　從歷史來看， 企業的發展階段和管理狀況，以及外部環境的變化都是決定企業內控系統建立和運行有效的前提。任何內部控制系統都只是在一個特定的歷史階段有效，管理層對內部控制有效性的聲明，要求公司必須建立一套自我評價機制，評價內部控制系統設計、執行是否有效，以支持管理層的聲明。同時自我評估機制也可以幫助公司發現控制弱的區域，以及控制漏洞，及時審勢度勢，彌補內控系統的缺陷，確保內部控制系統持續有效。這也是薩班斯法案所要求的。

　　控制自我評估（CSA）是指企業內部為實現目標、控制風險而對內部控制系統的有效性和恰當性實施自我評估的方法。國際內部審計師協會（IIA）在1996年的研究報告中總結了CSA的三個基本特征：關注業務的過程和控制的成效；由管理部門和職員共同進行；用結構化的方法開展自我評估。CSA最早出現在20世紀80年代末期，但其最主要的發展是在90年代，特別是在1992年COSO報告公布之后。COSO報告首次把內部控制從原來自上而下財務模式的平面結構發展為更具彈性的企業整體模式的立體框架。傳統的內控評價方法只能用來評價諸如財務報告，資產與記錄的接觸、使用與傳遞，授權授信，崗位分離，數據處理與信息傳遞等的“硬控制”。在新的內部控制模式下，迫切需要評價包括公司治理，高層經營理念與管理風格，職業道德，誠實品質，勝任能力，風險評估等的“軟控制”。在這種情況下，作為一種既可以用來評價傳統的硬控制，又可以用來評價非正式控制即軟控制的機制，CSA得到了普遍的信賴。

　　自評人員首先選擇要評審的內控流程， 然后對其設計的健全性進行評價， 如果健全， 則測試其運行的有效性， 最后綜合設計測試和運行測試， 評價內控系統的健全性和有效性。如果設計測試結果為不健全， 則直接進行內控系統的評價， 而不再進行運行的有效性測試。

　　內控系統設計測試是指為了確定被審計單位內控政策和程序設計是否合理、恰當和完善進行的測試。健全的標準即設計合理、恰當和完善， 能有效保證信息的機密性、完整性和可用性。運行有效性測試是指， 為了確定被審計單位的內控政策和程序在實際工作中是否得到貫徹執行， 并發揮應有的作用而進行的測試。有效的標準即內控政策和程序在實際工作中得到了貫徹執行并發揮了應有的作用。

　　控制運行的有效性評估。一旦控制設計的評估結果認為內部控制設計適當，就需要對其目前和以后的運行是否有效予以測試，而該測試由控制負責人及內部控制程序管理團隊來進行。

　　一般而言，有些控制（如一般控制）程序是其他控制程序（如應用控制）的基礎，企業組織對這些控制的測試范圍應更廣、頻率更高。判斷測試范圍是否恰當時，組織應該考慮IT控制是如何影響財務信息披露與報告過程的。

　　一些企業利用外部服務機構所提供的外包服務，這也應該視為企業整個經營職責的一部分，在整個IT內部控制程序中應予以考慮。

　　在這種情況下，組織在確定其內部控制的可靠性時，應復核服務機構所提供的控制活動，并將其記錄下來，以便獨立審計師收集內部控制是否有效的證據。因此，在決定證據的充分性、適當性時，就有必要評估外包服務機構的整體狀況。

　　綜合前面的各種控制測試評價，對內部控制有效性作出一個明確的評定，并最終以管理報告書的形式呈現，以供高級經理人員參考，用以表明IT控制系統總體的可靠性及完整性。控制不是一件簡單的事情，而是一個過程，需要對其不斷的評估，不斷的改進，以符合當前經營的實際需要。這也必將成為IT部門組織文化的一個部分。