1997年的亞洲金融危機(jī)、美國(guó)股市相繼爆出的安然、世通等一系列丑聞，我國(guó)出現(xiàn)的藍(lán)田股份和銀廣夏的利潤(rùn)神話(huà)破滅事件，以及我國(guó)近期相繼出現(xiàn)的上市公司高管涉案，完善公司治理機(jī)制、有效管理企業(yè)風(fēng)險(xiǎn)正在成為企業(yè)議事日程中最重要和最迫切的任務(wù)。我國(guó)政府將建立有效的公司治理結(jié)構(gòu)視為“現(xiàn)代企業(yè)制度”建設(shè)的核心內(nèi)容，而加入WTO的承諾使得全面系統(tǒng)地處理這一問(wèn)題顯得更加緊迫。國(guó)務(wù)院國(guó)資委主任李榮融說(shuō)，目前上市公司所出現(xiàn)的問(wèn)題都與公司治理結(jié)構(gòu)不完善有關(guān)。國(guó)資委要與證監(jiān)會(huì)聯(lián)合推動(dòng)國(guó)有企業(yè)完善公司治理結(jié)構(gòu)。

　　公司治理的效率、效果直接依賴(lài)于許多的制度要素。這既包括審計(jì)和信息披露的質(zhì)量，也包括法律系統(tǒng)對(duì)契約的監(jiān)督以及對(duì)外部投資者的保護(hù)能力等。例如，在逆向選擇的框架下，我們可以看到：一個(gè)更好的會(huì)計(jì)標(biāo)準(zhǔn)和更及時(shí)的信息披露要求將大大減輕經(jīng)理人與外部投資者之間的信息不對(duì)稱(chēng)，從而便利了融資，降低了代理風(fēng)險(xiǎn)。因此，公司治理的核心問(wèn)題是信息不對(duì)稱(chēng)性或不完全性，解決公司治理問(wèn)題，最核心的是公司信息的真實(shí)、準(zhǔn)確以及處理與傳遞的效率問(wèn)題，而IT技術(shù)在實(shí)時(shí)披露、實(shí)現(xiàn)透明度原則和體現(xiàn)監(jiān)控力度上正日益成為有效的工具。2002年美國(guó)頒布的《薩班斯法案》對(duì)公眾公司提出了更高的要求，法案的409條款要求上市公司必須向投資者實(shí)時(shí)披露必要的信息，包括圖片、表格等信息，302、404條款要求公司應(yīng)定期評(píng)價(jià)其信息系統(tǒng)及其內(nèi)部控制的充分性來(lái)保證提供給投資者信息的準(zhǔn)確和完整，強(qiáng)調(diào)公司管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任。因此，研究IT治理，加強(qiáng)IT控制，降低風(fēng)險(xiǎn)，有效地實(shí)現(xiàn)公司治理，成為全球關(guān)注的問(wèn)題。

　　公司治理是建立組織各利益相關(guān)者之間的相互制衡機(jī)制，管理風(fēng)險(xiǎn)，有效實(shí)現(xiàn)組織目標(biāo)的一系列過(guò)程及制度。內(nèi)部控制制度是實(shí)現(xiàn)善治的制度安排之一。IT治理是實(shí)現(xiàn)公司治理的工具。IT治理不等于治理IT技術(shù)，它是一個(gè)信息時(shí)代背景下的制度安排，包括內(nèi)部控制、審計(jì)以及公司信息的披露等。IT內(nèi)控是內(nèi)控的一個(gè)組成部分，信息時(shí)代，企業(yè)管理信息化水平日益提高，信息資產(chǎn)成為企業(yè)的核心價(jià)值資產(chǎn)，IT在給企業(yè)帶來(lái)競(jìng)爭(zhēng)力的同時(shí)，也帶來(lái)了極大的風(fēng)險(xiǎn)。因此利用IT技術(shù)加強(qiáng)內(nèi)部控制，并對(duì)信息系統(tǒng)自身加強(qiáng)管理控制，成為公司治理及IT治理必不可少的組成部分。IT內(nèi)控是強(qiáng)化風(fēng)險(xiǎn)管理，完善信息時(shí)代公司治理的必要手段。IT治理、內(nèi)部控制、審計(jì)、風(fēng)險(xiǎn)管理體系等都是促進(jìn)公司治理的有效工具。

　　SOX法案的出臺(tái)，對(duì)企業(yè)的公司治理、IT治理及IT內(nèi)控提出了更嚴(yán)格的要求。

　　一、SOX法案的要求：

　　1.對(duì)公司治理的要求：

　?。?）要求上市公司必須建立審計(jì)委員會(huì)，并對(duì)審計(jì)委員會(huì)的人員組成做出了規(guī)定，保證審計(jì)委員會(huì)的獨(dú)立性，同時(shí)賦予審計(jì)委員會(huì)更多的責(zé)任：《薩班斯-奧克斯萊法》，及其緊接著全美證券交易商協(xié)會(huì)和紐約證券交易所于2003年11月又發(fā)布的新的公司治理最終規(guī)則詳細(xì)地界定了審計(jì)委員會(huì)的職責(zé)， 具體來(lái)說(shuō)應(yīng)包括：1）每年獲取并審查獨(dú)立董事提交的報(bào)告。2）與管理當(dāng)局、獨(dú)立審計(jì)師一起討論經(jīng)審計(jì)的公司年度財(cái)務(wù)報(bào)表和季度財(cái)務(wù)報(bào)表，包括公司在“管理當(dāng)局對(duì)財(cái)務(wù)狀況和經(jīng)營(yíng)結(jié)果的討論和分析”項(xiàng)目中進(jìn)行公告的財(cái)務(wù)事項(xiàng)。3）討論公司收入公告及向分析師和評(píng)估機(jī)構(gòu)的財(cái)務(wù)信息、收益指南。4）討論風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)管理政策。5）分別與管理當(dāng)局、內(nèi)部審計(jì)師（或其他負(fù)責(zé)內(nèi)部審計(jì)機(jī)構(gòu)的人員）和獨(dú)立審計(jì)師定期會(huì)面。6）與獨(dú)立審計(jì)師討論所有的審計(jì)難題以及管理當(dāng)局的反應(yīng)。7）制定清晰的關(guān)于聘用現(xiàn)任或前任獨(dú)立審計(jì)師的政策。8）定期向董事會(huì)報(bào)告

　?。?）增加高管人員及董事會(huì)的責(zé)任：CEOs and CFOs必須保證財(cái)務(wù)報(bào)告真實(shí)，要求發(fā)行人的CEO和CFO保證定期報(bào)告沒(méi)有對(duì)重大事件的不真實(shí)表述，也沒(méi)有遺漏必須披露的重大事件，并保證財(cái)務(wù)報(bào)告在所有重大方面都公允反映了發(fā)行人的財(cái)務(wù)狀況和經(jīng)營(yíng)成果。在此基礎(chǔ)上，法案單獨(dú)規(guī)定了對(duì)管理人員證明財(cái)務(wù)報(bào)告時(shí)失職的刑事處罰。CEO和CFO如果知道定期報(bào)告不符合上述要求但仍然做出保證的，將判處不超過(guò)100萬(wàn)美元的罰款，或是不超過(guò)10年的監(jiān)禁，或是二者同罰；如果是蓄意做出書(shū)面保證的，將判處不超過(guò)500萬(wàn)的罰款，或是不超過(guò)20年的監(jiān)禁，或是二者同罰。

　　2.薩班斯法案對(duì)內(nèi)控的要求：

　?。?）法案302要求：公司管理層設(shè)計(jì)所需的內(nèi)部控制，并保證首席官員能知道該公司及其合并報(bào)表子公司的所有重大信息，尤其是報(bào)告期內(nèi)的重大信息；評(píng)價(jià)公司的內(nèi)部控制在簽署報(bào)告前90天內(nèi)的有效性；在該定期報(bào)告中發(fā)布他們上述評(píng)價(jià)的結(jié)論。

　?。?）法案404節(jié)要求：編制的年度報(bào)告中包括內(nèi)部控制報(bào)告，包括：強(qiáng)調(diào)公司管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任；發(fā)行人管理層最近財(cái)政年度末對(duì)內(nèi)部控制體系及控制程序有效性的評(píng)價(jià)

　　3.薩班斯對(duì)審計(jì)師的要求：增加了審計(jì)師對(duì)信息系統(tǒng)的審計(jì)，要求審計(jì)師必須了解業(yè)務(wù)如何穿過(guò)系統(tǒng)，而不是繞過(guò)系統(tǒng)。審計(jì)師必須了解業(yè)務(wù)流程，評(píng)價(jià)IT 應(yīng)用控制與一般控制的設(shè)計(jì)及效果。評(píng)價(jià) IT 控制設(shè)計(jì)效果，確定這些控制設(shè)計(jì)是否適當(dāng)?shù)貙?shí)現(xiàn)相關(guān)目標(biāo)。實(shí)施IT控制執(zhí)行效果測(cè)試。

　　二、對(duì)上市電信運(yùn)營(yíng)商的挑戰(zhàn)

　　薩班斯法案對(duì)高管?chē)?yán)格的法律處罰令其中許多公司的最高管理層都如坐針氈、夜不能寐。美國(guó)有多達(dá)5000家大中型公眾公司在2004年11月15日后結(jié)束的財(cái)政年度中緊張異常，這而對(duì)于公司治理尚不完善的中國(guó)電信企業(yè)領(lǐng)導(dǎo)來(lái)說(shuō)，更是意味著要承擔(dān)重大國(guó)際法律責(zé)任的風(fēng)險(xiǎn)。公司治理決定企業(yè)的興衰，企業(yè)的興衰決定國(guó)家的興衰，因此公司治理建設(shè)不能出現(xiàn)任何重大失誤。

　　我國(guó)電信企業(yè)在公司治理制度在股份制改造過(guò)程逐步發(fā)展，中國(guó)網(wǎng)通借美國(guó)上市契機(jī)建立了新型的公司治理結(jié)構(gòu)，董事長(zhǎng)與CEO分離，在董事會(huì)下設(shè)4個(gè)委員會(huì)：審計(jì)委員會(huì)、戰(zhàn)略規(guī)劃委員會(huì)、公司治理委員會(huì)和薪酬委員會(huì)。2005年3月7日，在京召開(kāi)的中國(guó)電信集團(tuán)實(shí)業(yè)工作會(huì)議明確：經(jīng)過(guò)3年左右的時(shí)間，逐步規(guī)范法人治理結(jié)構(gòu)。由于我們的企業(yè)處于社會(huì)轉(zhuǎn)型的特定時(shí)期，公司治理水平與日、美等發(fā)達(dá)國(guó)家有一定的差距。信息產(chǎn)業(yè)部電信研究院公布的《中國(guó)電信業(yè)國(guó)際競(jìng)爭(zhēng)力發(fā)展報(bào)告（2004年）》顯示，我國(guó)電信業(yè)國(guó)際競(jìng)爭(zhēng)力在全世界主要國(guó)家和地區(qū)中（共33個(gè)國(guó)家和地區(qū)）排名第14位，然而細(xì)細(xì)看來(lái)，卻發(fā)現(xiàn)了很多隱憂(yōu)。報(bào)告將國(guó)際競(jìng)爭(zhēng)力解析為3大競(jìng)爭(zhēng)力：環(huán)境競(jìng)爭(zhēng)力、市場(chǎng)競(jìng)爭(zhēng)力和企業(yè)競(jìng)爭(zhēng)力，其中企業(yè)競(jìng)爭(zhēng)力排名27，企業(yè)競(jìng)爭(zhēng)力指數(shù)包括“技術(shù)創(chuàng)新”、“生產(chǎn)率”和“公司治理結(jié)構(gòu)”，排名分別為18、28和21.不難看出，目前我國(guó)電信企業(yè)的公司治理水平。要成為電信強(qiáng)國(guó)，環(huán)境競(jìng)爭(zhēng)力、市場(chǎng)競(jìng)爭(zhēng)力和企業(yè)競(jìng)爭(zhēng)力三者缺一不可，因此，我國(guó)目前距離電信強(qiáng)國(guó)還有較大差距。從分析要素來(lái)看，法律和制度框架、政府效率，以及企業(yè)技術(shù)創(chuàng)新、公司治理結(jié)構(gòu)等 “軟件”能力偏弱，單條腿走路。我國(guó)幾大運(yùn)營(yíng)商中雖然已經(jīng)有中國(guó)移動(dòng)和中國(guó)電信進(jìn)入了財(cái)富500強(qiáng)，雖然幾大運(yùn)營(yíng)商均已上市實(shí)現(xiàn)了公司化治理，但由于脫胎于老的國(guó)有企業(yè)，因此公司管理能力和治理結(jié)構(gòu)仍有待提高。因此，提高企業(yè)競(jìng)爭(zhēng)力，就應(yīng)該從改善公司治理結(jié)構(gòu)做起。

　　三、運(yùn)用信息化手段，完善公司治理

　　1.完善公司治理機(jī)制。我國(guó)電信運(yùn)營(yíng)商需要健全公司內(nèi)部治理的規(guī)則和程序、建立公司的合法守規(guī)管理、完善約束與激勵(lì)機(jī)制、加強(qiáng)公司的內(nèi)部控制體系以及建立公司的風(fēng)險(xiǎn)管理與控制機(jī)制。雖然在現(xiàn)有的公司治理結(jié)構(gòu)中，有些公司也有審計(jì)委員會(huì)、獨(dú)立董事等監(jiān)督機(jī)制，但這些人員的任職資格、發(fā)揮作用的程度、以及職責(zé)定位等都需要進(jìn)一步改進(jìn)。

　　2、利用信息技術(shù)，完善公司治理的監(jiān)控體系。公司治理是一種對(duì)公司管理和運(yùn)營(yíng)進(jìn)行監(jiān)督和控制的體系。其核心是在所有權(quán)和經(jīng)營(yíng)權(quán)分離的條件下，解決好所有者和經(jīng)營(yíng)者的利益不一致而產(chǎn)生的委托-代理關(guān)系。由于委托人（所有者）和代理人（經(jīng)營(yíng)者）是不同的利益主體，委托人（所有者）與代理人（經(jīng)營(yíng)者）相比處于信息劣勢(shì)的情況下，必然有代理成本或激勵(lì)問(wèn)題的產(chǎn)生。為完善公司治理，必須重視委托與代理之間的信息不對(duì)稱(chēng)問(wèn)題，通過(guò)對(duì)公司重要信息有效的傳遞、鑒別和處理，使代理成本最小化，提高企業(yè)的經(jīng)營(yíng)績(jī)效。薩班斯法案強(qiáng)化公司治理要求的目的也是提高上市公司透明度，提高公布信息的質(zhì)量，加強(qiáng)信息披露，從而保護(hù)投資者的利益。

　　在市場(chǎng)經(jīng)濟(jì)中，信息交換是否充分，是否對(duì)稱(chēng)，直接關(guān)系到市場(chǎng)經(jīng)濟(jì)是否公平、是否有效。為了保證信息公平、公開(kāi)，人們?cè)O(shè)立了一系列內(nèi)外部機(jī)制。獨(dú)立董事?lián)蔚膶徲?jì)委員會(huì)，公司聘請(qǐng)的會(huì)計(jì)師事務(wù)所都層層對(duì)公司財(cái)務(wù)信息的真實(shí)性、準(zhǔn)確性、及時(shí)性進(jìn)行審核、這些約束與激勵(lì)機(jī)制的有效性取決于公司信息真實(shí)與準(zhǔn)確性和處理與傳遞效率的問(wèn)題。在這點(diǎn)上，IT技術(shù)正成為日益有效的工具。

　　薩班斯302、404、以及409等條款對(duì)公司的要求，使得IT在公司治理機(jī)制中的作用日益凸現(xiàn)。由于信息技術(shù)不以人們的意志為轉(zhuǎn)移地在各類(lèi)組織中的普遍應(yīng)用，IT在各類(lèi)組織中的多層次、橫縱向嵌入，正在改變著組織的業(yè)務(wù)流程，進(jìn)而改變組織的結(jié)構(gòu)、組織的管理及公司治理；特別是電信企業(yè)對(duì)IT的依賴(lài)性非常大，沒(méi)有相應(yīng)IT治理機(jī)制的公司治理，使無(wú)法滿(mǎn)足薩班斯的嚴(yán)格要求的。由于IT治理已成為完善公司治理的重要手段，成為實(shí)現(xiàn) IT與業(yè)務(wù)的匹配管理、IT價(jià)值貢獻(xiàn)管理、IT風(fēng)險(xiǎn)管理、IT績(jī)效管理等的重要保證，花旗銀行等美國(guó)大金融企業(yè)已經(jīng)引進(jìn)或正在引進(jìn)IT治理機(jī)制。

　　國(guó)資委連續(xù)舉辦的旨在推動(dòng)企業(yè)建立全面風(fēng)險(xiǎn)管理系統(tǒng)，進(jìn)一步完善公司治理機(jī)制的企業(yè)全面風(fēng)險(xiǎn)管理培訓(xùn)上，也提到在公司董事會(huì)層面建立IT治理委員會(huì)，建立IT治理機(jī)制，完善信息時(shí)代的公司治理，促進(jìn)現(xiàn)有公司治理制度安排的有效執(zhí)行。但由于信息技術(shù)在治理方面所具有的復(fù)雜性，完善IT治理機(jī)制，構(gòu)建符合薩班斯要求、適應(yīng)時(shí)代發(fā)展的公司治理機(jī)制任重道遠(yuǎn)。

　　構(gòu)建IT內(nèi)控系統(tǒng)的思路

　?。?）不能因耗時(shí)且成本高昂就摒棄原有的IT控制而另搞一套。SEC管制條款內(nèi)容復(fù)雜，為了滿(mǎn)足薩班斯法案的要求，大多數(shù)企業(yè)需要調(diào)整其員工觀(guān)念和企業(yè)文化，通常也需要對(duì)IT系統(tǒng)和其處理流程作一些改進(jìn)，改進(jìn)的內(nèi)容包括其控制設(shè)計(jì)、控制文件、控制文件的保留，以及IT控制的評(píng)估等方面。這是一個(gè)循序漸進(jìn)的過(guò)程，不能將原有的一切推倒重來(lái)。

　?。?）要選擇好內(nèi)控框架。法案并沒(méi)有規(guī)定公司必須選擇什么樣的內(nèi)控框架， 需要企業(yè)自己抉擇。國(guó)際上比較有名的內(nèi)控模式有英國(guó)的Cadbury、美國(guó)的COSO 和加拿大的COCO ， 它們從不同的角度剖析公司的經(jīng)營(yíng)管理活動(dòng)， 為營(yíng)造良好的內(nèi)控框架提供了一系列的趨于一致的政策和建議。第2號(hào)審計(jì)標(biāo)準(zhǔn)依據(jù)COSO制定的內(nèi)部控制框架制訂，在“管理層用于開(kāi)展其評(píng)估的框架”一節(jié)中，明確管理層要依據(jù)一個(gè)適宜且公認(rèn)的由專(zhuān)家群體遵照應(yīng)有的程序制定的控制框架，來(lái)評(píng)估公司財(cái)務(wù)報(bào)告內(nèi)部控制的有效性。SEC對(duì)該標(biāo)準(zhǔn)的認(rèn)同等于從另外一個(gè)側(cè)面承認(rèn)COSO框架。COSO 認(rèn)為內(nèi)控是由企業(yè)董事會(huì)、經(jīng)理層和其他員工實(shí)施的， 為營(yíng)運(yùn)的效率效果、財(cái)務(wù)報(bào)告的可靠性及相關(guān)法令的遵循性等目標(biāo)的達(dá)成提供合理保證的過(guò)程。內(nèi)控框架的構(gòu)成要素包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和溝通、監(jiān)督五個(gè)方面。這套理論得到了包括SEC、公司管理者、投資者、債權(quán)人及專(zhuān)家學(xué)者的普遍認(rèn)可， 國(guó)外許多公司都依據(jù)這個(gè)框架建立了內(nèi)控系統(tǒng)， 我國(guó)公司也可以按COSO 建立內(nèi)控框架， 逐步與國(guó)際管理模式接軌。通過(guò)引入COSO 內(nèi)控要素， 形成一個(gè)相互聯(lián)系、綜合作用的控制整體， 使單純的控制活動(dòng)與企業(yè)環(huán)境、管理目標(biāo)及控制風(fēng)險(xiǎn)相結(jié)合， 形成一套不斷改進(jìn)、自我完善的內(nèi)控機(jī)制。

　　但是很明顯，SEC所推薦的COSO控制框架有助于遵循薩班斯法案，雖然它針對(duì)的是內(nèi)部控制，但沒(méi)有對(duì)IT控制目標(biāo)和相關(guān)控制活動(dòng)提出具體的要求與限制。由于COSO框架缺少對(duì)IT內(nèi)部控制的內(nèi)容，所以單獨(dú)以COSO為構(gòu)建IT內(nèi)部控制的框架顯然是不合適的。COBIT為管理IT風(fēng)險(xiǎn)與IT控制提供了一個(gè)綜合性的分析框架，是另外一個(gè)被國(guó)際認(rèn)可的業(yè)內(nèi)標(biāo)準(zhǔn)，由4大部分、34個(gè)IT處理流程、318個(gè)詳細(xì)控制目標(biāo)組成。COBIT也涉及企業(yè)經(jīng)營(yíng)、薩班斯法案遵循等方面的控制。但在薩班斯法案要求下，我們只考慮應(yīng)用COBIT中與財(cái)務(wù)報(bào)告相關(guān)的控制。

　　因此Cobit與COSO結(jié)合作為構(gòu)建IT內(nèi)部控制框架，將是兩種國(guó)際標(biāo)準(zhǔn)優(yōu)勢(shì)互補(bǔ)。同時(shí)在確定控制點(diǎn)、控制程序、留下相應(yīng)審計(jì)軌跡時(shí)，也可以參考BS15000以及ISO17799等一些國(guó)際標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)都是IT運(yùn)營(yíng)、安全方面可審計(jì)的一套標(biāo)準(zhǔn)管理控制體系。

　?。?）要建立一套自評(píng)估機(jī)制，確保內(nèi)部控制系統(tǒng)的持續(xù)有效

　　從歷史來(lái)看， 企業(yè)的發(fā)展階段和管理狀況，以及外部環(huán)境的變化都是決定企業(yè)內(nèi)控系統(tǒng)建立和運(yùn)行有效的前提。任何內(nèi)部控制系統(tǒng)都只是在一個(gè)特定的歷史階段有效，管理層對(duì)內(nèi)部控制有效性的聲明，要求公司必須建立一套自我評(píng)價(jià)機(jī)制，評(píng)價(jià)內(nèi)部控制系統(tǒng)設(shè)計(jì)、執(zhí)行是否有效，以支持管理層的聲明。同時(shí)自我評(píng)估機(jī)制也可以幫助公司發(fā)現(xiàn)控制弱的區(qū)域，以及控制漏洞，及時(shí)審勢(shì)度勢(shì)，彌補(bǔ)內(nèi)控系統(tǒng)的缺陷，確保內(nèi)部控制系統(tǒng)持續(xù)有效。這也是薩班斯法案所要求的。

　　控制自我評(píng)估（CSA）是指企業(yè)內(nèi)部為實(shí)現(xiàn)目標(biāo)、控制風(fēng)險(xiǎn)而對(duì)內(nèi)部控制系統(tǒng)的有效性和恰當(dāng)性實(shí)施自我評(píng)估的方法。國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）在1996年的研究報(bào)告中總結(jié)了CSA的三個(gè)基本特征：關(guān)注業(yè)務(wù)的過(guò)程和控制的成效；由管理部門(mén)和職員共同進(jìn)行；用結(jié)構(gòu)化的方法開(kāi)展自我評(píng)估。CSA最早出現(xiàn)在20世紀(jì)80年代末期，但其最主要的發(fā)展是在90年代，特別是在1992年COSO報(bào)告公布之后。COSO報(bào)告首次把內(nèi)部控制從原來(lái)自上而下財(cái)務(wù)模式的平面結(jié)構(gòu)發(fā)展為更具彈性的企業(yè)整體模式的立體框架。傳統(tǒng)的內(nèi)控評(píng)價(jià)方法只能用來(lái)評(píng)價(jià)諸如財(cái)務(wù)報(bào)告，資產(chǎn)與記錄的接觸、使用與傳遞，授權(quán)授信，崗位分離，數(shù)據(jù)處理與信息傳遞等的“硬控制”。在新的內(nèi)部控制模式下，迫切需要評(píng)價(jià)包括公司治理，高層經(jīng)營(yíng)理念與管理風(fēng)格，職業(yè)道德，誠(chéng)實(shí)品質(zhì)，勝任能力，風(fēng)險(xiǎn)評(píng)估等的“軟控制”。在這種情況下，作為一種既可以用來(lái)評(píng)價(jià)傳統(tǒng)的硬控制，又可以用來(lái)評(píng)價(jià)非正式控制即軟控制的機(jī)制，CSA得到了普遍的信賴(lài)。

　　圖1 自評(píng)估流程（略）

　　如圖1所示，自評(píng)人員首先選擇要評(píng)審的內(nèi)控流程， 然后對(duì)其設(shè)計(jì)的健全性進(jìn)行評(píng)價(jià)， 如果健全， 則測(cè)試其運(yùn)行的有效性， 最后綜合設(shè)計(jì)測(cè)試和運(yùn)行測(cè)試， 評(píng)價(jià)內(nèi)控系統(tǒng)的健全性和有效性。如果設(shè)計(jì)測(cè)試結(jié)果為不健全， 則直接進(jìn)行內(nèi)控系統(tǒng)的評(píng)價(jià)， 而不再進(jìn)行運(yùn)行的有效性測(cè)試。

　　內(nèi)控系統(tǒng)設(shè)計(jì)測(cè)試是指為了確定被審計(jì)單位內(nèi)控政策和程序設(shè)計(jì)是否合理、恰當(dāng)和完善進(jìn)行的測(cè)試。健全的標(biāo)準(zhǔn)即設(shè)計(jì)合理、恰當(dāng)和完善， 能有效保證信息的機(jī)密性、完整性和可用性。運(yùn)行有效性測(cè)試是指， 為了確定被審計(jì)單位的內(nèi)控政策和程序在實(shí)際工作中是否得到貫徹執(zhí)行， 并發(fā)揮應(yīng)有的作用而進(jìn)行的測(cè)試。有效的標(biāo)準(zhǔn)即內(nèi)控政策和程序在實(shí)際工作中得到了貫徹執(zhí)行并發(fā)揮了應(yīng)有的作用。

　　為了幫助評(píng)估控制設(shè)計(jì)，圖2（略）提供了一個(gè)IT控制設(shè)計(jì)與運(yùn)行有效性模型，它將依賴(lài)于企業(yè)所達(dá)到的狀態(tài)、階段，我們認(rèn)為有必要花時(shí)間來(lái)改進(jìn)控制程序的設(shè)計(jì)和有效性。

　　圖2顯示了企業(yè)中存在的控制可靠性的各種等級(jí)。就建立內(nèi)部控制目標(biāo)而言，一些企業(yè)可能愿意接受等級(jí)不高于3的IT內(nèi)部控制。然而，考慮到薩班斯法案要求的“外部審計(jì)師應(yīng)就控制出具獨(dú)立的證據(jù)”這一要求，對(duì)一些關(guān)鍵性的控制活動(dòng)，控制的可靠性則不能低于3等級(jí)。

　　控制運(yùn)行的有效性評(píng)估。一旦控制設(shè)計(jì)的評(píng)估結(jié)果認(rèn)為內(nèi)部控制設(shè)計(jì)適當(dāng)，就需要對(duì)其目前和以后的運(yùn)行是否有效予以測(cè)試，而該測(cè)試由控制負(fù)責(zé)人及內(nèi)部控制程序管理團(tuán)隊(duì)來(lái)進(jìn)行。

　　一般而言，有些控制（如一般控制）程序是其他控制程序（如應(yīng)用控制）的基礎(chǔ)，企業(yè)組織對(duì)這些控制的測(cè)試范圍應(yīng)更廣、頻率更高。判斷測(cè)試范圍是否恰當(dāng)時(shí)，組織應(yīng)該考慮IT控制是如何影響財(cái)務(wù)信息披露與報(bào)告過(guò)程的。

　　一些企業(yè)利用外部服務(wù)機(jī)構(gòu)所提供的外包服務(wù)，這也應(yīng)該視為企業(yè)整個(gè)經(jīng)營(yíng)職責(zé)的一部分，在整個(gè)IT內(nèi)部控制程序中應(yīng)予以考慮。

　　在這種情況下，組織在確定其內(nèi)部控制的可靠性時(shí)，應(yīng)復(fù)核服務(wù)機(jī)構(gòu)所提供的控制活動(dòng)，并將其記錄下來(lái)，以便獨(dú)立審計(jì)師收集內(nèi)部控制是否有效的證據(jù)。因此，在決定證據(jù)的充分性、適當(dāng)性時(shí)，就有必要評(píng)估外包服務(wù)機(jī)構(gòu)的整體狀況。

　　綜合前面的各種控制測(cè)試評(píng)價(jià)，對(duì)內(nèi)部控制有效性作出一個(gè)明確的評(píng)定，并最終以管理報(bào)告書(shū)的形式呈現(xiàn)，以供高級(jí)經(jīng)理人員參考，用以表明IT控制系統(tǒng)總體的可靠性及完整性。控制不是一件簡(jiǎn)單的事情，而是一個(gè)過(guò)程，需要對(duì)其不斷的評(píng)估，不斷的改進(jìn)，以符合當(dāng)前經(jīng)營(yíng)的實(shí)際需要。這也必將成為IT部門(mén)組織文化的一個(gè)部分。