经济危机使到2009年依然是一个充满变数的一年。近日我参加了一个上市公司CIO的专题研讨会，主题是如何建立合规的IT内控体系，以符合上市公司的规范。起因是面对即将于2009年7月实施的《企业内部控制基本规范》，上市公司均急需一套普遍适用的IT内部控制方法以满足《企业内部控制基本规范》的要求，和协助IT部门建立合规的IT内部控制机制。

　　但是，从研讨会上大家讨论的情况来看，目前国内大部分上市公司在内控风险防范意识方面，特别是对合规的IT内控体系的重视程度还严重不足，IT内部管控措施也经常执行不到位，这使得许多上市公司很容易陷入违规的财务操作风险危机之中。而且，经济危机的漫延也在警示我们：财务违规风险如影随形，无处不在。因此，如何通过IT内控体系与合规管理来防范和降低上市公司的财务违规风险，是企业高层领导和CIO目前最迫切需要解决的难题。

　　一.什么是SOX法案的合规性?

　　由于我国的《企业内部控制基本规范》要在2009年7月才开始施行，因此这次的上市公司CIO高层论坛上热点讨论和借鉴的是美国于2002年发布的《萨班斯—奥克斯利法案》(简称SOX法案)。SOX法案的产生源自于上市公司操作的不规范和公司丑闻的披露，它要求上市公司针对产生财务交易的所有作业流程，都做到能见度、透明度、控制、通讯、风险管理和欺诈防范，且这些流程必须详细记录到可追查交易源头的地步。因此，SOX法案明确提出了所有上市公司都必须加强和建立有效的内部控制框架，以确保上市公司遵守证券法律和提高公司披露信息的准确性和可靠性。

　　在2008年6月，我国财政部、证监会、银监会、保监会及审计署委联合发布了被称为“中国版萨班斯法案”的《企业内部控制基本规范》，此规范将于2009年7月起首先在上市企业中实施。其中，该规范第37条规定：“企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。”

　　与我国的《企业内部控制基本规范》第37条规定相比较，在“美国版萨班斯法案”中也有类似条款，比如第404条款规定：企业必须了解那些可能影响财务报告流程的风险，并必须要实施恰当的控制以阻止财务违法行为。此外，SOX法案第404条款还要求，企业需建立一个基础设施，以确保所有的记录和数据不会被毁灭、丢失、未经授权的变更和错误的使用。由于IT和财务报告的关联性，故IT也需要加强控制以达到SOX法案的合规要求。因此，上市公司在建立符合《萨班斯—奥克斯利法案》要求的企业风险管理与内部控制的工作中，60%在财务控制上,而40%是在IT控制上的。所以，SOX法案在合规方面也要求企业必须落实到对IT的有效管理控制上来。

　　二.从SOX合规性看我国IT内控规范

　　(1)为什么内控合规必须以IT为突破口?

　　无论是美国的SOX法案还是我国的《企业内部控制基本规范》涉及的东西都比较多，在这里我们主要关注的是IT内控方面的内容。在很多公司内部，财务报告流程是由IT系统驱动的。无论是ERP系统还是其它系统，都与财务交易中的开始、批准、记录、处理和报告等活动紧密集成。比如财务报告保存在财务系统里，财务系统的数据从业务系统来，业务系统的数据也存放在相关的数据库里，数据库又是保存在服务器上，服务器还可能跟网络互联。因此，在财务信息操作上只要有一丝的漏洞，都可能是被IT系统出卖的。因此，合规的问题不再只是CEO、CFO的职责，IT部门在这方面也将渐渐承担主角。简单的说，IT是保证财务报告内部控制有效性的基础。

　　虽然，我国的《企业内部控制基本规范》要求企业实现的内控是以战略为导向的全面内控，但该规范包括的范围相当广泛，仅内控这项内容就包括：企业层面、业务流程与IT一般控制与IT应用控制。其中涉及到企业运营的方方面面：从企业战略管理、财务管理、供应链管理、生产管理到人力资源管理、OA办公管理等。由于所有的业务都可能产生数据，而如何确保数据的及时收集、准确与完整性都离不开IT系统的支撑。因此，如何把IT内控与企业内控管理统一起来，是合规《企业内部控制基本规范》的一个关键点。也就是说，在内控合规方面，IT就是一个最佳的突破口。

　　(2)借鉴SOX合规对IT内控的要求

　　SOX法案对IT内控要求主要有两个方面：一个是IT应用控制(IT Application Control)，是因为大多数上市公司在一定程度上都依赖IT系统来运作业务，IT系统对业务流程的控制作用非常大，因此必须对业务流程所依赖的IT系统进行某些控制，其中特别是针对支持财务报告的特定IT应用。另一方面是IT一般控制(IT Generally Control)，是因为上市公司必然有一个完整的IT系统做支撑，所以对于支撑公司运作的IT基础技术架构平台，必须进行有效管理控制。其中主要是针对基本的IT基础设施控制，包括物理和逻辑网络安全、数据库管理、系统开发、变更控制、灾难恢复等。

　　SOX法案是一部典型的法律文件，它既不是管理手册，也不是行动指南。它只规定了上市公司在整体或业务层面上必须达到的要求，却没有指明上市公司应该如何达到法案规定的水平。比如SOX法案要求企业的IT内控必须有效，但落实到具体IT控制方面SOX法案则完全没有给出任何的指导意见。例如，上市公司需要什么样的IT控制，如何进行IT控制和IT内控效力如何评估等全都不在SOX法案范围之内。

　　但根据上市公司内控需求和SOX法案的合规性管理描述，IT部门的主要职责和活动应该包括：①是深入了解公司的内控项目和财务汇报流程，②确定与内控活动或财务汇报流程相对应的IT系统;③是分析和辨别这些IT系统带来的风险，并对此进行监控以保证控制措施的长期效力;④是将控制措施文档化和IT化，并进行测试;⑤是及时地对IT控制进行必要的升级和变更，以配合公司内控或财务汇报流程的变化;⑥是作为一个重要的职能部门，IT部门应该全程参与公司SOX法案合规管理项目。

　　三.如何打造合规的IT内控体系?

　　从IT控制的范围来说，IT内控通常包括IT内控环境、IT运维、IT系统和数据的访问、系统开发和系统变更等部分。IT控制有一个治理框架，即COBIT 框架。COBIT全称是信息及相关技术的控制目标(Control Objectives for Information and related Technology)。COBIT是将IT流程、IT资源与企业的策略与目标联系起来，在企业业务战略指导下，对信息及相关资源进行规划与处理。因此，有IT专家认为，企业要建立合规的IT内部控制，必须要先打造一个合规的IT内控体系。

　　(1)确定合规的IT内控范围

　　第一步是先确定合规的IT内控范围，它是指根据《企业内部控制基本规范》的要求，从全局角度去考虑、分析、规划需要控制的事情和范围。这是IT内部控制中最为关键的内容，包括风险形势评估、风险识别、风险分析和风险评价等几部分。一般来说，确定IT内控的范围可以分为这几个步骤：首先确定财务报告流程中的核心要素;其次，识别关键的业务流程;最后，根据财务交易活动确定关键的IT流程和IT支持系统，从而确定IT内控范围。

　　(2)对选定的IT内控范围进行风险评估

　　风险评估可使上市公司更加清晰地认识到，意外事件的发生将如何限制业务目标的达成。风险评估的目的是要辨别IT合规性的潜藏内在风险与残存风险。当在IT内控时可能会碰到很多风险时，通常的做法是要把可能的风险划分一个优先级，对于优先级高的风险要给以更多的关注，例如财务违规操作流程和影响上市公司股价波动的信息透露的流程。包括风险判断标准、风险发生的可能性、风险发生的危险度、风险预防措施、风险消除措施等几个方面进行评估。在IT内控合规过程中，很多东西都是未知的，要把握这种不确定性，唯有把这种不确定性深深嵌入到IT内控风险评估中才可能会得到有效的控制。

　　(3)进行内部IT审计

　　通常来说，合规控制对于上市公司和IT系统来说有三种控制：公司级控制、应用控制和通用控制，这三种控制的范围、手段方法和力度是不同的。因此，在控制文档设计完毕后，上市公司需要自行先进行一次IT内部审计。IT内控审计主要有：IT制度与流程手册、系统变更(包括应用系统及基础设施)、逻辑访问(包括应用系统及基础设施)、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等。对于测试不合格的IT控制，应该及时纠正缺陷，完善IT控制体系的设计与提高IT运维的质量，以确保其有效性。

　　(4)报告管理层IT内控审计情况

　　在IT内控审计完成后，应该立即形成正式的书面审计结论，并向管理层报告情况，以方便管理层及时调整和调配IT内控的资源和策略，尽快将风险防患于未然之中。例如将IT内控审计的计划、行动和结果进行整理和分析，形成IT内控审计管理报告。

　　俗话说“凡事预则立，不预则废”。在《企业内部控制基本规范》合规过程中，一个成功的IT内控体系可以防止和减少许多潜在问题的发生和影响。正如居安思危，有备无患一样。一个优秀的CIO应在IT内控和合规之间达成一种平衡，从而大大减小内部风险对整个公司所造成的影响。