2006年6月5日，上海证券交易所（下文简称上证所）率先发布了《上海证券交易所上市公司内部控制指引》（下文简称《指引》），对上市公司建立健全和有效实施内部控制制度提供了原则性指导，明确了公司董事会对公司内控制度所负的责任，并要求上市公司从2006年年度报告起披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见。

IT是内控的一部分

IT内控是公司内部控制的一部分，是审计的对象。《指引》第十条款规定了“公司使用计算机信息系统的，还应制定信息管理的内控制度”，并且列出信息管理的内控制度至少应涵盖的内容：

（一）信息处理部门与使用部门权责的划分。

分析：无论公司的信息处理部门组织结构如何，都必须与使用部门进行明确的权责划分，并且成文定义。明确定义的权责将加强信息处理部门与使用部门间的沟通和相互理解，避免推诿和责任不清造成的管理漏洞和效率低下。

（二）信息处理部门的功能及职责划分。

分析：由于信息系统的特性，信息处理部门本身的功能和职责划分是复杂的。因为功能和职责的复杂性增加了IT服务和运营的风险，所以必须建立相应机制加以管理。信息处理部门管理者首先必须明确本部门在整个公司中起到的作用和承担的角色，明确提供的服务和相应的责任，并且成文定义。

（三）系统开发及程序修改的控制。

分析：系统开发和程序修改主要包括两部分：新应用软件的开发和实施、现有应用软件的变更和维护。新应用软件获得和实施失败风险很高。为了降低这种风险，企业应该建立成体系的软件开发质量控制方法，比如标准软件开发工具和IT构件的选用。

（四）程序及资料的存取、数据处理的控制。

分析：程序和数据存取访问控制需要技术和管理两方面的共同保障。首先，信息和系统安全技术是防止非法访问的有效方法，比如各类密码保护、防火墙、数据加密存储、密钥技术等。其次，需要从管理和流程上保证程序和数据的访问安全，最重要的就是建立完善的系统用户管理制度。

（五）档案、设备、信息的安全控制。

分析：由于信息技术的广泛使用，信息安全一直是得到信息处理部门和信息使用部门极大关注的一个问题。信息资产安全的漏洞可能造成机密信息外泄、病毒入侵等问题，严重的信息安全问题可能危及整个公司的运营，造成财务和声誉上的重大损失。

（六）在网站上进行公开信息披露活动的控制。

分析：在网站上进行公开信息披露活动，需要信息处理部门与公司执行层和内部控制体系其他部门的紧密联系。为了保证信息披露的正确性和及时性，公司应该制定一套流程进行信息披露活动的管理，包括网站上的信息披露。

IT是内控的重要辅助

计算机应用系统不仅是整个企业业务的重要支撑，也是对公司运营活动进行控制的重要辅助手段。以具体运营流程为基础展开的IT控制，直接关系运营活动的实施。这类IT控制包括应用控制，即针对特定业务流程，以软件应用方案为依托进行控制活动。如对财务报表的编制和汇报进行控制，就需要对财务模块进行有效的控制。

以IT为基础和手段的控制方法，效率要明显高于传统手工或基于纸张的控制方式；利用IT固化内控流程可以简化企业的内控过程，降低内控成本，优化内控项目的成本效益比，并帮助企业达到内控效力持续性的要求。IT的规范化操作程序以及信息系统的信息备份功能，能够降低内控审计的难度。

IT管理者应该清晰地认识到IT在公司建立内部控制中的优势和承担的责任。由于信息技术的复杂性，IT部门有责任帮助和配合公司其他部门建立合适的“应用控制”。这不仅能帮助公司达到内部控制的要求，也有利于提升IT在公司中的价值。

IT内部控制不可孤立

IT内部控制应该满足第六条款所描述的“目标设定，内部环境，风险确认，风险评估，风险管理策略选择，控制活动，信息沟通，检查监督”这八个要素的要求。IT内部控制并不是孤立的，而是公司以业务目标为主导的整体内部控制项目的一部分。

简单来说，企业必须首先确定公司的主要经营活动以及与这些经营活动相关的业务流程和活动，划分内部控制的工作范围。其次，企业在工作范围内定义具体的控制对象。再次，针对控制对象，进行风险分析、评估，决定每项风险的管理策略，制定企业具体的控制程序、控制目标以及审计标准。然后，对现行的运作，实施变革以达到预定目标。最后，评价控制措施的实施后果，加以巩固或改进。

IT的内部控制必须遵循公司的内部控制机制策略，确保IT控制符合公司内部控制的基调。此外，IT控制还担当支持企业高层管理活动的责任，在企业内设定业务目标，确立企业政策，在组织资源配置及管理决策时，IT负责辅助企业制定政策方针并在组织内部传达交流。

通过上述三方面的分析，我们可以发现，IT控制可以归纳为三个层次：公司控制、应用控制和基础控制。公司层面的控制决定了IT内部控制的基调；应用层面的控制与业务流程相结合，体现在应用系统中，比如ERP和MRP；基础层面的控制则体现在IT服务过程中。

在现实中，由于IT运行环境和IT应用水平迥异，不同的公司在建立IT内部控制过程中的控制重点各不相同，复杂的局面可能会使许多企业一时无所适从。《指引》作为上证所发布的一份规范性文件，虽然给出了内部控制的框架，但是仍无法像管理手册或者行动指南那样说明IT如何才能达到《指引》所要求的水平。

面对已经到来的内控要求，上市公司急需一套普遍适用的IT内部控制方法论来弥补《指引》的这一缺憾：必须满足《指引》的要求，可以协助IT建立合适的内部控制机制；以IT控制为主要任务，考虑全面并被广泛认可；提供可操作的行动指南和评价体系，指导企业在进行IT控制的同时，方便审计机构制订评估标准，并利于双方就审计细节达成一致。

链接

为什么不能照搬美国萨班斯法案

首先，萨班斯法案关于内部控制的规定的操作成本太高，对规模较小的中国企业来说操作难度太大。大型美国公司仅在第一年建立内部控制系统的平均成本就高达430万美元，这对规模偏小的中国上市企业来说是不现实的……

其次，公司治理方面与国际或者美国的企业有差距，不能一蹴而就，如果照搬萨班斯法案，可能会带来水土不服；

第三，很多中国上市公司的 基础还比较差，要达到萨班斯法案那样对 的要求太难。 （责任编辑：王林）