2001年安然、世通公司的虚假财务报告事件曝光，促生了2002年的《萨班斯——奥克斯利法案》（简称SOX法案）。SOX法案的立法目的在于通过加强企业内部控制，保证其财务报告的真实有效，从而加强公司的风险防范和控制能力、提高运营的效率。时至今日，那些遵从SOX法案而建设的企业内控体系，正产生着积极影响。在这样背景下，我国于2008年6月28日发布了《企业内部控制基本规范》(简称基本规范)。这个被称为“中国版SOX”的规范自2009年7月1日起率先在上市公司范围内施行，作为实现企业内部控制的重要组成部分IT控制体系的构建将是我国上市公司急需解决的问题。为此，我们不妨看看遵从SOX法案的IT内控体系是如何构建的。

　　IT内控体系是企业内部控制的重要组成部分。随着信息技术的飞速发展，越来越多的企业借助信息系统来处理业务，比如公司的财务报告绝大多都出自于如ERP之类的信息系统。如果由于IT内部控制体系的缺陷造成这些信息系统有漏洞，那么就有可以导致财务报表准确性的缺失。美国公众公司会计监管委员会（PCAOB）特别举例强调，IT内控体系对于公司总体控制目标的实现具有广泛和深远的影响。因此SOX法案有一些条款是直接指向与IT控制的，如第404条款“企业需建立一个基础设施，以确保所有的记录和数据不会被毁灭、丢失、未经授权的变更和错误的使用。”

　　SOX法案对IT内控体系的要求主要有两个方面：一个是IT应用控制，由于大多数企业在一定程度上都依赖各种信息系统来运作业务，信息系统对业务流程的控制作用非常大，因此必须对业务流程所依赖的信息系统进行某些控制，其中特别是针对支持财务报告的特定IT应用。另一方面是IT一般控制，用来保障IT整体运维环境的可靠，并支持应用控制的有效运作。其中主要是针对基本的IT基础设施控制，主要包括信息系统开发流程的控制、变更管理控制、计算机运行管理控制、程序与数据访问控制、信息系统安全的控制，还有IT计划等。分布在IT流程中的控制活动，

　　然而值得注意的是，SOX法案中并没有包括流程或操作手册。它只规定了企业在整体或业务层面上必须达到的要求。因此，企业需要什么样的IT控制，如何进行IT控制和IT控制效力如何评估等其实都是由其根据自身的业务经营情况来制定的。不过，总的来说，完善的IT内控体系至少应涵盖以下5方面内容：1. IT部门与业务部门的权责划分。将IT部门与业务部门即信息系统的使用部门进行明确的权责划分，并且成文定义。这样将使用人与信息系统的开发维护者分开，有利于保证信息的有效、安全性。2. IT部门内部的职责划分。IT部门管理者根据本部门在整个企业中起到的作用和承担的角色，明确提供的服务和相应的责任，并且成文定义。在内部划分上可以如下：信息系统应用团队、硬件架构团队、IT治理团队、信息安全团体等。3.信息系统的管理。它包括从无到有的新系统的开发和实施以及在使用中系统的维护。新系统的开发应符合企业内部IT的整体架构，并侧重于那些对业务发展有积极意义的信息系统。对使用中的系统要有变更管理。即只有当业务部门提出的变更需求，才能对系统进行修改。4. 程序和数据存取访问控制。这点需要技术和管理两方面的共同保障。首先，技术是防止非法访问的有效方法，比如密码保护、数据加密存储、密钥等。其次，从管理和流程上保证程序和数据的访问安全，最重要的就是建立完善的系统用户管理制度。5.信息安全控制。信息安全的漏洞可能造成机密信息外泄、病毒入侵等问题，严重的信息安全问题可能危及整个企业的运营，造成财务和声誉上的重大损失。因此对所有的信息系统都应当有信息安全控制。

　　目前，我国的《企业内部控制基本规范》已经开始正式实施，它将给国内上市企业的IT行业带来新的机遇和挑战。未来几年中，IT内控体系大大推动企业核心竞争力的现象也将逐步出现，或许这将在经济走出低谷，开始新一轮发展的过程中发挥出无法估量的作用。