為符合SOX法案第404條款的要求，相關(guān)公司在IT治理的改善上做了很大的努力，主要表現(xiàn)在IT一般性控制和應(yīng)用系統(tǒng)/業(yè)務(wù)流程層面的自動(dòng)控制的改進(jìn)。

　　所謂IT一般性控制，包括IT的控制環(huán)境、對程序和數(shù)據(jù)的訪問、程序開發(fā)、程序變更和計(jì)算機(jī)日常運(yùn)作和最終用戶計(jì)算環(huán)境。而應(yīng)用系統(tǒng)/業(yè)務(wù)流程層面的自動(dòng)控制則主要和應(yīng)用系統(tǒng)的功能特點(diǎn)相關(guān)，并和IT治理間接相關(guān)。這些合規(guī)性的實(shí)踐，極大地豐富了IT治理實(shí)踐的內(nèi)容。

　　筆者結(jié)合自身的工作實(shí)踐，提出下列體會(huì)供探討。

　　SOX法案第404條款合規(guī)性實(shí)踐提出了一種檢驗(yàn)IT治理成效的方法

　　總的說來，IT治理是一種高層次的理念，比較理論化，衡量IT治理的成熟度模型所采用的指標(biāo)大都是定性指標(biāo)而非量化的指標(biāo)。因此IT治理成效難以得到合理的判斷和認(rèn)可。

　　不過近年來SOX法案第404條款的合規(guī)性實(shí)踐，展示了改善IT治理和判斷IT治理成效的一種有效方法。雖然SOX法案第404條款合規(guī)性的要求有其特有的局限性，因?yàn)槠渲饕P(guān)注的是和財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)，但是由此產(chǎn)生的方法論和合規(guī)性實(shí)踐，對IT治理的理論發(fā)展和實(shí)踐很有借鑒意義。

　　公司IT治理的一個(gè)重要部分是IT的一般性控制，其中包括IT控制環(huán)境、對程序和數(shù)據(jù)的訪問、程序開發(fā)、程序變更、計(jì)算機(jī)操作和最終用戶計(jì)算環(huán)境等領(lǐng)域。在SOX法案第404條款的合規(guī)性實(shí)踐中，上述領(lǐng)域的IT一般性控制已經(jīng)被發(fā)展成非常具體的控制要求了。

　　SOX法案第404條款要求的IT一般性控制的合規(guī)性實(shí)踐往往采用下列的方法。

　　首先是做一次IT一般性控制的現(xiàn)狀分析。然后參照COBIT的要求建立公司的IT控制目標(biāo)以便進(jìn)行差距分析，并在此基礎(chǔ)上找出和確定能涵蓋這些控制目標(biāo)的IT一般性控制的關(guān)鍵控制點(diǎn)。

　　每個(gè)關(guān)鍵控制點(diǎn)的控制活動(dòng)都被清晰地描述和文檔化，同時(shí)這些控制活動(dòng)還必須具備可操作性和可檢驗(yàn)性，最終形成所謂的IT控制矩陣（IT Control Matrix）。

　　相關(guān)公司都必須完成一整套與IT控制相關(guān)的文檔，即所謂的SOX法案合規(guī)性文檔，如IT政策、IT控制矩陣、IT控制活動(dòng)描述、IT控制的測試方法等。隨后通過細(xì)致扎實(shí)的工作落實(shí)已被確定的IT控制點(diǎn)，從而使IT控制得到貫徹實(shí)施。

　　根據(jù)SOX法案第404條款的要求，管理層必須每年對這些控制點(diǎn)進(jìn)行測試和評估，對測試得出的控制缺陷，則需要增設(shè)補(bǔ)救和改進(jìn)措施，并再次測試。如果在規(guī)定的期限內(nèi)，控制缺陷還是不能得到改正，外部審計(jì)師將根據(jù)情況，針對控制缺陷和程度發(fā)表審計(jì)意見。

　　筆者從相關(guān)工作中體會(huì)到，將相關(guān)的IT控制措施文檔化并加以實(shí)施，再加上對IT控制進(jìn)行測試和控制缺陷的補(bǔ)救改進(jìn)工作，這可以在很大程度上將公司IT治理落到實(shí)處。

　　確認(rèn)公司的IT控制目標(biāo)是落實(shí)公司IT治理架構(gòu)的重要基礎(chǔ)工作

　　在SOX法案第404條款的合規(guī)性實(shí)踐中，很多公司以COBIT為參照標(biāo)準(zhǔn)，根據(jù)其具體情況確定必要的IT控制目標(biāo)。由于在美國上市的公司分布在不同行業(yè)，公司的規(guī)模相差懸殊，信息系統(tǒng)的應(yīng)用范圍也有很大的不同，故對不同的公司而言，在合規(guī)性的要求下要實(shí)現(xiàn)的IT控制目標(biāo)的范圍有很大的差異。

　　公司要實(shí)現(xiàn)的IT控制目標(biāo)，與公司IT應(yīng)用的情況和公司的IT管理運(yùn)作方式有關(guān)。在確定了要實(shí)現(xiàn)的IT控制目標(biāo)后，接下來就是要發(fā)現(xiàn)和確認(rèn)相關(guān)的IT控制點(diǎn)和控制活動(dòng)。實(shí)現(xiàn)任何一個(gè)IT控制目標(biāo)可能需要一個(gè)或多個(gè)相關(guān)的控制點(diǎn)，這取決于控制目標(biāo)的要求和控制點(diǎn)的控制方式。以上工作的結(jié)果可以產(chǎn)生所謂的IT控制目標(biāo)矩陣或IT控制矩陣。

　　確認(rèn)公司的IT控制目標(biāo)是落實(shí)公司IT治理架構(gòu)的一個(gè)重要基礎(chǔ)工作。在此基礎(chǔ)上制定合理的IT控制矩陣是一項(xiàng)很重要的工作，它對落實(shí)公司IT治理架構(gòu)和SOX法案第404條款的合規(guī)性實(shí)踐有很大的實(shí)踐意義，整個(gè)合規(guī)性活動(dòng)的工作量，也與此密切相關(guān)。

　　定期測試IT控制活動(dòng)的有效性是檢驗(yàn)公司IT治理成效的試金石

　　在SOX法案第404條款的合規(guī)性實(shí)踐中，對IT控制活動(dòng)進(jìn)行定期測試是重要的一環(huán)。IT控制活動(dòng)的測試分為管理層的自我評估測試和外部審計(jì)師的合規(guī)性審計(jì)測試。

　　無論是上述何種測試，都將根據(jù)IT控制活動(dòng)發(fā)生的頻率，決定樣本的大小，并對抽取的樣本按照設(shè)計(jì)的測試步驟進(jìn)行測試。IT控制的設(shè)計(jì)有效性和運(yùn)行有效性二個(gè)方面將被分別測試。

　　按照重要性原則，公司屬下的分公司、子公司或者分支機(jī)構(gòu)，將會(huì)有選擇地接受測試。這樣的測試，一般每年進(jìn)行一次，公司的管理層和公司的外部審計(jì)師都將為測試付出很大的努力。

　　任何被檢測出的IT控制缺陷，需要在規(guī)定的期限前改正和接受再測試?？刂迫毕萑绻荒茉谝?guī)定的期限前通過改正和測試，外部審計(jì)師會(huì)發(fā)表相應(yīng)的審計(jì)意見。因此可以說，定期測試IT控制活動(dòng)對公司的IT治理的落實(shí)和改進(jìn)有極大的幫助，是檢驗(yàn)公司IT治理成效的一個(gè)試金石。