1997年的亞洲金融危機、美國股市相繼爆出的安然、世通等一系列丑聞，我國出現(xiàn)的藍(lán)田股份和銀廣夏的利潤神話破滅事件，以及我國近期相繼出現(xiàn)的上市公司高管涉案，完善公司治理機制、有效管理企業(yè)風(fēng)險正在成為企業(yè)議事日程中最重要和最迫切的任務(wù)。我國政府將建立有效的公司治理結(jié)構(gòu)視為“現(xiàn)代企業(yè)制度”建設(shè)的核心內(nèi)容，而加入WTO的承諾使得全面系統(tǒng)地處理這一問題顯得更加緊迫。國務(wù)院國資委主任李榮融說，目前上市公司所出現(xiàn)的問題都與公司治理結(jié)構(gòu)不完善有關(guān)。國資委要與證監(jiān)會聯(lián)合推動國有企業(yè)完善公司治理結(jié)構(gòu)。

　　公司治理的效率、效果直接依賴于許多的制度要素。這既包括審計和信息披露的質(zhì)量，也包括法律系統(tǒng)對契約的監(jiān)督以及對外部投資者的保護能力等。例如，在逆向選擇的框架下，我們可以看到：一個更好的會計標(biāo)準(zhǔn)和更及時的信息披露要求將大大減輕經(jīng)理人與外部投資者之間的信息不對稱，從而便利了融資，降低了代理風(fēng)險。因此，公司治理的核心問題是信息不對稱性或不完全性，解決公司治理問題，最核心的是公司信息的真實、準(zhǔn)確以及處理與傳遞的效率問題，而IT技術(shù)在實時披露、實現(xiàn)透明度原則和體現(xiàn)監(jiān)控力度上正日益成為有效的工具。2002年美國頒布的《薩班斯法案》對公眾公司提出了更高的要求，法案的409條款要求上市公司必須向投資者實時披露必要的信息，包括圖片、表格等信息，302、404條款要求公司應(yīng)定期評價其信息系統(tǒng)及其內(nèi)部控制的充分性來保證提供給投資者信息的準(zhǔn)確和完整，強調(diào)公司管理層建立和維護內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任。因此，研究IT治理，加強IT控制，降低風(fēng)險，有效地實現(xiàn)公司治理，成為全球關(guān)注的問題。

　　公司治理是建立組織各利益相關(guān)者之間的相互制衡機制，管理風(fēng)險，有效實現(xiàn)組織目標(biāo)的一系列過程及制度。內(nèi)部控制制度是實現(xiàn)善治的制度安排之一。IT治理是實現(xiàn)公司治理的工具。IT治理不等于治理IT技術(shù)，它是一個信息時代背景下的制度安排，包括內(nèi)部控制、審計以及公司信息的披露等。IT內(nèi)控是內(nèi)控的一個組成部分，信息時代，企業(yè)管理信息化水平日益提高，信息資產(chǎn)成為企業(yè)的核心價值資產(chǎn)，IT在給企業(yè)帶來競爭力的同時，也帶來了極大的風(fēng)險。因此利用IT技術(shù)加強內(nèi)部控制，并對信息系統(tǒng)自身加強管理控制，成為公司治理及IT治理必不可少的組成部分。IT內(nèi)控是強化風(fēng)險管理，完善信息時代公司治理的必要手段。IT治理、內(nèi)部控制、審計、風(fēng)險管理體系等都是促進公司治理的有效工具。

　　SOX法案的出臺，對企業(yè)的公司治理、IT治理及IT內(nèi)控提出了更嚴(yán)格的要求。

　　一、SOX法案的要求：

　　1.對公司治理的要求：

　　（1）要求上市公司必須建立審計委員會，并對審計委員會的人員組成做出了規(guī)定，保證審計委員會的獨立性，同時賦予審計委員會更多的責(zé)任：《薩班斯-奧克斯萊法》，及其緊接著全美證券交易商協(xié)會和紐約證券交易所于2003年11月又發(fā)布的新的公司治理最終規(guī)則詳細(xì)地界定了審計委員會的職責(zé)， 具體來說應(yīng)包括：1）每年獲取并審查獨立董事提交的報告。2）與管理當(dāng)局、獨立審計師一起討論經(jīng)審計的公司年度財務(wù)報表和季度財務(wù)報表，包括公司在“管理當(dāng)局對財務(wù)狀況和經(jīng)營結(jié)果的討論和分析”項目中進行公告的財務(wù)事項。3）討論公司收入公告及向分析師和評估機構(gòu)的財務(wù)信息、收益指南。4）討論風(fēng)險評價、風(fēng)險管理政策。5）分別與管理當(dāng)局、內(nèi)部審計師（或其他負(fù)責(zé)內(nèi)部審計機構(gòu)的人員）和獨立審計師定期會面。6）與獨立審計師討論所有的審計難題以及管理當(dāng)局的反應(yīng)。7）制定清晰的關(guān)于聘用現(xiàn)任或前任獨立審計師的政策。8）定期向董事會報告

　　（2）增加高管人員及董事會的責(zé)任：CEOs and CFOs必須保證財務(wù)報告真實，要求發(fā)行人的CEO和CFO保證定期報告沒有對重大事件的不真實表述，也沒有遺漏必須披露的重大事件，并保證財務(wù)報告在所有重大方面都公允反映了發(fā)行人的財務(wù)狀況和經(jīng)營成果。在此基礎(chǔ)上，法案單獨規(guī)定了對管理人員證明財務(wù)報告時失職的刑事處罰。CEO和CFO如果知道定期報告不符合上述要求但仍然做出保證的，將判處不超過100萬美元的罰款，或是不超過10年的監(jiān)禁，或是二者同罰；如果是蓄意做出書面保證的，將判處不超過500萬的罰款，或是不超過20年的監(jiān)禁，或是二者同罰。

　　2.薩班斯法案對內(nèi)控的要求：

　?。?）法案302要求：公司管理層設(shè)計所需的內(nèi)部控制，并保證首席官員能知道該公司及其合并報表子公司的所有重大信息，尤其是報告期內(nèi)的重大信息；評價公司的內(nèi)部控制在簽署報告前90天內(nèi)的有效性；在該定期報告中發(fā)布他們上述評價的結(jié)論。

　?。?）法案404節(jié)要求：編制的年度報告中包括內(nèi)部控制報告，包括：強調(diào)公司管理層建立和維護內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任；發(fā)行人管理層最近財政年度末對內(nèi)部控制體系及控制程序有效性的評價

　　3.薩班斯對審計師的要求：增加了審計師對信息系統(tǒng)的審計，要求審計師必須了解業(yè)務(wù)如何穿過系統(tǒng)，而不是繞過系統(tǒng)。審計師必須了解業(yè)務(wù)流程，評價IT 應(yīng)用控制與一般控制的設(shè)計及效果。評價 IT 控制設(shè)計效果，確定這些控制設(shè)計是否適當(dāng)?shù)貙崿F(xiàn)相關(guān)目標(biāo)。實施IT控制執(zhí)行效果測試。

　　二、對上市電信運營商的挑戰(zhàn)

　　薩班斯法案對高管嚴(yán)格的法律處罰令其中許多公司的最高管理層都如坐針氈、夜不能寐。美國有多達(dá)5000家大中型公眾公司在2004年11月15日后結(jié)束的財政年度中緊張異常，這而對于公司治理尚不完善的中國電信企業(yè)領(lǐng)導(dǎo)來說，更是意味著要承擔(dān)重大國際法律責(zé)任的風(fēng)險。公司治理決定企業(yè)的興衰，企業(yè)的興衰決定國家的興衰，因此公司治理建設(shè)不能出現(xiàn)任何重大失誤。

　　我國電信企業(yè)在公司治理制度在股份制改造過程逐步發(fā)展，中國網(wǎng)通借美國上市契機建立了新型的公司治理結(jié)構(gòu)，董事長與CEO分離，在董事會下設(shè)4個委員會：審計委員會、戰(zhàn)略規(guī)劃委員會、公司治理委員會和薪酬委員會。2005年3月7日，在京召開的中國電信集團實業(yè)工作會議明確：經(jīng)過3年左右的時間，逐步規(guī)范法人治理結(jié)構(gòu)。由于我們的企業(yè)處于社會轉(zhuǎn)型的特定時期，公司治理水平與日、美等發(fā)達(dá)國家有一定的差距。信息產(chǎn)業(yè)部電信研究院公布的《中國電信業(yè)國際競爭力發(fā)展報告（2004年）》顯示，我國電信業(yè)國際競爭力在全世界主要國家和地區(qū)中（共33個國家和地區(qū)）排名第14位，然而細(xì)細(xì)看來，卻發(fā)現(xiàn)了很多隱憂。報告將國際競爭力解析為3大競爭力：環(huán)境競爭力、市場競爭力和企業(yè)競爭力，其中企業(yè)競爭力排名27，企業(yè)競爭力指數(shù)包括“技術(shù)創(chuàng)新”、“生產(chǎn)率”和“公司治理結(jié)構(gòu)”，排名分別為18、28和21.不難看出，目前我國電信企業(yè)的公司治理水平。要成為電信強國，環(huán)境競爭力、市場競爭力和企業(yè)競爭力三者缺一不可，因此，我國目前距離電信強國還有較大差距。從分析要素來看，法律和制度框架、政府效率，以及企業(yè)技術(shù)創(chuàng)新、公司治理結(jié)構(gòu)等 “軟件”能力偏弱，單條腿走路。我國幾大運營商中雖然已經(jīng)有中國移動和中國電信進入了財富500強，雖然幾大運營商均已上市實現(xiàn)了公司化治理，但由于脫胎于老的國有企業(yè)，因此公司管理能力和治理結(jié)構(gòu)仍有待提高。因此，提高企業(yè)競爭力，就應(yīng)該從改善公司治理結(jié)構(gòu)做起。

　　三、運用信息化手段，完善公司治理

　　1.完善公司治理機制。我國電信運營商需要健全公司內(nèi)部治理的規(guī)則和程序、建立公司的合法守規(guī)管理、完善約束與激勵機制、加強公司的內(nèi)部控制體系以及建立公司的風(fēng)險管理與控制機制。雖然在現(xiàn)有的公司治理結(jié)構(gòu)中，有些公司也有審計委員會、獨立董事等監(jiān)督機制，但這些人員的任職資格、發(fā)揮作用的程度、以及職責(zé)定位等都需要進一步改進。

　　2、利用信息技術(shù)，完善公司治理的監(jiān)控體系。公司治理是一種對公司管理和運營進行監(jiān)督和控制的體系。其核心是在所有權(quán)和經(jīng)營權(quán)分離的條件下，解決好所有者和經(jīng)營者的利益不一致而產(chǎn)生的委托-代理關(guān)系。由于委托人（所有者）和代理人（經(jīng)營者）是不同的利益主體，委托人（所有者）與代理人（經(jīng)營者）相比處于信息劣勢的情況下，必然有代理成本或激勵問題的產(chǎn)生。為完善公司治理，必須重視委托與代理之間的信息不對稱問題，通過對公司重要信息有效的傳遞、鑒別和處理，使代理成本最小化，提高企業(yè)的經(jīng)營績效。薩班斯法案強化公司治理要求的目的也是提高上市公司透明度，提高公布信息的質(zhì)量，加強信息披露，從而保護投資者的利益。

　　在市場經(jīng)濟中，信息交換是否充分，是否對稱，直接關(guān)系到市場經(jīng)濟是否公平、是否有效。為了保證信息公平、公開，人們設(shè)立了一系列內(nèi)外部機制。獨立董事?lián)蔚膶徲嬑瘑T會，公司聘請的會計師事務(wù)所都層層對公司財務(wù)信息的真實性、準(zhǔn)確性、及時性進行審核、這些約束與激勵機制的有效性取決于公司信息真實與準(zhǔn)確性和處理與傳遞效率的問題。在這點上，IT技術(shù)正成為日益有效的工具。

　　薩班斯302、404、以及409等條款對公司的要求，使得IT在公司治理機制中的作用日益凸現(xiàn)。由于信息技術(shù)不以人們的意志為轉(zhuǎn)移地在各類組織中的普遍應(yīng)用，IT在各類組織中的多層次、橫縱向嵌入，正在改變著組織的業(yè)務(wù)流程，進而改變組織的結(jié)構(gòu)、組織的管理及公司治理；特別是電信企業(yè)對IT的依賴性非常大，沒有相應(yīng)IT治理機制的公司治理，使無法滿足薩班斯的嚴(yán)格要求的。由于IT治理已成為完善公司治理的重要手段，成為實現(xiàn) IT與業(yè)務(wù)的匹配管理、IT價值貢獻管理、IT風(fēng)險管理、IT績效管理等的重要保證，花旗銀行等美國大金融企業(yè)已經(jīng)引進或正在引進IT治理機制。

　　國資委連續(xù)舉辦的旨在推動企業(yè)建立全面風(fēng)險管理系統(tǒng)，進一步完善公司治理機制的企業(yè)全面風(fēng)險管理培訓(xùn)上，也提到在公司董事會層面建立IT治理委員會，建立IT治理機制，完善信息時代的公司治理，促進現(xiàn)有公司治理制度安排的有效執(zhí)行。但由于信息技術(shù)在治理方面所具有的復(fù)雜性，完善IT治理機制，構(gòu)建符合薩班斯要求、適應(yīng)時代發(fā)展的公司治理機制任重道遠(yuǎn)。

　　構(gòu)建IT內(nèi)控系統(tǒng)的思路

　?。?）不能因耗時且成本高昂就摒棄原有的IT控制而另搞一套。SEC管制條款內(nèi)容復(fù)雜，為了滿足薩班斯法案的要求，大多數(shù)企業(yè)需要調(diào)整其員工觀念和企業(yè)文化，通常也需要對IT系統(tǒng)和其處理流程作一些改進，改進的內(nèi)容包括其控制設(shè)計、控制文件、控制文件的保留，以及IT控制的評估等方面。這是一個循序漸進的過程，不能將原有的一切推倒重來。

　?。?）要選擇好內(nèi)控框架。法案并沒有規(guī)定公司必須選擇什么樣的內(nèi)控框架， 需要企業(yè)自己抉擇。國際上比較有名的內(nèi)控模式有英國的Cadbury、美國的COSO 和加拿大的COCO ， 它們從不同的角度剖析公司的經(jīng)營管理活動， 為營造良好的內(nèi)控框架提供了一系列的趨于一致的政策和建議。第2號審計標(biāo)準(zhǔn)依據(jù)COSO制定的內(nèi)部控制框架制訂，在“管理層用于開展其評估的框架”一節(jié)中，明確管理層要依據(jù)一個適宜且公認(rèn)的由專家群體遵照應(yīng)有的程序制定的控制框架，來評估公司財務(wù)報告內(nèi)部控制的有效性。SEC對該標(biāo)準(zhǔn)的認(rèn)同等于從另外一個側(cè)面承認(rèn)COSO框架。COSO 認(rèn)為內(nèi)控是由企業(yè)董事會、經(jīng)理層和其他員工實施的， 為營運的效率效果、財務(wù)報告的可靠性及相關(guān)法令的遵循性等目標(biāo)的達(dá)成提供合理保證的過程。內(nèi)控框架的構(gòu)成要素包括控制環(huán)境、風(fēng)險評估、控制活動、信息和溝通、監(jiān)督五個方面。這套理論得到了包括SEC、公司管理者、投資者、債權(quán)人及專家學(xué)者的普遍認(rèn)可， 國外許多公司都依據(jù)這個框架建立了內(nèi)控系統(tǒng)， 我國公司也可以按COSO 建立內(nèi)控框架， 逐步與國際管理模式接軌。通過引入COSO 內(nèi)控要素， 形成一個相互聯(lián)系、綜合作用的控制整體， 使單純的控制活動與企業(yè)環(huán)境、管理目標(biāo)及控制風(fēng)險相結(jié)合， 形成一套不斷改進、自我完善的內(nèi)控機制。

　　但是很明顯，SEC所推薦的COSO控制框架有助于遵循薩班斯法案，雖然它針對的是內(nèi)部控制，但沒有對IT控制目標(biāo)和相關(guān)控制活動提出具體的要求與限制。由于COSO框架缺少對IT內(nèi)部控制的內(nèi)容，所以單獨以COSO為構(gòu)建IT內(nèi)部控制的框架顯然是不合適的。COBIT為管理IT風(fēng)險與IT控制提供了一個綜合性的分析框架，是另外一個被國際認(rèn)可的業(yè)內(nèi)標(biāo)準(zhǔn)，由4大部分、34個IT處理流程、318個詳細(xì)控制目標(biāo)組成。COBIT也涉及企業(yè)經(jīng)營、薩班斯法案遵循等方面的控制。但在薩班斯法案要求下，我們只考慮應(yīng)用COBIT中與財務(wù)報告相關(guān)的控制。

　　因此Cobit與COSO結(jié)合作為構(gòu)建IT內(nèi)部控制框架，將是兩種國際標(biāo)準(zhǔn)優(yōu)勢互補。同時在確定控制點、控制程序、留下相應(yīng)審計軌跡時，也可以參考BS15000以及ISO17799等一些國際標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)都是IT運營、安全方面可審計的一套標(biāo)準(zhǔn)管理控制體系。

　?。?）要建立一套自評估機制，確保內(nèi)部控制系統(tǒng)的持續(xù)有效

　　從歷史來看， 企業(yè)的發(fā)展階段和管理狀況，以及外部環(huán)境的變化都是決定企業(yè)內(nèi)控系統(tǒng)建立和運行有效的前提。任何內(nèi)部控制系統(tǒng)都只是在一個特定的歷史階段有效，管理層對內(nèi)部控制有效性的聲明，要求公司必須建立一套自我評價機制，評價內(nèi)部控制系統(tǒng)設(shè)計、執(zhí)行是否有效，以支持管理層的聲明。同時自我評估機制也可以幫助公司發(fā)現(xiàn)控制弱的區(qū)域，以及控制漏洞，及時審勢度勢，彌補內(nèi)控系統(tǒng)的缺陷，確保內(nèi)部控制系統(tǒng)持續(xù)有效。這也是薩班斯法案所要求的。

　　控制自我評估（CSA）是指企業(yè)內(nèi)部為實現(xiàn)目標(biāo)、控制風(fēng)險而對內(nèi)部控制系統(tǒng)的有效性和恰當(dāng)性實施自我評估的方法。國際內(nèi)部審計師協(xié)會（IIA）在1996年的研究報告中總結(jié)了CSA的三個基本特征：關(guān)注業(yè)務(wù)的過程和控制的成效；由管理部門和職員共同進行；用結(jié)構(gòu)化的方法開展自我評估。CSA最早出現(xiàn)在20世紀(jì)80年代末期，但其最主要的發(fā)展是在90年代，特別是在1992年COSO報告公布之后。COSO報告首次把內(nèi)部控制從原來自上而下財務(wù)模式的平面結(jié)構(gòu)發(fā)展為更具彈性的企業(yè)整體模式的立體框架。傳統(tǒng)的內(nèi)控評價方法只能用來評價諸如財務(wù)報告，資產(chǎn)與記錄的接觸、使用與傳遞，授權(quán)授信，崗位分離，數(shù)據(jù)處理與信息傳遞等的“硬控制”。在新的內(nèi)部控制模式下，迫切需要評價包括公司治理，高層經(jīng)營理念與管理風(fēng)格，職業(yè)道德，誠實品質(zhì)，勝任能力，風(fēng)險評估等的“軟控制”。在這種情況下，作為一種既可以用來評價傳統(tǒng)的硬控制，又可以用來評價非正式控制即軟控制的機制，CSA得到了普遍的信賴。

　　圖1 自評估流程（略）

　　如圖1所示，自評人員首先選擇要評審的內(nèi)控流程， 然后對其設(shè)計的健全性進行評價， 如果健全， 則測試其運行的有效性， 最后綜合設(shè)計測試和運行測試， 評價內(nèi)控系統(tǒng)的健全性和有效性。如果設(shè)計測試結(jié)果為不健全， 則直接進行內(nèi)控系統(tǒng)的評價， 而不再進行運行的有效性測試。

　　內(nèi)控系統(tǒng)設(shè)計測試是指為了確定被審計單位內(nèi)控政策和程序設(shè)計是否合理、恰當(dāng)和完善進行的測試。健全的標(biāo)準(zhǔn)即設(shè)計合理、恰當(dāng)和完善， 能有效保證信息的機密性、完整性和可用性。運行有效性測試是指， 為了確定被審計單位的內(nèi)控政策和程序在實際工作中是否得到貫徹執(zhí)行， 并發(fā)揮應(yīng)有的作用而進行的測試。有效的標(biāo)準(zhǔn)即內(nèi)控政策和程序在實際工作中得到了貫徹執(zhí)行并發(fā)揮了應(yīng)有的作用。

　　為了幫助評估控制設(shè)計，圖2（略）提供了一個IT控制設(shè)計與運行有效性模型，它將依賴于企業(yè)所達(dá)到的狀態(tài)、階段，我們認(rèn)為有必要花時間來改進控制程序的設(shè)計和有效性。

　　圖2顯示了企業(yè)中存在的控制可靠性的各種等級。就建立內(nèi)部控制目標(biāo)而言，一些企業(yè)可能愿意接受等級不高于3的IT內(nèi)部控制。然而，考慮到薩班斯法案要求的“外部審計師應(yīng)就控制出具獨立的證據(jù)”這一要求，對一些關(guān)鍵性的控制活動，控制的可靠性則不能低于3等級。

　　控制運行的有效性評估。一旦控制設(shè)計的評估結(jié)果認(rèn)為內(nèi)部控制設(shè)計適當(dāng)，就需要對其目前和以后的運行是否有效予以測試，而該測試由控制負(fù)責(zé)人及內(nèi)部控制程序管理團隊來進行。

　　一般而言，有些控制（如一般控制）程序是其他控制程序（如應(yīng)用控制）的基礎(chǔ)，企業(yè)組織對這些控制的測試范圍應(yīng)更廣、頻率更高。判斷測試范圍是否恰當(dāng)時，組織應(yīng)該考慮IT控制是如何影響財務(wù)信息披露與報告過程的。

　　一些企業(yè)利用外部服務(wù)機構(gòu)所提供的外包服務(wù)，這也應(yīng)該視為企業(yè)整個經(jīng)營職責(zé)的一部分，在整個IT內(nèi)部控制程序中應(yīng)予以考慮。

　　在這種情況下，組織在確定其內(nèi)部控制的可靠性時，應(yīng)復(fù)核服務(wù)機構(gòu)所提供的控制活動，并將其記錄下來，以便獨立審計師收集內(nèi)部控制是否有效的證據(jù)。因此，在決定證據(jù)的充分性、適當(dāng)性時，就有必要評估外包服務(wù)機構(gòu)的整體狀況。

　　綜合前面的各種控制測試評價，對內(nèi)部控制有效性作出一個明確的評定，并最終以管理報告書的形式呈現(xiàn)，以供高級經(jīng)理人員參考，用以表明IT控制系統(tǒng)總體的可靠性及完整性?？刂撇皇且患唵蔚氖虑椋且粋€過程，需要對其不斷的評估，不斷的改進，以符合當(dāng)前經(jīng)營的實際需要。這也必將成為IT部門組織文化的一個部分。