IT风险及控制的应对与合规工作探究-Core.PDF

年第 期 现代管理科学 ■博士论坛 ■2011 11 ■ IT风险及控制的应对与合规工作探究 ●周元元 庄明来 摘要：随着计算机和现代信息技术在会计中的广泛应用，会计系统处理结果的正确性更多地依赖于内部控制制度的完 善。信息环境对会计信息系统的内部控制要求更加严格，控制的范围也更为广泛。为了确保信息环境下会计内部控制的有 效实施，文章从IT的视角对传统的控制观点进行改革，探讨了遵守“萨班斯—奥克斯利”法案时的整体IT风险的控制方法 及应重点考虑的问题，并着重分析了404条款合规小组如何就IT流程层面的IT基础设施控制（ITGC）进行审核。 关键词：内部控制；信息环境；SOX-404；ITGC；ITAC 信息技术和网络技术的飞速发展和广泛运用对传统 控制屡屡失败的根源 企业 控制的有效实施同样需要 。 IT 会计和审计来说不啻于一场革命 它改变了会计控制的性 一个统一的衡量标准 且该标准的制定方必须保持中立 ， ， 。 质 改变了会计信息存放 传输及加工处理的技术基础 随 显然作为 控制的实施者和受益者 企业以及企业 , 、 。 IT ——— IT 着会计信息系统在企业中发展的日趋成熟 控制环境发生 控制的重要参与者——— 会计师事务所等都不应该成为标 ， 变化 内部控制也呈现出新的特征 准的制定方 事实表明 完全独立于企业经济利益的国家 ， 。 。 ， 一 从 的视角更新控制观点 政府及其相关部门是执行企业内部控制 包括 控制 监 、 IT （ IT ） 尽管会计首先大量使用计算机 使会计处理自动化 但 督职能的最佳人选 在这方面可以借鉴由美国政府出台 ， ， ， 会计师们在开发 的应用能力方面却落在了后面 会计师 法案 其中 法案的苛刻内控要求 IT 。 SOX ， SOX-404 、SOX-302 和审计师的控制观点没有考虑 对业务运行 对规则的符 隐含了对企业 控制的控制要求 其制定的 影 IT 、 IT 。 SOX-404 合程度和信息过程相关的风险的影响 并已经对帮助企业 响深远而广泛 是衡量企业 控制是否有效的事实标准 ， ， 。 IT 识别和控制业务过程的风险感到力不从心 因