由于IT对企业整体的管控环境具有广泛而深远的影响，所以，作为企业内控合规审计项目的子项目之一——IT内控合规审计的重要性显而易见。H公司是一家美国上市公司的中国独资子公司，由于其利润在合并报表中比重很高，因此被纳入母公司审计范围，接受萨班斯法案（SOX法案）要求的合规审计并最终通过了此项审计。笔者作为此项目的亲历者，期望通过对该案例的回顾，为其他企业提供一些借鉴。

一、项目总体情况介绍

与单纯的内控建设项目相比，IT内控合规审计项目最显著的特点是合规审计项目的目标是通过改进内控的设计和执行，配合外部审计工作以通过相应的合规审计，所以项目中审计特征十分明显。

一是项目的组织结构和权责安排。该项目由IT部门的首席信息技术官（CIO）负责，项目组由IT各部门主管及骨干员工组成，由规划管治部负责日常项目管理，向公司SOX法案合规审计项目组报告。由于母公司先期通过了SOX法案合规审计，具有一定的合规项目经验，因此其相关部门也会提供指导。在合规项目进行的同时，外部独立审计也相应启动，因此需要保持和外部审计的沟通。外部审计由两个团队构成，其中和IT合规项目组相关的是IT审计小组。IT合规项目组需快速地明确和熟悉与公司合规项目组、母公司IT管理部门以及IT审计小组的工作和沟通方式。根据控制活动的特点，IT合规项目组独立承担IT一般控制（ITGC）的合规，支持业务部门实现IT应用控制（ITAC）和实体层的合规。业务部门构成的业务组则对ITAC的合规负责。

二是项目实施过程。首先，确定项目范围，明确应被纳入IT合规审计的内容。项目范围界定十分重要，范围过小，审计风险高；范围过大，合规成本高。由于SOX法案合规审计关注内控对财务报告可靠性的影响，因此IT合规组需要识别影响财报可靠性的IT应用系统、数据库和相关基础设施等。围绕这些系统和设施的IT政策制度、标准、流程等也均应被纳入合规审计的范围。其次，依据对财务报告各项认定（存在性/发生、完整性、准确性、权利和义务、估值、披露）的影响评估IT风险。再次，根据风险评估确定IT控制目标和关键控制子目标；识别关键控制活动、控制类型和发生频率。此环节需要参照美国公众公司会计监督委员会（PCAOB）发布的审计标准中和IT控制相关的要求和业界IT内控框架。最后，依据设定的IT控制目标，评估现有的IT控制活动设计是否合理，测试IT内控的执行效果，汇总当前控制设计和执行的缺陷。然后，根据缺陷对财务报告可靠性风险的影响，确定关键控制流程和活动的改进计划并加以实施，同时保持持续有效的日常控制。

三是IT合规审计项目组需要向外部审计交付的文档主要包括以下几项：IT内控的总体陈述、应用系统范围说明书、IT风险控制矩阵、IT组织的职责分离设计、管理评估、问题跟踪与改进。

二、项目成功的关键因素启示

（一）构建高质量项目团队，营造公司先进文化

IT合规工作需要项目团队成员具备多领域的知识、技能和经验，这些素质有助于IT项目组准确理解SOX法案合规审计对IT的要求，制订有效的项目计划，合理分配任务，提高执行的准确性，并减少和外审或其他部门的沟通成本，提高工作效率。H公司的IT合规团队成员在这些方面具有很强的素质，他们拥有CISA（国际信息系统审计师）、CISSP（国际注册信息系统安全专家）、CPA（注册会计师）、CCNP（思科认证网络高级工程师）、MBA等证书，核心成员熟悉公司业务和运作流程，掌握ISO20000、ISO17799等信息系统审计知识，骨干员工拥有丰富的研究开发和管理经验，CIO具有很强的沟通能力和创新意识。项目启动初期，公司就SOX法案、合规方法理论、业界实践等内容大力开展宣传活动；组织各种形式的培训学习，并针对合规工作密切关联人员进行重点详细培训。此外，“进取、适应变革、执行力强”等公司文化特征也是H公司合规项目在短期内获得成功的基础。这使其在历次重大股权变更、产品战略调整、组织架构变革中都能够快速地适应并保持持续性发展。

（二）借鉴业界的框架标准，汲取成功经验

H公司SOX合规审计项目重点借鉴了信息技术治理协会（ITGI）2004年发布的“IT Control Objectives for Sarbanes-Oxley：The Role of IT in the Designand Implementation of Internal Control Over Financial Reporting”框架，该框架融合了COSO、COBITITIL等众多企业内控和IT管理及控制领域的框架，结合了PCAOB的审计标准，专门针对SOX法案的合规要求设计而成。其整体框架紧紧围绕财务报告的各项认定来确定ITGC管理流程中的各项控制活动，并进一步标识出其中的关键控制活动，其中还包括了ITAC和IT实体层次的具体控制活动。它不但为合规的风险识别与控制过程指明了方向和结构，而且描述了IT影响财务报告的路径，设计出了许多可供操作的具体活动。H公司项目组在进行项目实施路径设计、IT风险评估等过程中均是在参照该框架基础上结合公司实际情况操作的。

在IT内控建设和改进方面，H公司参考了IT服务管理（ITSM）模型，借鉴了IT基础设施库（ITIL）提供的最佳实践，其中ITIL的变更管理、问题管理、事件管理、配置管理等服务支持流程是参照重点。在信息安全管理方面，ISO17799是一个可参照的国际标准。总体来说，项目组围绕SOX法案302和404条款对于财务报告和披露的相关要求，依照相关框架，结合H公司IT具体运作情况来构建和执行SOX法案合规审计的IT控制体系。

与此同时，项目组还借鉴了成功通过IT服务管理体系ISO20000认证及信息安全管理体系ISO17799认证的公司的经验，汲取了母公司内审人员和IT专家丰富的SOX法案合规审计知识和经验。

（三）与业务运营良性互动的理念给公司带来增值

IT合规项目需要业务部门密切配合。比如ITGC中的系统账户权限管理流程需要在业务部门推行，变更流程中需要业务部门的用户执行系统测试和结果反馈记录等，这可能给业务部门在系统操作或者工作流程上带来了额外的工作量。与此同时，业务部门应用系统中的应用控制需求由IT部门负责开发和实施，这可以为业务带来控制自动化的便利。业务部门与IT部门的良性互动，有助于推进IT合规项目的开展。

从公司角度看，适当的内控会有效降低企业风险，为公司带来增值。事实上，很多控制点在日常业务中本已存在，只是执行人员没有意识到，现在通过文档化、例行化使之更明确，既提高了效率，又提升了效果，也使员工更理解自己工作的意义，增强成就感；现有控制体系中存在重复或多余的控制活动和可自动化的手工控制环节，以及对低风险环节的过度控制等，通过内控优化后减少了冗余的工作步骤，提高了自动控制水平和运营效率；IT合规过程中新建立起来的运维体系与流程，对IT运维的有效管理和绩效提升提供了很大帮助。

（四）良好的管理体系基础为项目提供了技术保障

IT管理体系的建设和实施应该落实在企业IT管理的日常工作中，这是一个积累的过程，无法在合规项目中一蹴而就。就H公司而言，在实施SOX法案合规审计项目前，H公司已经建立了项目管理制度、应用开发技术标准、系统平台技术标准等技术政策，建立了需求管理、应用系统开发管理、信息安全管理和部分IT运维管理流程和制度，这些日常运行中已经存在的流程为合规项目提供了坚实的管理基础。IT技术手段的利用则为合规提供了高效和持续性的保障，如交换机、路由器、防火墙、入侵防御系统、日志管理系统、高速数字监控系统、大容量存储产品、终端访问防御解决方案等，它们在预防不良事件发生和事后的审计和检测方面发挥了重大作用。

（五）保持通畅有效的内外部沟通

在公司内部，为保持和公司合规项目组、业务部门的良好沟通，H公司IT合规项目组采用能够使业务部门理解的语言和方式进行沟通，从而获得认可和配合。在公司外部，对审计师保持开放积极的态度，尊重审计师的观点，及时解决审计师发现的问题，跟踪业内动态并与审计师一起讨论分析，这样既增加了相互信任，也加快了双方解决争议问题的速度。■

责任编辑 李卓