為符合SOX法案第404條款的要求，相關(guān)公司在IT治理的改善上做了很大的努力，主要表現(xiàn)在IT一般性控制和應(yīng)用系統(tǒng)/業(yè)務(wù)流程層面的自動控制的改進(jìn)。

　　所謂IT一般性控制，包括IT的控制環(huán)境、對程序和數(shù)據(jù)的訪問、程序開發(fā)、程序變更和計算機(jī)日常運作和最終用戶計算環(huán)境。而應(yīng)用系統(tǒng)/業(yè)務(wù)流程層面的自動控制則主要和應(yīng)用系統(tǒng)的功能特點相關(guān)，并和IT治理間接相關(guān)。這些合規(guī)性的實踐，極大地豐富了IT治理實踐的內(nèi)容。

　　筆者結(jié)合自身的工作實踐，提出下列體會供探討。

　　SOX法案第404條款合規(guī)性實踐提出了一種檢驗IT治理成效的方法

　　總的說來，IT治理是一種高層次的理念，比較理論化，衡量IT治理的成熟度模型所采用的指標(biāo)大都是定性指標(biāo)而非量化的指標(biāo)。因此IT治理成效難以得到合理的判斷和認(rèn)可。

　　不過近年來SOX法案第404條款的合規(guī)性實踐，展示了改善IT治理和判斷IT治理成效的一種有效方法。雖然SOX法案第404條款合規(guī)性的要求有其特有的局限性，因為其主要關(guān)注的是和財務(wù)報告相關(guān)的信息系統(tǒng)，但是由此產(chǎn)生的方法論和合規(guī)性實踐，對IT治理的理論發(fā)展和實踐很有借鑒意義。

　　公司IT治理的一個重要部分是IT的一般性控制，其中包括IT控制環(huán)境、對程序和數(shù)據(jù)的訪問、程序開發(fā)、程序變更、計算機(jī)操作和最終用戶計算環(huán)境等領(lǐng)域。在SOX法案第404條款的合規(guī)性實踐中，上述領(lǐng)域的IT一般性控制已經(jīng)被發(fā)展成非常具體的控制要求了。

　　SOX法案第404條款要求的IT一般性控制的合規(guī)性實踐往往采用下列的方法。

　　首先是做一次IT一般性控制的現(xiàn)狀分析。然后參照COBIT的要求建立公司的IT控制目標(biāo)以便進(jìn)行差距分析，并在此基礎(chǔ)上找出和確定能涵蓋這些控制目標(biāo)的IT一般性控制的關(guān)鍵控制點。

　　每個關(guān)鍵控制點的控制活動都被清晰地描述和文檔化，同時這些控制活動還必須具備可操作性和可檢驗性，最終形成所謂的IT控制矩陣（IT Control Matrix）。

　　相關(guān)公司都必須完成一整套與IT控制相關(guān)的文檔，即所謂的SOX法案合規(guī)性文檔，如IT政策、IT控制矩陣、IT控制活動描述、IT控制的測試方法等。隨后通過細(xì)致扎實的工作落實已被確定的IT控制點，從而使IT控制得到貫徹實施。

　　根據(jù)SOX法案第404條款的要求，管理層必須每年對這些控制點進(jìn)行測試和評估，對測試得出的控制缺陷，則需要增設(shè)補(bǔ)救和改進(jìn)措施，并再次測試。如果在規(guī)定的期限內(nèi)，控制缺陷還是不能得到改正，外部審計師將根據(jù)情況，針對控制缺陷和程度發(fā)表審計意見。

　　筆者從相關(guān)工作中體會到，將相關(guān)的IT控制措施文檔化并加以實施，再加上對IT控制進(jìn)行測試和控制缺陷的補(bǔ)救改進(jìn)工作，這可以在很大程度上將公司IT治理落到實處。

　　確認(rèn)公司的IT控制目標(biāo)是落實公司IT治理架構(gòu)的重要基礎(chǔ)工作

　　在SOX法案第404條款的合規(guī)性實踐中，很多公司以COBIT為參照標(biāo)準(zhǔn)，根據(jù)其具體情況確定必要的IT控制目標(biāo)。由于在美國上市的公司分布在不同行業(yè)，公司的規(guī)模相差懸殊，信息系統(tǒng)的應(yīng)用范圍也有很大的不同，故對不同的公司而言，在合規(guī)性的要求下要實現(xiàn)的IT控制目標(biāo)的范圍有很大的差異。

　　公司要實現(xiàn)的IT控制目標(biāo)，與公司IT應(yīng)用的情況和公司的IT管理運作方式有關(guān)。在確定了要實現(xiàn)的IT控制目標(biāo)后，接下來就是要發(fā)現(xiàn)和確認(rèn)相關(guān)的IT控制點和控制活動。實現(xiàn)任何一個IT控制目標(biāo)可能需要一個或多個相關(guān)的控制點，這取決于控制目標(biāo)的要求和控制點的控制方式。以上工作的結(jié)果可以產(chǎn)生所謂的IT控制目標(biāo)矩陣或IT控制矩陣。

　　確認(rèn)公司的IT控制目標(biāo)是落實公司IT治理架構(gòu)的一個重要基礎(chǔ)工作。在此基礎(chǔ)上制定合理的IT控制矩陣是一項很重要的工作，它對落實公司IT治理架構(gòu)和SOX法案第404條款的合規(guī)性實踐有很大的實踐意義，整個合規(guī)性活動的工作量，也與此密切相關(guān)。

　　定期測試IT控制活動的有效性是檢驗公司IT治理成效的試金石

　　在SOX法案第404條款的合規(guī)性實踐中，對IT控制活動進(jìn)行定期測試是重要的一環(huán)。IT控制活動的測試分為管理層的自我評估測試和外部審計師的合規(guī)性審計測試。

　　無論是上述何種測試，都將根據(jù)IT控制活動發(fā)生的頻率，決定樣本的大小，并對抽取的樣本按照設(shè)計的測試步驟進(jìn)行測試。IT控制的設(shè)計有效性和運行有效性二個方面將被分別測試。

　　按照重要性原則，公司屬下的分公司、子公司或者分支機(jī)構(gòu)，將會有選擇地接受測試。這樣的測試，一般每年進(jìn)行一次，公司的管理層和公司的外部審計師都將為測試付出很大的努力。

　　任何被檢測出的IT控制缺陷，需要在規(guī)定的期限前改正和接受再測試?？刂迫毕萑绻荒茉谝?guī)定的期限前通過改正和測試，外部審計師會發(fā)表相應(yīng)的審計意見。因此可以說，定期測試IT控制活動對公司的IT治理的落實和改進(jìn)有極大的幫助，是檢驗公司IT治理成效的一個試金石。