企業ＩＴ內部控制中自動控制的問題研究

[摘 要]很多國內上市公司的管理者發現，在執行薩班斯法案后，公司管理更加有效，執行效力明顯提高。原因在于這些企業在執行薩班斯法案時，對原有的IT內部控制架構進行了合理的改進，其中最為關鍵的就是將原有的手工控制活動改為自動控制活動。本文主要討論自動控制活動相對手工控制活動的優勢，提出將手工控制改進為自動控制的步驟。

[關鍵詞]薩班斯法案；內部控制；自動控制；手工控制

[中圖分類號]F270.7

[文獻標識碼]A

[文章編號]1673-0194(2009)05-0063-04

1 介 紹

如何建立或者保持一個嚴格有效的IT內部控制體系現已成為企業IT管理者面臨的最為緊迫的問題之一^[1]。自2002年薩班斯法案(Sarbanse-OxleyAct)頒布以及2004-2005年度該法案首次執行以來，上市公司紛紛竭盡全力來建立或完善自己的IT內控體系來滿足法案要求。在這個過程中，最為關鍵的部分在于IT安全政策和程序如何來支持企業內部各個部門的業務流程。據估計，2005年用于執行薩班斯法案的總成本高達60億美元^[1]，平均每個企業需要花費780萬美元來通過該法案^[2]，可見薩班斯法案的執行給上市公司帶來很高成本。

薩班斯法案對于上市公司是一場災難還是一種幸運^[3]?國外CFO服務研究所等研究機構共同提出的一份關于180個企業的薩班斯項目的調查報告表明，許多國外上市公司通過控制機制優化，業務流程改進以及自動控制等方法糾正了原有的流程缺點或管理漏洞，在執行法案后的兩三年內，由控制機制改善帶來的可見的和不可見的利益完全超過了執行薩班斯法案帶來的成本。……