围绕IT系统及其内在的控制措施中所存在的重大缺陷，对满足萨奥法案要求带来了挑战。萨奥法案404条款要求在美国证券交易委员会（SEC）登记上市的公司报告其内部控制的效力，其中包括利用公司数据通过计算机系统生成报告的可靠性。如果没有有效设计IT系统的控制措施，就会直接影响到财务报告的质量。数据的质量和可靠性至关重要，因为系统的好坏在于其所拥有数据的质量。
　　公司往往未能充分理解IT系统如何控制业务和财务交易流，及控制缺陷所产生的潜在影响。那些利用第三方提供软件及软件主要组成要件的公司还要考虑供应商是否能够满足日益增长的对控制的要求。另外，IT部人员常常缺乏控制意识。他们的注意力往往集中在系统的运行效率和软硬件运作的技术方面。这些都对公司建立和保持有效的IT控制提出了挑战。因此，管理层不应低估萨奥法案对IT部门的影响，以及一个典型的IT部门达到法案要求所需的工作量。
　　IT控制分为两个层次，即应用系统控制和IT一般控制。如果控制措施涉及错误或欺诈能够发生的环节或可能有效降低错误或欺诈风险的环节，那么这些控制措施可能就涉及内部控制的5个要素（也就是控制环境、风险评估过程、信息和沟通、控制行为和监控）。
　　内部控制系统必须同时包括检查性控制（旨在监控是否达到相关流程目标-包括识别错误或欺诈的制度和流程）和预防性控制（旨在防止错误或欺诈的程序）。预防性控制和检查性控制同时存在于电脑化环境的内部和外部。
　　在电脑化环境的内部，预防性和检查性控制通常都是“程序化的或应用系统控制”。应用系统控制可能是由程序来控制的（如编辑检查、匹配或差异调节），也可能是计算机中的系统流程（如计算、在线交易、系统间的自动数据接口）。识别这些控制措施需要业务流程负责人和IT人员通力协作。
　　典型的IT一般控制由程序开发控制、程序更改控制、数据和程序的访问控制、计算机操作控制组成。这些控制适用于计算机应用层之上；它们也可以是在单一的平台上的单一的应用系统上执行的控制。对IT一般控制的文档记录和评价十分重要，因为那些控制提供了一个基础，据此可以推断应用系统内部的预防性控制是否能随时间推移持续发挥作用，同样也可以为说明在执行检查性控制时是否可以依靠应用系统的输出结果（即电子证据）提供证据。
　　某些关键性的IT控制的缺陷，如无效的程序更改控制和在应用程序中用户拥有过多的超出其工作职责所需的系统和数据的访问和操作权限，导致了某些美国公司未能满足萨奥法案的要求。这些缺陷在中国的企业中也屡见不鲜。
　　程序更改控制是保持应用系统完整性的关键因素。例如，编程人员有生产系统（即处理真实交易的硬件平台和应用系统）的访问权限，就是一个主要的典型的程序更改控制的缺陷。这里的潜在风险是编程人员可能对生产系统的程序和数据进行未经授权的更改，从而破坏系统的完整性，并可能导致潜在的欺诈行为。
　　虽然许多公司在员工岗位描述中对职责分工进行了严格界定，但是员工在应用系统中的访问和操作权限可能与其岗位职责并不一致。例如，一位劳资职员能够进入人力资源系统创建和编辑员工记录。过多的用户访问操作权限是有害的。
　　另外，尽管许多公司规定了全面的安全制度，可是现实中这些安全控制并没有按照要求执行。比如，员工共用密码是常见现象，而按照安全制度这通常是被禁止的。
　　IT控制的设计、文档记录、测试和保持是实施萨奥法案404条款的主要工作。管理层不应将其视为一个棘手的任务，反之，他们应该抓住这个机遇，提高其IT管理水平，这也是公司治理的一个重要方面。此外，公司也不应对法案所要求的IT控制工作低估和轻描淡写。他们应该早日考虑和着手解决萨奥法案404条款对IT控制所提出的要求。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　（作者系安永科技与信息安全咨询服务合伙人）