4月26日，财政部、证监会、审计署、银监会、保监会等五部门联合发布《企业内部控制配套指引》，规定将把上市公司的内部控制建设情况纳入上市公司日常监管的范围，并制定了实施时间表：自2011年1月1日起企业内部控制首先在境内外同时上市的公司实施，自2012年1月1日起扩大到上交所、深交所主板上市的公司。指引的发布也意味着被称为“中国萨班斯法案”的企业内控法开始进入实质运行阶段，如何做好企业内控成为摆在各家上市公司面前的一道严峻课题。

　　企业内控与IT

　　严格意义上的企业内控要求源于美国安然、世通等公司财务欺诈丑闻，为了避免类似事件再次发生，最大限度保护投资者利益，2002年美国颁布SOX（萨班斯）法案，明确规定所有在美上市公司都必须加强和建立有效的内部控制框架，以确保上市公司遵守证券法律和提高公司披露信息的准确性和可靠性。要求上市公司针对产生财务交易的所有作业流程，都做到能见度、透明度、控制、通讯、风险管理和欺诈防范，且这些流程必须详细记录到可追查交易源头的地步。

　　企业内部控制按工作范围分类，可以分为内部管理控制和内部会计控制。内部管理控制，以提高公司的经营效率和效益为目的，通过检查和改进有关的管理政策和程序，有效控制公司运行，实现公司资产的保值增值。内部会计控制，以保护财产物资和确保会计资料可靠性为目的，通过适当的业务权限设置和授权、准确的会计记录、及时的实物盘点以及公允的报告程序和方法，保证公司经营和财务信息的可靠，保障公司资产的安全。

　　由于现代企业运营都普遍依靠IT，特别是财务报告更需IT支撑，因而该法案还规定企业必须建立一个IT基础设施，以确保所有的记录和数据不会被毁灭、丢失、未经授权的变更以及错误的使用。实施企业内控，就必须进行IT内控，IT内控是企业内控不可或缺的重要部分。

　　IT内控包括：IT应用控制(IT Application Control)和IT一般控制(IT Generally Control)。IT应用控制，是指对业务流程所依赖的IT系统进行某些控制，其中特别是针对支持财务报告的特定IT应用。IT一般控制，是指对于支撑公司运作的IT基础技术架构平台进行有效管理控制。可见，IT一般控制是基础，而要进行IT一般控制就必须进行IT资产管理。

　　IT资产管理是IT内控的基本要求

　　企业IT资产通常包括IT基础技术架构中的计算机及其外设、网络设备及相应的配件、耗材、工具和软件等，资产形式分为自有、租借或虚拟等。

　　内控要求下，为了应对内部审计，企业必须掌握准确的IT资产数据，IT资产清查和盘点成为上市公司每年的必备工作。同时，IT资产往往携带企业数据，因而必须对其做好管理，以防止由于资产丢失或不合理的报废流程造成企业信息泄漏，确保相关法律的合规性。据报道，去年6月份，汇丰银行就因为遗失了电脑硬盘和邮寄非加密数据，被英国监管当局罚款320万英镑。

　　因而，若不能保证IT资产的数据准确和安全合规，企业对IT进行有效的内部控制就无从谈起，IT资产管理是IT内控的基本要求。

　　如何做好IT资产管理

　　然而IT资产种类繁多，数量庞大，且可能散布各地，管理起来千头万绪，无从下手，那么CIO 怎样才能高质量低投入的管好它们，以满足企业内控要求呢？

　　对此，已为数十家世界500强跨国公司提供10余年IT运营服务的金道公司认为，良好的IT资产管理结果必须满足以下三要素：

　　首先要有清晰的管理流程，制定好规范，对IT资产的全生命周期进行记录和监管，必须涵盖规划、采购、分发、维护、变更、报废等各个环节。

　　其次要有优质的资产管理软件工具，具备自动发现、变更管理、资产追踪、数据分析等功能，同时保证各个相关系统（如资产数据库系统、自动发现系统、财务系统等）产生的不同信息能互相交换，能随时对各种资产数据进行比对，以消除信息孤岛，发现偏差及时更正，确保资产数据的准确性。

　　最后，也最为重要的，是要有严格的执行保障措施。其中包括专业而有经验的执行人员，以及相应的质量保证和控制制度，确保流程、工具真正发挥作用。

　　金道高级副总裁王勇先生介绍说：“从我们服务的多家500强企业客户的实际经验来看，1到2年内即可使企业IT资产准确率达99%以上，同时能大大节省企业为满足内控要求而需要在IT资产管理方面投入的人力、物力、财力及时间，投资回报率可高达500%。”