在多数企业中,基于企业业务的需要,CIO每日忙碌于建立IT维护运管的服务体系和信息系统安全体系,其中也有很多人对相关的信息系统安全审计的要求耳熟能详。但是,谈到SOX 404和cosO内部控制框架下的IT内控体系,却很少有人能系统地陈述,更谈不上SOX404条款的实施和满足((sox法案》的要求了,IT内控体系的审计机制也由于缺乏对IT内控体系的了解而显得形式化。从企业内控体系的角度去研究IT系统及信息系统审计要求极其必要。同样,作为404条款中所强调的、内控体系中重要的组成部分,IT内控体系的建立和审计成为企业管理人员必修的课题。本文的研究采用COSO内部控制框架理论,依次从内控环境,风险评估,内控活动,信息与沟通,监控五大要素分析和挖掘信息系统内部控制体系的要点。再进一步深入到实际工作中,针对IT内控实施过程中存在的诸多矛盾焦点,寻求合理的、切实可行的IT内部控制的实施方法。在透过cosO内部控制框架理论,通过案例分析研究IT内部控制体系的要素,为CIO和IT内审人员了解IT内控体系提供参考,同时,也为企业管理人员理解IT内控的重要性提供帮助。