在信息化时代,由于IT与企业业务的日益融合,IT治理和IT控制迅速成为公司治理和内部控制的核心。IT治理是通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。而IT控制作为企业内部控制领域新的热点,还未形成一个规范的定义,相关研究尚处于起步阶段。通过对“IT控制”提出背景及使用场合的综合分析,我们认为IT控制是指企业运作过程中有关IT这部分资产的购入、使用及维护等不同阶段的相关内部控制过程,其内涵涉及IT控制环境、软硬件的运行和维护、系统和数据的访问、系统开发和变更等内容。企业通过实施有效的IT控制,可以降低IT风险,提高IT投资回报率。IT治理和IT控制之间的关系是信息化环境下公司治理和内部控制关系的拓展,其中IT控制及其相关内容是本文的研究重点。以安然、世通为首的财务丑闻,暴露出诸多上市公司治理结构的失衡和内部控制的失效,推动美国政府于2002年出台重典——SOX法案。该法案旨在规范企业治理行为,提高其内部控制效力。最近中国企业UT斯达康再次因内部控制问题而面临SOX-404合规困境,遭遇纳斯达克摘牌危机。因日常业务IT控制不规范等原因造成SOX合规问题在海外上市的企业中屡见不鲜,生动地揭示了IT控制的重要性和SOX合规的现实意义。有鉴于此,本文结合SOX合规的实际需求进行IT控制理论演绎,后将理论演绎结论置于现实之中,探寻兼具可行性和可操作性的实现方式,具体内容包括:基于IT控制的现有研究成果,以IT治理COBIT模型为研究工具,选取SOX-404的控制需求作为企业IT控制有效性的衡量标准,并结合IBM WBCR所实现的控制功能,尝试对企业IT控制的有效实施进行深入研究分析和有意义的探索。本文特色主要集中在以下几方面:1.分析IT控制的形成背景,尝试对IT控制的概念做出规范界定。2.针对政府在企业IT控制中的独立监督地位,选取并论述由美国政府签发的SOX-404作为IT控制有效性的事实标准。3.基于IT控制和IT治理的关系,从治理的层面探讨控制问题,构建基于COBIT的IT控制理论体系,并对体系的有效性做出论证。4.从COBIT的过程控制思想和SOX-404的内部控制需求两个角度分析IBM WBCR的控制功能,用于探讨企业有效IT控制体系的具体实现。