近年来,从美国的安然公司破产到世通公司的财务丑闻,从中国的银广夏、蓝田到中科创等违规案的公开无疑都将注意力集中在财务报告的各个方面。作为美国公司的舞弊和给美国国会带来的相关压力的结果,《萨班斯——奥克利法案》于2002年夏天通过。美国证券交易委员会(SEC)和纽约证券交易所(NYSE)随后制定的规则和管制,对于上市公司的公司治理、内部控制产生了重大的影响。法案的302节要求CEO和CFO就他们的内部控制系统进行报告,并在提交给SEC的财务报表上签字——以此作为保证,因此,这部法律将迫使高级执行官确保其内部控制系统的适当;而法案的404节要求公司要:(1)陈述管理层建立和保持适当的内部控制和财务报告的责任;(2)在上市公司的财政年度末,对内部控制结构和财务报告程序的效果的评估。现在NYSE第一次要求所有登记上市的公司都要有内部审计的职能。1994年经过修订的COSO报告诞生了, COSO报告也被人们形象地称作内部控制的“圣经”。2004年9月,COSO又提出了《企业风险管理——整体框架》,它既是对《内部控制——整体框架》的超越,也标志着内部控制的转型,在内涵界定、目标体系、构成要素等方面都进行了拓展和延伸。而COBIT作为国际上通用的信息系统审计的标准自1996年诞生以来已经更新到了第四版,其中更加强化了其对IT风险控制的目标内容,为信息系统审计界提出了许多新的课题。于此同时世界范围内多个影响范围广大的信息化安全标准都提出了自己的风险管理的控制框架,一时间呈现出百花争鸣的景象,文中将会涉及到几个比较有影响的内部控制框架如ITIL、ISO17799、CMMI、Prince2、NIST、ITGI。多数框架提出了IT治理的理念,或者在IT治理的前提下研究IT风险的内部控制。似乎IT治理已经成为了企业治理的重要方向。的确,在当今的全球商业环境中,信息的重要性被广泛接受,信息系统在各类组织中得到了广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使IT治理成为了公司治理越来越关键的一部分。目前,IT治理理论已经成为内部控制和信息系统审计领域的研究热点。企业对IT的依赖性越来越强,却没有太多合理的IT风险管理框架来为信息化过程保驾护航,这导致了不断增长的对风险管理框架的需求。本文研究的目的在于为于信息化成熟度较高的企业建立一个针对信息技术部门的风险管理框架。本文研究的另一个重要内容在于收集和整合IT风险管理的需求,并将其融成一个系统的整体。本文的第一章介绍了风险管理框架产生的背景、必要性,同时也概述了IT治理的一些概念。第二章则从国内国外两个方面介绍了风险管理框架的需求,主要侧重于规则需求方面。第三章介绍了国际流行的控制框架和标准。第四章从对比和综合两个角度深入的对各个内部控制框架进行了分析。随后在此基础上第五章构建了新的风险管理框架并对其进行了分析,同时提出了实施的办法。文章的第六章在最后通过一个政务软件的案例来看在新框架的指导下对组织的IT技术内部控制审计有哪些启示。最后是结论。