当今企业中各种各样的财务报表和经营报表等都是通过IT系统计算处理后呈现出来的。假如IT系统的安全控制不住的话，风险就非常大，因此信息系统的管控就变得越来越重要。根据2005年2月毕马威的调查数据，美国上市公司在各业务流程中存在的控制缺陷、显著缺陷和实质性漏洞所占的比例，分析了包括信息技术、固定资产、财务报告、采购、人力资源等方面的数据，可以看到信息技术控制的缺陷是最大的，控制缺陷高达36%，显著缺陷达到22%，实质性漏洞达到21%，远远高于其他方面。
　　
　　在企业追求成功的道路上，往往要做到有效的内部控制，其趋势是创造风险与经营回报的良好平衡。但有效的内部控制就像在企业成功途中设置红绿灯，会亮红灯或亮黄灯，就带来不方便。就像足球比赛会有红牌和黄牌，但比较成功的裁判是合理利用手中的红黄牌，不仅有力的控制场上局面，也让球赛顺畅的进行下去，不会让人感觉特别的中断，这就是一种风险与回报的良好平衡艺术。
　　
　　目前IT风险管理的内控一般都在IT治理层面，大部分都是高层在做，往往是制定出责权利等规定挂在墙上就结束了。包括刚才德勤专家介绍到的，很多企业制度都已经制定了，但还是会出现问题，重要的原因之一就是把管控仅当作治理层面来看造成的，所以现在的趋势是风险的管控不仅是治理层面的事情，还需要往下移，也应该包括日常的运营，以及风险预警和监控，即企业整个风险管控和内控体系不仅是治理问题，也是管理问题，如此才能实现从高层决策到基层执行，构建统一有效的治理和管控体系。
　　
　　同时，我们也注意到国家也出台了一系列规范和条文，比如COSO报告的《内部控制-整体架构》，AICPA《审计准则公告第78号》、《会计法》中第四章第27条，财政部颁布的《内部会计控制规范》，证监会也出台了《证券公司内部控制指引》和《商业银行内部控制指引》征求意见稿，五部委出台有《企业内部控制基本规范》及《企业内部控制配套指引》。这些法规都是从各方面提出了很多治理要求，作为规范和指引企业内部控制作用。
　　
　　据中国上市公司2011年内部控制白皮书数据介绍，2010年我国上市公司的内部控制披露水平有所提升，披露了内部控制自我评价报告的上市公司的比例达到76.86%，聘请了会计师事务所出具内部控制审计报告的上市公司的比例达到41.57%。然而，2010年，我国上市公司自愿披露内部控制缺陷的比例低于1%，会计师事务所出具的内部控制审计报告中认为上市公司失效的比例也低于1%。在99%以上认为自身内部控制体系有效的上市公司中，多家上市公司存在着内部控制的重大缺陷，其内部控制体系实质上是失效的，以2010年违法违规及财务重述的数据为例，我国有50家上市公司由于违法违规而被监管机构处罚，占2105家上市公司的2.38%。
　　
　　与我国相比，美国上市公司自愿披露内部控制缺陷的比例高达13.8%。美国的上市公司大部分都必须经过会计师事务所出具内控审计报告，同时有接近百分之十一左右提出问题。萨班斯法案有明确的惩罚体制，如果审计隐瞒就会惩罚。然而在国内存在很大问题，能通过会计师事务所出具内控审计报告的公司不到一半，很多公司的审计部就下属在财务部或者总经理，但其实审计是主要审核财务和经营的，应该直接在董事会下，为股东负责。因此，针对这些现象，国内可以借鉴美国的萨班斯法案中的906条款对隐瞒内部控制缺陷、虚假披露内部控制有效性的上市公司进行严厉处罚，以此促进我国资本市场健康发展。
　　
　　当前企业内部控制体系还面临这样的现状，即会计师事务所对上市公司的内部控制体系的审核依据各不一致，有遵照萨班斯法案的，也有按照香港审计准则，还有中国注册会计师审计准则和内部审计指导意见的。因此我们的建议是按照财政部等五部委已经出台的《企业内部控制基本规范》及《企业内部控制配套指引》，为企业实施内部控制体系提供了基本的框架体系，并规范了公司披露《内部控制自我评价报告》和《内部控制审计报告》的内容与格式。采用COSO为基础建立企业整体内控框架和用COBIT为基础建立企业IT内控体系。
　　
　　但通过COSO的整体内控框架的五个方面来看，直接用于IT还是欠缺不少，所以当2002年萨班斯法案出台后，通常就直接用COBIT这个框架来做IT的内控审计框架了。2004年9月，结合《SOX法案》，COSO颁布了《企业风险管理--总体框架》，提出内部环境、目标制定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监控的风险八要素，达到实现发展战略、日常经营的效率和效益、经营信息报告体系和满足合规性的目标。
　　
　　我们建议国内企业采用财政部等五部委颁布的企业内部控制基本规范作为内控评估标准，结合国际上普遍采用COBIT框架作为IT控制的标准，将COBIT的相关IT控制目标与COSO风险八要素关联起来，设计符合规范要求的IT内部控制体系。COBIT是一个很丰富IT内控框架，包括三维架构、四个域、34个IT控制流程和318个详细的控制目标，是一个相当全面的信息系统内控框架体系。对想遵循内部控制规范的企业来说，该体系的控制目标和考虑一般会超过其需求，可实现业务需求的七个业务指标：有效性、高效性、保密性、完整性、可用性、一致性、可靠性。