《萨班斯—奥克斯利法案》(“Sarbanes-Oxley Act”，简称为《SOX法案》)，这部来自美国，涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律，对在美上市企业严厉监管的同时，也冲击着中国海外上市的企业。《SOX法案》不仅促使公司改革财务管理体系，加强内部控制和风险管理，同时也对现有的业务流程和信息系统提出了挑战。 《SOX法案》第404条款是该法案中最具有挑战性的一项，要求公司管理层必须出示对财务报告和系统变更的内部控制的有效证明。同时，它指定美国反虚假财务报告委员会(Committee of sponsoring Organizations of the TreadwayCommission，简称为COSO)制订的内部控制框架，作为对公司内部控制有效性进行审核的专业标准。 人们对公司IT风险控制活动并不陌生，也了解相关的信息系统安全审计的要求。然而，在多数企业中却少有人知道《SOX法案》对IT系统的影响，更不知道其中第404条款对企业IT系统环境的内部控制审计要求。因此对当今的IT治理的观念也缺乏认识。本文参考信息安全管理体系审核的方法，采用《SOX法案》第404条款所引用的COSO内部控制框架理论，研究IT内控体系的关键内容和实施方法。从企业内部控制框架的角度去理解信息系统的审计要求和内容，对于多数IT从业人员来说是一个全新的视角，也给信息系统内审的执行提供了参考。 依据COSO内部控制框架理论，本文第三章依次从内控环境，风险评估，内控活动，信息与沟通，监控五大要素分析和挖掘信息系统内部控制体系的要点。在整个过程中，引入美资的康和相机有限公司的IT内控体系的实施案例。第四章主要探讨IT内控体系实际实施过程中的部分问题及相应的解决方案，最后，针对具体的内部控制要点或环节，建立IT内控体系模型。该模型将有利于IT从业人员充分理解COSO内部控制体系下的信息系统安全审计，同时，随着中国《企业内部控制基本规范》的出台，为实现企业目标而建立有效的IT内控体系具有现实意义。