面对安然、世通等财务欺诈事件，为提高上市公司治理水平，恢复投资者信心，美国总统布什于2002年7月30日签发了萨班斯奥克斯利法案(Sarbanes-Oxley Act，以下简称SOX法案)。SOX法案明确规定，对每个在美国上市的公司，外部审计人员必须检查和证实其内部财务控制的有效性，SOX法案中的第404条款要求公司在财务报告方面加强内控，考虑到工T和财务报告的关联性，IT也必须加强内部控制以达到SOX法案遵从。作为一家在美国上市的公司，T公司全球各分支机构都将面对严格的SOX法案审计，S公司是T公司的全资子公司，也被要求实现IT控制的SOX法案遵从，将信息系统纳入内部控制管理体系，进一步降低IT系统的管理风险。但是，如何真正做到这些呢?尽管每个企业都或多或少会都有一些工T控制制度，但由于种种原因，这些制度基本是由技术管理者制定，他们缺乏规范化风险管理的经验，这些IT控制制度可能不太规范，控制政策程序不太完善。另外，IT控制是一种高层次的理念，比较理论化，衡量IT控制可靠性的评估以往采用的指标大都是定性指标而非量化的指标，造成IT控制有效性难以得到合理的判断和认可。因此，借鉴国际公认的内部控制框架理论，构建一套可操作，系统化、标准化、可审计、持续有效的IT控制系统是众多被纳入SOX法案遵从实施范围的企业的必然选择，也是企业建立完善的内部控制体系所必须的，同时对其他企业建立有效的IT控制体系也有很强的参考作用。本文主要在以下两方面进行了研究： 一是企业如何通过SOX法案遵从实践建立有效的IT控制体系的基础理论分析。结合SOX法案，COSO，COBIT体现的内部控制思想，着重提到COSO内部控制整体框架和COBIT信息及相关技术控制目标，为后文S公司采用上述理论体系进行实践作理论铺垫。 二是理论结合实际的案例研究，利用相关理论对S公司IT控制的SOX法案遵从项目所进行的实践，以此展示理论对该项目的指导作用并验证了设计的工T控制方案的有效性。 本文从SOX法案对IT控制的要求出发，联系COSO和COBIT等理论基础，结合S公司的IT系统现状和总公司的SOX法案遵从总体布局，设计了S公司的IT控制的SOX法案遵从方案，对此进行了科学的测试和总结，并且运用PDCC循环，来维持IT控制的持续有效。论文的重点，是对S公司如何利用COSO和COBIT等IT控制理论和IT成熟度模型，通过分析现状，系统的设定IT控制目标，确定关键风险因素，分析风险并设计控制措施和文档，测试和评估，纠正缺陷，持续的监控措施等一系列操作手段，验证了实现IT控制的SOX法案遵从，是一种达到有效工T控制和判断工T控制效果的有效方法。