CIOI：那么这些企业在内部控制方面的不足，主要体现在哪些方面？
　　萨班斯法案对跟财务报告相关的内部控制（以下简称内部控制）的要求是一个总体的、自上而下的体系，是一个很系统的东西。但是不少准备上市的中国企业大多是新兴企业或者发展尚在初级阶段的企业，在内部管理和控制方面非常明显的一个缺陷就是：混乱、不成体系。如我们在给他们做审计时。需要他们提供一些文档，这时混乱之态就体现出来。企业在进行文档管理的过程中，都需要有一些规范，但是现在，这些企业往往只有一些口头上的框架、口头上的流程和程序，在一些很规范的表格、表单和文档等方面，则是非常欠缺的，这是一个比较严重的问题。
我的同事周永汉先生认为，文档上的混乱只是一种表象，这些企业之所以在某些细节上出现如此糟糕的局面，归根结蒂还是东方和西方管理模式的不同。我们在为企业做审计时，其实发现他们在内控方面都规划了一个清晰的框架，只是在内部控制的细节方面还有很多欠缺。
　　萨班斯法案对内部控制的精神是需要最高层的管理者去推行内部控制。按照萨班斯法案的要求，一家在美国上市的公司的CEO和CFO需要对公司内部控制情况出具保证声明，这也就要求从CEO、CFO等最高层一起去推行内部控制的工作，这是一个自上而下的监督和负责制。
　　最高管理层如CEO、CFO同意并支持内部控制，有利于公司内部控制工作的顺利开展。在此基础上，公司管理层才会拿出一定资源去推广内部控制的工作，因为内部控制会涉及到不同部门之间的协作与配合。所以公司在开展内部控制过程中，坚持自上而下这个流程是很重要的。在中国的传统文化中，可能比较重视某一个人的作用，比较看重的是某些人怎么去管理另外一些人，但是对整个公司层面的控制和管理却不太重视。这也是西方管理与中国传统的管理方法不一样的文化的差异。
同时，IT管理也是内部控制非常重要的一个表现。

CIOI：你刚才提到IT管理是萨班斯法案中一个非常重要的要求，那么中国的企业在IT管理方面，与萨班斯法案的要求有哪些差距？
　　目前，中国的很多企业在IT管理上存在许多不足之处。其实，很多企业已意识到IT系统是一个很重要的领域，但是企业的CEO和CFO等对IT系统的了解和控制还比较少，很多时候他们都把那些责任放到CIO身上。刚才提到，萨班斯法案要求实行企业　　　CEO、CFO等最高层负责制，所以如果他们对IT系统不了解的话，在内部控制方面也是一个问题。
　　此外，我接触过的很多企业高层，他们对公司的一些规范，了解得比较清楚；但是在IT系统的构成、功能、对业务部门的作用，以及借助一些复杂的IT系统能实现什么样的内部控制等方面，却并不太了解。在很大程度上，这些企业还在依赖一些手工控制，但是从内控的角度来讲，如果不借助于IT系统，很多手工控制根本无法100%地满足企业内控的要求。