隨著信息化進程的推進，與之配套的內(nèi)控制度顯得越來越重要。就網(wǎng)絡環(huán)境而言，企業(yè)的信息的處理與相關作業(yè)處理程序都必須依靠良好的計算機信息系統(tǒng)，因此信息系統(tǒng)內(nèi)部控制的好壞，將直接影響企業(yè)的運營與發(fā)展，所以建立健全企業(yè)的內(nèi)部控制制度、確保IT安全是十分必要的。

    專家指出，IT安全應建立在合理的總體規(guī)劃與設計、技術方案、產(chǎn)品的合理選用與組合基礎上，除了這些技術性要素之外，確保IT安全的治理要素還包括確保組織結(jié)構(gòu)、工作方法符合IT安全的要求，并不斷監(jiān)控其執(zhí)行情況，持續(xù)進行改進，這樣才能有效保障IT內(nèi)控職責的實現(xiàn)。由于IT系統(tǒng)對企業(yè)經(jīng)營狀況無可避免地會產(chǎn)生影響，因此，IT安全實際上直接關系到企業(yè)財務數(shù)據(jù)的可信程度。對于在美國上市的企業(yè)而言，IT內(nèi)控是法規(guī)要求的內(nèi)部控制體系的重要組成部分。

    據(jù)悉，弘成教育作為美國納斯達克上市公司，已經(jīng)連續(xù)兩年通過SOX 404 IT審計，這表明它已經(jīng)初步建立了IT安全控制體系。據(jù)其IT內(nèi)控負責人介紹，弘成教育IT風險控制制度和流程覆蓋了控制環(huán)境、系統(tǒng)開發(fā)、系統(tǒng)變更、系統(tǒng)安全、運行維護等4個領域，由技術質(zhì)控部負責對制度和流程的執(zhí)行進行檢查，以客觀獨立的角色，確保IT技術規(guī)范的有效執(zhí)行，同時負責跟蹤解決檢查過程中發(fā)現(xiàn)的IT風險，以查促執(zhí)行和完善。

    弘成教育IT內(nèi)控負責人表示，公司每年都進行IT風險評估，并且建立了貫穿業(yè)務流程的IT風險發(fā)現(xiàn)、收集、報告和解決機制。從某種意義上講，弘成教育的IT安全，已經(jīng)能夠滿足企業(yè)審計、財務報告和企業(yè)層面控制的要求。然而，對于一線的業(yè)務需求而言，當前的IT安全水平仍然需要進一步提高，這就要求弘成教育在2011年要取得更加具體的、實質(zhì)性的IT內(nèi)控進展。

    首先，要落實解決通過風險評估識別的已有風險；其次，對《IT安全檢查清單》列出的關鍵風險點，要按計劃完成日常獨立檢查；第三，保證通過SOX 404外審。

    在IT內(nèi)控溝通層面，為及時溝通，相互了解IT內(nèi)控情況，弘成技術質(zhì)控部采用任務工時、項目周報、IT管委會月報、合作網(wǎng)院季報的方式，透明的推進IT內(nèi)控工作，保障IT內(nèi)控工作持續(xù)有效的進行。