随着信息化进程的推进,与之配套的内控制度显得越来越重要。就网络环境而言,企业的信息的处理与相关作业处理程序都必须依靠良好的计算机信息系统,因此信息系统内部控制的好坏,将直接影响企业的运营与发展,所以建立健全企业的内部控制制度、确保IT安全是十分必要的。
专家指出,IT安全应建立在合理的总体规划与设计、技术方案、产品的合理选用与组合基础上,除了这些技术性要素之外,确保IT安全的治理要素还包括确保组织结构、工作方法符合IT安全的要求,并不断监控其执行情况,持续进行改进,这样才能有效保障IT内控职责的实现。由于IT系统对企业经营状况无可避免地会产生影响,因此,IT安全实际上直接关系到企业财务数据的可信程度。对于在美国上市的企业而言,IT内控是法规要求的内部控制体系的重要组成部分。
据悉,弘成教育作为美国纳斯达克上市公司,已经连续两年通过SOX 404 IT审计,这表明它已经初步建立了IT安全控制体系。据其IT内控负责人介绍,弘成教育IT风险控制制度和流程覆盖了控制环境、系统开发、系统变更、系统安全、运行维护等4个领域,由技术质控部负责对制度和流程的执行进行检查,以客观独立的角色,确保IT技术规范的有效执行,同时负责跟踪解决检查过程中发现的IT风险,以查促执行和完善。
弘成教育IT内控负责人表示,公司每年都进行IT风险评估,并且建立了贯穿业务流程的IT风险发现、收集、报告和解决机制。从某种意义上讲,弘成教育的IT安全,已经能够满足企业审计、财务报告和企业层面控制的要求。然而,对于一线的业务需求而言,当前的IT安全水平仍然需要进一步提高,这就要求弘成教育在2011年要取得更加具体的、实质性的IT内控进展。
首先,要落实解决通过风险评估识别的已有风险;其次,对《IT安全检查清单》列出的关键风险点,要按计划完成日常独立检查;第三,保证通过SOX 404外审。
在IT内控沟通层面,为及时沟通,相互了解IT内控情况,弘成技术质控部采用任务工时、项目周报、IT管委会月报、合作网院季报的方式,透明的推进IT内控工作,保障IT内控工作持续有效的进行。