2017 年 7 月 26 日

实现 SOX 合规性的“IPE”信心的 4 个步骤

By Vicki Humphrey

实现 SOX 合规性的“IPE”信心的 4 个步骤您对用于做出重要决策的系统生成数据感到满意吗?您是否相信数据完全支持您对 Sarbanes-Oxley (SOX) 合规性的关键控制,或者您是否在“IPE”方法中遇到挑战?

我们开始提出问题并发现虽然我们的客户普遍同意 definition 在实体生产的信息 (IPE) 中,对于如何确保信息准确和完整存在不同的想法。我们都同意的一件事是:在这种监管环境下,受 SOX 合规约束或准备遵守 SOX 规范的组织应高度重视验证其 IPE 的完整性和准确性。

这是因为上市公司会计监督委员会 (PCAOB) 正在密切关注外部审计师的工作——尤其是他们涵盖 IPE 的审计程序。外部审计师正在消除这种压力,要求管理层在评估 SOX 控制时更加严格地围绕 IPE。这种日益增加的关注使得能够证明您了解进入报告和电子表格(统称为“关键报告”)的数据的来源和可靠性比以往任何时候都更加重要。

为什么?因为如果审计发现有不准确或不完整的数据支持您的控制,您的组织可能会面临披露 SEC 文件中的重大漏洞的后果。之后,您将在显微镜下展示修复问题可能需要付出的重大而昂贵的努力。

IPE 验证

我们一直在与客户合作,在他们的 SOX 合规计划中开发和实施一个工作流,旨在清点他们的数据,将其映射到关键控制并及时验证其完整性和准确性。

这种方法使管理层能够通过准确了解基础数据如何支持和有益于他们的控制活动来掌握 IPE 质量。它还提供了一个可持续的流程来管理数据和受影响控制的持续可靠性,并提高对 COSO 2013 框架原则的遵守情况。

以下四个关键步骤可以帮助您制定方法。

  1. 创建 IPE 清单

    第一步是通过启动一个列表或 Excel 文件来创建清单,该文件标识支持您的关键 SOX 控制的所有报告。然后确定要为每个报告跟踪哪些属性。这些可能包括:

    • 报告类别(标准、自定义或临时)
    • 支持的控制编号(数据如何映射到关键控制)
    • 数据源(特定系统、应用程序或数据库)
    • 系统/工具生成 IPE
    • 报告所有者
    • 报告保管人
    • 最后更改日期
  2. 对您的 IPE 进行分类

    接下来,将您的报告分为三个主要类别之一:标准、自定义或临时。这个过程可以根据具体报告的创建方式制定适当的完整性和准确性评估和测试程序。

    • 标准或预制报告由应用程序提供商设计并随应用程序包一起提供。它通常不能由最终用户重新配置。
    • 自定义报告由 IT(或由软件提供商应公司要求)构建或配置,以满足特定需求,使用数据或软件功能。一个示例是使用自定义查询/程序从应用程序数据库中提取数据的 SQL 报告。
    • 即席查询是更“狂野西部”方法的结果,在这种方法中,最终用户有权插入一组参数以生成报告。由于这种查询的创建方式,它更有可能包含需要额外审查的错误或不一致。
  3. 确定您的验证方法

    将报告分类后,确定每个类别类型的验证方法并执行完整性和准确性验证程序。这种验证可以作为“基线”,具体取决于报告类别,可以在考虑变更管理控制的有效性的情况下前瞻性地加以利用。以上类型。您的评论可能包括:

    验证方法

    • 获取并评估生成报告的程序/查询
    • 获取和评估使用的参数
    • 结果报告中的示例数据
    • 识别数据源(数据库、系统)

    管理层保留的证据

    • 程序代码/查询
    • 用于运行报告的参数的屏幕截图
    • 报告日期
    • 报告验证支持文件
  4. 维持 IPE 进程

    想出一种您可以继续前进的方法很重要——这意味着对影响您的关键报告清单的人员、流程或系统的任何变化保持领先,然后根据需要跟进额外的验证。例如,如果生成特定报告的责任易手,您需要能够在库存中快速反映该变化;它是一份动态文件,应根据需要及时更新。

    以下是一些有助于在整个过程中提供问责制的行动项目。

    • 为整个关键报告清单分配最终所有者。 此人将与报告所有者和保管人协调,以确保及时更新库存以进行任何必要的更改。
    • 为各个关键报告分配所有者和保管人。 所有者对报告中的信息负责,而保管人是技术管理员。
    • 培训报告所有者和保管人并与之沟通 以确保他们了解自己的职责。
    • 建立并记录关键报告维护流程。 定义所有者职责,例如向库存所有者提供信息并保持用户访问和变更管理 IT 一般控制的合规性。建立保管人职责,包括确保报告没有更改,未经所有者批准不得访问,以及在需要更改时严格遵循更改管理流程。记录对与完整性和准确性相关的报告的任何更改的影响。
    • 建立并记录新的关键报告开发过程。 使用户访问、用户验收测试和保留的证据文件服从 IT 一般控制活动。与库存所有者沟通此过程。

建立您的舒适度

随着公司越来越多地使用系统生成的数据来支持关键控制活动和做出重要的管理决策,确保所使用的信息准确和完整将变得越来越重要。强大的 IPE 验证计划可以保证支持关键控制活动的数据的可靠性,并帮助这些控制在组织内部和监管环境发生变化时保持有效。

如果您有疑问或需要额外资源来开发您自己的 IPE 验证程序, 联系我们!桥点的 风险与合规 专家可以为您的管理团队提供建议,并帮助您开发和评估验证方法,以实现合规性、变更管理和可持续性,以支持您依赖 IPE 的控制。

你可能也会喜欢

网赌网站有那些 Vicki Humphrey

薇琪·汉弗莱 在管理网络安全和 IT 合规项目以及 IT 战略和系统开发项目方面拥有 20 多年的经验。作为 Bridgepoint 的高级经理 网赌网站有那些 在实践中,Vicki 帮助我们的客户制定网络安全战略和执行。

[email protected] 最近的博客文章 领英 完整的生物