2021 年 8 月 24 日

满足 IT SOX 合规性要求的 5 个技巧

By John Patrick

建立和维护 SOX 计划可能是一项艰巨而复杂的任务。为了增加复杂性,SOX 计划通常由公司财务和会计部门的个人建立和指导,并且需要更多的责任来评估信息技术控制可能会给财务专业人士带来更多的复杂性。 

无论您的财务和会计团队是否熟悉 IT 控制,他们仍然可以通过有目的的策略实现 SOX 合规性要求,因此我们汇总了前 5 条提示,以符合 IT SOX 要求。  

与您的 CIO 和/或 CTO 合作 

大多数技术领导者在其职业生涯中都接触过有关数据安全和系统开发的控制。您的 CIO 或 CTO 是协助识别和设计控制措施的宝贵资源,他们可能已经拥有流程和工具,您可以利用这些流程和工具来实现 SOX 合规性。你应该问你的技术负责人的一些问题: 

  • 我们是否有针对其他合规性要求(例如 HIPAA、PCI 或 ISO 27001)的现有 IT 控制措施? 
  • 公司是否有 SOC 1 或 SOC 2 报告,我们可以在其中利用现有的 IT 控制? 
  • 我们是否有工具来协助访问管理、变更管理和系统监控? 

确定内部 IT 与外包 IT 

区分内部开发的系统和外包给第三方或 SaaS 提供商的系统很重要。无论是内部开发还是外包,都应该有相同的 IT 控制范围,但是,运行控制的责任是一个关键的区别。   

内部开发的系统需要建立流程以确保适当的安全性、基础设施、IT 职责分离、系统开发和测试以及适当的批准和变更管理。   

另一方面,对于 SaaS 解决方案,其中许多控制由供应商处理。但是,您仍需负责某些领域,包括访问管理和监控。这些必需的控制通常在供应商 SOC 报告的补充用户实体控制 (CUEC) 部分中列出。    

记录数据流并识别接口 

确定财务报告中涉及的范围内系统的一个可靠起点是可视化数据流。这涉及确定采购、销售、人力资源和工资单、财务报告和其他业务流程等领域的初始数据源。创建一个地图,跟踪每个系统中的数据,同时确定系统如何相互交互并问自己以下问题: 

  • 数据是否从一个系统手动导出到另一个系统? 
  • 是否有通过 API 或 SFTP 的自动化接口? 
  • 数据库账号是用来直接加载数据的吗? 

当您拥有从源系统到财务报告的数据流的可视化表示时,您就可以开始识别范围内的系统并设计界面控制,以确保数据在系统之间完全准确地传输。 

建立未来状态 IT 一般控制和应用程序控制 

一旦您确定了 IT SOX 范围内的系统和接口,请记录您的控制并制定实施这些控制的路线图或行动计划。即使您目前没有适当的流程来支持您未来的 IT 控制,也请设定一个要努力实现的目标。 

常见的 IT 一般控制领域包括访问管理、变更管理、计算机操作和系统开发 

常见的应用程序和界面控件包括: 

  • 工作流程审批 
  • 三路比赛 
  • 系统检查和比较 
  • 作业处理和错误检查 

保持井井有条并记录一切! 

在整个过程中,组织是成功的主要关键之一。 

  • 保持井井有条 – 您可以选择使用 MS Teams、FloQast、SharePoint 或其他文件共享平台等工具来存储您的控制文档和证据。 
  • 使用模板 – 在执行控制(例如访问配置)时,不要依赖电子邮件或聊天消息作为审计证据。为访问请求、更改请求和其他可重复流程开发设置模板以保持一致性。 
  • 记录一切 – 在进行系统更改、修改访问权限或 IT 决策时,确保记录并保留所有支持证据——这在未来的审计中至关重要。  

IT SOX 要求并不像最初看起来那样令人生畏。通过与具有技术头脑的团队合作并采取有条不紊的方法,任何组织都可以成功建立和维护成功的 IT SOX 计划。 

桥点咨询 是确保您轻松完成 SOX 合规流程所需的战略合作伙伴。二十多年来,我们由经验丰富的业务顾问和行业资深人士组成的团队一直在简化业务生命周期的不同阶段。要开始简化您的流程, 今天联系。 

相关见解
成功引导您的公司达到 SOX 合规性
阅读更多
COVID-19 期间 IT 合规性和数据安全的 5 个快速提示
阅读更多
准备演练
阅读更多

网赌网站有那些约翰帕特里克

约翰帕特里克是一名 IT 风险与合规 桥点咨询 的项目经理。 John 在多种技能方面拥有丰富的经验,包括网络安全和数据保护政策、程序和最佳实践、SOX、SOC 1 和 SOC 2、IT 审计、安全、风险和合规性。作为一名高绩效领导者,John 曾担任过动态角色,让他管理客户关系、销售、业务发展和技术支持等领域。他的行业经验涵盖 IT 运营和外包、生物技术、公共部门、银行、食品和饮料、通信、石油和天然气、房地产、技术和工业产品等。他在德克萨斯大学奥斯汀分校获得了信息系统和会计学位。

[email protected] 最近的博客文章 领英