IT SOX遵从性：需求、提示 & 挑战

建立和维护SOX程序可能是一项困难而复杂的任务.

为了增加复杂性, SOX计划通常由公司财务和会计部门的个人建立和指导, 并且要求更多的责任来评估信息技术控制可能会给金融专业人士带来更多的复杂性. 

无论您的财务和会计团队是否熟悉IT控制, 他们仍然可以通过有目的的策略实现SOX遵从性需求.

满足IT SOX遵从性要求的5个技巧

1. 与你的CIO和/或CTO合作 

大多数技术领导者在其职业生涯中都接触过数据安全和系统开发方面的控制. 

您的CIO或CTO是帮助识别和设计控制的宝贵资源, 并且他们可能已经有了您可以利用的SOX遵从性的过程和工具. 

盈禾体育SOX合规性的问题： 

• 对于其他遵从性需求，如HIPAA、PCI或ISO 27001，我们是否有现有的IT控制? 
• 公司是否有SOC 1或SOC 2报告，我们可以利用现有的IT控制? 
• 我们是否有适当的工具来协助访问管理、变更管理和系统监视? 

2. 识别内部IT vs. 外包它 

区分内部开发的系统和外包给第三方的系统是很重要的, 或SaaS, 供应商. 

无论是内部开发还是外包开发，都应该有相同的IT控制覆盖范围. 然而，操作控制的责任是一个关键的区别.   

内部开发的系统将需要建立程序以确保适当的安全, 基础设施, IT职责分离, 系统开发和测试, 以及适当的批准和变更管理. 

另一方面，对于SaaS解决方案，许多控制由供应商处理. 但是，您仍然负责某些领域，包括访问管理和监视. 

这些必要的控制通常在供应商SOC报告的补充用户实体控制（CUEC）部分中进行概述.    

厂商SOC报告如何降低第三方风险?

3. 记录数据流并识别接口 

确定一个坚实的起点 作用系统 财务报告所涉及的是可视化的数据流. 

这包括确定采购相关领域的初始数据来源, 销售, 人力资源和工资, 财务报告, 以及其他业务流程.  

创建一个映射，跟踪每个系统的数据，同时确定系统如何相互连接.

在为SOX遵从性记录数据流时要问的问题： 

• 数据是否手动从一个系统导出到另一个系统? 
• 是否有通过API或SFTP的自动接口? 
• 是否使用数据库帐户直接加载数据? 

当您拥有从源系统到财务报告的数据流的可视化表示时, 您可以开始识别范围内的系统并设计接口控件，以确保数据在系统之间完整而准确地传输. 

4. 建立未来状态IT通用控制和应用程序控制 

一旦您确定了IT SOX范围内的系统和接口, 记录你的控制，并为实现这些控制建立路线图或行动计划.

即使您目前没有适当的流程来支持未来状态的IT控制, 设定一个努力的目标. 

通用IT控制领域包括访问管理, 变更管理, 计算机操作和系统开发.

常用的应用程序和接口控件包括： 

• 工作流审批 
• 三方匹配 
• 系统检查和比较 
• 作业处理和错误检查 

http://resistensi.com/internal-controls-how-to-use-them-and-why-private-companies-should-adopt-them/

5. 保持条理性，记录每件事

在这整个过程中，组织是成功的关键之一. 

• 保持组织 -您可以选择使用MS Teams之类的工具, FloQast, SharePoint, 或其他文件共享平台来存储您的控制文档和证据. 
• 使用模板 —在执行控制时，不要依赖电子邮件或聊天消息作为审计证据, 例如访问供应. 为访问请求开发一组模板, 更改请求和其他可重复的流程以保持一致性. 
• 文档的一切 —系统变更时, 修改访问或IT决策, 确保所有支持性证据都被记录下来并保留下来——这在未来的审计中是至关重要的.  

盈禾体育满足IT SOX遵从性需求的最后想法

IT SOX要求并不像它们最初看起来那样令人生畏. 

通过与有技术头脑的队友合作，并采取有条不紊的方法, 任何组织都可以成功地建立和维护一个成功的IT SOX计划.