2021年8月24日

满足IT 袜符合性要求的5个提示

By 约翰•帕特里克

建立和维护袜计划可能是一项困难而复杂的任务.  增加了复杂性, 袜计划通常是由公司财务和会计部门的个人建立和指导的, 而且要求承担更多的责任来评估信息技术控制会给金融专业人员带来更多的复杂性. 

你的财务和会计团队是否熟悉IT控制, 他们仍然可以通过有目的的策略来实现袜遵从性需求, 因此,我们编制了我们的前5个技巧,以达到符合IT 袜要求.  

与你的CIO和/或CTO合作 

大多数技术领袖在职业生涯中都接触过数据安全和系统开发方面的控制.  您的CIO或CTO是帮助识别和设计控件的宝贵资源, 他们可能已经有了流程和工具,您可以利用这些流程和工具遵从袜.  你应该问你的技术领导者一些问题: 

  • 我们是否有其他符合要求的现有IT控制,如HIPAA、PCI或ISO 27001? 
  • 公司是否有SOC 1或SOC 2报告,以便我们利用现有的IT控制? 
  • 我们是否有适当的工具来协助访问管理、变更管理和系统监控? 

识别内部IT vs. 外包它 

区分内部开发的系统和外包给第三方的系统非常重要, 或SaaS, 供应商.  不管它是内部开发的还是外包的,都应该有相同的IT控制覆盖, 然而, 操作控制的责任是一个关键的区别.   

内部开发的系统将需要建立过程以确保适当的安全性, 基础设施, 资讯科技职务划分, 系统开发和测试, 以及适当的批准和变更管理.   

另一方面,对于SaaS解决方案,许多控制都是由供应商处理的. 但是,您仍然要负责某些领域,包括访问管理和监视.  这些必要的控制通常在供应商SOC报告的补充用户实体控制(CUEC)部分中概述.    

文档数据流和识别接口 

确定财务报告中涉及的范围内系统的一个可靠起点是可视化数据流.  这涉及到确定采购领域的初始数据源, 销售, 人力资源和薪酬, 财务报告, 和其他业务流程.  创建一个地图,跟踪每个系统的数据,同时确定系统如何相互接口,并问自己以下问题: 

  • 数据是否从一个系统手动导出到另一个系统? 
  • 是否有一个通过API或SFTP自动接口? 
  • 是否使用数据库帐户直接加载数据? 

当您有了从源系统到财务报告的数据流的可视化表示时, 您可以开始识别范围内的系统,并设计接口控制,以确保数据在系统之间完全准确地传输. 

建立未来状态的IT通用控制和应用控制 

一旦您确定了IT 袜范围内的系统和接口, 记录控制措施,并为实施这些控制措施建立路线图或行动计划.  即使您目前没有适当的流程来支持未来状态的IT控制, 设定一个努力的目标. 

通用IT控制领域包括访问管理, 变更管理, 计算机操作和系统开发 

常见的应用程序和接口控制包括: 

  • 工作流审批 
  • 三方匹配 
  • 系统检查和比较 
  • 作业处理和错误检查 

保持组织和记录一切! 

在整个过程中,组织是成功的关键之一. 

  • 保持组织 -你可以选择使用像MS Teams这样的工具, FloQast, SharePoint, 或其他文件共享平台来存储控制文件和证据. 
  • 使用模板 -在执行控制时,不要依赖电子邮件或聊天消息作为审计证据, 比如访问配置.  为访问请求开发集模板, 更改请求和其他可重复的流程以保持一致性. 
  • 文档的一切 -当进行系统更改时, 修改访问或IT决策, 确保所有支持性证据都被记录下来并保留下来——这在以后的审计中是至关重要的.  

IT 袜要求并不像最初看起来那样令人生畏.  通过与有技术头脑的队友合作,采取系统的方法, 任何组织都可以成功地建立和维护一个成功的IT 袜计划. 

Bridgepoint Consulting是您需要的战略合作伙伴,以确保您能够轻松地导航袜 合规流程. 二十多年了, 我们由经验丰富的商业顾问和行业资深人士组成的团队一直在精简企业生命周期的不同阶段. 要开始简化流程, 今天就联系. 

相关的见解
成功引导您的公司遵守袜
阅读更多
5个IT遵从的快速技巧 & 2019冠状病毒病期间的数据安全
阅读更多
准备走查
阅读更多

盈禾体育约翰帕特里克

约翰·帕特里克是一位IT人员 风险 & 合规 Bridgepoint咨询公司的业务经理. 约翰在多种技能方面都有丰富的经验, 包括网络安全和数据保护政策, 程序和最佳做法, 袜, SOC 1和SOC 2, 它的审计, 安全, 风险, 和遵从性. 一个高性能的领袖, 约翰曾担任过动态角色,管理客户关系领域, 销售, 业务开发和技术支持. 他的行业经验横跨IT运营和外包, 生物技术, 公共部门, 银行, 食品和饮料, 通信, 石油和天然气, 房地产, 技术及工业产品, 等.  他获得了德克萨斯大学奥斯汀分校的信息系统和会计学位.

JPatrick@www.chatoncolleges.com 最近的博客文章 LinkedIn