博客

2021年8月24日

满足IT 袜法规遵循要求的5个技巧

By 约翰•帕特里克

建立和维护袜程序可能是一项困难而复杂的任务.  来增加复杂性, 袜计划通常是由公司财务和会计部门的个人建立和指导的, 而且要求承担更多的责任来评估信息技术控制，可能会给金融专业人士带来更大的复杂性. 

你的财务和会计团队是否熟悉IT控制, 他们仍然可以通过有目的的策略来实现袜遵从性需求, 所以我们编译了我们的前5个技巧来达到IT 袜要求.  

与CIO和/或CTO合作 

大多数技术领导者在他们的职业生涯中都接触过盈禾体育数据安全和系统开发的控制.  您的CIO或CTO是帮助识别和设计控件的宝贵资源, 而且他们可能已经有了可以用于袜遵从性的流程和工具.  你应该问你的技术领导者一些问题: 

• 我们是否有针对其他遵从性需求(如HIPAA、PCI或ISO 27001)的现有IT控制? 
• 该公司是否有一个可以利用现有IT控制的SOC 1或SOC 2报告? 
• 我们是否有适当的工具来协助访问管理、变更管理和系统监视? 

确定内部IT与. 外包它 

区分内部开发的系统和外包给第三方的系统是很重要的, 或SaaS, 供应商.  无论它是内部开发的还是外包的，相同的IT控制覆盖率都应该到位, 然而, 操作控件的责任是一个关键的区别.   

内部开发的系统将需要建立确保适当安全性的过程, 基础设施, 资讯科技责任划分, 系统开发和测试, 以及适当的批准和变更管理.   

另一方面，对于SaaS解决方案，许多这些控制是由供应商处理的. 但是，您仍然负责某些领域，包括访问管理和监视.  这些需要的控制通常在供应商SOC报告的补充用户实体控制(CUEC)部分中概述.    

文档数据流和识别接口 

确定财务报告中涉及的范围内系统的一个可靠起点是可视化数据流.  这涉及到确定采购领域的初始数据来源, 销售, 人力资源和薪酬, 财务报告, 和其他业务流程.  根据每个系统的数据创建一个地图，同时确定系统之间的接口，并问自己以下问题: 

• 数据是否手动从一个系统导出到另一个系统? 
• 是否有通过API或SFTP自动接口? 
• 是否使用数据库帐户直接加载数据? 

当您拥有从源系统到财务报告的数据流的可视化表示时, 您可以开始识别范围内的系统，并设计接口控制，以确保数据在系统之间完全和准确地传输. 

建立未来状态IT通用控制和应用控制 

一旦您确定了IT 袜范围内的系统和接口, 记录您的控制，并为实现这些控制建立路线图或行动计划.  即使您目前没有适当的流程来支持您的未来状态IT控制, 设定一个努力的目标. 

通用IT通用控制区域包括访问管理, 变更管理, 计算机操作和系统开发 

常见的应用程序和接口控制包括: 

• 工作流审批 
• 三方匹配 
• 系统检查和比较 
• 作业处理和错误检查 

保持组织并记录下一切! 

在整个过程中，组织是成功的关键之一. 

• 保持组织 -你可以选择使用MS Teams这样的工具, FloQast, SharePoint, 或其他文件共享平台来存储您的控制文档和证据. 
• 使用模板 -在执行控制时，不要依赖电子邮件或聊天消息作为审计证据, 比如访问供应.  开发访问请求的模板, 更改请求和其他可重复的过程以保持一致性. 
• 文档的一切 -当系统改变, 修改访问或IT决策, 确保所有支持性证据被记录并保留-这在以后的审计中是至关重要的.  

IT 袜需求并不像最初看起来那样令人生畏.  通过与具有技术头脑的队友合作，并采取一种有条不紊的方法, 任何组织都可以成功地建立和维护一个成功的IT 袜计划. 

Bridgepoint Consulting是您需要的战略合作伙伴，以确保您能够轻松地通过袜遵从流程. 二十多年了, 我们的团队由经验丰富的业务顾问和行业资深人士组成，他们一直在精简业务生命周期的不同阶段. 为了开始简化你的过程， 今天联系.