IT SOX Compliance: Requirements, Tips & Challenges

在信息技术公司工作的程序员

建立和维护SOX程序可能是一项困难而复杂的任务.

To add to the complexity, SOX计划通常由公司财务和会计部门的个人建立和指导, 并且要求更多的责任来评估信息技术控制可能会给金融专业人士带来更多的复杂性. 

无论您的财务和会计团队是否熟悉IT控制, 他们仍然可以通过有目的的策略实现SOX遵从性需求.

5 Tips to Meet IT SOX Compliance Requirements

1. Partner with your CIO and/or CTO 

大多数技术领导者在其职业生涯中都接触过数据安全和系统开发方面的控制. 

您的CIO或CTO是帮助识别和设计控制的宝贵资源, 并且他们可能已经有了您可以利用的SOX遵从性的过程和工具. 

盈禾体育SOX合规性的问题: 

  • 对于其他遵从性需求,如HIPAA、PCI或ISO 27001,我们是否有现有的IT控制? 
  • 公司是否有SOC 1或SOC 2报告,我们可以利用现有的IT控制? 
  • 我们是否有适当的工具来协助访问管理、变更管理和系统监视? 

2. Identify in-house IT vs. outsourced IT 

区分内部开发的系统和外包给第三方的系统是很重要的, or SaaS, providers. 

无论是内部开发还是外包开发,都应该有相同的IT控制覆盖范围. 然而,操作控制的责任是一个关键的区别.   

内部开发的系统将需要建立程序以确保适当的安全, infrastructure, IT segregation of duties, system development and testing, and proper approvals and change management. 

另一方面,对于SaaS解决方案,许多控制由供应商处理. 但是,您仍然负责某些领域,包括访问管理和监视. 

这些必要的控制通常在供应商SOC报告的补充用户实体控制(CUEC)部分中进行概述.    

3. Document data flow and identify interfaces 

A solid starting point to determine in-scope systems 财务报告所涉及的是可视化的数据流. 

这包括确定采购相关领域的初始数据来源, sales, HR and payroll, financial reporting, and other business processes.  

创建一个映射,跟踪每个系统的数据,同时确定系统如何相互连接.

在为SOX遵从性记录数据流时要问的问题: 

  • 数据是否手动从一个系统导出到另一个系统? 
  • Is there an automated interface via API or SFTP? 
  • Are database accounts used to directly load data? 

当您拥有从源系统到财务报告的数据流的可视化表示时, 您可以开始识别范围内的系统并设计接口控件,以确保数据在系统之间完整而准确地传输. 

4. 建立未来状态IT通用控制和应用程序控制 

一旦您确定了IT SOX范围内的系统和接口, 记录你的控制,并为实现这些控制建立路线图或行动计划.

即使您目前没有适当的流程来支持未来状态的IT控制, set a target to work towards. 

通用IT控制领域包括访问管理, change management, computer operations and system development.

Common application and interface controls include: 

  • Workflow approvals 
  • Three-way match 
  • System checks and comparisons 
  • Job processing and error checking 
http://yixiang-ad.com/internal-controls-how-to-use-them-and-why-private-companies-should-adopt-them/

5. Stay organized and document everything

在这整个过程中,组织是成功的关键之一. 

  • Stay Organized – You may choose to use a tool like MS Teams, FloQast, SharePoint, 或其他文件共享平台来存储您的控制文档和证据. 
  • Use Templates —在执行控制时,不要依赖电子邮件或聊天消息作为审计证据, such as access provisioning. Develop set templates for access requests, 更改请求和其他可重复的流程以保持一致性. 
  • Document Everything – When making system changes, modifying access or IT decisions, 确保所有支持性证据都被记录下来并保留下来——这在未来的审计中是至关重要的.  

盈禾体育满足IT SOX遵从性需求的最后想法

IT SOX要求并不像它们最初看起来那样令人生畏. 

通过与有技术头脑的队友合作,并采取有条不紊的方法, 任何组织都可以成功地建立和维护一个成功的IT SOX计划. 

Need SOX Compliance Support?

Bridgepoint Consulting是您需要的战略合作伙伴,它可以确保您轻松地驾驭SOX遵从性流程. For more than two decades, 我们由经验丰富的业务顾问和行业资深人士组成的团队一直在精简业务生命周期的不同阶段. To start simplifying your process, get in touch today.