维护定期的 SOX 合规状态报告
这看起来可能有点过头了,但它不仅能让审计人员确信您处于安全的最高水平,还能在审计期间让您保持警惕。保持合规状态报告,列出审计涵盖的标准,并定期更新每项的状态。签署并注明每份报告的日期,并在每项上加上勾号和注释,这样您就可以清楚地看到您已完成详细的审查。
尽可能减少电子表格的使用
即使 EPM 应用程序非常复杂,许多公司仍然依赖电子表格来移动数据或交换报告。人为错误的可能性以及电子表格离开发件箱后难以跟踪意味着它们是一个重大的安全风险。虽然完全消除电子表格可能很困难,但可以利用软件的自动化、集成功能、应用内仪表板和数字共享功能来减少它们的使用。如果您不确定如何做到这一点,请依靠 Datavail 等拥有丰富经验的合作伙伴,他们可以帮助您快速高效地启用或构建这些功能。
建立并记录最佳实践
您无疑已经制定了信息安全政策,以控制您如何访问、管理、记录和分发财务 息。信息技术控制目标 (COBIT) 和信息 加纳电报数据 技术基础设施库 (ITIL) 是最佳实践的两个很好的例子,但大多数公司也有自己的政策。记录这些政策以及实施和控制这些政策所涉及的步骤。如果这些政策尚未到位,我们强烈建议您就此与高级管理层联系,或自行制定。您需要制定这些政策(并记录下来!)才能通过 SOX 审计。
定期审查用户访问和安全配置文件
您应该已经制定了流程(并记录在案!),用于删除已离职的用户、在工作职能发生变化时调整访问权限以及添加具有适当安全配置文件的新用户。建立定期间隔来审查和复查每个用户的状态,并确保已删除过去的员工。用户访问不规范是公司在审计中容易出错的一个常见领域,因为很容易让人们掉入漏洞。密切关注。签署并注明每份评论的日期。
及时了解应用程序补丁和认证
根据贵公司的 SOX 审计要求,实施最新的补丁和安全更新可能是保持合规性的必要条件。这意味着您需要使用最新版本并获得供应商的支持。对于本地 Oracle EPM,您需要在年底前使用 11.2(或迁移到 Oracle EPM Cloud)。此外,您的数据库和第三方应用程序需要经过认证才能与您的 Oracle EPM 版本一起使用,因此可能还需要升级 Java、Windows Server、Oracle Database 等。