החברות עומדות בפני מגוון רחב של תקנות ממשלתיות ודרישות משפטיות. חברות ציבוריות חייבות לקבל את הדוחות הכספיים שלהן ואת מערכות טכנולוגיית המידע (IT) המאחסנות אותן על בסיס קבוע בהתאם לחוק Sarbanes-Oxley. תקן אבטחת מידע בתעשיית כרטיסי התשלום דורש שחברות המעבדות כרטיסי אשראי יבדקו על מנת להבטיח שמערכות המחשוב שלהן מוגדרות בצורה מאובטחת. חברות לשכור חברות צד שלישי לבדוק את המערכות שלהם ולאמת ציות לתקנים אלה.
משימות
רואי החשבון מחפשים כמה דברים בסיסיים עם הגעתם לחברה. אלה כוללים מדיניות ותהליכים מתועדים וראיות כי מדיניות ונהלים אלה הם אחריו. ככל שמדיניות החברה מפורטת יותר, כך קל יותר שהמבקר יעשה את עבודתו. על החברות להקים מסגרת שעליה לבנות את המדיניות והתהליכים שלהן. רואי IT הם מכירים את הסטנדרטים, כגון מטרות בקרה עבור IT (COBIT) או ISO 27001. כל אחת מחברות מדריך אלה על ידי מתן רשימות של איך לאבטח נתונים רגישים. רואי החשבון משתמשים ברשימות אלה כדי להבטיח ביקורת יסודית.
דוגמה תיעוד, מדיניות ונהלים רשימת פעולות לביצוע
- לקבוע אם קיים תהליך ניהול שינוי ומתועד רשמית.
- קבע אם פעולות ניהול שינויים כוללות רשימה נוכחית של בעלי המערכת.
- קביעת אחריות על ניהול ותיאום שינויים.
- קבע את התהליך להסלמה ולחקירה של שינויים לא מורשים.
- לקבוע את תזרימי ניהול השינוי בתוך הארגון.
דוגמה שינוי ייזום אישור רשימת
- ודא שמתודולוגיה משמשת ליזום ולאישור של שינויים.
- לקבוע אם סדרי עדיפויות מוקצים בקשות לשינוי.
- אמת את הזמן המשוער להשלמה והעלויות.
- הערך את התהליך המשמש לבקרת השינויים ולפקח עליהם.
דוגמה של בדיקת אבטחה של IT.
- ודא שכל הפרוטוקולים המיותרים וחסרי הביטחון אינם זמינים.
- ודא שאורך הסיסמה המינימלי מוגדר ל -7 תווים.
- ודא כי נעשה שימוש בסיסמאות מורכבות.
- ודא שהמערכת מעודכנת עם תיקונים וערכות Service Pack.
- ודא כי הזדקנות הסיסמה מוגדרת ל -60 יום או פחות.