我们是一家快速发展的公司,需要突然满足外部审计师的要求,以便通过 IT 安全指南。作为指南的一部分,我们需要确保执行各种内部控制。由于控制执行必须是防篡改的,因此即使是我们公司的管理员也可能无权在控制程序完成后编辑或删除控制程序(以保留正确的历史记录)。
必须保留可审计历史记录的流程示例:
- 授予员工访问内部工具的权限
- 允许员工完成一些工作
- 每周例行检查已完成,并由负责人记录结果
看来我们需要依靠外部公司来存储我们的数据,并且只给我们有限的访问权限,以确保合规。我说的对吗?据我所知,美国每家上市公司都必须通过具有相同要求的审计,所以我希望有一个标准程序可以遵循。