当社は急成長を遂げている企業であり、IT セキュリティ ガイドラインに合格するために、外部監査人の要件を急遽満たす必要に迫られています。ガイドラインの一環として、さまざまな内部統制を確実に実行する必要があります。統制の実行は改ざん防止でなければならないため、社内の管理者であっても、統制手順が完了した後は、その手順を編集または削除する権限がない場合があります (正しい履歴を保持するため)。
監査可能な履歴を保持する必要があるプロセスの例:
- 従業員に付与された社内ツールへのアクセス
- 従業員に何らかの仕事を完了する許可が与えられる
- 毎週の定期点検が完了し、その結果が責任者によって記録される
コンプライアンスを確保するには、データを保管し、データへのアクセスを制限して外部の会社に依頼する必要があるようです。私の理解は正しいでしょうか? 聞いたところによると、米国の上場企業はすべて同じ要件の監査に合格する必要があるので、従うべき標準的な手順があることを願っています。