Pendekatan IT harus dilakukan dalam urutan yang diilustrasikan karena setiap langkah
berdampak scoping, dalam beberapa kasus sifat pekerjaan dilakukan dalam langkah-langkah
berikutnya. Untuk menggambarkan, langkah awal memahami "struktur dan organisasi IT"
menetapkan dasar untuk evaluasi kendali entitity-level IT. Selanjutnya, kekuatan dan
kelemahan dari kontrol entitas-tingkat akan berdampak pada sifat, lingkup dan waktu
evaluasi pengendalian proses-level IT untuk masing-masing tiga tingkat dievaluasi.
Evaluasi pengendalian proses-level IT, sejauh ini, di mana sebagian besar waktu dan usaha
akan dikeluarkan untuk proyek pemnuhan. Evaluasi tingkat proses IT yang terdiri dari tiga set
yang berbeda dari proses yang harus diperhatikan.
Proses ini diurutkan dalam urutan di mana mereka harus dievaluasi. Berikut ini adalah
pembahasan singkat dari masing-masing bagian:
1. General IT Process Controls
Tinjauan umum IT controls adalah kepada proses kritis IT dalam setiap entitas atau setiap
lokasi kunci yang mendukung aplikasi kunci-pelaporan terkait keuangan. Perhatikan bahwa
bagian tim pemenuhan proyek 404 mungkin perlu meninjau kontrol IT umum yang sama di
lebih dari satu wilayah dalam keadaan tertentu. Misalnya, jika beberapa proses yang
berdampak pada setiap prioritas bidang pelaporan keuangan tidak tunduk pada kebijakan
serupa, kegiatan proses dan prosedur pengendalian mungkin perlu ulasan secara terpisah.
Proses umum IT akan dievaluasi di hampir setiap instansi contohnya adalah:
Administrasi keamanan
Aplikasi perubahan kontrol
Data backup dan pemulihan
Siklus hidup pengembangan sistem (SDLC)
Proses yang dievaluasi dalam bagian ini adalah yang harus dikuasai dan dimiliki secara
langsung oleh pemilik aplikasi dan data. Proses-proses yang harus dievaluasi untuk hampir
setiap bagian proyek ini contohnya:
Membangun dan memelihara pemisahan tugas yang tidak kompatibel (peran keamanan
dan administrasi).
Menilai dan menerapkan kontrol atas komputasi pengguna akhir (misalnya,
Sumber: http://www.protiviti.com/en-US/Documents/Resource-Guides/Guide-to-SOX-IT
Risks-Controls-Protiviti.pdf