Sarbanes-Oxley Act vysvětlil: Definice, účel, a ustanovení

Sarbanes-Oxley Act: Shrnutí a definice

Sarbanes-Oxley Act (někdy odkazoval se na jako SOA, Sarbox, nebo SOX) je AMERICKÝ zákon na ochranu investorů tím, že brání podvodné účetnictví a finanční postupy na veřejně obchodované společnosti. Prošel v roce 2002 v návaznosti na řadu firemní skandály a prasknutí dot-com bubble, Sarbanes-Oxley uložila počet výkaznictví, účetnictví a uchovávání údajů mandátů, aby zajistila, že obchodní praktiky na velké společnosti, zůstávají výše uvedené rady.,

Zatímco mnoho Sarbanes-Oxley ustanovení centra pro finanční a účetní záležitosti, správná léčba firemních dat je základem pro mnoho aspektů, jak zákon funguje—a to má obrovský vliv na TO, které budeme soustředit na v tomto článku.

jaký je účel zákona Sarbanes-Oxley?

zákon Sarbanes-Oxley je produktem řady skandálů, ke kterým došlo na přelomu tisíciletí., Několik veřejně obchodovaných společností Enron a WorldCom byly dva nejvýznamnější—používá účetní podvod, přepravní společnosti a další podvodné techniky skrýt obchodní ztráty z veřejné a udržet ceny akcií uměle vysoké. Manažeři a členové představenstva se používá tento podvod obohatit sebe, proplacení ven a odchodu investorů (a, Enron v případě zaměstnanců, kteří byli vyzýváni, aby jejich odchod do akciové společnosti) drží tašku, když podvod mohl již být zachována a cena akcií se zhroutila.,

Tyto skandály odezní zhruba ve stejné době dot-com ceny akcií se zhroutila, a i když nikdo z těch rané fázi internetové společnosti se dopustila podvodu na docela takovém měřítku jako Enron, mnoho lidí věřilo, že mají nadsazené zprávy o jejich potenciál výdělku v předstihu před původně lukrativní Ipo, v podstatě obohacení zakladatelů firmy, na úkor investorů.

zákon Sarbanes-Oxley uložil velkou regulační zátěž ve snaze zabránit tomu, aby se tyto druhy zneužívání opakovaly., Zákon si klade za cíl zlepšit firemní chování tím, že společnosti vyrábět a uchovávat přesné údaje o své vlastní finance, a že budou moci dělat, že data k dispozici, aby investoři a regulační orgány v téměř reálném čase. To znamená, že obrovské množství firemních dat musí být pečlivě přesné a naprosto bezpečné—před vnitřními i vnějšími hrozbami—a musí být auditorům a investorům k dispozici v krátké době.

na koho se Sarbanes-Oxley vztahuje?,

několik ustanovení Sarbanes-Oxley vztahuje na soukromě vlastněných společností—zákon zakazuje takové společnosti od zničení záznamů maření federálního vyšetřování, například, nebo odplata proti informátorů. Nicméně, a velký ustanovení zákona, které budeme diskutovat tady, se vztahují na společnosti, jejichž akcie jsou obchodovány na veřejných burzách, nebo že dávají dohromady IPO na veřejnost. Údaje transparentnosti, kterou zákon nařizuje, je možno chránit investory či potenciální investory z vyhodnotili společnost finance v důsledku manipulace zasvěcenci.,

ustanovení Sarbanes-Oxley

ustanovení zákona Sarbanes-Oxley jsou rozdělena do číslovaných sekcí. Podívejme se na sekce, které jsou nejvíce zajímavé z hlediska IT a bezpečnosti dat:

  • sekce 302: veřejné společnosti musí podávat pravidelné zprávy s Komisí pro bezpečnost a výměnu. Vrcholoví manažeři musí osobně ručit za informace obsažené v těchto zprávách a jsou zodpovědní za zavedení interních kontrol dat.,
  • Část 404: Výroční finanční zprávy musí zahrnovat oddíl o ty vnitřní kontroly, posouzení jejich účinnosti; případně zjištěných nedostatků v uvedených kontrol musí být zveřejněny. Registrovaní externí auditoři musí ručit za hodnocení interních kontrol vedení.
  • oddíl 409: jakékoli podstatné změny ve finančních podmínkách nebo operacích společnosti musí být zveřejněny včas.
  • sekce 802 a 906: jedná se o sekce, které se zabývají sankcemi., Dostaneme se do podrobností později v článku, ale zakazují změnu dokumentů, ve snaze bránit vyšetřování a také aby bylo nezákonné pro každého, kdo se osvědčuje zavádějící nebo podvodné finanční zprávu.

z těchto sekcí je 404 považován za nejsložitější a nejobtížnější. Nejen, že musí být vytvořeny propracované technické systémy pro zachování integrity a ochrany údajů, ale vedení společnosti a externí auditoři musí pravidelně hodnotit a dokumentovat účinnost těchto systémů.,

Sarbanes-Oxley požadavky

Ty jsou hodně ustanovení strávit, a budete muset sáhnout hluboko do konkrétních mandátů ukládají. Ale tady je na vysoké úrovni přehled o tom, co zákon vyžaduje, že to stojí za to udržet v paměti, jak 10.000 stop zobrazení:

Všechny platné firmy musí vytvořit finanční účetní rámec, který může vytvářet finanční zprávy, které jsou snadno ověřitelné s návazností zdrojová data. Tato zdrojová data musí zůstat neporušená a nesmí být podrobena nezdokumentovaným revizím., Kromě toho musí být veškeré revize finančního nebo účetního softwaru plně zdokumentovány, co se změnilo, proč, kým a kdy.

zde poznáte prvky triády CIA a její varianty. Zejména musí být chráněna integrita dat, data musí být k dispozici těm, kteří je potřebují, a musí být vynuceno odmítnutí, aby bylo zajištěno, že je možné vědět, kdo vytvořil nebo změnil data.

Sarbanes-Oxley controls

prostředky, kterými jsou požadavky Sarbanes-Oxley implementovány v rámci organizace, se označují jako kontroly., Ovládání v této souvislosti je vnitřní pravidlo má zabránit nebo odhalit chyby nebo porušování předpisů v rámci cyklu finančního výkaznictví.

Sarbanes-Oxley pověřuje, aby kontroly byly prováděny napříč společností. Na Varonis blog dává některé konkrétní příklady druhů pravidel, která by měla být zkoumána jako součást Sarbanes-Oxley postup auditu:

  • Přístup: musíte mít pravidla, která se vztahují jak fyzický přístup do vaší kanceláře a papír souborů a elektronického přístupu k vašim datům., Zákon nařizuje nejméně tolerantní přístupový model, podle kterého mají zaměstnanci přístup pouze tak rozsáhlý, jak je potřeba, aby mohli vykonávat svou práci, ale ne rozsáhlejší než to.
  • zálohování dat: finanční záznamy musí být zálohovány mimo pracoviště způsobem stanoveným zákonem.
  • zabezpečení: budete potřebovat soubor pravidel, která prokazují, že jste chránili svá data před porušením, i když implementace je ponechána na vašem uvážení v rozumných mezích.,
  • správa změn: budete muset mít definované postupy pro přidávání nebo změnu databází a softwaru, které spravují vaše firemní finance, stejně jako přidávání nových uživatelů do vašich systémů.

všimnete si, že tyto ovládací prvky jsou popsány abstraktním způsobem. Obecně platí, že kontroly jsou vysvětleny z hlediska toho, co dělají (nebo brání), a je na něm, aby zjistil, jak je implementovat., Například pravidla týkající se elektronického přístupu může identifikovat pracovních pozic, jejichž držitelé mohou změnit společnost, je vnitřní finanční data, ale to bude až na firemní IT oddělení, aby ujistěte se, že správný jedinci mají řádné oprávnění na příslušných systémů (nebo v tom být bráněno).

To samozřejmě dělá pro to hodně práce, a možná nepřekvapivě vytvořil domáckého průmyslu softwarových balíčků předepsaný pomoci zavést standardizované Sarbanes-Oxley kontroly.,tyto mandáty tím, že následující kroky, jak je shrnul v Varonis blog:

  1. generální a nanční ředitele, musí převzít odpovědnost za finančního výkaznictví a vnitřní kontroly
  2. interní kontroly musí být sepsána zpráva, která bere upřímný pohled na společnost je ovládání
  3. Formální údaje bezpečnostní politiky musí být navrženy a konzistentně prosazována, a data bezpečnostní strategie musí být vypracovány
  4. Všechny souladu kroky musí být zaznamenávány a průběžně dokumentovány

to Vše trvá hodně práce na straně firem, a mnoho hledat pomoc., Jednou organizací, která nabízí zdroje, je Výbor Sponzorujících organizací Treadway Commission nebo COSO. Vznikla v roce 1985 na pomoc v boji proti firemní podvody, COSO již několik let udržuje rámec pro vnitřní kontrolu, že firmy mohou sledovat s cílem implementovat nejlepší anti-podvod postupů. Poslední revize, která pochází z roku 2013, konkrétně nastiňuje, jak vám může pomoci dosáhnout souladu s Sarbanes-Oxley.,nce kontrolní seznam, který vám dává rychlé smysl pro vše, co budete potřebovat na pokrytí:

  1. Zabránit manipulaci s daty
  2. Záznam časové osy pro klíčové činnosti
  3. Vytvořit ověřitelné ovládací prvky pro přístup
  4. Test, ověření, a zveřejnit záruky na dvůr
  5. Zprávu o účinnosti ochranných opatření
  6. Detekce narušení bezpečnosti
  7. Zveřejnit narušení bezpečnosti a selhání bezpečnostních kontrol na dvůr

RSI zabezpečení má více in-hloubkové pohled na to, co musíte udělat, když čelí Sarbanes-Oxley compliance audit, který má spoustu skvělých detailů.,

Sarbanes-Oxley sankce

Sarbanes-Oxley sankce mohou být velmi vážné—a co je důležité, se vztahují k jedinci v mocenských pozicích u společností přímo, ne jen společnosti jako instituce. Zatímco firemní důstojníků omylem podepsal chybné zprávy, mohou být za to potrestán, nejhorší léčba je vyhrazena pro úmyslný podvod. Například generální ředitel nebo finanční ředitel, který vědomě potvrzuje zprávu, která porušuje zákon, může být pokutován až do výše 5 milionů dolarů nebo poslán do vězení až na 20 let.,

Sarbanes-Oxley Act: případy a příklady

existují určitě případy, kdy federální vláda USA používá zbraně, které Sarbanes-Oxley poskytuje. Například v roce 2003, nedlouho po schválení zákona, byli zaměstnanci společnosti Ernst & Young zatčeni za zničení dokumentů týkajících se jednoho z jejich klientů. v roce 2014 FEC vznesl obvinění proti generálnímu řediteli a CFO společnosti Florida computer company za klamání auditorů o stavu jejich vnitřních kontrol.,

ale v praxi někteří považují Sarbanes-Oxley za promarněnou příležitost, pokud jde o stíhání podnikových podvodů. I když finanční zprávy může být prokázáno podvodné, to může být obtížné prokázat, že generální a nanční ředitele, věděl o podvodu, když podepsali na zprávy—a pokud státní zástupci mají silný důkaz toho, že téměř vždy lze použít důkazy k souboru ještě tvrdší podvod poplatky, které nejsou součástí Sarbanes-Oxley apartmá možností., Ještě, profesor Peter Henning říká, že zákon má pozitivní účinek jako odstrašující prostředek: je stanoveno, že „účetní vylomeniny nebude tolerováno.“Doufejme, že máte pocit, že Boj o certifikaci stojí za to.

Share

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *