Sarbanes-Oxley Act forklarede: Definition, formål og bestemmelser,

Sarbanes-Oxley Act: Sammenfatning og definition

Den amerikanske Sarbanes-Oxley Act (nogle gange refereret til som SOA, Sarbox, eller SOX) er en AMERIKANSK lov til at beskytte investorer ved at forhindre svigagtig regnskabs-og finansielle praksis i de børsnoterede selskaber. Sarbanes-O .ley blev vedtaget i 2002 i kølvandet på en række virksomhedsskandaler og sprængningen af dot-com-boblen, og indførte en række rapporterings -, regnskabs-og datalagringsmandater for at sikre, at forretningspraksis hos store virksomheder forbliver over bord.,

Mens mange Sarbanes-Oxley bestemmelser center om økonomiske og regnskabsmæssige forhold, ordentlig behandling af virksomhedens data er hjørnestenen til mange aspekter af, hvordan loven virker—og det har en enorm indflydelse på DET, som vi vil fokusere på i denne artikel.

Hvad er formålet med Sarbanes-O ?ley Act?

Sarbanes-O .ley Act er et produkt af en række skandaler, der fandt sted omkring årtusindskiftet., Flere børsnoterede selskaber—Enron og .orldcom var to af de mest fremtrædende-brugte regnskabsmæssige trickery, shell selskaber, og andre svigagtige teknikker til at skjule forretningstab for offentligheden og holde aktiekurserne kunstigt høje. Ledere og medlemmer af bestyrelsen, anvendes dette bedrag, til at berige sig selv, indkassere ud og forlader investorer (og i Enron-sagen, at medarbejdere, der var blevet opfordret sætte deres pensionering i selskab lager) holde posen, når det bedrag, kunne ikke længere opretholdes, og aktiekursen kollapsede.,

Disse skandaler, der afvikles omkring samme tid dot-com aktiekurser kollapsede, og mens ingen af de tidlige fase af internet virksomheder, der er begået svindel i et omfang som Enron, mange mennesker troede, at de havde oppustet rapporter af deres indtjeningspotentiale på forhånd, for i første omgang lukrative Børsintroduktioner, hovedsagelig berigende stifterne på bekostning af investorer.

Sarbanes-O .ley-loven pålagde en tung lovgivningsmæssig byrde i et forsøg på at forhindre, at disse former for misbrug sker igen., Loven sigter mod at forbedre virksomhedernes adfærd ved at sikre, at virksomheder producerer og opbevarer nøjagtige data om deres egen økonomi, og at de er i stand til at stille disse data til rådighed for investorer og regulatorer i næsten realtid. For det betyder det, at enorme mængder virksomhedsdata skal holdes omhyggeligt nøjagtige og helt sikre—fra både interne og eksterne trusler—og skal være tilgængelige for revisorer og investorer med kort varsel.

hvem gælder Sarbanes-O ?ley for?,

Et par bestemmelserne i Sarbanes-Oxley gælder for privatejede firmaer—loven forbyder sådanne selskaber fra at ødelægge poster til at hindre et føderalt agentur ‘ s undersøgelse, for eksempel, eller fra enhver form for sanktioner mod whistleblowers. Men i det store og hele gælder bestemmelserne i loven, Vi diskuterer her, for virksomheder, hvis aktier handles på offentlige børser, eller som sammensætter en børsnotering for at blive offentlig. Den datagennemsigtighed, som loven kræver, er beregnet til at beskytte investorer eller potentielle investorer mod at fejlbedømme en virksomheds økonomi på grund af manipulation af insidere.,

Sarbanes-o .ley bestemmelser

bestemmelserne i Sarbanes-O .ley Act er opdelt i nummererede sektioner. Lad os se på de sektioner, der er mest interesserede med hensyn til IT og datasikkerhed:

  • afsnit 302: offentlige virksomheder skal indsende regelmæssige rapporter til sikkerheds-og Udvekslingskommissionen. Topledere skal personligt garantere oplysningerne i disse rapporter og er ansvarlige for at etablere intern kontrol af data.,afsnit 404: årsregnskaber skal indeholde et afsnit om de interne kontroller, der vurderer deres effektivitet; eventuelle mangler, der opdages ved disse kontroller, skal oplyses. Registrerede eksterne revisorer skal stå inde for ledelsens vurdering af den interne kontrol.afsnit 409: eventuelle væsentlige ændringer i virksomhedens økonomiske forhold eller drift skal offentliggøres rettidigt.
  • afsnit 802 og 906: dette er de afsnit, der omhandler sanktioner., Vi kommer nærmere ind på detaljerne senere i artiklen, men de forbyder at ændre dokumenter i et forsøg på at hindre en undersøgelse og også gøre det ulovligt for nogen at certificere en vildledende eller svigagtig finansiel rapport.

af disse sektioner betragtes 404 som den mest komplekse og mest besværlige. Ikke kun skal der oprettes detaljerede tekniske systemer for at opretholde dataintegritet og-beskyttelse, men virksomhedsledelse og eksterne revisorer skal regelmæssigt vurdere og dokumentere effektiviteten af disse systemer.,

Sarbanes-o .ley krav

det er mange bestemmelser at fordøje, og du bliver nødt til at grave dybt ned i de specifikke mandater, de pålægger. Men her er en oversigt over, hvad loven kræver, at der er værd at holde i tankerne som et 10.000 fod vis:

Alle gældende virksomheder skal etablere et regnskab ramme, der kan generere finansielle rapporter, som er let verificerbare med sporbare source data. Disse kildedata skal forblive intakte og kan ikke gennemgå udokumenterede revisioner., Derudover skal eventuelle revisioner af finansiel eller regnskabsmæssig soft .are dokumenteres fuldt ud med hensyn til, hvad der blev ændret, hvorfor, af hvem og hvornår.

du genkender elementer her i CIA-triaden og dens varianter. Især skal dataintegritet beskyttes, data skal være tilgængelige for dem, der har brug for det, og ikke-afvisning skal håndhæves for at sikre, at det er muligt at vide, hvem der oprettede eller ændrede data.

Sarbanes-o .ley controls

de midler, hvormed Sarbanes-O .ley-kravene implementeres i en organisation, betegnes som kontroller., En kontrol i denne sammenhæng er en intern regel, der har til formål at forhindre eller opdage fejl eller malfeasance inden for en cyklus af finansiel rapportering.

Sarbanes-o .ley mandater, at kontroller gennemføres på tværs af en virksomhed. Den Varonis blog giver nogle specifikke eksempler på de typer af regler, der vil blive undersøgt som en del af en Sarbanes-Oxley audit procedure:

  • Adgang: Du bliver nødt til at have regler, der dækker både fysisk adgang til din kontorer og sagsakter og elektronisk adgang til dine data., Loven kræver en mindst tilladt adgangsmodel, hvorunder medarbejdere kun har adgang, der er så omfattende som nødvendigt for at udføre deres job, men ikke mere omfattende end det.
  • sikkerhedskopiering af data: finansielle poster skal sikkerhedskopieres offsite på måder, der er beskrevet i loven.
  • sikkerhed: du skal bruge et sæt regler, der viser, at du har beskyttet dine data mod brud, selvom implementeringen er op til dit skøn inden for rimelige grænser.,
  • Ændringsstyring: du skal have definerede procedurer for at tilføje eller ændre de databaser og soft .are, der administrerer din virksomheds økonomi, samt tilføje nye brugere til dine systemer.

du vil bemærke, at disse kontroller er beskrevet på abstrakte måder. Generelt er kontroller stavet ud med hensyn til, hvad de gør (eller forhindrer), og det er op til det at finde ud af, hvordan man implementerer dem., For eksempel reglerne om elektronisk adgang kan identificere de stillingsbetegnelser, hvis indehavere er tilladt at ændre en virksomheds interne finansielle data, men det vil være op til virksomhedens IT-afdeling til at gøre sikker på, at de rette personer har den rette tilladelser på de relevante systemer til at gøre det (eller være forhindret i at gøre det).

Dette betyder naturligvis, at for en masse arbejde, og har måske ikke overraskende skabt en hjemmeindustri af software-pakker prewritten til at hjælpe med at gennemføre standardiserede Sarbanes-Oxley kontrol.,følgende mandater ved at tage følgende skridt, som opsummeret i Varonis blog:

  1. administrerende Direktører og Økonomidirektører skal tage ansvar for regnskabsaflæggelse og interne kontroller
  2. En intern kontrol rapport skal udarbejdes, der tager et ærligt blik på virksomhedens kontrol
  3. Formelle data sikkerhedspolitik skal udformes og håndhæves konsekvent, og en data-sikkerhed, – strategi skal udvikles
  4. Alle overholdelse af trin, der skal registreres og løbende dokumenteret

Alt dette tager en masse arbejde på den del af virksomhederne, og mange ser for at hjælpe med at gøre det., En organisation, der tilbyder ressourcer, er udvalget for sponsorerende organisationer i Tread .ay-Kommissionen eller COSO. Coso, der blev oprettet i 1985 for at hjælpe med at bekæmpe virksomhedssvig, har i årevis opretholdt en ramme for intern kontrol, som virksomheder kan følge for at implementere den bedste praksis til bekæmpelse af svig. Den seneste revision, der stammer fra 2013, beskriver specifikt, hvordan det kan hjælpe dig med at opnå Sarbanes-o .ley-overholdelse.,nce tjekliste, der giver dig en hurtig fornemmelse af alt, hvad du behøver til at dække:

  1. Undgå data manipulation
  2. Optag tidsfrister for centrale aktiviteter
  3. Byg kontrollerbare kontrol for at spore adgang
  4. Test til at kontrollere, og oplyse om sikkerhedsforanstaltninger til revisorer
  5. Rapport om effektiviteten af de garantier
  6. Påvise brud på sikkerheden
  7. Afsløre sikkerhedsbrud og fejl sikkerhed kontrol af revisorer

RSI sikkerhed har en mere dybdegående kig på, hvad du skal gøre, når de står over for en Sarbanes-Oxley compliance audit, der har masser af gode detaljer.,

Sarbanes-o .ley sanktioner

Sarbanes-o .ley sanktioner kan være ganske alvorlige—og, vigtigere, de gælder for enkeltpersoner i magtpositioner hos virksomheder direkte, ikke kun virksomhederne som institutioner. Mens virksomhedsofficerer fejlagtigt underskriver fejlagtige rapporter kan straffes for det, den værste behandling er forbeholdt bevidst svig. For eksempel kan en administrerende direktør eller CFO, der bevidst certificerer en rapport, der overtræder loven, bøde op til $5 millioner dollars eller sendes i fængsel i op til 20 år.,

Sarbanes-Oxley Act: Cases og eksempler

Der er helt sikkert situationer, hvor den AMERIKANSKE føderale regering bruger de våben, som Sarbanes-Oxley giver. For eksempel blev ansatte fra Ernst & Young i 2003, ikke længe efter Loven blev vedtaget, arresteret for at have ødelagt dokumenter vedrørende en af deres klienter. i 2014 anlagde FEC anklager mod administrerende direktør og finansdirektør for et Florida-computerfirma for vildledende revisorer om tilstanden af deres interne kontrol.,

men i praksis ser nogle Sarbanes-O .ley som en forspildt mulighed, når det kommer til at retsforfølge virksomhedssvindel. Selv når finansielle rapporter kan være vist sig at være falske, det kan være svært at bevise, at administrerende Direktører og Økonomidirektører vidste om svindel, når de er underskrevet på rapporter—og hvis anklagere har stærke beviser for dette, at de næsten altid kan bruge beviserne til fil endnu hårdere svig afgifter, som ikke er en del af Sarbanes-Oxley suite af muligheder., Alligevel siger advokatprofessor Peter Henning, at loven har haft en positiv effekt som afskrækkende: det er fastslået, at “regnskabsmæssige shenanigans ikke vil blive tolereret længere.”Forhåbentlig får det dig til at føle, at kampen for certificering er det værd.

Share

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *