Sarbanes-Oxley Act: összefoglaló és meghatározás
a Sarbanes-Oxley Act (más néven a SOA, Sarbox, vagy SOX) egy amerikai törvény, hogy megvédje a befektetőket azáltal, hogy megakadályozza a csalárd számviteli és pénzügyi gyakorlat a nyilvánosan forgalmazott vállalatok. A Sarbanes-Oxley 2002-ben egy sor vállalati botrány és a dot-com buborék kipukkadása nyomán számos jelentéstételi, számviteli és adatmegőrzési megbízást vezetett be annak biztosítására, hogy a nagyvállalatok üzleti gyakorlata továbbra is a fedélzeten maradjon.,
míg sok Sarbanes-Oxley rendelkezések központ pénzügyi és számviteli kérdésekben, megfelelő kezelése vállalati adatok sarokköve, hogy sok szempontból, hogy a törvény működik—, és ez egy hatalmas hatással van rá, amit fogunk összpontosítani ebben a cikkben.
mi a Sarbanes-Oxley törvény célja?
a Sarbanes-Oxley-törvény az ezredforduló körüli botrányok sorozatának terméke., Több nyilvánosan működő társaságok—az Enron, valamint a WorldCom volt a két legjelentősebb használt számviteli csalás, fiktív cégek, illetve egyéb tisztességtelen technikák elrejteni üzleti veszteségek a nyilvános folyamatosan raktáron árakat mesterségesen magas. A vezetők, valamint igazgatósági tagok használják ezt a megtévesztés, amelyek kellemesebbé teszik magukat, beváltja ki, így a befektetők (illetve az Enron esetében a munkavállalók, akik már sürgette tegye a nyugdíjas a cég raktáron) tartja a táskát, amikor a megtévesztés nem lehetett tovább fenntartani a raktáron ár összeomlott.,
ezek a botrányok nagyjából egy időben Dot-com részvényárak összeomlott, és bár egyik ilyen korai szakaszban internetes cégek elkövetett csalás elég olyan mértékű, mint az Enron, sokan úgy gondolták, hogy ők felfújt jelentések a keresési potenciál előre kezdetben jövedelmező IPOs, lényegében gazdagító cég alapítói rovására befektetők.
a Sarbanes-Oxley-törvény súlyos szabályozási terhet rótt arra, hogy megakadályozza az ilyen visszaélések újbóli előfordulását., A törvény célja, hogy javítsa a vállalati viselkedés azzal, hogy a vállalatok termelnek, valamint megtartja a pontos adatok arról, hogy a saját pénzügyeit, illetve, hogy képes legyen az adat, hogy a befektetők, mind a szabályozók közel valós időben. Ez ugyanis azt jelenti, hogy a vállalati adatok nagy részét aprólékosan és teljesen biztonságban kell tartani-mind a belső, mind a külső fenyegetésektől -, és a könyvvizsgálóknak és a befektetőknek rövid időn belül rendelkezésre kell állniuk.
kire vonatkozik a Sarbanes-Oxley?,
a Sarbanes-Oxley néhány rendelkezése a magántulajdonban lévő társaságokra vonatkozik—a törvény megtiltja az ilyen társaságoknak, hogy megsemmisítsék a nyilvántartásokat, hogy akadályozzák például a szövetségi ügynökség vizsgálatát, vagy megtorlást a bejelentők ellen. A törvény rendelkezései azonban nagyjából itt tárgyalunk azokra a vállalatokra vonatkoznak, amelyek részvényeit nyilvános tőzsdéken kereskedik, vagy amelyek IPO-t állítanak össze, hogy nyilvánosságra kerüljenek. Az adatok átláthatósága, amelyet a törvény kötelez, célja, hogy megvédje a befektetőket vagy a potenciális befektetőket attól, hogy a bennfentesek manipulálása miatt tévesen ítéljék meg a vállalat pénzügyeit.,
Sarbanes-Oxley rendelkezések
a Sarbanes-Oxley törvény rendelkezései számozott szakaszokra vannak bontva. Vessünk egy pillantást az informatikai és adatbiztonság szempontjából leginkább érdekes szakaszokra:
- 302. szakasz: az állami vállalatoknak rendszeres jelentéseket kell benyújtaniuk a biztonsági és Cserebizottsághoz. A felső vezetőknek személyesen kezeskedniük kell az ezekben a jelentésekben szereplő információkért, és felelősek az adatok belső ellenőrzéséért.,
- 404. szakasz: az éves pénzügyi jelentéseknek tartalmazniuk kell egy szakaszt a hatékonyságukat értékelő belső ellenőrzésekről; az ellenőrzésekben feltárt hiányosságokat közzé kell tenni. A nyilvántartásba vett külső könyvvizsgálóknak biztosítaniuk kell a belső ellenőrzések irányítási értékelését.
- 409. szakasz: a társaság pénzügyi feltételeiben vagy működésében bekövetkezett lényeges változásokat időben nyilvánosságra kell hozni.
- 802.és 906. szakasz: ezek azok a szakaszok, amelyek szankciókkal foglalkoznak., A cikk későbbi részében részletekbe bocsátkozunk, de megtiltják a dokumentumok megváltoztatását, hogy akadályozzák a nyomozást, valamint azt is, hogy bárki igazoljon félrevezető vagy csalárd pénzügyi jelentést.
e szakaszok közül a 404-et tekintik a legösszetettebbnek és a legnehezebbnek. Nemcsak technikai rendszereket kell létrehozni az adatok integritásának és védelmének fenntartása érdekében, hanem a vállalatirányításnak és a külső könyvvizsgálóknak rendszeresen értékelniük és dokumentálniuk kell e rendszerek hatékonyságát.,
Sarbanes-Oxley követelmények
ezek sok rendelkezés megemészteni, és akkor meg kell ásni mélyen a konkrét megbízások szabnak. De itt van egy magas szintű összefoglaló arról, hogy mit igényel a törvény, amelyet érdemes szem előtt tartani 10,000 láb nézetben:
minden alkalmazandó vállalatnak olyan pénzügyi számviteli keretet kell létrehoznia, amely nyomon követhető forrásadatokkal könnyen ellenőrizhető pénzügyi jelentéseket hozhat létre. Ennek a forrásadatnak sértetlennek kell maradnia, és nem kerülhet sor dokumentálatlan felülvizsgálatra., Ezenkívül a pénzügyi vagy számviteli szoftver minden felülvizsgálatát teljes mértékben dokumentálni kell arról, hogy mi változott, miért, ki és mikor.
a CIA triád és annak variánsainak elemeit itt ismerheti meg. Különösen az adatok integritását kell védeni, az adatoknak hozzáférhetőnek kell lenniük azok számára, akiknek szükségük van rá, és a megtagadást be kell tartani annak biztosítása érdekében, hogy meg lehessen tudni, ki készítette vagy módosította az adatokat.
Sarbanes-Oxley controls
azokat az eszközöket, amelyekkel a Sarbanes-Oxley követelményeket egy szervezeten belül végrehajtják, ellenőrzéseknek nevezzük., Az ellenőrzés ebben az összefüggésben egy olyan belső szabály, amelynek célja a hibák vagy rosszhiszeműség megelőzése vagy észlelése a pénzügyi beszámolási cikluson belül.
Sarbanes-Oxley felhatalmazást ad arra, hogy az ellenőrzéseket egy vállalaton belül végrehajtsák. A Varonis blog ad néhány konkrét példa a fajta szabályt, amely vizsgálni részeként Sarbanes-Oxley ellenőrzési eljárás:
- Hozzáférés: kell a szabályok vonatkoznak mind a fizikai hozzáférés a hivatalok, valamint a papír fájlok elektronikus hozzáférést az adatokhoz., A törvény felhatalmazza a legkevésbé megengedő hozzáférési modellt, amely szerint az alkalmazottak csak olyan kiterjedt hozzáféréssel rendelkeznek, amennyire szükség van a munkájuk elvégzéséhez, de ennél nem kiterjedtebb.
- adatmentés: a pénzügyi nyilvántartásokat a törvény által meghatározott módon kell biztonsági másolatot készíteni.
- biztonság: olyan szabályokra lesz szüksége, amelyek bizonyítják, hogy megvédte adatait a jogsértések ellen, bár a végrehajtást ésszerű határokon belül saját belátása szerint hagyja.,
- change management: meghatározott eljárásokkal kell rendelkeznie a vállalati pénzügyeit kezelő adatbázisok és szoftverek hozzáadásához vagy módosításához, valamint új felhasználók hozzáadásához a rendszerekhez.
észre fogod venni, hogy ezeket a vezérlőket absztrakt módon írják le. Általában az ellenőrzéseket úgy határozzák meg, hogy mit csinálnak (vagy megakadályozzák), és rajta múlik, hogy kitaláljuk, hogyan kell végrehajtani őket., Például, a szabályok az elektronikus hozzáférés lehet azonosítani a munkaköri leírásokkal, amelynek birtokosa számára megengedett, hogy módosítsa a vállalat belső pénzügyi adatokat, de akár a vállalat informatikusaihoz, hogy ellenőrizze, hogy a megfelelő személyek rendelkeznek a megfelelő engedélyekkel az érintett rendszerek ehhez (vagy akadályozható meg).
Ez nyilvánvalóan sok munkát jelent, és talán nem meglepő módon létrehozott egy házipart előre írt szoftvercsomagokból, hogy segítsen végrehajtani a szabványosított Sarbanes-Oxley vezérlőket.,ők megbízások a következő lépésekkel, mint foglalta össze a Varonis blog:
- Vezérigazgatók, a CFOs felelősséget kell vállalnia a pénzügyi beszámolási, valamint a belső ellenőrzés
- belső ellenőrzési jelentést kell összeállítani, hogy vesz egy őszinte pillantást a vállalat irányítja
- Hivatalos adatok biztonsági irányelveket kell megfogalmazni, következetesen érvényesíteni, pedig az adatok biztonsági stratégiát kell kidolgozni
- Minden megfelelés lépéseket kell rögzíteni, majd folyamatosan dokumentált
ez sok munkát igényel részéről vállalatok, valamint a sok-sok segítségért, csinálja., Az egyik olyan szervezet, amely erőforrásokat kínál, a Treadway Bizottság vagy a COSO szponzoráló szervezeteinek Bizottsága. Az 1985-ben alapított COSO évek óta fenntartja a belső ellenőrzések keretét, amelyet a vállalatok követhetnek a legjobb csalás elleni gyakorlatok végrehajtása érdekében. A legutóbbi felülvizsgálat, amely 2013-ból származik, kifejezetten felvázolja, hogyan segíthet a Sarbanes-Oxley megfelelés elérésében.,nce lista, hogy ad egy gyors értelemben, hogy mindent meg kell terjed ki:
- Megakadályozza az illetéktelen beavatkozás
- Felvétel ütemezése a kulcsfontosságú tevékenysége
- Építeni ellenőrizhető ellenőrzések nyomon hozzáférés
- a Tesztet, ellenőrizze, pedig nyilvánosságra biztonsági ellenőrök
- Jelentés a hatékonyságát biztosítékok
- Észlelni a biztonság megsértésével
- Nyilvánosságra biztonsági rések, valamint hiba a biztonsági ellenőrzések könyvvizsgálók
RSI biztosítékot mélyebb nézd meg, mit kell tennie, amikor szembesül a Sarbanes-Oxley törvény betartását ellenőrző hogy rengeteg nagyszerű részleteket.,
Sarbanes-Oxley büntetések
Sarbanes-Oxley büntetések is elég komoly -, és ami a legfontosabb, hogy alkalmazzák az egyének hatalmi pozíciókat a vállalatok közvetlenül, nem csak a vállalatok, mint intézmények. Míg a vállalati tisztviselők tévesen aláírják a hibás jelentéseket, megbüntethetők érte, a legrosszabb kezelést szándékos csalás miatt tartják fenn. Például egy vezérigazgató vagy pénzügyi igazgató, aki tudatosan igazolja a törvényt sértő jelentést, akár 5 millió dollár bírságot is kiszabhat, vagy akár 20 évig börtönbe is kerülhet.,
Sarbanes-Oxley Act: Cases and examples
határozottan vannak olyan esetek, amikor az amerikai szövetségi kormány a Sarbanes-Oxley által biztosított fegyvereket használja. Például 2003-ban, nem sokkal a törvény elfogadása után, az Ernst & Young alkalmazottait letartóztatták az egyik ügyfelükre vonatkozó dokumentumok megsemmisítése miatt. 2014-ben a FEC vádat emelt egy floridai számítógépes vállalat vezérigazgatója és pénzügyi igazgatója ellen, mert félrevezetette a könyvvizsgálókat belső ellenőrzésük állapotáról.,
de a gyakorlatban egyesek a Sarbanes-Oxley-t kihagyott lehetőségnek tekintik a vállalati csalások üldözése során. Még akkor is, amikor a pénzügyi jelentések is kimutatták, hogy csalárd, nehéz lehet bizonyítani, hogy a Vezérigazgatók, a CFOs tudott a csalás, amikor aláírta a jelentések—ha az ügyészek erős bizonyíték erre, szinte mindig használja a bizonyíték, hogy a fájl még keményebb csalás vádját, ami nem része a Sarbanes-Oxley suite lehetőséget., Mégis, Peter Henning jogprofesszor szerint a törvény pozitív hatással volt elrettentésre: megállapítást nyert, hogy ” a számviteli svindliket már nem fogják tolerálni.”Remélhetőleg ez úgy érzi, hogy a tanúsításért folytatott küzdelem megéri.