A Sarbanes-Oxley törvény magyarázata: meghatározás, cél és rendelkezések

Sarbanes-Oxley Act: összefoglaló és meghatározás

a Sarbanes-Oxley Act (más néven a SOA, Sarbox, vagy SOX) egy amerikai törvény, hogy megvédje a befektetőket azáltal, hogy megakadályozza a csalárd számviteli és pénzügyi gyakorlat a nyilvánosan forgalmazott vállalatok. A Sarbanes-Oxley 2002-ben egy sor vállalati botrány és a dot-com buborék kipukkadása nyomán számos jelentéstételi, számviteli és adatmegőrzési megbízást vezetett be annak biztosítására, hogy a nagyvállalatok üzleti gyakorlata továbbra is a fedélzeten maradjon.,

míg sok Sarbanes-Oxley rendelkezések központ pénzügyi és számviteli kérdésekben, megfelelő kezelése vállalati adatok sarokköve, hogy sok szempontból, hogy a törvény működik—, és ez egy hatalmas hatással van rá, amit fogunk összpontosítani ebben a cikkben.

mi a Sarbanes-Oxley törvény célja?

a Sarbanes-Oxley-törvény az ezredforduló körüli botrányok sorozatának terméke., Több nyilvánosan működő társaságok—az Enron, valamint a WorldCom volt a két legjelentősebb használt számviteli csalás, fiktív cégek, illetve egyéb tisztességtelen technikák elrejteni üzleti veszteségek a nyilvános folyamatosan raktáron árakat mesterségesen magas. A vezetők, valamint igazgatósági tagok használják ezt a megtévesztés, amelyek kellemesebbé teszik magukat, beváltja ki, így a befektetők (illetve az Enron esetében a munkavállalók, akik már sürgette tegye a nyugdíjas a cég raktáron) tartja a táskát, amikor a megtévesztés nem lehetett tovább fenntartani a raktáron ár összeomlott.,

ezek a botrányok nagyjából egy időben Dot-com részvényárak összeomlott, és bár egyik ilyen korai szakaszban internetes cégek elkövetett csalás elég olyan mértékű, mint az Enron, sokan úgy gondolták, hogy ők felfújt jelentések a keresési potenciál előre kezdetben jövedelmező IPOs, lényegében gazdagító cég alapítói rovására befektetők.

a Sarbanes-Oxley-törvény súlyos szabályozási terhet rótt arra, hogy megakadályozza az ilyen visszaélések újbóli előfordulását., A törvény célja, hogy javítsa a vállalati viselkedés azzal, hogy a vállalatok termelnek, valamint megtartja a pontos adatok arról, hogy a saját pénzügyeit, illetve, hogy képes legyen az adat, hogy a befektetők, mind a szabályozók közel valós időben. Ez ugyanis azt jelenti, hogy a vállalati adatok nagy részét aprólékosan és teljesen biztonságban kell tartani-mind a belső, mind a külső fenyegetésektől -, és a könyvvizsgálóknak és a befektetőknek rövid időn belül rendelkezésre kell állniuk.

kire vonatkozik a Sarbanes-Oxley?,

a Sarbanes-Oxley néhány rendelkezése a magántulajdonban lévő társaságokra vonatkozik—a törvény megtiltja az ilyen társaságoknak, hogy megsemmisítsék a nyilvántartásokat, hogy akadályozzák például a szövetségi ügynökség vizsgálatát, vagy megtorlást a bejelentők ellen. A törvény rendelkezései azonban nagyjából itt tárgyalunk azokra a vállalatokra vonatkoznak, amelyek részvényeit nyilvános tőzsdéken kereskedik, vagy amelyek IPO-t állítanak össze, hogy nyilvánosságra kerüljenek. Az adatok átláthatósága, amelyet a törvény kötelez, célja, hogy megvédje a befektetőket vagy a potenciális befektetőket attól, hogy a bennfentesek manipulálása miatt tévesen ítéljék meg a vállalat pénzügyeit.,

Sarbanes-Oxley rendelkezések

a Sarbanes-Oxley törvény rendelkezései számozott szakaszokra vannak bontva. Vessünk egy pillantást az informatikai és adatbiztonság szempontjából leginkább érdekes szakaszokra:

  • 302. szakasz: az állami vállalatoknak rendszeres jelentéseket kell benyújtaniuk a biztonsági és Cserebizottsághoz. A felső vezetőknek személyesen kezeskedniük kell az ezekben a jelentésekben szereplő információkért, és felelősek az adatok belső ellenőrzéséért.,
  • 404. szakasz: az éves pénzügyi jelentéseknek tartalmazniuk kell egy szakaszt a hatékonyságukat értékelő belső ellenőrzésekről; az ellenőrzésekben feltárt hiányosságokat közzé kell tenni. A nyilvántartásba vett külső könyvvizsgálóknak biztosítaniuk kell a belső ellenőrzések irányítási értékelését.
  • 409. szakasz: a társaság pénzügyi feltételeiben vagy működésében bekövetkezett lényeges változásokat időben nyilvánosságra kell hozni.
  • 802.és 906. szakasz: ezek azok a szakaszok, amelyek szankciókkal foglalkoznak., A cikk későbbi részében részletekbe bocsátkozunk, de megtiltják a dokumentumok megváltoztatását, hogy akadályozzák a nyomozást, valamint azt is, hogy bárki igazoljon félrevezető vagy csalárd pénzügyi jelentést.

e szakaszok közül a 404-et tekintik a legösszetettebbnek és a legnehezebbnek. Nemcsak technikai rendszereket kell létrehozni az adatok integritásának és védelmének fenntartása érdekében, hanem a vállalatirányításnak és a külső könyvvizsgálóknak rendszeresen értékelniük és dokumentálniuk kell e rendszerek hatékonyságát.,

Sarbanes-Oxley követelmények

ezek sok rendelkezés megemészteni, és akkor meg kell ásni mélyen a konkrét megbízások szabnak. De itt van egy magas szintű összefoglaló arról, hogy mit igényel a törvény, amelyet érdemes szem előtt tartani 10,000 láb nézetben:

minden alkalmazandó vállalatnak olyan pénzügyi számviteli keretet kell létrehoznia, amely nyomon követhető forrásadatokkal könnyen ellenőrizhető pénzügyi jelentéseket hozhat létre. Ennek a forrásadatnak sértetlennek kell maradnia, és nem kerülhet sor dokumentálatlan felülvizsgálatra., Ezenkívül a pénzügyi vagy számviteli szoftver minden felülvizsgálatát teljes mértékben dokumentálni kell arról, hogy mi változott, miért, ki és mikor.

a CIA triád és annak variánsainak elemeit itt ismerheti meg. Különösen az adatok integritását kell védeni, az adatoknak hozzáférhetőnek kell lenniük azok számára, akiknek szükségük van rá, és a megtagadást be kell tartani annak biztosítása érdekében, hogy meg lehessen tudni, ki készítette vagy módosította az adatokat.

Sarbanes-Oxley controls

azokat az eszközöket, amelyekkel a Sarbanes-Oxley követelményeket egy szervezeten belül végrehajtják, ellenőrzéseknek nevezzük., Az ellenőrzés ebben az összefüggésben egy olyan belső szabály, amelynek célja a hibák vagy rosszhiszeműség megelőzése vagy észlelése a pénzügyi beszámolási cikluson belül.

Sarbanes-Oxley felhatalmazást ad arra, hogy az ellenőrzéseket egy vállalaton belül végrehajtsák. A Varonis blog ad néhány konkrét példa a fajta szabályt, amely vizsgálni részeként Sarbanes-Oxley ellenőrzési eljárás:

  • Hozzáférés: kell a szabályok vonatkoznak mind a fizikai hozzáférés a hivatalok, valamint a papír fájlok elektronikus hozzáférést az adatokhoz., A törvény felhatalmazza a legkevésbé megengedő hozzáférési modellt, amely szerint az alkalmazottak csak olyan kiterjedt hozzáféréssel rendelkeznek, amennyire szükség van a munkájuk elvégzéséhez, de ennél nem kiterjedtebb.
  • adatmentés: a pénzügyi nyilvántartásokat a törvény által meghatározott módon kell biztonsági másolatot készíteni.
  • biztonság: olyan szabályokra lesz szüksége, amelyek bizonyítják, hogy megvédte adatait a jogsértések ellen, bár a végrehajtást ésszerű határokon belül saját belátása szerint hagyja.,
  • change management: meghatározott eljárásokkal kell rendelkeznie a vállalati pénzügyeit kezelő adatbázisok és szoftverek hozzáadásához vagy módosításához, valamint új felhasználók hozzáadásához a rendszerekhez.

észre fogod venni, hogy ezeket a vezérlőket absztrakt módon írják le. Általában az ellenőrzéseket úgy határozzák meg, hogy mit csinálnak (vagy megakadályozzák), és rajta múlik, hogy kitaláljuk, hogyan kell végrehajtani őket., Például, a szabályok az elektronikus hozzáférés lehet azonosítani a munkaköri leírásokkal, amelynek birtokosa számára megengedett, hogy módosítsa a vállalat belső pénzügyi adatokat, de akár a vállalat informatikusaihoz, hogy ellenőrizze, hogy a megfelelő személyek rendelkeznek a megfelelő engedélyekkel az érintett rendszerek ehhez (vagy akadályozható meg).

Ez nyilvánvalóan sok munkát jelent, és talán nem meglepő módon létrehozott egy házipart előre írt szoftvercsomagokból, hogy segítsen végrehajtani a szabványosított Sarbanes-Oxley vezérlőket.,ők megbízások a következő lépésekkel, mint foglalta össze a Varonis blog:

  1. Vezérigazgatók, a CFOs felelősséget kell vállalnia a pénzügyi beszámolási, valamint a belső ellenőrzés
  2. belső ellenőrzési jelentést kell összeállítani, hogy vesz egy őszinte pillantást a vállalat irányítja
  3. Hivatalos adatok biztonsági irányelveket kell megfogalmazni, következetesen érvényesíteni, pedig az adatok biztonsági stratégiát kell kidolgozni
  4. Minden megfelelés lépéseket kell rögzíteni, majd folyamatosan dokumentált

ez sok munkát igényel részéről vállalatok, valamint a sok-sok segítségért, csinálja., Az egyik olyan szervezet, amely erőforrásokat kínál, a Treadway Bizottság vagy a COSO szponzoráló szervezeteinek Bizottsága. Az 1985-ben alapított COSO évek óta fenntartja a belső ellenőrzések keretét, amelyet a vállalatok követhetnek a legjobb csalás elleni gyakorlatok végrehajtása érdekében. A legutóbbi felülvizsgálat, amely 2013-ból származik, kifejezetten felvázolja, hogyan segíthet a Sarbanes-Oxley megfelelés elérésében.,nce lista, hogy ad egy gyors értelemben, hogy mindent meg kell terjed ki:

  1. Megakadályozza az illetéktelen beavatkozás
  2. Felvétel ütemezése a kulcsfontosságú tevékenysége
  3. Építeni ellenőrizhető ellenőrzések nyomon hozzáférés
  4. a Tesztet, ellenőrizze, pedig nyilvánosságra biztonsági ellenőrök
  5. Jelentés a hatékonyságát biztosítékok
  6. Észlelni a biztonság megsértésével
  7. Nyilvánosságra biztonsági rések, valamint hiba a biztonsági ellenőrzések könyvvizsgálók

RSI biztosítékot mélyebb nézd meg, mit kell tennie, amikor szembesül a Sarbanes-Oxley törvény betartását ellenőrző hogy rengeteg nagyszerű részleteket.,

Sarbanes-Oxley büntetések

Sarbanes-Oxley büntetések is elég komoly -, és ami a legfontosabb, hogy alkalmazzák az egyének hatalmi pozíciókat a vállalatok közvetlenül, nem csak a vállalatok, mint intézmények. Míg a vállalati tisztviselők tévesen aláírják a hibás jelentéseket, megbüntethetők érte, a legrosszabb kezelést szándékos csalás miatt tartják fenn. Például egy vezérigazgató vagy pénzügyi igazgató, aki tudatosan igazolja a törvényt sértő jelentést, akár 5 millió dollár bírságot is kiszabhat, vagy akár 20 évig börtönbe is kerülhet.,

Sarbanes-Oxley Act: Cases and examples

határozottan vannak olyan esetek, amikor az amerikai szövetségi kormány a Sarbanes-Oxley által biztosított fegyvereket használja. Például 2003-ban, nem sokkal a törvény elfogadása után, az Ernst & Young alkalmazottait letartóztatták az egyik ügyfelükre vonatkozó dokumentumok megsemmisítése miatt. 2014-ben a FEC vádat emelt egy floridai számítógépes vállalat vezérigazgatója és pénzügyi igazgatója ellen, mert félrevezetette a könyvvizsgálókat belső ellenőrzésük állapotáról.,

de a gyakorlatban egyesek a Sarbanes-Oxley-t kihagyott lehetőségnek tekintik a vállalati csalások üldözése során. Még akkor is, amikor a pénzügyi jelentések is kimutatták, hogy csalárd, nehéz lehet bizonyítani, hogy a Vezérigazgatók, a CFOs tudott a csalás, amikor aláírta a jelentések—ha az ügyészek erős bizonyíték erre, szinte mindig használja a bizonyíték, hogy a fájl még keményebb csalás vádját, ami nem része a Sarbanes-Oxley suite lehetőséget., Mégis, Peter Henning jogprofesszor szerint a törvény pozitív hatással volt elrettentésre: megállapítást nyert, hogy ” a számviteli svindliket már nem fogják tolerálni.”Remélhetőleg ez úgy érzi, hogy a tanúsításért folytatott küzdelem megéri.

Share

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük