Il Sarbanes-Oxley Act explained: Definition, purpose ,and provisions

Sarbanes-Oxley Act: Summary and definition

Il Sarbanes-Oxley Act (a volte indicato come SOA, Sarbox, o SOX) è una legge degli Stati Uniti per proteggere gli investitori prevenendo pratiche contabili e finanziarie fraudolente in società quotate in borsa. Passato in 2002 sulla scia di una serie di scandali aziendali e lo scoppio della bolla dot-com, Sarbanes-Oxley ha imposto una serie di mandati di reporting, contabilità e conservazione dei dati per garantire che le pratiche commerciali delle grandi aziende rimangano al di sopra del bordo.,

Mentre molte disposizioni Sarbanes-Oxley centro su questioni finanziarie e contabili, il corretto trattamento dei dati aziendali è la pietra angolare per molti aspetti di come funziona la legge—e che ha un enorme impatto su di esso, che ci concentreremo su in questo articolo.

Qual è lo scopo della legge Sarbanes-Oxley?

La legge Sarbanes-Oxley è il prodotto di una serie di scandali che hanno avuto luogo intorno alla fine del millennio., Diverse società quotate in borsa—Enron e WorldCom erano due dei più importanti trucchi contabili, società di comodo e altre tecniche fraudolente per nascondere le perdite aziendali al pubblico e mantenere i prezzi delle azioni artificialmente alti. Dirigenti e membri del consiglio hanno usato questo inganno per arricchirsi, incassando e lasciando gli investitori (e, nel caso di Enron, i dipendenti che erano stati esortati a mettere il loro pensionamento in azioni aziendali) tenendo la borsa quando l’inganno non poteva più essere mantenuto e il prezzo delle azioni è crollato.,

Questi scandali svolto intorno allo stesso tempo dot-com i prezzi delle azioni sono crollati, mentre nessuno di quelli in stadio precoce aziende internet commesso la frode su scala come Enron, molte persone credevano di aver gonfiato i rapporti del loro potenziale di guadagno in anticipo, inizialmente, di redditizio Ipo, essenzialmente arricchire fondatori dell’azienda a scapito degli investitori.

La legge Sarbanes-Oxley ha imposto un pesante onere normativo nel tentativo di impedire che questi tipi di abusi si ripetessero., La legge mira a migliorare il comportamento aziendale assicurandosi che le aziende producano e conservino dati accurati sulle proprie finanze e che siano in grado di rendere tali dati disponibili agli investitori e alle autorità di regolamentazione in tempo quasi reale. Per l’IT, ciò significa che enormi quantità di dati aziendali devono essere tenuti meticolosamente accurati e assolutamente sicuri—da minacce interne ed esterne—e devono essere disponibili per i revisori e gli investitori con breve preavviso.

A chi si rivolge Sarbanes-Oxley?,

Alcune disposizioni di Sarbanes-Oxley si applicano alle società private: la legge vieta a tali società di distruggere i record per impedire le indagini di un’agenzia federale, ad esempio, o di vendicarsi contro gli informatori. Tuttavia, in linea di massima le disposizioni della legge che discuteremo qui si applicano alle società le cui azioni sono negoziate su borse pubbliche o che stanno mettendo insieme un’IPO per diventare pubbliche. La trasparenza dei dati che la legge impone ha lo scopo di proteggere gli investitori o potenziali investitori dal giudicare male le finanze di un’azienda a causa della manipolazione da parte degli addetti ai lavori.,

Disposizioni Sarbanes-Oxley

Le disposizioni della legge Sarbanes-Oxley sono suddivise in sezioni numerate. Diamo un’occhiata alle sezioni di maggior interesse in termini di sicurezza informatica e dei dati:

  • Sezione 302: Le aziende pubbliche devono presentare rapporti regolari con la Security and Exchange Commission. I dirigenti devono garantire personalmente le informazioni contenute in questi rapporti e sono responsabili dell’istituzione di controlli interni dei dati.,
  • Sezione 404: Le relazioni finanziarie annuali devono includere una sezione relativa a tali controlli interni per valutarne l’efficacia; le eventuali carenze riscontrate in tali controlli devono essere divulgate. I revisori esterni registrati devono garantire la valutazione dei controlli interni da parte della direzione.
  • Sezione 409: Qualsiasi modifica sostanziale delle condizioni finanziarie o delle operazioni della società deve essere comunicata al pubblico in modo tempestivo.
  • Sezioni 802 e 906: Queste sono le sezioni che si occupano di sanzioni., Entreremo nei dettagli più avanti nell’articolo, ma vietano di alterare i documenti nel tentativo di impedire un’indagine e rendere illegale per chiunque certificare un rapporto finanziario fuorviante o fraudolento.

Di queste sezioni, 404 è considerato il più complesso e il più oneroso. Non solo è necessario elaborare sistemi tecnici per mantenere l’integrità e la protezione dei dati, ma la direzione aziendale e i revisori esterni devono valutare e documentare regolarmente l’efficacia di tali sistemi.,

Sarbanes-Oxley requirements

Queste sono molte disposizioni da digerire e dovrai approfondire i mandati specifici che impongono. Ma ecco un riassunto di alto livello di ciò che la legge richiede che vale la pena tenere a mente come una vista di 10.000 piedi:

Tutte le aziende applicabili devono stabilire un quadro contabile finanziario in grado di generare report finanziari facilmente verificabili con dati di origine tracciabili. Questi dati di origine devono rimanere intatti e non possono essere sottoposti a revisioni non documentate., Inoltre, qualsiasi revisione del software finanziario o contabile deve essere completamente documentata su cosa è stato cambiato, perché, da chi e quando.

Qui riconoscerai elementi della triade CIA e delle sue varianti. In particolare, l’integrità dei dati deve essere protetta, i dati devono essere disponibili a coloro che ne hanno bisogno e il non ripudio deve essere applicato per garantire che sia possibile sapere chi ha creato o alterato i dati.

Controlli Sarbanes-Oxley

I mezzi con cui i requisiti Sarbanes-Oxley sono implementati all’interno di un’organizzazione sono indicati come controlli., Un controllo in questo contesto è una regola interna destinata a prevenire o rilevare errori o malformazioni all’interno di un ciclo di informativa finanziaria.

Sarbanes-Oxley impone che i controlli siano implementati in un’azienda. Il blog Varonis fornisce alcuni esempi specifici dei tipi di regole che potrebbero essere studiate come parte di una procedura di audit Sarbanes-Oxley:

  • Accesso: È necessario disporre di regole che coprano sia l’accesso fisico ai propri uffici e file cartacei che l’accesso elettronico ai propri dati., La legge impone un modello di accesso meno permissivo, in base al quale i dipendenti hanno solo un accesso esteso quanto necessario per svolgere il proprio lavoro, ma non più esteso di quello.
  • Backup dei dati: i record finanziari devono essere sottoposti a backup fuori sede in modi specificati dalla legge.
  • Sicurezza: avrai bisogno di una serie di regole che dimostrino di aver protetto i tuoi dati dalle violazioni, sebbene l’implementazione sia lasciata alla tua discrezione entro limiti ragionevoli.,
  • Change management: È necessario disporre di procedure definite per l’aggiunta o la modifica dei database e del software che gestiscono le finanze aziendali, nonché l’aggiunta di nuovi utenti ai sistemi.

Noterai che questi controlli sono descritti in modo astratto. In generale, i controlli sono enunciati in termini di ciò che fanno (o impediscono), e spetta a LUI capire come implementarli., Ad esempio, le regole sull’accesso elettronico possono identificare i titoli di lavoro i cui titolari sono autorizzati a modificare i dati finanziari interni di un’azienda, ma spetterà al dipartimento IT dell’azienda assicurarsi che gli individui corretti abbiano le autorizzazioni appropriate sui sistemi pertinenti per farlo (o essere impediti di farlo).

Questo ovviamente rende per un sacco di lavoro, e forse non sorprende creato un settore cottage di pacchetti software pre-scritti per aiutare a implementare controlli standardizzati Sarbanes-Oxley.,questi mandati mediante la seguente procedura, come riassunto nella Varonis blog:

  1. il Ceo e Cfo devono assumersi la responsabilità per la rendicontazione finanziaria e controlli interni
  2. interno, il rapporto di controllo deve essere redatto che prende un onesto guardare la società controlli
  3. dati Formali, le politiche di sicurezza devono essere redatti e in modo uniforme, e la sicurezza dei dati strategia deve essere sviluppato
  4. Tutti conformità passaggi devono essere registrati e continuamente documentato

Tutto questo prende un sacco di lavoro da parte delle imprese, e molti cercano di aiutare a farlo., Un’organizzazione che offre risorse è il Comitato delle organizzazioni sponsor della Commissione Treadway, o COSO. Fondata nel 1985 per aiutare a combattere le frodi aziendali, COSO ha mantenuto per anni un quadro per i controlli interni che le aziende possono seguire al fine di implementare le migliori pratiche antifrode. La revisione più recente, che risale al 2013, descrive in modo specifico come può aiutarti a raggiungere la conformità Sarbanes-Oxley.,nce lista di controllo che fornisce un rapido senso di tutto ciò di cui avrete bisogno per la copertura di:

  1. Evitare la manomissione dei dati
  2. Record scadenze per le attività chiave
  3. Costruire verificabili controlli per monitorare l’accesso
  4. Prova, verificare, e divulgare le garanzie per i revisori
  5. Relazione sull’efficacia delle misure di salvaguardia
  6. grado di Rilevare le violazioni di sicurezza
  7. Divulgare le violazioni della sicurezza e il fallimento dei controlli di sicurezza per i revisori

RSI di sicurezza ha un più approfondito sguardo a ciò che è necessario fare quando di fronte a una legge Sarbanes-Oxley audit che ha un sacco di dettagli.,

Sanzioni Sarbanes-Oxley

Sanzioni Sarbanes-Oxley possono essere molto gravi—e, soprattutto, si applicano agli individui in posizioni di potere presso le aziende direttamente, non solo le aziende come istituzioni. Mentre gli ufficiali aziendali erroneamente firma fuori su rapporti errati possono essere puniti per esso, il trattamento peggiore è riservato per frode deliberata. Ad esempio, un CEO o CFO che certifica consapevolmente un rapporto che viola l’atto può essere multato fino a million 5 milioni di dollari o mandato in prigione per un massimo di 20 anni.,

Sarbanes-Oxley Act: Casi ed esempi

Ci sono sicuramente occasioni in cui il governo federale usa le armi fornite da Sarbanes-Oxley. Ad esempio, nel 2003, non molto tempo dopo l’approvazione della legge, i dipendenti di Ernst & Young sono stati arrestati per aver distrutto documenti relativi a uno dei loro clienti. nel 2014 la FEC ha presentato accuse contro il CEO e CFO di una società di computer della Florida per aver ingannato i revisori sullo stato dei loro controlli interni.,

Ma in pratica, alcuni vedono Sarbanes-Oxley come un’occasione persa quando si tratta di perseguire le frodi aziendali. Anche quando i rapporti finanziari possono essere dimostrati fraudolenti, può essere difficile dimostrare che CEO e CFO sapevano della frode quando hanno firmato i rapporti—e se i pubblici ministeri hanno forti prove di ciò, quasi sempre possono usare le prove per presentare accuse di frode ancora più dure che non fanno parte della suite di opzioni Sarbanes-Oxley., Tuttavia, il professore di legge Peter Henning afferma che la legge ha avuto un effetto positivo come deterrente: è stabilito che “gli imbrogli contabili non saranno più tollerati.”Speriamo che ti fa sentire come la lotta per la certificazione è valsa la pena.

Share

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *