Sarbanes-Oxley Act forklart: Definisjon, hensikt og bestemmelser

Sarbanes-Oxley Act: Oppsummering og definisjon

The Sarbanes-Oxley Act (noen ganger referert til som den SOA, Sarbox, eller SOX) er en AMERIKANSK lov for å beskytte investorer ved å hindre falske regnskap og økonomisk praksis i børsnoterte selskaper. Vedtatt i 2002 i kjølvannet av en serie av bedriftens skandalene og sprengning av dot-com-boblen, Sarbanes-Oxley pålagt en rekke rapportering, regnskap og data oppbevaring krav for å sikre at virksomheten praksis på store selskaper fortsatt over bord.,

Mens mange Sarbanes-Oxley bestemmelser center på finansielle og regnskapsmessige forhold, riktig behandling av bedriftens data er hjørnesteinen for mange aspekter av hvordan loven fungerer—og som har en enorm innvirkning på DET, som vi vil fokusere på i denne artikkelen.

Hva er hensikten med Sarbanes-Oxley Act?

The Sarbanes-Oxley Act er et produkt av en rekke skandaler som fant sted rundt årtusenskiftet., Flere børsnoterte selskaper—Enron og WorldCom var to av de mest fremtredende brukte regnskap lureri, shell-selskaper, og andre bedragerske teknikker for å skjule virksomhet tap fra det offentlige og holde stock prisene kunstig høye. Ledere og styremedlemmer brukt denne bedrag for å berike seg selv, ta ut og la investorer (og, i Enron er tilfelle, ansatte som hadde blitt oppfordret sette sin pensjonisttilværelse til aksjer i selskapet) holder posen når bedrag kunne ikke lenger bli vedlikeholdt og aksjekursen kollapset.,

Disse skandalene vikles rundt samme tid dot-com stock prisene kollapset, og mens ingen av de som tidlig stadium internett-selskaper begått bedrageri på ganske en slik skala som Enron, mange mennesker trodde at de hadde oppblåst rapporter om deres inntjeningspotensialet i forkant av utgangspunktet lukrative personlige resultatmål, i hovedsak berikende gründere på bekostning av investorer.

The Sarbanes-Oxley Act pålagt tunge regulatoriske hindringer i et forsøk på å forhindre at slike overgrep skjer igjen., Loven tar sikte på å forbedre bedriftens atferd ved å sørge for bedrifter produserer og beholde nøyaktige data om sin egen økonomi, og at de vil være i stand til å gjøre data tilgjengelig for investorer og myndigheter i nær sanntid. For DET, det betyr at store mengder av bedriftens data holdes strengt nøyaktige og helt trygt—fra både interne og eksterne trusler, og for å være tilgjengelig for revisor og investorer på kort varsel.

Som gjør Sarbanes-Oxley gjelder?,

Et par bestemmelsene i Sarbanes-Oxley gjelder for privateide selskaper—loven forbyr slike selskaper fra å ødelegge poster for å hindre en federal agency ‘ s undersøkelse, for eksempel, eller fra å slå tilbake mot varslere. Men, i det store og de bestemmelser i loven som vi vil diskutere her, gjelder for selskaper med aksjer som omsettes på offentlig børser, eller som er å sette sammen en IPO å gå offentlig. Data åpenhet som loven mandater er ment å beskytte investorer eller potensielle investorer fra misjudging selskapets økonomi på grunn av manipulasjon av innsidere.,

Sarbanes-Oxley bestemmelser

bestemmelsene i Sarbanes-Oxley Act er inndelt i nummererte kapitler. La oss ta en titt på avsnittene som er av størst interesse i form av DET og data security:

  • – Delen 302: Offentlige virksomheter trenger å sende inn jevnlige rapporter med Security and Exchange Commission. Toppledere må personlig gå god for opplysningene i disse rapportene, og er ansvarlig for å etablere interne kontroller av data.,
  • Seksjon 404: årsrapporter må inkludere en del av de interne kontrollene å vurdere deres effektivitet, eventuelle mangler som er oppdaget i disse kontrollene må fremlegges. Registrerte eksterne revisorer må gå god for ledelsens vurdering av den interne kontroll.
  • – Delen 409: Eventuelle vesentlige endringer i økonomiske forhold eller drift av selskapet må bli offentliggjort på en riktig måte.
  • Seksjoner 802 og 906: Dette er de delene som omhandler straff., Vi vil komme inn detaljene senere i artikkelen, men de forbyr å endre dokumenter i et forsøk på å hindre en etterforskning og også gjøre det ulovlig for andre å sertifisere et villedende eller bedragerske økonomisk rapport.

Av disse delene, 404 regnes som den mest komplekse og mest tapsbringende. Ikke bare må detaljerte tekniske systemer settes opp til å opprettholde dataintegritet og beskyttelse, men selskapets ledelse og eksterne revisorer må regelmessig vurdere og dokumentere effekten av disse systemene.,

Sarbanes-Oxley krav

Disse er en rekke bestemmelser for å fordøye, og du trenger å grave dypt inn i den spesifikke krav de stiller. Men her er en high-nivå sammendrag av hva loven krever at det er verdt å holde i tankene som en 10.000-fots vise:

Alle gjeldende selskapene må etablere et finansregnskap rammeverk som kan generere økonomiske rapporter som er lett etterprøvbare med sporbare data kilde. Denne kilden data må forbli intakt og ikke kan gjennomgå udokumenterte revisjoner., I tillegg, noen endringer i økonomiske eller regnskapsmessige programvare må være fullt dokumentert hva som ble endret, hvorfor, av hvem og når.

vil Du kjenne igjen elementer her for CIA triaden og dens varianter. I særdeleshet, data integritet må beskyttes, data må være tilgjengelig for de som trenger det, og ikke-avvisning må iverksettes for å sikre at det er mulig å vite hvem som er opprettet eller endret data.

Sarbanes-Oxley kontroller

De midler som Sarbanes-Oxley krav er implementert i en organisasjon er referert til som styrer., En kontroll i denne sammenheng er en intern regel til hensikt å forhindre eller oppdage feil eller malfeasance innenfor en syklus av finansiell rapportering.

Sarbanes-Oxley mandater at kontrollene gjennomføres på tvers av et selskap. Den Varonis blogg gir noen konkrete eksempler på de typer regler som vil bli undersøkt som en del av en Sarbanes-Oxley revisjon fremgangsmåte:

  • Tilgang: Du må ha regler som dekker både fysisk tilgang til kontorer og papirdokumenter og elektronisk tilgang til dine data., Loven pålegger en minst ettergivende tilgang modell, under hvilke ansatte som bare har tilgang til som er like omfattende som trengs for å gjøre jobben sin, men ikke mer omfattende enn som så.
  • sikkerhetskopiering av Data: regnskap må være sikkerhetskopiert på et annet sted på måter stavet ut av loven.
  • Sikkerhet: Du trenger et sett av regler som viser at du har beskyttet din data mot brudd, selv om gjennomføringen overlates til skjønn innenfor rimelighetens grenser.,
  • Change management: Du må ha definerte prosedyrer for å legge til eller endre databaser og programvare som håndterer bedriftens økonomi, samt å legge til nye brukere i deres systemer.

vil Du legge merke til at disse kontrollene er beskrevet i abstrakte måter. Generelt, kontrollene er stavet ut i forhold til hva de gjør (eller hindre), og det er opp til DET å finne ut hvordan å implementere dem., For eksempel reglene om elektronisk tilgang kan identifisere titler som holdere er tillatt å endre selskapets interne finansielle data, men det vil være opp til selskapets IT-avdeling for å sikre at de riktige personene har de nødvendige tillatelsene på relevante systemer for å gjøre det (eller være forhindret fra å gjøre dette).

Dette er åpenbart gjør for mye arbeid, og har kanskje ikke overraskende laget en hytte industrien av programvarepakker prewritten å bidra til å gjennomføre standardiserte Sarbanes-Oxley-kontroller.,isse mandater ved å ta følgende trinn, som ble oppsummert i Varonis blogg:

– >

  1. administrerende direktører og CFOs må ta ansvar for finansiell rapportering og internkontroll
  2. En intern kontroll-rapport må være skrevet som tar et ærlig blikk på selskapets kontroller
  3. Formelle retningslinjer for datasikkerhet må være utarbeidet og konsekvent håndhevet, og en datasikkerhet strategi må utvikles
  4. Alle samsvar trinnene må være registrert og kontinuerlig dokumentert

Alt dette tar mye av arbeidet på den delen av selskaper, og mange ser for hjelp til å gjøre det., En organisasjon som tilbyr ressurser er Committee of Sponsoring Organizations of the Treadway Commission, eller COSO. Dannet i 1985 for å bidra til å bekjempe eierstyring og svindel, COSO har i mange år opprettholdt et rammeverk for internkontroll for at bedrifter kan følge for å implementere beste anti-svindel praksis. Siste utgave, som stammer fra 2013, spesielt skisserer hvordan det kan hjelpe deg å oppnå Sarbanes-Oxley compliance.,nce sjekkliste som gir deg en rask følelse av alt du trenger for å dekke:

  1. Hindre at data tukling
  2. spill inn tidslinjer for sentrale aktiviteter
  3. Bygge etterprøvbare kontroller for å spore tilgang
  4. Teste, kontrollere, og avsløre sikkerhetstiltak for å revisorer
  5. Rapportere om effekten av sikringstiltak
  6. Oppdage brudd på sikkerheten
  7. Avsløre sikkerhet brudd og svikt i sikkerhetskontroller for å revisorer

RSI security har en mer inngående titt på hva du trenger å gjøre når du står overfor en Sarbanes-Oxley compliance audit som har massevis av flotte detaljer.,

Sarbanes-Oxley straffer

Sarbanes-Oxley straff kan være ganske alvorlig—og, viktigst, de gjelder for personer i maktposisjoner i bedrifter direkte, ikke bare de selskaper som institusjoner. Mens bedriftens ledere ved signering av på feilaktige rapporter kan bli straffet for det, det verste behandling er reservert for bevisst svindel. For eksempel, en administrerende DIREKTØR eller FINANSDIREKTØR som bevisst bekrefter en rapport som bryter med Loven kan bli ilagt bøter på opp til $5 millioner dollar eller sendt til fengsel i opp til 20 år.,

Sarbanes-Oxley Act: Saker og eksempler på

Det er definitivt anledninger når den AMERIKANSKE føderale regjeringen bruker våpen som Sarbanes-Oxley gir. For eksempel, i 2003, ikke lenge etter at loven var vedtatt, ansatte fra Ernst & Unge ble arrestert for å ødelegge dokumenter knyttet til en av sine kunder. i 2014 FEC tok anklagene mot KONSERNSJEF og FINANSDIREKTØR av en Florida datamaskinen selskapet for villedende revisorer på staten sin internkontroll.,

Men i praksis, noen ser Sarbanes-Oxley som en mulighet når det gjelder å rettsforfølge eierstyring og svindel. Selv når finansielle rapporter kan være vist seg å være falske, kan det være vanskelig å bevise at administrerende direktører og CFOs visste om svindel når de er signert av på rapporter—og hvis aktoratet har sterke bevis for dette, har de nesten alltid kan bruke bevis til fil enda tøffere svindel kostnader som ikke er en del av Sarbanes-Oxley suite av valg., Likevel, jusprofessor Peter Henning sier at loven har hatt en positiv effekt som en avskrekkende: det er etablert at «regnskap shenanigans ikke kommer til å bli tolerert lenger.»Forhåpentligvis gjør du føler deg som en kamp for å sertifisering er verdt det.

Share

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *