Sarbanes-Oxley Act: samenvatting en definitie
de Sarbanes-Oxley Act (soms aangeduid als de SOA, Sarbox, of SOX) is een Amerikaanse wet ter bescherming van beleggers door het voorkomen van frauduleuze boekhouding en financiële praktijken bij beursgenoteerde bedrijven. Aangenomen in 2002 in de nasleep van een reeks van corporate schandalen en het barsten van de dot-com zeepbel, Sarbanes-Oxley opgelegd een aantal rapportage, boekhouding, en het bewaren van gegevens mandaten om ervoor te zorgen dat de zakelijke praktijken bij grote bedrijven blijven boven boord.,
hoewel veel bepalingen van Sarbanes-Oxley zich richten op financiële en boekhoudkundige zaken, is een juiste behandeling van bedrijfsgegevens de hoeksteen van vele aspecten van hoe de wet werkt—en dat heeft een enorme impact op het, waar we ons in dit artikel op zullen richten.
Wat is het doel van de Sarbanes-Oxley Act?de Sarbanes-Oxley Act is het resultaat van een reeks schandalen die rond de eeuwwisseling plaatsvonden., Verschillende beursgenoteerde bedrijven—Enron en WorldCom waren twee van de meest prominente boekhoudtrucjes, shell-bedrijven en andere frauduleuze technieken om bedrijfsverliezen voor het publiek te verbergen en de aandelenkoersen kunstmatig hoog te houden. Leidinggevenden en bestuursleden gebruikten dit bedrog om zichzelf te verrijken, uit te geven en investeerders te verlaten (en, in het geval van Enron, werknemers die waren aangespoord zetten hun pensioen in bedrijfsvoorraad) die de zak hielden toen het bedrog niet langer kon worden gehandhaafd en de aandelenkoers instortte.,deze schandalen ontstonden rond dezelfde tijd dat de aandelenkoersen van dot-com instortten, en hoewel geen van die internetbedrijven in een vroeg stadium fraude pleegde op een zo grote schaal als Enron, geloofden veel mensen dat ze de rapporten over hun verdienpotentieel hadden opgeblazen voorafgaand aan de aanvankelijk lucratieve beursintroducties, waardoor oprichters van bedrijven in wezen werden verrijkt ten koste van investeerders.de Sarbanes-Oxley Act legde een zware regeldruk op in een poging te voorkomen dat dit soort misbruik zich opnieuw zou voordoen., De wet heeft tot doel het gedrag van bedrijven te verbeteren door ervoor te zorgen dat bedrijven nauwkeurige gegevens over hun eigen financiën produceren en bewaren, en dat ze in staat zijn om die gegevens beschikbaar te stellen aan beleggers en toezichthouders in bijna realtime. Dat betekent voor IT dat enorme hoeveelheden bedrijfsgegevens uiterst nauwkeurig en absoluut veilig moeten worden bewaard—zowel tegen interne als externe bedreigingen—en dat ze op korte termijn beschikbaar moeten zijn voor auditors en beleggers.
op wie is Sarbanes-Oxley van toepassing?,een paar bepalingen van Sarbanes-Oxley zijn van toepassing op particuliere ondernemingen—de wet verbiedt dergelijke bedrijven om records te vernietigen om het onderzoek van een Federaal Agentschap te belemmeren, bijvoorbeeld, of om represailles te nemen tegen klokkenluiders. Echter, over het algemeen zijn de bepalingen van de wet die we hier gaan bespreken van toepassing op bedrijven waarvan de aandelen worden verhandeld op openbare effectenbeurzen, of die een beursintroductie organiseren om openbaar te worden. De datatransparantie die de wet voorschrijft is bedoeld om beleggers of potentiële beleggers te beschermen tegen het verkeerd beoordelen van de financiën van een bedrijf als gevolg van manipulatie door insiders.,
Sarbanes-Oxley provisions
Sarbanes-Oxley provisions
De bepalingen van de Sarbanes-Oxley Act zijn onderverdeeld in genummerde secties. Laten we eens kijken naar de secties die het meest van belang zijn op het gebied van IT-en gegevensbeveiliging:
- sectie 302: openbare bedrijven moeten regelmatig rapporten indienen bij de Security and Exchange Commission. Top executives moeten persoonlijk instaan voor de informatie in deze rapporten en zijn verantwoordelijk voor het instellen van interne controles van de gegevens.,
- rubriek 404: de jaarlijkse financiële verslagen moeten een hoofdstuk bevatten over de interne controles waarin de doeltreffendheid ervan wordt beoordeeld; eventuele tekortkomingen bij deze controles moeten worden vermeld. Geregistreerde externe accountants moeten instaan voor de beoordeling van de interne controles door het management.
- sectie 409: elke wijziging van betekenis in de financiële omstandigheden of de bedrijfsactiviteiten van de vennootschap moet tijdig openbaar worden gemaakt.
- secties 802 en 906: dit zijn de secties die betrekking hebben op sancties., We zullen later in het artikel op de details ingaan, maar ze verbieden het wijzigen van documenten in een poging om een onderzoek te belemmeren en ook maken het illegaal voor iedereen om een misleidende of frauduleuze financiële verslag te certificeren.
van deze secties wordt 404 als het meest complexe en belastende beschouwd. Niet alleen moeten technische systemen worden opgezet om de integriteit en bescherming van de gegevens te behouden, maar ook moeten bedrijfsmanagement en externe auditors regelmatig de effectiviteit van deze systemen beoordelen en documenteren.,
Sarbanes-Oxley requirements
dat zijn een heleboel Bepalingen om te verwerken, en je moet diep graven in de specifieke mandaten die ze opleggen. Maar hier is een samenvatting op hoog niveau van wat de wet vereist dat de moeite waard is om in gedachten te houden als een 10,000-foot view:
alle toepasselijke bedrijven moeten een financieel boekhoudingskader opzetten dat financiële rapporten kan genereren die gemakkelijk verifieerbaar zijn met traceerbare brongegevens. Deze brongegevens moeten intact blijven en kunnen geen ongedocumenteerde herzieningen ondergaan., Bovendien moeten alle herzieningen van financiële of boekhoudsoftware volledig worden gedocumenteerd over wat er is veranderd, waarom, door wie en wanneer.
u zult hier elementen van de CIA triad en zijn varianten herkennen. In het bijzonder moet de integriteit van gegevens worden beschermd, gegevens moeten beschikbaar zijn voor degenen die het nodig hebben, en niet-afwijzing moet worden afgedwongen om ervoor te zorgen dat het mogelijk is om te weten wie gegevens heeft gemaakt of gewijzigd.
Sarbanes-Oxley controls
de middelen waarmee de Sarbanes-Oxley-eisen binnen een organisatie worden geïmplementeerd, worden controles genoemd., Een controle in deze context is een interne regel die bedoeld is om binnen een cyclus van financiële verslaggeving fouten of fouten te voorkomen of op te sporen.
Sarbanes-Oxley eist dat controles in een bedrijf worden uitgevoerd. De Varonis blog geeft enkele specifieke voorbeelden van de soorten regels die onderzocht zouden worden als onderdeel van een Sarbanes-Oxley audit procedure:
- Toegang: u hebt regels nodig die zowel fysieke toegang tot uw kantoren en papieren bestanden en elektronische toegang tot uw gegevens omvatten., De wet verplicht een minst tolerante toegangsmodel, waarbij werknemers alleen toegang hebben die zo uitgebreid is als nodig is om hun werk te doen, maar niet uitgebreider dan dat.
- gegevensback-up: financiële records moeten offsite worden geback-upt op een manier die door de wet is bepaald.
- beveiliging: U hebt een set regels nodig die aantonen dat u uw gegevens hebt beschermd tegen inbreuken, hoewel de implementatie binnen redelijke grenzen aan uw discretie wordt overgelaten.,
- Change management: U hebt gedefinieerde procedures nodig voor het toevoegen of wijzigen van de databases en software die uw bedrijfsfinanciën beheren, evenals het toevoegen van nieuwe gebruikers aan uw systemen.
u zult merken dat deze besturingselementen op abstracte manieren worden beschreven. In het algemeen, controles worden uiteengezet in termen van wat ze doen (of te voorkomen), en het is aan het om erachter te komen hoe ze te implementeren., De regels voor elektronische toegang kunnen bijvoorbeeld de functiebenamingen identificeren waarvan de houders de interne financiële gegevens van een bedrijf mogen wijzigen, maar het is aan de IT-afdeling van het bedrijf om ervoor te zorgen dat de juiste personen de juiste machtigingen hebben op de relevante systemen om dit te doen (of worden verhinderd).
Dit levert duidelijk veel werk op, en heeft misschien niet verwonderlijk een huisnijverheid van voorgeschreven softwarepakketten gecreëerd om gestandaardiseerde Sarbanes-Oxley-controles te helpen implementeren.,deze mandaten door het nemen van de volgende stappen, zoals samengevat in de Varonis blog:
- Ceo ’s en Cfo’ s moeten de verantwoordelijkheid nemen voor de financiële verslaglegging en interne controle
- Een interne controle moet een verslag worden opgesteld dat duurt een eerlijke blik op het bedrijf van de controles
- Formele beveiliging van de gegevens van het beleid moet worden opgesteld en consequent worden toegepast, en een data security strategie ontwikkeld moet worden
- Alle compliance stappen moeten worden opgenomen en voortdurend gedocumenteerde
dit Alles neemt veel werk van de kant van bedrijven, en veel kijk voor hulp bij het doen van het., Een organisatie die middelen biedt is het Comité van sponsorende organisaties van de Treadway Commission, of COSO. COSO werd in 1985 opgericht om bedrijfsfraude te helpen bestrijden en handhaaft al jaren een kader voor interne controles dat bedrijven kunnen volgen om de beste fraudebestrijdingsmethoden te implementeren. De meest recente herziening, die dateert uit 2013, beschrijft specifiek hoe het U kan helpen om Sarbanes-Oxley compliance te bereiken.,nce checklist geeft u een snel gevoel van alles wat je nodig hebt om te dekken:
- het Voorkomen van geknoei met gegevens
- Record tijdlijnen voor de belangrijkste activiteiten
- Bouw verifieerbare controles om toegang te registreren
- Testen, controleren, en openbaar te waarborgen van de accountant
- Rapporteren over de effectiviteit van de waarborgen
- het Detecteren van inbreuken op de beveiliging
- Onthullen inbreuken op de beveiliging en het falen van de beveiliging controles van de accountant
RSI security heeft een meer diepgaande blik op wat u moet doen wanneer geconfronteerd met een van de Sarbanes-Oxley compliance audit die heeft veel leuke details.,
Sarbanes-Oxley penalty ‘s
Sarbanes—Oxley penalty’ s kunnen zeer ernstig zijn-en, BELANGRIJK, ze gelden voor personen die direct bij bedrijven een machtspositie bekleden, niet alleen voor bedrijven als instellingen. Terwijl corporate officers ten onrechte aftekenen van onjuiste rapporten kan worden gestraft voor het, de slechtste behandeling is gereserveerd voor opzettelijke fraude. Bijvoorbeeld, een CEO of CFO die bewust certificeert een rapport dat de wet schendt kan worden beboet tot $ 5 miljoen dollar of naar de gevangenis voor maximaal 20 jaar.,
Sarbanes-Oxley Act: Cases and examples
Er zijn zeker gevallen waarin de Amerikaanse federale overheid de wapens gebruikt die Sarbanes-Oxley levert. Zo werden in 2003, niet lang nadat de wet werd aangenomen, werknemers van Ernst & Young gearresteerd voor het vernietigen van documenten met betrekking tot een van hun cliënten. in 2014 diende de FEC aanklachten in tegen de CEO en CFO van een computerbedrijf in Florida voor het misleiden van auditors over de staat van hun interne controles.,maar in de praktijk zien sommigen Sarbanes-Oxley als een gemiste kans als het gaat om het vervolgen van bedrijfsfraude. Zelfs wanneer financiële rapporten frauduleus blijken te zijn, kan het moeilijk zijn om aan te tonen dat CEO ’s en CFO’ s van de fraude op de hoogte waren toen ze de rapporten ondertekenden—en als aanklagers daar sterk bewijs van hebben, kunnen ze het bewijs bijna altijd gebruiken om nog zwaardere fraudeaanklachten in te dienen die geen deel uitmaken van de Sarbanes-Oxley suite van opties., Toch zegt rechtsprofessor Peter Henning dat de wet een positief effect heeft gehad als afschrikmiddel: het is vastgesteld dat ” boekhoudkundige trucjes niet meer getolereerd zullen worden.”Hopelijk voelt dat alsof de strijd voor certificering de moeite waard is.