Sarbanes-Oxley Act: Summary and definition
the Sarbanes-Oxley Act (czasami określane jako SOA, Sarbox, lub SOX) to amerykańskie prawo do ochrony inwestorów poprzez zapobieganie nieuczciwym praktykom księgowym i finansowym w spółkach publicznych. Firma Sarbanes-Oxley, przyjęta w 2002 roku w wyniku serii skandali korporacyjnych i pęknięcia bańki dot-com, nałożyła szereg mandatów sprawozdawczych, księgowych i zatrzymywania danych, aby zapewnić, że praktyki biznesowe w dużych firmach pozostaną ponad zarządem.,
podczas gdy wiele przepisów Sarbanes-Oxley centrum w sprawach finansowych i księgowych, właściwe traktowanie danych korporacyjnych jest kamieniem węgielnym dla wielu aspektów funkcjonowania prawa—i to ma ogromny wpływ na to, że będziemy skupić się na tym artykule.
jaki jest cel ustawy Sarbanes-Oxley?
ustawa Sarbanesa-Oxleya jest produktem serii skandali, które miały miejsce na przełomie tysiącleci., Kilka spółek notowanych na giełdzie-Enron i WorldCom – było dwoma z najbardziej znanych—stosowało oszustwa księgowe, korporacje fasadowe i inne nieuczciwe techniki, aby ukryć straty biznesowe przed społeczeństwem i sztucznie utrzymać ceny akcji. Menedżerowie i członkowie zarządu wykorzystali to oszustwo, aby się wzbogacić, spieniężając i zostawiając inwestorów (a w przypadku Enrona, pracowników, którzy zostali wezwani do przejścia na emeryturę) trzymających torbę, gdy oszustwo nie mogło być dłużej utrzymywane i cena akcji upadła.,
skandale te rozeszły się w tym samym czasie, gdy ceny akcji dot-com upadły i chociaż żadna z tych wczesnych firm internetowych nie popełniła oszustw na taką skalę, jak Enron, Wiele osób wierzyło, że zawyżyły raporty o ich potencjale zarobkowym przed początkowo lukratywnymi Debiutami, zasadniczo wzbogacając założycieli firmy kosztem inwestorów.
ustawa Sarbanesa-Oxleya nałożyła duże obciążenia regulacyjne, próbując zapobiec ponownym tego rodzaju nadużyciom., Ustawa ma na celu poprawę zachowań korporacyjnych poprzez upewnienie się, że firmy produkują i przechowują dokładne dane o własnych finansach oraz że są w stanie udostępnić te dane inwestorom i regulatorom w czasie zbliżonym do rzeczywistego. Oznacza to, że ogromne ilości danych korporacyjnych muszą być skrupulatnie dokładne i absolutnie bezpieczne—zarówno przed zagrożeniami wewnętrznymi, jak i zewnętrznymi—i muszą być dostępne dla audytorów i inwestorów w krótkim czasie.
do kogo stosuje się Sarbanes-Oxley?,
kilka przepisów Sarbanes-Oxley stosuje się do firm prywatnych—prawo zabrania takim firmom niszczenia dokumentacji, aby utrudnić na przykład dochodzenie agencji federalnej, lub odwetu przeciwko informatorom. Jednak zasadniczo przepisy prawa, które będziemy omawiać tutaj, mają zastosowanie do spółek, których akcje są przedmiotem obrotu na giełdach publicznych lub które składają ofertę publiczną. Przejrzystość danych, którą nakazuje prawo, ma na celu ochronę inwestorów lub potencjalnych inwestorów przed niewłaściwym ocenianiem finansów firmy z powodu manipulacji ze strony insiderów.,
przepisy Sarbanes-Oxley
przepisy Ustawy Sarbanes-Oxley są podzielone na ponumerowane sekcje. Przyjrzyjmy się sekcjom najbardziej interesującym pod względem bezpieczeństwa IT i danych:
- sekcja 302: firmy publiczne muszą składać regularne raporty z Komisją bezpieczeństwa i wymiany. Top menedżerowie muszą osobiście ręczyć za informacje zawarte w tych raportach i są odpowiedzialni za ustanowienie wewnętrznej kontroli danych.,
- sekcja 404: roczne sprawozdania finansowe muszą zawierać sekcję dotyczącą tych kontroli wewnętrznych oceniającą ich skuteczność; wszelkie niedociągnięcia wykryte w tych kontrolach muszą być ujawniane. Zarejestrowani audytorzy zewnętrzni muszą ręczyć za dokonaną przez kierownictwo ocenę kontroli wewnętrznych.
- sekcja 409: wszelkie istotne zmiany w warunkach finansowych lub działalności spółki muszą zostać podane do wiadomości publicznej w odpowiednim czasie.
- sekcje 802 i 906: są to sekcje, które dotyczą kar., Przejdziemy do szczegółów w dalszej części artykułu, ale zabraniają one zmiany dokumentów w celu utrudnienia dochodzenia, a także sprawiają, że poświadczenie wprowadzającego w błąd lub oszukańczego raportu finansowego jest nielegalne.
z tych sekcji 404 jest uważany za najbardziej złożony i najbardziej uciążliwy. Konieczne jest nie tylko stworzenie rozbudowanych systemów technicznych w celu zachowania integralności i ochrony danych, ale także regularne ocenianie i dokumentowanie skuteczności tych systemów przez kierownictwo przedsiębiorstwa i zewnętrznych audytorów.,
wymagania Sarbanes-Oxley
To Jest wiele przepisów do przetrawienia, a trzeba będzie zagłębić się w konkretne mandaty, które nakładają. Ale oto podsumowanie wysokiego poziomu tego, co wymaga prawo, które warto pamiętać jako widok 10,000 stóp:
wszystkie obowiązujące firmy muszą ustanowić ramy rachunkowości finansowej, które mogą generować raporty finansowe, które są łatwo weryfikowalne z identyfikowalnymi danymi źródłowymi. Te dane źródłowe muszą pozostać nienaruszone i nie mogą być poddawane nieudokumentowanym korektom., Ponadto wszelkie zmiany w oprogramowaniu finansowym lub księgowym muszą być w pełni udokumentowane, co zostało zmienione, dlaczego, przez kogo i kiedy.
poznasz tu elementy triady CIA i jej warianty. W szczególności integralność danych musi być chroniona, dane muszą być dostępne dla tych, którzy ich potrzebują, a nie odrzucenie musi być egzekwowane, aby upewnić się, że można wiedzieć, kto stworzył lub zmienił dane.
Sarbanes-Oxley controls
środki, za pomocą których wymagania Sarbanes-Oxley są wdrażane w organizacji, są określane jako controls., Kontrola w tym kontekście to wewnętrzna zasada mająca na celu zapobieganie błędom lub nadużyciom lub ich wykrywanie w ramach cyklu sprawozdawczości finansowej.
Sarbanes-Oxley Blog Varonis podaje kilka konkretnych przykładów reguł, które byłyby badane w ramach procedury audytu Sarbanes-Oxley:
- dostęp: musisz mieć reguły, które obejmują zarówno fizyczny dostęp do biur i plików papierowych, jak i elektroniczny dostęp do Twoich danych., Prawo nakazuje najmniej permisywny model dostępu, zgodnie z którym pracownicy mają dostęp tylko tak rozległy, jak jest to konieczne do wykonywania ich pracy, ale nie bardziej rozległy niż to.
- kopia zapasowa danych: dokumentacja finansowa musi być archiwizowana poza siedzibą w sposób określony przez prawo.
- bezpieczeństwo: będziesz potrzebował zestawu reguł, które pokazują, że chroniłeś swoje dane przed naruszeniami, chociaż implementacja jest pozostawiona według twojego uznania w rozsądnych granicach.,
- Zarządzanie zmianami: musisz mieć zdefiniowane procedury dodawania lub zmiany baz danych i oprogramowania, które zarządzają finansami Twojej firmy, a także dodawania nowych użytkowników do systemów.
zauważysz, że te kontrolki są opisane w abstrakcyjny sposób. Ogólnie rzecz biorąc, kontrole są opisane pod kątem tego, co robią (lub zapobiegają), i to do niego należy dowiedzieć się, jak je wdrożyć., Na przykład przepisy dotyczące dostępu elektronicznego mogą określać stanowiska pracy, których posiadacze mogą modyfikować wewnętrzne dane finansowe firmy, ale do działu IT firmy należy upewnienie się, że właściwe osoby mają odpowiednie uprawnienia do tego (lub nie mogą tego zrobić).
to oczywiście wymaga dużo pracy i może nie dziwi, że stworzył branżę pakietów oprogramowania prepisanych, aby pomóc w implementacji standaryzowanych sterowników Sarbanes-Oxley.,hese upoważnia hese do podjęcia następujących kroków, jak podsumowano na blogu Varonis:
- prezesi i dyrektorzy finansowi muszą wziąć odpowiedzialność za sprawozdawczość finansową i kontrole wewnętrzne
- należy sporządzić raport z kontroli wewnętrznej, który pozwoli rzetelnie przyjrzeć się kontrolom firmy
- należy opracować i konsekwentnie egzekwować formalne zasady bezpieczeństwa danych oraz opracować strategię bezpieczeństwa danych
- wszystkie kroki zgodności muszą być rejestrowane i stale dokumentowane
wszystko to wymaga dużo pracy ze strony firm, a wiele osób szuka w tym pomocy., Jedną z organizacji, która oferuje zasoby, jest Komitet Organizacji sponsorujących Treadway Commission lub COSO. Założona w 1985 roku, aby pomóc w walce z oszustwami korporacyjnymi, COSO od lat utrzymuje ramy kontroli wewnętrznej, które firmy mogą stosować w celu wdrożenia najlepszych praktyk zwalczania nadużyć finansowych. Najnowsza wersja, która pochodzi z 2013 roku, szczegółowo opisuje, w jaki sposób może pomóc osiągnąć zgodność Sarbanes-Oxley.,Lista kontrolna nce, która daje szybkie poczucie wszystkiego, czego potrzebujesz, aby pokryć:
- Zapobiegaj manipulowaniu danymi
- Rekorduj terminy kluczowych działań
- buduj weryfikowalne kontrole w celu śledzenia dostępu
- Testuj, Weryfikuj i ujawniaj zabezpieczenia audytorom
- raport na temat skuteczności zabezpieczeń
- wykrywaj naruszenia bezpieczeństwa
- Ujawnij naruszenia bezpieczeństwa i niepowodzenia kontroli bezpieczeństwa audytorom
RSI Security ma bardziej dogłębne spojrzenie na to, co musisz zrobić, gdy masz do czynienia z audytem zgodności Sarbanes-Oxley, który zawiera wiele wspaniałych szczegółów.,
kary Sarbanes-Oxley
kary Sarbanes-Oxley mogą być dość poważne—i, co ważne, dotyczą one osób na stanowiskach władzy w firmach bezpośrednio, a nie tylko firm jako instytucji. Podczas gdy funkcjonariusze korporacyjni omyłkowo podpisujący się na błędnych raportach mogą zostać za to ukarani, najgorsze traktowanie zarezerwowane jest dla celowego oszustwa. Na przykład dyrektor generalny lub dyrektor finansowy, który świadomie poświadcza zgłoszenie, które narusza ustawę, może zostać ukarany grzywną do 5 milionów dolarów lub wysłany do więzienia na okres do 20 lat.,
Sarbanes-Oxley Act: przypadki i przykłady
są zdecydowanie okazje, gdy rząd federalny USA używa broni, którą zapewnia Sarbanes-Oxley. Na przykład w 2003 r., niedługo po przyjęciu ustawy, pracownicy Ernst & Young zostali aresztowani za niszczenie dokumentów dotyczących jednego z ich klientów. w 2014 FEC wniósł zarzuty przeciwko CEO i CFO firmy komputerowej z Florydy za wprowadzenie w błąd audytorów w zakresie stanu ich kontroli wewnętrznej.,
ale w praktyce niektórzy postrzegają Sarbanes-Oxley jako zmarnowaną okazję, jeśli chodzi o ściganie oszustw korporacyjnych. Nawet jeśli sprawozdania finansowe mogą być uznane za nieuczciwe, może być trudno udowodnić, że prezesi i dyrektorzy finansowi wiedzieli o oszustwie, gdy podpisywali raporty—a jeśli prokuratorzy mają na to mocne dowody, prawie zawsze mogą wykorzystać dowody do złożenia jeszcze bardziej surowych zarzutów o oszustwo, które nie są częścią pakietu opcji Sarbanes-Oxley., Jednak profesor prawa Peter Henning mówi, że prawo miało pozytywny skutek odstraszający: ustalono, że ” oszustwa księgowe nie będą już tolerowane.”Mam nadzieję, że to sprawi, że poczujesz, że walka o certyfikację jest tego warta.