Sarbanes-Oxley Act: Resumo e definição
A Lei Sarbanes-Oxley (por vezes referido como a SOA, Sarbox ou SOX) é uma lei nos EUA para proteger os investidores, impedindo contabilísticas fraudulentas e de práticas financeiras em empresas de capital aberto. Aprovada em 2002 na sequência de uma série de escândalos corporativos e o estouro da bolha dot-com, Sarbanes-Oxley impôs uma série de mandatos de relatórios, contabilidade e retenção de dados para garantir que as práticas de negócios nas grandes empresas permanecem acima do Conselho.,enquanto muitos Sarbanes-Oxley provisions centram em questões financeiras e contábeis, o tratamento adequado dos dados corporativos é a pedra angular para muitos aspectos de como a lei funciona—e isso tem um enorme impacto sobre ele, que vamos focar neste artigo.Qual é o objectivo da Lei Sarbanes-Oxley?
a Lei Sarbanes-Oxley é um produto de uma série de escândalos que ocorreram na virada do Milênio., Várias empresas negociadas publicamente-Enron e WorldCom foram duas das mais proeminentes—usadas artimanhas de contabilidade, empresas fictícias, e outras técnicas fraudulentas para esconder perdas de negócios do público e manter os preços das ações artificialmente altos. Executivos e membros do Conselho de administração usaram este engano para enriquecer-se, levantando e deixando os investidores (e, no caso da Enron, os funcionários que tinham sido instados a colocar sua aposentadoria em ações da empresa) segurando o saco quando o engano não podia mais ser mantido e o preço das ações caiu.,
Esses escândalos organizadas em torno do mesmo tempo, dot-com preços de ações entrou em colapso, e enquanto nenhum desses fase inicial de empresas de internet que a fraude perpetrada em uma escala tal como a Enron, muitas pessoas acreditavam que eles tinham inflacionado relatórios de seu potencial de ganhos com antecedência de, inicialmente, lucrativo IPOs, essencialmente, enriquecendo fundadores da empresa, em detrimento dos investidores.a Lei Sarbanes-Oxley impôs um pesado fardo regulamentar numa tentativa de impedir que estes abusos se repetissem., A lei visa melhorar o comportamento corporativo, garantindo que as empresas produzam e retenham dados precisos sobre suas próprias finanças, e que elas sejam capazes de disponibilizar esses dados aos investidores e reguladores em tempo quase real. Para isso, isso significa que enormes quantidades de dados empresariais têm de ser mantidos meticulosamente exactos e absolutamente seguros—tanto a nível interno como externo—e têm de estar à disposição de Auditores e investidores num curto espaço de tempo.a quem se aplica Sarbanes-Oxley?,algumas disposições de Sarbanes-Oxley se aplicam a empresas privadas – a lei proíbe tais empresas de destruir registros para impedir a investigação de uma agência federal, por exemplo, ou de retaliar contra os denunciantes. No entanto, de um modo geral, as disposições da lei que vamos discutir aqui aplicam-se a empresas cujas acções são negociadas em bolsas de valores públicas, ou que estão a montar uma OPI para tornar público. A transparência dos dados que a lei determina destina-se a proteger os investidores ou potenciais investidores de avaliarem mal as finanças de uma empresa devido à manipulação por iniciados.,Sarbanes-Oxley disposições Sarbanes-Oxley disposições Sarbanes-Oxley disposições Sarbanes-Oxley disposições Sarbanes-Oxley Vamos dar uma olhada nas seções de maior interesse em termos de TI e segurança de dados:
- secção 302: as empresas públicas precisam registrar relatórios regulares com a Comissão de segurança e intercâmbio. Os executivos de topo devem atestar pessoalmente as informações contidas nesses relatórios e são responsáveis pelo estabelecimento de controles internos de dados.,secção 404: os relatórios financeiros anuais devem incluir uma secção sobre os controlos internos que avaliam a sua eficácia; quaisquer deficiências detectadas nesses controlos devem ser divulgadas. Os auditores externos registados devem atestar a avaliação dos controlos internos pela Direcção.secção 409: quaisquer alterações significativas das condições financeiras ou das operações da empresa devem ser divulgadas ao público em tempo útil.secções 802 e 906: estas são as secções que tratam das sanções., Nós vamos entrar nos detalhes mais tarde no artigo, mas eles proíbem alterar documentos em uma tentativa de impedir uma investigação e também torná-lo ilegal para qualquer um certificar um relatório financeiro enganoso ou fraudulento.
destas secções, 404 é considerado o mais complexo e oneroso. Não só devem ser criados sistemas técnicos elaborados para manter a integridade e a protecção dos dados, como a gestão das empresas e os auditores externos devem avaliar e documentar regularmente a eficácia desses sistemas.,os requisitos de Sarbanos-Oxley são muitas disposições para digerir, e você terá de investigar profundamente os mandatos específicos que impõem. Mas aqui está um resumo de alto nível do que a lei exige que vale a pena ter em mente como uma visão de 10 mil pés:
todas as empresas aplicáveis devem estabelecer um quadro de contabilidade financeira que pode gerar relatórios financeiros que são facilmente verificáveis com dados de fonte rastreáveis. Estes dados de base devem permanecer intactos e não podem ser objecto de revisões não documentadas., Além disso, quaisquer revisões de software financeiro ou contabilístico devem ser totalmente documentadas sobre o que foi alterado, porquê, por quem e quando.
reconhecerá elementos da tríade da CIA e suas variantes. Em particular, a integridade dos dados deve ser protegida, os dados devem estar disponíveis para aqueles que precisam deles, e o não-repúdio deve ser imposto para garantir que é possível saber quem criou ou alterou os dados.
Sarbanes-Oxley controla
os meios pelos quais os requisitos Sarbanes-Oxley são implementados dentro de uma organização são referidos como controlos., Um Controlo Neste contexto é uma regra interna destinada a prevenir ou detectar erros ou irregularidades num ciclo de Relato Financeiro.Sarbanes-Oxley manda que os controles sejam implementados em uma empresa. O Varonis blog dá alguns exemplos específicos de tipos de regras que poderia ser investigado como parte da lei Sarbanes-Oxley procedimento de auditoria:
- Acesso: Você precisa ter regras que abrangem tanto o acesso físico aos escritórios e arquivos em papel e eletrônicos de acesso aos seus dados., A lei exige um modelo de acesso menos permissivo, sob o qual os funcionários só têm acesso que é tão extenso quanto necessário para fazer o seu trabalho, mas não mais extenso do que isso.backup de dados: os registos financeiros devem ser suportados fora do local de forma definida pela lei.segurança: você precisará de um conjunto de regras que demonstrem que você protegeu seus dados contra falhas, embora a implementação seja deixada ao seu critério dentro de limites razoáveis.,
- Gestão de alterações: terá de definir procedimentos para adicionar ou alterar as bases de dados e software que gerem as suas finanças empresariais, bem como adicionar novos utilizadores aos seus sistemas.
irá notar que estes controlos são descritos de forma abstracta. Em geral, os controles são definidos em termos do que eles fazem (ou impedem), e cabe a ele descobrir como implementá-los., Por exemplo, as regras de acesso eletrônico podem identificar os títulos de trabalho cujos titulares estão autorizados a modificar os dados financeiros internos de uma empresa, mas caberá ao departamento de TI da empresa para se certificar de que os indivíduos corretos têm as permissões adequadas nos sistemas relevantes para fazê-lo (ou ser impedidos de fazê-lo).isto obviamente gera muito trabalho, e talvez não surpreendentemente criou uma indústria caseira de pacotes de software pré-escritos para ajudar a implementar controles padronizados de Sarbanes-Oxley.,estes mandatos, tomando as seguintes etapas, conforme resumido na Varonis blog:
- CEOs e CFOs devem assumir a responsabilidade de relatórios financeiros e controles internos
- controle interno relatório deve ser elaborado que leva um olhar honesto para a empresa controla
- Formal de políticas de segurança de dados devem ser elaborados e aplicados de forma consistente, e um segurança de dados estratégia deve ser desenvolvida
- Tudo de conformidade deve ser gravada e continuamente documentado
Tudo isso tem um monte de trabalho por parte das empresas, e muitos olham para ajudar a fazê-lo., Uma organização que oferece recursos é o Comitê de patrocínio de organizações da Comissão Treadway, ou COSO. Formada em 1985 para ajudar a combater a fraude corporativa, a COSO tem mantido por anos um quadro de controles internos que as empresas podem seguir para implementar as melhores práticas anti-fraude. A revisão mais recente, que data de 2013, descreve especificamente como ele pode ajudá-lo a alcançar a conformidade Sarbanes-Oxley.,nce lista de verificação que lhe dá um sentido de tudo o que você vai precisar para cobrir:
- Impedir a adulteração de dados
- Registro de cronogramas para atividades-chave
- Criar verificáveis, que controla a faixa de acesso
- Testar, verificar, e divulgar salvaguardas para os auditores
- Relatório sobre a eficácia das salvaguardas
- Detectar violações de segurança
- Divulgar as violações de segurança e falhas de controles de segurança para contas
RSI de segurança tem um olhar mais aprofundado no que você precisa fazer quando confrontados com uma lei Sarbanes-Oxley de auditoria de conformidade, que tem muitos grandes detalhes.,as sanções Sarbanes-Oxley podem ser muito graves e, o que é importante, aplicam-se a indivíduos em posições de poder nas empresas directamente, não apenas às empresas como instituições. Enquanto oficiais corporativos erroneamente assinam relatórios errôneos podem ser punidos por isso, o pior tratamento é reservado para fraudes deliberadas. Por exemplo, um CEO ou CFO que conscientemente certifica um relatório que viola o ato pode ser multado até US $5 milhões de dólares ou enviado para a prisão por até 20 anos.,
Sarbanes-Oxley Act: Casos e exemplos
definitivamente, Existem ocasiões em que o governo federal dos EUA usa as armas que a Sarbanes-Oxley oferece. Por exemplo, em 2003, pouco depois da lei ser aprovada, funcionários da Ernst & Young foram presos por destruir documentos pertencentes a um de seus clientes. em 2014, a FEC apresentou acusações contra o CEO e CFO de uma empresa de computadores da Flórida por auditores enganosos sobre o estado de seus controles internos.,mas na prática, alguns vêem Sarbanes-Oxley como uma oportunidade perdida quando se trata de processar fraudes corporativas. Mesmo quando os relatórios financeiros podem ser mostrados como fraudulentos, pode ser difícil provar que os directores executivos e os CFOs sabiam da fraude quando assinaram os relatórios—e se os promotores têm fortes provas disso, quase sempre podem usar as provas para apresentar acusações de fraude ainda mais duras que não fazem parte do conjunto de opções Sarbanes-Oxley., Ainda assim, o professor de direito Peter Henning diz que a lei teve um efeito positivo como um dissuasor: é estabelecido que “esquemas de contabilidade não serão mais tolerados.”Esperemos que isso o faça sentir que a luta pela certificação vale a pena.