Legea Sarbanes-Oxley: rezumat și definiție
Legea Sarbanes-Oxley (uneori denumită SOA, Sarbox sau SOX) este o lege americană pentru a proteja investitorii prin prevenirea contabilității frauduloase și a practicilor financiare la companiile tranzacționate public. Trecut în 2002 în urma unei serii de scandaluri corporative și izbucnirea bulei dot-com, Sarbanes-Oxley a impus o serie de mandate de raportare, contabilitate și păstrare a datelor pentru a se asigura că practicile de afaceri la marile companii rămân deasupra bordului.,în timp ce multe prevederi Sarbanes-Oxley se concentrează pe probleme financiare și contabile, tratamentul adecvat al datelor corporative este piatra de temelie a multor aspecte ale modului în care funcționează legea—și asta are un impact enorm asupra acesteia, pe care ne vom concentra în acest articol.
care este scopul Legii Sarbanes-Oxley?
Actul Sarbanes-Oxley este un produs al unei serii de scandaluri care au avut loc la începutul mileniului., Mai multe companii cotate la bursă—Enron și WorldCom au fost două dintre cele mai proeminente—utilizate trucuri contabile, corporații shell și alte tehnici frauduloase pentru a ascunde pierderile de afaceri de la public și pentru a menține prețurile acțiunilor în mod artificial ridicate. Directorii și membrii consiliului de administrație a folosit această înșelăciune a se îmbogăți, de a încasa și lăsând investitorii (și, în Enron caz, angajații care au fost îndemnate pus pensionare lor în societate pe acțiuni) exploatație punga atunci când înșelăciunea nu mai putea fi menținută și prețul acțiunilor s-a prăbușit.,
Aceste scandaluri derulată în jurul același timp, dot-com prețurile de vînzare s-a prăbușit, și în timp ce nici unul dintre cei stadiu incipient companii de internet frauda pe o scară ca Enron, mulți oameni au crezut că au umflat rapoartele lor potențial de câștig în avans inițial profitabil Ipo-uri, în esență, îmbogățindu-fondatorii companiei în detrimentul investitorilor.
Legea Sarbanes-Oxley a impus o povară grea de reglementare în încercarea de a preveni repetarea acestor abuzuri., Legea își propune să îmbunătățească comportamentul corporativ, asigurându-se că companiile produc și păstrează date exacte despre propriile finanțe și că pot pune aceste date la dispoziția investitorilor și autorităților de reglementare în timp aproape real. Pentru IT, aceasta înseamnă că cantități uriașe de date corporative trebuie păstrate meticulos exacte și absolut sigure—atât de amenințările interne, cât și de cele externe—și trebuie să fie disponibile auditorilor și investitorilor în termen scurt.
cui se aplică Sarbanes-Oxley?,
câteva prevederi ale Sarbanes-Oxley se aplică companiilor private-legea interzice acestor companii să distrugă înregistrările pentru a împiedica investigația unei agenții federale, de exemplu, sau să se răzbune împotriva avertizorilor. Cu toate acestea, în general, prevederile Legii pe care o vom discuta aici se aplică companiilor ale căror acțiuni sunt tranzacționate pe bursele publice sau care creează un IPO pentru a deveni publice. Transparența datelor pe care legea o impune este menită să protejeze investitorii sau potențialii investitori de judecarea greșită a finanțelor unei companii din cauza manipulării de către insideri.,
prevederile Sarbanes-Oxley
prevederile Legii Sarbanes-Oxley sunt împărțite în secțiuni numerotate. Să aruncăm o privire la secțiunile de cel mai mare interes în ceea ce privește IT și securitatea datelor:
- secțiunea 302: companiile publice trebuie să depună rapoarte periodice la Comisia de securitate și schimb. Directorii executivi trebuie să garanteze personal informațiile conținute în aceste rapoarte și sunt responsabili pentru stabilirea controalelor interne ale datelor.,
- secțiunea 404: rapoartele financiare anuale trebuie să includă o secțiune privind respectivele controale interne care să evalueze eficacitatea acestora; orice deficiențe constatate în respectivele controale trebuie să fie dezvăluite. Auditorii externi înregistrați trebuie să garanteze evaluarea controalelor interne de către conducere.
- secțiunea 409: orice schimbări semnificative în condițiile financiare sau operațiunile companiei trebuie să fie făcute publice în timp util.
- secțiunile 802 și 906: acestea sunt secțiunile care se ocupă de sancțiuni., Vom intra în detalii mai târziu în articol, dar interzic modificarea documentelor în încercarea de a împiedica o anchetă și, de asemenea, face ilegal pentru oricine să certifice un raport financiar înșelător sau fraudulos.dintre aceste secțiuni, 404 este considerat cel mai complex și mai oneros. Nu numai că trebuie elaborate sisteme tehnice pentru a menține integritatea și protecția datelor, dar conducerea companiei și auditorii externi trebuie să evalueze și să documenteze în mod regulat eficacitatea acestor sisteme.,
Sarbanes-Oxley cerințe
acestea sunt o mulțime de dispoziții pentru a digera, și va trebui să sape adânc în mandatele specifice pe care le impun. Dar aici este un rezumat a ceea ce legea prevede că este în valoare de păstrarea în minte ca un 10.000 de metri vedere:
aplicabile Toate companiile trebuie să stabilească o contabilitate financiară-cadru, care poate genera rapoarte financiare, care sunt ușor verificabile cu urmărite de sursă de date. Aceste date sursă trebuie să rămână intacte și nu pot fi supuse unor revizuiri nedocumentate., În plus, orice revizuiri ale software-ului financiar sau contabil trebuie să fie complet documentate cu privire la ceea ce a fost schimbat, de ce, de cine și când.
veți recunoaște aici elemente ale triadei CIA și ale variantelor sale. În special, integritatea datelor trebuie să fie protejată, datele trebuie să fie disponibile pentru cei care au nevoie de ea, și non-repudiere trebuie să fie puse în aplicare pentru a se asigura că este posibil să se știe cine a creat sau a modificat datele.
Sarbanes-Oxley controale
mijloacele prin care cerințele Sarbanes-Oxley sunt puse în aplicare în cadrul unei organizații sunt denumite controale., Un control în acest context este o regulă internă menită să prevină sau să detecteze erori sau disfuncționalități în cadrul unui ciclu de raportare financiară.Sarbanes-Oxley mandates că controalele să fie puse în aplicare într-o companie. La Varonis blog-ul oferă câteva exemple specifice de tipuri de norme care vor fi investigate, ca parte a unui Sarbanes-Oxley procedură de audit:
- Acces: va trebui să aibă norme care să acopere atât fizice de acces la birourile și fișierele de hârtie și electronic acces la datele dumneavoastră., Legea prevede un model de acces cel mai puțin permisiv, conform căruia angajații au acces doar atât de extins cât este necesar pentru a-și face treaba, dar nu mai extins decât atât.
- backup de date: înregistrările financiare trebuie să fie susținute offsite în moduri precizate de lege.
- securitate: veți avea nevoie de un set de reguli care să demonstreze că v-ați protejat datele împotriva încălcărilor, deși implementarea este lăsată la discreția dvs. în limite rezonabile.,
- Managementul modificărilor: va trebui să aveți proceduri definite pentru adăugarea sau modificarea bazelor de date și a software-ului care vă gestionează finanțele corporative, precum și adăugarea de noi Utilizatori în sistemele dvs.veți observa că aceste controale sunt descrise în moduri abstracte. În general, controalele sunt precizate în ceea ce privește ceea ce fac (sau împiedică) și depinde de el să-și dea seama cum să le pună în aplicare., De exemplu, regulile privind accesul electronic pot identifica titlurile de locuri de muncă ai căror deținători au dreptul să modifice datele financiare interne ale unei companii, dar va fi la latitudinea departamentului IT al companiei să se asigure că persoanele corecte au permisiunile corespunzătoare asupra sistemelor relevante pentru a face acest lucru (sau să fie împiedicate să facă acest lucru).acest lucru face, evident, pentru o mulțime de muncă, și a creat, probabil, deloc surprinzător o industrie cabana de pachete software prewritten pentru a ajuta la punerea în aplicare a controalelor Sarbanes-Oxley standardizate.,hese mandatele de a lua următoarele măsuri, ca rezumată în Varonis blog:
- Directori executivi și directori Financiari trebuie să-și asume responsabilitatea pentru raportarea financiară și de control intern
- Un control intern, raportul trebuie să fie elaborat, care să ia o privire cinstită la compania de control
- Formală politicilor de securitate a datelor trebuie să fie elaborate și aplicate în mod constant, și datele strategia de securitate trebuie să fie dezvoltate
- respectarea Tuturor pași trebuie să fie înregistrate și continuu documentate
Toate acestea necesită o mulțime de muncă pe partea de companii, si multi uita-te pentru a ajuta la a face aceasta., O organizație care oferă resurse este Comitetul organizațiilor sponsorizate ale Comisiei Treadway sau COSO. Format în 1985 pentru a ajuta la combaterea fraudei corporative, COSO a menținut ani de zile un cadru pentru controalele interne pe care companiile le pot urma pentru a implementa cele mai bune practici antifraudă. Cea mai recentă revizuire, care datează din 2013, descrie în mod specific modul în care vă poate ajuta să obțineți conformitatea Sarbanes-Oxley.,nce lista de verificare, care vă oferă un sentiment rapid de tot ce ai nevoie pentru a acoperi:
- a Preveni manipularea frauduloasă a datelor
- Record termenele pentru activitățile cheie
- de a Construi verificabile de control pentru a urmări de acces
- Testare, verificare, și să prezinte garanții de conturi
- Raport privind eficacitatea măsurilor de protecție
- Detecta încălcări de securitate
- Dezvăluie breșe de securitate și eșecul actualizărilor de securitate pentru conturi
RSI de securitate are un aspect mai în profunzime la ceea ce trebuie să facă atunci când se confruntă cu o Sarbanes-Oxley audit de conformitate, care are o mulțime de detalii mari.,sancțiunile Sarbanes-Oxley pot fi destul de grave—și, mai important, se aplică persoanelor aflate în poziții de putere la companii direct, nu doar companiilor ca instituții. În timp ce ofițerii corporativi care semnează în mod eronat rapoarte eronate pot fi pedepsiți pentru aceasta, cel mai rău tratament este rezervat fraudei deliberate. De exemplu, un CEO sau CFO care certifică cu bună știință un raport care încalcă actul poate fi amendat cu până la 5 milioane de dolari sau trimis la închisoare timp de până la 20 de ani.,
Sarbanes-Oxley Act: cazuri și exemple
există cu siguranță ocazii când guvernul federal al SUA folosește armele pe care Sarbanes-Oxley le oferă. De exemplu, în 2003, nu după mult timp după adoptarea legii, angajații Ernst & Young au fost arestați pentru distrugerea documentelor referitoare la unul dintre clienții lor. în 2014, FEC a adus acuzații împotriva CEO – ului și CFO-ului unei companii de calculatoare din Florida pentru auditorii înșelători cu privire la starea controalelor lor interne.,dar, în practică, unii văd Sarbanes-Oxley ca o oportunitate ratată atunci când vine vorba de urmărirea fraudei corporative. Chiar și atunci când rapoartele financiare se pot dovedi a fi frauduloase, poate fi dificil să se demonstreze că directorii generali și directorii financiari știau despre fraudă atunci când au semnat rapoartele—și dacă procurorii au dovezi puternice în acest sens, aproape întotdeauna pot folosi dovezile pentru a depune acuzații de fraudă și mai dure, care nu fac parte din suita de opțiuni Sarbanes-Oxley., Totuși, legea profesorul Peter Henning, spune că legea a avut un efect pozitiv ca un factor de descurajare: s-a stabilit că „contabilitate situațiile comice nu vor fi tolerate.”Sperăm că asta te face să simți că lupta pentru certificare merită.