Sarbanes-Oxley Act: sammanfattning och definition
Sarbanes-Oxley Act (ibland kallad SOA, Sarbox eller SOX) är en amerikansk lag för att skydda investerare genom att förhindra bedräglig redovisning och finansiell praxis hos börsnoterade företag. Sarbanes-Oxley införde 2002 i kölvattnet av en serie företagsskandaler och sprickan av dot-com-bubblan, ett antal rapporterings -, bokförings-och datalagringsmandat för att säkerställa att affärspraxis hos stora företag förblir över styrelsen.,
medan många Sarbanes-Oxley provisions center om finansiella och redovisningsfrågor, är korrekt behandling av företagsdata hörnstenen i många aspekter av hur lagen fungerar—och det har en enorm inverkan på det, som vi kommer att fokusera på i den här artikeln.
vad är syftet med Sarbanes-Oxley Act?
Sarbanes-Oxley Act är en produkt av en serie skandaler som ägde rum runt millennieskiftet., Flera börsnoterade företag-Enron och WorldCom var två av de mest framstående använda bokföringstrickeriet, skalbolag och andra bedrägliga tekniker för att dölja affärsförluster från allmänheten och hålla aktiepriserna artificiellt höga. Chefer och styrelseledamöter använde denna bedrägeri för att berika sig, tjäna ut och lämna investerare (och i Enrons fall anställda som hade uppmanats att lägga sin pension i företagets lager) som höll påsen när bedrägeriet inte längre kunde upprätthållas och aktiekursen kollapsade.,
dessa skandaler rullade runt samtidigt dot-com-aktiekurserna kollapsade, och medan ingen av de tidiga internetbolagen begick bedrägeri på en sådan skala som Enron, trodde många att de hade uppblåsta rapporter om deras intjäningspotential före initialt lukrativa börsintroduktioner, vilket i huvudsak berikar företagets grundare på bekostnad av investerare.
Sarbanes-Oxley-lagen införde en tung regleringsbörda i ett försök att förhindra att dessa typer av missbruk händer igen., Lagen syftar till att förbättra företagens beteende genom att se till att företag producerar och behåller korrekta uppgifter om sina egna finanser, och att de kan göra dessa uppgifter tillgängliga för investerare och tillsynsmyndigheter i nära realtid. För det betyder det att stora mängder företagsdata måste hållas noggrant korrekta och absolut säkra—från både interna och externa hot—och måste vara tillgängliga för revisorer och investerare med kort varsel.
vem gäller Sarbanes-Oxley för?,
några bestämmelser i Sarbanes-Oxley gäller för privatägda företag—lagen förbjuder sådana företag att förstöra register för att hindra en federal byrås undersökning, till exempel, eller från vedergällning mot whistleblowers. Men i stort sett gäller bestämmelserna i lagen som vi diskuterar här för företag vars aktier handlas på offentliga börser, eller som sätter ihop en börsintroduktion för att bli offentlig. Den datatransparens som lagen föreskriver är avsedd att skydda investerare eller potentiella investerare från att missbedöma ett företags ekonomi på grund av manipulation av insiders.,
Sarbanes-Oxley provisions
bestämmelserna i Sarbanes-Oxley Act är uppdelade i numrerade sektioner. Låt oss ta en titt på de delar av mest intresse när det gäller IT och datasäkerhet:
- avsnitt 302: offentliga företag måste lämna regelbundna rapporter med Security and Exchange Commission. Toppchefer måste personligen garantera informationen i dessa rapporter och ansvarar för att upprätta interna kontroller av data.,
- avsnitt 404: de årliga finansiella rapporterna måste innehålla ett avsnitt om de interna kontroller som bedömer deras effektivitet. eventuella brister som upptäcks i dessa kontroller måste avslöjas. Registrerade externa revisorer måste gå i god för ledningens bedömning av de interna kontrollerna.
- avsnitt 409: alla väsentliga förändringar i företagets finansiella villkor eller verksamhet måste lämnas ut till allmänheten i god tid.
- avsnitt 802 och 906: det här är de avsnitt som behandlar påföljder., Vi kommer in i detaljerna senare i artikeln, men de förbjuder att ändra dokument i ett försök att hindra en utredning och också göra det olagligt för någon att intyga en vilseledande eller bedräglig Ekonomisk rapport.
av dessa avsnitt anses 404 vara den mest komplexa och mest betungande. Inte bara måste utarbeta tekniska system inrättas för att upprätthålla dataintegritet och skydd, men företagsledningen och externa revisorer måste regelbundet bedöma och dokumentera effektiviteten i dessa system.,
Sarbanes-Oxley requirements
det är många bestämmelser att smälta, och du måste gräva djupt in i de specifika mandat de ålägger. Men här är en sammanfattning på hög nivå av vad lagen kräver som är värt att tänka på som en 10,000-fots vy:
alla tillämpliga företag måste upprätta en finansiell redovisningsram som kan generera finansiella rapporter som är lätt verifierbara med spårbara källdata. Dessa källdata måste förbli intakta och kan inte genomgå papperslösa revideringar., Dessutom måste eventuella revideringar av finansiella eller bokföringsprogram dokumenteras fullt ut om vad som ändrats, varför, av vem och när.
du känner igen element här av CIA-triaden och dess varianter. I synnerhet måste dataintegritet skyddas, data måste vara tillgängliga för dem som behöver det, och icke-repudiering måste verkställas för att säkerställa att det är möjligt att veta vem som skapade eller ändrade data.
Sarbanes-Oxley controls
det sätt på vilket Sarbanes-Oxley-krav implementeras inom en organisation kallas kontroller., En kontroll i detta sammanhang är en intern regel som syftar till att förebygga eller upptäcka fel eller missförhållanden inom en cykel av finansiell rapportering.
Sarbanes-Oxley mandat som kontrollerar genomföras över ett företag. Varonis blogg ger några specifika exempel på de typer av regler som skulle undersökas som en del av en Sarbanes-Oxley revisionsprocedur:
- tillgång: du måste ha regler som täcker både fysisk tillgång till dina kontor och pappersfiler och elektronisk tillgång till dina data., Lagen ger en minst tillåtande åtkomstmodell, enligt vilken anställda endast har tillgång som är så omfattande som behövs för att göra sina jobb men inte mer omfattande än det.
- data backup: finansiella poster måste säkerhetskopieras offsite på sätt som anges av lagen.
- säkerhet: du behöver en uppsättning regler som visar att du har skyddat dina data mot överträdelser, även om genomförandet lämnas upp till din diskretion inom rimliga gränser.,
- ändra hantering: Du måste ha definierade procedurer för att lägga till eller ändra databaser och programvara som hanterar din företags ekonomi, samt lägga till nya användare i dina system.
Du kommer att märka att dessa kontroller beskrivs på abstrakta sätt. I allmänhet stavas kontroller ut när det gäller vad de gör (eller förhindrar), och det är upp till det att räkna ut hur man implementerar dem., Till exempel kan reglerna om elektronisk åtkomst identifiera de anställningstitlar vars innehavare får ändra ett företags interna finansiella data, men det kommer att vara upp till företagets IT-avdelning för att se till att de korrekta personerna har rätt behörighet på de relevanta systemen för att göra det (eller förhindras från att göra det).
detta gör uppenbarligen en hel del arbete, och har kanske föga förvånande skapat en stuga industrin av programpaket förskrivna för att genomföra standardiserade Sarbanes-Oxley kontroller.,dessa uppdrag genom att ta följande steg, som sammanfattas i varonis blogg:
- VD och CFO måste ta ansvar för finansiell rapportering och interna kontroller
- en intern kontrollrapport måste utarbetas som tar en ärlig titt på företagets kontroller
- formella datasäkerhetspolicyer måste utarbetas och konsekvent verkställas, och en datasäkerhetsstrategi måste utvecklas
- Alla efterlevnadssteg måste registreras och dokumenteras kontinuerligt
allt detta tar mycket arbete från företagens sida, och många letar efter hjälp med att göra det., En organisation som erbjuder resurser är Kommittén för sponsring organisationer av Treadway Commission, eller COSO. Coso bildades 1985 för att hjälpa till att bekämpa företagsbedrägerier och har i åratal upprätthållit en ram för interna kontroller som företag kan följa för att genomföra bästa metoder för bedrägeribekämpning. Den senaste översynen, som går från 2013, beskriver specifikt hur det kan hjälpa dig att uppnå Sarbanes-Oxley-överensstämmelse.,nce checklista som ger dig en snabb känsla av allt du behöver för att täcka:
- förhindra data manipulering
- Record tidslinjer för viktiga aktiviteter
- bygga verifierbara kontroller för att spåra åtkomst
- testa, verifiera och avslöja garantier till revisorer
- rapportera om effektiviteten av skyddsåtgärder
- upptäcka säkerhetsöverträdelser
- avslöja säkerhetsöverträdelser och fel på säkerhetskontroller till revisorer
RSI Security har en mer djupgående titt på vad du behöver göra när du står inför en Sarbanes-Oxley compliance audit som har massor av bra detaljer.,
Sarbanes-Oxley straff
Sarbanes-Oxley straff kan vara ganska allvarliga—och, viktigare, de gäller för individer i maktpositioner hos företag direkt, inte bara företagen som institutioner. Medan företagsofficerare felaktigt undertecknar felaktiga rapporter kan straffas för det, är den värsta behandlingen reserverad för avsiktligt bedrägeri. Till exempel kan en VD eller CFO som medvetet intygar en rapport som bryter mot lagen bötfällas upp till $5 miljoner dollar eller skickas till fängelse i upp till 20 år.,
Sarbanes-Oxley Act: fall och exempel
det finns definitivt tillfällen när den amerikanska federala regeringen använder de vapen som Sarbanes-Oxley tillhandahåller. Till exempel, 2003, inte långt efter att lagen antogs, arresterades anställda från Ernst & Young för att förstöra dokument som hänför sig till en av sina kunder. i 2014 FEC väckte anklagelser mot VD och CFO för en Florida datorföretag för vilseledande revisorer om tillståndet i sina interna kontroller.,
men i praktiken ser vissa Sarbanes-Oxley som en missad möjlighet när det gäller att åtala företagsbedrägerier. Även när finansiella rapporter kan visas vara bedrägliga kan det vara svårt att bevisa att VD och CFO kände till bedrägeriet när de undertecknade rapporterna—och om åklagare har starka bevis på detta kan de nästan alltid använda bevisen för att lämna in ännu hårdare bedrägeriavgifter som inte ingår i Sarbanes-Oxley-paketet med alternativ., Ändå säger juridikprofessorn Peter Henning att lagen har haft en positiv effekt som avskräckande: det är uppenbart att ” redovisning shenanigans kommer inte att tolereras längre.”Förhoppningsvis får det dig att känna att kampen för certifiering är värt det.