sistemul de tranzacționare și controalele aferente pentru a intra în tranzacții fictive în sistem pentru a compensa tranzacțiile sale reale. Știa despre anumite verificări de sistem nocturne și reconcilieri încorporate în controalele de tranzacționare care ar semnala tranzacțiile sale fictive. Pentru a evita controalele, el și-a șters tranzacțiile fictive atunci când s-au întâmplat verificările sistemului și le-a reintrat în sistem după finalizarea verificărilor. Sistemul nu a semnalat dezechilibre temporare. Ca urmare a pozițiilor masive de tranzacționare în care a intrat, Societe Generale a pierdut 7 dolari.2 miliarde. La UBS, traderul cu risc prea scăzut / randament scăzut și-a exploatat cunoștințele despre sistemul de tranzacționare ETF, ceea ce a dus la pierderea băncii de 2 miliarde de dolari.
în ciuda Legii Sarbanes-Oxley din 2002 (SOX, sau SOA), auditorii externi continuă să dezvăluie un număr mare de deficiențe materiale în sistemele de control intern ale multor companii publice. În unele cazuri, firmele publice externe de contabilitate au raportat aceste deficiențe semnificative pentru aceleași societăți timp de ani consecutivi, care pot duce la situații financiare înșelătoare și ar putea implica fraude.
SOX pe scurt
SOX necesită mai multe mecanism de guvernanță pentru a îmbunătăți calitatea raportării financiare.
secțiunea 404 (a) impune conducerii companiilor publice să își declare responsabilitatea pentru o structură adecvată de control intern și să raporteze cu privire la proiectarea, implementarea și evaluarea eficienței controalelor interne asupra raportării financiare.
secțiunea 302 impune CEO și CFO să certifice că au revizuit situațiile financiare anuale și trimestriale și, după cunoștințele lor, informațiile anuale și trimestriale reprezintă rezultatele operațiunilor și poziției financiare ale companiei și dacă controalele interne sunt eficiente. Astfel, soluțiile conforme Sarbanes-Oxley documentează că directorii generali și directorii financiari au revizuit rapoartele financiare și au evaluat eficacitatea controalelor interne. În plus, au existat referiri la respectarea PCAOB (Consiliul de Supraveghere a contabilității Companiei Publice, creat prin Legea Sarbanes-Oxley) cerințele Standard de audit numărul 5 pentru a reduce frauda prin controlul tranzacțiilor. PCAOB recomandă utilizarea unui cadru pentru controale interne, cum ar fi Comitetul organizațiilor Sponsorizante din cadrul Comisiei Treadway.
un sistem de informare și comunicare nu este doar fundamental pentru cadrul COSO; alte controale din cadrul unei organizații depind de eficacitatea controalelor IT. Controalele IT sunt importante pentru atingerea obiectivelor de control intern și a rapoartelor financiare fiabile (PCAOB AS 5). PCAOB AS 5 se referă la AS 12 Anexa B prevede „atunci când este utilizat pentru inițierea, înregistrarea, procesarea și raportarea tranzacțiilor, sistemele și programele IT pot include controale legate de afirmațiile relevante ale conturilor și dezvăluirilor semnificative sau pot fi esențiale pentru funcționarea eficientă a controalelor manuale care depind de acesta”. (PCAOB AS 12).
ce ar trebui să fie pe radarul dvs. pentru a fi compatibil cu SOX?
producătorii de sisteme de planificare a resurselor întreprinderii (ERP) au răspuns rapid la trecerea Sarbanes-Oxley oferind funcții suplimentare, cum ar fi soluțiile SAP Governance, Risk and Compliance (GRC) și Oracle Hyperion Financial Management.
din punctul de vedere al securității cibernetice, controalele interne reprezintă cea mai mare parte a conformității SOX. De obicei, patru zone vin în vedere:
- securitatea datelor (de ex. ZenGRC prin reciprocitate, soluții SAP GRC)
- soluții de gestionare a schimbărilor
- măsuri de rezervă
- controale de acces și autentificare
cum sistemele biometrice pot susține conformitatea SOX?
acest articol oferă o prezentare generală a două sisteme biometrice (de exemplu, amprentarea și autentificarea venei de mână) compatibile cu sistemele SAP ERP. Fundamentul încorporării biometriei într-un sistem ERP este că parolele, singure, nu identifică utilizatorul real al unui sistem ERP în unele cazuri (de exemplu, parole slabe sau implicite). Sistemele biometrice pot îmbunătăți măsurile de control al accesului.
înainte de trecerea Legii Sarbanes-Oxley, realtime prevedea securitatea biometrică de autentificare a amprentelor digitale SAP ERP cu securitatea tranzacțiilor până la nivelul câmpului pentru o responsabilitate clară și pentru a minimiza frauda. Acesta este singurul sistem biometric care încorporează date biometrice native în SAP ERP.
mai recent, posibilele Protecții au fost extinse pentru a include autentificarea venei de mână de la Fujitsu.Cu Fujitsu PalmSecure, oricine necesită securitate suplimentară poate accesa SAP ERP folosind un senzor de venă de mână Fujitsu. Senzorul PalmSecure captează mai mult de cinci milioane de puncte de referință din modelul venei palmare a unui individ. Indivizii au diferite modele de vene de palmier pe mâinile stângi și drepte. Persoanele fizice nu ating senzorul-ceea ce face ca utilizarea să fie foarte igienică. Acest lucru este deosebit de important în setările spitalului și în locuri precum băncile în care un număr mare de utilizatori ar folosi același senzor.
nici amprenta, nici senzorii venei mâinii nu salvează fotografii ale degetelor sau ale palmelor. Ambele tipuri de senzori creează un șablon numeric criptat, nu imaginile reale ale acreditărilor biometrice. Acest lucru economisește spațiu de stocare și face căutările mai eficiente. Sistemul este suficient de flexibil pentru a specifica ce funcții sau utilizatori au nevoie de opțiuni de securitate, cum ar fi cardul inteligent, amprenta sau vena de mână. Indiferent dacă un utilizator utilizează autentificarea cu amprentă digitală sau autentificarea venei de mână, datele vor fi stocate în cadrul SAP ERP al organizației. Mai mult, organizațiile ar putea dori să adauge alte sisteme biometrice în viitor; sistemul este deschis să accepte noi evoluții pe măsură ce tehnologia biometrică evoluează.
concluzie
în rezumat, controalele interne IT reprezintă fundamentul unui proces de raportare financiară fiabil și pentru minimizarea fraudei. Desigur, implementarea controalelor de acces și a autentificării nu este egală cu a fi conformă cu SOX sau insusceptibilă la amenințările interne, dar această măsură este un pas obligatoriu pentru conformitate.În timp ce ID-urile noastre sunt verificate peste tot, companiile se bazează în continuare pe tehnologia parolelor pentru a accepta utilizatorii în sistemele lor și pentru a le permite să execute cele mai vitale funcții într-un sistem informatic corporativ, cu toate acestea, în unele cazuri, această măsură pare insuficientă. Acum este posibilă îmbunătățirea conformității Sarbanes-Oxley prin adăugarea autentificării venei manuale la arsenalul instrumentelor biometrice.
de Fatima Alali și Paul Sheldon Foote
Universitatea de Stat din California, Fullerton
comentariul lui ERPScan:
conformitatea SOX este o necesitate pentru toate companiile americane deținute public. Legea impune stabilirea unor controale interne pentru raportarea financiară pentru a reduce riscurile de fraudă corporativă.
Politica de control al accesului este adesea privită ca măsură principală. Cu toate acestea, SOX nu este limitat prin furnizarea de drepturi de acces adecvate. Managementul accesului este fundamentul conformității SOX, dar include și evaluarea riscurilor, informarea și comunicarea, activitățile de Control și monitorizarea. Toate aceste măsuri trebuie aplicate și unui sistem SAP pentru a asigura conformitatea. Rețineți că securitatea SAP constă întotdeauna din 3 domenii – controlul accesului, securitatea platformei de aplicații și protecția personalizării.