obchodní systém a související ovládací prvky pro vstup fiktivních obchodů do systému, aby kompenzovaly jeho skutečné neomezené obchody. Věděl o některých nočních systémových kontrolách a smíření zabudovaných do obchodních kontrol, které by označovaly jeho fiktivní obchody. Aby se vyhnul kontrolám, vymazal své fiktivní obchody, když došlo k systémovým kontrolám, a po dokončení kontrol je znovu vložil do systému. Systém nevykazoval dočasnou nerovnováhu. V důsledku masivních obchodních pozic, do kterých vstoupil, ztratila Societe Generale 7 USD.2 miliardy. V UBS obchodník s příliš nízkým rizikem/nízkým výnosem využil své znalosti obchodního systému ETF, který vedl ke ztrátě banky ve výši 2 miliard USD.
navzdory zákonu Sarbanes-Oxley z roku 2002 (SOX nebo SOA) externí auditoři nadále zveřejňují velké množství významných nedostatků v systémech vnitřní kontroly mnoha veřejných společností. V některých případech externí veřejné účetní firmy vykazovaly tyto významné nedostatky u stejných společností po sobě jdoucích let, které mohou vést k zavádějícím finančním výkazům a mohou zahrnovat podvody.
SOX na první pohled
SOX vyžaduje několik mechanismů řízení ke zlepšení kvality finančního výkaznictví.
oddíl 404 písm.a) vyžaduje, aby vedení veřejných společností uvedlo svou odpovědnost za přiměřenou strukturu vnitřní kontroly a podávalo zprávy o jejich návrhu, provádění a hodnocení účinnosti vnitřních kontrol účetního výkaznictví.
oddíl 302 vyžaduje, aby generální ředitel a finanční ředitel potvrdili, že přezkoumali roční a čtvrtletní účetní závěrku a podle jejich znalostí představují roční a čtvrtletní informace výsledky operací a finanční situaci společnosti a zda jsou interní kontroly účinné. Řešení kompatibilní se Sarbanes-Oxley tedy dokumentují, že generální ředitelé a finanční ředitelé přezkoumali finanční zprávy a vyhodnotili účinnost interních kontrol. Kromě toho existovaly odkazy na splnění požadavků auditorského standardu číslo 5 PCAOB (Rada pro dohled nad veřejným podnikem, vytvořená zákonem Sarbanes-Oxley Act) na snížení podvodů kontrolou transakcí. PCAOB doporučuje používat rámec pro vnitřní kontroly, jako je Výbor Sponzorujících organizací rámce Treadway Commission.
informační a komunikační systém není zásadní pouze pro rámec COSO; další kontroly v rámci organizace závisí na účinnosti kontrol IT. Kontroly IT jsou důležité pro dosažení cílů vnitřní kontroly a spolehlivých finančních zpráv (PCAOB AS 5). PCAOB AS 5 označuje jako 12 Příloha B uvádí:“Pokud se používá k zahájení, záznamu, procesu a hlášení transakcí, IT systémy a programy mohou zahrnovat kontroly související s příslušnými tvrzeními významných účtů a zveřejnění nebo mohou být rozhodující pro efektivní fungování ručních ovládacích prvků, které na něm závisí“. (PCAOB JAKO 12).
co by mělo být na vašem radaru, aby vyhovovalo SOX?
tvůrci systémů plánování podnikových zdrojů (ERP) rychle reagovali na průchod Sarbanes-Oxley tím, že nabídli další funkce, jako jsou řešení SAP Governance, Risk a Compliance (GRC) a Oracle Hyperion Financial Management.
z pohledu kybernetické bezpečnosti tvoří vnitřní kontroly hlavní část dodržování předpisů SOX. Obvykle se objevují čtyři oblasti:
- zabezpečení dat (např. ZenGRC Reciprocity, SAP GRC Solutions)
- řešení pro správu změn
- opatření zálohování
- řízení přístupu a ověřování
jak mohou biometrické systémy posílit soulad SOX?
tento článek poskytuje přehled dvou biometrických systémů (tj. Základem vložení biometrie do ERP systému je to, že hesla sama o sobě v některých případech (např. slabá nebo výchozí hesla) neidentifikují skutečného uživatele ERP systému. Biometrické systémy mohou zlepšit opatření pro kontrolu přístupu.
před přijetím zákona Sarbanes-Oxley, realtime za předpokladu, pro SAP ERP prostředí ověřování otisků prstů biometrické zabezpečení s bezpečností transakcí až na úroveň pole pro jasnou odpovědnost a minimalizovat podvody. Jedná se o jediný biometrický systém, který nativně vkládá biometrická data do SAP ERP.
v poslední době byly možné ochrany rozšířeny o autentizaci ruční žíly od společnosti Fujitsu.S Fujitsu PalmSecure má každý, kdo vyžaduje další zabezpečení, přístup k SAP ERP pomocí senzoru Fujitsu hand vein. Senzor PalmSecure zachycuje více než pět milionů referenčních bodů ze vzoru dlaně jednotlivce. Jednotlivci mají na levé a pravé ruce různé vzory palmových žil. Jednotlivci se nedotýkají senzoru-což činí použití velmi hygienickým. To je zvláště důležité v nemocničním prostředí a na místech, jako jsou banky, kde by velký počet uživatelů používal stejný senzor.
ani snímače otisků prstů ani ruční žíly neukládají fotografie prstů nebo dlaní. Oba typy senzorů vytvářejí šifrovanou numerickou šablonu, nikoli skutečné obrazy biometrických údajů. To šetří úložný prostor a zefektivňuje vyhledávání. Systém je dostatečně flexibilní, aby určil, které funkce nebo uživatelé potřebují jaké bezpečnostní možnosti, jako je čipová karta, otisk prstu nebo ruční žíla. Ať už uživatel používá ověřování otisků prstů nebo ověřování ruční žíly, data budou uložena v rámci SAP ERP organizace. Kromě toho mohou organizace chtít v budoucnu přidat další biometrické systémy; systém je otevřený přijímat nový vývoj, jak se vyvíjí biometrická technologie.
závěr
stručně řečeno, interní kontroly IT jsou základem spolehlivého procesu účetního výkaznictví a minimalizace podvodů. Zavedení kontrol přístupu a ověřování se samozřejmě nerovná tomu, že je kompatibilní se Sox nebo je nepřijatelné vůči interním hrozbám, ale toto opatření je povinným krokem k dodržování předpisů.Zatímco naše ID jsou kontrolovány všude jinde, společnosti stále spoléhají na technologii hesel, aby přijaly uživatele do svých systémů a umožnily jim vykonávat nejdůležitější funkce v podnikovém počítačovém systému, v některých případech se však toto opatření zdá nedostatečné. Nyní je možné zlepšit shodu Sarbanes-Oxley přidáním autentizace ruční žíly do arzenálu biometrických nástrojů.
od Fatima Alali a Paul Sheldon Foote
California State University, Fullerton
ERPScan komentář:
Sox compliance je nutností pro všechny americké veřejně držené společnosti. Zákon vyžaduje zavedení vnitřních kontrol pro finanční výkaznictví, aby se snížilo riziko firemních podvodů.
zásady řízení přístupu jsou často považovány za primární opatření. Nicméně, SOX není omezen poskytováním vhodných přístupových práv. Řízení přístupu je základem shody SOX, ale zahrnuje také hodnocení rizik, informace a komunikace, kontrolní činnosti a monitorování. Všechna tato opatření musí být použita i na systém SAP, aby byla zajištěna shoda. Mějte na paměti, že zabezpečení SAP se vždy skládá ze 3 oblastí-řízení přístupu – zabezpečení aplikační platformy a ochrana přizpůsobení.