handelssystem og relaterede kontroller for at indtaste fiktive handler i systemet for at udligne hans virkelige uhindrede handler. Han vidste om visse natlige systemkontroller og afstemninger indbygget i handelskontrollerne, der ville markere hans fiktive handler. For at undgå kontroller slettede han sine fiktive handler, da systemkontrollerne skete og genindtog dem i systemet, efter at kontrollerne var afsluttet. Systemet markerede ikke midlertidige ubalancer. Som et resultat af de massive handelspositioner, han indgik, mistede Societe Generale $7.2 milliarder. Hos UBS udnyttede for lav risiko/lav afkast erhvervsdrivende sin viden om ETF-handelssystemet, der førte til bankens tab på 2 milliarder dollars.
på trods af Sarbanes-Oksley Act of 2002 fortsætter eksterne revisorer med at afsløre et stort antal væsentlige svagheder i interne kontrolsystemer i mange offentlige virksomheder. I nogle tilfælde, eksterne offentlige regnskabsfirmaer har rapporteret disse væsentlige svagheder for de samme virksomheder i på hinanden følgende år, der kan resultere i vildledende regnskaber og kan involvere svig.
sok et overblik
sok kræver flere styringsmekanismer for at forbedre kvaliteten af den finansielle rapportering.
afsnit 404 (a) kræver, at ledelsen af offentlige virksomheder angiver deres ansvar for en passende intern kontrolstruktur og rapporterer om deres design, implementering og evaluering af den effektive interne kontrol med regnskabsaflæggelse.
afsnit 302 kræver, at administrerende direktør og CFO bekræfter, at de har gennemgået års-og kvartalsregnskabet, og at deres viden, årlige og kvartalsvise oplysninger repræsenterer virksomhedens resultater af operationer og finansielle stilling, og om intern kontrol er effektiv. Således dokumenterer de Sarbanes-kompatible løsninger, at administrerende direktører og CFO ‘ er gennemgik økonomiske rapporter og vurderede effektiviteten af interne kontroller. Derudover var der henvisninger til overholdelse af PCAOB (Public Company Accounting Oversight Board, oprettet af Sarbanes-Oksley Act) revisionsstandard nummer 5 krav for at reducere svig ved at kontrollere transaktioner. PCAOB anbefaler at bruge en ramme for intern kontrol som f.eks.
et informations-og kommunikationssystem er ikke kun grundlæggende for Coso-rammen; andre kontroller i en organisation afhænger af effektiviteten af IT-kontroller. It-kontroller er vigtige for at nå interne kontrolmål og pålidelige finansielle rapporter (PCAOB AS 5). PCAOB AS 5 refererer til AS 12 Appendiks B siger “når det bruges til at starte, registrere, behandle og rapportere transaktioner, kan IT-systemerne og programmerne omfatte kontroller relateret til de relevante påstande om væsentlige konti og afsløringer eller kan være kritiske for den effektive funktion af manuelle kontroller, der afhænger af det”. (PCAOB SOM 12).
hvad skal der være på din radar?
producenter af ERP-systemer (enterprise resource planning) reagerede hurtigt på passagen af Sarbanes ved at tilbyde yderligere funktioner, såsom SAP Governance, Risk and Compliance (GRC) løsninger og Oracle Hyperion Financial Management.
fra cybersecurity visning, interne kontroller udgør den største del af Google compliance. Typisk, fire områder kommer til syne:
- datasikkerhed (f. eks. SAP GRC Solutions)
- Change management solutions
- Backup foranstaltninger
- adgangskontrol og autentificering
hvordan biometriske systemer kan styrke SOC Compliance?
denne artikel giver en oversigt over to biometriske systemer (dvs.fingeraftryk og håndveneautentificering), der er kompatible med SAP ERP-systemer. Grundlaget for indlejring af biometri i et ERP-system er, at adgangskoder alene ikke identificerer den virkelige bruger af et ERP-system i nogle tilfælde (f.eks. Biometriske systemer kan forbedre adgangskontrolforanstaltninger.
før vedtagelsen af Sarbanes-loven, realtime forudsat for SAP ERP miljø fingeraftryk autentificering biometrisk sikkerhed med transaktionssikkerhed ned til feltet niveau for klar ansvarlighed og for at minimere svig. Dette er det eneste biometriske system, der integrerer indbygget biometriske data inden for SAP ERP.
for nylig er den mulige beskyttelse blevet udvidet til at omfatte håndveneautentificering fra Fujitsu.Med Fujitsu PalmSecure kan enhver, der har brug for ekstra sikkerhed, få adgang til SAP ERP ved hjælp af en Fujitsu håndvenesensor. PalmSecure-sensoren fanger mere end fem millioner referencepunkter fra en persons palme-venemønster. Enkeltpersoner har forskellige palme – venemønstre på deres venstre og højre hånd. Enkeltpersoner rører ikke sensoren-hvilket gør brugen meget hygiejnisk. Dette er især vigtigt i hospitalsindstillinger og på steder som banker, hvor et stort antal brugere bruger den samme sensor.
hverken fingeraftryk eller håndvenesensorer gemmer fotografier af fingre eller palmer. Begge typer sensorer opretter en krypteret, numerisk skabelon, ikke de faktiske billeder af de biometriske legitimationsoplysninger. Dette sparer lagerplads og gør søgninger mere effektive. Systemet er fleksibelt nok til at specificere, hvilke funktioner eller brugere der har brug for, hvilke sikkerhedsindstillinger, såsom smartkort, fingeraftryk eller håndven. Uanset om en bruger bruger fingeraftryksgodkendelse eller håndvenegodkendelse, gemmes dataene i organisationens SAP ERP. Desuden vil organisationer måske tilføje andre biometriske systemer i fremtiden; systemet er åbent for at acceptere nye udviklinger, efterhånden som biometrisk teknologi udvikler sig.
konklusion
Sammenfattende er IT-interne kontroller grundlaget for en pålidelig regnskabsrapporteringsproces og for minimering af svig. At have adgangskontrol og autentificering implementeret er naturligvis ikke lig med at være SOC-kompatibel eller ikke modtagelig for interne trusler, men denne foranstaltning er et obligatorisk trin til overholdelse.Mens vores ID ‘ er kontrolleres overalt ellers, er virksomheder stadig afhængige af adgangskodeteknologi for at acceptere brugere i deres systemer og give dem mulighed for at udføre de mest vitale funktioner i et virksomhedscomputersystem, men i nogle tilfælde synes denne foranstaltning utilstrækkelig. Det er nu muligt at forbedre overholdelse af Sarbanes-Oksley ved at tilføje håndveneautentificering til arsenalet af biometriske værktøjer.
af Fatima Alali og Paul Sheldon Foote
California State University, Fullerton
erpscans kommentar:
SOKKELOVERHOLDELSE er et must for alle amerikanske offentligt ejede virksomheder. Loven kræver etablering af intern kontrol for finansiel rapportering for at reducere risikoen for virksomhedssvindel.
Adgangskontrolpolitik betragtes ofte som det primære mål. Ikke desto mindre er