das Handelssystem und die damit verbundenen Kontrollen, um fiktive Trades in das System einzugeben, um seine realen nicht abgesicherten Trades auszugleichen. Er wusste von bestimmten nächtlichen Systemprüfungen und Abstimmungen, die in die Handelskontrollen eingebaut waren, die seine fiktiven Trades kennzeichnen würden. Um den Kontrollen zu entgehen, löschte er seine fiktiven Trades, als die Systemprüfungen stattfanden, und trat sie nach Abschluss der Überprüfungen wieder in das System ein. Das System hat keine vorübergehenden Ungleichgewichte festgestellt. Infolge der massiven Handelspositionen, in die er eintrat, verlor Societe Generale 7 USD.2 milliarden. Bei UBS nutzte ein risikoarmer / renditearmer Trader sein Wissen über das ETF-Handelssystem aus, das zum Verlust der Bank von 2 Milliarden US-Dollar führte.
Trotz des Sarbanes-Oxley Act von 2002 (SOX oder SOA) legen externe Wirtschaftsprüfer weiterhin eine große Anzahl wesentlicher Schwachstellen in den internen Kontrollsystemen vieler börsennotierter Unternehmen offen. In einigen Fällen haben externe Wirtschaftsprüfungsgesellschaften diese wesentlichen Schwächen für dieselben Unternehmen in aufeinanderfolgenden Jahren gemeldet, was zu irreführenden Abschlüssen führen und Betrug beinhalten kann.
SOX auf einen Blick
SOX erfordert mehrere Governance-Mechanismen, um die Qualität der Finanzberichterstattung zu verbessern.
Section 404 (a) verpflichtet das Management von Aktiengesellschaften, ihre Verantwortung für eine angemessene interne Kontrollstruktur anzugeben und über ihre Gestaltung, Umsetzung und Bewertung der Wirksamkeit der internen Kontrollen bei der Finanzberichterstattung zu berichten.
Section 302 verlangt, dass CEO und CFO bestätigen, dass sie die Jahres- und Quartalsabschlüsse überprüft haben und nach ihrem Wissen die Jahres- und Quartalsinformationen die Ertrags- und Finanzlage des Unternehmens darstellen und ob interne Kontrollen wirksam sind. So dokumentieren die Sarbanes-Oxley Compliant Solutions, dass die CEOs und CFOs die Finanzberichte überprüft und die Wirksamkeit der internen Kontrollen bewertet haben. Darüber hinaus gab es Hinweise auf die Einhaltung der Anforderungen des PCAOB (Public Company Accounting Oversight Board, geschaffen durch den Sarbanes-Oxley Act) Auditing Standard Nummer 5, um Betrug durch Kontrolle von Transaktionen zu reduzieren. Die PCAOB empfiehlt die Verwendung eines Rahmens für interne Kontrollen wie den Ausschuss der Sponsoring-Organisationen des Treadway Commission Framework.
Ein Informations- und Kommunikationssystem ist nicht nur grundlegend für den COSO-Rahmen; Andere Kontrollen innerhalb einer Organisation hängen von der Wirksamkeit der IT-Kontrollen ab. IT-Kontrollen sind wichtig, um interne Kontrollziele und verlässliche Finanzberichte (PCAOB AS 5) zu erreichen. PCAOB AS 5 bezieht sich auf AS 12 In Anhang B heißt es: “ Wenn es verwendet wird, um Transaktionen zu initiieren, aufzuzeichnen, zu verarbeiten und zu melden, können die IT-Systeme und -Programme Kontrollen enthalten, die sich auf die relevanten Behauptungen bedeutender Konten und Offenlegungen beziehen, oder sie können für das effektive Funktionieren manueller Kontrollen, die davon abhängen, von entscheidender Bedeutung sein „. (PCAOB ALS 12).
Was sollte auf Ihrem Radar sein, um SOX-konform zu sein?
Hersteller von ERP-Systemen (Enterprise Resource Planning) reagierten schnell auf die Übernahme von Sarbanes-Oxley, indem sie zusätzliche Funktionen wie GRC-Lösungen (SAP Governance, Risk und Compliance) und Oracle Hyperion Financial Management anboten.
Aus Sicht der Cybersicherheit machen interne Kontrollen den größten Teil der SOX-Compliance aus. Typischerweise kommen vier Bereiche in Sicht:
- Datensicherheit (z. ZenGRC by Reciprocity, SAP GRC Solutions)
- Change Management-Lösungen
- Sicherungsmaßnahmen
- Zugriffskontrolle und Authentifizierung
Wie können biometrische Systeme die SOX-Compliance unterstützen?
Dieser Artikel bietet einen Überblick über zwei biometrische Systeme (d. h. Fingerabdruck und Handvenenauthentifizierung), die mit SAP ERP-Systemen kompatibel sind. Die Grundlage für die Einbettung von Biometrie in ein ERP-System ist, dass Passwörter allein in einigen Fällen nicht den tatsächlichen Benutzer eines ERP-Systems identifizieren (z. B. schwache oder Standardpasswörter). Biometrische Systeme können Zutrittskontrollmaßnahmen verbessern.
Vor der Verabschiedung des Sarbanes-Oxley-Gesetzes sorgte Realtime für die SAP ERP-Umgebung Fingerabdruckauthentifizierung biometrische Sicherheit mit Transaktionssicherheit bis auf die Feldebene für eine klare Rechenschaftspflicht und zur Minimierung von Betrug. Dies ist das einzige biometrische System, das nativ biometrische Daten in SAP ERP einbindet.
In jüngerer Zeit wurden die möglichen Schutzfunktionen um die Handvenenauthentifizierung von Fujitsu erweitert.Mit Fujitsu PalmSecure kann jeder, der zusätzliche Sicherheit benötigt, mit einem Fujitsu Handvenensensor auf SAP ERP zugreifen. Der PalmSecure-Sensor erfasst mehr als fünf Millionen Referenzpunkte aus dem Handvenenmuster einer Person. Individuen haben unterschiedliche Handflächenvenenmuster an ihrer linken und rechten Hand. Personen berühren den Sensor nicht — was die Verwendung sehr hygienisch macht. Dies ist besonders wichtig in Krankenhäusern und an Orten wie Banken, an denen eine große Anzahl von Benutzern denselben Sensor verwenden würde.
Weder Fingerabdruck- noch Handvenensensoren speichern Fotos von Fingern oder Handflächen. Beide Arten von Sensoren erstellen eine verschlüsselte, numerische Vorlage, nicht die tatsächlichen Bilder der biometrischen Anmeldeinformationen. Das spart Speicherplatz und macht die Suche effizienter. Das System ist flexibel genug, um festzulegen, welche Funktionen oder Benutzer welche Sicherheitsoptionen benötigen, z. B. Smartcard, Fingerabdruck oder Handvene. Unabhängig davon, ob ein Benutzer die Fingerabdruckauthentifizierung oder die Handvenenauthentifizierung verwendet, werden die Daten im SAP ERP der Organisation gespeichert. Darüber hinaus möchten Organisationen möglicherweise in Zukunft weitere biometrische Systeme hinzufügen; Das System ist offen für neue Entwicklungen, wenn sich die biometrische Technologie weiterentwickelt.
Fazit
Zusammenfassend sind IT-interne Kontrollen die Grundlage für einen zuverlässigen Rechnungslegungsprozess und für die Minimierung von Betrug. Natürlich bedeutet die Implementierung von Zugriffskontrollen und Authentifizierung nicht, dass sie SOX-konform oder unempfindlich gegen interne Bedrohungen sind, aber diese Maßnahme ist ein obligatorischer Schritt zur Einhaltung.Während unsere IDs überall überprüft werden, verlassen sich Unternehmen immer noch auf die Passworttechnologie, um Benutzer in ihre Systeme aufzunehmen und ihnen die Ausführung der wichtigsten Funktionen in einem Unternehmenscomputersystem zu ermöglichen. Es ist jetzt möglich, die Sarbanes-Oxley-Compliance zu verbessern, indem das Arsenal biometrischer Tools um die Handvenenauthentifizierung erweitert wird.
Von Fatima Alali und Paul Sheldon Foote
California State University, Fullerton
Erpscans Kommentar:
SOX-Compliance ist ein Muss für alle amerikanischen börsennotierten Unternehmen. Das Gesetz verlangt die Einrichtung interner Kontrollen für die Finanzberichterstattung, um die Risiken von Unternehmensbetrug zu verringern.
Die Zugriffskontrollrichtlinie wird häufig als primäre Maßnahme angesehen. Nichtsdestotrotz ist SOX nicht durch die Bereitstellung geeigneter Zugriffsrechte eingeschränkt. Das Zugriffsmanagement ist die Grundlage der SOX-Compliance, umfasst aber auch Risikobewertung, Information und Kommunikation, Kontrollaktivitäten und Überwachung. Alle diese Maßnahmen müssen auch auf ein SAP-System angewendet werden, um die Compliance sicherzustellen. Beachten Sie, dass SAP-Sicherheit immer aus 3 Bereichen besteht – Zugriffskontrolle, Sicherheit der Anwendungsplattform und Anpassungsschutz.