el sistema de negociación y los controles relacionados para ingresar operaciones ficticias en el sistema para compensar sus operaciones reales no cerradas. Sabía de ciertas comprobaciones y conciliaciones nocturnas del sistema integradas en los controles comerciales que marcarían sus operaciones ficticias. Para eludir los controles, borró sus transacciones ficticias cuando se realizaron las comprobaciones del sistema y las reingresó en el sistema después de que se completaran las comprobaciones. El sistema no detectó desequilibrios temporales. Como resultado de las posiciones comerciales masivas en las que entró, Societe Generale perdió 7 7.2 mil millones. En UBS, el trader de bajo riesgo/bajo rendimiento explotó su conocimiento del sistema de negociación de ETF que llevó a la pérdida de 2 mil millones de dólares del banco.
A pesar de la Ley Sarbanes-Oxley de 2002 (SOX, o SOA), los auditores externos siguen revelando un gran número de deficiencias importantes en los sistemas de control interno de muchas empresas públicas. En algunos casos, las empresas de contabilidad pública externas han informado de estas deficiencias importantes en las mismas empresas durante años consecutivos, que pueden dar lugar a estados financieros engañosos y a fraude.
SOX de un vistazo
SOX requiere varios mecanismos de gobernanza para mejorar la calidad de los informes financieros.
La sección 404 (a) requiere que la administración de las empresas públicas declare su responsabilidad de una estructura de control interno adecuada e informe sobre su diseño, implementación y evaluación de la eficacia de los controles internos sobre la presentación de informes financieros.
La Sección 302 requiere que el director ejecutivo y el director financiero certifiquen que revisaron los estados financieros anuales y trimestrales y, según su conocimiento, la información anual y trimestral representa los resultados de las operaciones y la situación financiera de la compañía y si los controles internos son efectivos. Por lo tanto, las soluciones compatibles con Sarbanes-Oxley documentan que los directores ejecutivos y directores financieros revisaron los informes financieros y evaluaron la eficacia de los controles internos. Además, se hizo referencia al cumplimiento de los requisitos de la Norma de Auditoría Número 5 de la PCAOB (Junta de Supervisión Contable de las Empresas Públicas, creada por la Ley Sarbanes-Oxley) para reducir el fraude mediante el control de las transacciones. El PCAOB recomienda el uso de un marco para los controles internos, como el Comité de Organizaciones Patrocinadoras del marco de la Comisión Treadway.
Un sistema de información y comunicación no solo es fundamental para el marco COSO; otros controles dentro de una organización dependen de la eficacia de los controles de TI. Los controles de TI son importantes para lograr los objetivos de control interno e informes financieros fiables (PCAOB AS 5). PCAOB AS 5 se refiere a AS 12 El Apéndice B establece que «Cuando se utiliza para iniciar, registrar, procesar y reportar transacciones, los sistemas y programas de TI pueden incluir controles relacionados con las afirmaciones relevantes de cuentas y divulgaciones significativas o pueden ser críticos para el funcionamiento efectivo de los controles manuales que dependen de ÉL». (PCAOB AS 12).
¿Qué debería estar en su radar para ser compatible con SOX?
Los fabricantes de sistemas de planificación de recursos empresariales (ERP) respondieron rápidamente a la aprobación de Sarbanes-Oxley ofreciendo características adicionales, como soluciones de SAP de Gobernanza, Riesgo y Cumplimiento (GRC) y Oracle Hyperion Financial Management.
Desde la vista de ciberseguridad, los controles internos constituyen la mayor parte del cumplimiento de los estándares SOX. Por lo general, se ven cuatro áreas:
- Seguridad de los datos (p. ej. ZenGRC por Reciprocidad, Soluciones SAP GRC)
- Soluciones de gestión de cambios
- Medidas de respaldo
- Controles de acceso y autenticación
¿Cómo los sistemas biométricos pueden reforzar el cumplimiento de SOX?
Este artículo proporciona una descripción general de dos sistemas biométricos (es decir, huellas dactilares y autenticación de venas manuales) compatibles con los sistemas SAP ERP. La base de la incorporación de datos biométricos en un sistema ERP es que las contraseñas, por sí solas, no identifican al usuario real de un sistema ERP en algunos casos (por ejemplo, contraseñas débiles o predeterminadas). Los sistemas biométricos pueden mejorar las medidas de control de acceso.
Antes de la aprobación de la Ley Sarbanes-Oxley, realtime proporcionaba seguridad biométrica de autenticación de huellas dactilares del entorno SAP ERP con seguridad de transacciones hasta el nivel de campo para una clara rendición de cuentas y minimizar el fraude. Este es el único sistema biométrico que incorpora datos biométricos de forma nativa dentro de SAP ERP.
Más recientemente, las posibles protecciones se han ampliado para incluir la autenticación de venas manuales de Fujitsu.Con Fujitsu PalmSecure, cualquier persona que necesite seguridad adicional puede acceder a SAP ERP mediante un sensor de venas manuales Fujitsu. El sensor PalmSecure captura más de cinco millones de puntos de referencia del patrón de la vena de la palma de un individuo. Los individuos tienen diferentes patrones de venas de palma en sus manos izquierda y derecha. Las personas no tocan el sensor, lo que hace que el uso sea muy higiénico. Esto es especialmente importante en entornos hospitalarios y en lugares como bancos donde un gran número de usuarios usarían el mismo sensor.
Ni los sensores de huellas dactilares ni los sensores de venas de las manos guardan fotografías de los dedos o de las palmas de las manos. Ambos tipos de sensores crean una plantilla numérica cifrada, no las imágenes reales de las credenciales biométricas. Esto ahorra espacio de almacenamiento y hace que las búsquedas sean más eficientes. El sistema es lo suficientemente flexible para especificar qué funciones o usuarios necesitan qué opciones de seguridad, como tarjetas inteligentes, huellas dactilares o venas de manos. Ya sea que un usuario esté utilizando la autenticación de huellas dactilares o la autenticación de venas manuales, los datos se almacenarán dentro del SAP ERP de la organización. Además, es posible que las organizaciones deseen agregar otros sistemas biométricos en el futuro; el sistema está abierto a aceptar nuevos desarrollos a medida que evoluciona la tecnología biométrica.
Conclusión
En resumen, los controles internos de TI son la base para un proceso confiable de presentación de informes financieros y para la minimización del fraude. Por supuesto, tener implementados controles de acceso y autenticación no equivale a ser compatible con SOX o insensible a las amenazas internas, pero esta medida es un paso obligatorio para el cumplimiento.Si bien nuestras identificaciones se verifican en todas partes, las empresas aún confían en la tecnología de contraseñas para aceptar usuarios en sus sistemas y permitirles ejecutar las funciones más vitales en un sistema informático corporativo, sin embargo, en algunos casos esta medida parece insuficiente. Ahora es posible mejorar el cumplimiento de Sarbanes-Oxley agregando la autenticación de venas manuales al arsenal de herramientas biométricas.
Por Fatima Alali y Paul Sheldon Foote
California State University, Fullerton
Comentario de ERPScan:
El cumplimiento de SOX es una necesidad para todas las empresas públicas estadounidenses. La ley exige que se establezcan controles internos para la presentación de informes financieros a fin de reducir los riesgos de fraude empresarial.
La directiva de control de acceso a menudo se considera la medida principal. Sin embargo, SOX no se limita a proporcionar los derechos de acceso adecuados. La gestión del acceso es la base del cumplimiento de SOX, pero también incluye la Evaluación de Riesgos, la Información y la Comunicación, las Actividades de Control y la Supervisión. Todas estas medidas deben aplicarse también a un sistema SAP para garantizar el cumplimiento. Tenga en cuenta que la seguridad de SAP siempre consta de 3 áreas: Control de acceso, seguridad de la plataforma de aplicaciones y protección de personalización.