kaupankäyntijärjestelmää ja siihen liittyviä kontrolleja, joiden avulla järjestelmään voidaan syöttää tekaistuja kauppoja hänen todellisten korjaamattomien kauppojensa vastapainoksi. Hän tiesi tietyistä öisistä järjestelmätarkistuksista ja sovinnollisuuksista, jotka oli rakennettu kaupankäynnin valvontaan, joka olisi merkinnyt hänen keksittyjä kauppojaan. Välttääkseen kontrollit hän poisti tekaistut kauppansa, kun järjestelmätarkistukset tapahtuivat, ja palautti ne järjestelmään tarkastusten päätyttyä. Järjestelmä ei merkinnyt tilapäistä epätasapainoa. Seurauksena massiivinen kaupankäynnin kantoja hän tuli, Societe Generale menetti $7.2 miljardia. UBS: llä liian matalan riskin/alhaisen tuoton kauppias käytti hyväkseen tietojaan ETF-kaupankäyntijärjestelmästä, joka johti Bankin 2 miljardin dollarin tappioon.
vuoden 2002 Sarbanes-Oxley-laista (SOX tai SOA) huolimatta ulkopuoliset tilintarkastajat paljastavat edelleen monia olennaisia puutteita monien julkisten yritysten sisäisissä valvontajärjestelmissä. Joissakin tapauksissa ulkopuoliset julkiset tilinpitoyritykset ovat raportoineet samojen yritysten olennaisista puutteista peräkkäisinä vuosina, mikä voi johtaa harhaanjohtaviin tilinpäätöksiin ja saattaa sisältää petoksia.
SOX yhdellä silmäyksellä
SOX edellyttää useita hallinnointimekanismeja taloudellisen raportoinnin laadun parantamiseksi.
404 kohdan a alakohdassa edellytetään, että julkisten yhtiöiden johdon on ilmoitettava vastuustaan riittävästä sisäisen valvonnan rakenteesta ja raportoitava taloudellista raportointia koskevan sisäisen valvonnan tehokkuudesta, toteuttamisesta ja arvioinnista.
302 kohdan mukaan toimitusjohtajan ja talousjohtajan on todistettava, että he ovat tarkastaneet vuosi-ja neljännesvuositilinpäätöksen ja että heidän tietämyksensä mukaan vuosi-ja neljännesvuositiedot kuvaavat yhtiön toiminnan tuloksia ja taloudellista asemaa sekä sisäisen valvonnan tehokkuutta. Sarbanes-Oxley compliant solutions-asiakirjassa todetaan, että toimitusjohtajat ja talousjohtajat tarkastelivat taloudellisia raportteja ja arvioivat sisäisen valvonnan tehokkuutta. Lisäksi oli viitteitä PCAOB: n (Public Company Accounting Oversight Board, luotu Sarbanes-Oxley Act) noudattamisesta Tilintarkastusstandardin numero 5 vaatimusten noudattamisesta petosten vähentämiseksi valvomalla liiketoimia. PCAOB suosittelee sisäisen valvonnan puitteiden käyttöä, kuten Treadway Commissionin tukiorganisaatioiden komiteaa.
tieto-ja viestintäjärjestelmä ei ole vain olennainen osa COSO-järjestelmää; muut organisaation sisäiset valvontajärjestelmät riippuvat IT-valvonnan tehokkuudesta. IT-valvonta on tärkeää sisäisen valvonnan tavoitteiden ja luotettavien taloudellisten raporttien saavuttamiseksi (PCAOB kuten 5). PCAOB kuten 5 viittaa 12 lisäyksessä B todetaan ”kun sitä käytetään käynnistämään, kirjaamaan, käsittelemään ja raportoimaan tapahtumia, IT-järjestelmät ja ohjelmat voivat sisältää tarkastuksia, jotka liittyvät asiaankuuluviin väitteisiin merkittävistä tileistä ja tiedoista tai voivat olla kriittisiä tehokkaan toiminnan manuaalisen valvonnan, joka riippuu siitä”. (PCAOB KUTEN 12).
mitä pitäisi olla tutkassa, jotta se olisi Sox-yhteensopiva?
toiminnanohjausjärjestelmien valmistajat vastasivat nopeasti Sarbanes-Oxley-hankkeen läpimenoon tarjoamalla lisäominaisuuksia, kuten SAP Governance, Risk, and Compliance (GRC) – ratkaisut ja Oracle Hyperion Financial Management.
kyberturvallisuuden näkökulmasta sisäinen valvonta muodostaa suurimman osan SOX-vaatimusten noudattamisesta. Tyypillisesti neljä aluetta tulee näkyviin:
- tietoturva (esim. Zengrc by Recipacity, SAP GRC Solutions)
- Change management solutions
- Backup measures
- Access controls and authentication
How biometrics systems can booster Sox Compliance?
tässä artikkelissa esitellään kaksi SAP-toiminnanohjausjärjestelmien kanssa yhteensopivaa biometristä järjestelmää (eli sormenjälkien ja käsisuonen tunnistus). Biometriikan upottaminen ERP-järjestelmään perustuu siihen, että pelkät salasanat eivät joissain tapauksissa (esimerkiksi heikot tai oletussalasanat) tunnista ERP-järjestelmän todellista käyttäjää. Biometriset järjestelmät voivat tehostaa kulunvalvontatoimenpiteitä.
ennen Sarbanes-Oxley Act-lain läpimenoa reaaliaikainen määritti SAP ERP-ympäristön sormenjälkitunnistuksen biometrisen tietoturvan, jossa transaktioturva on kenttätasolle asti selkeä vastuuvelvollisuus ja petosten minimointi. Tämä on ainoa biometrinen järjestelmä, joka upottaa natiivisti biometrisiä tietoja SAP ERP: hen.
myöhemmin mahdollisia suojauksia on laajennettu käsisuonitunnistukseen Fujitsulta.Fujitsu Palmsecuren avulla kuka tahansa, joka tarvitsee lisäturvaa, voi käyttää SAP ERP: tä Fujitsu-käsisuonianturilla. PalmSecure-anturi tallentaa yli viisi miljoonaa vertailupistettä yksilön kämmensuonikuviosta. Yksilöillä on erilaisia kämmensuonikuvioita vasemmassa ja oikeassa kädessään. Yksilöt eivät koske anturiin—mikä tekee käytöstä erittäin hygieenistä. Tämä on erityisen tärkeää sairaaloissa ja esimerkiksi pankeissa, joissa suuri määrä käyttäjiä käyttäisi samaa anturia.
sormenjälki-tai käsisensorit eivät tallenna sormista tai kämmenistä otettuja valokuvia. Molemmat anturityypit luovat salatun, numeerisen mallin, eivät biometristen tunnisteiden varsinaisia kuvia. Tämä säästää tallennustilaa ja tehostaa hakuja. Järjestelmä on riittävän joustava määrittääkseen, mitkä toiminnot tai käyttäjät tarvitsevat mitä suojausvaihtoehtoja, kuten älykortin, sormenjäljen tai käsisuonen. Riippumatta siitä, käyttääkö käyttäjä sormenjälkitunnistusta vai käsisuonitunnistusta, tiedot tallennetaan organisaation SAP-toiminnanohjausjärjestelmään. Lisäksi organisaatiot voivat haluta lisätä muita biometrisiä järjestelmiä tulevaisuudessa; järjestelmä on avoin ottamaan vastaan uusia kehityskulkuja biometrisen teknologian kehittyessä.
johtopäätös
yhteenvetona voidaan todeta, että tietotekniikan sisäinen valvonta on perusta luotettavalle taloudelliselle raportointiprosessille ja petosten minimoimiselle. Kulunvalvonnan ja todennuksen toteuttaminen ei tietenkään ole SOX-yhteensopiva tai sisäisille uhkille mahdoton hyväksyä, mutta tämä toimenpide on pakollinen vaihe vaatimusten noudattamisessa.Vaikka tunnuksemme tarkistetaan kaikkialla muualla, yritykset luottavat edelleen salasanateknologiaan hyväksyäkseen käyttäjät järjestelmiinsä ja salliakseen heidän suorittaa kaikkein elintärkeitä toimintoja yrityksen tietokonejärjestelmässä, kuitenkin joissakin tapauksissa tämä toimenpide näyttää riittämättömältä. Nyt on mahdollista parantaa Sarbanes-Oxley-vaatimustenmukaisuutta lisäämällä käsisuonitodennus biometristen työkalujen arsenaaliin.
Fatima Alali ja Paul Sheldon Foote
California State University, Fullerton
ERPScan ’ s comment:
SOX compliance is a must for all American Public held companies. Laki edellyttää taloudellisen raportoinnin sisäisen valvonnan luomista yrityspetosten riskien vähentämiseksi.
Kulunvalvontapolitiikkaa pidetään usein ensisijaisena mittarina. SOX: ää ei kuitenkaan rajoiteta asianmukaisilla käyttöoikeuksilla. Pääsynhallinta on Sox-vaatimustenmukaisuuden perusta, mutta siihen kuuluu myös riskinarviointi, tiedotus ja viestintä, valvontatoimet ja seuranta. Kaikkia näitä toimenpiteitä on sovellettava myös SAP-järjestelmään vaatimustenmukaisuuden varmistamiseksi. Muista, että SAP Security koostuu aina 3 alueesta – kulunvalvonnasta, sovellusalustan turvallisuudesta ja räätälöintisuojauksesta.