le système de négociation et les contrôles connexes pour entrer des transactions fictives dans le système pour compenser ses transactions réelles non couvertes. Il était au courant de certaines vérifications nocturnes du système et des rapprochements intégrés aux contrôles de négociation qui signaleraient ses transactions fictives. Pour échapper aux contrôles, il a effacé ses transactions fictives lorsque les vérifications du système ont eu lieu et les a réintégrées dans le système une fois les vérifications terminées. Le système ne signalait pas de déséquilibres temporaires. À la suite des positions de négociation massives qu’il a prises, Société Générale a perdu 7 dollars.2 milliards. Chez UBS, un trader à risque trop faible / à faible rendement a exploité sa connaissance du système de négociation des ETF qui a entraîné une perte de 2 milliards de dollars de la banque.
Malgré la loi Sarbanes-Oxley de 2002 (SOX, ou SOA), les auditeurs externes continuent de révéler un grand nombre de faiblesses importantes dans les systèmes de contrôle interne de nombreuses entreprises publiques. Dans certains cas, des cabinets d’experts-comptables externes ont signalé ces faiblesses importantes pour les mêmes sociétés pendant des années consécutives, ce qui peut entraîner des états financiers trompeurs et entraîner une fraude.
SOX en un coup d’œil
SOX nécessite plusieurs mécanismes de gouvernance pour améliorer la qualité de l’information financière.
L’article 404(a) exige de la direction des sociétés ouvertes qu’elle indique qu’elle est responsable d’une structure de contrôle interne adéquate et qu’elle rende compte de leur conception, de leur mise en œuvre et de leur évaluation de l’efficacité des contrôles internes sur l’information financière.
L’article 302 exige que le PDG et le directeur financier certifient qu’ils ont examiné les états financiers annuels et trimestriels et qu’à leur connaissance, les informations annuelles et trimestrielles représentent les résultats d’exploitation et la situation financière de la société et si les contrôles internes sont efficaces. Ainsi, les solutions conformes à Sarbanes-Oxley documentent que les PDG et les directeurs financiers ont examiné les rapports financiers et évalué l’efficacité des contrôles internes. En outre, il a été fait référence au respect des exigences de la Norme d’audit Numéro 5 du PCAOB (Conseil de surveillance de la comptabilité des Entreprises publiques, créé par la Loi Sarbanes-Oxley) pour réduire la fraude en contrôlant les transactions. Le PCAOB recommande d’utiliser un cadre de contrôle interne tel que le Comité des organisations parrainant le cadre de la Commission Treadway.
Un système d’information et de communication n’est pas seulement fondamental pour le cadre du COSO; les autres contrôles au sein d’une organisation dépendent de l’efficacité des contrôles informatiques. Les contrôles informatiques sont importants pour atteindre les objectifs de contrôle interne et des rapports financiers fiables (PCAOB AS 5). La PCAOB AS 5 se réfère à AS 12 L’annexe B stipule que « Lorsqu’elle est utilisée pour initier, enregistrer, traiter et déclarer des opérations, les systèmes et programmes informatiques peuvent inclure des contrôles liés aux affirmations pertinentes de comptes et de divulgations importants ou peuvent être essentiels au fonctionnement efficace des contrôles manuels qui en dépendent ». (PCAOB AS 12).
Qu’est-ce qui devrait figurer sur votre radar pour être conforme aux normes SOX?
Les fabricants de systèmes de planification des ressources d’entreprise (ERP) ont réagi rapidement au passage de Sarbanes-Oxley en offrant des fonctionnalités supplémentaires, telles que les solutions de gouvernance, de risque et de conformité SAP (GRC) et Oracle Hyperion Financial Management.
Du point de vue de la cybersécurité, les contrôles internes constituent la majeure partie de la conformité SOX. En règle générale, quatre zones sont visibles:
- Sécurité des données (p. ex. ZenGRC by Reciprocity, Solutions SAP GRC)
- Solutions de gestion du changement
- Mesures de sauvegarde
- Contrôles d’accès et authentification
Comment les systèmes biométriques peuvent-ils renforcer la conformité SOX?
Cet article donne un aperçu de deux systèmes biométriques (c’est-à-dire l’empreinte digitale et l’authentification des veines de la main) compatibles avec les systèmes ERP SAP. La base de l’intégration de la biométrie dans un système ERP est que les mots de passe, à eux seuls, n’identifient pas l’utilisateur réel d’un système ERP dans certains cas (par exemple, mots de passe faibles ou par défaut). Les systèmes biométriques peuvent améliorer les mesures de contrôle d’accès.
Avant l’adoption de la loi Sarbanes-Oxley, realtime prévoyait la sécurité biométrique d’authentification par empreinte digitale de l’environnement SAP ERP avec une sécurité des transactions jusqu’au niveau du terrain pour une responsabilité claire et pour minimiser la fraude. C’est le seul système biométrique à intégrer nativement des données biométriques dans SAP ERP.
Plus récemment, les protections possibles ont été étendues pour inclure l’authentification par veine manuelle de Fujitsu.Avec Fujitsu PalmSecure, toute personne nécessitant une sécurité supplémentaire peut accéder à SAP ERP à l’aide d’un capteur de veine manuelle Fujitsu. Le capteur PalmSecure capture plus de cinq millions de points de référence à partir du motif de la veine palmaire d’un individu. Les individus ont des motifs de veines palmaires différents sur leurs mains gauche et droite. Les individus ne touchent pas le capteur — ce qui rend l’utilisation très hygiénique. Ceci est particulièrement important dans les hôpitaux et dans des endroits tels que les banques où un grand nombre d’utilisateurs utiliseraient le même capteur.
Ni les capteurs d’empreintes digitales ni les capteurs de veines de la main ne sauvegardent les photographies des doigts ou des paumes. Les deux types de capteurs créent un modèle chiffré et numérique, et non les images réelles des informations d’identification biométriques. Cela économise de l’espace de stockage et rend les recherches plus efficaces. Le système est suffisamment flexible pour spécifier quelles fonctions ou quels utilisateurs ont besoin des options de sécurité, telles que la carte à puce, l’empreinte digitale ou la veine de la main. Qu’un utilisateur utilise l’authentification par empreinte digitale ou l’authentification par veine manuelle, les données seront stockées dans l’ERP SAP de l’organisation. De plus, les organisations voudront peut-être ajouter d’autres systèmes biométriques à l’avenir; le système est ouvert à accepter de nouveaux développements à mesure que la technologie biométrique évolue.
Conclusion
En résumé, les contrôles internes des TI sont le fondement d’un processus d’information financière fiable et de la minimisation de la fraude. Bien sûr, la mise en place de contrôles d’accès et d’authentification n’équivaut pas à être conforme à la norme SOX ou insensible aux menaces internes, mais cette mesure est une étape obligatoire de la conformité.Alors que nos identifiants sont vérifiés partout ailleurs, les entreprises comptent toujours sur la technologie des mots de passe pour accepter les utilisateurs dans leurs systèmes et leur permettre d’exécuter les fonctions les plus vitales dans un système informatique d’entreprise, cependant, dans certains cas, cette mesure semble insuffisante. Il est désormais possible d’améliorer la conformité Sarbanes-Oxley en ajoutant l’authentification par veine manuelle à l’arsenal d’outils biométriques.
Par Fatima Alali et Paul Sheldon Foote
California State University, Fullerton
Commentaire d’ERPScan:
La conformité SOX est un must pour toutes les entreprises publiques américaines. La loi exige l’établissement de contrôles internes pour l’information financière afin de réduire les risques de fraude des entreprises.
La politique de contrôle d’accès est souvent considérée comme la mesure principale. Néanmoins, SOX n’est pas limité par la fourniture de droits d’accès appropriés. La gestion des accès est le fondement de la conformité SOX, mais elle comprend également l’Évaluation des risques, l’Information et la Communication, les Activités de Contrôle et la Surveillance. Toutes ces mesures doivent également être appliquées à un système SAP pour assurer la conformité. Gardez à l’esprit que la sécurité SAP comprend toujours 3 domaines : le contrôle d’accès, la sécurité de la plate–forme applicative et la protection de la personnalisation.