kereskedési rendszer és a kapcsolódó ellenőrzések belépni fiktív ágakban a rendszerbe, hogy ellensúlyozza a valódi fedezetlen ágakban. Tudott bizonyos éjszakai rendszerellenőrzésekről és egyeztetésekről, amelyek beépültek a kereskedési ellenőrzésekbe, amelyek megjelölik a fiktív kereskedéseit. Hogy elkerülje az ellenőrzéseket, törölte a fiktív ügyleteit, amikor a rendszerellenőrzések megtörténtek, és újra belépett a rendszerbe, miután az ellenőrzések befejeződtek. A rendszer nem jelölte meg az átmeneti egyensúlyhiányt. A hatalmas kereskedési pozíciók eredményeként a Societe Generale 7 dollárt veszített.2 milliárd. Az UBS-nél a túl alacsony kockázatú/alacsony hozamú kereskedő kihasználta az ETF kereskedési rendszer ismereteit, ami a bank 2 milliárd dolláros veszteségéhez vezetett.
a 2002.évi Sarbanes-Oxley törvény (SOX, vagy SOA) ellenére a külső könyvvizsgálók továbbra is nagyszámú lényeges hiányosságot tárnak fel számos állami vállalat belső kontrollrendszerében. Egyes esetekben a külső állami számviteli cégek ugyanazon vállalatok esetében egymást követő években jelentették ezeket a lényeges hiányosságokat, amelyek félrevezető pénzügyi kimutatásokat eredményezhetnek, és csalást vonhatnak maguk után.
a SOX áttekintése
a SOX több irányítási mechanizmust igényel a pénzügyi beszámolás minőségének javítása érdekében.
a 404.szakasz a) pontja előírja az állami vállalatok vezetésének, hogy nyilatkozzon a megfelelő belső kontrollstruktúráért viselt felelősségéről, és számoljon be a pénzügyi beszámolás belső kontrolljainak kialakításáról, végrehajtásáról és hatékonyságáról.
a 302.szakasz előírja, hogy a vezérigazgató és a pénzügyi igazgató igazolja, hogy felülvizsgálták az éves és negyedéves pénzügyi kimutatásokat, és tudomásuk szerint az éves és negyedéves információk a vállalat működési eredményeit és pénzügyi helyzetét, valamint a belső kontrollok hatékonyságát mutatják. Így a Sarbanes-Oxley-kompatibilis megoldások dokumentuma szerint a vezérigazgatók és a CFO-k áttekintették a pénzügyi jelentéseket és értékelték a belső kontrollok hatékonyságát. Ezenkívül utaltak a PCAOB (a Sarbanes-Oxley törvény által létrehozott nyilvános társaság számviteli felügyeleti testülete) 5.számú könyvvizsgálati szabvány követelményeinek betartására a csalások csökkentése érdekében a tranzakciók ellenőrzésével. A PCAOB javasolja a belső kontrollok keretrendszerének használatát, például a Treadway bizottsági keretrendszer támogató szervezeteinek Bizottságát.
az információs és kommunikációs rendszer nem csak alapvető fontosságú a COSO keretrendszer számára; a szervezeten belüli egyéb ellenőrzések az informatikai ellenőrzések hatékonyságától függenek. Az informatikai kontrollok fontosak a belsőkontroll-célkitűzések és a megbízható pénzügyi jelentések (PCAOB AS 5) eléréséhez. A PCAOB AS 5 az AS 12 B. függelékre utal: “amikor tranzakciók kezdeményezésére, rögzítésére, feldolgozására és jelentésére használják, az informatikai rendszerek és programok tartalmazhatnak a jelentős számlák és közzétételek vonatkozó állításaival kapcsolatos ellenőrzéseket, vagy kritikusak lehetnek az attól függő kézi ellenőrzések hatékony működése szempontjából”. (PCAOB AS 12).
Mi legyen a radaron, hogy SOX-kompatibilis legyen?
az enterprise resource planning (ERP) rendszerek gyártói gyorsan reagáltak a Sarbanes-Oxley átadására olyan kiegészítő funkciókkal, mint az SAP Governance, Risk and Compliance (GRC) megoldások és az Oracle Hyperion Financial Management.
a kiberbiztonság szempontjából a belső kontrollok alkotják a SOX-megfelelés nagy részét. Általában négy terület jelenik meg:
- adatbiztonság (pl.
- változáskezelési megoldások
- biztonsági mentési intézkedések
- hozzáférés-vezérlés és hitelesítés
hogyan erősíthetik meg a biometrikus rendszerek a SOX-megfelelést?
ez a cikk áttekintést nyújt az SAP ERP rendszerekkel kompatibilis két biometrikus rendszerről (azaz az ujjlenyomat-és a kézi véna-hitelesítésről). A biometria ERP rendszerbe történő beágyazásának alapja az, hogy a jelszavak önmagukban bizonyos esetekben nem azonosítják az ERP rendszer valódi felhasználóját (például gyenge vagy alapértelmezett jelszavak). A biometrikus rendszerek fokozhatják a hozzáférés-ellenőrzési intézkedéseket.
a Sarbanes-Oxley törvény elfogadása előtt a realtime biztosította az SAP ERP környezet ujjlenyomat-hitelesítési biometrikus biztonságát a tranzakciók biztonságával a helyszíni szintig az egyértelmű elszámoltathatóság és a csalások minimalizálása érdekében. Ez az egyetlen biometrikus rendszer, amely natív biometrikus adatokat ágyaz be az SAP ERP-be.
újabban a lehetséges védelmet kiterjesztették a Fujitsu kézi véna-hitelesítésére is.A Fujitsu PalmSecure segítségével bárki, aki további biztonságot igényel, hozzáférhet az SAP ERP-hez a Fujitsu kézi véna érzékelőjével. A PalmSecure érzékelő több mint ötmillió referenciapontot rögzít az egyén tenyérvénás mintájából. Az egyéneknek különböző tenyérvénás mintázata van a bal és a jobb kezükön. Az egyének nem érintik az érzékelőt—ami nagyon higiénikussá teszi a felhasználást. Ez különösen fontos a kórházi környezetben és olyan helyeken, mint például a bankok, ahol nagy számú felhasználó használná ugyanazt az érzékelőt.
sem az ujjlenyomat, sem a kéz véna érzékelői nem mentik az ujjak vagy a tenyér fényképeit. Mindkét típusú érzékelő titkosított, numerikus sablont hoz létre, nem pedig a biometrikus hitelesítő adatok tényleges képeit. Ez tárhelyet takarít meg, és hatékonyabbá teszi a kereséseket. A rendszer elég rugalmas ahhoz, hogy meghatározza, mely funkcióknak vagy felhasználóknak milyen biztonsági opciókra van szükségük, például intelligens kártya, ujjlenyomat vagy kézi véna. Függetlenül attól, hogy a felhasználó ujjlenyomat-hitelesítést vagy kézi véna-hitelesítést használ, az adatokat a szervezet SAP ERP-jén tárolják. Sőt, a szervezetek a jövőben más biometrikus rendszereket is felvehetnek; a rendszer nyitott az új fejlesztések elfogadására a biometrikus technológia fejlődésével.
következtetés
Összefoglalva, az informatikai belső kontrollok képezik a megbízható pénzügyi beszámolási folyamat alapját és a csalások minimalizálását. Természetesen a hozzáférés-vezérlés és a hitelesítés végrehajtása nem egyenlő a SOX-kompatibilis vagy a belső fenyegetésekkel szemben érzéketlen, de ez az intézkedés kötelező lépés a megfelelés felé.Míg az AZONOSÍTÓINKAT mindenhol máshol ellenőrzik, a vállalatok továbbra is a jelszótechnológiára támaszkodnak, hogy elfogadják a felhasználókat a rendszerükbe, és lehetővé tegyék számukra a vállalati számítógépes rendszer legfontosabb funkcióinak végrehajtását, azonban egyes esetekben ez az intézkedés elégtelennek tűnik. Most már javítható a Sarbanes-Oxley megfelelés azáltal, hogy kézi véna hitelesítést ad a biometrikus eszközök arzenáljához.
by Fatima Alali and Paul Sheldon Foote
California State University, Fullerton
ERPScan ‘ s comment:
SOX compliance is must for all American public holding companies. A törvény előírja a pénzügyi beszámolás belső ellenőrzésének létrehozását a vállalati csalások kockázatának csökkentése érdekében.
a hozzáférés-vezérlési házirendet gyakran tekintik elsődleges intézkedésnek. Ennek ellenére a SOX-ot nem korlátozza a megfelelő hozzáférési jogok biztosítása. A hozzáférés-kezelés a SOX-megfelelés alapja, de magában foglalja a kockázatértékelést, az információt és a kommunikációt, az ellenőrzési tevékenységeket és a nyomon követést is. Mindezeket az intézkedéseket egy SAP rendszerre is alkalmazni kell a megfelelés biztosítása érdekében. Ne feledje, hogy az SAP biztonság mindig 3 területből áll-hozzáférés-vezérlés, alkalmazásplatform-biztonság és testreszabás-védelem.