sistema di trading e relativi controlli per inserire operazioni fittizie nel sistema per compensare le sue operazioni reali non compromesse. Sapeva di alcuni controlli di sistema notturni e riconciliazioni integrate nei controlli commerciali che avrebbero contrassegnato i suoi scambi fittizi. Per eludere i controlli, ha cancellato i suoi scambi fittizi quando i controlli del sistema sono avvenuti e li ha rientrati nel sistema dopo che i controlli sono stati completati. Il sistema non ha segnalato squilibri temporanei. Come risultato delle massicce posizioni commerciali in cui è entrato, Societe Generale ha perso 7 7.2 miliardi. In UBS, un trader troppo a basso rischio/basso rendimento ha sfruttato la sua conoscenza del sistema di trading ETF che ha portato alla perdita della banca di billion 2 miliardi.
Nonostante il Sarbanes-Oxley Act del 2002 (SOX, o SOA), i revisori esterni continuano a rivelare un gran numero di debolezze materiali nei sistemi di controllo interno di molte società pubbliche. In alcuni casi, le società esterne di contabilità pubblica hanno segnalato per le stesse società per anni consecutivi queste carenze sostanziali che possono risultare in bilanci fuorvianti e potrebbero comportare frodi.
SOX a colpo d’occhio
SOX richiede diversi meccanismo di governance per migliorare la qualità del reporting finanziario.
La sezione 404 (a) prevede che la direzione delle società pubbliche dichiari la propria responsabilità per un’adeguata struttura di controllo interno e riferisca sulla loro progettazione, attuazione e valutazione dell’efficacia dei controlli interni sull’informativa finanziaria.
La sezione 302 richiede che CEO e CFO certifichino di aver esaminato il bilancio annuale e trimestrale e, a loro conoscenza, le informazioni annuali e trimestrali rappresentano i risultati operativi e la posizione finanziaria della società e se i controlli interni sono efficaci. Pertanto, le soluzioni conformi a Sarbanes-Oxley documentano che gli amministratori delegati e i CFO hanno esaminato i rapporti finanziari e valutato l’efficacia dei controlli interni. Inoltre, vi erano riferimenti al rispetto del PCAOB (Public Company Accounting Oversight Board, creato dal Sarbanes-Oxley Act) Standard di revisione numero 5 requisiti per ridurre le frodi controllando le transazioni. Il PCAOB raccomanda di utilizzare un quadro per i controlli interni come il Comitato delle organizzazioni sponsor del quadro Treadway Commissione.
Un sistema di informazione e comunicazione non è solo fondamentale per il framework COSO; altri controlli all’interno di un’organizzazione dipendono dall’efficacia dei controlli IT. I controlli IT sono importanti per raggiungere gli obiettivi di controllo interno e relazioni finanziarie affidabili (PCAOB AS 5). PCAOB COME 5 si riferisce a COME 12 Appendice B stati “Quando viene utilizzato per avviare, registrare, elaborare, e segnalare le transazioni, i sistemi IT e programmi possono includere controlli relativi alle asserzioni rilevanti di conti significativi e divulgazioni o può essere fondamentale per l’efficace funzionamento dei controlli manuali che dipendono da esso”. (PCAOB AS 12).
Cosa dovrebbe essere sul tuo radar per essere conforme a SOX?
I responsabili dei sistemi ERP (Enterprise Resource Planning) hanno risposto rapidamente al passaggio di Sarbanes-Oxley offrendo funzionalità aggiuntive, come le soluzioni SAP Governance, Risk, and Compliance (GRC) e Oracle Hyperion Financial Management.
Dal punto di vista della sicurezza informatica, i controlli interni costituiscono la maggior parte della conformità SOX. In genere, quattro aree vengono in vista:
- Sicurezza dei dati (ad es. ZenGRC by Reciprocity, SAP GRC Solutions)
- Change management solutions
- Misure di backup
- Controlli di accesso e autenticazione
In che modo i sistemi biometrici possono rafforzare la conformità SOX?
Questo articolo fornisce una panoramica di due sistemi biometrici (ad esempio, fingerprinting e hand vein authentication) compatibili con i sistemi SAP ERP. Il fondamento dell’incorporamento della biometria in un sistema ERP è che le password, da sole, non identificano l’utente reale di un sistema ERP in alcuni casi (ad esempio password deboli o predefinite). I sistemi biometrici possono migliorare le misure di controllo degli accessi.
Prima del passaggio della legge Sarbanes-Oxley, in tempo reale previsto per l’ambiente SAP ERP autenticazione delle impronte digitali sicurezza biometrica con la sicurezza delle transazioni fino al livello di campo per una chiara responsabilità e per ridurre al minimo le frodi. Questo è l’unico sistema biometrico per incorporare nativamente i dati biometrici all’interno di SAP ERP.
Più recentemente, le possibili protezioni sono state ampliate per includere l’autenticazione hand vein di Fujitsu.Con Fujitsu PalmSecure, chiunque richieda maggiore sicurezza può accedere a SAP ERP utilizzando un sensore Fujitsu hand vein. Il sensore PalmSecure cattura più di cinque milioni di punti di riferimento dal modello della vena del palmo di un individuo. Gli individui hanno diversi modelli di vena di palma sulle loro mani sinistra e destra. Gli individui non toccano il sensore-il che rende l’uso molto igienico. Ciò è particolarmente importante in ambienti ospedalieri e in luoghi come le banche in cui un gran numero di utenti utilizzerebbe lo stesso sensore.
Né impronte digitali né sensori vena mano salvare fotografie di dita o di palme. Entrambi i tipi di sensori creano un modello numerico crittografato, non le immagini reali delle credenziali biometriche. Ciò consente di risparmiare spazio di archiviazione e rende le ricerche più efficienti. Il sistema è sufficientemente flessibile da specificare quali funzioni o utenti hanno bisogno di quali opzioni di sicurezza, come smart card, impronte digitali o vena manuale. Se un utente sta utilizzando l’autenticazione delle impronte digitali o l’autenticazione vena mano, i dati verranno memorizzati all’interno SAP ERP dell’organizzazione. Inoltre, le organizzazioni potrebbero voler aggiungere altri sistemi biometrici in futuro; il sistema è aperto ad accettare nuovi sviluppi man mano che la tecnologia biometrica si evolve.
Conclusione
In sintesi, i controlli interni IT sono la base per un processo di rendicontazione finanziaria affidabile e per la minimizzazione delle frodi. Ovviamente, avere controlli di accesso e autenticazione implementati non equivale a essere conformi a SOX o insensibili alle minacce interne, ma questa misura è un passaggio obbligatorio per la conformità.Mentre i nostri ID sono controllati ovunque, le aziende si affidano ancora alla tecnologia delle password per accettare gli utenti nei loro sistemi e consentire loro di eseguire le funzioni più vitali in un sistema informatico aziendale, tuttavia, in alcuni casi questa misura sembra insufficiente. Ora è possibile migliorare la conformità di Sarbanes-Oxley aggiungendo l’autenticazione della mano-vena all’arsenale degli strumenti biometrici.
Di Fatima Alali e Paul Sheldon Foote
California State University, Fullerton
Commento di ERPScan:
La conformità SOX è un must per tutte le società pubbliche americane. La legge richiede l’istituzione di controlli interni per la rendicontazione finanziaria per ridurre i rischi di frode aziendale.
La politica di controllo degli accessi è spesso considerata la misura principale. Tuttavia, SOX non è limitato fornendo diritti di accesso appropriati. La gestione degli accessi è il fondamento della conformità SOX, ma include anche la valutazione del rischio, l’informazione e la comunicazione, le attività di controllo e il monitoraggio. Tutte queste misure devono essere applicate anche a un sistema SAP per garantire la conformità. Tieni presente che SAP Security si compone sempre di 3 aree: controllo degli accessi, sicurezza della piattaforma applicativa e protezione della personalizzazione.