SOX準拠のSAPシステム

取引システムと関連するコントロールで、架空の取引をシステムに入力して、実際のヘッジされていない取引を相殺します。 彼は、架空の取引にフラグを立てる取引コントロールに組み込まれた特定の夜間のシステムチェックと調整について知っていました。 コントロールを逃れるために、彼はシステムチェックが起こったときに架空の取引を消去し、チェックが完了した後にシステムに再入力しました。 システムは一時的な不均衡にフラグを立てませんでした。 彼が入力した大規模な取引ポジションの結果として、ソシエテジェネラルは$7を失いました。2億円 UBSでは、あまりにも低リスク/低リターンのトレーダーは、ETF2億銀行の損失につながったETF取引システムの彼の知識を悪用しました。

2002年のSarbanes-Oxley法(SOX、またはSOA)にもかかわらず、外部監査人は、多くの公開会社の内部統制システムにおける重要な弱点を多数開示し続けています。 いくつかのケースでは、外部の公会計事務所は、財務諸表を誤解させる可能性があり、詐欺を伴う可能性があり、連続した年のために同じ会社のためのこ

SOX一目で

SOXは、財務報告の質を向上させるためにいくつかのガバナンスメカニズムを必要とします。

セクション404(a)は、公開会社の経営陣に対し、適切な内部統制構造に対する責任を述べ、財務報告に対する内部統制の有効性の設計、実施、評価につい

セクション302は、CEOおよびCFOが年次および四半期財務諸表を見直したことを証明することを要求し、その知識によれば、年次および四半期情報は、会社の経営成績および財務状況、および内部統制が有効であるかどうかを表している。 したがって、Sarbanes-Oxley準拠のソリューションは、CeoとCfoが財務報告書を見直し、内部統制の有効性を評価したことを文書化しています。 さらに、PCAOB(Sarbanes-Oxley Actによって作成された公開会社会計監督委員会)監査基準番号5の要件を遵守して、取引を制御することによって詐欺を減らすことへの PCAOBは、Treadway委員会フレームワークのスポンサー組織委員会などの内部統制のためのフレームワークを使用することを推奨しています。

情報通信システムはCOSOフレームワークの基本的なものであるだけでなく、組織内の他のコントロールはITコントロールの有効性に依存します。 IT統制は、内部統制の目標と信頼性の高い財務報告を達成することが重要です(PCAOB AS5)。 PCAOB AS5は、”取引の開始、記録、処理、および報告に使用される場合、ITシステムおよびプログラムには、重要な勘定および開示の関連するアサーションに関連する制御が含まれる場合があり、またはそれに依存する手動制御の効果的な機能にとって重要である可能性がある”と述べている。 (PCAOB AS12)。

SOXに準拠するためにあなたのレーダーに何があるべきですか?

enterprise resource planning(ERP)システムのメーカーは、SAP Governance,Risk,And Compliance(GRC)ソリューションやOracle Hyperion Financial Managementなどの追加機能を提供することで、Sarbanes-Oxleyの通過に迅速に対応しました。

サイバーセキュリティの観点から、内部統制はSOXコンプライアンスの大部分を占めています。 典型的には、四つの領域が表示されます:

  • データセキュリティ(例: Zengrc By Reciprocity,SAP GRC Solutions)
  • 変更管理ソリューション
  • バックアップ対策
  • アクセス制御と認証

バイオメトリクスシステムはどのようにSOXコンプライアンスを強化

この記事では、SAP ERPシステムと互換性のある二つのバイオメトリクスシステム(フィンガープリントと手静脈認証)の概要を説明します。 ERPシステムにバイオメトリクスを埋め込む基礎は、パスワードだけでは、ERPシステムの実際のユーザーを識別しない場合があることです(弱いパスワードやデフ 生体認証システムは、アクセス制御手段を強化することができます。

Sarbanes-Oxley法が成立する前に、リアルタイムは、明確な説明責任と詐欺を最小限に抑えるために、SAP ERP環境の指紋認証バイオメトリックセキュリティをフィール これは、SAP ERP内にネイティブ生体データを埋め込むための唯一の生体認証システムです。

最近では、富士通からの手静脈認証を含むように保護の可能性が拡大されています。富士通PalmSecureを使用すると、追加のセキュリティを必要とする人は、富士通の手静脈センサーを使用してSAP ERPにアクセスできます。 PalmSecureセンサーは個人のやし静脈パターンからの五百万以上の基準点を捕獲する。 個人に彼らの左右の手の異なったやし静脈パターンがあります。 個人はセンサーに触れない-使用を非常に衛生学にする。 これは病院の設定と多数のユーザーが同じセンサーを使用している銀行のような場所で特に重要である。

指紋センサーも手静脈センサーも、指や手のひらの写真を保存しません。 両方のタイプのセンサーは、生体認証資格情報の実際の画像ではなく、暗号化された数値テンプレートを作成します。 これにより、記憶領域が節約され、検索がより効率的になります。 このシステムは、スマートカード、指紋、手静脈など、どの機能またはユーザーがどのセキュリティオプションを必要とするかを指定するのに十分な柔軟性 ユーザーが指紋認証を使用しているか、手静脈認証を使用しているかにかかわらず、データは組織のSAP ERP内に保存されます。 さらに、組織は、将来的には他の生体認証システムを追加することができます;システムは、生体認証技術が進化するにつれて、新たな開発を受け入れる

結論

要約すると、IT内部統制は、信頼性の高い財務報告プロセスと詐欺の最小化のための基盤です。 もちろん、アクセス制御と認証を実装することは、SOXに準拠しているか、内部の脅威に耐えられないことと同じではありませんが、この措置は準拠の必私たちのIDのは、他のどこでもチェックされているが、企業はまだ彼らのシステムにユーザーを受け入れ、それらが企業のコンピュータシステムで最も重要な機能を実行できるようにするために、パスワード技術に依存していますが、いくつかのケースでは、この措置は不十分と思われます。 生体認証ツールの武器に手静脈認証を追加することで、Sarbanes-Oxleyのコンプライアンスを改善することが可能になりました。

Fatima AlaliとPaul Sheldon Footeによる
California State University,Fullerton

ERPScanのコメント:

SOXコンプライアンスは、すべてのアメリカの公に開催されている企業にとって必須です。 この法律では、企業の不正行為のリスクを軽減するために、財務報告のための内部統制を確立する必要があります。

アクセス制御ポリシーは、多くの場合、主要な手段として見られています。 それにもかかわらず、SOXは適切なアクセス権を提供することによって制限されません。 アクセス管理はSOXコンプライアンスの基盤ですが、リスク評価、情報通信、制御活動、監視も含まれています。 コンプライアンスを確実にするために、これらのすべての措置をSAPシステムにも適用する必要があります。 SAPセキュリティは、常にアクセス制御、アプリケーションプラットフォームセキュリティ、カスタマイズ保護の3つの領域で構成されています。

コメントを残す

メールアドレスが公開されることはありません。