handelssysteem en aanverwante controles om fictieve transacties in het systeem te voeren om zijn echte niet-afgedekte transacties te compenseren. Hij wist van bepaalde nachtelijke systeem controles en aansluitingen ingebouwd in de handel controles die zijn fictieve transacties zou markeren. Om controles te ontwijken, wiste hij zijn fictieve transacties toen het systeem controles gebeurde en keerde ze terug in het systeem nadat de controles waren voltooid. Het systeem markeerde geen tijdelijke onevenwichtigheden. Als gevolg van de enorme handelsposities die hij inging, Societe Generale verloor $7.Twee miljard. Bij UBS, te laag risico/low-return trader benut zijn kennis van de ETF trading systeem dat leidde tot het verlies van de bank van $2 miljard.
ondanks de Sarbanes-Oxley Act van 2002 (SOX, of SOA) blijven externe accountants grote aantallen materiële tekortkomingen aan het licht brengen in de interne controlesystemen van veel overheidsbedrijven. In sommige gevallen hebben externe openbare accountantskantoren deze materiële tekortkomingen voor dezelfde ondernemingen gedurende opeenvolgende jaren gemeld, die kunnen leiden tot misleidende financiële overzichten en tot fraude kunnen leiden.
SOX in één oogopslag
SOX vereist verschillende governancemechanismen om de kwaliteit van de financiële verslaggeving te verbeteren.
sectie 404 (a) vereist dat het management van overheidsbedrijven aangeeft verantwoordelijk te zijn voor een adequate interne controlestructuur en verslag uit te brengen over het ontwerp, de uitvoering en de evaluatie van de effectieve interne controles op de financiële verslaggeving. Op grond van artikel 302 moeten CEO ’s en CFO’ s verklaren dat zij de jaarlijkse en driemaandelijkse financiële overzichten hebben beoordeeld en dat, Voor zover zij weten, de jaar-en kwartaalgegevens de bedrijfsresultaten en de financiële positie van de Onderneming weergeven en of de interne controles doeltreffend zijn. De oplossingen die aan Sarbanes-Oxley voldoen, documenteren dus dat de CEO ’s en CFO’ s financiële rapporten hebben beoordeeld en de effectiviteit van interne controles hebben geëvalueerd. Daarnaast waren er verwijzingen naar de naleving van PCAOB (de Public Company Accounting Oversight Board, opgericht door de Sarbanes-Oxley Act) Auditing Standard Number 5 vereisten om fraude te verminderen door het controleren van transacties. De PCAOB beveelt aan gebruik te maken van een kader voor interne controles, zoals het Comité van sponsorende organisaties van de Treadway Commission framework.Een informatie-en communicatiesysteem is niet alleen fundamenteel voor het COSO-kader; andere controles binnen een organisatie hangen af van de doeltreffendheid van IT-controles. IT-controles zijn belangrijk om interne controledoelstellingen en betrouwbare financiële verslagen te bereiken (PCAOB AS 5). PCAOB AS 5 verwijst naar AS 12 Appendix B Staten “wanneer het wordt gebruikt voor het initiëren, opnemen, verwerken, en rapporteren van transacties, de IT-systemen en programma’ s kunnen controles met betrekking tot de relevante beweringen van significante rekeningen en informatieverschaffing omvatten of kan van cruciaal belang zijn voor de effectieve werking van handmatige controles die afhankelijk zijn van het”. (PCAOB AS 12).
Wat moet er op uw radar staan om SOX-compatibel te zijn?Makers van enterprise resource planning (ERP) – systemen reageerden snel op de overgang van Sarbanes-Oxley door extra functies aan te bieden, zoals SAP Governance, Risk, and Compliance (GRC) – oplossingen en Oracle Hyperion Financial Management.Uit het oogpunt van cyberbeveiliging bestaat het grootste deel van de SOX-compliance uit interne controles. Typisch, vier gebieden komen in beeld:
- gegevensbeveiliging (bijv. ZenGRC by Reciprocity, SAP GRC Solutions)
- Change management solutions
- Backup measures
- Access controls and authentication
Hoe kunnen biometriesystemen SOX Compliance versterken?
dit artikel geeft een overzicht van twee biometriesystemen (d.i. fingerprinting en hand-vein authenticatie) die compatibel zijn met SAP ERP-systemen. De basis van het inbedden van biometrie in een ERP-systeem is dat wachtwoorden alleen niet de echte gebruiker van een ERP-systeem identificeren in sommige gevallen (bijvoorbeeld zwakke of standaard wachtwoorden). Biometrische systemen kunnen de toegangscontrole verbeteren.
vóór de invoering van de Sarbanes-Oxley Act voorzag realtime in de biometrische beveiliging van vingerafdrukverificatie in de SAP ERP-omgeving met transactiebeveiliging tot op het veldniveau voor duidelijke verantwoording en om fraude tot een minimum te beperken. Dit is het enige biometrische systeem dat native biometrische gegevens in SAP ERP insluit.
recenter zijn de mogelijke beveiligingen uitgebreid met hand-ader authenticatie van Fujitsu.Met Fujitsu PalmSecure heeft iedereen die extra beveiliging nodig heeft toegang tot SAP ERP met behulp van een Fujitsu handader sensor. De PalmSecure-sensor registreert meer dan vijf miljoen referentiepunten van iemands palmaderpatroon. Individuen hebben verschillende palm-ader patronen op hun linker en rechter handen. Individuen raken de sensor niet aan-waardoor het gebruik zeer hygiënisch is. Dit is vooral belangrijk in ziekenhuizen en op plaatsen zoals banken waar grote aantallen gebruikers dezelfde sensor zouden gebruiken. Foto ‘ s van vingers of handpalmen worden niet opgeslagen door vingerafdruk-of handsensoren. Beide soorten sensoren maken een gecodeerde, numerieke sjabloon, niet de werkelijke beelden van de biometrische referenties. Dit bespaart opslagruimte en maakt zoekopdrachten efficiënter. Het systeem is flexibel genoeg om aan te geven welke functies of gebruikers welke beveiligingsopties nodig hebben, zoals smartcard, vingerafdruk of handader. Of een gebruiker nu vingerafdrukverificatie of handaderverificatie gebruikt, de gegevens worden opgeslagen in SAP ERP van de organisatie. Bovendien willen organisaties in de toekomst misschien andere biometrische systemen toevoegen; het systeem staat open om nieuwe ontwikkelingen te accepteren naarmate de biometrische technologie evolueert.
conclusie
samengevat vormen de interne IT-controles de basis voor een betrouwbaar proces van financiële verslaglegging en voor het minimaliseren van fraude. Natuurlijk, het hebben van toegangscontroles en authenticatie geïmplementeerd is niet gelijk aan SOX-compliant of ongevoelig voor interne bedreigingen, maar deze maatregel is een verplichte stap naar de naleving.Terwijl onze ID ‘ s overal anders worden gecontroleerd, vertrouwen bedrijven nog steeds op wachtwoordtechnologie om gebruikers in hun systemen te accepteren en hen in staat te stellen de meest vitale functies in een bedrijfscomputersysteem uit te voeren, maar in sommige gevallen lijkt deze maatregel onvoldoende. Het is nu mogelijk om Sarbanes-Oxley compliance te verbeteren door hand-ader authenticatie toe te voegen aan het arsenaal van biometrische tools.
door Fatima Alali en Paul Sheldon Foote
California State University, Fullerton
erpscan ‘ s comment:
SOX compliance is een must voor alle Amerikaanse beursgenoteerde bedrijven. De wet vereist de invoering van interne controles voor financiële verslaggeving om de risico ‘ s van bedrijfsfraude te verminderen.
Toegangscontrolebeleid wordt vaak gezien als de primaire maat. SOX wordt echter niet beperkt door het verstrekken van passende toegangsrechten. Toegangsbeheer is de basis van SOX-compliance, maar omvat ook risicobeoordeling, informatie en communicatie, controleactiviteiten en Monitoring. Al deze maatregelen moeten ook worden toegepast op een SAP-systeem om de naleving te garanderen. Houd er rekening mee dat SAP – beveiliging altijd bestaat uit 3 gebieden-Toegangscontrole, Applicatieplatformbeveiliging en aanpassingsbescherming.