system transakcyjny i związane z nim kontrole, aby wprowadzić fikcyjne transakcje do systemu, aby zrekompensować jego prawdziwe niezabezpieczone transakcje. Wiedział o pewnych nocnych kontrolach systemu i uzgodnieniach wbudowanych w kontrole handlowe, które oznaczałyby jego fikcyjne transakcje. Aby uniknąć kontroli, usunął swoje fikcyjne transakcje po sprawdzeniu systemu i ponownie wprowadził je do systemu po zakończeniu kontroli. System nie oznaczał tymczasowych zakłóceń równowagi. W wyniku ogromnych pozycji handlowych, na które wszedł, Societe Generale stracił 7 dolarów.2 miliardy. W UBS zbyt niski poziom ryzyka/niski zwrot trader wykorzystał swoją wiedzę na temat systemu handlu ETF, który doprowadził do utraty przez bank 2 miliardów dolarów.
pomimo ustawy Sarbanes-Oxley z 2002 r. (SOX lub SOA) zewnętrzni audytorzy nadal ujawniają dużą liczbę istotnych słabości systemów kontroli wewnętrznej wielu spółek publicznych. W niektórych przypadkach zewnętrzne publiczne firmy księgowe zgłaszały te istotne niedociągnięcia w odniesieniu do tych samych przedsiębiorstw przez kolejne lata, które mogą prowadzić do wprowadzenia w błąd sprawozdań finansowych i mogą wiązać się z nadużyciami finansowymi.
Sox w skrócie
Sox wymaga kilku mechanizmów zarządzania w celu poprawy jakości sprawozdawczości finansowej.
sekcja 404 lit.a) wymaga, aby kierownictwo spółek publicznych przedstawiało swoją odpowiedzialność za odpowiednią strukturę kontroli wewnętrznej oraz składało sprawozdania z ich projektowania, wdrażania i oceny skuteczności kontroli wewnętrznej w zakresie sprawozdawczości finansowej.
sekcja 302 wymaga, aby dyrektor generalny i dyrektor finansowy poświadczyli, że dokonali przeglądu rocznych i kwartalnych sprawozdań finansowych i zgodnie z ich wiedzą, roczne i kwartalne informacje reprezentują wyniki operacyjne i sytuację finansową firmy oraz czy kontrole wewnętrzne są skuteczne. Tak więc rozwiązania zgodne z Sarbanes-Oxley dokumentują, że prezesi i dyrektorzy finansowi przeglądali sprawozdania finansowe i oceniali skuteczność kontroli wewnętrznych. Ponadto pojawiły się odniesienia do przestrzegania PCAOB (The Public Company Accounting Oversight Board, created by the Sarbanes-Oxley Act) Standard Auditing Standard Number 5 requirements to reduce fraud by controlling transactions. PCAOB zaleca stosowanie ram kontroli wewnętrznej, takich jak Komitet Organizacji sponsorujących ramy Komisji Treadway.
system informacji i komunikacji jest nie tylko podstawą struktury COSO; inne kontrole w organizacji zależą od skuteczności kontroli IT. Kontrole IT są ważne dla osiągnięcia celów kontroli wewnętrznej i wiarygodnych sprawozdań finansowych (PCAOB AS 5). PCAOB AS 5 odnosi się do as 12 Dodatek B stwierdza „gdy jest on używany do inicjowania, rejestrowania, przetwarzania i raportowania transakcji, systemy i programy informatyczne mogą obejmować kontrole związane z odpowiednimi twierdzeniami istotnych rachunków i ujawnień lub mogą mieć kluczowe znaczenie dla skutecznego funkcjonowania ręcznych kontroli, które od niego zależą”. (PCAOB JAKO 12).
co powinno być na Twoim radarze, aby być zgodnym z SOX?
twórcy systemów ERP (enterprise resource planning) szybko zareagowali na przejście Sarbanes-Oxley, oferując dodatkowe funkcje, takie jak rozwiązania SAP Governance, Risk, and Compliance (GRC) oraz Oracle Hyperion Financial Management.
z punktu widzenia cyberbezpieczeństwa kontrole wewnętrzne stanowią główną część zgodności z SOX. Zazwyczaj widoczne są cztery obszary:
- bezpieczeństwo danych (np. ZenGRC przez wzajemność, SAP GRC Solutions)
- rozwiązania do zarządzania zmianami
- środki Tworzenia Kopii Zapasowych
- Kontrola dostępu i uwierzytelnianie
jak systemy biometryczne mogą wzmocnić zgodność z SOX?
ten artykuł zawiera przegląd dwóch systemów biometrycznych (tj. odcisków palców i uwierzytelniania żył dłoni) kompatybilnych z systemami SAP ERP. Podstawą osadzania danych biometrycznych w systemie ERP jest to, że same hasła nie identyfikują rzeczywistego użytkownika systemu ERP w niektórych przypadkach (np. hasła słabe lub domyślne). Systemy biometryczne mogą usprawnić środki kontroli dostępu.
przed przejściem ustawy Sarbanes-Oxley w czasie rzeczywistym zapewniono środowisko SAP ERP uwierzytelnianie odcisków palców bezpieczeństwo biometryczne z bezpieczeństwem transakcji aż do poziomu pola, aby uzyskać jasną odpowiedzialność i zminimalizować oszustwa. Jest to jedyny system biometryczny, który osadza natywnie dane biometryczne w SAP ERP.
ostatnio możliwe zabezpieczenia zostały rozszerzone o ręczne uwierzytelnianie żył firmy Fujitsu.Dzięki Fujitsu PalmSecure każdy, kto potrzebuje dodatkowych zabezpieczeń, może uzyskać dostęp do systemu SAP ERP za pomocą czujnika ręcznego Fujitsu. Czujnik PalmSecure przechwytuje ponad pięć milionów punktów odniesienia z indywidualnego wzorca żył dłoni. Osobniki mają różne wzory żył dłoni na lewej i prawej ręce. Osoby nie dotykają czujnika—co sprawia, że użytkowanie jest bardzo higieniczne. Jest to szczególnie ważne w warunkach szpitalnych i w miejscach takich jak banki, w których duża liczba użytkowników używałaby tego samego czujnika.
ani odciski palców, ani czujniki żył dłoni nie zapisują zdjęć palców ani dłoni. Oba typy czujników tworzą zaszyfrowany, numeryczny szablon, a nie rzeczywiste obrazy danych biometrycznych. Oszczędza to przestrzeń dyskową i sprawia, że wyszukiwanie jest bardziej wydajne. System jest wystarczająco elastyczny, aby określić, które funkcje lub użytkownicy potrzebują, które opcje zabezpieczeń, takie jak karta inteligentna, odcisk palca lub żyła ręki. Niezależnie od tego, czy użytkownik korzysta z uwierzytelniania linii papilarnych, czy uwierzytelniania żył ręcznych, dane będą przechowywane w systemie SAP ERP organizacji. Co więcej, organizacje mogą chcieć dodać inne systemy biometryczne w przyszłości; system jest otwarty na przyjmowanie nowych rozwiązań w miarę rozwoju technologii biometrycznej.
podsumowanie
podsumowując, kontrole wewnętrzne IT są podstawą rzetelnego procesu sprawozdawczości finansowej i minimalizacji oszustw. Oczywiście zaimplementowanie kontroli dostępu i uwierzytelniania nie oznacza, że jest ono zgodne z SOX lub niewrażliwe na wewnętrzne zagrożenia, ale ten środek jest obowiązkowym krokiem do zapewnienia zgodności.Podczas gdy nasze identyfikatory są sprawdzane wszędzie indziej, firmy nadal polegają na technologii haseł, aby zaakceptować użytkowników do swoich systemów i umożliwić im wykonywanie najważniejszych funkcji w korporacyjnym systemie komputerowym, jednak w niektórych przypadkach środek ten wydaje się niewystarczający. Obecnie można poprawić zgodność z Sarbanes-Oxley poprzez dodanie uwierzytelniania ręcznego do arsenału narzędzi biometrycznych.
Fatima Alali i Paul Sheldon Foote
California State University, Fullerton
komentarz ERPScan:
zgodność z SOX jest koniecznością dla wszystkich amerykańskich firm publicznych. Ustawa wymaga ustanowienia wewnętrznych kontroli sprawozdawczości finansowej w celu zmniejszenia ryzyka oszustw korporacyjnych.
polityka kontroli dostępu jest często postrzegana jako podstawowy środek. Niemniej jednak, SOX nie jest ograniczony przez zapewnienie odpowiednich praw dostępu. Zarządzanie dostępem jest podstawą zgodności SOX, ale obejmuje również ocenę ryzyka, informacje i komunikację, działania kontrolne i monitorowanie. Wszystkie te środki muszą być stosowane do systemu SAP, jak również w celu zapewnienia zgodności. Należy pamiętać, że bezpieczeństwo SAP zawsze składa się z 3 obszarów – kontroli dostępu, bezpieczeństwa platformy aplikacji i ochrony dostosowywania.