sistema de negociação e controles relacionados para entrar em negociações fictícias no sistema para compensar suas negociações reais. Ele sabia sobre certas verificações e reconciliações noturnas do sistema incorporadas aos controles de negociação que sinalizariam seus negócios fictícios. Para iludir os controles, ele apagou suas negociações fictícias quando as verificações do sistema aconteceram e as reentrou no sistema após a conclusão das verificações. O sistema não sinalizou desequilíbrios temporários. Como resultado das enormes posições de negociação em que ele entrou, Societe Generale perdeu US $7.2 bilhões. No UBS, um comerciante de baixo risco/baixo retorno explorou seu conhecimento do sistema de negociação de ETF que levou à perda do banco de US $2 bilhões.
apesar da Lei Sarbanes-Oxley de 2002 (SOX, ou SOA), os auditores externos continuam a divulgar um grande número de fraquezas materiais nos sistemas de controle interno de muitas empresas públicas. Em alguns casos, empresas externas de Contabilidade Pública relataram essas fraquezas materiais para as mesmas empresas por anos consecutivos que podem resultar em demonstrações financeiras enganosas e podem envolver fraude.
SOX em resumo
SOX requer vários mecanismos de governança para melhorar a qualidade dos relatórios financeiros. A Seção 404 (A) exige que a administração de empresas públicas declare sua responsabilidade por uma estrutura de controle interno adequada e informe sobre sua concepção, implementação e avaliação da eficácia dos controles internos sobre relatórios financeiros.
a seção 302 exige que o CEO e o CFO certifiquem que revisaram as demonstrações financeiras anuais e trimestrais e, de acordo com seus conhecimentos, as informações anuais e trimestrais representam os resultados das operações e da posição financeira da empresa e se os controles internos são eficazes. Assim, as soluções compatíveis com Sarbanes-Oxley documentam que os CEOs e CFOs revisaram relatórios financeiros e avaliaram a eficácia dos controles internos. Além disso, havia referências ao cumprimento do PCAOB (o Conselho de Supervisão contábil da empresa pública, criado pela Lei Sarbanes-Oxley) auditando os requisitos padrão número 5 para reduzir a fraude controlando as transações. O PCAOB recomenda o uso de uma estrutura para controles internos, como o Comitê de organizações patrocinadoras do quadro da Comissão Treadway.Um sistema de informação e comunicação não é apenas fundamental para a estrutura COSO; outros controles dentro de uma organização dependem da eficácia dos controles de TI. Os controles de TI são importantes para alcançar objetivos de controle interno e relatórios financeiros confiáveis (PCAOB as 5). Quando é usado para iniciar, registrar, processar e relatar transações, os sistemas e programas de TI podem incluir controles relacionados às afirmações relevantes de contas e divulgações significativas ou podem ser críticos para o funcionamento efetivo dos controles manuais que dependem dele”. (PCAOB COMO 12).
o que deve estar no seu radar para ser compatível com SOX?
os criadores de sistemas ERP (enterprise resource planning) responderam rapidamente à aprovação da Sarbanes-Oxley, oferecendo recursos adicionais, como soluções SAP Governance, Risk and Compliance (GRC) e Oracle Hyperion Financial Management.
do ponto de vista da segurança cibernética, os controles internos compreendem a maior parte da conformidade com o SOX. Normalmente, quatro áreas entram em exibição:
- segurança dos dados (por exemplo ZenGRC por reciprocidade, soluções SAP GRC)
- soluções de gerenciamento de mudanças
- medidas de Backup
- controles de acesso e autenticação
como os sistemas biométricos podem reforçar a conformidade com SOX?
este artigo fornece uma visão geral de dois sistemas biométricos (ou seja, impressão digital e autenticação de veia manual) compatíveis com os sistemas SAP ERP. A base da incorporação da biometria em um sistema ERP é que as senhas, por si só, não identificam o usuário real de um sistema ERP em alguns casos (por exemplo, senhas fracas ou padrão). Os sistemas biométricos podem melhorar as medidas de controle de acesso.
antes da aprovação da Lei Sarbanes-Oxley, a realtime forneceu a segurança biométrica de autenticação de impressão digital do ambiente SAP ERP com segurança de transações até o nível de campo para uma responsabilidade clara e minimizar a fraude. Este é o único sistema biométrico a incorporar dados biométricos nativamente no SAP ERP.
mais recentemente, as possíveis proteções foram expandidas para incluir a autenticação de veia manual da Fujitsu.Com o Fujitsu PalmSecure, qualquer pessoa que exija segurança adicional pode acessar o SAP ERP usando um sensor Fujitsu hand vein. O sensor PalmSecure captura mais de cinco milhões de pontos de referência a partir do padrão da veia da palma de um indivíduo. Os indivíduos têm diferentes padrões de veia da palma da mão nas mãos esquerda e direita. Os indivíduos não tocam no sensor—o que torna o uso muito higiênico. Isso é especialmente importante em ambientes hospitalares e em locais como bancos onde um grande número de usuários usaria o mesmo sensor.
nem a impressão digital nem os sensores da veia da mão salvam fotografias dos dedos ou das palmas das mãos. Ambos os tipos de sensores criam um modelo numérico criptografado, não as imagens reais das credenciais biométricas. Isso economiza espaço de armazenamento e torna as pesquisas mais eficientes. O sistema é flexível o suficiente para especificar quais funções ou usuários precisam de quais opções de segurança, como cartão inteligente, impressão digital ou veia manual. Se um usuário estiver usando autenticação de impressão digital ou autenticação de veia Manual, os dados serão armazenados no SAP ERP da organização. Além disso, as organizações podem querer adicionar outros sistemas biométricos no futuro; o sistema está aberto a aceitar novos desenvolvimentos à medida que a tecnologia biométrica evolui.
conclusão
em resumo, os controles internos de TI são a base para um processo Confiável de relatórios financeiros e para a minimização da fraude. É claro que ter controles de acesso e autenticação implementados não é igual a ser compatível com SOX ou insusceptível para ameaças internas, mas essa medida é uma etapa obrigatória para a conformidade.Embora nossos IDs sejam verificados em qualquer outro lugar, as empresas ainda dependem da tecnologia de senha para aceitar usuários em seus sistemas e permitir que eles executem as funções mais vitais em um sistema de computador corporativo, no entanto, em alguns casos, essa medida parece insuficiente. Agora é possível melhorar a conformidade Sarbanes-Oxley adicionando autenticação de veia manual ao arsenal de ferramentas biométricas.
por Fatima Alali e Paul Sheldon Foote
California State University, Fullerton
Comentário de ERPScan:
Sox compliance é uma obrigação para todas as empresas americanas de capital aberto. A lei exige o estabelecimento de controles internos para relatórios financeiros para reduzir os riscos de fraude corporativa.
a Política de controle de acesso é frequentemente vista como a principal medida. No entanto, a SOX não se limita a fornecer direitos de acesso apropriados. O gerenciamento de acesso é a base da conformidade SOX, mas também inclui avaliação de risco, informação e comunicação, atividades de controle e monitoramento. Todas essas medidas devem ser aplicadas a um sistema SAP, bem como para garantir a conformidade. Lembre – se de que o SAP Security sempre consiste em 3 áreas-Controle de acesso, segurança da plataforma de aplicativos e proteção de personalização.