handelssystem och relaterade kontroller för att komma in i fiktiva affärer i systemet för att kompensera sina verkliga ohämmade affärer. Han visste om vissa nattliga systemkontroller och avstämningar inbyggda i handelskontrollerna som skulle flagga hans fiktiva affärer. För att undvika kontroller raderade han sina fiktiva affärer när systemkontrollerna hände och återinförde dem i systemet efter att kontrollerna var färdiga. Systemet flaggade inte tillfälliga obalanser. Som ett resultat av de massiva handelspositioner han gick in i, förlorade Societe Generale $ 7.2 miljarder. Vid UBS utnyttjade för låg risk/lågavkastningshandlare sin kunskap om ETF-handelssystemet som ledde till bankens förlust på 2 miljarder dollar.
trots Sarbanes-Oxley Act från 2002 (SOX eller SOA) fortsätter externa revisorer att avslöja ett stort antal väsentliga svagheter i interna kontrollsystem i många offentliga företag. I vissa fall har externa offentliga revisionsbyråer rapporterat dessa väsentliga svagheter för samma företag under på varandra följande år som kan leda till vilseledande finansiella rapporter och kan innebära bedrägeri.
SOX i korthet
SOX kräver flera styrningsmekanism för att förbättra kvaliteten på den finansiella rapporteringen.
avsnitt 404 (a) kräver att ledningen av offentliga företag ska ange sitt ansvar för en adekvat intern kontrollstruktur och att rapportera om deras utformning, genomförande och utvärdering av hur effektiv den interna kontrollen över den finansiella rapporteringen är.
avsnitt 302 kräver att VD och CFO intygar att de har granskat års-och kvartalsbokslutet och att Års-och kvartalsinformationen såvitt de vet representerar företagets resultat och finansiella ställning och om den interna kontrollen är effektiv. Således dokumenterar Sarbanes-Oxley-kompatibla lösningar att VD och CFO: er granskade finansiella rapporter och utvärderade effektiviteten av interna kontroller. Dessutom fanns det hänvisningar till att följa PCAOB (Public Company Accounting Oversight Board, skapad av Sarbanes-Oxley Act) revisionsstandard nummer 5 krav för att minska bedrägerier genom att kontrollera transaktioner. PCAOB rekommenderar att man använder ett ramverk för interna kontroller som Committee of Sponsoring Organizations of the Treadway Commission framework.
ett informations-och kommunikationssystem är inte bara grundläggande för COSO-ramverket; andra kontroller inom en organisation beror på effektiviteten hos IT-kontrollerna. It-kontroller är viktiga för att uppnå interna kontrollmål och tillförlitliga finansiella rapporter (PCAOB AS 5). PCAOB AS 5 hänvisar till As 12 Bilaga B säger”när det används för att initiera, registrera, bearbeta och rapportera transaktioner kan IT-systemen och programmen innehålla kontroller relaterade till relevanta påståenden om betydande konton och upplysningar eller kan vara avgörande för att manuella kontroller som är beroende av det fungerar effektivt”. (PCAOB SOM 12).
Vad ska vara på din radar för att vara SOX-kompatibel?
tillverkare av ERP-System (enterprise resource planning) svarade snabbt på Sarbanes-Oxleys passage genom att erbjuda ytterligare funktioner, såsom SAP Governance, Risk and Compliance (GRC) – lösningar och Oracle Hyperion Financial Management.
från cybersäkerhetssynpunkt utgör interna kontroller huvuddelen av SOX-efterlevnaden. Vanligtvis, fyra områden kommer i sikte:
- datasäkerhet (t. ex. ZenGRC by Reciprocity, SAP GRC Solutions)
- Change management solutions
- Backup åtgärder
- åtkomstkontroller och autentisering
hur biometri system kan stärka Sox efterlevnad?
den här artikeln ger en översikt över två biometriska system (dvs. fingeravtryck och handvenautentisering) som är kompatibla med SAP ERP-system. Grunden för att bädda in biometri i ett ERP-system är att lösenord, ensamma, inte identifierar den verkliga användaren av ett ERP-system i vissa fall (t.ex. svaga eller standardlösenord). Biometriska system kan förbättra åtkomstkontrollåtgärder.
innan Sarbanes-Oxley Act passerade, tillhandahölls realtid för SAP ERP-miljön fingeravtrycksautentisering biometrisk säkerhet med transaktionssäkerhet ner till fältnivå för tydlig ansvarsskyldighet och för att minimera bedrägerier. Detta är det enda biometriska systemet som bäddar in inhemska biometriska data i SAP ERP.
på senare tid har de möjliga skydden utökats till att omfatta handvenautentisering från Fujitsu.Med Fujitsu PalmSecure kan alla som behöver ytterligare säkerhet komma åt SAP ERP med en Fujitsu handvensensor. PalmSecure-sensorn fångar mer än fem miljoner referenspunkter från en individs palm-venmönster. Individer har olika palm-ven mönster på sina vänstra och högra händer. Individer rör inte sensorn—vilket gör användningen mycket hygienisk. Detta är särskilt viktigt i sjukhusinställningar och på platser som banker där ett stort antal användare skulle använda samma sensor.
varken fingeravtryck eller handvenssensorer sparar fotografier av fingrar eller palmer. Båda typerna av sensorer skapar en krypterad, numerisk mall, inte de faktiska bilderna av biometriska referenser. Detta sparar lagringsutrymme och gör sökningar effektivare. Systemet är tillräckligt flexibelt för att ange vilka funktioner eller användare som behöver vilka säkerhetsalternativ, till exempel smartkort, fingeravtryck eller handven. Oavsett om en användare använder fingeravtrycksautentisering eller handvenautentisering lagras data i organisationens SAP ERP. Dessutom kanske organisationer vill lägga till andra biometriska system i framtiden; systemet är öppet för att acceptera nya utvecklingar när biometrisk teknik utvecklas.
slutsats
Sammanfattningsvis är IT-interna kontroller grunden för en tillförlitlig finansiell rapporteringsprocess och för minimering av bedrägerier. Att ha åtkomstkontroller och autentisering implementerad är naturligtvis inte lika med att vara SOX-kompatibel eller okänslig för interna hot, men denna åtgärd är ett obligatoriskt steg mot efterlevnaden.Medan våra ID kontrolleras överallt, förlitar sig företag fortfarande på lösenordsteknik för att acceptera användare i sina system och låta dem utföra de viktigaste funktionerna i ett företagsdatorsystem, men i vissa fall verkar denna åtgärd otillräcklig. Det är nu möjligt att förbättra Sarbanes-Oxley-efterlevnaden genom att lägga till hand-ven-autentisering till arsenalen av biometriska verktyg.
av Fatima Alali och Paul Sheldon Foote
California State University, Fullerton
Erpscans kommentar:
SOX compliance är ett måste för alla amerikanska offentligt ägda företag. Lagen kräver att man fastställer interna kontroller för den finansiella rapporteringen för att minska riskerna för företagsbedrägerier.
Åtkomstkontrollpolicy ses ofta som det primära måttet. Ändå är SOX inte begränsat genom att tillhandahålla lämpliga åtkomsträttigheter. Åtkomsthantering är grunden för SOX-efterlevnad, men det inkluderar också riskbedömning, Information och kommunikation, kontrollaktiviteter och övervakning. Alla dessa åtgärder måste också tillämpas på ett SAP-System för att säkerställa efterlevnaden. Tänk på att SAP – säkerhet alltid består av 3 områden-åtkomstkontroll, Applikationsplattformssäkerhet och anpassningsskydd.