Соответствие SOX: ваш путь к успеху

В 2002 году Конгресс США принял Закон Сарбейнса-Оксли (SOX). Он был направлен на защиту общественности от мошеннической или ошибочной бухгалтерии в публичных компаниях. Публичные компании должны убедиться, что они предоставляют точную финансовую отчетность, чтобы остановить манипуляции с акциями. Соответствие SOX — это не просто юридическое требование для компаний, акции которых торгуются в США. Это также лучший способ предотвратить юридические проблемы для вашей компании.

Чтобы достичь соответствия SOX, ваша компания должна обеспечить безопасность и защиту своих финансовых данных. Это обеспечит точную передачу всех финансовых данных без каких-либо манипуляций. С этой целью ИТ-отдел компании часто получает работу. Они управляют этими данными и проводят обязательные проверки.

Чтобы понять соответствие SOX, давайте сначала посмотрим, как оно появилось.

Закон SOX

В 2002 году сенатор Пол Сарбейнс и представитель Майкл Дж. Оксли создали закон SOX. Это произошло в ответ на несколько корпоративных скандалов, связанных с мошенническими действиями. А именно, такие компании, как Enron, Tyco и Worldcom, обманули своих акционеров.

Закон SOX направлен на . Неудивительно, что в 2002 году он был принят подавляющим большинством голосов. Закон SOX предусматривает привлечение к уголовной ответственности всех членов правления и должностных лиц публичной компании.

После принятия первоначального закона в 2002 г. в марте 2020 г. была внесена лишь незначительная поправка. Это обновление касалось термина «ускоренный заявитель». Сегодня все государственные предприятия, торгуемые в США, должны соблюдать действующий закон SOX.

Требования соответствия SOX

По сути, все публичные компании должны обеспечить неизменность, безопасность и контроль своих финансовых данных. Таким образом, компания не несет ответственности. С этой целью каждый член бизнеса должен действовать, чтобы это произошло. Вот 3 вещи, которые вы можете сделать, чтобы соответствовать требованиям SOX:

1. Предотвратить утечку данных

Все пользователи сети должны иметь возможность предотвратить утечку данных. Все должны убедиться, что они не предоставляют информацию злоумышленникам за пределами компании. Как минимум, это означает наличие адекватных паролей для предотвращения атак грубой силы. Он также включает в себя настройку брандмауэра. Предотвращение утечки данных также включает обучение пользователей о лучших практиках ИТ. Например, ваши пользователи не должны переходить по ссылке электронной почты из ненадежного источника. Им также не следует подключать USB-устройства, найденные на сайте компании.

2. Используйте ERP-систему

Вы должны разрознить финансовые данные. Это защитит его от пользователей, которым не нужен доступ к нему. Для эффективного соблюдения требований многие компании будут использовать свое программное обеспечение для планирования ресурсов предприятия (ERP) или его эквивалент. Затем они могут контролировать доступ и обеспечивать адекватный контроль версий финансовых данных. Вам также потребуется контроль версий как минимум для ежегодного внешнего аудита. Вы даже должны включить архивирование электронной почты, независимо от того, какую систему использует ваш бизнес.

3. Настройте свое решение

Все предприятия работают по-разному со своими системами и процедурами. В результате может быть трудно определить, что именно вам нужно. Каждый бизнес будет использовать разные инструменты, конфигурации инфраструктуры и детализированные процессы. Тем не менее, во время обязательного ежегодного аудита ваша компания должна соответствовать ряду ключевых требований.

И это подводит нас к следующей идее. Что нужно сделать, чтобы подготовиться к аудиту соответствия SOX?

Подготовка к аудиту соответствия SOX

На первый взгляд кажется, что финансовые команды должны контролировать аудит SOX. Однако на самом деле это работа ИТ-команды. Почему? Потому что аудит соответствия SOX относится к управлению данными.

Ниже мы обсудим 4 ключевых метода управления, которые помогут обеспечить соответствие требованиям SOX.

1. Безопасное управление контролем доступа

ERP поможет вам с соблюдением требований SOX. На самом деле, если у вас есть ERP- система, вы знаете, что они помогают во многих различных процессах аудита. В некоторых случаях вы найдете бизнес с одним человеком, использующий систему ERP. Почему? Это помогает им удовлетворять потребности отрасли, в которой они работают, и заключать контракты, даже если они не являются публичной компанией. Для соответствия SOX ERP сделает большую часть вашей работы, но давайте посмотрим, как она поможет вам конкретно с вашим безопасным контролем доступа.

Разрозненные финансовые данные

Например, вы можете разделять данные на основе требований проекта или роли. Это означает, что руководство может иметь доступ к финансовым данным, но не иметь возможности изменять содержимое. Вместо этого они могут только просматривать контент. Финансовые сотрудники могут иметь разрешения на создание и изменение. Таким образом, они могут протолкнуть документы через отслеживаемый контроль версий. Это означает, что каждое событие регистрируется файловым объектом в ERP.

Внедрение меток безопасности

В некоторых отраслях, таких как аэрокосмическая промышленность, необходимо использовать защитные этикетки для соответствия промышленным стандартам безопасности де-факто. В противном случае они не смогут получить контракты от американских компаний. Метки безопасности также могут создавать уровни безопасности внутри организации. Они диктуют, что разные участники могут видеть или над чем работать. ERP-система будет иметь встроенные аудиторские отчеты. Вы можете получать журналы доступа пользователей напрямую или через ERP из журналов сервера.

Ограничить права пользователя

Если у вас нет системы ERP, вам, возможно, придется попытаться контролировать доступ к данным с помощью политик или разрешений пользователей сервера. Файлам потребуется некоторая форма контроля версий. Однако этот контроль должен быть надежным. Некоторые компании будут полагаться на систему управления корпоративной документацией (EDM) для достижения этой цели вместо полной системы ERP.

Независимо от того, какое решение для обеспечения безопасности и контроля данных у вас есть, вам необходимо убедиться, что ни один пользователь не сможет получить доступ к финансовым записям, когда они не должны этого делать. Вы можете создать тестовых пользователей и проверить их, опросив систему. Убедитесь, что вы документируете свои выводы.

2. Продемонстрируйте устойчивую структуру кибербезопасности

Вы должны продемонстрировать, что в вашей организации имеется устойчивая система кибербезопасности. В большинстве организаций это рассматривается в отношении структуры (COSO). Если вы внедрили COSO, вы должны удовлетворить эту потребность посредством оценки. Конечно, вы должны принять соответствующие меры кибербезопасности.

COSO помогает оценить и выделить как внутренние, так и внешние риски для компании. Он работает по принципу «сверху вниз». Таким образом, бизнес может быстро согласовать политику управления рисками и управление. Структура COSO представляет собой итеративную модель управления с саморегулирующимся процессом. Оценка проводится регулярно, чтобы гарантировать, что новые риски не будут упущены из виду. О них сообщается руководству. Затем компания вносит изменения, чтобы уменьшить или смягчить риск.

Внедрите структуру COSO, если можете. Это упрощает отслеживание всех рисков и мероприятий по их контролю. Это также поможет вам с соблюдением SOX.

3. Управление изменениями

В ходе аудита вы должны доказать, что ваша система контроля изменений и версий работает для финансовой документации. Часто это можно сделать, внедрив систему ERP или PLM.

Все сотрудники должны быть знакомы со стандартом соответствия SOX. Кроме того, они должны знать средства контроля, которые компания использует для их соблюдения. В основном это помогает каждому понять, как должны работать процессы управления изменениями и контроля версий. Это также помогает гарантировать, что люди используют определенный процесс, а не обходят его стороной. Несмотря на добрые намерения сотрудников, пренебрежение требованиями вредно. Это приводит к неправильной практике ввода данных без объяснения причин.

Ни одна система не является на 100% надежной. Но вы можете предоставить программное решение с соответствующей документацией по управлению. Вы также можете включить обучение . В конце концов, это помогает снизить риск несоблюдения требований.

После обучения вы также можете протестировать своих сотрудников. Затем используйте эти результаты тестирования в качестве доказательства вашего соответствия требованиям SOX.

4. Продемонстрируйте протоколы резервного копирования данных

Вы должны внедрить лучшие отраслевые практики для резервного копирования данных. Это гарантирует, что вы сможете восстановить данные в случае сбоя. Ясно, что вы можете создавать резервные копии вашей системы разными способами. Но независимо от ваших методов, вы должны убедиться, что он работает правильно. Если ваши резервные копии данных не работают, когда это необходимо, бизнес потерпит неудачу. Это также создаст проблемы для акционеров.

Вам необходимо продемонстрировать, что ваше решение для резервного копирования работает, чтобы обеспечить соответствие SOX. Для этого реплицируйте производственную среду в тестовой системе. Затем восстановите последнюю резервную копию. Убедитесь, что вы документируете процесс и предоставляете доказательства того, что он работает.

Возможно, вам также придется показать процесс аудиторам. Для этого откатите тестовую систему. Затем используйте документацию, чтобы повторить процесс, если вам нужно.

Вот и все! Вы знаете методы управления для подготовки к аудиту соответствия SOX. Подводя итог, вот несколько трюков, которые вы должны иметь в виду.

Советы профессионалов

• Используйте программное обеспечение для управления данными, которое включает: журналы, оповещения, тренды и системы для аудита.
• Убедитесь, что у вас есть архивы электронной почты в рамках аудита данных.
• Убедитесь, что вы можете восстановить свои резервные копии и периодически документируйте процесс.
• Внедрите программное обеспечение для предотвращения потери данных, чтобы предотвратить утечку данных за пределы компании.
• Убедитесь, что у вас есть доказательства того, что ваша система соответствует всем требованиям аудита как минимум за 90 дней до аудита.

Каковы преимущества соответствия SOX?

Если вы сможете успешно соблюдать SOX, вы вызовете доверие у акционеров или новых инвесторов. Инвесторы не трейдеры, поэтому они будут рыскать по рынку в поисках недооцененных инвестиционных драгоценных камней. Например, Китай в настоящее время теряет много иностранных инвестиций в свои компании. Почему? Страна не предоставляет прозрачных финансовых отчетов, из-за чего многие инвесторы уходят в другие страны. Точно так же, если вы не можете внушить доверие к своему бизнесу, он станет непригодным для инвестиций. Это остановит рост и даст преимущество конкурентам.

Но это не все. Соответствие SOX также обеспечит внутренние преимущества. Например, это поможет росту вашей компании за счет завоевания доверия инвесторов. Соответствие SOX также не позволяет руководству сообщать о ложных результатах. Это может помочь работникам ниже уровня руководства чувствовать себя в большей безопасности на своей работе. Они будут знать, что их бизнес работает как надо. Это также помогает работникам чувствовать себя в большей безопасности благодаря надлежащему обучению в отношении кибератак. Они случайно не навредят компании.

Наконец, чтобы помочь вам достичь соответствия SOX, я также составил этот удобный список вопросов. Это поможет вам узнать, соответствуете ли вы требованиям.

Контрольный список соответствия SOX

Чтобы убедиться, что вы соответствуете требованиям SOX, взгляните на этот список вопросов. Затем посмотрите, сможете ли вы эффективно ответить на них:

• Используете ли вы такую структуру, как COSO, для выявления и управления рисками и мерами контроля вашего бизнеса?
• Есть ли у вас политики безопасности, определяющие, как создавать, изменять и поддерживать системы учета, управляющие финансовыми данными?
• Есть ли у вас средства защиты от несанкционированного доступа к данным?
• Можете ли вы обнаружить утечку данных?
• Есть ли у вас план реагирования на инциденты в случае нарушения безопасности?
• Есть ли у вас средства регистрации доступа пользователей к финансовым данным?
• Будут ли аудиторы SOX иметь доступ, необходимый для выполнения их работы?
• Используете ли вы классификацию данных или метки безопасности, чтобы упростить реализацию корпоративных политик для обработки данных?

Последние мысли

В этой статье мы обсудили, что такое соответствие SOX, и рассмотрели полезные меры, которые вы можете предпринять, чтобы максимально упростить этот процесс. Для аудита соответствия SOX убедитесь, что программное обеспечение, пользовательская документация и документация по управлению актуальны.

Аудиторы приедут на место и увидят доказательства того, что ваши процессы работают сами по себе. Ваша задача — сделать этот процесс безболезненным для них, чтобы ваш бизнес получил зеленый свет.

В конце концов, помните, что SOX стремится защитить ваши финансовые записи. В результате соответствие SOX повысит интерес инвесторов к вашей компании. В свою очередь, ваши сотрудники также улучшат свою работу.

У вас есть дополнительные вопросы о соответствии SOX? Ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже.

Часто задаваемые вопросы

Что такое СОКС?

Закон Сарбейнса-Оксли (SOX) призван «защитить инвесторов за счет повышения точности и надежности раскрытия корпоративной информации». Закон SOX обязывает всех членов правления и должностных лиц публичной компании нести уголовную ответственность в случае мошеннического изменения финансовых данных. Закон был создан в 2002 году после того, как такие компании, как Eron и Worldcom, обманули инвесторов.

Как максимально упростить соблюдение требований SOX?

Если вы еще не используете систему планирования ресурсов предприятия (ERP), вы можете начать. Эти системы помогают управлять данными, включая управление версиями и изменениями. Они позволяют компаниям удовлетворять различные потребности в области аудита. Даже некоторые предприятия, состоящие из одного человека, используют ERP-решения, позволяющие им заключать контракты на своем рынке.

Как структура COSO может помочь в соблюдении SOX?

Структура Комитета спонсорских организаций (COSO) представляет собой стандарт управления рисками и контролем сверху вниз, используемый предприятиями. Это помогает выявить недостающие механизмы контроля, которые потребуются бизнесу на разных уровнях. Соответствие закону Сарбейнса-Оксли (SOX) упрощается благодаря внедрению структуры COSO. Большинство политик управления и документации уже существуют и поддерживаются.

Как соблюдение SOX помогает бизнесу?

Соответствие закону Сарбейнса-Оксли (SOX) повышает доверие инвесторов к достоверности вашей финансовой отчетности. Это также доказывает, что ваши записи точны и в них нет преднамеренных или иных ошибок. Помимо помощи инвесторам, соблюдение SOX также помогает бизнесу установить четкое управление. Это также гарантирует, что управление бизнесом защищает инвесторов от инвестиций на основе ложных заявлений. Это также поддерживает репутацию компании.

Когда будет проводиться аудит SOX?

Аудит Sarbanes-Oxley (SOX) проводится один раз в год. Компании должны показать, что они соблюдали требования за 90 дней до аудита. Чтобы убедиться, что ваша компания не провалит аудит, вам необходимо убедиться, что все ваши системы управления работают. Вы также должны проверить, хорошо ли документированы эти системы. Убедитесь, что у вас есть доказательства проведения должной осмотрительности, чтобы помочь аудиторам выполнять свою работу.