Ki fog megfelelni a november 15-ei határidőre a SOX biztonságtechnikai követelményeknek?
Zsadányi Pál, 2004. október 26. 13:03
Sarbanes-Oxley (SOX) Compliance. Amelyet 2002. július végén
fogadtak el, és amelynek a 404-es szakaszában előírt adatvédelmi
alkalmassági feltételeket november 15-ig kell teljesítenie az amerikai
cégek ügyviteli rendszereinek. Mi nem Amerikában vagyunk, ugye? A SOX
szabályozás azonban sok olyan cégünket érinteni fogja, amelyeknek
amerikai gazdái vagy kooperációs partnerei vannak. Egyébként is
tanulságos a SOX adatvédelmi koncepció, főként, ha informatikára
alapozott (olcsóbb!) államigazgatásban gondolkodunk.
Két képviselő javasolta
A Paul Sarbanes és Michael Oxley kezdeményezésére létrejött amerikai törvény célja az volt, hogy megszilárdítsa a vállalatok vezetését és visszaszerezze a befektetők bizalmát (ami az Enron típusú csalások miatt erodálódott). Az informatikai rendszereket is okolták azért, hogy a nagy csalási manőverek ne derülhessenek ki ideje korán.
A további botrányok korlátozására a SOX törvény egy sereg új vagy javított szabványos eljárást és ellenőrzési rendszert definiált. Ezek teljesítése kötelező minden nyilvános amerikai cég igazgató tanácsának és menedzsmentjének, valamint a nyilvános könyvelő irodáknak. A törvény 11 fejezetből, illetve szakaszból áll, amelyek a felelősségi köröktől kezdve a büntetési tételekig tárgyalják a témát. Köztük vannak a Security Exchange Commission (SEC) befektetési felügyeleti hatóság feladatai is.
A SOX követelményei
A cégek menedzsmentjének és a menedzselését megalapozó háttér-infrastruktúrának egy sereg feltételt kell kielégítenie.
* Szabványos új szabályzatokat kell készíteni az igazgató tanácsok és az auditáló ellenőrző testületek működésére.
* Új számviteli rendet kell szerkeszteni, benne a vezetési hibákra vonatkozó büntető szankciókkal.
* Új szabályozást kell készíteni a külső auditorokra.
* Végül, a SEC-nek létre kell hoznia a Public Company Accounting Oversight Board (PCAOB) ellenőrző testületet a független könyvelőirodák felügyeletére.
Az informatikai menedzsereket ebből a kiszolgáló infrastruktúrára vonatkozó előírások teljesítésének a bizonyítása érinti. Ezt kellene november 15-éig teljesíteni. A 404-es szakasz lényegében a belső ellenőrzésre vonatkozik, és három fő szabályt jelent.
1. A menedzsment köteles hatékony ellenőrzési rendet és struktúrát bevezetni a pontos és teljes körű pénzügyi jelentések elkészítésére.
2. A menedzsment éves értékelésének az evidenciáját biztosító ellenőrzési rendet és struktúrát hűen kell dokumentálni.
3. Bejegyzett független könyvelő irodával kell validáltatni a menedzsment értékelését.
Ez látszólag nem sok. A jelek szerint azonban a cégek még mindig nem túlzottan jól állnak a feladat végrehajtásával, pedig, egyszer már elhalasztották a teljesítési határidőt. A neten egy sereg SOX bevezetési tanács található a végrehajtáshoz. Az egyik legalaposabb a TechTarget SearchSecurity.com SOX Survival Guide.
Az Enron képmontázs a WashingtonPost archívumából való. A sikkasztó Enron elnöki ismeretség Bush elnökségét is megingatta, de Bush végül sikert kovácsolt belőle és határozott fellépést ígért a befektetőknek. Ez volna a SOX törvény.