Databeskyttelsesstyring

SOX-overholdelsestjekliste

SOX-overholdelsestjeklistebillede



Efter en række overtrædelser af svig fra højprofilerede virksomheder, Sarbanes-Oxley Act eller SOX trådte i kraft i 2002 for at ændre, hvordan virksomheder styrer deres regnskabs- og oplysningsprocedurer. Ideen var at skabe regler for at beskytte investorer i USA mod at blive ofre for svigagtig regnskabspraksis.

Hvad er SOX?

SOX er et sæt regnskabs- og oplysningsforskrifter, der bestemmer hvordan børsnoterede virksomheder styre, rapportere og lede økonomiske anliggender. Disse forordninger er designet til at fremme et system med intern kontrol og balance og øge gennemsigtigheden.



Mens SOX-overholdelse er en juridisk nødvendighed, hjælper de sikkerhedskontroller, der er iboende i reglerne, også virksomheder med at beskytte følsomme data mod uautoriseret adgang. Med andre ord giver det forretningsmæssigt mening at sikre overholdelse af SOX, fordi større interne kontroller fører til øget beskyttelse.

SOX gælder for alle offentlige virksomheder i USA og alle ikke-amerikanske virksomheder, der driver forretning i USA. Private organisationer og velgørende organisationer behøver ikke at overholde SOX, medmindre en privat organisation forbereder sig på et første offentligt udbud eller børsintroduktion.



Hvad er sanktionerne for manglende overholdelse

At falde i strid med reglerne kommer med hårde sanktioner lige fra bøder, til fjernelse fra offentlige børser og annullering af direktører og embedsmænd (D&O) forsikringer. Personer, der træffer beslutningen om at afgive bevidst urigtige oplysninger eller ødelægge virksomhedens dokumenter, begår en strafbar handling. Straffen spænder fra bøder på op til 5 millioner dollars og op til 20 års fængsel.

Straffenes hårde karakter betyder, at det er afgørende for virksomhederne at gøre en reel indsats for at registrere nøjagtige regnskabsoplysninger og overholde SOX-reglerne.

SOX-overholdelsestjekliste

SOX er opdelt i 11 titler . Hver af disse titler har forskellige sektioner med mindre krav. Oplysningerne i hvert afsnit er for omfattende til at blive inkluderet her, men du kan se de fulde detaljer her . Men de vigtigste sektioner at gøre dig bekendt med er som følger:

  • Afsnit 302: Virksomhedens ansvar for finansielle rapporter
  • Afsnit 404: Ledelsesvurdering af interne kontroller
  • Afsnit 409: Oplysninger om problemer i realtid
  • Afsnit 802: Straffestraffe for ændring af dokumenter
  • Afsnit 906: Virksomhedens ansvar for finansielle rapporter

Afsnit 302: Virksomhedens ansvar for finansielle rapporter

Afsnit 302 specificerer det ansvar, som virksomheder har for at beskytte data og udvikle nøjagtige økonomiske rapporter. Dette afsnit fastslår, at den administrerende direktør og CFO har et ansvar for at sikre, at der findes detaljeret dokumentation for finansielle rapporter og interne kontroller.

De skal også attestere, at oplysningerne i en årlig eller kvartalsvis gennemgang er korrekte og tage personligt ansvar for alle interne kontroller, der bruges til at beskytte følsomme data. De skal også have gennemgået disse kontroller inden for de sidste 90 dage.

Afsnit 404: Ledelsesvurdering af interne kontroller

§ 404 foreskriver, at virksomheder har systemer til at levere de nødvendige data til en uafhængig revisor. Den skitserer, hvordan årsrapporter skal udfyldes, og skitserer et krav om at rapportere sikkerhedsbrud.

Paragraf 404 angiver også, at du skal have sikkerhedsforanstaltningerne nævnt i afsnit 302 for at blive verificeret af en uafhængig revisor. Den uafhængige revisor vurderer, om der er sikkerhedsmæssige forhold, som aktionærerne skal være opmærksomme på.

Afsnit 409: Oplysninger om problemer i realtid

Sektion 409 skitserer, at virksomheder har et ansvar for at offentliggøre 'Yderligere oplysninger vedrørende væsentlige ændringer i den økonomiske tilstand eller driften af ​​spørgsmålet på almindeligt engelsk.'

Oplysninger om emner i realtid kan understøttes af kvalitative oplysninger og grafiske præsentationer for at hjælpe offentligheden med at forstå situationen bedre. Kernehensigten bag dette afsnit er, at organisationer skal forblive gennemsigtige for offentligheden og investorer. Oplysninger om økonomiske forhold skal være i klare vendinger, så de let kan forstås af læseren.

Afsnit 802: Straffestraffe for ændring af dokumenter

Sektion 802 indeholder en række retningslinjer for dataopbevaring og beskyttelse, som virksomheder skal følge. Den type data, der skal gemmes, omfatter e-mail, EDI, kontoudtog, fakturaer, regninger, checks, breve, publikationer og notater. Afsnittet viser også, hvor længe disse optegnelser skal opbevares:

Ansættelsesansøgninger3 år
Fakturaer til kunder5 år
Tilgodehavende eller gældsbeviser7 år
Selvangivelser7 år
Kontrakter og lejemålFor evigt
LønoptegnelserFor evigt
TimesedlerFor evigt
KontoudtogFor evigt

Afsnittet bemærker, at ændring, ødelæggelse, forfalskning eller fortielse af disse optegnelser vil blive mødt med alvorlige konsekvenser. Personer, der uretmæssigt interagerer med forretningsregistre, vil blive underlagt bøder, bøder og op til 20 års fængsel.

Afsnit 906: Virksomhedens ansvar for finansielle rapporter

Sektion 906 kræver en skriftlig erklæring fra den administrerende direktør og CFO, der erklærer, at den finansielle rapport 'i alle væsentlige henseender retfærdigt præsenterer udstederens økonomiske tilstand og resultater.' Afsnittet skitserer også, at der er strafferetlige sanktioner for undladelse af at udarbejde en rapport, der matcher disse krav og potentiel fængselsstraf for dem, der bevidst forsøger at sløre oplysninger.

SOX Compliance Audit

Når du har implementeret foranstaltninger for at overholde loven, skal du foretage en overholdelsesrevision. Revisionen vil blive brugt til at vurdere egnetheden af ​​de sikkerhedsforanstaltninger, der er på plads. Du er i henhold til føderal lov forpligtet til at hyre en uafhængig revisor til at gennemføre revisionen.

Ved starten af ​​revisionen vil revisor underrette nøgleinteressenter om, hvad der vil blive tilgået, og hvornår revisionen vil finde sted. Det er almindeligt, at revisorer interviewer personalet for at udvikle en bedre forståelse af, hvem der har ansvaret for hvad på arbejdspladsen.

Revisorer vil gennemgå de interne kontroller i virksomheden for at sikre, at følsomme oplysninger bliver beskyttet. De vil kontrollere, at du fysisk sikrer ressourcer som servere og opretholder generel bedste praksis som adgangskoder og lockout-skærme for yderligere at beskytte enheder.

De vil også gennemse din dokumentation for at sikre, at du optager adgang. For eksempel, hvis en person interagerer med en database, skal der være en registrering, så du kan se, hvem der har foretaget ændringerne og hvornår.

Software til SOX Compliance

At have de rigtige interne kontroller og overvågningsprocedurer på plads er en vital komponent i SOX-overholdelse. For at sikre, at du overholder det, er det tilrådeligt at bruge softwareplatforme, der er designet til at overholde SOX-reglerne. I dette afsnit skal vi se på nogle af de bedste softwaretilbud, du kan bruge til at overvåge SOX-overholdelse.

Vores metode til at vælge et SOX-overholdelsesværktøj

Vi har gennemgået markedet for tjenester, der gør dig i stand til at overholde SOX-kravene, og analyserede muligheder baseret på følgende kriterier:

  • Logning af alle aktiviteter
  • Lagring af log i en meningsfuld fil- og mappestruktur
  • Automatiserede og manuelle logsøgningsfaciliteter
  • Databeskyttelse i form af kryptering og brugeridentifikation
  • Advarsler om mistænkelig aktivitet eller upassende dataadgang
  • En gratis prøveperiode eller en demo-mulighed, der muliggør en vurdering før køb
  • Værdi for pengene fra et enkelt overholdelsesværktøj, der tilbydes til en rimelig pris

Med disse udvælgelseskriterier i tankerne har vi identificeret en liste over systemovervågningstjenester, der vil sikre data og overvåge aktiviteter for at blokere mistænkelig adfærd.

Her er vores liste over de tre bedste SOX-overholdelsesværktøjer:

  1. SolarWinds Security Event Manager REDAKTØRENS VALGEt omfattende SIEM-værktøj, der sporer aktiviteter ved at indsamle og undersøge logbeskeder. Denne softwarepakke til Windows Server understøtter SOX-overholdelse gennem håndhævelse af datasikkerhed og bevarelse af logfiler til revision. Få en 30-dages gratis prøveperiode.
  2. WorkivaDette specialiserede SOX-validerede værktøj fokuserer på håndhævelse af systemsikkerhed, så din virksomhed kan holde sig compliant. Dette er en cloud-baseret tjeneste.
  3. LogicManagerDenne pakke tilbyder et bibliotek af formularer og skabeloner til at planlægge systemændringer, der vil håndhæve og overvåge SOX-overholdelse. Dette er en hostet tjeneste.

1. SolarWinds Security Event Manager (GRATIS PRØVE)

SolarWinds Security Event Manager

SolarWinds Security Event Manager er et hændelses- og logstyringsværktøj, der kan bruges til at overvåge for SOX-overtrædelser. Softwaren kan analysere hændelser på enheder og applikationer for at undersøge brugeraktivitet. Der er indbyggede rapportskabeloner designet specifikt til SOX-regler. Brugere kan dog også generere deres egne tilpassede rapporter, hvis de ønsker at give yderligere detaljer om en begivenhed.

Nøglefunktioner:

  • SIEM værktøj
  • Log indsamling
  • Logstyring
  • SOX compliance analyse
  • SOX-rapportering

SOX-rapporten kan fremstilles manuelt eller planlægges til en fremtidig dato. Planlægning af rapporter sikrer, at du altid har en form for dokumentation til at registrere hændelser i din infrastruktur. På samme måde fordobles loganalysekapaciteten i SolarWinds Security Event Manager for at hjælpe med at forhindre cybertrusler i at sætte dit netværk offline.

Fordele:

  • Logindsamling, sortering, arkivering og arkivering
  • Virksomhedsfokuseret sikkerhedsværktøj med stort fokus på compliance og revision
  • Enkel logfiltrering, ingen grund til at lære et brugerdefineret forespørgselssprog
  • Dusinvis af skabeloner giver administratorer mulighed for at begynde at bruge SEM med lidt opsætning eller tilpasning
  • Leveres med skabeloner specifikt til SOX-overholdelse

Ulemper:

  • SolarWinds SEM Er et avanceret sikkerhedsprodukt bygget til professionelle, der kræver tid til fuldt ud at lære platformen

Værktøjer som SolarWinds Security Event Manager er fremragende til at hjælpe dig med at vedligeholde dokumentation og administrere brugeraktivitet. SolarWinds Security Event Manager starter ved en pris på $4.665 (£3.834). Du kan downloade den gratis 30-dages prøveversion.

REDAKTØRENS VALG

SolarWinds Security Event Managerer vores bedste valg til et SOX-overholdelsesværktøj, fordi det håndterer SOX-krav inden for en systemdækkende sikkerhedspakke. Selvom denne service implementerer SOX grundigt og leverer automatiseret rapportering, ignorerer den ikke resten af ​​dine systemsikkerhedskrav. Lad dette system holde øje med ubudne gæster og insidertrusler, mens du går videre med den daglige forretning med at administrere it-systemet. SEM vil advare dig, hvis din opmærksomhed er nødvendig, og du kan endda konfigurere overvågningstjenesten til automatisk at suspendere konti og blokere kommunikation med mistænkelige IP-adresser.

Hent:Få en 30-dages gratis prøveperiode

Officielt websted:https://www.solarwinds.com/security-event-manager/registration

DU:Windows Server

2. Workiva

Workiva

Workiva er et SOX compliance management værktøj bygget til at kortlægge interne kontroller. Gennem et dashboard i realtid kan brugeren overvåge data og narrative opdateringer inden for en virksomhed. Der er også mulighed for at spore historikken for ændringer foretaget i dokumenter. Softwaren opretholder datasikkerhedsprocedurer valideret med SOC 1, SOC 2 og FedRAMP for at beskytte dine data mod at blive kompromitteret.

Nøglefunktioner:

  • Sikre overholdelse
  • Maps systemsikkerhedsindsats
  • Dokumenter handlinger
  • Producerer SOX-overholdelsesrapporter

Med hensyn til adgangskontrol kan du tildele rollebaserede tilladelser til hver bruger for at bestemme, hvem der har adgang til hvilke oplysninger. De, der har adgang til følsomme filer, drager fordel af integration med Microsoft Office 365, så de kan interagere med filer uden at skulle downloade dem.

Fordele:

  • Bruger et enkelt, men informativt dashboard – fantastisk til hurtig indsigt
  • Understøtter SOC1/2 samt FedRAMP
  • Tilbyder robust adgangskontrol til brugere, grupper og undernet
  • Fokuserer på at forenkle compliance-overvågning og løse SOX-problemer

Ulemper:

  • Ville drage fordel af en gratis prøveperiode

For at forenkle interne kontroller er Workiva et fremragende værktøj. Softwaren er nem at bruge og giver dig et lag af gennemsigtighed, der kan beskytte dig under en revision. Du skal dog kontakte salgsteamet for at få et tilbud. Du kan også anmod om en demo .

3. LogicManager

LogicManager

LogicManager er en SOX-administrationsplatform designet til at hjælpe virksomheder med at sikre overholdelse af SOX-reglerne. Programmet giver brugeren mulighed for at oprette to-do-lister og se advarsler i realtid for at holde styr på dokumentationskravene. Oplysninger kan ses i form af dashboards og rapporter, med mulighed for at logge af på oplysninger for at bekræfte, at de er verificeret.

Nøglefunktioner:

  • Leverer tjeklister
  • Dokumentsikkerhed
  • SOX rapporterer

Rapporter kan tilpasses, så du har fuld kontrol over de oplysninger, du ser på skærmen. Derudover er der tilpasselig test med valgfri prøveudtagning og brugerinstruktioner for at sikre, at du er på forkant med vigtig information.

Fordele:

  • Virksomhedsfokuseret SOX-revisions-, ledelses- og afhjælpningsplatform
  • Tillader sysadmin at oprette en prioriteret liste for at opfylde SOX-kravene
  • Meget tilpasselige rapporter

Ulemper:

  • Kan være uoverkommelig for mindre virksomheder

Der er tre hovedversioner af LogicManager tilgængelige: Essentials, Professional og Enterprise. Essentials-versionen starter ved $10.000 (£8.219) om året, Professional starter ved $30.000 (£24.658) om året, og Enterprise starter ved $150.000 (£123.300) om året. Forskellen i pris afhænger af antallet af brugere, du skal støtte, og kompleksiteten af ​​use casen. Du kan anmod om en demo her .

SOX-overholdelse nummer ét mål: Gennemsigtighed!

Byrderne ved overholdelse af lovgivningen skaber et minefelt for mange virksomheder, der ikke er udstyret med de rigtige oplysninger og processer. Det er afgørende for virksomheder at øge deres bevidsthed om kravene i SOX for at undgå at blive efterladt åben for juridiske forpligtelser.

Overholdelse af SOX kommer ned til at forankre gennemsigtighed i hjertet af din organisation. Hvis du går i gang med at oprette interne kontroller for at sikre, at de oplysninger, der bruges til at udfylde en rapport, er pålidelige, så kan du det.

^