web-dev-qa-db-ja.com

Sarbanes-Oxley(SOX)のポリシー要件

この質問がこのサイトに適していることを願っています。 ServerFaultの人々は、それがシステム管理者に適用されるとは考えていませんでした。確かに、セキュリティの観点からは、他に何も解決できないと思います。

Sarbanes-Oxley(SOX)の成立以来、米国のIT部門はあらゆる種類のポリシーを導入する非常に幅広い理由として「SOXコンプライアンス」を使用してきました。

問題は、私が理解しているように、SOX法でITについて1つだけ言及されていないことです。

SOXで許可されていないため、交換用のラップトップを自宅に発送できないとIT部門に言われました。 SOXのため、Unixサーバーでrootアクセスができないと言われました。 SOXが原因でgitまたはmysqlを使用できず、代わりにClearCaseとOracleを使用する必要があると聞いたことがあります。

誰かこれを経験しましたか?さらに重要なことに、SOXが課す制限についての明確な情報はありますか?私はそれが企業の幹部による真実で正確かつタイムリーな財務報告と認証を必要とすることを知っていますが、財務システムのいくつかの厳格な管理を超えて、なぜそれが一般的なサーバー、コードリポジトリ、またはユーザーのラップトップに適用されるべきかを理解できません。

合理的なSOXポリシーとは何ですか?

どんな考えでも感謝します。

12
wadesworld

(J-)SOXはオープンソースソフトウェアの使用を禁止していますか? を参照してください。そこでの私の答えからの抜粋:

事実は、余分な不要な要件を自分に課し、それらが規制であると主張しても、ブラウニーポイントを獲得するのではなく、コストが増えるだけです。

SOXの範囲の誇張はありふれたです。さて、あなたのコードが会社の年次財務諸表にとって重要であり、監査の領域に別のシステムを追加することを望まない場合がありますが、おそらくそうではありません。

SOXとは、会社の財務情報を格納するマシンのルートが厳重に保護されていることを意味しますが、一般的に、ほとんどの人のワークステーションには接続されていません。 SOXを取り巻く狂気が多いのは、法律がそれを明確に述べていないためです。 SECは「ガイダンス」を提供しますが、解釈はかなり散在しています。

2007年のSECガイダンス は良い指針であり、あなたが話していることが財務報告の内部統制に関連していない場合、SOXには関係がないことを思い出させてください。したがって、90日ごとにパスワードを変更することはSOXに該当する可能性があります(たとえば、会計士はドメインアカウントを使用して台帳システムに対して認証します)が、交換用のラップトップを自宅に持ち帰って机から取り出すのではなくは関係ありません

さらに、SECは企業がリスクに基づいて統制をレビューすることを奨励します

解釈指針は、会社のニーズを満たし、ICFRが有効であるかどうかの年次評価の合理的な根拠を提供する評価プロセスを設計するために、経営陣が独自の経験と情報に基づく判断をもたらすべきであるという委員会の立場を繰り返し述べています。これにより、管理者はそのような評価プロセスを設計するのに十分かつ適切な柔軟性を得ることができます。一般に大規模な上場企業よりも内部統制システムの複雑さが小さい中小の上場企業は、このガイダンスを使用して、独自の事実や状況に合うように評価方法と手順を調整できます。重要な弱点を特定するのに効率的かつ効果的であるICFRの評価を実施するために、柔軟性とスケーラビリティを利用する小規模な公開企業を推奨します。

したがって、アプリケーションが会社の財務報告に与える影響について考えてください。財務の成長や利益などではなく、レポートのみです。それが関連していない場合(簡単なテストは「ドルとセントを扱ったことがあるか?」)、誰かが他の誰かを迷わせています。多分あなたは彼らにこれを指摘することができます、あるいは多分 誰かが嘘をついています 彼らがあなたが言いたいことを彼らに伝えるのをより簡単にし、それについて彼らができることは何もないので。

9
Jeff Ferland

サーベンスオクスリー法のセクション404への中心的なメッセージは次のとおりです。

発行者は、財務報告の内部統制構造と手順の範囲と妥当性に関する情報を年次報告書に公開する必要があります。この声明は、そのような内部統制および手順の有効性も評価するものとします。

登録された会計事務所は、同じ報告書において、財務報告のための内部統制構造および手順の有効性に関する評価を証明し、報告するものとします。

すべてのSEC登録企業(および世界中のほぼすべての企業)が財務にITを利用しているので、サーバー、ネットワーク、ITが不可欠である理由がわかります。

特定のSOx要件の解釈はさまざまである可​​能性がありますが、システムへの特権アクセス(つまり、ルートアクセス)のみを必要とする管理者に許可するなどのいくつかの制御は、多くの環境で意味があります。

企業が抱えている問題は、要件が遵守されない場合に会社の取引を効果的に停止できる規制当局からの要件であることです。そのため、企業が要件について深く掘り下げるのに十分な時間/リソースを備えた経験豊富なチームがない限り、念のためにブランケットルールを配置する場合があります

この質問がこのサイトに適していることを願っています。 ServerFaultの人々は、それがシステム管理者に適用されるとは考えていませんでした。確かに、セキュリティの観点からは、他に何も解決できないと思います。

Sarbanes-Oxley(SOX)の成立以来、米国のIT部門はあらゆる種類のポリシーを導入する非常に幅広い理由として「SOXコンプライアンス」を使用してきました。

問題は、私が理解しているように、SOX法でITについて1つだけ言及されていないことです。

特にあなたのポイントに取り組むために:

  • 交換用のラップトップを自宅の住所に配送しない-これにより、輸送中の盗難、間違った住所への配送、または詐欺(受信したことがないと言ったなど)を回避できます。
  • Unixサーバーでのルートアクセス-職務の強力な分離により企業を詐欺から保護
  • Git/mysqlの問題で、SOx要件を正確に特定できません。その会社のアプリケーションに関するポリシーは、ある程度のサポートを必要とした可能性が高いようです。

SOxを対象とするFortune 100企業の一般的なポリシーは、ここで追加できるよりもはるかに長くなっています。私は80以上のポリシーで組織を支援してきました。各ポリシーには20を超えるページがあり、SOx関連の制御の要素が全体にわたってあります。オンラインで多くの場所から一般的なものを入手できますが、それらから価値を得るには、会社の特定のニーズに合わせてそれらを調整する必要があります。

4
Rory Alsop