データプライバシー管理

SOX コンプライアンス チェックリスト

SOX コンプライアンス チェックリストの画像



有名企業による一連の不正行為を受けて、 上場企業会計改革および投資家保護法 または ソックス 企業の会計および開示手順の管理方法を変更するために 2002 年に発効しました。その考えは、米国の投資家が不正会計行為の被害に遭わないようにするための規制を創設することであった。

SOXとは何ですか?

SOX は、会計および開示に関する一連の規制であり、その方法を決定します。 上場企業 財務業務を統治し、報告し、実行します。これらの規制は、内部チェックとバランスのシステムを促進し、透明性を高めることを目的として設計されています。



SOX 準拠は法的に必要ですが、規制に固有のセキュリティ管理は、企業が機密データを不正アクセスから保護するのにも役立ちます。言い換えれば、内部統制の強化は保護の強化につながるため、SOX へのコンプライアンスを確保することはビジネス上合理的です。

ソックス 米国のすべての上場企業に適用される および米国で事業を行う米国以外の企業。民間団体や慈善団体は、新規株式公開や IPO の準備をしている場合を除き、SOX に準拠する必要はありません。



違反した場合の罰則は何ですか

規制に違反すると、罰金から上場証券取引所からの排除、取締役および役員(D&O)の保険契約の無効化に至るまで、厳しい罰則が科せられます。意図的に間違った情報を提出したり、会社の文書を破棄したりする決定を下した個人は、刑事犯罪を犯していることになります。罰則は最高500万ドルの罰金と最高20年の懲役に及ぶ。

処罰の厳しい性質は、企業が正確な会計情報を記録し、SOX 規制を遵守するために真剣に努力することが不可欠であることを意味します。

SOX コンプライアンス チェックリスト

SOXは 11タイトルに分かれています 。これらのタイトルにはそれぞれ、より小さな要件を備えた異なるセクションがあります。各セクションに含まれる情報は膨大すぎてここには記載できませんが、詳細をすべて表示できます。 ここ 。ただし、理解しておくべき最も重要なセクションは次のとおりです。

  • セクション 302: 財務報告に対する企業の責任
  • セクション 404: 内部統制の管理者による評価
  • セクション 409: リアルタイムの問題開示
  • 第 802 条: 文書改ざんに対する刑事罰
  • セクション 906: 財務報告に対する企業の責任

セクション 302: 財務報告に対する企業の責任

セクション 302 では、データを保護し、正確な財務報告書を作成するために企業が負う責任を規定しています。このセクションでは、CEO と CFO には財務報告書と内部統制の詳細な文書が存在することを確認する責任があると述べています。

また、年次または四半期ごとのレビューに含まれる情報が正しいことを証明し、機密データを保護するために使用されるすべての内部統制に対して個人的な責任を負わなければなりません。また、過去 90 日以内にこれらの管理をレビューしている必要があります。

セクション 404: 内部統制の管理者による評価

第 404 条は、企業が必要なデータを独立監査人に提供するシステムを整備していることを規定しています。年次報告書をどのように作成すべきかについて概説し、セキュリティ侵害を報告する要件について概説しています。

セクション 404 では、セクション 302 で言及されている安全措置が独立した監査人によって検証される必要があるとも規定されています。独立監査人は、株主が認識する必要があるセキュリティ上の問題があるかどうかを評価します。

セクション 409: リアルタイムの問題開示

第 409 条では、企業は「財務状況または銘柄の運営における重大な変更に関する追加情報を平易な英語で」一般に開示する責任があると概説しています。

リアルタイムの問題の開示は、一般の人々が状況をよりよく理解できるように、定性的な情報とグラフィック表示によってサポートされます。このセクションの背後にある中心的な目的は、組織が一般の人々や投資家に対して透明性を維持することです。財務状況に関する情報は、読者が容易に理解できるように、明確な言葉で記載する必要があります。

第 802 条: 文書改ざんに対する刑事罰

セクション 802 には、企業が従う必要があるさまざまなデータの保存と保護のガイドラインが含まれています。保存する必要があるデータの種類には、電子メール、EDI、銀行取引明細書、請求書、請求書、小切手、手紙、出版物、メモなどがあります。このセクションでは、これらの記録を維持する必要がある期間もリストします。

雇用申請3年
顧客への請求書5年
受取元帳または支払元帳7年間
税金還付7年間
契約とリース永遠に
給与記録永遠に
タイムシート永遠に
銀行取引明細書永遠に

このセクションでは、これらの記録の改ざん、破壊、改ざん、または隠蔽は重大な結果を招くと述べています。ビジネス記録を違法に操作した個人は、罰則、罰金、および最高 20 年の懲役の対象となります。

セクション 906: 財務報告に対する企業の責任

第 906 条では、財務報告書が「すべての重要な点において、発行者の財務状況と経営結果を公正に示している」ことを宣言する CEO および CFO の書面による声明が求められています。このセクションでは、これらの要件を満たす報告書を作成しなかった場合の刑事罰や、意図的に情報を難読化しようとした場合には懲役刑が科せられる可能性があることについても概説しています。

SOX コンプライアンス監査

この法律に準拠するための措置を講じたら、コンプライアンス監査を行う必要があります。監査は、実施されているセキュリティ対策の適切性を評価するために使用されます。連邦法により、監査を完了するために独立した監査人を雇用することが義務付けられています。

監査の開始時に、監査人は主要な関係者に、何がアクセスされるのか、いつ監査が行われるのかを通知します。職場で誰が何の責任を負っているのかをより深く理解するために、監査人がスタッフにインタビューするのが一般的です。

監査人は社内の内部統制を見直し、機密情報が保護されていることを確認します。サーバーなどのリソースが物理的に保護されていること、デバイスをさらに保護するためにパスワードやロックアウト画面などの一般的なベスト プラクティスが維持されていることを確認します。

また、ドキュメントをチェックして、アクセスが記録されていることを確認します。たとえば、個人がデータベースを操作する場合、誰がいつ変更を加えたかを確認できるように記録が必要です。

SOX 準拠のためのソフトウェア

適切な内部統制と監視手順を整備することは、SOX コンプライアンスの重要な要素です。確実に準拠するには、SOX 規制に準拠するように設計されたソフトウェア プラットフォームを使用することをお勧めします。このセクションでは、SOX コンプライアンスの監視に使用できる主要なソフトウェア製品のいくつかを見ていきます。

SOX コンプライアンス ツールを選択するための方法論

SOX 要件への準拠を可能にするサービスの市場を調査し、次の基準に基づいてオプションを分析しました。

  • すべてのアクティビティのログ記録
  • 意味のあるファイルおよびディレクトリ構造でのログの保存
  • 自動および手動のログ検索機能
  • 暗号化とユーザー識別によるデータ保護
  • 不審なアクティビティや不適切なデータアクセスに対するアラート
  • 購入前に評価できる無料トライアルまたはデモ オプション
  • 手頃な価格で提供される単一のコンプライアンス ツールによるコストパフォーマンス

これらの選択基準を念頭に置いて、データを保護し、不審な動作をブロックするアクティビティを監視するシステム監視サービスのリストを特定しました。

以下に、SOX コンプライアンスに最適な 3 つのツールのリストを示します。

  1. SolarWinds セキュリティ イベント マネージャー 編集者の選択ログ メッセージを収集して検査することでアクティビティを追跡する包括的な SIEM ツール。この Windows Server 用ソフトウェア パッケージは、データ セキュリティの強化と監査用のログの保存を通じて SOX 準拠をサポートします。 30 日間の無料トライアルを入手してください。
  2. ワーキバこの特殊な SOX 検証済みツールは、ビジネスがコンプライアンスを遵守できるように、システム セキュリティの施行に重点を置いています。これはクラウドベースのサービスです。
  3. ロジックマネージャーこのパッケージは、SOX 準拠を強制および監視するシステム変更を計画するためのフォームとテンプレートのライブラリを提供します。これはホスト型サービスです。

1. SolarWinds セキュリティ イベント マネージャー (無料トライアル)

SolarWinds セキュリティ イベント マネージャー

SolarWinds セキュリティ イベント マネージャー は、SOX 違反を監視するために使用できるイベントおよびログ管理ツールです。このソフトウェアは、デバイスやアプリケーション上のイベントを分析して、ユーザーのアクティビティを精査できます。 SOX 規制専用に設計された組み込みのレポート テンプレートがあります。ただし、イベントに関する詳細を提供したい場合は、ユーザーが独自のカスタマイズ可能なレポートを生成することもできます。

主な特徴:

  • SIEMツール
  • ログ収集
  • ログ管理
  • SOX コンプライアンス分析
  • SOX レポート

SOX レポートは手動で作成することも、将来の日付にスケジュールして作成することもできます。レポートをスケジュールすると、インフラストラクチャ内のイベントを記録するための何らかの形式のドキュメントが常に確保されます。同様に、SolarWinds Security Event Manager のログ分析機能が 2 倍になり、サイバー脅威によるネットワークのオフライン化を防ぐことができます。

長所:

  • ログの収集、照合、ファイリング、およびアーカイブ
  • コンプライアンスと監査に重点を置いたエンタープライズ向けのセキュリティ ツール
  • シンプルなログフィルタリング、カスタムクエリ言語を学ぶ必要なし
  • 数十のテンプレートにより、管理者はほとんどセットアップやカスタマイズをせずに SEM の使用を開始できます
  • SOX 準拠に特化したテンプレートが付属

短所:

  • SolarWinds SEM はプロフェッショナル向けに構築された高度なセキュリティ製品であり、プラットフォームを完全に習得するには時間がかかります

SolarWinds Security Event Manager などのツールは、ドキュメントの保守やユーザー アクティビティの管理に役立ちます。 SolarWinds Security Event Manager の価格は 4,665 ドル (3,834 ポンド) からです。 30 日間の無料試用版をダウンロードできます。

編集者の選択

SolarWinds セキュリティ イベント マネージャーは、システム全体のセキュリティ パッケージ内で SOX 要件を管理するため、SOX コンプライアンス ツールとして最もおすすめします。このサービスは SOX を徹底的に実装し、自動レポートを提供しますが、残りのシステム セキュリティ要件は無視されません。 IT システムの管理という日常業務を遂行しながら、このシステムで侵入者や内部関係者の脅威を監視しましょう。注意が必要な場合は SEM が警告を発します。また、アカウントを自動的に停止し、疑わしい IP アドレスとの通信をブロックするように監視サービスを設定することもできます。

ダウンロード:30 日間の無料トライアルを利用する

オフィシャルサイト:https://www.solarwinds.com/security-event-manager/registration

あなた:Windowsサーバー

2.ワーキバ

ワーキバ

ワーキバ は、内部統制をマッピングするために構築された SOX コンプライアンス管理ツールです。リアルタイム ダッシュボードを通じて、ユーザーは企業内のデータとナラティブの更新を監視できます。ドキュメントに加えられた変更履歴を追跡するオプションもあります。このソフトウェアは、SOC 1、SOC 2、および FedRAMP で検証されたデータ セキュリティ手順を維持し、データの侵害を防ぎます。

主な特徴:

  • コンプライアンスを確保
  • 地図システムのセキュリティへの取り組み
  • アクションを文書化する
  • SOX コンプライアンス レポートを作成します

アクセス制御に関しては、各ユーザーにロールベースの権限を割り当てて、誰がどの情報にアクセスできるかを決定できます。機密ファイルにアクセスできるユーザーは、Microsoft Office 365 との統合の恩恵を受け、ファイルをダウンロードせずに操作できるようになります。

長所:

  • シンプルでありながら有益なダッシュボードを使用 – 素早い洞察に最適
  • SOC1/2およびFedRAMPをサポート
  • ユーザー、グループ、サブネットに堅牢なアクセス制御を提供します
  • コンプライアンス監視の簡素化と SOX 問題の解決に重点を置く

短所:

  • 無料トライアルのメリット

内部統制を簡素化するには、Workiva が優れたツールです。このソフトウェアは使いやすく、監査中に保護できる透明性の層を提供します。ただし、見積もりについては営業チームに問い合わせる必要があります。あなたもすることができます デモをリクエストする

3. ロジックマネージャー

ロジックマネージャー

ロジックマネージャー は、企業が SOX 規制に確実に準拠できるように設計された SOX 管理プラットフォームです。このプログラムを使用すると、ユーザーは To Do リストを作成し、リアルタイムのアラートを表示して、文書化要件を常に把握できるようになります。情報はダッシュボードとレポートの形式で表示でき、情報が検証されたことを証明するためにサインオフするオプションもあります。

主な特徴:

  • チェックリストを提供します
  • 文書のセキュリティ
  • SOX レポート

レポートはカスタマイズ可能なため、画面に表示される情報を完全に制御できます。さらに、重要な情報を確実に把握できるように、オプションのサンプリングとユーザー指示を使用したカスタマイズ可能なテストが用意されています。

長所:

  • エンタープライズに焦点を当てた SOX 監査、管理、修復プラットフォーム
  • システム管理者が SOX 要件を満たす優先リストを作成できるようにします
  • 高度にカスタマイズ可能なレポート

短所:

  • 中小企業にとっては法外なコストがかかる可能性がある

購入できる LogicManager には、Essentials、Professional、Enterprise の 3 つの主要なバージョンがあります。 Essentials バージョンは年間 10,000 ドル (£8,219) から、Professional は年間 30,000 ドル (£24,658) から、Enterprise は年間 150,000 ドル (£123,300) からです。価格の違いは、サポートする必要があるユーザーの数とユースケースの複雑さによって異なります。あなたはできる ここからデモをリクエストしてください

SOX コンプライアンスの第一の目標: 透明性!

規制遵守の負担は、適切な情報とプロセスを備えていない多くの企業にとって地雷原を生み出します。企業が法的責任を負わないようにするには、SOX 要件に対する意識を高めることが重要です。

SOX に準拠するには、組織の中心に透明性を確保する必要があります。レポートの記入に使用される情報が信頼できるものであることを確認するために内部統制の作成に着手した場合は、それが可能です。

^