Gestion De La Confidentialité Des Données

Liste de contrôle de conformité SOX

Image de la liste de contrôle de conformité SOX



Après une série de fraudes commises par des sociétés de premier plan, le Loi Sarbanes-Oxley ou SOX est entrée en vigueur en 2002 pour modifier la manière dont les entreprises gèrent leurs procédures comptables et de divulgation. L’idée était de créer des réglementations pour protéger les investisseurs américains contre les victimes de pratiques comptables frauduleuses.

Qu’est-ce que SOX ?

SOX est un ensemble de réglementations en matière de comptabilité et de divulgation qui déterminent comment sociétés cotées en bourse gouverner, rendre compte et gérer les affaires financières. Ces réglementations ont été conçues pour promouvoir un système de freins et contrepoids internes et pour accroître la transparence.



Bien que la conformité SOX soit une nécessité légale, les contrôles de sécurité inhérents à la réglementation aident également les entreprises à protéger les données sensibles contre tout accès non autorisé. En d’autres termes, garantir la conformité à SOX est logique sur le plan commercial, car des contrôles internes plus stricts conduisent à une protection accrue.

SOX s'applique à toutes les sociétés publiques aux États-Unis et toutes les sociétés non américaines qui font des affaires aux États-Unis. Les organisations privées et les organismes de bienfaisance n’ont pas besoin de se conformer à SOX, à moins qu’une organisation privée ne se prépare à une offre publique initiale ou à une introduction en bourse.



Quelles sont les sanctions en cas de non-conformité

Enfreindre la réglementation s'accompagne de sanctions sévères allant des amendes à la radiation des bourses publiques et à l'annulation des polices d'assurance des administrateurs et dirigeants (D&O). Les personnes qui décident de soumettre des informations délibérément incorrectes ou de détruire des documents de l'entreprise commettent une infraction pénale. Les sanctions vont d'amendes allant jusqu'à 5 millions de dollars à 20 ans de prison.

La nature sévère des sanctions signifie qu'il est essentiel que les entreprises fassent de véritables efforts pour enregistrer des informations comptables exactes et se conformer aux réglementations SOX.

Liste de contrôle de conformité SOX

SOX est divisé en 11 titres . Chacun de ces titres comporte différentes sections avec des exigences moindres. Les informations incluses dans chaque section sont trop vastes pour être incluses ici, mais vous pouvez consulter tous les détails ici . Cependant, les sections les plus importantes avec lesquelles vous devez vous familiariser sont les suivantes :

  • Article 302 : Responsabilité des entreprises à l'égard des rapports financiers
  • Article 404 : Évaluation par la direction des contrôles internes
  • Section 409 : Divulgations de problèmes en temps réel
  • Article 802 : Sanctions pénales pour modification de documents
  • Article 906 : Responsabilité des entreprises à l'égard des rapports financiers

Article 302 : Responsabilité des entreprises à l'égard des rapports financiers

L'article 302 précise les responsabilités des entreprises en matière de protection des données et d'élaboration de rapports financiers précis. Cette section indique que le PDG et le directeur financier ont la responsabilité de s'assurer qu'il existe une documentation détaillée des rapports financiers et des contrôles internes.

Ils doivent également certifier que les informations incluses dans un examen annuel ou trimestriel sont exactes et assumer personnellement la responsabilité de tous les contrôles internes utilisés pour protéger les données sensibles. Ils doivent également avoir réexaminé ces contrôles au cours des 90 derniers jours.

Article 404 : Évaluation par la direction des contrôles internes

L'article 404 stipule que les entreprises disposent de systèmes pour fournir les données nécessaires à un auditeur indépendant. Il décrit la manière dont les rapports annuels doivent être remplis et décrit l'obligation de signaler les violations de sécurité.

L'article 404 stipule également que vous devez que les garanties mentionnées à l'article 302 soient vérifiées par un auditeur indépendant. L'auditeur indépendant évalue s'il existe des problèmes de sécurité dont les actionnaires doivent être conscients.

Section 409 : Divulgations de problèmes en temps réel

L'article 409 précise que les entreprises ont la responsabilité de divulguer au public « des informations supplémentaires concernant des changements importants dans la situation financière ou les opérations de l'émission, dans un anglais simple ».

Les divulgations de problèmes en temps réel peuvent être étayées par des informations qualitatives et des présentations graphiques pour aider le public à mieux comprendre la situation. L’objectif principal de cette section est que les organisations restent transparentes envers le public et les investisseurs. Les informations sur la situation financière doivent être rédigées en termes clairs afin qu'elles puissent être facilement comprises par le lecteur.

Article 802 : Sanctions pénales pour modification de documents

La section 802 comprend diverses directives en matière de conservation et de protection des données que les entreprises doivent suivre. Le type de données qui doivent être stockées comprend les e-mails, l'EDI, les relevés bancaires, les factures, les chèques, les lettres, les publications et les mémos. La section indique également la durée pendant laquelle ces enregistrements doivent être conservés :

Demandes d'emploi3 années
Factures aux clients5 années
Grands livres à recevoir ou à payer7 ans
Déclarations de revenus7 ans
Contrats et bauxPour toujours
Dossiers de paiePour toujours
Feuilles de tempsPour toujours
relevés bancairesPour toujours

L'article note que la modification, la destruction, la falsification ou la dissimulation de ces documents entraîneront de graves conséquences. Les personnes qui interagissent illégalement avec les dossiers commerciaux seront passibles de sanctions, d'amendes et d'une peine d'emprisonnement pouvant aller jusqu'à 20 ans.

Article 906 : Responsabilité des entreprises à l'égard des rapports financiers

L'article 906 exige une déclaration écrite du PDG et du directeur financier déclarant que le rapport financier « présente fidèlement, dans tous ses aspects importants, la situation financière et les résultats d'exploitation de l'émetteur ». La section souligne également qu'il existe des sanctions pénales en cas de non-production d'un rapport répondant à ces exigences et des peines de prison potentielles pour ceux qui tentent délibérément de brouiller les informations.

L’audit de conformité SOX

Une fois que vous aurez mis en œuvre des mesures pour vous conformer à la loi, vous devrez effectuer un audit de conformité. L’audit servira à évaluer la pertinence des mesures de sécurité en place. La loi fédérale vous oblige à embaucher un auditeur indépendant pour réaliser l’audit.

Au début de l'audit, l'auditeur informera les principales parties prenantes de ce qui sera consulté et du moment où l'audit aura lieu. Il est courant que les auditeurs interrogent le personnel pour mieux comprendre qui est responsable de quoi sur le lieu de travail.

Les auditeurs examineront les contrôles internes au sein de l'entreprise pour s'assurer que les informations sensibles sont protégées. Ils vérifieront que vous sécurisez physiquement les ressources telles que les serveurs et que vous maintenez les meilleures pratiques générales telles que les mots de passe et les écrans de verrouillage pour protéger davantage les appareils.

Ils vérifieront également votre documentation pour s’assurer que vous enregistrez l’accès. Par exemple, si une personne interagit avec une base de données, il doit y avoir un enregistrement permettant de voir qui a effectué les modifications et quand.

Logiciel pour la conformité SOX

La mise en place de contrôles internes et de procédures de surveillance appropriés est un élément essentiel de la conformité SOX. Pour vous assurer de votre conformité, il est conseillé d'utiliser des plateformes logicielles conçues pour se conformer à la réglementation SOX. Dans cette section, nous allons examiner certaines des principales offres logicielles que vous pouvez utiliser pour surveiller la conformité SOX.

Notre méthodologie de sélection d’un outil de conformité SOX

Nous avons examiné le marché des services qui vous permettent de vous conformer aux exigences SOX et analysé les options en fonction des critères suivants :

  • Enregistrement de toutes les activités
  • Stockage du journal dans une structure de fichiers et de répertoires significative
  • Fonctionnalités de recherche de journaux automatisées et manuelles
  • Protection des données sous forme de cryptage et d'identification de l'utilisateur
  • Alertes en cas d'activité suspecte ou d'accès inapproprié aux données
  • Un essai gratuit ou une option de démonstration qui permet une évaluation avant d'acheter
  • Rapport qualité-prix grâce à un outil de conformité unique proposé à un prix raisonnable

En gardant ces critères de sélection à l’esprit, nous avons identifié une liste de services de surveillance du système qui sécuriseront les données et surveilleront les activités pour bloquer les comportements suspects.

Voici notre liste des trois meilleurs outils de conformité SOX :

  1. SolarWinds Security Event Manager CHOIX DE L'ÉDITEURUn outil SIEM complet qui suit les activités en collectant et en examinant les messages de journal. Ce progiciel pour Windows Server prend en charge la conformité SOX grâce à l'application de la sécurité des données et à la préservation des journaux à des fins d'audit. Obtenez un essai gratuit de 30 jours.
  2. WorkivaCet outil spécialisé, validé par SOX, se concentre sur l'application de la sécurité du système afin que votre entreprise puisse rester conforme. Il s'agit d'un service basé sur le cloud.
  3. Gestionnaire logiqueCe package propose une bibliothèque de formulaires et de modèles pour planifier les modifications du système qui appliqueront et surveilleront la conformité SOX. Il s'agit d'un service hébergé.

1. Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT)

Gestionnaire d’événements de sécurité SolarWinds

Gestionnaire d’événements de sécurité SolarWinds est un outil de gestion d'événements et de journaux qui peut être utilisé pour surveiller les violations SOX. Le logiciel peut analyser les événements sur les appareils et les applications pour examiner l'activité des utilisateurs. Il existe des modèles de rapport intégrés conçus spécifiquement pour les réglementations SOX. Cependant, les utilisateurs peuvent également générer leurs propres rapports personnalisables s'ils souhaitent fournir plus de détails sur un événement.

Principales caractéristiques:

  • Outil SIEM
  • Collecte de journaux
  • Gestion des journaux
  • Analyse de conformité SOX
  • Rapports SOX

Le rapport SOX peut être produit manuellement ou programmé pour une date ultérieure. La planification des rapports garantit que vous disposez toujours d'une certaine forme de documentation pour enregistrer les événements dans votre infrastructure. De même, les capacités d'analyse des journaux de SolarWinds Security Event Manager doublent pour empêcher les cybermenaces de mettre votre réseau hors ligne.

Avantages:

  • Collecte, classement, classement et archivage des journaux
  • Outil de sécurité axé sur l'entreprise et fortement axé sur la conformité et l'audit.
  • Filtrage simple des journaux, pas besoin d'apprendre un langage de requête personnalisé
  • Des dizaines de modèles permettent aux administrateurs de commencer à utiliser SEM avec peu de configuration ou de personnalisation
  • Livré avec des modèles spécifiquement pour la conformité SOX

Les inconvénients:

  • SolarWinds SEM est un produit de sécurité avancé conçu pour les professionnels, nécessite du temps pour apprendre pleinement la plateforme

Des outils tels que SolarWinds Security Event Manager sont excellents pour vous aider à maintenir la documentation et à gérer l'activité des utilisateurs. SolarWinds Security Event Manager commence au prix de 4 665 $ (3 834 £). Vous pouvez télécharger la version d'essai gratuite de 30 jours.

LE CHOIX DES ÉDITEURS

Gestionnaire d’événements de sécurité SolarWindsest notre premier choix pour un outil de conformité SOX car il gère les exigences SOX au sein d'un package de sécurité à l'échelle du système. Bien que ce service implémente minutieusement SOX et fournisse des rapports automatisés, il n'ignore pas le reste des exigences de sécurité de votre système. Laissez ce système garder un œil sur les intrus et les menaces internes pendant que vous vous occupez des tâches quotidiennes de gestion du système informatique. Le SEM vous alertera si votre attention est requise et vous pourrez même configurer le service de surveillance pour suspendre automatiquement les comptes et bloquer la communication avec des adresses IP suspectes.

Télécharger:Obtenez un essai gratuit de 30 jours

Site officiel:https://www.solarwinds.com/security-event-manager/registration

TOI:Serveur Windows

2. Travail

Workiva

Workiva est un outil de gestion de la conformité SOX conçu pour cartographier les contrôles internes. Grâce à un tableau de bord en temps réel, l'utilisateur peut surveiller les données et les mises à jour narratives au sein d'une entreprise. Il existe également la possibilité de suivre l'historique des modifications apportées aux documents. Le logiciel maintient des procédures de sécurité des données validées avec SOC 1, SOC 2 et FedRAMP pour protéger vos données contre toute compromission.

Principales caractéristiques:

  • Assurer la conformité
  • Efforts de sécurité du système Maps
  • Actions sur les documents
  • Produit des rapports de conformité SOX

En termes de contrôles d'accès, vous pouvez attribuer des autorisations basées sur les rôles à chaque utilisateur pour déterminer qui a accès à quelles informations. Ceux qui ont accès à des fichiers sensibles bénéficient de l'intégration avec Microsoft Office 365 afin de pouvoir interagir avec les fichiers sans avoir besoin de les télécharger.

Avantages:

  • Utilise un tableau de bord simple mais informatif – idéal pour des informations rapides
  • Prend en charge SOC1/2, ainsi que FedRAMP
  • Offre des contrôles d'accès robustes pour les utilisateurs, les groupes et les sous-réseaux
  • Se concentre sur la simplification de la surveillance de la conformité et la résolution des problèmes SOX

Les inconvénients:

  • Bénéficierait d'un essai gratuit

Pour simplifier les contrôles internes, Workiva est un excellent outil. Le logiciel est facile à utiliser et vous offre une couche de transparence qui peut vous protéger lors d'un audit. Cependant, vous devrez contacter l’équipe commerciale pour obtenir un devis. Vous pouvez aussi demander une démo .

3. LogicManager

Gestionnaire logique

Gestionnaire logique est une plateforme de gestion SOX conçue pour aider les entreprises à garantir la conformité aux réglementations SOX. Le programme permet à l'utilisateur de créer des listes de tâches et d'afficher des alertes en temps réel pour rester au courant des exigences en matière de documentation. Les informations peuvent être consultées sous forme de tableaux de bord et de rapports, avec la possibilité de signer les informations pour certifier qu'elles ont été vérifiées.

Principales caractéristiques:

  • Fournit des listes de contrôle
  • Sécurité des documents
  • Rapports SOX

Les rapports sont personnalisables afin que vous ayez un contrôle total sur les informations que vous voyez à l'écran. De plus, il existe des tests personnalisables avec un échantillonnage facultatif et des instructions d'utilisation pour vous assurer que vous restez au courant des informations importantes.

Avantages:

  • Plateforme d'audit, de gestion et de correction SOX axée sur l'entreprise
  • Permet à l'administrateur système de créer une liste prioritaire pour répondre aux exigences SOX
  • Rapports hautement personnalisables

Les inconvénients:

  • Peut être prohibitif pour les petites entreprises

Il existe trois versions principales de LogicManager disponibles à l'achat : Essentials, Professional et Enterprise. La version Essentials commence à 10 000 $ (8 219 £) par an, la version Professional à 30 000 $ (24 658 £) par an et la version Enterprise à 150 000 $ (123 300 £) par an. La différence de prix dépend du nombre d'utilisateurs que vous devez prendre en charge et de la complexité du cas d'utilisation. Tu peux demandez une démo ici .

Objectif numéro un de la conformité SOX : transparence !

Les contraintes liées à la conformité réglementaire créent un champ de mines pour de nombreuses entreprises qui ne disposent pas des informations et des processus adéquats. Il est essentiel que les entreprises soient sensibilisées aux exigences de SOX afin d’éviter de s’exposer à des responsabilités juridiques.

Se conformer à SOX revient à inscrire la transparence au cœur de votre organisation. Si vous envisagez de créer des contrôles internes pour vous assurer que les informations utilisées pour remplir un rapport sont fiables, vous le pouvez.

^