Legea Sarbanes-Oxley, adoptată în 2002, este o reacţie la marile scandaluri financiare care au zguduit companii de renume din SUA şi au dus la pierderea încrederii publicului în practicile expertizelor contabile şi în cifrele raportate de companii. Prin urmare, Legea Sarbanes-Oxley stabileşte standarde mai riguroase privind contabilitatea, auditul şi responsabilităţile consiliilor de administraţie.

Noilor cerinţe de guvernare corporatistă, impuse în business-ul american de marile falimente din ultima perioadă, au avut efecte asupra celor mai mari companii şi auditori din lume. De exemplu, General Electric a anunţat recent cheltuieli de 30 de milioane de dolari pentru regulile de control intern impuse prin documentul Sarbanes-Oxley, legea dominantă a guvernării corporatiste, potrivit Financial Times. Potrivit AMR Research, în 2005 cheltuielile pentru respectarea normelor Sarbanes-Oxley au atins în 2005 cifra de 6,1 miliarde de dolari, cu 28 de procente alocate chetuielilor tehnologice şi alte 29 de procente alocate consultanţei externe.

Legea impune companiilor străine listate pe pieţele financiare americane să-şi întărească modalităţile de audit intern.

Legea Sarbanes-Oxley şi „Health Information Portability and Accountability Act” lansează noi probleme în domeniul managementului datelor, deoarece companiile se expun riscului de a primi amenzi sau de a fi acţionate în justiţie pentru nerespectarea legilor.

Legea Sarbanes-Oxley introduce cerinţa de a face dovada unde s-au transmis datele şi cine le-a accesat, apoi de a readuce datele la starea de dinaintea ultimei accesări. Pe măsură ce datele devin din ce în ce mai legate unele de altele, soluţiile specifice pentru anumite aplicaţii în ideea respectării cadrului legislativ nu vor reuşi să rezolve problema deoarece există mai multe situaţii în care informaţiile se pot afla în aplicaţii specifice la fel de bine ca şi într-un email.

Documentul include cerinţe privind obligativitatea existenţei şi evaluării periodice a planului de asigurare a continuităţii operaţionale şi implicarea managementului în aceste activităţi. Legea în sine este un document amorf, îţi spune „să ai control”, dar nu şi ce controale, sau cum să le foloseşti. De aceea, prevederile ei trebuie aliniate cu prevederile standardelor de securitatea informaţiilor.

Astfel, standardul ISO/IEC 17799, în secţiunea 14 cu titlul „Business Continuity Management”, descrie relaţia dintre planul de recuperare în caz de dezastre, managementul continuităţii operaţiunilor, planul pentru situaţii de criză, de la analiză şi documentare, până la testarea periodică a acestor planuri. Sunt definite controale destinate minimizării impactului incidentelor de securitate care au loc, chiar în condiţiile în care s-au aplicat măsuri preventive.

Pentru a răspunde provocărilor constante privind asigurarea respectării normelor în vigoare, companiile de dimensiuni mari nu trebuie să se mai concentreze pe mentalitatea „o dată pentru totdeauna”, ci pe asigurarea unei conformităţi susţinute.

Începem să observăm eforturi legislative în această direcţie şi în alte ţări, cum ar fi Marea Britanie şi alte state membre UE. Aici se discută aducerea unor amendamente legii companiilor, care să vizeze securitatea datelor. Cred ca pe măsură ce Parlamentele ţărilor vor începe să creeze legi în legatură tehnologia informaţiilor vom vedea şi o mai mare atenţie acordată securităţii datelor.

15 Comments to “Legea Sarbanes-Oxley”

  1. andrei says:

    sti cumva unde pot gasi legea asta integral?mi-ar fi utila…

  2. andrei says:

    multumiri

  3. andrei says:

    deci eu ca auditor trebuie sa…verific procedurile cum ar fi:planul de dezvoltare a sistemelor,corespunderea intre resurselor It cu nevoile companiei,actualizarea softurilor,impartirea corespunzatoare a responsabilitatilor,securitatea informationala,planul de gestionare a riscurilor,controul accesului autorizat si neautorizatdin interiorul si exteriorul retelei..sa compar informatiile cu un anumit standard si sa aduc la cunostiinta conducerii neregulile si modul in care trebuiesc rezilvate?

  4. andrei says:

    deci eu ca auditor trebuie sa…verific procedurile cum ar fi:planul de dezvoltare a sistemelor,corespunderea intre resurselor It cu nevoile companiei,actualizarea softurilor,impartirea corespunzatoare a responsabilitatilor,securitatea informationala,planul de gestionare a riscurilor,controul accesului autorizat si neautorizatdin interiorul si exteriorul retelei..sa compar informatiile cu un anumit standard si sa aduc la cunostiinta conducerii neregulile si modul in care trebuiesc rezolvate?

  5. auditorul doar verifică. el nu trebuie în nici un caz să sugereze măsuri corective. măsurile se propun de către client, iar auditorul doar le consemnează şi verifică la auditul următor dacă ele au fost aduse la îndeplinire şi cu ce consecinţe.

    una dintre cele mai frecvente greşeli este să confuzi auditul cu consultanţa.

  6. andrei says:

    am inteles..;)

  7. andrei says:

    ca sa ma ajuti sa imi dau mai bine seama de atributiile mele..vreau sa-ti cer parerea intr-un exemplu simplu:ce trebuie sa am in vedere cand verific securitatea fizica a serverelor spre exemplu?

  8. Ceea ce trebuie să verifici tu este dacă situaţia din teren corespunde cu politicile companiei/standardul în baza căruia se auditează.
    Dacă, de exemplu, ei declară în politici că nu folosesc user name şi parolă – iar asta nu încalcă vreun standard, este OK din punct de vedere al auditorului.

  9. andrei says:

    cum verific responsabilitatea respectarii politicii securitattii informationale?verific daca exista un proces verbal semnat de angajati?

  10. Nu ai înţeles. Tu ca auditor, verifici:
    – dacă politica firmei respectă standardul asumat;
    – dacă ce scrie în politica firmei se respectă în realitate.

    Dacă politica firmei nu respectă standardul, notezi ca atare şi treci mai departe. Dacă standardul cere o politică şi ea nu există, notezi că nu există şi nu mai verifici dacă ei fac sau nu ce cere standardul. Nu există politica, treci mai departe.

  11. andrei says:

    deci sunt mai putine de facut decat credeam…e mai usor..:P

  12. valy says:

    unde pot gasi in varianta romana capitolele din PMBOK:
    – Managementul Timpului Proiectului
    – Managementul Riscului Proiectului

    multumesc

  13. buchila diana says:

    Buna ziua.As vrea sa stiu cum pot verifica daca o firma din germania exista ?Daca ma puteti ajuta v-as fi recunoscatoare.Multumesc

  14. Tomcat says:

    Pentru Diana B. – Poti verifica daca exista firma si este platitoare de TVA… iata link-ul:
    http://ec.europa.eu/taxation_c.....anguage=EN