Введение
Sarbanes-Oxley Act (SOX) – американский федеральный закон, подписанный 30 июля 2002 года президентом Джорджем Бушем в ответ на волну корпоративных мошенничеств (Enron, WorldCom, Tyco). Закон обязывает публичные компании, зарегистрированные на американских биржах, внедрить и поддерживать систему внутреннего контроля над финансовой отчётностью (ICFR – Internal Control over Financial Reporting).
SOX имеет прямые последствия для ИТ-подразделений: значительная часть внутренних контролей реализуется через ИТ-системы. IT General Controls (ITGC) – ключевой объект проверки при SOX-аудите.
История и контекст
В 2001–2002 годах серия громких банкротств (Enron потерял 74 млрд долларов рыночной капитализации) потрясла американский фондовый рынок. Конгресс США в рекордно короткие сроки принял закон Сарбейнса–Оксли, названный в честь его авторов – сенатора Пола Сарбейнса и конгрессмена Майкла Оксли. Закон создал независимый орган аудиторского надзора PCAOB (Public Company Accounting Oversight Board). Для не-американских компаний, торгующихся на NYSE или NASDAQ, SOX также обязателен, что оказывает влияние на российские компании с листингом в США.
Как это работает
Ключевые разделы SOX для ИТ-специалистов:
- Section 302 – CEO и CFO обязаны лично сертифицировать точность квартальной и годовой финансовой отчётности и подтвердить эффективность системы внутреннего контроля.
- Section 404 – менеджмент ежегодно оценивает эффективность ICFR; для крупных публичных компаний требуется независимое подтверждение аудитора (Attestation Report). Используется фреймворк COSO для оценки контролей.
- IT General Controls (ITGC) – контроли доступа к системам, управления изменениями, резервного копирования и восстановления, операционные контроли ЦОД.
- Application Controls – контроли в финансовых приложениях (ERP, billing), обеспечивающие точность и полноту финансовых данных.
Типичные ITGC-контроли: управление привилегированным доступом (PAM), разделение обязанностей (SoD) между разработкой и эксплуатацией, formal change management process с rollback-процедурами.
Где применяется
- Американские публичные компании, обязанные соблюдать SOX
- Иностранные компании с листингом на NYSE/NASDAQ
- Дочерние структуры американских корпораций
- Компании, планирующие IPO на американских биржах
- ИТ-подрядчики, обрабатывающие финансовые данные SOX-обязанных компаний
Преимущества и ограничения
Преимущества: повышение прозрачности финансовой отчётности, снижение риска мошенничества, укрепление доверия инвесторов, улучшение качества ИТ-управления как побочный эффект ITGC-требований.
Ограничения: значительные затраты на compliance (по оценкам, крупные компании тратят десятки миллионов долларов в год на SOX-аудит), бюрократическая нагрузка, риск формального выполнения требований без реального улучшения контролей.
Связь с другими понятиями
SOX тесно связан с Security Governance, GRC (Governance, Risk, Compliance) и управлением SAM (Software Asset Management). IT General Controls при SOX-аудите пересекаются с требованиями SIEM и систем мониторинга доступа. Фреймворк COSO, используемый для оценки ICFR, – методологическая основа как для SOX, так и для других систем внутреннего контроля.
