الأمن السيبراني

هل يجب أن نكون ممتنين لـ SOX واللوائح الأخرى؟


أصدره الكونجرس عام 2002 قانون ساربانيس-أوكسلي تم وضع (SOX) لحماية المستثمرين من المحاسبة والتقارير الاحتيالية للشركات، والتي شهدت خسارة المستثمرين مليارات الدولارات في شركات مثل Worldcom وEnron في أوائل العقد الأول من القرن الحادي والعشرين.

بالنسبة للشركات التي يتم تداول أسهمها علنًا، كان الالتزام بلوائح SOX الجديدة يعني تطوير قواعد جديدة للتقارير والمحاسبة وحفظ السجلات المالية التي أثرت على جميع أنظمتها تقريبًا.

في عام 2006، بعد أربع سنوات من إقرار SOX، قدر تحالف المصنعين من خلال دراسة استقصائية شملت 40 شركة كبيرة أنه كان تكلف متوسط ​​المؤسسة الكبيرة 1.6 مليون دولار أمريكي لرسوم التدقيق الخارجي للامتثال للقسم 404 SOX، بالإضافة إلى حوالي 1.9 مليون دولار أمريكي لأعمال الامتثال الداخلي. وبعد ستة عشر عامًا، في عام 2022، مسح Protiviti للشركات وجدت أن عدد الشركات التي تنفق أكثر من 2 مليون دولار خلال السنة المالية 2021 على جهود الامتثال الداخلي لـ SOX لا يزال يتزايد،

تكاليف سوكس امتثال غير مرحب به، وبالنسبة لمعظم الأفراد المكلفين بتنفيذ وصيانة SOX، فإن العمل غير مرحب به أيضًا.

تطلب SOX من المؤسسات التحكم في الوصول إلى سجلات الشركة، ومراقبة ضوابط الوصول إلى المعلومات والإبلاغ عنها، وتثبيت التكنولوجيا والممارسات لحماية البيانات وحمايتها من العبث أو الفساد. يجب أن يتم تتبع أنشطة تكنولوجيا المعلومات المتعلقة بالبيانات والشبكات والأنظمة بشكل مستمر، مع تسجيل جميع محاولات البيانات والانتهاكات الإلكترونية وتوثيقها والإبلاغ عنها. بالنسبة للفرق المحاسبية والمالية، يجب اعتماد مجموعات جديدة من التقارير التفصيلية التي تغطي البيانات الموجودة على أنظمة متنوعة من قبل المديرين التنفيذيين للشركات. وبعد ذلك، يجب إصدار هذه التقارير إلى أصحاب المصلحة الداخليين والخارجيين.

متعلق ب:4 قضايا تنظيمية كبيرة يجب التفكير فيها في عام 2023

إن مجرد قراءة قائمة المهام هذه يجعل من السهل فهم سبب كون الامتثال لـ SOX وما زال مشروعًا يستهلك الوقت والموارد لتكنولوجيا المعلومات في الشركات. ولكن هل يمكن أن يكون للامتثال لـ SOX والتدابير التنظيمية الأخرى جوانب إيجابية أيضًا؟

البطانة الفضية للتنظيم

الجانب المشرق من التدابير التنظيمية مثل SOX هو أنها تجبر القضايا الأخرى المتعلقة بالاستثمار في البنية التحتية لتكنولوجيا المعلومات على طرحها على طاولة الميزانية. إن طلب المزيد من الأموال للبنية التحتية سيكون من الصعب على تكنولوجيا المعلومات بيعها إذا كانت البنية التحتية هي التي تطلبها تكنولوجيا المعلومات فقط.

دعونا ننظر إلى SOX كمثال تنظيمي.

من منظور تكنولوجيا المعلومات، يتطلب التوافق مع لائحة مثل SOX استثمارات جديدة في تكامل النظام ومجموعات أدوات التكامل بحيث يمكن دمج البيانات من الأنظمة المختلفة في تقارير مالية جديدة. قد تكون هناك حاجة إلى تخزين ومعالجة إضافية، بالإضافة إلى المزيد من إدارة السجلات خارج الموقع. وأخيرًا، قد يلزم إضافة استثمارات جديدة في مجال أمن الشبكات، وإمكانية المراقبة، وبرامج الوصول وتتبع الأنشطة، وحتى شبكات الثقة المعدومة، إلى ميزانيات تكنولوجيا المعلومات.

متعلق ب:ينزلق مسبار SEC Wall Street إلى الرسائل المباشرة

الوجبات الجاهزة

بالنسبة لمديري تكنولوجيا المعلومات، فإن البنية التحتية الحيوية لتكنولوجيا المعلومات هي ما يحتاجون إليه. قد لا تحظى هذه البنية التحتية بالتقدير من قبل المديرين التنفيذيين غير العاملين في مجال تكنولوجيا المعلومات مثل المدير المالي، ولكن من الأسهل بكثير الحصول على تمويل لها إذا تم تجميع الاستثمارات مع المشاريع ذات المهام الحرجة والمتطلبات التنظيمية التي يريدها العمل النهائي ويحتاجه.

توفر المتطلبات التنظيمية وسيلة غنية لتجميع البنية التحتية لتكنولوجيا المعلومات لأن معظم اللوائح مثل SOX تتطلب عمليات دمج البيانات وإعداد التقارير عبر الأنظمة، والأمن على مستوى الشبكة، ومراقبة الوصول، وتتبع الأنشطة، وحفظ السجلات التي تشمل جميع الأنظمة وموارد تكنولوجيا المعلومات. وحتمًا، تتطلب عمليات الامتثال هذه ترقيات في الأنظمة والشبكات وبرامج إدارة الشبكة ومجموعات الأدوات والأمن وإمكانية المراقبة والمعالجة والتخزين.

من منظور الميزانية، يمكن تفصيل موارد تكنولوجيا المعلومات هذه، سواء كانت مصروفة أو مرسملة، ضمن مشروع العمل أو اللوائح التنظيمية التي تتطلبها، ويمكن أن يشرح مدير تكنولوجيا المعلومات سبب الحاجة إليها هناك. وهذا يعطي الرؤية والأهمية التجارية للبنية التحتية لتكنولوجيا المعلومات لأولئك المسؤولين في النهاية عن تمويلها.

متعلق ب:3 طرق يمكن لمهندسي البيانات من خلالها ضمان الامتثال

هناك أيضًا رواية جانبية إضافية لذلك.

يدخل العديد من مديري تكنولوجيا المعلومات إلى غرفة الميزانية ويبدأون بطلب المزيد من التخزين أو المعالجة لمجرد أن نظامًا أو موردًا معينًا “يتباطأ” أو
“الحد الأقصى للخروج.”

في سنة عجاف، من المرجح أن تلهم حجة كهذه المدير المالي ليقول: “حسنًا، لا يزال النظام قيد التشغيل، لذا دعونا نحاول الاستمرار حتى تتحسن المبيعات”. يعد هذا أيضًا سببًا رئيسيًا وراء امتلاك العديد من الشركات لمحطات عمل ومحركات أقراص وخوادم وشبكات قديمة: ليس هناك مبرر قوي أبدًا في وقت الميزانية لطلب المزيد من الموارد لمجرد أنك تشعر أنك بحاجة إليها.

إن أفضل ممارسة للحصول على موافقات ميزانية البنية التحتية لتكنولوجيا المعلومات هي مواءمة تحسينات البنية التحتية هذه بطريقة تدعمها ويتم تضمينها مع المشاريع التي تقع في قلب الأعمال والتي ترغب الشركة في الاستثمار فيها.

إذا كانت شركتك تخسر ألف حجز فندقي جديد في الساعة لأن وحدة المعالجة المركزية لخادمك بطيئة للغاية، فيمكنك بسهولة تبرير تعزيز وحدة المعالجة المركزية لاستعادة فرص الإيرادات المفقودة.

هذه هي رسالة SOX، ولوائح العمل المشابهة لها، والمشاريع ذات المهام الحرجة التي تعتبرها الأعمال مهمة. إنها توفر بطانة فضية قابلة للتطبيق ومسارًا لتحسينات البنية التحتية التي قد لا تحصل عليها بطريقة أخرى.





Source link

زر الذهاب إلى الأعلى