قانون ساربینس-آکسلی سال ۲۰۰۲، همین طور مشهور به «اصلاح عمومی حسابداری شرکتها» و «قانون حفاظت از سرمایه گذار»، و عموماً به نام «ساکس» یا «سارب-اّکس»، یک قانون فدرال ایالات متحده در ارتباط با نظارت بر شرکت های سهامی و بی پرده گویی مالی است. پیش بینی ها و تدارکات ساکس، با ارایهٔ بزرگترین تغییر در قوانین فدرال در مورد سهام و اوراق بهادار طی دهه ها، بتفصیل مجازات جزایی و مدنی برای سرپیچی (عدم مطلوبیت)، گواهی ممیزی پنهانی داخلی، و گزافه گویی مالی را شرح می دهد.
بخش ۳۰۲ – مسوولیت شرکت سهامی برای گزارش های مالی. متصدیان شرکت های سهامی عام باید قابلیت اطمینان اظهارات سالیانه و فصلی مالی را تأیید کنند.
بخش ۴۰۴ – ارزیابی مدیریتی کنترل های داخلی- تمامی شرکت های دارایِ (برگِ) سهامِ داد و ستد شونده بطور عام باید یک گزارش سالیانه در مورد کارایی کنترل داخلی حسابرسی شان به SEC تسلیم کنند. همچنین ممیز مستقل شرکت باید دقت گزارش را رسماً تصدیق و امضا کند.
بخش ۴۰۹ – بی پرده گویی های منتشرهٔ مطابق با گذشت زمان - شرکت های سهامی عام از لحاظ گزارش دهی مالی باید بروز باشند؛ و تغییرات در شرایط یا عملیات مالی شان را در عرض ۴۸ ساعت از وقوع علل مادی آن بیان کنند.
بخش های ۸۰۲ و ۱۱۰۲ - شرکت سهامی و جوابگویی جزایی در کلاهبرداری- شرکت های سهامی عام می توانند برای تغییرِ محتوی یا تخریبِ اسناد مالی با مجازاتهای جزایی مواجه گردند.
این مصوبهٔ قانون گذاری دارای طیف گسترده ای ست، و استانده هایی تازه یا پیشرفته را برای تمام شرکت های سهامی عام آمریکایی، مؤسسات حسابداری عمومی، و مؤسسات عرضه کنندهٔ خدمات ممیزی، نیز کمپانی های غیر آمریکایی که آمریکا در آن حضور دارد، الزامی می کند. بخش هایی از ساکس که بیش ترین ارتباط را با حرفه ای های آی تی دارند شامل موارد پیرو می باشد:
میانِ این بخش ها، سازمان های آی تی بطور گسترده ای تلاشهای مطلوبیت ساکس اشان را بر برآوردن ملزومات بخش ۴۰۴ متمرکز می کنند. گروه های آی تی با کار کردن در تشریک مساعی با مدیریت اجرایی، باید اطمینان حاصل کنند که یک چارچوب کنترل داخلی می تواند بحد کفایت ساختارهای کنترل داخلی و پروسه های گزارش دهی مالی را ارزیابی کند، تا بدین صورت داده های مالی حساس و حیاتی را محافظت و پشتیبانی کنند.
ساکس بتفصیل موارد قانونی ای برای شرکت های سهامی در نظر می گیرد، از آن جمله اند: یک هیئت سرکشی (برد اورسایت) برای حسابداری شرکت سهامی عام، استقلال ممیزی، پاسخگویی و مسوولیتِ (CEO/CFO) مدیر مالی و مدیر عامل، و پیشرفت در بی پرده گویی مالی. مخصوصاً، قانون ساکس تصدیق و تصریح می کند که شرکت های سهامی عام نیازمندِ سیستم های کنترل داخلی وسیع برای مدیریت کردن و گزارشِ داده های مالی، در محل می باشند، همان طور که دیده بانی و محافظتِ فعالیت های کاربر حول داده و حصول اطمینان از امنیت خودِ داده، نیز از ملزومات است.گرچه ساکس می تواند تأثیر مثبتی بر نظارت و تحکم بر شرکت های سهامی از طریق پیشبرد و اصلاح دقت و صحت و قابلیت اطمینانِ داده های مالی داشته باشد، مطلوبیت ساکس چالشهای عمده ای برای سازمان ها و مخصوصاً سازمان های آی تی تولید می کند. از آنجا که اکثر داده های مالی یک کمپانی روی سرورهای شبکه است، نیازمندیهای کنترل داخلی بعهدهٔ گروه های آی تی می افتد؛ لذا دپارتمان های آی تی باید اطلاعات مفصلی برای ممیزین داخلی و خارجی در مورد روالهای گزارش گیری مالی و ساختارهای کنترلی اشان تهیه کنند. مدیران شبکه (ادمین ها) لازم است بتواننداز قدرت تکنولوژی و ابزارهای موجود بهره ببرند تا کنترلهای دسترسی در سرتاسر تجارتخانه را مدیریت کرده و در موردشان گزارش دهی کنند و مدارک و شواهد ملموسِ کوششهای امنیتی شان را تهیه کنند.ساکس مسوولیت پذیری می طلبد و برای هر سازمان لازم می دارد تا شایستگی و مؤثر بودن کل شیوه شان را در برقراری امنیت اطلاعات بیازمایند. یک راه حل امنیت اطلاعات ی برای مؤثر بودن لازم است بتواند در هر نقطه از زمان نشان دهد که سیاست ها و حراستهای امنیتی در جای صحیح خود بوده و صحیح عمل می کنند. راه حل همچنان باید تضمین کند که تمام برنامه های کاربردی و پایگاه های داده ای که بر موقعیت مالی یک شرکت تأثیر می گذارند، امن هستند.حفاظت اطلاعات مالی وظیفهٔ پیچیده ایست که یک استراتژی گسترده می طلبد. سازمان ها با وظیفهٔ پیچیدهٔ نه تنها دستیابی به مطلوبیت ساکس – بل که مراقبت و نگهداری سال به سالِ آن مواجه اند. از دیدگاه نظارت بر امنیت، سازمان ها برای برآوردن {انتظارات قانون} ساکس، باید بطور فعال در موارد زیر مشارکت نمایند:
بخش ۳۰۲ – مسوولیت شرکت سهامی برای گزارش های مالی. متصدیان شرکت های سهامی عام باید قابلیت اطمینان اظهارات سالیانه و فصلی مالی را تأیید کنند.
بخش ۴۰۴ – ارزیابی مدیریتی کنترل های داخلی- تمامی شرکت های دارایِ (برگِ) سهامِ داد و ستد شونده بطور عام باید یک گزارش سالیانه در مورد کارایی کنترل داخلی حسابرسی شان به SEC تسلیم کنند. همچنین ممیز مستقل شرکت باید دقت گزارش را رسماً تصدیق و امضا کند.
بخش ۴۰۹ – بی پرده گویی های منتشرهٔ مطابق با گذشت زمان - شرکت های سهامی عام از لحاظ گزارش دهی مالی باید بروز باشند؛ و تغییرات در شرایط یا عملیات مالی شان را در عرض ۴۸ ساعت از وقوع علل مادی آن بیان کنند.
بخش های ۸۰۲ و ۱۱۰۲ - شرکت سهامی و جوابگویی جزایی در کلاهبرداری- شرکت های سهامی عام می توانند برای تغییرِ محتوی یا تخریبِ اسناد مالی با مجازاتهای جزایی مواجه گردند.
این مصوبهٔ قانون گذاری دارای طیف گسترده ای ست، و استانده هایی تازه یا پیشرفته را برای تمام شرکت های سهامی عام آمریکایی، مؤسسات حسابداری عمومی، و مؤسسات عرضه کنندهٔ خدمات ممیزی، نیز کمپانی های غیر آمریکایی که آمریکا در آن حضور دارد، الزامی می کند. بخش هایی از ساکس که بیش ترین ارتباط را با حرفه ای های آی تی دارند شامل موارد پیرو می باشد:
میانِ این بخش ها، سازمان های آی تی بطور گسترده ای تلاشهای مطلوبیت ساکس اشان را بر برآوردن ملزومات بخش ۴۰۴ متمرکز می کنند. گروه های آی تی با کار کردن در تشریک مساعی با مدیریت اجرایی، باید اطمینان حاصل کنند که یک چارچوب کنترل داخلی می تواند بحد کفایت ساختارهای کنترل داخلی و پروسه های گزارش دهی مالی را ارزیابی کند، تا بدین صورت داده های مالی حساس و حیاتی را محافظت و پشتیبانی کنند.
ساکس بتفصیل موارد قانونی ای برای شرکت های سهامی در نظر می گیرد، از آن جمله اند: یک هیئت سرکشی (برد اورسایت) برای حسابداری شرکت سهامی عام، استقلال ممیزی، پاسخگویی و مسوولیتِ (CEO/CFO) مدیر مالی و مدیر عامل، و پیشرفت در بی پرده گویی مالی. مخصوصاً، قانون ساکس تصدیق و تصریح می کند که شرکت های سهامی عام نیازمندِ سیستم های کنترل داخلی وسیع برای مدیریت کردن و گزارشِ داده های مالی، در محل می باشند، همان طور که دیده بانی و محافظتِ فعالیت های کاربر حول داده و حصول اطمینان از امنیت خودِ داده، نیز از ملزومات است.گرچه ساکس می تواند تأثیر مثبتی بر نظارت و تحکم بر شرکت های سهامی از طریق پیشبرد و اصلاح دقت و صحت و قابلیت اطمینانِ داده های مالی داشته باشد، مطلوبیت ساکس چالشهای عمده ای برای سازمان ها و مخصوصاً سازمان های آی تی تولید می کند. از آنجا که اکثر داده های مالی یک کمپانی روی سرورهای شبکه است، نیازمندیهای کنترل داخلی بعهدهٔ گروه های آی تی می افتد؛ لذا دپارتمان های آی تی باید اطلاعات مفصلی برای ممیزین داخلی و خارجی در مورد روالهای گزارش گیری مالی و ساختارهای کنترلی اشان تهیه کنند. مدیران شبکه (ادمین ها) لازم است بتواننداز قدرت تکنولوژی و ابزارهای موجود بهره ببرند تا کنترلهای دسترسی در سرتاسر تجارتخانه را مدیریت کرده و در موردشان گزارش دهی کنند و مدارک و شواهد ملموسِ کوششهای امنیتی شان را تهیه کنند.ساکس مسوولیت پذیری می طلبد و برای هر سازمان لازم می دارد تا شایستگی و مؤثر بودن کل شیوه شان را در برقراری امنیت اطلاعات بیازمایند. یک راه حل امنیت اطلاعات ی برای مؤثر بودن لازم است بتواند در هر نقطه از زمان نشان دهد که سیاست ها و حراستهای امنیتی در جای صحیح خود بوده و صحیح عمل می کنند. راه حل همچنان باید تضمین کند که تمام برنامه های کاربردی و پایگاه های داده ای که بر موقعیت مالی یک شرکت تأثیر می گذارند، امن هستند.حفاظت اطلاعات مالی وظیفهٔ پیچیده ایست که یک استراتژی گسترده می طلبد. سازمان ها با وظیفهٔ پیچیدهٔ نه تنها دستیابی به مطلوبیت ساکس – بل که مراقبت و نگهداری سال به سالِ آن مواجه اند. از دیدگاه نظارت بر امنیت، سازمان ها برای برآوردن {انتظارات قانون} ساکس، باید بطور فعال در موارد زیر مشارکت نمایند:
wiki: قانون ساکس