Lagen kom som en reaktion på flera stora företagskonkurser. Företagens VD och finanschefer är numera tvungna att formellt intyga att hela redovisningsprocessen är korrekt (inklusive dotterbolag och intressebolag). Felaktig information kan medföra straff på upp till fem miljoner dollar och 20 års fängelse. Detta ställer helt nya krav på tydliga verksamhetsprocesser, verifierbara rutiner och kontrollpunkter.
På IT-chefens bord
Det kan verka som om SOX enbart är ett bekymmer för ekonomer och företagsledning, men eftersom i stort sett all finansiell information hanteras och kommuniceras elektroniskt utgör verksamhetens IT-infrastruktur alltid en väsentlig del av alla SOX-projekt – därmed hamnar frågan även på IT-chefens bord. Därifrån går frågan vanligtvis över till företagens säkerhetsansvariga som ganska snabbt konstaterar att den gamla säkerhetsparollen med struktur, ansvar samt ordning och reda fortfarande håller.
Direktiv istället för krav
Det finns alltså inte ett formellt facit med SOX-krav, utan endast direktiv i form av olika ramverk. Bland annat har IT Governance Institute publicerat ”IT Control Objectives for Sarbanes-Oxley” som innehåller en hel del goda råd och som i sin tur grundar sig på ramverken COBIT och COSO.
Låter det som en omöjlig uppgift? I grund och botten handlar det om att ha kontroll på sin verksamhet inklusive IT-verksamheten. Har man god kontroll på sin säkerhet till exempel genom att arbeta med ISO/IEC 17799 är man en bra bit på väg.
Verksamhetsdelar prioriteras
Alla SOX-projekt börjar normalt med att man definierar vilka verksamhetsdelar som omfattas (”scoping”). När denna scoping är gjord av ekonomi och finans enligt konstens alla regler ska enligt COSO följande komponenter finnas (man brukar prioritera områdena efter storleken på omsättningen så att minst 80 procent av alla kostnader täcks):
- Verksamhetsbeskrivning
- Riskvärdering
- Kontrollaktiviteter
- Information och kommunikation
- Övervakning
De områden som COBIT fäster särskild vikt vid är följande:
- Planering och organisation
- Program/systemutveckling
- Inköp och implementation
- IT-drift och behörighetskontroll
- Övervakning och utvärdering.
Tydlig IT-organisation och IT-dokumentation
SOX-revisioner visar att det är mycket viktigt att företagsledningen fastställer en tydlig IT-organisation, IT- och säkerhetspolicy, och strategi avseende IT-drift samt en antagen och testad kontinuitetsplan. I det praktiska IT-arbetet ska det finnas dokumenterade beskrivningar av följande:
- Riskanalyser
- Rutiner för systemutveckling och underhåll
- Ändringshantering (change control)
- Säkerhetskopiering
- En modell för informationsklassning
- Behörighetssystem och behörighetstilldelning
- Loggning av förändringar i finansiella system eller behörighetssystem.
Läs mer om SOX på Wikipedia.