Именно к такому выводу пришли эксперты GAO (Счетная палата США — Government Accountability Office), проводившие первый внешний аудит SEC (Комиссия по ценным бумагам США — Securities and Exchange Commission). Было установлено, что SEC не реализовала процедуры контроля над составляемой отчетностью, призванные предотвращать мошенничество и подтверждать точность ведения финансовой отчетности, как сообщает источник. Между тем SEC сама должна проверять публичные компании на предмет наличия таких процедур и следить за соблюдением законодательства.
Аудиторы GAO выяснили, в ИТ-инфраструктуре SEC не реализованы «всесторонние средства мониторинга, позволяющие выявить необычную или подозрительную активность при доступе к информации». Другими словами, SEC не оснастила свою ИТ-инфраструктуру эффективными средствами управления доступом, а также процедурами аудита и мониторинга событий ИТ-безопасности. Речь идет об учетных записях и паролях пользователей, временных и постоянных правах доступа, сетевой безопасности и вообще об ограничении и выявлении доступа к критической финансовой отчетности и чувствительным компонентам ИТ-инфраструктуры. Как результат, риски неавторизованного доступа к важной информации, ее модификации или потери были очень и очень высоки.
Более того, специалисты GAO нашли погрешности во внутренней финансовой отчетности SEC. В частности было установлено, что SEC накладывала на проверяемые компании неправильные штрафы. По мнению аудиторов GAO, это явилось следствием предыдущего недостатка: в условиях очень слабого контроля над своей внутренней ИТ-безопасностью SEC просто не могла обеспечить должные точность и корректность своих финансовых записей.
Представители SEC сообщили, что сожалеют о результатах аудита и заверили, что организация покажет пример того, как надо устранять выявленные бреши в системе внутренней ИТ-безопасности. Тем не менее, как заметили специалисты GAO, SEC не нарушала законодательного регулирования, касающегося внутреннего контроля над финансовой отчетностью.
Источник: STMicroelectronics