Sarbanes-Oxley Act of 2002(SOX)Sarbanes-Oxley Act of 2002 (SOX)

SOX 개요SOX overview

Sarbanes-oxley of-Sarbanes-oxley 2002 Act는 증권 및 Exchange 위원회 (초)에서 관리 하는 미국 연방 법입니다.The Sarbanes-Oxley Act of 2002 is a US federal law administered by the Securities and Exchange Commission (SEC). 다른 여러 지시어 중에서 SOX를 사용 하려면 해당 재무 설명이 재무 결과를 정확히 반영 하는지 확인 하기 위해 적절 한 내부 제어 구조를 마련 해야 합니다.Among other directives, SOX requires publicly traded companies to have proper internal control structures in place to validate that their financial statements accurately reflect their financial results.

초는 SOX 인증 프로세스를 정의 하거나 부여 하지 않습니다.The SEC does not define or impose a SOX certification process. 대신, SOX 보고 요구 사항을 준수 하는 방법을 결정 하기 위해 조정 하는 회사에 대 한 광범위 한 지침을 제공 합니다.Instead, it provides broad guidelines for the companies it regulates to determine how to comply with SOX reporting requirements.

Microsoft 및 SOXMicrosoft and SOX

Microsoft 클라우드 서비스 고객은 Sarbanes-oxley of-Sarbanes-oxley Act (SOX)를 준수 해야 하는 경우 자체 SOX 규정 준수 의무를 해결할 때 Microsoft가 독립 된 감사 회사에서 받은 SOC 1 유형 2 증명을 사용할 수 있습니다.Microsoft cloud services customers subject to compliance with the Sarbanes-Oxley Act (SOX) can use the SOC 1 Type 2 attestation that Microsoft received from an independent auditing firm when addressing their own SOX compliance obligations. 이 증명은 재무 보고를 통해 내부 컨트롤을 보고 하는 데 적합 합니다.This attestation is appropriate for reporting on internal controls over financial reporting.

클라우드 서비스 공급자에 대 한 SOX 인증 또는 유효성 검사는 없지만 Microsoft는 고객이 해당 SOX 의무를 충족 하도록 도울 수 있습니다.Even though there is no SOX certification or validation for cloud service providers, Microsoft can help customers meet their SOX obligations. 예를 들어 SOX를 사용 하려면 재무 보고와 관련 된 자재 변경 내용에 대 한 정확성, 완전성, 효율성 및 공개 공개에 영향을 주는 문서를 준비 하 고 검토 하기 위한 내부 컨트롤이 필요 합니다.For example, SOX requires internal controls for the preparation and review of financial statements, especially controls that affect the accuracy, completeness, effectiveness, and public disclosure of material changes related to financial reporting. 기업에서 지원 하기 위해 Microsoft는 광범위 한 응용 프로그램을 작성 하는 데 사용할 수 있는 광범위 한 서비스 포트폴리오에서 이러한 컨트롤을 보고 하기에 적합 한 SOC 1 유형 2 증명을 유지 관리 합니다.To help companies, Microsoft maintains a SOC 1 Type 2 attestation appropriate for reporting on such controls across a broad portfolio of services that can be used to build a wide range of applications. 이는 증명 계약 18 (SSAE 18)에 대 한 표준에 대 한 인증 된 공공 회계사 (AICPA) 설명서의 미국 협회와 보증 계약 내용에 대 한 국제 표준에 따라 결정 됩니다.It is based on the American Institute of Certified Public Accountants (AICPA) Statement on Standards for Attestation Engagements 18 (SSAE 18) and the International Standard on Assurance Engagements No. 3402 (ISAE 3402)3402 (ISAE 3402). (이 증명은 SAS 70를 대체 했습니다.)(This attestation replaced SAS 70.)

타사 감사 회사에서 만든 감사 보고서는 Microsoft 제어가 적절 하 게 설계 되었으며, 지정 된 날짜에 작업을 수행 하 고, 지정 된 기간 동안 효율적으로 운영 하는 attests입니다.The audit report, produced by a third-party auditing firm, attests that Microsoft controls were designed appropriately, in operation on a specified date, and operating effectively over a specified time period. 고객은 보고서를 검토 하 여 Microsoft 제어 목적 및 해당 컨트롤의 효율성을 알아보고 보완 컨트롤에 액세스할 수 있습니다.Customers can review the reports to learn about Microsoft control objectives and the effectiveness of its controls, and get access to complementary controls.

Azure 클라이언트가 SOX 의무를 해결 하는 데 도움을 주기 위해 Microsoft는 sarbanes-oxley of 용 Azure 지침을 게시 했습니다.To further help Azure clients address their SOX obligations, Microsoft has published Azure Guidance for Sarbanes-Oxley. 이 문서에서는 SOX 준수의 의미를 비롯 한 마이그레이션 모범 사례를 제공 하 고, SOX 관련 응용 프로그램 (Microsoft 국채 및 Microsoft 재무)을 Azure로 마이그레이션하는 내부 환경을 소개 합니다.This paper provides migration best practices, including the implications of complying with SOX, and draws on internal experience migrating SOX-relevant applications — Microsoft Treasury and Microsoft Finance — to Azure.

Microsoft에서는 고객을 준수 하는 책임을 공유 합니다.At Microsoft, we share the responsibility of compliance with our customers. Microsoft는 제 3 자 인증에서 자세한 감사 결과를 요청 하 여 확인할 수 있는 준수 프로그램에 대 한 구체적인 정보를 제공 합니다.We supply the specifics about our compliance programs, which you can verify by requesting detailed audit results from the certifying third parties. 그러나 궁극적으로는 서비스가 비즈니스에 적합 한 특정 법률 및 규정을 준수 하 고 있는지를 확인 해야 합니다.Ultimately, however, it is up to you to determine whether our services comply with the specific laws and regulations applicable to your business. 예를 들어 클라우드 리소스에 대 한 사용자 액세스 같은 SOX 관련 보안 컨트롤 (예: 조직에서 SOX 규정 준수의 일환으로 이러한 컨트롤에 대 한 적절 한 감사를 개발 해야 함)이 있습니다.For example, there are SOX-related security controls, such as user access to cloud resources, that are your responsibility: your organization must develop appropriate auditing of these controls as part of your SOX compliance.

SOX 준수 의무를 해결 하는 경우 Microsoft Azure 준수 보고서를 사용 하는 방법에 대 한 자세한 내용은 sarbanes-oxley of에 대 한 Azure 지침 다운로드 를 참조 하세요.Learn more about how to use Microsoft Azure compliance reports when addressing your SOX compliance obligations: Download the Azure Guidance for Sarbanes-Oxley

Microsoft 범위 내 클라우드 서비스Microsoft in-scope cloud services

  • AzureAzure
  • Dynamics 365Dynamics 365
  • IntuneIntune
  • Office 365Office 365
  • 독립 실행형 서비스 혹은 Office 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 Power BI 클라우드 서비스Power BI cloud service either as a standalone service or as included in an Office 365 branded plan or suite

감사, 보고서 및 인증서Audits, reports, and certificates

SOC 1 유형 2 보고서:SOC 1 Type 2 reports for:

  • Azure 및 Power BIAzure and Power BI
  • Dynamics 365Dynamics 365
  • Office 365Office 365

자주 묻는 질문Frequently asked questions

조직의 규정 준수 프로세스를 용이 하 게 하기 위해 Microsoft SOX 준수를 어떻게 사용할 수 있나요?How can I use Microsoft SOX compliance to facilitate my organization’s compliance process?

응용 프로그램 및 데이터를 포함 된 Microsoft 클라우드 서비스로 마이그레이션할 때 Microsoft에서 보유 하 고 있는 attestations 및 인증을 구축할 수 있습니다.When you migrate your applications and data to covered Microsoft cloud services, you can build on the attestations and certifications that Microsoft holds. 독립 감사자 보고서는 데이터의 보안 및 개인 정보를 유지 관리 하기 위해 Microsoft에서 구현한 컨트롤의 효율성을 보증 합니다.Independent auditor reports attest to the effectiveness of controls that Microsoft has implemented to help maintain the security and privacy of your data. 그러나 조직의 모든 관련 법률 및 규정 준수를 보장 하는 일은 전적으로 책임 합니다.However, you are wholly responsible for ensuring your organization’s compliance with all applicable laws and regulations.

리소스Resources