Акт Сарбейнс-Оксли от 2002 г. (SOX)

Общие сведения о SOX

Закон Сарбейнса-Оксли 2002 года (SOX) — федеральный закон США, управляемый Комиссией по ценным бумагам и биржам (SEC). Среди прочего, SOX требует, чтобы публично торгуемые компании имели надлежащие структуры внутреннего контроля, чтобы убедиться, что их финансовая отчетность точно отражает их финансовые результаты. SOX в значительной степени зависит от внутренних процессов клиента, особенно когда речь идет о контроле финансовой отчетности. Например, требования SOX включают внутренний контроль клиентов для подготовки и проверки финансовой отчетности, и, в частности, средства контроля, влияющие на точность, полноту, эффективность и публичное раскрытие существенных изменений, связанных с финансовой отчетностью.

SEC не определяет и не устанавливает процесс сертификации SOX. Вместо этого он предоставляет широкие рекомендации для публично торгуемых компаний, чтобы определить, как соблюдать требования к отчетности SOX.

Microsoft и SOX

Клиенты облачных служб Майкрософт при соблюдении требований Закона о Sarbanes-Oxley (SOX) могут использовать аттестацию SOC 1 типа 2, полученную корпорацией Майкрософт от независимой аудиторской фирмы, при выполнении своих собственных обязательств по соответствию SOX. Эта аттестация подходит для отчетности о внутреннем контроле за финансовой отчетностью.

Несмотря на отсутствие сертификации или проверки SOX для поставщиков облачных служб, корпорация Майкрософт может помочь клиентам выполнить свои обязательства ПО SOX. Например, SOX требует внутреннего контроля за подготовкой и проверкой финансовой отчетности, особенно контроля, который влияет на точность, полноту, эффективность и публичное раскрытие существенных изменений, связанных с финансовой отчетностью. Чтобы помочь компаниям, корпорация Майкрософт поддерживает аттестацию SOC 1 типа 2, подходящую для отчетности о таких элементах управления в широком портфеле служб, которые можно использовать для создания широкого спектра приложений. Он основан на Заявлении Американского института сертифицированных государственных бухгалтеров (AICPA) о стандартах аттестации обязательств 18 (SSAE 18) и Международном стандарте по обязательствам в области гарантий No 3402 (ISAE 3402). (Эта аттестация заменила SAS 70.)

Отчет об аудите, подготовленный сторонней аудиторской фирмой, подтверждает, что средства управления Майкрософт были разработаны соответствующим образом, работали в указанную дату и эффективно работали в течение указанного периода времени. Клиенты могут просмотреть отчеты, чтобы узнать о целях управления Майкрософт и эффективности их элементов управления, а также получить доступ к дополнительным элементам управления.

Корпорация Майкрософт разделяет ответственность за соответствие требованиям с нашими клиентами. Мы предлагаем подробные сведения о наших программах соответствия требованиям, которые вы можете проверить, запросив подробные результаты аудита у сертифицирующих третьих лиц. В конечном счете, однако, вы должны определить, соответствуют ли наши услуги конкретным законам и нормативным актам, применимым к вашему бизнесу. Например, существуют связанные с SOX средства управления безопасностью, такие как доступ пользователей к облачным ресурсам. Ваша организация должна разработать соответствующий аудит этих элементов управления в рамках соответствия требованиям SOX.

Затрагиваемые облачные платформы и службы Майкрософт

• Azure
• Dynamics 365
• Intune
• Office 365
• Облачная служба Power BI (в виде автономной службы или в составе плана либо набора Office 365)

Azure, Dynamics 365 и SOX

По мере того как внедрение облака набирает обороты, все больше и больше клиентов изучают, как переносить приложения и рабочие нагрузки с учетом обязательств по соответствию SOX в облако. Несмотря на отсутствие сертификации или проверки SOX для поставщиков облачных служб, Azure может помочь вам выполнить ваши обязательства ПО SOX.

Если на вас распространяются обязательства по соответствию SOX, ознакомьтесь с аттестацией Azure SOC 1 типа 2, которая выполняется в соответствии с:

• SSAE No. 18, Стандарты аттестации: уточнение и перекодификация, которая включает в себя раздел 320 AT-C, Отчетность о проверке средств контроля в организации обслуживания, имеющих отношение к внутреннему контролю за финансовой отчетностью субъектов-пользователей (AICPA, профессиональные стандарты).
• Представление отчетов SOC 1 об анализе средств контроля в обслуживающей организации, актуальных для внутреннего контроля финансовой отчетности организаций-пользователей (руководство AICPA).

Стандарт AICPA SSAE 18 заменил SAS 70, и он подходит для отчетности об элементах управления в организации обслуживания, относящихся к внутреннему контролю за финансовой отчетностью сущностей пользователей. Это официальный аудит, на который можно положиться для сторонних проверок поставщиков технологических услуг при выполнении собственных отраслевых обязательств по соответствию для активов, развернутых в Azure. Он включает в себя мнение аудитора об эффективности контроля для достижения соответствующих целей контроля в течение указанного периода мониторинга.

Office 365 и SOX

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

• Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
• Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
• Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
• Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
• Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость

Затрагиваемые службы

Коммерческий сектор

Цикл расширения, автоматический замещающий текст, Azure Information Protection, службы двоичного преобразования, Bookings, Delve, элемент документа, редактор, Exchange Online, Формы, Вставка онлайн-мультимедиа, Аналитика, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, MyAnalytics, Office 365 Cloud App Security, группы Office 365, OneDrive для бизнеса, Планировщик, Power Apps, PowerApps, Power Automate, Power BI, PowerPoint Designer, Служба документов PowerPoint Online, SharePoint Online, Skype для бизнеса, StaffHub, Stream, Sway, To-Do, служба веб-отрисовки, Viva Engage

Аудит, отчеты и сертификаты

SOC 1, тип 2 , отчеты для:

• Azure и Power BI
• Dynamics 365
• Office 365

Вопросы и ответы

Как использовать соответствие требованиям Microsoft SOX для упрощения процесса соответствия требованиям в моей организации?

При переносе приложений и данных в охваченные облачные службы Майкрософт вы можете использовать аттестации и сертификаты, которые корпорация Майкрософт имеет. Отчеты независимых аудиторов свидетельствуют об эффективности элементов управления, реализованных корпорацией Майкрософт для обеспечения безопасности и конфиденциальности ваших данных. Однако вы несете ответственность за обеспечение соответствия организации всем применимым законам и нормативным актам.

Ресурсы

• Документация Azure по соответствию требованиям
• Предложения Майкрософт для соответствия требованиям
• Соответствие требованиям в центре управления безопасностью Майкрософт
• Закон Сарбейнса-Оксли 2002 года (SOX)
• Комиссия по ценным бумагам и биржам (SEC)
• Ресурсы финансовых служб Microsoft Cloud
• Программа соответствия финансовых служб Microsoft Cloud
• Карта соответствия нормативным принципам облачных вычислений и Microsoft веб-службы
• Варианты использования в отрасли финансовых услуг