Ustawa Sarbanesa-Oxleya ang. Sarbanes-Oxley Act, SOX, SarOx

Bezpośredni wpływ na powstanie SOX miały wydarzenia gospodarcze w Stanach Zjednoczonych w latach 2000-2001, w szczególności afera Enronu i WorldComu. Te skandale finansowe na niespotykaną dotychczas skalę spowodowały dramatyczny spadek zaufania inwestorów do rynków finansowych oraz kluczowych podmiotów na nich operujących: doradców inwestycyjnych, audytorów, notowanych spółek (a dokładniej ich zarządów).

SOX znacznie zaostrza wymogi niezależności wobec kluczowych graczy na rynku finansowym oraz podnosi na bardzo wysoki poziom wymagania w zakresie efektywności kontroli wewnętrznej podmiotów zarejestrowanych w SEC (ang. US Securities Exchange Commission).

Ustawa Sarbanesa-Oxleya obejmuje jedenaście rozdziałów. Wprowadza wymóg dodatkowych ujawnień dokonywanych przez zarząd, dotyczących efektywności systemu kontroli wewnętrznej. Nakłada obowiązek kontroli jakości usług audytorskich, dodatkowe sankcje (finansowe i karne) dla władz spółek w przypadku wykrycia błędów w sprawozdaniach finansowych oraz wprowadza bezwzględny wymóg niezależności audytora. Na mocy ustawy wprowadzono także nowy organ regulujący obszar audytu - Rada Nadzoru nad Rachunkowością Spółek Publicznych (ang. Public Company Accounting Oversight Board, PCAOB), którego zadaniem jest ustanawianie standardów księgowych i audytorskich. Wynikiem jego działania ma być też kontrola firm audytorskich, czego celem jest wyeliminowanie sytuacji, w których audytorzy nie informują o nieprawidłowościach, zafałszowaniach w bilansach i sprawozdaniach finansowych firmy, jak miało to miejsce np. w aferze Enronu. Co więcej kadra kierownicza w firmie, jest zobowiązana do poświadczania zgodności raportów finansowych i ujawniania istotnych informacji dla inwestorów.

Spełnienie restrykcji ustawy Sarbanes-Oxley wymaga zwykle również przebudowy lub uzupełnienia procedur obowiązujących w IT, a niejednokrotnie wymusza zmiany w samych systemach informatycznych. W obliczu audytu kierownictwo firmy niespodziewanie zaczyna interesować się zagadnieniami zarezerwowanymi dotąd wyłącznie dla administratorów IT. Pod lupę brane są dokumenty takie jak: polityki bezpieczeństwa poszczególnych systemów informatycznych, procedury zarządzania uprawnieniami do systemów i danych, interfejsy pomiędzy systemami składującymi dane biznesowe, czy generującymi raporty finansowe. Co więcej - wnikliwy audyt zajrzy również do serwerowni. Sprawdzi, w jaki sposób zabezpieczona jest sieć, czy przesył danych jest szyfrowany, czy i jak zabezpieczone są dane archiwalne i backupowe.^[1]