De sarbanes, oxley et stockage

Nous avons été témoin de tout, de l’abus de pratiques comptables des entreprises aux accusations de fraude pure et simple perpétrées par les plus hauts dirigeants des sociétés cotées en bourse. Nous avons pris conscience de la complicité de cabinets comptables et les maisons de placement qui étaient aveugles aux pratiques de leurs clients ou pire, induisaient le public en erreur en leur faisant croire que tout allait bien, même si, à un certain niveau de l’organisation, ils savaient le contraire en privé.

Ainsi, le pendule réglementaire revient dans le sens de plus plutôt que moins. Au cours du cycle électoral de l’année dernière, tous les politiciens en lice ont été pour préserver la valeur des investissements individuels et des comptes d’épargne-retraite qui avaient été dévastés par les pratiques des gestionnaires d’ENRON.


Et, chaque politicien – se présentant aux élections, à la réélection, ou simplement en train de regarder à l’écart – était pour envoyer des criminels corporatifs en prison. C’est dans ce climat de sensibilisation accrue à la cupidité et à l’avarice des dirigeants d’entreprises que la loi Sarbanes Oxley de 2002 est née.

Nous croyons cela Sarbanes Oxley aura des effets significatifs à long terme sur l’industrie du stockage. Nous résumons ici notre analyse de l’impact des nouvelles exigences de reporting financier sur les environnements de stockage d’entreprise et ceux qui les gèrent.

La loi stipule que les cabinets d’expertise comptable sont tenus de "préparer, et conserver pour une période d’au moins sept ans, les documents de travail de vérification et d’autres renseignements liés à tout rapport de vérification, de manière suffisamment détaillée pour étayer les conclusions tirées dans ce rapport." Bien que le langage de la loi s’applique aux cabinets d’experts-comptables, nous croyons que, pour être prudents, les entreprises devraient conserver et conserver des copies de ces données justificatives pendant sept ans également.

En outre, la loi stipule que c’est un crime pour " toute personne qui altère, détruit, mutile ou dissimule tout document dans l’intention de porter atteinte à l’intégrité ou à la disponibilité de l’objet dans le cadre d’une procédure officielle ou d’entraver, d’influencer ou d’entraver une procédure officielle …."

Nous croyons que l’effet de cette disposition dans la Loi obligera les entreprises à sauvegarder toutes les données – y compris les formats de données comme les courriels, les journaux de transactions, la messagerie vocale numérisée, etc. – que leurs avocats estiment pouvoir devenir le sujet d’une enquête devrait-on se poser. Ici, la loi semble remonter aussi loin qu’elle le veut, ce qui rend difficile, au mieux, de déterminer combien de temps ces données doivent être sauvegardées. Tout ce qui précède équivaut à plus de données capturées et stockées. Encore aggraver la situation, les données de conformité réglementaire doivent maintenant être enregistrées pour des périodes plus longues, rendant encore plus difficile le travail de construction d’une plate-forme pour stocker toutes ces données.

Par conséquent, quelle que soit la plate-forme choisie pour répondre à ces nouvelles exigences, elle devra évoluer sans interruption et sans interruption en termes de téraoctets (et éventuellement de pétaoctets) en fonction de la taille de l’entreprise et du nombre et de la nature de ses transactions.

Les entreprises seront tenues de signaler les changements importants de leurs conditions financières plus rapidement. En fait, un article de la Loi est sous-titré "Divulgation en temps réel." En outre, les entreprises devront respecter des délais plus courts pour le dépôt des rapports financiers. Par conséquent, les données requises par les organismes de réglementation doivent être saisies, récupérées et signalées plus rapidement.

En outre, le processus de capture, de récupération et de génération de rapports doit se dérouler de manière à ne pas perturber les applications essentielles à la survie de l’entreprise. Le stockage intelligent peut jouer un rôle essentiel en automatisant la capture des données requises de manière transparente pour les applications existantes.

Les données devront être sauvegardées sous une forme certifiée inaltérée. Comment ce processus de certification se produit et par qui doit-il encore être déterminé? Cependant, les implications de la loi sont claires. Si une entreprise fait l’objet d’une enquête, elle doit être en mesure de prouver que les données qu’elle produit sont restées inchangées depuis le moment où les données ont été saisies et stockées jusqu’au moment où elles ont été récupérées aux fins de l’enquête. .

En outre, la loi exige désormais que le rapport annuel d’une entreprise contienne "rapport de contrôle interne", qui doit "(1) énoncer la responsabilité de la direction d’établir et de maintenir un contrôle interne structure et procédures pour l’information financière; et (2) contenir une évaluation, à la fin de l’exercice financier de l’émetteur, de l’efficacité de la structure et des procédures de contrôle interne de l’émetteur pour l’information financière."

Pour se conformer aux dispositions ci-dessus de la Loi, une entreprise doit être en mesure de prouver que son infrastructure est capable de capturer les données requises ainsi que de le maintenir sous forme inchangée. Les dispositifs d’infrastructure de stockage jouent un rôle essentiel dans le "interne structure de contrôle." Cependant, étant donné que les fournisseurs de stockage sont les créateurs ultimes de ces périphériques, les utilisateurs du stockage se tourneront vers les fournisseurs de stockage pour les aider à établir l’efficacité de leurs contrôle interne structures.

Grâce à cette loi, les entreprises conserveront désormais les données sous une forme certifiée non modifiée pour un nombre indéterminé d’années. L’accès à ces données non modifiées devra également être garanti pour les années à venir. Voici au moins un domaine où la loi se heurte aux limitations actuelles des sous-systèmes de stockage. Comme les données stockées électroniquement sont migrées ou "converti" d’un média à l’autre, d’une plateforme à l’autre, on ne peut plus prouver qu’il n’a pas été modifié. En fait, la perte de données devient une considération primordiale durant ce processus. Et pourtant, nous vivons dans un monde où les changements technologiques et les progrès rapides sont une constante. L’infrastructure de stockage s’use avec le temps et doit être remplacée. Les entreprises sont rarement en mesure d’acheter exactement le même dans les composants d’infrastructure pour remplacer d’autres qui ont été usées. Une telle pratique ne serait pas non plus conforme au mandat de la TI de soutenir les intérêts commerciaux de l’entreprise dans l’avenir.

La direction des TI se trouvera confrontée à un dilemme en ce qui concerne le respect à long terme des dispositions de la Loi en ce qui concerne la conservation à long terme des dossiers stockés électroniquement. Leur seule position de repli sera sur papier espace de rangement.

Les responsables des politiques d’entreprise incluront désormais des responsables de la conformité réglementaire et des avocats qui voudront conserver plusieurs années de pistes de vérification, d’e-mails et de journaux de transactions pour une éventuelle révision gouvernementale. Les politiques formulées pour la saisie et la conservation de ces données doivent être clairement énoncées par la direction afin qu’elles puissent être clairement comprises et mises en œuvre par la direction informatique.

Nous avons parlé plus tôt de l’utilisation d’applications de gestion du stockage automatisées et basées sur des règles comme moyen efficace de résoudre le problème de la capture et du stockage non perturbateurs de données réglementaires. Cependant, la gestion de stockage basée sur des règles ne peut pas se faire sans commencer par un ensemble de stratégies bien définies et bien comprises.

Toutes les entreprises touchées par la Loi doivent comprendre pleinement ses exigences. La conséquence de ne pas le faire est une exposition accrue au risque. Les pénalités pour non-conformité comprennent des amendes et l’emprisonnement. Peut-être plus menaçant est la publicité négative qui irait de pair avec une enquête publique – une publicité négative qui pourrait mettre l’entreprise hors de la société tous ensemble.

La perspective de recherche ci-dessus a été réimprimée avec la permission du Mobilité de données Groupe. Copyright 2002-2003, Data Mobiliity Group, LLC. (Pour vous renseigner sur cette recherche ou sur d’autres recherches du Data Mobility Group sur le marché du stockage, contactez directement le Data Mobility Group.)