Сводная аудиторская отчетность (САТ) в соответствии с Правилом 613 Комиссии по ценным бумагам и Exchange (SEC) действует уже достаточно давно. Таким образом, у большинства организаций отчетность CAT работает, а агент по отчетности подает все вовремя, при этом количество ошибок находится в пределах порога. На бумаге все в порядке, и эти организации чувствуют себя полностью защищенными. В этом и заключается проблема.
Вот вопрос, который никто не задавал на вашей последней проверке соответствия: если завтра SEC реконструирует событие на рынке по вашим CAT-отчетам, не могли бы вы доказать - не утверждать, не демонстрировать процесс - доказать, что данные не были изменены после отправки?
Если вы не можете ответить на этот вопрос с помощью поддающегося проверке артефакта, значит, у вас есть пробел. А в нынешних условиях правоприменения пробелы в целостности учетных данных недолго остаются теоретическими.
В этой статье мы расскажем о том, что это за пробел, почему он находится в слепой зоне, о которой большинство компаний даже не подозревают, во что он обошелся фирмам, которые узнали о нем с трудом, и как его устранить на практике.
Что требует Правило 613 - и что оно молчаливо предполагает
Правило 613 Комиссии по ценным бумагам и биржам США мандаты точная, последовательная во времени запись заказов с момента их получения или возникновения, документирование полного жизненного цикла через маршрутизацию, изменение, отмену и выполнение.
Каждое событие, о котором можно сообщить, должно быть связано, иметь временную метку с точностью до миллисекунды и отслеживаться на протяжении всего жизненного цикла. Управление по регулированию финансовой индустрии (FINRA) Правила реализации касаются отчетности перед КПП, синхронизации часов, временных меток, подключения, ведения учета, а также требований к своевременности, точности и полноте данных.
В правиле нигде не говорится о том, как фирма может доказать, что предоставленная запись не была изменена после факта. Оно предписывает данные. Оно не требует механизма, гарантирующего, что представленные вами данные - это те данные, которые существуют до сих пор. Это предположение остается неявным. Неявные предположения - вот где кроется угроза правоприменения.
Одна измененная запись равна разорванной цепи
Консолидированный журнал аудита Отчетность - это не просто задача отчетности, это мандат на обеспечение целостности данных с возможностью наблюдения за всеми рынками, построенной на основе. FINRA использует сводный аудиторский журнал для восстановления полного жизненного цикла каждого ордера на ценные бумаги NMS (National Market System) и внебиржевые акции (OTC) на всех площадках, которых он касался, с момента поступления клиентского ордера на стол брокера-дилера до каждого решения о маршрутизации, каждого частичного заполнения, каждой модификации и каждого распределения после торговли.
Эта реконструкция полностью зависит от стабильной, непрерывной связи. Временная метка сдвинута на долю секунды. Тихо исправленный идентификатор заказа. Обновление записи последовательности без соответствующей записи аудита. Любое из них нарушает цепочку потенциально миллиардов взаимосвязанных событий.
FINRA ожидает, что фирмы будут ежедневно просматривать портал CAT Reporter, чтобы выявлять ошибки целостности до того, как они перерастут в обязательства по исправлению. Такой просмотр позволяет выявить ошибки при отправке. Он не доказывает, что принятый файл не был изменен после принятия. Это две разные проблемы, и выводы регулятора свидетельствуют о том, что многие фирмы не в полной мере решают обе.
Что не может доказать ваш журнал аудита
Контроль доступа позволяет узнать, кто мог прикасаться к файлу. Журналы аудита позволяют узнать, какие действия были записаны. Ни один из них не дает ответа, поддающегося независимой проверке на вопрос: Изменился ли этот конкретный файл с момента отправки до настоящего момента?
Внутренний журнал можно редактировать. Благонамеренное исправление, примененное к неверной версии записи, оставляет след процесса, но не криптографическое доказательство предыдущего состояния файла. В контексте правоприменения разница между "наши журналы не показывают никаких несанкционированных изменений" и "мы можем доказать, что этот файл идентичен тому, который был представлен" не является семантической. Это разница между утверждением и доказательством - и регулирующие органы это знают.
Регулирующие органы рассматривают нарушения ведения учета как усложняющие их работу по надзору за рынком и его защитеи они очень серьезно относятся к этим вопросам.
Сколько на самом деле стоит несоблюдение
В 2024 финансовый год, Комиссия по ценным бумагам и биржам предъявила дела о ведении учета, в результате которых было наложено более $600 миллионов гражданских штрафов против более чем 70 фирм. С декабря 2021 года в результате этой инициативы обвинения были предъявлены более чем 100 фирмам и более $2 миллиардов штрафов.
A многомиллионный штраф была наложена на фирму для неспособность своевременно и точно сообщать о десятках миллиардов событий, связанных с заказами в центральное хранилище сводного журнала аудита.
В отдельном деле речь идет об ошибке в кодировке, допущенной брокером-дилером, из-за которой миллионы ордеров были неверно помечены в течение пяти лет. Фирма согласилась выплатить $7 миллионный штраф и устранить ошибку в кодировании.
Закономерность неизменна: в SEC не делает различий между преднамеренной фальсификацией и систематическим нарушением качества данных при расчете штрафных санкций. А когда исправление ситуации следует за правоприменением, а не предшествует ему, расходы возрастают многократно. Одна из компаний, добровольно сообщившая о предполагаемых нарушениях, выплатила $2,5 млн. - значительно ниже, чем у других фирм, работавших по тому же делу.
Самоотчетность помогает. Доказанная честность помогает больше.
Криптографический ответ
Технологии Blockchain сгенерировать хэш-отпечаток для набора данных. При изменении одного значения дайджест меняется полностью, что делает даже незначительные однобитные изменения сразу же обнаруживаемыми.
NIST Это свойство определяется как детерминированное, одностороннее и устойчивое к столкновениям - то есть один и тот же файл всегда дает один и тот же отпечаток, и никакие два разных файла не могут дать одинаковый результат.
Именно здесь Truth Enforcer работает. В момент отправки CAT генерирует криптографический хэш файла и закрепляет его в публичном блокчейне. Содержимое файла никогда не покидает организацию - в цепочку записывается только отпечаток. С этого момента любая версия файла может быть независимо проверена по этому привязанному хэшу. Изменена или не изменена. Ответ математический, а не процедурный.
Модель - создать, запечатать, проверить. Она не препятствует модификации. It гарантирует, что любая модификация не останется незамеченной - преобразование аттестации процесса в позицию, которая выдерживает проверку со стороны регулирующих органов. В регулируемых отраслях, где аудит является частью ведения бизнеса, технология распределенных книг повышает доверие благодаря сохранению записей, защищенных от несанкционированного доступа, что упрощает аудит процесса.
Вопрос, который необходимо задать при проведении следующей проверки соответствия нормативным требованиям
В правиле 613 никогда не используются слова "целостность файла". Да это и не нужно. Каждое требование, которое оно предъявляет, зависит от одного непреложного условия: что представленные вами записи, как можно доказать, являются теми записями, которые все еще существуют.
Сайт План CAT NMS требует хранить данные в непосредственно доступном электронном формате не менее пяти лет. Это пять лет, в течение которых мы можем задаваться вопросом, соответствуют ли данные, которые существуют сегодня, тем, что были представлены изначально. - и пять лет, в течение которых восполняется любой пробел в доказуемости.
Большинство компаний сегодня не могут ответить на этот главный вопрос. Они могут описать свой процесс. Они могут представить свои журналы. Но они не могут предоставить математически проверяемое доказательство того, что конкретный файл идентичен тому, что был представлен в определенную дату.
Вопрос для аудита, который нужно взять с собой на следующую проверку соответствия: Если Комиссия по ценным бумагам и биржам США потребует подтвердить, что наши файлы CAT не были изменены после передачи, что мы им передадим - и выдержит ли это проверку?
Если ответ представляет собой описание процесса, а не криптографическое доказательство, Truth Enforcer создан именно для решения этой задачи..
.
Свяжитесь с нами по адресу: https://www.connecting-software.com/truth-enforcer-sign-up/
ИЛИ
Попробуйте бесплатно:
Верификатор истины для создателей ИС: https://truth-verifier.com/landing
Верификатор правды для журналистов: https://truthverifier.news/landing
По адресу Франсиско РодригесМенеджер по продукции
"Я пишу о том, как программные интеграции могут адаптироваться к бизнес-среде и отвечать требованиям конкретной отрасли. Я хочу показать предприятиям путь к рационализации процессов, устранению узких мест и обеспечению соответствия нормативным требованиям путем предоставления командам и руководителям высшего звена необходимых инструментов".
Связанные чтения
Целостность данных DORA: Что на самом деле требует “высший стандарт”
Проблема модификации: Правило 613 Комиссии по ценным бумагам и биржам США - соответствие требованиям CAT с данными, к которым, как можно доказать, никто не прикасался
Реформа законодательства Великобритании о завещаниях 2025 года: Подготовка к независимой цифровой проверке до появления закона