Livello B · utilizzabile nel tuo programma di compliance
Conservazione documenti SOX su Microsoft 365
Modifica controllata, evidenze audit log e conservazione per la documentazione dei controlli finanziari.
Il prodotto offre funzionalità di governance documentale — conservazione controllata con metadati di scadenza e archivio, un audit log completo e versioning — che le organizzazioni possono utilizzare nel loro programma Sarbanes-Oxley (SOX) per la documentazione dei controlli finanziari. Il prodotto non è posizionato come soluzione SOX certificata; l’adeguatezza con il tuo specifico programma SOX è responsabilità del tuo team di conformità e di internal audit.
Prenota una valutazione gratuita
Cosa chiede SOX alla gestione documentale
La legge Sarbanes-Oxley del 2002 e le sue normative attuative hanno due punti di contatto diretti con le informazioni documentate:
Section 404 — la valutazione del management sui controlli interni sul financial reporting (ICFR). Questo richiede controlli documentati, narrative di processo documentate, matrici di rischio e controllo documentate e evidenze documentate dell’esecuzione dei controlli. Gli auditor esaminano questi documenti durante l’audit della Section 404.
Section 802 — conservazione dei record. Nello specifico, §802 criminalizza la distruzione o l’alterazione di record rilevanti per indagini federali. Le società quotate soggette a SOX conservano un corpus definito di record finanziari per periodi statutari (generalmente sette anni, anche se il perimetro varia).
Per il livello di informazioni documentate che SOX genera — narrative di controllo, policy, procedure, evidenze di operazione dei controlli — un sistema difendibile di gestione documentale deve dimostrare tre cose:
- Modifica controllata. Ogni revisione a una narrativa di controllo o policy di controlli finanziari passa attraverso un processo di approvazione definito, e gli stati prima e dopo sono preservati.
- Evidenze di audit. La cronologia di ogni documento — chi ha approvato, quando, su quale versione — è recuperabile su richiesta.
- Disciplina di conservazione. I documenti non vengono eliminati silenziosamente. Le versioni superate sono preservate. I periodi di conservazione sono rispettati.
docs365.ai fornisce funzionalità in tutte e tre le aree che i clienti usano come parte del loro programma SOX.
Come le funzionalità del prodotto si allineano
Modifica controllata
Funzionalità. Approvazione sequenziale con routing basato sui ruoli. Per i documenti di controlli finanziari, gli approvatori fissi (Financial Controls Manager, SOX Program Lead, CFO) possono essere configurati a livello di tipo documento in modo che la catena di autorizzazione sia applicata automaticamente, non ricordata a memoria. I documenti vengono estratti (checked out) durante l’approvazione — nessuna modifica durante il flusso — così le approvazioni si applicano a una versione inequivocabile.
Evidenze di audit
Funzionalità. Ogni azione su ogni documento viene scritta nell’audit log contro un utente Microsoft Entra (Azure AD) nominativo. Per i documenti nel perimetro SOX, l’audit log produce le evidenze “chi ha approvato cosa, quando e su quale versione” che gli auditor SOX richiedono comunemente durante i walkthrough e i test della Section 404.
Disciplina di conservazione
Funzionalità. Archivio (non eliminazione) dei documenti superati. Il versioning preserva ogni versione precedente. I metadati di scadenza segnalano i documenti per la revisione con la cadenza configurata dal cliente — invece di lasciare che i documenti invecchino silenziosamente.
A livello di tenant, le policy di conservazione Microsoft Purview forniscono la dorsale di conservazione di sette anni per i contenuti adiacenti al financial reporting. La disciplina di archivio del prodotto mantiene la libreria attiva pulita preservando al contempo il registro storico per il periodo di conservazione.
Come appare un ciclo di testing SOX con questo prodotto
Considera il ciclo annuale di testing di un key IT general control: change management sui sistemi di financial reporting. Il control owner — tipicamente in IT Operations — mantiene un documento Procedura di Change Management che i tester SOX esaminano annualmente.
Anno 1 — Authoring. Il control owner redige la procedura dal template IT Procedure. Versione 0.1 → 0.2 → 1.0 attraverso un flusso di approvazione sequenziale che si chiude con il SOX Program Lead e il Director of Internal Audit come approvatori fissi. Pubblicata. Data di efficacia impostata al 15 gennaio.
Anno 1 — Testing (Q3). Il tester SOX esamina la procedura. Chiede di vedere la cronologia delle approvazioni — l’audit log produce chi ha firmato, quando e in quale ruolo. Verifica che la versione corrente corrisponda alle osservazioni del walkthrough. Evidenza acquisita.
Anno 2 — Revisione. Una modifica al sistema nel Q2 dell’Anno 2 richiede un aggiornamento della procedura. Il control owner redige la versione 1.1 attraverso lo stesso flusso di approvazione. La versione 1.0 viene archiviata alla pubblicazione della 2.0. L’archivio preserva il documento esattamente come era durante il periodo di test dell’Anno 1.
Anno 2 — Testing (Q3). Il tester SOX esamina la procedura. Verifica sia che la procedura era la versione 1.0 durante gennaio–giugno dell’Anno 2, sia che la versione 2.0 è in vigore da luglio in poi. Entrambe le versioni sono recuperabili dalla libreria. L’audit log mostra l’intera transizione — autore, approvatori, pubblicazione, archivio.
Anno 3 — Audit esterno. L’auditor SOX esamina la procedura corrente e revisa la modifica storica. Ogni domanda — quando è avvenuto il cambio di versione, chi l’ha approvato, qual era la versione precedente, c’è stato un gap nell’operazione del controllo — riceve risposta dall’audit log del documento e dalla versione precedente archiviata.
Questo è ciò che significa “difendibile sotto il testing SOX” nella pratica operativa. Nessuna email da inseguire. Nessun foglio di calcolo da riconciliare. Il documento è l’evidenza.
Cosa il prodotto non fa per SOX
Non è una piattaforma GRC. Non gestisce i controlli SOX come oggetti strutturati, non esegue flussi di testing dei controlli, non genera viste dashboard executive dello stato dei controlli SOX. Per questo, le piattaforme GRC (AuditBoard, Workiva, OneTrust GRC, ServiceNow IRM) sono costruite appositamente.
Non esegue il testing SOX. Il testing — l’esame effettivo delle evidenze rispetto alla progettazione dei controlli — è condotto dall’internal audit o da valutatori esterni.
Non determina il perimetro dei controlli SOX. Il perimetro è definito dal management con la consulenza dell’auditor esterno.
Ciò che fa è fornire una libreria disciplinata per le informazioni documentate che SOX genera — procedure, policy, narrative di controllo, documentazione di processo. Il livello documentale, fatto bene, nello stesso tenant Microsoft 365 in cui il resto dell’organizzazione opera.
FAQ
Purview non gestisce già questo? Purview fornisce conservazione a livello di tenant, etichettatura e gestione dei record. È lo strumento giusto per policy di conservazione dei contenuti di ampio respiro su email, OneDrive, SharePoint e Teams. Non fornisce flussi di approvazione specifici per documento, audit trail per documento o promemoria di scadenza attivi — ed è qui che il prodotto si affianca a Purview. Un cliente che usa entrambi ottiene una baseline di conservazione a livello di tenant da Purview e il controllo del ciclo di vita dei documenti dal prodotto.
E la documentazione ICFR nello specifico? La documentazione ICFR — narrative di processo, flowchart, matrici di rischio e controllo — tipicamente vive come documenti Word, matrici Excel o flowchart Visio. Il supporto del prodotto per Word, PowerPoint, Excel e PDF copre la maggior parte dei formati di authoring ICFR. Visio non è un tipo di documento primario; i clienti tipicamente convertono gli artefatti Visio in PDF per la distribuzione controllata.
Esiste una certificazione SOX per il prodotto? SOX non ha uno schema di certificazione del prodotto. Ciò che conta è se il prodotto supporta la capacità dell’emittente di documentare ed evidenziare i propri controlli interni. Il prodotto fornisce funzionalità che i clienti usano nei loro programmi SOX; il team di conformità e internal audit del cliente verifica l’adeguatezza al proprio programma specifico.
È adeguato per il testing degli auditor della Section 404(b)? L’adeguatezza è determinata dall’auditor esterno rispetto ai controlli e alle evidenze specifici del cliente. Ciò che il prodotto fa è produrre il tipo di evidenze — cronologia delle versioni, audit trail delle approvazioni, archivio delle versioni precedenti, scadenza documentata e ri-revisione — con cui gli auditor esterni lavorano comunemente.
E la regola SEC 17a-4 (conservazione record dei broker-dealer)? La 17a-4 ha requisiti WORM (Write-Once-Read-Many) che vanno oltre la documentazione SOX generale. I clienti nel perimetro 17a-4 tipicamente usano soluzioni di archivio specializzate per i record specifici 17a-4, e il prodotto per la loro libreria più ampia di informazioni documentate.
Pronto ad allineare la tua documentazione SOX?
Prenota una valutazione gratuita — 30 minuti, senza costi. Esamineremo insieme la tua attuale libreria di documentazione nel perimetro SOX e identificheremo dove le funzionalità di questo prodotto cambierebbero la forma delle evidenze.
Pagine correlate
- Audit log → — la base delle evidenze per la Section 404.
- Versioning → — conservazione delle versioni precedenti per il testing.
- Archiviazione → — conservazione dei documenti superati.
- Come funziona la governance →.
Pronto ad allineare la documentazione SOX?
Trenta minuti. Gratuito. Senza impegno. Analizziamo la tua libreria attuale e identifichiamo dove questo prodotto cambierebbe la forma dell'evidenza.