薩班斯-奧克斯利法案(SOX)于2002 年制定，以應(yīng)對安然丑聞和類似事件。SOX 的目標(biāo)是通過確保上市公司財務(wù)報告的準(zhǔn)確性來保護上市公司的股東。

誰需要符合 SOX 標(biāo)準(zhǔn)，為什么？

SOX 法案主要適用于上市公司。任何上市公司都必須遵守 SOX 的審計和報告要求。但是，SOX 的某些規(guī)定也適用于私營公司。其中包括通過修改、偽造或銷毀文件來干擾聯(lián)邦機構(gòu)調(diào)查或聯(lián)邦破產(chǎn)案件。SOX 還包括適用于上市公司和私營公司的會計和人力資源部門的舉報人保護和規(guī)則。

SOX 合規(guī)要求

SOX 的目標(biāo)是通過確保公司財務(wù)披露的準(zhǔn)確性來保護股東。為了合規(guī)，組織需要在其每份財務(wù)報告中包含一份實習(xí)生控制報告。本內(nèi)部控制報告旨在概述組織為保護其財務(wù)數(shù)據(jù)和確保財務(wù)數(shù)據(jù)準(zhǔn)確而實施的控制。組織必須接受年度第三方第 404 節(jié)審核，以評估組織的控制、程序和流程。

SOX 將合規(guī)責(zé)任置于管理層的腳下。上市公司的首席執(zhí)行官和首席財務(wù)官必須證明向 SEC 提交的財務(wù)報告是準(zhǔn)確的，并且可能因任何違規(guī)行為而受到刑事處罰。

SOX 合規(guī)性的好處

上市公司和一些私營公司也必須遵守 SOX。但是，SOX 合規(guī)性還提供了一些額外的好處，包括：

• 財務(wù)可見性：要實現(xiàn) SOX 合規(guī)性，企業(yè)必須深入了解其內(nèi)部運作和當(dāng)前財務(wù)狀況。除了支持合規(guī)性和提高對利益相關(guān)者的透明度外，這種可見性還可以幫助組織識別潛在的低效率并優(yōu)化其運營。
• 數(shù)據(jù)安全：SOX 合規(guī)性要求組織內(nèi)的財務(wù)報告和財務(wù)數(shù)據(jù)保護。滿足 SOX 的要求要求公司實施保護措施，以提高其彈性和抵御網(wǎng)絡(luò)攻擊的能力。
• 簡化合規(guī)性：受 SOX 約束的公司可能也受其他法規(guī)約束。實施 SOX 合規(guī)性規(guī)定的安全控制、流程和報告還為公司實現(xiàn)遵守其他法規(guī)奠定了堅實的基礎(chǔ)。

SOX 合規(guī)檢查表

要實現(xiàn) SOX 合規(guī)性，請遵循以下路線圖：

• 確定合規(guī)性要求：SOX 法規(guī)定義了若干合規(guī)性要求，包括一些適用于私人組織或某些部門的合規(guī)性要求。了解組織在法律下的責(zé)任是制定 SOX 合規(guī)戰(zhàn)略的重要第一步。
• 選擇合規(guī)框架：多個組織已發(fā)布滿足 SOX 要求的框架和建議，包括信息和相關(guān)技術(shù)控制目標(biāo) (COBIT)、贊助組織委員會 (COSO) 和信息技術(shù)治理研究所 (ITGI) . 公司在制定 SOX 合規(guī)戰(zhàn)略時應(yīng)選擇一個框架作為指導(dǎo)方針。
• 確定合規(guī)范圍：SOX 合規(guī)要求涵蓋了影響其財務(wù)報告的組織運營的各個方面。為準(zhǔn)備合規(guī)和審計，公司應(yīng)確定哪些數(shù)據(jù)、系統(tǒng)、人員等在合規(guī)范圍內(nèi)。
• 執(zhí)行差距評估：根據(jù) SOX 法規(guī)及其選擇的框架，公司應(yīng)評估其現(xiàn)有的控制、流程和程序。這應(yīng)該使組織能夠識別其現(xiàn)有控制和 SOX 要求之間的潛在差距。
• 記錄現(xiàn)有政策和控制：文檔是 SOX 合規(guī)性的重要組成部分。除了實施安全控制之外，公司還應(yīng)確保已定義并清楚地記錄了 SOX 合規(guī)性所需的所有政策和程序。
• 縮小控制差距：差距評估可能已經(jīng)確定了組織現(xiàn)有安全控制與 SOX 要求之間的差距。在進行合規(guī)性審計之前，必須解決這些差距。
• 定義報告流程：SOX 合規(guī)性就是準(zhǔn)確的財務(wù)報告。公司應(yīng)定義旨在高效準(zhǔn)確地生成任何所需財務(wù)報告的流程。
• 準(zhǔn)備審核：在 SOX 審核期間，組織需要能夠向?qū)徍藛T證明必要的控制、流程和程序已到位。在進行審核之前，組織應(yīng)通過收集任何必要的數(shù)據(jù)并確保所有控制措施到位并可供審核員訪問來做好準(zhǔn)備。