薩班斯-奧克斯利法案(SOX)于2002 年制定，以應(yīng)對(duì)安然丑聞和類(lèi)似事件。SOX 的目標(biāo)是通過(guò)確保上市公司財(cái)務(wù)報(bào)告的準(zhǔn)確性來(lái)保護(hù)上市公司的股東。

誰(shuí)需要符合 SOX 標(biāo)準(zhǔn)，為什么？

SOX 法案主要適用于上市公司。任何上市公司都必須遵守 SOX 的審計(jì)和報(bào)告要求。但是，SOX 的某些規(guī)定也適用于私營(yíng)公司。其中包括通過(guò)修改、偽造或銷(xiāo)毀文件來(lái)干擾聯(lián)邦機(jī)構(gòu)調(diào)查或聯(lián)邦破產(chǎn)案件。SOX 還包括適用于上市公司和私營(yíng)公司的會(huì)計(jì)和人力資源部門(mén)的舉報(bào)人保護(hù)和規(guī)則。

SOX 合規(guī)要求

SOX 的目標(biāo)是通過(guò)確保公司財(cái)務(wù)披露的準(zhǔn)確性來(lái)保護(hù)股東。為了合規(guī)，組織需要在其每份財(cái)務(wù)報(bào)告中包含一份實(shí)習(xí)生控制報(bào)告。本內(nèi)部控制報(bào)告旨在概述組織為保護(hù)其財(cái)務(wù)數(shù)據(jù)和確保財(cái)務(wù)數(shù)據(jù)準(zhǔn)確而實(shí)施的控制。組織必須接受年度第三方第 404 節(jié)審核，以評(píng)估組織的控制、程序和流程。

SOX 將合規(guī)責(zé)任置于管理層的腳下。上市公司的首席執(zhí)行官和首席財(cái)務(wù)官必須證明向 SEC 提交的財(cái)務(wù)報(bào)告是準(zhǔn)確的，并且可能因任何違規(guī)行為而受到刑事處罰。

SOX 合規(guī)性的好處

上市公司和一些私營(yíng)公司也必須遵守 SOX。但是，SOX 合規(guī)性還提供了一些額外的好處，包括：

• 財(cái)務(wù)可見(jiàn)性：要實(shí)現(xiàn) SOX 合規(guī)性，企業(yè)必須深入了解其內(nèi)部運(yùn)作和當(dāng)前財(cái)務(wù)狀況。除了支持合規(guī)性和提高對(duì)利益相關(guān)者的透明度外，這種可見(jiàn)性還可以幫助組織識(shí)別潛在的低效率并優(yōu)化其運(yùn)營(yíng)。
• 數(shù)據(jù)安全：SOX 合規(guī)性要求組織內(nèi)的財(cái)務(wù)報(bào)告和財(cái)務(wù)數(shù)據(jù)保護(hù)。滿(mǎn)足 SOX 的要求要求公司實(shí)施保護(hù)措施，以提高其彈性和抵御網(wǎng)絡(luò)攻擊的能力。
• 簡(jiǎn)化合規(guī)性：受 SOX 約束的公司可能也受其他法規(guī)約束。實(shí)施 SOX 合規(guī)性規(guī)定的安全控制、流程和報(bào)告還為公司實(shí)現(xiàn)遵守其他法規(guī)奠定了堅(jiān)實(shí)的基礎(chǔ)。

SOX 合規(guī)檢查表

要實(shí)現(xiàn) SOX 合規(guī)性，請(qǐng)遵循以下路線(xiàn)圖：

• 確定合規(guī)性要求：SOX 法規(guī)定義了若干合規(guī)性要求，包括一些適用于私人組織或某些部門(mén)的合規(guī)性要求。了解組織在法律下的責(zé)任是制定 SOX 合規(guī)戰(zhàn)略的重要第一步。
• 選擇合規(guī)框架：多個(gè)組織已發(fā)布滿(mǎn)足 SOX 要求的框架和建議，包括信息和相關(guān)技術(shù)控制目標(biāo) (COBIT)、贊助組織委員會(huì) (COSO) 和信息技術(shù)治理研究所 (ITGI) . 公司在制定 SOX 合規(guī)戰(zhàn)略時(shí)應(yīng)選擇一個(gè)框架作為指導(dǎo)方針。
• 確定合規(guī)范圍：SOX 合規(guī)要求涵蓋了影響其財(cái)務(wù)報(bào)告的組織運(yùn)營(yíng)的各個(gè)方面。為準(zhǔn)備合規(guī)和審計(jì)，公司應(yīng)確定哪些數(shù)據(jù)、系統(tǒng)、人員等在合規(guī)范圍內(nèi)。
• 執(zhí)行差距評(píng)估：根據(jù) SOX 法規(guī)及其選擇的框架，公司應(yīng)評(píng)估其現(xiàn)有的控制、流程和程序。這應(yīng)該使組織能夠識(shí)別其現(xiàn)有控制和 SOX 要求之間的潛在差距。
• 記錄現(xiàn)有政策和控制：文檔是 SOX 合規(guī)性的重要組成部分。除了實(shí)施安全控制之外，公司還應(yīng)確保已定義并清楚地記錄了 SOX 合規(guī)性所需的所有政策和程序。
• 縮小控制差距：差距評(píng)估可能已經(jīng)確定了組織現(xiàn)有安全控制與 SOX 要求之間的差距。在進(jìn)行合規(guī)性審計(jì)之前，必須解決這些差距。
• 定義報(bào)告流程：SOX 合規(guī)性就是準(zhǔn)確的財(cái)務(wù)報(bào)告。公司應(yīng)定義旨在高效準(zhǔn)確地生成任何所需財(cái)務(wù)報(bào)告的流程。
• 準(zhǔn)備審核：在 SOX 審核期間，組織需要能夠向?qū)徍藛T證明必要的控制、流程和程序已到位。在進(jìn)行審核之前，組織應(yīng)通過(guò)收集任何必要的數(shù)據(jù)并確保所有控制措施到位并可供審核員訪(fǎng)問(wèn)來(lái)做好準(zhǔn)備。