萨班斯-奥克斯利法案(SOX)于2002 年制定,以应对安然丑闻和类似事件。SOX 的目标是通过确保上市公司财务报告的准确性来保护上市公司的股东。
谁需要符合 SOX 标准,为什么?
SOX 法案主要适用于上市公司。任何上市公司都必须遵守 SOX 的审计和报告要求。但是,SOX 的某些规定也适用于私营公司。其中包括通过修改、伪造或销毁文件来干扰联邦机构调查或联邦破产案件。SOX 还包括适用于上市公司和私营公司的会计和人力资源部门的举报人保护和规则。
SOX 合规要求
SOX 的目标是通过确保公司财务披露的准确性来保护股东。为了合规,组织需要在其每份财务报告中包含一份实习生控制报告。本内部控制报告旨在概述组织为保护其财务数据和确保财务数据准确而实施的控制。组织必须接受年度第三方第 404 节审核,以评估组织的控制、程序和流程。
SOX 将合规责任置于管理层的脚下。上市公司的首席执行官和首席财务官必须证明向 SEC 提交的财务报告是准确的,并且可能因任何违规行为而受到刑事处罚。
SOX 合规性的好处
上市公司和一些私营公司也必须遵守 SOX。但是,SOX 合规性还提供了一些额外的好处,包括:
- 财务可见性:要实现 SOX 合规性,企业必须深入了解其内部运作和当前财务状况。除了支持合规性和提高对利益相关者的透明度外,这种可见性还可以帮助组织识别潜在的低效率并优化其运营。
- 数据安全:SOX 合规性要求组织内的财务报告和财务数据保护。满足 SOX 的要求要求公司实施保护措施,以提高其弹性和抵御网络攻击的能力。
- 简化合规性:受 SOX 约束的公司可能也受其他法规约束。实施 SOX 合规性规定的安全控制、流程和报告还为公司实现遵守其他法规奠定了坚实的基础。
SOX 合规检查表
要实现 SOX 合规性,请遵循以下路线图:
- 确定合规性要求:SOX 法规定义了若干合规性要求,包括一些适用于私人组织或某些部门的合规性要求。了解组织在法律下的责任是制定 SOX 合规战略的重要第一步。
- 选择合规框架:多个组织已发布满足 SOX 要求的框架和建议,包括信息和相关技术控制目标 (COBIT)、赞助组织委员会 (COSO) 和信息技术治理研究所 (ITGI) . 公司在制定 SOX 合规战略时应选择一个框架作为指导方针。
- 确定合规范围:SOX 合规要求涵盖了影响其财务报告的组织运营的各个方面。为准备合规和审计,公司应确定哪些数据、系统、人员等在合规范围内。
- 执行差距评估:根据 SOX 法规及其选择的框架,公司应评估其现有的控制、流程和程序。这应该使组织能够识别其现有控制和 SOX 要求之间的潜在差距。
- 记录现有政策和控制:文档是 SOX 合规性的重要组成部分。除了实施安全控制之外,公司还应确保已定义并清楚地记录了 SOX 合规性所需的所有政策和程序。
- 缩小控制差距:差距评估可能已经确定了组织现有安全控制与 SOX 要求之间的差距。在进行合规性审计之前,必须解决这些差距。
- 定义报告流程:SOX 合规性就是准确的财务报告。公司应定义旨在高效准确地生成任何所需财务报告的流程。
- 准备审核:在 SOX 审核期间,组织需要能够向审核员证明必要的控制、流程和程序已到位。在进行审核之前,组织应通过收集任何必要的数据并确保所有控制措施到位并可供审核员访问来做好准备。