内部控制框架和满足《国际财务报告准则》的要求

近 40 年前，由于 1977 年美国企业贿赂和腐败案件不断增加，内部会计控制首次被编入法典。 从那时起，由于安然会计丑闻和其他丑闻，对财务控制和报告的要求慢慢变得更加明确和强制。自 2002 年起，《萨班斯-奥克斯利法案》（SOX）开始对所有美国上市公司和在美国开展业务的公司生效，作为防止和防范会计错误和欺诈行为的一种手段。404 条款要求上市公司实施充分的财务报告内部控制 (ICFR) ，以保证按照公认会计原则 (GAAP)进行公平的财务报告。外部审计师必须证明财务报告内部控制的设计和有效性以及组织财务报表的准确性。

尽管上文提到要求变得 "更加明确"，但关于如何实现合规的实际要求并不那么简单，《萨班斯-奥克斯利法案》并没有因为对如何最好地实现合规提供直接指导而受到好评。尽管《萨班斯-奥克斯利法案》要求各组织建立有效的内部控制，对信息技术和财务领域进行监管，但并没有提供可遵循的清单，也没有提供衡量成就的里程碑。萨班斯法案的要求含糊不清，更不用说关键流程部分之间缺乏区分，因此受到广泛谴责。

尽管《萨氏法案》没有明确定义的控制框架，但负责实施《萨氏法案》的两家主要机构，即美国证券交易委员会（SECC）和 美国上市公司会计监管委员会（ PCAOB），确实指出了一些广为接受的通用框架，如COSO 和 COBIT，甚至是两者的结合，供您在寻求《萨氏法案》合规性 和确保ICFR 时采用。结合框架还有助于确保 SOX 合规清单涵盖所有方面，并帮助企业满足第 404 条所列的ICFR要求。

COSO、COBIT、SOX 和 ICFR

特雷德韦委员会赞助组织委员会（COSO）- 1985 年

COSO 框架为内部控制提供了一种应用风险管理方法，并阐明了组织可用于阻止欺诈的关键概念。该框架还强调与财务相关的控制措施，旨在实现《萨氏法案》第 404 条关于内部财务报告的要求。然而，该框架没有充分考虑到组织的信息技术环境。根据 COSO，内部控制有三种类型：

• 影响公司运营的因素
• 影响公司遵守法律法规的因素。
• 影响公司 财务报告。(国际财务报告准则）

信息及相关技术控制目标 (COBIT) - 1992 年

COBIT 是由 ISACA 制定的 IT 管理框架，为制定 IT 控制政策和良好实践提供了清晰的路径，帮助组织实现其在信息技术领域的目标。COBIT 模型允许管理人员弥合控制要求、技术问题和业务风险之间的差距。

萨班斯-奥克斯利法案》（SOX）- 2002 年

• 第 404 节 - 财务报告的内部控制

SOX 法案适用于所有在美国上市的公司，以及在美国上市并开展业务的全资子公司和外国公司。该法案第 4 条规定的《内部控制报告》（俗称 SOX 404）要求所有适用公司建立适当的内部控制，以便在年度报告中报告准确的财务数据。更具体地说，SOX 404 要求公司实施适当的财务报告内部控制 (ICFR)，以确保按照公认会计原则 (GAAP) 实施公平的财务报告做法。

遵守 SOX 法案并满足 Alyne 内部的 ICFR 要求

在一个相互联系的世界里，财务完整性在很大程度上依赖于安全、正常运行的 IT 基础设施。要想跟踪财务状况，就必须对数据流动的位置和方式做到完全透明和放心。要达到《萨氏法案》第 404 条规定的《国际财务报告准则》要求，企业不仅要有健全的财务控制，重点关注企业的财务完整性，还要涵盖相关的业务控制，以及与信息技术和信息安全有关的主题。

在 Alyne 范围内：

• 基于 COBIT-COSO 的全面映射。

• 广泛的信息技术和信息安全相关控制。

• 财务控制图书馆纯粹侧重于企业的财务完整性。

国际财务报告准则》控制程序和评估模板：

Alyne 平台提供的内容使我们能够发布开箱即用的 ICFR 控制集 ：符合 SOX 和 SOC 1 标准的财务报告内部控制 (ICFR)。

除控制集外，Alyne 还提供了一个开箱即用的评估模板，其中包含预先配置的成熟度级别，可帮助企业评估其财务完整性的成熟度。定期自我评估可帮助企业审查其财务报告要求的合规性，并协助其加强财务报告内部控制。Alyne 最新的财务报告内部控制功能可对公司和供应商进行全面的健康检查，以符合 SOX 和 SOC 1 标准。

下载我们的最新白皮书，了解有关 SOX/SOC-in-a-Box 的更多信息，以及 Alyne 如何帮助贵组织满足美国萨班斯-奥克斯利法案（SOX）"内部控制的管理评估 "和系统与组织控制 1 (SOC 1) 框架的财务报告内部控制 (ICFR) 要求，后者被定义为 "与用户实体财务报告内部控制相关的服务组织控制检查报告"。