萨班斯法案》(SOX):简单指南
遵守萨班斯法案是所有上市公司的重要责任。该法案自 2002 年起实施,因此许多公司都非常熟悉遵守其准则的最佳方法。然而,对于在美国上市的公司来说,遵守萨班斯法案的某些方面仍然耗费时间和金钱。
从本质上讲,《萨班斯-奥克斯利法案》是一套旨在消除企业界欺诈行为、加强问责制和公司治理的指导方针。让我们来详细了解一下美国立法的这一关键部分,以及它对当今企业的意义。
什么是2002 年《萨班斯-奥克斯利法案》(SOX)?
萨班斯-奥克斯利法案》是 2002 年生效的一项立法。该法案由美国国会通过,旨在为股东和公众提供重要保护,防止欺诈和重大会计差错。该法案还旨在提高公司披露信息的可见度,避免出现不准确的情况。
遵守 SOX 法案
自 2002 年以来,遵守 SOX 法案一直是所有上市公司,特别是公共会计组织和管理公司的一项重要责任。私营公司也必须遵守该法案的某些部分。
为了全面遵守萨班斯法案,企业必须注意财务和数字两方面的要求。企业需要注意的萨班斯法案规定的主要领域之一与信息存储有关。
SOX 法规并不决定企业如何保存记录,也不对使用的最佳业务实践给出严格的指导。不过,它确实规定了应保存的信息类型,以及这些信息需要保存多长时间。例如,企业必须将电子记录和信息至少保存五年。如果企业未能做到这一点,将被处以罚款。严重的甚至会被判入狱。
为了确保您的企业符合 SOX 法案的所有要求,最好使用一份合规性清单,该清单汇集了法案第 302 和 404 条的所有规则和规定。
SOX 法案第 302 和 404 条
2002 年《萨班斯法案》是确保上市公司问责制的基本推动力。该法案的两个关键条款,即第 302 条和第 404 条,对其迄今为止的重要性起到了至关重要的作用。
第 302 条:这项规定包括一系列保障措施,旨在确保公司领导团队的高级成员必须正式证明财务报告的准确性。该节本身包括防止数据篡改的保障措施、确定时限的保障措施、对数据访问的可核查控制措施以及建议的操作保障措施。此外,该部分还包括报告此类保障措施的有效性以及发现潜在的安全漏洞。
第 404 条:该条款要求管理层和审计人员实施内部控制和报告方法。由于其要求的内部控制非常昂贵,因此建立成本很高。这些控制措施包括向经批准的 SOX 审计师披露安全保障措施,以及向审计师披露任何可能的安全漏洞和故障。
第 802 节
记录保存是该法第 802 条的重点。它以三种不同的方式涉及记录的保存。首先,《萨氏法案》规定了销毁记录和发现虚假记录的准则。其次,萨班斯法案规定了保存记录的时间表。第三,萨班斯法案规定了企业需要保存哪些记录。本节还特别关注电子信息以及存储这些信息的正确方法。
SOX 和电子表格风险
尽管日益复杂的企业 IT 系统越来越重要,但电子表格在企业中的使用 仍然十分普遍。因此,在管理电子表格财产时,必须牢记 SOX 合规准则。由于电子表格固有的灵活性,不对其进行有效管理会带来巨大风险。许多电子表格还与不同的数据源和其他电子表格相连接,这意味着电子表格风险是企业不可忽视的因素。
满足萨班斯法案要求的步骤
- 制定计划:确保完全明确何时需要报告哪些信息。制定本年度的短期目标和长期目标,以适应组织的发展。
- 选择一个或多个框架来支持合规性:不同的组织创建了框架和模型,用于制定 SOX 内部控制和合规性,例如特雷德韦委员会赞助组织委员会 (COSO)、信息及相关技术控制目标 (COBIT) 和信息技术治理协会 (ITGI)。
- 进行萨班斯-奥克斯利法案风险评估:在制定全面的合规计划时,深入了解哪些流程与合规相关以及哪些地方可能出现潜在风险至关重要。
- 评估实体层面的控制措施:有哪些控制措施,分属哪些部门
- 记录流程:任何与 SOX 相关的流程都需要记录在案,以便明确责任和信息。还需要明确防范欺诈或其他风险的控制措施。
- 信息技术控制:数据安全应始终处于优先地位,维护数据安全对于萨班斯法案合规性风险评估至关重要。
- 评估第三方供应商:贵组织有责任采取适当的控制措施来保护您的财务信息,这包括对您可能使用的第三方供应商进行彻底评估。
- 内部控制测试:应定期测试关键控制,确保其符合 SOX 的要求。
- 评估任何缺陷:当在测试过程中发现缺陷时,需要对其进行评估,以确定它们是否重大。任何对组织有重大影响的缺陷都需要报告。
- 结果通报:高级管理层和审计委员会应收到有关内部合规和控制状况的最新信息。
