博客
什么是SOX合规性? 2020年要求,控制措施等
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

美国国会通过了2002年《萨班斯-奥克斯利法案》(SOX),以保护公众免受公司或其他商业实体的欺诈或错误行为的侵害。 

该立法为所有美国上市公司董事会,管理层和公共会计公司设定了新的和扩展的要求,目的是增加财务报告的透明度并要求建立正式的内部控制系统。此外,欺诈活动的处罚要严厉得多。 

SOX的既定目标是 "通过提高公司披露的准确性和可靠性来保护投资者。"

因此,上市公司管理层必须单独证明财务信息的准确性。 SOX还增强了董事会的监督作用,并提高了审核公司财务报表准确性的外部审计师的独立性。

符合SOX要求不仅是法律义务,而且是良好的商业惯例。所有组织都应遵守道德规范,并限制对财务数据的访问。它还具有帮助组织保持业务增长的附加优势。 敏感数据 不受内部威胁的威胁, 网络攻击和 安全漏洞

简而言之,许多SOX要求与以下原则重叠 数据安全

SOX法案的历史是什么?

《萨班斯-奥克斯利法案》于2002年颁布,是对包括安然公司,泰科国际公司,阿德菲亚公司,百富勤系统公司和WorldCom公司在内的许多重大财务丑闻的回应。 

这些丑闻给投资者造成了数十亿美元的损失 '股价暴跌并影响了公众对美国证券市场的信心。

该法案包含十一个标题,涵盖了公司董事会对刑事处罚的额外责任。这些要求的执行和实施已交给证券交易委员会(SEC)。

美国证券交易委员会(SEC)第26届主席哈维·皮特(Harvey Pitt)领导了规则的制定,并成立了上市公司会计监督委员会(PCAOB),该委员会负责监督,监管,检查和惩戒会计师事务所作为上市公司审计师的角色。 

SOX还涉及诸如审计师独立性,公司治理,内部控制评估和增强的财务披露等问题。

这是众议院批准的 423票赞成,3票反对,8票弃权 在参议院以99票赞成,1票弃权获得通过。 

将SOX签署为法律时, 布什总统说这是 "自富兰克林·罗斯福(Franklin D. Roosevelt)时代以来,美国商业实践中影响最深远的改革。低标准和虚假利润的时代已经结束;在美国,没有任何董事会超出或超过法律规定。"

该法案以法案提案国美国参议员保罗·萨班斯(Paul Sarbanes)(D-MD)和美国代表迈克尔·G·奥克斯利(Michael G.Oxley)(R-OH)的名字命名。 

加拿大(2002),德国(2002),南非(2002),土耳其(2002),法国(2003),澳大利亚(2004),印度(2005),日本(2006),意大利(2006)和以色列(2006) )此后一直遵循美国并推出了自己的类似SOX的法规。

谁必须遵守SOX?

在美国公开交易并开展业务的所有上市公司,全资子公司和外国公司必须遵守SOX。 SOX还适用对上市公司进行审计的会计师事务所。 

SOX在审计职能和会计师事务所之间设置了障碍。审核上市公司账簿的公司可能不再经营该公司'禁止记账,审计或业务评估,还禁止设计或实施信息系统,提供投资咨询和银行服务或就其他管理问题进行咨询。

私人公司,慈善机构和非营利组织通常不需要遵守所有SOX,但是,'故意毁坏或篡改财务信息,SOX确实对组织的违规行为处以罚款。此外,还适用举报人保护,例如对向执法人员提供与可能的联邦罪行有关的信息的人进行报复,最高可判处10年徒刑。

计划首次公开募股(IPO)的私人公司必须在上市前遵守SOX。 

最后,SOX包含有关建立薪资系统控制的要求。一家公司'必须考虑员工人数,工资,福利,激励措施,带薪休假和培训费用,并且某些雇主必须采用包括道德守则,沟通计划和员工培训在内的道德计划。 

2020年的SOX合规要求是什么?

SOX最重要的合规性要求被认为是302、404、409、802和906:

  • 第302节:公司对财务报告的责任 –每个上市公司必须向SEC提交定期财务报表和内部控制结构。第302条规定,首席执行官(CEO)和首席财务官(CFO)直接负责向SEC提交所有财务报告和内部控制结构的准确性,文件和内容。此外,他们负责建立和维护内部SOX控件,并且必须在发布报告之前90天内验证这些控件。
  • 第404节:内部控制的管理评估 – 404节是所有SOX法规遵从性要求中最复杂,最有争议和最昂贵的部分。它要求所有年度财务报告都应包括一份内部控制报告,说明管理层应负责"adequate"内部控制结构,并通过管理层对控制结构有效性的评估。任何缺点也必须报告。此外,注册的独立审计师必须证明公司管理层关于内部会计控制和内部控制框架已经到位,可操作且有效的断言的准确性。管理层和外部审计师均负责在自上而下的风险评估的背景下进行评估,这要求管理层以风险为基础进行评估并收集证据。 
  • 第409节:实时发行人披露 –第409节的实质是要求公司几乎实时披露财务状况或运营中的任何重大变化。这是为了保护投资者和公众的利益。 
  • 第802节:更改文件的刑事处罚 –第802条因意图妨碍,阻碍或影响法律调查而更改,破坏,毁损,隐瞒,伪造财务记录,文件或有形物品的行为,处以20年以下有期徒刑。此外,如果任何会计师,审计师或其他故意并蓄意违反维护所有审计或审查文件要求的行为,将被处以最高10年的罚款,有效期为5年。
  • 第806节:萨班斯·奥克斯利举报人 –第806条通过保护举报非法活动的上市公司或其子公司的员工,鼓励披露公司欺诈行为。它授权美国劳工部保护对报复雇主的举报人投诉,并进一步授权司法部对负责报复的人刑事指控。
  • 第906节:公司对财务报告的责任 –证明具有误导性或欺诈性的财务报告的刑事处罚可处以500万美元以上的罚款和20年监禁。

SOX违规的处罚是什么?

对不遵守SOX的正式处罚可能包括罚款,从公众股票交易所退市中删除以及D的无效&O保险单。根据该法案,故意向SOX合规性审核提交不正确证书的首席执行官和CFO将面临500万美元的罚款和最高20年的监禁。

什么是SOX合规性审核?

SOX合规性审核是一项强制性的年度评估,用于评估您的公司对内部控制的管理水平,并将结果提供给股东。 SOX合规性审核的主要目的是验证公司'但是, 网络安全变得越来越重要。这是因为内部控制是与处理财务数据的基础结构有关的任何类型的协议,这些协议正在增加由IT部门管理的信息系统。

公司聘请独立的审核员来完成SOX审核,因为它们必须与任何其他审核分开,以防止可能导致篡改或其他问题的利益冲突。 

审核员还可以采访人员并验证合规控制足以维持SOX合规标准。具体来说,SOX部分302、404和409要求以下参数,并且必须监视,记录和审核条件:

  •  Internal controls
  •  Network activity
  •  Database activity
  •  登录活动(成功和失败)
  •  Account activity
  •  User activity
  •  Information Access

如何准备SOX合规性审核

更新您的报告和内部审核系统,以便您可以快速提取审核员要求的任何报告,并验证您的SOX合规性软件是否按预期工作,因此不会出现不可预见的问题。

Your SOX auditor will focus on four main internal controls as part of the yearly audit. To be SOX compliant, you will need to be able to demonstrate that you have 充足 controls for:

SOX合规性如何与数据安全性相关?

对于IT部门和主管来说,遵守SOX是一个持续不断的重要问题。但是,SOX合规性不仅仅是通过审核。适当的数据治理流程和程序,对您的业务有许多明显的好处。

根据一个 2019年调查:

  • 57%受益于财务报告结构内部控制的改善 
  • 51%的人对控制设计和控制操作效率的理解有所提高
  • 47%的人看到业务流程的不断改善

符合SOX的好处是什么?

急于通过SOX时,许多高管想知道为什么他们要承受与不诚实或过失相同的合规负担。较小的公司抱怨高管的垄断'时间和合规成本达到数百万美元。 

通过传达基本水平的财务保证,增强投资者的信心和市场确定性,SOX合规性使所有上市公司受益。 

SOX使高管有理由将公司的部分利润转移到改善财务管理流程和能力上,以保护股东,降低诉讼风险并通过帮助他们避免做出错误决定来改善公司运营。 

SOX允许公司标准化和整合关键财务流程,消除冗余信息系统,最大程度地减少数据丢失预防策略中的不一致之处,使手动流程自动化,减少交接次数并消除不必要的控制措施。

简而言之,符合SOX的好处是:

  • 加强控制环境
  • 改进的文档
  • 增加审计委员会的参与
  • 融合机会
  • 标准化流程
  • 降低复杂度
  • 加强薄弱环节
  • 减少人为错误

常见的SOX合规性挑战

大多数组织都面临两个常见的SOX合规性挑战:

  1. 电子表格和最终用户问题: 电子表格仍然是SOX工作流程中的主要内容,部分原因是它们具有跨不同文档链接数据和自动执行基本任务的能力。但是,现代审核项目现在需要更多有关控件的属性和详细信息,这些控件和详细信息可能导致版本控制问题,部分或不完整的数据,错别字,已删除的数据,对不完整的数据集的分析以及陷入困境的流程所有者。
  2. 成本和资源上升: 尽管SOX为财务报告和数据安全带来了许多好处,但仍符合SOX要求的成本继续上升。 

您应该熟悉的其他组织和框架

《萨班斯-奥克斯利法案》(Sarbanes-Oxley Act)长达60页,产生了许多与审计过程相关的相关概念,委员会和政策:

  • 上市公司会计监督委员会(PCAOB): 根据萨班斯法案(Sarbanes-Oxley Act)创建的非营利公司,负责监督上市公司和其他发行人的审计,以保护投资者和公众的利益。 PCAOB还监督经纪交易商的审计,包括根据联邦证券法提交的合规报告,以促进对投资者的保护。所有PCAOB规则和标准均由SEC批准。
  • 特雷德韦委员会(COSO)的赞助组织委员会: 由五个私营部门组织在美国建立的一项打击公司欺诈的联合倡议,致力于在组织治理,商业道德,内部控制,业务风险管理,欺诈和财务报告的相关方面指导执行管理层和政府实体。 COSO建立了一个通用的内部控制模型,公司和组织可以据此评估其控制系统。
  • 信息和相关技术的控制目标(COBIT): ISACA为信息技术管理和IT治理创建的框架。该框架定义了一组用于IT管理的通用流程,每个流程都与流程输入和输出,关键流程活动,流程目标,绩效指标以及基本成熟度模型一起定义。
  • 信息技术治理研究所(ITGI): 一个使用COBIT和COSO实现SOX合规性的IT框架,但侧重于安全性而不是常规合规性。 

2020年SOX合规性检查表

每个组织和审核都不同,因此没有通用的SOX合规性检查表'不一定有帮助。但是,每个企业都应考虑一些一般性问题:

  • 您使用的是普遍接受的框架,例如COSO,COBIT,ITGI还是这三者的组合?
  • 你有 信息安全政策 概述了如何创建,修改和维护处理财务数据的会计信息系统?
  • 是否有防范措施来防止数据篡改和检测数据泄漏?如果是这样,是否已对其进行了测试?
  • 有没有 事件响应计划 是否存在安全漏洞?
  • 正在访问 敏感信息 监视和记录?
  • 是否曾向审计师披露过先前违反安全保障措施的情况和失败?
  • 正在从您所有适用的服务组织收集有效的SAS 70报告 第三方风险管理框架?
  • 您的SOX合规性软件是否最新并且没有任何警报?
  • 您是否为SOX审核员提供了完成工作所需的访问权限?
  • 您是否维护定期的SOX合规性状态报告?
  • 你用 数据分类 使监视和执行企业数据处理政策变得更加容易?  

您的企业是否有遭受安全破坏的风险?

在UpGuard,我们可以 保护您的业务免受数据泄露 并帮助您持续监控 您所有供应商的安全状况.

点击这里 立即获得免费的安全评级!

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

对网络安全和安全的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状