SOX 合规是指遵守《萨班斯-奥克斯利法案》(Sarbanes-Oxley Act,简称 SOX 法案)中有关财务报告、信息安全和审计要求的行为,该法案是一部旨在防止企业欺诈的美国法律。
在美国开展业务的上市公司必须遵守 SOX 法案:
- 实施内部控制,保护财务数据不被篡改。
- 定期向美国证券交易委员会 (SEC) 提交报告,证明安全控制的有效性和财务披露的准确性。
- 通过对财务报表和控制措施的年度独立审计。
对于审计上市公司的会计师事务所和发布证券研究报告的分析师,SOX 法案也制定了相应的法规。该法案对欺诈性金融活动和某些形式的违规行为处以巨额罚款和刑事判决。
虽然 SOX 是一项财务法规,但整个组织的利益相关者都要参与合规工作。随着企业越来越多地采用技术解决方案来保护复杂企业网络中的金融信息,IT 部门和网络安全团队变得尤为重要。
根据咨询公司 Protiviti 的 2023 年报告(ibm.com 外部链接),半数以上的公司表示,现在实现 SOX 合规需要更长的时间。组织平均每年在 SOX 合规工作上的花费超过 100 万美元。
根据 IBM X-Force Threat Intelligence Index 获取洞察,以更快且更有效地准备和应对网络攻击。
注册以获取《数据泄露的代价》报告
2002 年颁布的《萨班斯-奥克斯利法案》是由参议员保罗-萨班斯和众议员迈克尔-奥克斯利共同提出的一项美国联邦法律。美国国会是在 21 世纪初发生多起金融丑闻(包括安然、世通和泰科公司的倒闭)之后颁布该法律的。
在这些事件和其他一些欺诈事件中,上市公司利用会计漏洞和赤裸裸的欺诈来抬高自己的价值,导致投资者损失数十亿美元。例如,当安然公司的欺骗行为被揭露后,其股价从每股 90.75 美元跌至每股 60 美分。
在某些情况下,公司得到了本应对其进行审计的外部会计师事务所的帮助。安达信会计师事务所曾是“五大”会计师事务所之一,因为在安然和世通公司丑闻中扮演了不光彩的角色而导致停业。
SOX 法案旨在通过对组织如何保护财务记录不被篡改制定严格的监管规定,并使审计师更加独立于客户,从而防止公司欺诈行为。
该法案涉及的内容非常广泛和全面,共包括 11 条。其一些最显著的影响包括:
- 创建上市公司会计监督委员会 (PCAOB)。
- 加强财务报告要求。
- 让公司高管亲自负责财务披露和控制。
- 提高外部审计师和分析师的独立性。
- 保护举报人。
SOX 法案成立了 PCAOB,这是一家非营利性公司,负责制定财务审计标准,并对审计上市公司的会计师事务所进行监管。
PCAOB 可以调查涉嫌不合规的公司,并对个人处以最高 10,000 美元的罚款,对组织处以最高 2,000,000 美元的罚款。
根据 1934 年颁布的《证券交易法》,达到一定规模的上市公司必须向美国证券交易委员会提交年度和季度财务报告。SOX 法案强调,这些报告必须没有误导性陈述。
报告必须根据公认的会计原则编制,这是一套由财务会计准则委员会维护的标准(ibm.com 外部链接)。
以前,公司可以不在财务报告中披露一些资产负债表外的交易,如未合并子公司持有的债务,但是现在如果这些交易会对公司的财务状况产生重大影响,就必须予以报告。如果信息会导致理性投资者重新考虑投资决策,则该信息就属于“重大”信息。
公司还必须以近乎实时的方式向公众报告任何构成其财务信息重大变化的情况。
最后,公司必须实施内部控制,保护财务数据不被内部或外部人员篡改和欺诈性使用。这包括在特定时间段内保留财务记录。
根据 SOX 法案,首席执行官 (CEO)、首席财务官 (CFO) 和任何担任类似职务的公司高管个人都要对确保财务报表的真实性和内部控制结构的有效性负责。
如果财务报告不准确,即使高管没有故意误导投资者,他们也可能面临罚款和刑事判决。
利益冲突导致丑闻频发,促使 SOX 法案获得通过。审计上市公司财务报表的会计师事务所为这些公司提供咨询服务,得到的回报往往非常丰厚。
会计师们感到有动力编制出客户认为可以接受的审计报告,否则他们就有可能失去这些有利可图的工作。
同样,报告股票价值的分析师通常就职于为上市公司提供投资银行或其他服务的机构。
SOX 法案旨在通过几种方式消除这些利益冲突。首先,它规定上市公司必须成立独立于管理层的审计委员会。
这些委员会负责聘用独立审计师并与之协调。SOX 法案还规定,组织试图影响审计结果是非法的。
会计师事务所不得为其进行 SOX 审计的公司提供咨询或其他服务,各组织必须每五年轮换一次外部审计师。
证券分析师的工作必须独立于其所在机构的投资银行部分。在报告证券时,他们还必须披露任何潜在的利益冲突。
SOX 法案规定,通过降级、解雇、停职、骚扰或其他方式伤害举报潜在欺诈行为的员工,对其进行报复是违法行为。
SOX 法案适用于所有在美国开展业务的上市公司及其全资子公司。它也适用于证券分析师和审计上市公司的会计师事务所。
虽然私营公司和非营利组织一般不受 SOX 法案的约束,但也有一些例外。准备通过首次公开募股上市的私营公司在向美国证券交易委员会提交注册声明时须遵守萨班斯法案。 为上市公司提供服务的私营公司中的举报人,在举报该公共客户的不当行为时会受到 SOX 法案的保护。
SOX 法案规定,任何组织(公共、私营或非营利组织)销毁或伪造财务记录以妨碍联邦调查的行为均属违法。
虽然 SOX 法案是美国的一项法规,但它确实对美国以外的组织产生了影响。总部位于美国境外的上市公司如果在美国开展业务则必须遵守 SOX 要求。
SOX 的通过也激励了其他国家通过自己的法律来打击金融欺诈,例如加拿大的《信守对强劲经济的承诺法案》(也称为“C-SOX”)和日本的《金融工具和交易法案》(也称为“J-SOX”)。
在欧洲,许多人都注意到 SOX 合规性与《通用数据保护条例》(GDPR) 合规性之间存在很大的重叠。特别是,许多与 SOX 合规性相同的安全控制和数据保护流程也支持 GDPR 合规性。欧盟也实施了类似于 SOX 法案的财务审计独立性规则。
SOX 合规性的核心是指一个组织的所有财务披露都是完全准确的,并且该组织有控制措施和文件来支持其财务报表。
然而,达到 SOX 合规性的过程可能非常复杂。SOX 法案并没有详尽无遗地列出公司所需的每项控制措施或审计人员必须采取的每个步骤。不同的组织以不同的方式实现 SOX 合规性。
从较高层面来看,SOX 具有三大要求:
- 提交经公司高管认可的准确财务报告。
- 实施适当的内部控制。
- 通过定期审计。
根据 SOX 法案第 302 条“财务报告的公司责任”,公司首席执行官、首席财务官或同等级别的领导人必须在提交给美国证券交易委员会的每份年度和季度财务报告上签字。
在签署报告时,首席执行官和首席财务官必须证明财务报表完全准确。他们还必须断言,适当的内部控制已经到位,并在过去 90 天内得到验证。
根据 SOX 第 404 条“内部控制的管理评估”,向 SEC 提交的每份年度财务报告都必须包含深入的内部控制报告。内部控制报告需要声明,管理层对内部控制负责,并评估了截至最近一个财政年度结束时公司内部控制的有效性。
组织必须及时报告其财务状况的任何重大变化。虽然根据 SOX 法案规定网络安全事件可以视为重大变化,但值得注意的是,SEC 于 2023 年 7 月通过了新规则,使这些事件的报告要求更加严格(ibm.com 外部链接)。
值得注意的是,各组织必须在确定网络安全事件已造成或可能造成重大影响的四天内报告该事件。如果第三方(如云服务)发生的事件可能对组织造成重大影响,公司必须报告这些事件。
公司实施 SOX 内部控制,以防止内部和外部行为者以欺诈手段篡改财务数据或将其用于非法目的。
SOX 法案没有明确列出公司必须实施的所有控制措施。组织通常依赖于公司治理框架,例如属于信息系统审计和控制协会的信息和相关技术控制目标框架。
特雷德韦委员会赞助组织委员会 (COSO) 框架也很常用。虽然这些框架不是专门为 SOX 开发的,但它们提供的控制方案通常能够满足 SOX 合规性要求。
组织在业务流程和信息技术基础设施两个层面实施控制。
业务流程控制包括对员工进行 SOX 要求方面的培训,以及为举报人建立安全的举报渠道等。
许多公司还采用职责分离原则,即将工作流程分成多个部分,每个步骤由不同的员工负责。
这样做的目的是,没有任何一个员工可以控制整个工作流程,每个参与其中的人都是其他人的制衡者。一个典型的例子是,批准付款的人与从公司账户开支票的人不是同一个人。
公司还可以创建存储和保存记录的流程,以符合 SOX 的文件保留要求。例如,审计师必须将与审计相关的工作文件保存七年。
随着企业网络变得越来越复杂,自动化对于 SOX 合规工作变得越来越重要。据 Protiviti 称,平均每个公司有 36 个业务应用程序需要符合 SOX 要求(ibm.com 外部链接)。IT 安全控制可以帮助在所有这些应用程序中实施 SOX 规则。
一些组织使用专门的 SOX 合规性软件来安全存储与 SOX 相关的数据和文件,跟踪相关活动,并标记内部控制中的漏洞。不过,公司也可以使用更通用的网络安全工具来实现 SOX 合规性。
数据保护工具,如数据丢失预防 (DLP) 解决方案,可以跟踪敏感数据的存储位置、访问者和他们的操作。一些 DLP 工具还可以阻止用户对财务数据进行未经授权的更改或将其移动到未经授权的位置。各组织还可以使用自动备份,以便在数据被破坏或篡改时进行恢复。
身份和访问管理 (IAM) 解决方案可让企业按照最小权限原则设置细粒度的访问控制策略。员工只能获得完成工作所需的最低权限。
IAM 平台还可以简化变更管理,使企业能够在员工加入公司、改变角色或离职时快速更新和删除访问权限。
公司可以使用安全信息和事件管理 (SIEM) 解决方案来监控网络活动、检测安全漏洞并更快地响应事件。SIEM 解决方案还保留安全日志,帮助组织在 SOX 审计期间证明合规性。
一些 SIEM 工具具有内置的 SOX 特定功能或与具有该功能的工具集成,从而允许它们自动记录相关信息并生成合规性报告。
SOX 的信息安全义务延伸至组织存储或处理财务信息的云数据中心。公司还需要考虑对这些数据源的控制。
如上所述,首席执行官和首席财务官必须保证每份财务报告的准确性和内部控制的有效性。定期审计为管理人员提供了发表这些声明所需的证据。
通过对财务报告实践和数据控制进行定期内部审计,公司可以长期监控合规情况,找出差距并弥补不足。
内部审计的结果也有助于外部审计人员进行年度 SOX 合规性审计。在年度审计中,独立会计师事务所对内部控制和财务报告进行独立评估。该审计的结果通常包含在公司的年度 SEC 报告中。
过去,审计人员必须报告他们认为管理层对内部控制的评估是否准确。当 SEC 于 2007 年采用第 5 号审计标准(ibm.com 外部链接)时,这一要求被删除。
SOX 法案没有明确规定管理人员和会计师事务所应如何进行审计。相反,SEC 指出(ibm.com 外部链接),审计师和管理人员应使用自上而下的风险评估 (TDRA) 来确定审计范围。TDRA 确定最有可能发生重大欺诈的账户、披露信息和其他领域,并重点评估应对这些风险的关键控制措施。
遵守 SOX 法案有很多好处。投资者可能会对财务披露更有信心,因此更愿意投资于遵守 SOX 法案的公司。SOX 法案还要求公司领导人对财务报表承担个人责任,从而减少了他们欺诈的动机。
遵守 SOX 法案可帮助企业全面改善网络安全态势。组织用来防止财务篡改的许多数据安全控制措施也可以抵御网络攻击。例如,IAM 解决方案有助于防止黑客侵入用户账户,而 SIEM 工具可以帮助更快地发现正在发生的安全事件。
不遵守 SOX 法案还可能导致组织和个人受到民事和刑事处罚。
如果高管被证实发布的财务报告不准确,则其可被处以最高 100 万美元的罚款和最长 10 年的监禁。如果高管被证实故意发布有误导性的声明,则其可被处以最高 500 万美元的罚款和最长 20 年的监禁。
如果组织不得不发布财务重报,高管们的奖励性薪酬也可能被收回。根据 2022 年通过美国证券交易委员会法规(ibm.com 外部链接),高管甚至不需要犯有不当行为罪。每当重报显示激励相关目标未实现时,就会自动触发薪酬收回。
SOX 法案还规定,损坏、篡改或以其他方式干扰财务记录均属违法行为。这样做的员工可能因此面临长达 20 年的监禁。对举报人进行报复的公司高管将面临罚款和长达 10 年的监禁。
美国证券交易委员会可以禁止违反 SOX 法规的人担任公司高管、董事、经纪人、顾问和交易商。公司甚至可能因严重违规行为而从证券交易所退市。