第4篇：萨班斯-奥克斯利法案（SOX）--- SOX如何对上市公司进行约束，有什么最佳行业实践可以参考？

数字化营销工兵

已于 2024-12-01 16:39:53 修改

阅读量2.2k

点赞数 26

分类专栏：萨班斯-奥克斯利法案文章标签：萨班斯-奥克斯利法案 SOX 公司治理上市公司治理

于 2024-11-03 18:30:00 首次发布

本文链接：https://blog.csdn.net/weixin_45278215/article/details/143463518

版权

萨班斯-奥克斯利法案专栏收录该内容

7 篇文章 ¥9.90 ¥99.00

订阅专栏

超级会员免费看

【前言】2002年萨班斯-奥克斯利法案（SOX）是一项已经实施了20多年的联邦法律，但许多人仍然难以用简单的术语解释我们所说的SOX控制是什么意思。您如何区分SOX和非SOX控制？关键控制措施呢？SOX内部控制应如何应用于网络安全和信息安全事务？SOX合规性是强制性的吗？在下面获取这些以及更多SOX控制问题的答案。参考德勤和AUDITBOARD两个公司的SOX审核工具，本人分析了SOX控制对于确保萨班斯-奥克斯利法案规定的财务报告的准确性和可靠性至关重要，解释了SOX控制的重要性、其关键组成部分以及维护合规性的最佳实践。

读者可以从此文了解SOX如何对上市公司进行约束，有哪些行业最佳实践可以参考。

一、SOX合规要求

在证券交易委员会注册的上市公司的SOX要求包括对影响财务报告的流程和系统的内部控制。在安然和世通等一系列欺诈丑闻震惊市场后，SOX法规旨在确保准确可靠的财务报告，并与投资者和公众建立信任。这种混淆主要是范围界定的问题——理解SOX在哪里结束，以及常规管理内部控制在哪里开始。

《萨班斯-奥克斯利法案》有11个议题，其中3个标题对财务报告以及公司首席执行官和首席财务官的职责产生了重大影响：第302条、第404条和第906条。

1、第302条规定，首席执行官和首席财务官必须担保报告的真实性和准确性。

CEO&CFO必须证明其公司的财务记录用以担保表明：

1）报告准确无误，

2）报告在所有重大方面都得到了公平的呈现，

3）承认对财务报告的披露控制、程序和内部控制的责任，

4）报告是基于风险的。从本质上讲，这要求首席执行官和首席财务官对其组织的财务报表负责——在今天看来，这似乎是显而易见的，但直到《萨班斯法案》通过，它才被编纂成法。

2、第404条要求上提供第三方独立审计公司发布绩效评估报告。

要求上市公司和寻求首次公开募股的公司聘请会计师事务所独立评估和批准管理层对内部控制的评估。此外，本节要求外部审计师报告公司对财务报告的内部控制是否充分。它涉及年度评估，以确保控制措施有效可靠。

3、第902条明确规定，如果不遵守规定，将处以刑事处罚。

萨班斯-奥克斯利法案还促进了上市公司会计监督委员会（PCAOB）的成立，该委员会负责监督监督者，即PCAOB负责审计签署组织财务报表和内部控制报告的审计师和会计师事务所。

二、SOX的控制范围

SOX控制是与指那些SOX相关的控制。那到底是什么意思？《萨班斯-奥克斯利法案》具有特定的管辖权，即它规定了内部控制结构应如何支持准确、诚实和值得信赖的财务信息报告的要求。因此，SOX控制是指解决、减轻或以其他方式管理财务报告准确性和完整性风险的控制措施。

并非组织环境中的所有控制都在SOX的范围内，但许多控制都在。确定控制是否应被视为与SOX目的相关的最佳方法是问：

1、这种控制是否与用于财务披露的财务信息有关或输入？

2、这种控制是否影响财务材料账户或财务报表报告？

3、这种控制是否影响财务报表报告中的任何系统或流程？

如果这些问题中的任何一个的答案是肯定的，组织可能希望将该控制纳入其SOX程序和内部控制报告的范围。

三、SOX合规性是强制性的吗？

遵守并保持SOX合规是上市公司的要求，符合可能很快进行IPO的公司的最佳利益。然而，非营利组织和私营公司不需要遵守SOX。

尽管它们可能不受SOX的约束，但非营利组织和私营公司可能仍希望利用一些可用的内部控制框架，如COSO的内部控制-综合框架（Internal control - Integrated Framework - ICIF）和COBIT将风险管理和内部控制最佳实践应用于其组织。【什么是COSO？请参考下面链接】What is the COSO Framework? How is it Used?Learn about the COSO Framework and its five components, including how organizations use the framework to guide their enterprise risk management strategies.https://www.techtarget.com/searchcio/definition/COSO-Framework

四、有多少种SOX控制措施？

组织不需要实施一定数量的SOX控制。对内部控制采取基于风险的方法（推荐）意味着每个企业都有不同的风险和控制措施。公司运营的SOX控制措施的数量可能差异很大，与SOX计划的成功或有效性没有直接关系——更多的控制措施并不总是最好的风险缓解策略。也就是说，公司将与SOX有许多共同的控制措施。其中一些常见的控制措施包括访问控制、职责分离、变更管理、各种业务流程、数据备份，甚至公司治理控制。

读者可以深入学习这篇报告：《SOX的演变：业务变化、网络和ESG授权中的技术采用和成本关注》

The Evolution of SOX: Tech Adoption and Cost Focus Amid Business Changes, Cyber, and ESG Mandates | AuditBoardBenchmark your SOX program costs, time, and efforts against results from the 2023 SOX Compliance Survey. Click here to download your free copy!https://www.auditboard.com/resources/ebook/the-evolution-of-sox-tech-adoption-and-cost-focus-amid-business-changes-cyber-and-esg-mandates/

五、SOX 404控制

SOX 404是指《SOX法案》中的一节（第404节），其中规定了SOX对管理层实施财务报告内部控制的要求。SOX第404条规定：

（SEC 第404节）指示美国证券交易委员会(SEC)通过规则要求年度报告包括一份内部控制报告，该报告：

（1）免除管理层维护财务报告适当内部控制机制的责任，并

（2）评估此类机制的有效性。它还要求公共会计师事务所在其年度审计报告中证明发行人对COSO要求的财务报告的内部控制（ICFR - Internal control - Integrated Framework ）的有效性。

第404（b）条明确要求独立的公共会计对公司的ICFR进行审计。当用作简写时，SOX 404控制可以指那些将由公共会计师事务所审计以符合该法案的控制。【读者有兴趣可以深入阅读此文】

https://www.sec.gov/info/smallbus/404guide.pdfhttps://www.sec.gov/info/smallbus/404guide.pdf

六、SOX IT控制和网络安全

SOX要求通常包括业务流程控制和SOX IT控制。在业务方面，范围内的控制是围绕财务报告中数据准确性的控制，以及对账和财务数据处理。从IT的角度来看，有IT通用控制（ITGC-IT General Control）和应用程序控制。SOX IT控制旨在确保系统得到良好控制、准确、完整，并且没有可能影响财务报告的错误。

定义SOX范围的关键是了解哪些流程和系统会影响财务报告。最需要澄清的是区分关键IT系统和SOX IT系统。您可能有一个保存所有客户信息的系统，这是您组织成功的重要组成部分，但如果该系统没有捕获财务数据并将其输入您的财务报告，则它不是SOX应用程序。它仍然应该得到很好的控制，但不在SOX测试的范围内。相比之下，托管SOX敏感（即财务）系统、数据或信息的数据中心将被视为在范围内，甚至可能需要进行实质性审计（an practical audit）。

萨班斯-奥克斯利法案最初发布时，并没有考虑到新兴的网络安全威胁形势。尽管如此，实施和维护强有力的内部控制计划通常需要强有力的安全控制，特别是在可能影响财务报告的敏感数据周围。SOX下也会影响公司网络安全态势的控制措施包括事件响应和补救、业务连续性规划和数据安全（与财务数据相关）。

SOX控制可以通过鼓励健康有效的内部控制环境来帮助组织从数据泄露和安全泄露中恢复过来。为此，控制的自动化变得越来越重要，特别是在信息技术领域，因为自动化控制减少了降低风险和解决执行控制时可能出现的用户错误所需的人工和人力。

尽管SOX没有明确规定鼓励网络安全最佳实践，但利益相关者应该牢记安全，因为网络威胁现在可能会使公司和组织付出巨大的金钱和声誉代价。

【关于数字技术对COSO整体风险控制的影响，可以参考下文。】

Blockchain and Internal Control: The COSO Perspective | Deloitte USBlockchain’s potential benefits are clear: improved efficiency, reliability, and compliance. But risks are just as glaring, creating the need for new controls.https://www2.deloitte.com/us/en/pages/audit/articles/blockchain-and-internal-control-coso-perspective-risk.html

七、关键SOX控制

在SOX控制中，我们将降低风险的主要控制指定为关键控制。相当依赖于关键控制，因此应更频繁地对其进行监测和测试。组织可能还希望设置补偿控制，以在关键控制无法运行时提供支持。补偿控制可以提供额外的保证，确保财务信息得到准确报告。由于被确定为“关键”的控制措施可能会对与财务报告相关的内部控制产生巨大影响，SOX团队应掌握这些流程并了解其来龙去脉。

管理评审控制（MRC）在SOX控制中也起着关键作用。管理评审控制（MRC）是最主要的缺陷，其次是未通过测试的报告。Treadway委员会赞助组织委员会（COSO）制定的2013年内部控制-综合框架。COSO建立了有效内部控制框架的五个组成部分，定义如下：

组成部分	关键风险和控制点
控制环境	为在整个组织内实施内部控制提供基础的一套标准、流程和结构
风险评估	涉及一个动态和迭代的过程，用于识别和分析实现目标的风险。
控制活动	通过政策和程序制定的行动，以帮助确保执行管理指令，降低实现目标的风险。
信息与沟通	信息是实体履行内部控制职责以支持实现其目标所必需的。”“沟通是提供、共享和获取必要信息的持续、迭代过程。
监测活动	持续评估、单独评估或两者的结合用于确定内部控制的五个组成部分是否存在并发挥作用。

【关于MRC系统，读者可以参考下文。】

The Management Review Controls (MRC) Dilemma | AuditBoardWhat are Management Review Controls (MRC) and why are they so important? AuditBoard has broken down all you need to know about MRC. Keep reading to learn more.https://www.auditboard.com/blog/the-management-review-control-dilemma/由于这些发现，外部审计师正在向客户，特别是MRC周围的客户，推广PCAOB调查结果的严谨性。前几年可能已经足够的审查控制在当前审计期间对外部审计师来说已经不够了，公司需要弄清楚如何应对对MRC日益增加的要求和审查。MRC通常用于关键控制，如月度结算流程、预算与实际分析以及季度和年度财务审查：这使管理层能够在向投资者和财务用户报告之前对其财务报表进行彻底审查，以确保准确性和完整性。MRC还用于账户对账和重大财务交易的审批流程，以确保在执行交易（即电汇资金）之前进行多级管理审查。MRC至关重要，因为它们提供了额外的监督层，并有助于确保财务信息的准确性和可靠性；从而提高SOX控制的整体有效性。

【关于MRC外部审计时常见的缺陷项，读者可以参考下文。】

https://www.auditboard.com/download/2016-big-four-inspection-findings.pdfhttps://www.auditboard.com/download/2016-big-four-inspection-findings.pdf

八、SOX控制测试（预审核）

SOX控制测试是由管理层或内部审计或两者以及公共会计师事务所的外部审计师执行的一项功能。进行SOX控制测试，以确定控制是否按预期工作，或者内部控制过程中是否存在任何差距。

外部审计师将对控制措施进行测试，以审查管理层的主张，并验证控制措施是否按设计和预期运行。组织的内部审计团队及其外部审计师可以通过以下方式测试SOX控制措施：首先了解控制措施及其旨在减轻的风险，然后围绕控制措施的关键属性或门设计测试，最后获得他们需要的证据和合理保证，以确定控制措施是否按预期工作或是否有任何发现。

九、SOX报告(Report)

SOX报告通常在内部和外部完成。内部SOX报告包括管理层或公司内部审计部门创建的SOX测试状态更新，包括发现的任何问题和解决任何控制失败或不足的补救计划。

外部SOX报告是公司向美国证券交易委员会（SEC）提交的报告和公司外部审计师的审计报告的组合。审计报告对财务报表的准确性和管理层对财务报告的内部控制的有效性发表了意见。以下是外部SOX报告的一些强制性组成部分季度和年度报告：根据SOX，上市公司必须向美国证券交易委员会提交季度（10-Q）和年度（10-K）报告。这些报告必须包括经认证的财务报表以及有关公司财务健康和内部控制的披露。

强制披露	主要内容
内部控制报告	第404条要求管理层在年度10-K中纳入内部控制报告。该报告必须说明管理层对建立和维护财务报告的充分内部控制的责任，以及对这些控制有效性的评估
重大变化披露	第409条要求公司快速、及时地披露其财务状况或运营的重大变化，通常是通过8-K备案。
记录保留要求	第802节规定了严格的记录保留要求。公司必须将所有审计或审查工作底稿保留五年。销毁、篡改或伪造记录将受到严厉处罚。
加强财务披露	SOX要求加强财务披露，包括表外交易、形式数据和特殊目的实体（SPE）的使用。这确保了财务报告的透明度和准确性。

十、企业应该尽早开始测试SOX控制

由于维护审计计划以满足SOX要求的范围和复杂性，内部审计师协会（IIA）建议管理层每年年初开始测试SOX控制措施，并将该计划视为一个持续的全年内部控制测试过程。

十一、SOX合规检查表（Checklist)

1）使用风险评估方法定义SOX审计范围

PCAOB AS 2201指出：“自上而下的方法从财务报表层面开始，审计师了解财务报告内部控制的总体风险。然后，审计师专注于实体层面的控制，并深入到重大账目、披露及其相关声明。”

SOX合规审计流程中的这一步不应产生合规程序清单，而应帮助审计师识别潜在风险和来源，它们可能对业务产生的影响，以及内部控制是否符合SOX控制的要求，即它们是否会提供合理的保证，避免、预防或发现重大错误。

2）确定SOX中的重要性——账户、报表、地点、流程和主要交易

步骤1 —— 确定哪些项目被认为对向投资者报告的财务报表和财务披露具有重要意义。财务报表项目和披露如果能够影响用户的经济决策，则被视为“重大”。审计师通常可以通过计算关键财务报表账户的一定百分比来确定什么是重要的。例如，总资产的5%，营业收入的3-5%，或对多个关键损益和BS账户的一些分析。

步骤2 —— 确定所有持有物料账户余额的地点。分析您开展业务的所有地点的财务状况。如果这些地点的任何财务报表账户余额超过了确定为重大的金额（在步骤1中），那么它们很可能会被视为重大，并在来年的SOX测试范围内。

步骤3 —— 识别填充物料账户余额的交易。与您的财务总监和特定流程负责人会面，以确定导致财务报表账户增加或减少的交易（借记和贷记）。记录这些交易是如何发生的，以及它们是如何记录在叙述、流程图或两者中的。

步骤4 —— 识别重大账户的财务报告风险。设法了解哪些因素可能会阻止交易被正确记录，或者具体的风险事件。然后，记录风险事件可能对错误记录的账户余额或财务报表声明的细分产生的影响。

3）识别SOX控制——非关键和关键控制、ITGC和其他实体级控制

在报告的重要性分析过程中，审计师将识别并记录可能防止或检测交易被错误记录的SOX控制措施。他们将寻求确定财务报告工作流程中的制衡机制，以确保交易记录正确，账户余额计算准确。

通常，重要账户需要多种控制措施来防止发生重大错报。但是，审计团队被警告不要在发现新风险时采用暴力手段并创建新的SOX控制措施。无意中，每个新的控制措施往往被归类为“关键”，而没有进行真正的风险评估，导致控制措施数量不断增加。通过了解关键和非关键控制之间的差异，内部审计团队可以有效地应对不断上升的控制数量。

为了简单起见，区分非关键控制和关键控制的最快方法是参考所解决的风险水平。控制措施是降低风险还是降低风险？通过了解影响SOX合规流程的风险，审计团队可以更好地将工作重点放在关键控制上。

最后，为了最终确定和规划有效的内部控制系统，您的审计团队必须确定手动和自动的SOX IT控制。对于确定的自动化控制，您应该评估底层系统是否在ITGC测试的范围内，这将影响您对控制的整体测试策略。如果您对底层系统有ITGC的舒适度，则可以大大减少所需的SOX IT控制测试量。一旦你定义了你的范围，并使用这些最佳实践确定了你的SOX控制，你就可以制定一个全面的SOX测试计划。在“如何构建一个全面的SOX测试计划”中了解更多关于如何在此基础上进行构建的信息。