SOX-塞班斯法案課件

SOXbriefByjiangningSOXbriefByjiangning1agenda背景SOX簡(jiǎn)介SOX與IT控制SOX與信息安全agenda背景2背景一系列事件及丑聞1997年亞洲金融危機(jī)2001年12月,安然(Enron)丑聞2002年6月,世界通訊(WorldCom)丑聞Xerox、ANDERSEN丑聞藍(lán)田股份和銀廣夏的利潤(rùn)神話(huà)破滅事件創(chuàng)維、伊利股份等上市公司高管涉案事件中國(guó)航油(新加坡)股份有限公司虧損丑聞2005年，UT斯達(dá)康、51job、sina等數(shù)家公司在美遭遇“提供虛假信息”和“隱瞞重大事實(shí)”的集體訴訟背景一系列事件及丑聞3背景全世界包括美國(guó)金融投資領(lǐng)域?qū)ι鲜泄臼チ诵判南盗胸?cái)務(wù)虛假案公司治理結(jié)構(gòu)不平衡外部監(jiān)督缺失完善公司治理機(jī)制、有效管理企業(yè)風(fēng)險(xiǎn)正在成為企業(yè)議事日程中最重要和最迫切的任務(wù)建立反舞弊的控制環(huán)境使用偵破舞弊的新方法發(fā)揮內(nèi)部審計(jì)在揭露舞弊方面的作用背景全世界包括美國(guó)金融投資領(lǐng)域?qū)ι鲜泄臼チ诵判?SOX簡(jiǎn)介Sarbanes-OxleyACT:“公眾公司會(huì)計(jì)改革與投資者保護(hù)法案”,2002年7月頒布,是在連續(xù)發(fā)生丑聞事件、對(duì)國(guó)際投資市場(chǎng)造成重大損害之后，美國(guó)國(guó)會(huì)與政府為規(guī)范上市企業(yè)運(yùn)營(yíng)，挽救投資者信心而制定的一部企業(yè)內(nèi)部控制法案。旨在恢復(fù)公眾對(duì)證券的信任、改善公司管理、提升商業(yè)道德實(shí)踐以及增加財(cái)務(wù)報(bào)表的透明度和完整性,它適用于在美國(guó)證券交易委員會(huì)(SEC)登記了股票并具有7500萬(wàn)美元以上的市值的所有企業(yè),包括在美國(guó)注冊(cè)的上市公司和外國(guó)注冊(cè)在美國(guó)上市的公司Sarbanes-OxleyACT被稱(chēng)為“企業(yè)內(nèi)控管理緊箍咒”，是“自羅斯福總統(tǒng)以來(lái)美國(guó)商業(yè)界影響最為深遠(yuǎn)的改革法案”“薩班斯法案”代表了一個(gè)新的資本市場(chǎng)監(jiān)管時(shí)代的到來(lái)SOX簡(jiǎn)介Sarbanes-OxleyACT:“公眾公司5SOX簡(jiǎn)介根據(jù)美國(guó)證券交易委員會(huì)的最新規(guī)定，在美國(guó)上市的海外公司，最晚必須在2006年7月15日之前實(shí)現(xiàn)SOX法案合規(guī)上市企業(yè)需要從2006年財(cái)政年度開(kāi)始遵從SOX法案，也就是說(shuō)他們?cè)诎l(fā)表他們2006年財(cái)政年度報(bào)告的時(shí)候，同時(shí)要出具內(nèi)控的報(bào)告，而且審計(jì)師要對(duì)他們內(nèi)部控制有效性在2006年財(cái)政年度做審計(jì)工作對(duì)于在美國(guó)上市的中國(guó)公司來(lái)說(shuō)，他們正面臨著緊迫的SOX法案合規(guī)的任務(wù)—2006年7月15日之前，這些公司必須通過(guò)SOX法案內(nèi)部控制測(cè)試報(bào)告。(最新消息稱(chēng)：年銷(xiāo)售收入在5億美元以下的企業(yè)，可以再推遲一年，即到2007年7月15日再提交內(nèi)控報(bào)告)未通過(guò)SOX法案符合性審計(jì)的上市公司，證券市場(chǎng)會(huì)認(rèn)為企業(yè)財(cái)務(wù)管理不規(guī)范、報(bào)表值得懷疑、股價(jià)不可信。如果中國(guó)企業(yè)大量不合規(guī)范，可能影響中國(guó)概念股整體的信譽(yù)。對(duì)于非在美上市中國(guó)公司而言，也并不意味著他們可以對(duì)加強(qiáng)公司內(nèi)部控制一事漠不關(guān)心。上海證券交易所和香港聯(lián)交所都已經(jīng)先后公布了與SOX法案類(lèi)似的相關(guān)法規(guī)，對(duì)上市公司建立內(nèi)部稽核制度和信息披露要求進(jìn)行了探討SOX簡(jiǎn)介根據(jù)美國(guó)證券交易委員會(huì)的最新規(guī)定，在美國(guó)上市的海外6SOX簡(jiǎn)介SOX法案核心之處在于，保證企業(yè)為編制和記錄財(cái)務(wù)信息而制定的內(nèi)部控制措施的有效性，從而改善公司透明度和創(chuàng)造良好的公司治理環(huán)境SOX法案包括50多個(gè)條款，每一條款都有各自的遵從日期。有些已經(jīng)生效，有些還在制訂中SOX的目的在于促進(jìn)企業(yè)責(zé)任感（302條款），完善內(nèi)部控制（404條款），加強(qiáng)信息向公眾的披露（409條款）、提高財(cái)務(wù)報(bào)告和審計(jì)的質(zhì)量及透明度，并對(duì)違反證券法律和其它法規(guī)的行為加大懲罰力度及加重其刑事責(zé)任（906條款）SOX法案的出臺(tái)，對(duì)企業(yè)的公司治理、IT治理及IT控制提出了更嚴(yán)格的要求SOX簡(jiǎn)介SOX法案核心之處在于，保證企業(yè)為編制和記錄財(cái)務(wù)信7SOX簡(jiǎn)介受SOX法案影響最大的是財(cái)務(wù)部門(mén)。同時(shí)SOX涉及到所有影響財(cái)務(wù)報(bào)表生成的其他業(yè)務(wù)部門(mén)，其中影響較大的是IT部門(mén)，與IT相關(guān)的一些條款是：302條-公司對(duì)財(cái)務(wù)報(bào)告的責(zé)任-CEO和CFO應(yīng)準(zhǔn)備一份聲明，確認(rèn)財(cái)務(wù)報(bào)告的完整性和準(zhǔn)確性。目前已生效。404條-管理層對(duì)內(nèi)部控制的評(píng)價(jià)-CEO、CFO和外部的審計(jì)員必須證明財(cái)務(wù)報(bào)告內(nèi)部控制的有效性。加速編報(bào)必須在2004年11月15日或之后結(jié)束的第一個(gè)財(cái)政年度開(kāi)始遵守新的法規(guī)。非加速編報(bào)必須在2005年7月15日或之后結(jié)束的第一個(gè)財(cái)政年度開(kāi)始遵守新法規(guī)。409條-實(shí)時(shí)信息披露-公司必須迅速報(bào)告當(dāng)前財(cái)務(wù)狀況的實(shí)質(zhì)性（即重大）變化。該項(xiàng)法案要求“實(shí)時(shí)披露”，但是沒(méi)有定義實(shí)時(shí)披露的含義。SEC規(guī)則自2004年8月23日起生效。802條-篡改文件的刑事責(zé)任-公司必須保留并保護(hù)審計(jì)票據(jù)以及相關(guān)記錄，其中包括電子記錄。目前已生效。906條－公司對(duì)財(cái)務(wù)報(bào)告的責(zé)任－定期報(bào)告中的信息在所有重大方面都公允的反映了公司的財(cái)務(wù)狀況和經(jīng)營(yíng)成果。

SOX簡(jiǎn)介受SOX法案影響最大的是財(cái)務(wù)部門(mén)。同時(shí)SOX涉及到8SOX簡(jiǎn)介SOX的消極因素：歐盟認(rèn)為SOX法案的打擊面太廣，而且，由于該法案是在美國(guó)幾家公司發(fā)生會(huì)計(jì)丑聞之后匆忙制定，不免有事后諸葛亮之嫌有人認(rèn)為SOX法案合規(guī)的成本太過(guò)高昂，以致于抵消了其可能帶來(lái)的收益自2002年7月SOX法案出臺(tái)之后，大概10%的企業(yè)退出了美國(guó)股市，如新加坡創(chuàng)新；更多的中國(guó)國(guó)企和銀行也放棄了在美國(guó)上市的既定計(jì)劃，如國(guó)航SOX的積極因素：在促進(jìn)相關(guān)上市公司完善內(nèi)部控制、規(guī)避商業(yè)風(fēng)險(xiǎn)方面，SOX法案確實(shí)能夠發(fā)揮積極的作用越來(lái)越多的公司從戰(zhàn)略投資的角度來(lái)看待SOX法案，而不是僅僅認(rèn)為這是一項(xiàng)花費(fèi)好的規(guī)范性管理意味著經(jīng)營(yíng)的更好，因此SOX帶來(lái)的改善經(jīng)營(yíng)效率和降低風(fēng)險(xiǎn)的潛力遠(yuǎn)遠(yuǎn)超越于SOX法案本身SOX簡(jiǎn)介SOX的消極因素：9第302節(jié)公司對(duì)財(cái)務(wù)報(bào)告的責(zé)任(a)對(duì)制定規(guī)章的要求——SEC應(yīng)頒布規(guī)定，對(duì)于按照1934年的證券交易法的13(a)或15(d)部分編制定期報(bào)告的公司，應(yīng)要求這些公司的首要官員（們）及首要財(cái)務(wù)官（們）（或擔(dān)任同等職務(wù)的人員）在每一年度報(bào)告或季度報(bào)告中保證如下內(nèi)容：

(1)簽字的官員已審閱過(guò)該報(bào)告；

(2)該官員認(rèn)為報(bào)告中不存在重大的錯(cuò)報(bào)、漏報(bào)；

(3)該官員認(rèn)為報(bào)告中的會(huì)計(jì)報(bào)表及其他財(cái)務(wù)信息在所有重大方面，公允地反映了公司在該報(bào)告期末的財(cái)務(wù)狀況及該報(bào)告期內(nèi)的經(jīng)營(yíng)成果。

(4)簽字官員：

(A)對(duì)建立及保持內(nèi)部控制負(fù)責(zé)；

(B)設(shè)計(jì)了所需的內(nèi)部控制，以保證這些官員能知道該公司及其并表子公司的所有重大信息，尤其是報(bào)告期內(nèi)的重大信息；

(C)評(píng)價(jià)公司的內(nèi)部控制在簽署報(bào)告前90天內(nèi)的有效性；

(D)在該定期報(bào)告中發(fā)布他們上述評(píng)價(jià)的結(jié)論；

(5)簽字官員已向公司的審計(jì)師及董事會(huì)下屬的審計(jì)委員會(huì)（或擔(dān)任同等職務(wù)的人員）披露了如下內(nèi)容：

(A)內(nèi)部控制的設(shè)計(jì)或執(zhí)行中，對(duì)公司記錄、處理、匯總及編報(bào)財(cái)務(wù)數(shù)據(jù)的功能產(chǎn)生負(fù)面影響的所有重大缺陷。以及向公司的審計(jì)師指出內(nèi)部控制的重大缺點(diǎn)；

(B)在內(nèi)部控制中擔(dān)任重要職位的管理人員或其他雇員的欺詐行為，而不論該行為的影響是否重大；

(6)簽字官員應(yīng)在報(bào)告中指明在他們對(duì)內(nèi)部控制評(píng)價(jià)之后，內(nèi)部控制是否發(fā)生了重大變化，或是其他可能對(duì)內(nèi)部控制產(chǎn)生重要影響的因素，包括對(duì)內(nèi)部控制的重大缺陷或重要缺點(diǎn)的更正措施。(b)公司遷址國(guó)外不影響本法案的效力——即使發(fā)行證券的公司通過(guò)再合并或其他交易使公司的注冊(cè)地或辦公地遷至國(guó)外，也不能減少本節(jié)規(guī)定的法律效力。本節(jié)規(guī)定對(duì)該公司依然適用，且全部適用。(c)最終期限——本節(jié)(a)部分的規(guī)定應(yīng)在本法案頒布后30日內(nèi)生效。第302節(jié)公司對(duì)財(cái)務(wù)報(bào)告的責(zé)任(a)對(duì)制定規(guī)章的要求——10第404節(jié)管理層對(duì)內(nèi)部控制的評(píng)價(jià)(a)內(nèi)部控制方面的要求——SEC應(yīng)當(dāng)相應(yīng)的規(guī)定，要求按《1934年證券交易法》第13節(jié)(a)或15節(jié)(d)編制的年度報(bào)告中包括內(nèi)部控制報(bào)告，包括：

(1)強(qiáng)調(diào)公司管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任；

(2)發(fā)行人管理層最近財(cái)政年度末對(duì)內(nèi)部控制體系及控制程序有效性的評(píng)價(jià)；(b)內(nèi)部控制評(píng)價(jià)報(bào)告——

對(duì)于本節(jié)(a)中要求的管理層對(duì)內(nèi)部控制的評(píng)價(jià)，擔(dān)任公司年報(bào)審計(jì)的會(huì)計(jì)公司應(yīng)當(dāng)對(duì)其進(jìn)行測(cè)試和評(píng)價(jià)，并出具評(píng)價(jià)報(bào)告。上述評(píng)價(jià)和報(bào)告應(yīng)當(dāng)遵循委員會(huì)發(fā)布或認(rèn)可的準(zhǔn)則。上述評(píng)價(jià)過(guò)程不應(yīng)當(dāng)作為一項(xiàng)單獨(dú)的業(yè)務(wù)。第404節(jié)管理層對(duì)內(nèi)部控制的評(píng)價(jià)(a)內(nèi)部控制方面的要求11一個(gè)非常重要的概念：內(nèi)部控制COSODefinitionofInternalControl：Internalcontrolisaprocess,effectedbyanentity’sboardofdirectors,managementandotherpersonnel,designedtoprovidereasonableassuranceregardingtheachievementofobjectivesinthefollowingcategories:EffectivenessandefficiencyofoperationsReliabilityoffinancialreportingCompliancewithapplicablelawsandregulationsKeyConceptsInternalcontrolisaprocess.Itisameanstoanend,notanendinitself.Internalcontroliseffectedbypeople.

It’snotmerelypolicymanualsandforms,butpeopleateverylevelofanorganization.Internalcontrolcanbeexpectedtoprovideonlyreasonableassurance,notabsoluteassurance,toanentity’smanagementandboard.Internalcontrolisgearedtotheachievementofobjectivesinoneormoreseparatebutoverlappingcategories.

一個(gè)非常重要的概念：內(nèi)部控制COSODefinition12一個(gè)非常重要的概念：內(nèi)部控制內(nèi)部控制是指上市公司（以下簡(jiǎn)稱(chēng)公司）為了保證公司戰(zhàn)略目標(biāo)的實(shí)現(xiàn)，而對(duì)公司戰(zhàn)略制定和經(jīng)營(yíng)活動(dòng)中存在的風(fēng)險(xiǎn)予以管理的相關(guān)制度安排。它是由公司董事會(huì)、管理層及全體員工共同參與的一項(xiàng)活動(dòng)（上海證券交易所上市公司內(nèi)部控制指引）內(nèi)部控制框架COSO（USA)COCO(CANADA)CADBURY(UK)KING(SOUTHAFRICA)上海證券交易所上市公司內(nèi)部控制指引一個(gè)非常重要的概念：內(nèi)部控制內(nèi)部控制13SOX與IT控制規(guī)避風(fēng)險(xiǎn)、完善內(nèi)部控制是SOX法案的核心訴求，而IT控制是內(nèi)部控制不可缺少的一部分。隨著企業(yè)信息化建設(shè)的推進(jìn)和深入，企業(yè)的日常業(yè)務(wù)運(yùn)作已經(jīng)越來(lái)越依賴(lài)于IT系統(tǒng)的運(yùn)行，許多上市企業(yè)的核心業(yè)務(wù)都依賴(lài)IT系統(tǒng)。這提升了IT部門(mén)在公司中的地位，同時(shí)也意味著要承擔(dān)更大的責(zé)任IT與企業(yè)運(yùn)營(yíng)公司數(shù)據(jù)的完整性顯著受到公司IT控制充分性的影響；公司業(yè)務(wù)運(yùn)營(yíng)從交易開(kāi)始、記錄、處理到報(bào)告全程應(yīng)用IT；加快并支持財(cái)務(wù)報(bào)告要求良好的IT控制；對(duì)IT控制有效性進(jìn)行記錄與評(píng)價(jià)的要求；很多傳統(tǒng)的控制手段已轉(zhuǎn)化成IT一般控制與應(yīng)用控制；需要利用IT手段自動(dòng)記錄并監(jiān)控控制體系的執(zhí)行；SOX與IT控制規(guī)避風(fēng)險(xiǎn)、完善內(nèi)部控制是SOX法案的核心訴求14SOX與IT控制現(xiàn)有企業(yè)IT運(yùn)作中存在的控制缺陷系統(tǒng)開(kāi)發(fā)過(guò)程數(shù)據(jù)備份方面系統(tǒng)訪(fǎng)問(wèn)控制方面用戶(hù)的權(quán)限管理方面

SOX與IT控制現(xiàn)有企業(yè)IT運(yùn)作中存在的控制缺陷15SOX與IT控制IT控制GCR（一般性控制）信息系統(tǒng)開(kāi)發(fā)流程的控制程序變更管理控制計(jì)算機(jī)運(yùn)行管理控制程序與數(shù)據(jù)訪(fǎng)問(wèn)控制信息系統(tǒng)安全的控制IT計(jì)劃ACR（應(yīng)用系統(tǒng)控制）業(yè)務(wù)流程輸入數(shù)據(jù)處理輸出控制

SOX與IT控制IT控制16SOX與IT控制SOX法案302、404等條款對(duì)公司的要求，使得IT建設(shè)在公司治理機(jī)制中的作用日益凸顯，沒(méi)有相應(yīng)IT治理機(jī)制的公司治理，是無(wú)法滿(mǎn)足SOX法案的嚴(yán)格要求的

SOX中，IT風(fēng)險(xiǎn)被清晰地劃歸到業(yè)務(wù)風(fēng)險(xiǎn)的范疇中，加強(qiáng)合規(guī)性風(fēng)險(xiǎn)管理（compliance),IT控制是強(qiáng)化風(fēng)險(xiǎn)管理，完善信息時(shí)代公司治理的必要要求“在SOX法案的合規(guī)要求中，40%在IT控制，60%在財(cái)務(wù)控制方面”－某上市公司高管SOX與IT控制SOX法案302、404等條款對(duì)公司的要求，17SOX與IT控制IT控制既是SOX法案的重要內(nèi)容，也和企業(yè)IT治理架構(gòu)的建立有密切的關(guān)系。建立一個(gè)合理的IT治理架構(gòu)是實(shí)現(xiàn)有效的IT控制的基礎(chǔ)IT治理：保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，適當(dāng)管理與IT相關(guān)的風(fēng)險(xiǎn)IT內(nèi)控體系IT審計(jì)體系信息安全管理體系IT服務(wù)管理體系SOX與IT控制IT控制既是SOX法案的重要內(nèi)容，也和企業(yè)I18SOX與IT控制IT控制要保證企業(yè)達(dá)到下列目標(biāo)：提高經(jīng)營(yíng)效率和效果保證財(cái)務(wù)報(bào)告真實(shí)性保障法律法規(guī)的遵從性為遵從SOX方案，要求IT在下列方面有所準(zhǔn)備:優(yōu)化財(cái)務(wù)流程，完善財(cái)務(wù)應(yīng)用系統(tǒng)建立公司內(nèi)部控制體系（參照COSO，中國(guó)電信、中國(guó)聯(lián)通)加強(qiáng)IT控制，管理與IT相關(guān)的風(fēng)險(xiǎn)ITILCOBITISO17799/ISO27001SOX與IT控制IT控制要保證企業(yè)達(dá)到下列目標(biāo)：19SOX與信息安全很多（安全）廠商都有SOXCompliance的說(shuō)明，表明廠商理解并遵從SOX規(guī)則和要求的內(nèi)容廠商對(duì)銷(xiāo)售的產(chǎn)品和服務(wù)進(jìn)行了SOX符合性審核SOX為IT安全部門(mén)贏得了預(yù)算、公司地位及更多的話(huà)語(yǔ)權(quán)SOX合規(guī)性審計(jì)為主要的咨詢(xún)公司在全球帶來(lái)了數(shù)十億美元的市場(chǎng)收入。但國(guó)內(nèi)SOX帶來(lái)的這部分增長(zhǎng)并不像美國(guó)那樣的明顯，首先上市公司的數(shù)量有限，其次當(dāng)前SOX合規(guī)性主要以管理措施為主，產(chǎn)品方面IAM方面的需求上升最大SOX與信息安全很多（安全）廠商都有SOXComplia20SOX與信息安全基于SOX的信息安全控制控制目標(biāo)—控制措施能合理保證：適當(dāng)維護(hù)財(cái)務(wù)報(bào)告系統(tǒng)和子系統(tǒng)的安全性，防止未經(jīng)授權(quán)的情況下對(duì)數(shù)據(jù)的使用，披露，修改以及防止數(shù)據(jù)的損壞和遺失基本原理—確保系統(tǒng)安全包括物理和邏輯兩方面的控制，以防止未授權(quán)使用的情況發(fā)生。這些控制通常支持適當(dāng)授權(quán)，鑒定,認(rèn)可，數(shù)據(jù)分類(lèi)和安全監(jiān)控。這一領(lǐng)域的缺陷將嚴(yán)重影響財(cái)務(wù)報(bào)告。例如，缺乏對(duì)交易授權(quán)的控制將導(dǎo)致不準(zhǔn)確的財(cái)務(wù)披露SOX與信息安全基于SOX的信息安全控制21SOX與信息安全信息安全管理體系的設(shè)計(jì)(參照7799）引入IT服務(wù)管理的思想（參照ITIL)ISAF－ASOXcompliancearchitecture人(people)、流程(process)、技術(shù)(technology)SOX與信息安全信息安全管理體系的設(shè)計(jì)(參照7799）22Thankyou!Thankyou!23SOXbriefByjiangningSOXbriefByjiangning24agenda背景SOX簡(jiǎn)介SOX與IT控制SOX與信息安全agenda背景25背景一系列事件及丑聞1997年亞洲金融危機(jī)2001年12月,安然(Enron)丑聞2002年6月,世界通訊(WorldCom)丑聞Xerox、ANDERSEN丑聞藍(lán)田股份和銀廣夏的利潤(rùn)神話(huà)破滅事件創(chuàng)維、伊利股份等上市公司高管涉案事件中國(guó)航油(新加坡)股份有限公司虧損丑聞2005年，UT斯達(dá)康、51job、sina等數(shù)家公司在美遭遇“提供虛假信息”和“隱瞞重大事實(shí)”的集體訴訟背景一系列事件及丑聞26背景全世界包括美國(guó)金融投資領(lǐng)域?qū)ι鲜泄臼チ诵判南盗胸?cái)務(wù)虛假案公司治理結(jié)構(gòu)不平衡外部監(jiān)督缺失完善公司治理機(jī)制、有效管理企業(yè)風(fēng)險(xiǎn)正在成為企業(yè)議事日程中最重要和最迫切的任務(wù)建立反舞弊的控制環(huán)境使用偵破舞弊的新方法發(fā)揮內(nèi)部審計(jì)在揭露舞弊方面的作用背景全世界包括美國(guó)金融投資領(lǐng)域?qū)ι鲜泄臼チ诵判?7SOX簡(jiǎn)介Sarbanes-OxleyACT:“公眾公司會(huì)計(jì)改革與投資者保護(hù)法案”,2002年7月頒布,是在連續(xù)發(fā)生丑聞事件、對(duì)國(guó)際投資市場(chǎng)造成重大損害之后，美國(guó)國(guó)會(huì)與政府為規(guī)范上市企業(yè)運(yùn)營(yíng)，挽救投資者信心而制定的一部企業(yè)內(nèi)部控制法案。旨在恢復(fù)公眾對(duì)證券的信任、改善公司管理、提升商業(yè)道德實(shí)踐以及增加財(cái)務(wù)報(bào)表的透明度和完整性,它適用于在美國(guó)證券交易委員會(huì)(SEC)登記了股票并具有7500萬(wàn)美元以上的市值的所有企業(yè),包括在美國(guó)注冊(cè)的上市公司和外國(guó)注冊(cè)在美國(guó)上市的公司Sarbanes-OxleyACT被稱(chēng)為“企業(yè)內(nèi)控管理緊箍咒”，是“自羅斯?？偨y(tǒng)以來(lái)美國(guó)商業(yè)界影響最為深遠(yuǎn)的改革法案”“薩班斯法案”代表了一個(gè)新的資本市場(chǎng)監(jiān)管時(shí)代的到來(lái)SOX簡(jiǎn)介Sarbanes-OxleyACT:“公眾公司28SOX簡(jiǎn)介根據(jù)美國(guó)證券交易委員會(huì)的最新規(guī)定，在美國(guó)上市的海外公司，最晚必須在2006年7月15日之前實(shí)現(xiàn)SOX法案合規(guī)上市企業(yè)需要從2006年財(cái)政年度開(kāi)始遵從SOX法案，也就是說(shuō)他們?cè)诎l(fā)表他們2006年財(cái)政年度報(bào)告的時(shí)候，同時(shí)要出具內(nèi)控的報(bào)告，而且審計(jì)師要對(duì)他們內(nèi)部控制有效性在2006年財(cái)政年度做審計(jì)工作對(duì)于在美國(guó)上市的中國(guó)公司來(lái)說(shuō)，他們正面臨著緊迫的SOX法案合規(guī)的任務(wù)—2006年7月15日之前，這些公司必須通過(guò)SOX法案內(nèi)部控制測(cè)試報(bào)告。(最新消息稱(chēng)：年銷(xiāo)售收入在5億美元以下的企業(yè)，可以再推遲一年，即到2007年7月15日再提交內(nèi)控報(bào)告)未通過(guò)SOX法案符合性審計(jì)的上市公司，證券市場(chǎng)會(huì)認(rèn)為企業(yè)財(cái)務(wù)管理不規(guī)范、報(bào)表值得懷疑、股價(jià)不可信。如果中國(guó)企業(yè)大量不合規(guī)范，可能影響中國(guó)概念股整體的信譽(yù)。對(duì)于非在美上市中國(guó)公司而言，也并不意味著他們可以對(duì)加強(qiáng)公司內(nèi)部控制一事漠不關(guān)心。上海證券交易所和香港聯(lián)交所都已經(jīng)先后公布了與SOX法案類(lèi)似的相關(guān)法規(guī)，對(duì)上市公司建立內(nèi)部稽核制度和信息披露要求進(jìn)行了探討SOX簡(jiǎn)介根據(jù)美國(guó)證券交易委員會(huì)的最新規(guī)定，在美國(guó)上市的海外29SOX簡(jiǎn)介SOX法案核心之處在于，保證企業(yè)為編制和記錄財(cái)務(wù)信息而制定的內(nèi)部控制措施的有效性，從而改善公司透明度和創(chuàng)造良好的公司治理環(huán)境SOX法案包括50多個(gè)條款，每一條款都有各自的遵從日期。有些已經(jīng)生效，有些還在制訂中SOX的目的在于促進(jìn)企業(yè)責(zé)任感（302條款），完善內(nèi)部控制（404條款），加強(qiáng)信息向公眾的披露（409條款）、提高財(cái)務(wù)報(bào)告和審計(jì)的質(zhì)量及透明度，并對(duì)違反證券法律和其它法規(guī)的行為加大懲罰力度及加重其刑事責(zé)任（906條款）SOX法案的出臺(tái)，對(duì)企業(yè)的公司治理、IT治理及IT控制提出了更嚴(yán)格的要求SOX簡(jiǎn)介SOX法案核心之處在于，保證企業(yè)為編制和記錄財(cái)務(wù)信30SOX簡(jiǎn)介受SOX法案影響最大的是財(cái)務(wù)部門(mén)。同時(shí)SOX涉及到所有影響財(cái)務(wù)報(bào)表生成的其他業(yè)務(wù)部門(mén)，其中影響較大的是IT部門(mén)，與IT相關(guān)的一些條款是：302條-公司對(duì)財(cái)務(wù)報(bào)告的責(zé)任-CEO和CFO應(yīng)準(zhǔn)備一份聲明，確認(rèn)財(cái)務(wù)報(bào)告的完整性和準(zhǔn)確性。目前已生效。404條-管理層對(duì)內(nèi)部控制的評(píng)價(jià)-CEO、CFO和外部的審計(jì)員必須證明財(cái)務(wù)報(bào)告內(nèi)部控制的有效性。加速編報(bào)必須在2004年11月15日或之后結(jié)束的第一個(gè)財(cái)政年度開(kāi)始遵守新的法規(guī)。非加速編報(bào)必須在2005年7月15日或之后結(jié)束的第一個(gè)財(cái)政年度開(kāi)始遵守新法規(guī)。409條-實(shí)時(shí)信息披露-公司必須迅速報(bào)告當(dāng)前財(cái)務(wù)狀況的實(shí)質(zhì)性（即重大）變化。該項(xiàng)法案要求“實(shí)時(shí)披露”，但是沒(méi)有定義實(shí)時(shí)披露的含義。SEC規(guī)則自2004年8月23日起生效。802條-篡改文件的刑事責(zé)任-公司必須保留并保護(hù)審計(jì)票據(jù)以及相關(guān)記錄，其中包括電子記錄。目前已生效。906條－公司對(duì)財(cái)務(wù)報(bào)告的責(zé)任－定期報(bào)告中的信息在所有重大方面都公允的反映了公司的財(cái)務(wù)狀況和經(jīng)營(yíng)成果。

SOX簡(jiǎn)介受SOX法案影響最大的是財(cái)務(wù)部門(mén)。同時(shí)SOX涉及到31SOX簡(jiǎn)介SOX的消極因素：歐盟認(rèn)為SOX法案的打擊面太廣，而且，由于該法案是在美國(guó)幾家公司發(fā)生會(huì)計(jì)丑聞之后匆忙制定，不免有事后諸葛亮之嫌有人認(rèn)為SOX法案合規(guī)的成本太過(guò)高昂，以致于抵消了其可能帶來(lái)的收益自2002年7月SOX法案出臺(tái)之后，大概10%的企業(yè)退出了美國(guó)股市，如新加坡創(chuàng)新；更多的中國(guó)國(guó)企和銀行也放棄了在美國(guó)上市的既定計(jì)劃，如國(guó)航SOX的積極因素：在促進(jìn)相關(guān)上市公司完善內(nèi)部控制、規(guī)避商業(yè)風(fēng)險(xiǎn)方面，SOX法案確實(shí)能夠發(fā)揮積極的作用越來(lái)越多的公司從戰(zhàn)略投資的角度來(lái)看待SOX法案，而不是僅僅認(rèn)為這是一項(xiàng)花費(fèi)好的規(guī)范性管理意味著經(jīng)營(yíng)的更好，因此SOX帶來(lái)的改善經(jīng)營(yíng)效率和降低風(fēng)險(xiǎn)的潛力遠(yuǎn)遠(yuǎn)超越于SOX法案本身SOX簡(jiǎn)介SOX的消極因素：32第302節(jié)公司對(duì)財(cái)務(wù)報(bào)告的責(zé)任(a)對(duì)制定規(guī)章的要求——SEC應(yīng)頒布規(guī)定，對(duì)于按照1934年的證券交易法的13(a)或15(d)部分編制定期報(bào)告的公司，應(yīng)要求這些公司的首要官員（們）及首要財(cái)務(wù)官（們）（或擔(dān)任同等職務(wù)的人員）在每一年度報(bào)告或季度報(bào)告中保證如下內(nèi)容：

(1)簽字的官員已審閱過(guò)該報(bào)告；

(2)該官員認(rèn)為報(bào)告中不存在重大的錯(cuò)報(bào)、漏報(bào)；

(3)該官員認(rèn)為報(bào)告中的會(huì)計(jì)報(bào)表及其他財(cái)務(wù)信息在所有重大方面，公允地反映了公司在該報(bào)告期末的財(cái)務(wù)狀況及該報(bào)告期內(nèi)的經(jīng)營(yíng)成果。

(4)簽字官員：

(A)對(duì)建立及保持內(nèi)部控制負(fù)責(zé)；

(B)設(shè)計(jì)了所需的內(nèi)部控制，以保證這些官員能知道該公司及其并表子公司的所有重大信息，尤其是報(bào)告期內(nèi)的重大信息；

(C)評(píng)價(jià)公司的內(nèi)部控制在簽署報(bào)告前90天內(nèi)的有效性；

(D)在該定期報(bào)告中發(fā)布他們上述評(píng)價(jià)的結(jié)論；

(5)簽字官員已向公司的審計(jì)師及董事會(huì)下屬的審計(jì)委員會(huì)（或擔(dān)任同等職務(wù)的人員）披露了如下內(nèi)容：

(A)內(nèi)部控制的設(shè)計(jì)或執(zhí)行中，對(duì)公司記錄、處理、匯總及編報(bào)財(cái)務(wù)數(shù)據(jù)的功能產(chǎn)生負(fù)面影響的所有重大缺陷。以及向公司的審計(jì)師指出內(nèi)部控制的重大缺點(diǎn)；

(B)在內(nèi)部控制中擔(dān)任重要職位的管理人員或其他雇員的欺詐行為，而不論該行為的影響是否重大；

(6)簽字官員應(yīng)在報(bào)告中指明在他們對(duì)內(nèi)部控制評(píng)價(jià)之后，內(nèi)部控制是否發(fā)生了重大變化，或是其他可能對(duì)內(nèi)部控制產(chǎn)生重要影響的因素，包括對(duì)內(nèi)部控制的重大缺陷或重要缺點(diǎn)的更正措施。(b)公司遷址國(guó)外不影響本法案的效力——即使發(fā)行證券的公司通過(guò)再合并或其他交易使公司的注冊(cè)地或辦公地遷至國(guó)外，也不能減少本節(jié)規(guī)定的法律效力。本節(jié)規(guī)定對(duì)該公司依然適用，且全部適用。(c)最終期限——本節(jié)(a)部分的規(guī)定應(yīng)在本法案頒布后30日內(nèi)生效。第302節(jié)公司對(duì)財(cái)務(wù)報(bào)告的責(zé)任(a)對(duì)制定規(guī)章的要求——33第404節(jié)管理層對(duì)內(nèi)部控制的評(píng)價(jià)(a)內(nèi)部控制方面的要求——SEC應(yīng)當(dāng)相應(yīng)的規(guī)定，要求按《1934年證券交易法》第13節(jié)(a)或15節(jié)(d)編制的年度報(bào)告中包括內(nèi)部控制報(bào)告，包括：

(1)強(qiáng)調(diào)公司管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任；

(2)發(fā)行人管理層最近財(cái)政年度末對(duì)內(nèi)部控制體系及控制程序有效性的評(píng)價(jià)；(b)內(nèi)部控制評(píng)價(jià)報(bào)告——

對(duì)于本節(jié)(a)中要求的管理層對(duì)內(nèi)部控制的評(píng)價(jià)，擔(dān)任公司年報(bào)審計(jì)的會(huì)計(jì)公司應(yīng)當(dāng)對(duì)其進(jìn)行測(cè)試和評(píng)價(jià)，并出具評(píng)價(jià)報(bào)告。上述評(píng)價(jià)和報(bào)告應(yīng)當(dāng)遵循委員會(huì)發(fā)布或認(rèn)可的準(zhǔn)則。上述評(píng)價(jià)過(guò)程不應(yīng)當(dāng)作為一項(xiàng)單獨(dú)的業(yè)務(wù)。第404節(jié)管理層對(duì)內(nèi)部控制的評(píng)價(jià)(a)內(nèi)部控制方面的要求34一個(gè)非常重要的概念：內(nèi)部控制COSODefinitionofInternalControl：Internalcontrolisaprocess,effectedbyanentity’sboardofdirectors,managementandotherpersonnel,designedtoprovidereasonableassuranceregardingtheachievementofobjectivesinthefollowingcategories:EffectivenessandefficiencyofoperationsReliabilityoffinancialreportingCompliancewithapplicablelawsandregulationsKeyConceptsInternalcontrolisaprocess.Itisameanstoanend,notanendinitself.Internalcontroliseffectedbypeople.

It’snotmerelypolicymanualsandforms,butpeopleateverylevelofanorganization.Internalcontrolcanbeexpectedtoprovideonlyreasonableassurance,notabsoluteassurance,toanentity’smanagementandboard.Internalcontrolisgearedtotheachievementofobjectivesinoneormoreseparatebutoverlappingcategories.

一個(gè)非常重要的概念：內(nèi)部控制COSODefinition35一個(gè)非常重要的概念：內(nèi)部控制內(nèi)部控制是指上市公司（以下簡(jiǎn)稱(chēng)公司）為了保證公司戰(zhàn)略目標(biāo)的實(shí)現(xiàn)，而對(duì)公司戰(zhàn)略制定和經(jīng)營(yíng)活動(dòng)中存在的風(fēng)險(xiǎn)予以管理的相關(guān)制度安排。它是由公司董事會(huì)、管理層及全體員工共同參與的一項(xiàng)活動(dòng)（上海證券交易所上市公司內(nèi)部控制指引）內(nèi)部控制框架COSO（USA)COCO(CANADA)CADBURY(UK)KING(SOUTHAFRICA)上海證券交易所上市公司內(nèi)部控制指引一個(gè)非常重要的概念：內(nèi)部控制內(nèi)部控制36SOX與IT控制規(guī)避風(fēng)險(xiǎn)、完善內(nèi)部控制是SOX法案的核心訴求，而IT控制是內(nèi)部控制不可缺少的一部分。隨著企業(yè)信息化建設(shè)的推進(jìn)和深入，企業(yè)的日常業(yè)務(wù)運(yùn)作已經(jīng)越來(lái)越依賴(lài)于IT系統(tǒng)的運(yùn)行，許多上市企業(yè)的核心業(yè)務(wù)都依賴(lài)IT系統(tǒng)。這提升了IT部門(mén)在公司中的地位，同時(shí)也意味著要承擔(dān)更大的責(zé)任IT與企業(yè)運(yùn)營(yíng)公司數(shù)據(jù)的完整性顯著受到公司IT控制充分性的影響；公司業(yè)務(wù)運(yùn)營(yíng)從交易開(kāi)始、記錄、處理到報(bào)告全程應(yīng)用IT；加快并支持財(cái)務(wù)報(bào)告要求良好的IT控制；對(duì)IT控制有效性進(jìn)行記錄與評(píng)價(jià)的要求；很多傳統(tǒng)的控制手段已轉(zhuǎn)化成IT一般控制與應(yīng)用控制；需要利用IT手段自動(dòng)記錄并監(jiān)控控制體系的執(zhí)行；SOX與IT控制規(guī)避風(fēng)險(xiǎn)、完善內(nèi)部控制是SOX法案的核心訴求37SOX與IT控制現(xiàn)有企業(yè)IT運(yùn)作中存在的控制缺陷系統(tǒng)開(kāi)發(fā)過(guò)程數(shù)據(jù)備份方面系統(tǒng)訪(fǎng)問(wèn)控制方面用戶(hù)的權(quán)限管理方面

SOX與IT控制現(xiàn)有企業(yè)IT運(yùn)作中存在的控制缺陷38SOX與IT控制IT控制GCR（一般性控制）信息系統(tǒng)開(kāi)發(fā)流程的控制程序變更管理控制計(jì)算機(jī)運(yùn)行管理控制程序與數(shù)據(jù)訪(fǎng)問(wèn)控制信息系統(tǒng)安全的控制IT計(jì)劃ACR（應(yīng)用系統(tǒng)控制）業(yè)務(wù)流程輸入數(shù)據(jù)處理輸出控制