SOX 合规性的核心是指一个组织的所有财务披露都是完全准确的,并且该组织有控制措施和文件来支持其财务报表。
然而,达到 SOX 合规性的过程可能非常复杂。SOX 法案并没有详尽无遗地列出公司所需的每项控制措施或审计人员必须采取的每个步骤。不同的组织以不同的方式实现 SOX 合规性。
从较高层面来看,SOX 具有三大要求:
提交经公司高管认可的准确财务报告。
实施适当的内部控制。
通过定期审计。
提交由公司高管认可的准确财务报告
根据 SOX 法案第 302 条“财务报告的公司责任”,公司首席执行官、首席财务官或同等级别的领导人必须在提交给美国证券交易委员会的每份年度和季度财务报告上签字。
在签署报告时,首席执行官和首席财务官必须证明财务报表完全准确。他们还必须断言,适当的内部控制已经到位,并在过去 90 天内得到验证。
根据 SOX 第 404 条“内部控制的管理评估”,向 SEC 提交的每份年度财务报告都必须包含深入的内部控制报告。内部控制报告需要声明,管理层对内部控制负责,并评估了截至最近一个财政年度结束时公司内部控制的有效性。
组织必须及时报告其财务状况的任何重大变化。虽然根据 SOX 法案规定网络安全事件可以视为重大变化,但值得注意的是,SEC 于 2023 年 7 月通过了新规则,使这些事件的报告要求更加严格(ibm.com 外部链接)。
值得注意的是,各组织必须在确定网络安全事件已造成或可能造成重大影响的四天内报告该事件。如果第三方(如云服务)发生的事件可能对组织造成重大影响,公司必须报告这些事件。
实施适当的内部控制
公司实施 SOX 内部控制,以防止内部和外部行为者以欺诈手段篡改财务数据或将其用于非法目的。
SOX 法案没有明确列出公司必须实施的所有控制措施。组织通常依赖于公司治理框架,例如属于信息系统审计和控制协会的信息和相关技术控制目标框架。
特雷德韦委员会赞助组织委员会 (COSO) 框架也很常用。虽然这些框架不是专门为 SOX 开发的,但它们提供的控制方案通常能够满足 SOX 合规性要求。
组织在业务流程和信息技术基础设施两个层面实施控制。
业务流程控制
业务流程控制包括对员工进行 SOX 要求方面的培训,以及为举报人建立安全的举报渠道等。
许多公司还采用职责分离原则,即将工作流程分成多个部分,每个步骤由不同的员工负责。
这样做的目的是,没有任何一个员工可以控制整个工作流程,每个参与其中的人都是其他人的制衡者。一个典型的例子是,批准付款的人与从公司账户开支票的人不是同一个人。
公司还可以创建存储和保存记录的流程,以符合 SOX 的文件保留要求。例如,审计师必须将与审计相关的工作文件保存七年。
IT 控制
随着企业网络变得越来越复杂,自动化对于 SOX 合规工作变得越来越重要。据 Protiviti 称,平均每个公司有 36 个业务应用程序需要符合 SOX 要求(ibm.com 外部链接)。IT 安全控制可以帮助在所有这些应用程序中实施 SOX 规则。
一些组织使用专门的 SOX 合规性软件来安全存储与 SOX 相关的数据和文件,跟踪相关活动,并标记内部控制中的漏洞。不过,公司也可以使用更通用的网络安全工具来实现 SOX 合规性。
数据保护工具,如数据丢失预防 (DLP) 解决方案,可以跟踪敏感数据的存储位置、访问者和他们的操作。一些 DLP 工具还可以阻止用户对财务数据进行未经授权的更改或将其移动到未经授权的位置。各组织还可以使用自动备份,以便在数据被破坏或篡改时进行恢复。
身份和访问管理 (IAM) 解决方案可让企业按照最小权限原则设置细粒度的访问控制策略。员工只能获得完成工作所需的最低权限。
IAM 平台还可以简化变更管理,使企业能够在员工加入公司、改变角色或离职时快速更新和删除访问权限。
公司可以使用安全信息和事件管理 (SIEM) 解决方案来监控网络活动、检测安全漏洞并更快地响应事件。SIEM 解决方案还保留安全日志,帮助组织在 SOX 审计期间证明合规性。
一些 SIEM 工具具有内置的 SOX 特定功能或与具有该功能的工具集成,从而允许它们自动记录相关信息并生成合规性报告。
SOX 的信息安全义务延伸至组织存储或处理财务信息的云数据中心。公司还需要考虑对这些数据源的控制。
通过定期审计
如上所述,首席执行官和首席财务官必须保证每份财务报告的准确性和内部控制的有效性。定期审计为管理人员提供了发表这些声明所需的证据。
通过对财务报告实践和数据控制进行定期内部审计,公司可以长期监控合规情况,找出差距并弥补不足。
内部审计的结果也有助于外部审计人员进行年度 SOX 合规性审计。在年度审计中,独立会计师事务所对内部控制和财务报告进行独立评估。该审计的结果通常包含在公司的年度 SEC 报告中。
过去,审计人员必须报告他们认为管理层对内部控制的评估是否准确。当 SEC 于 2007 年采用第 5 号审计标准(ibm.com 外部链接)时,这一要求被删除。
SOX 法案没有明确规定管理人员和会计师事务所应如何进行审计。相反,SEC 指出(ibm.com 外部链接),审计师和管理人员应使用自上而下的风险评估 (TDRA) 来确定审计范围。TDRA 确定最有可能发生重大欺诈的账户、披露信息和其他领域,并重点评估应对这些风险的关键控制措施。
