2002 年的《萨班斯-奥克斯利法案》(通常称为 SOX 或 Sarbox)是美国的一项法律,旨在保护投资者免受会计欺诈,尤其是与上市公司有关的欺诈。该法案以起草该法案的两位国会议员保罗·萨班斯和迈克尔·奥克斯利的名字命名,是在 21 世纪初一系列备受瞩目的会计丑闻震惊金融界后颁布的。该法案由美国证券交易委员会 (SEC) 执行。
SOX 带来了更严格的公司财务披露规则,但也涵盖了公司治理和内部控制评估等许多其他问题。它成立了上市公司会计监督委员会 (PCAOB) 来监督审计师并确保编制信息丰富、准确和独立的审计报告,以保护投资者。
尽管 SOX 的文本中没有包含任何特定的 IT 要求,但它仍然对上市公司如何保护其 IT 系统产生了重大影响。为什么?答案很简单:如今,由于数字化,受《萨班斯-奥克斯利法案》保护的财务信息在 IT 系统中处理和存储。
第 302 条和第 404 条
在《萨班斯-奥克斯利法案》的众多规定中,有两项规定对 IT 有特别 沙特号码数据 的影响,因为它们对安全和数据管理有明显的影响。
第 302 条要求公司的 CEO 和 CFO 亲自证明提交给 SEC 的所有财务报告都是完整和准确的。更具体地说,他们必须对所有内部控制承担个人责任,并在提交报告前的最后 90 天内对其进行审查。这些内部控制不可避免地包括 IT 基础设施及其如何保护财务数据。
第 404 条更进一步,要求公司每年对这些内部控制进行审计,审计必须由外部公司执行。审计的目的是评估控制措施的有效性,并将审计结果直接报告给美国证券交易委员会 (SEC)。
为了澄清这些 SOX 要求,PCAOB 选择了赞助组织委员会 (COSO) 框架作为公司制定和实施内部控制措施的指导。然而,许多组织也选择使用更具体的 IT 信息和相关技术控制目标 (COBIT) 框架来确保完全合规。COBIT 涵盖 34 个 IT 流程,并将它们分为不同的类别,例如监控、采购和实施以及交付和支持。
这两个框架中列出的建议为制定企业 IT 治理和管理的良好实践提供了一个极好的起点,其中融合了广泛接受的概念和国际标准。
SOX 规定的处罚
说到惩罚,萨班斯计划可不是开玩笑的事。首位和首席财务官必须向美国证券交易委员会提交定期报告,并附上一份书面财务声明,证明其中的信息准确无误。
根据萨班斯法案第 906 最高条,如果这些报告有任何违规行为,认证者将面临严重后果:如果他们发现故意认证了不准确的报告,他们可能会被处以 100 万美元的罚款或最高 10 年的罚款,或两者并处罚款。此外,那些故意认证报告的人面临的风险要大部分:最高 500 万美元的罚款或 20 年的罚款,或两者并处并处罚金。
同时,根据第 802 条,任何人故意更改财务文件,将被处以罚款和最高 20 年监禁,或两者并罚。
数据丢失预防和 SOX 合规性
遵守 SOX 的数据安全 至关重要:财务信息不得被授权的人员访问,也不得受到恶意外部人员或心怀不满的内部人员的篡改或盗窃。数据丢失或被盗的可能性会破坏记录财务的威胁。因此,除了标准防火墙和防病毒软件之外,公司还很容易寻求显着降低此类安全事件发生可能性的数据丢失防护(DLP)解决方案。
Endpoint Protector等DLP工具可以扫描整个网络查找信息,并在发现这些信息位于财务授权的位置时进行加密。它还可以阻止预定义数据的传输,并确保复制到便携式USB设备上的所有信息都经过安全加密,避免被盗或疏忽。其数据跟踪日志和报告也是审计目的的备份支持文档。
- Board index
- All times are UTC
- Delete cookies
- Contact us