【前言】如果你的公司需要去美国上市？你知道如果违反了萨班斯-奥克斯利法案（SOX），你和公司的风险和成本吗？

一、萨班斯-奥克斯利法案（SOX）合规性是指什么- 你必须知道，如果你的公司要去美国上市

萨班斯-奥克斯利法案（SOX）合规是指遵守萨班斯-奥克斯利法案（SOX）的财务报告、信息安全和审计要求，该法案是一项旨在防止公司欺诈的美国法律。

为了符合萨班斯-奥克斯利法案（SOX）标准，在美国开展业务的上市公司必须：

• 实施内部控制，保护财务数据免受篡改。
• 定期向美国证券交易委员会（SEC）提交报告，证明安全控制的有效性和财务披露的准确性。
• 通过对其财务报表和控制措施的年度独立审计。

萨班斯-奥克斯利法案（SOX）法案还为审计上市公司的会计师事务所和发表证券研究的分析师制定了规则。该法案对欺诈性金融活动和某些形式的违规行为处以高额罚款和刑事处罚。

虽然萨班斯-奥克斯利法案（SOX）是一项财务法规，但整个组织的利益相关者都参与了实现合规性。随着组织越来越多地转向技术解决方案来保护复杂企业网络中的财务信息，IT部门和网络安全团队变得尤为重要。

根据咨询公司甫瀚咨询2023年的一份报告https://www.protiviti.com/us-en/whitepaper/empowering-萨班斯-奥克斯利法案（SOX）-innovationhttps://www.protiviti.com/us-en/whitepaper/empowering-sox-innovation 超过一半的公司表示，现在实现萨班斯-奥克斯利法案（SOX）合规需要更长的时间。平均每个组织每年在萨班斯-奥克斯利法案（SOX）合规工作上花费超过100万美元。

二、萨班斯-奥克斯利法案（SOX）的核心关键作用

1、萨班斯-奥克斯利法案案的作用

萨班斯-奥克斯利法案（SOX）是一项全面的法案，共有11个议题。其最显著的影响包括

• 成立上市公司会计监督委员会（PCAOB）。
• 加强财务报告要求。
• 让公司高管亲自负责财务披露和控制。
• 增强外部审计师和分析师的独立性。
• 保护举报人。

1）成立上市公司会计监督委员会（Public Company Accounting Oversight Board - PCAOB）

萨班斯-奥克斯利法案（SOX）成立了PCAOB，这是一家非营利性公司，负责制定财务审计标准并监管审计上市公司的会计师事务所。

PCAOB可以调查涉嫌违规的公司，并对其进行纪律处分，对个人处以最高10000美元的罚款，对组织处以最高2000000美元的罚款。

2）加强财务报告要求

根据1934年的《证券交易法》，一定规模的上市公司已经必须向美国证券交易委员会提交年度和季度财务报告。萨班斯-奥克斯利法案（SOX）强调，这些报告必须没有误导性陈述。

报告必须根据公认会计原则编制，这是由财务会计准则委员会维护的一套标准https://fasb.org/standardshttps://fasb.org/standards 公司以前可以省略财务报告的一些表外交易，如未合并子公司持有的债务，如果会对公司的财务状况产生重大影响，现在必须报告。如果信息会导致理性的投资者重新考虑投资决策，则信息是“重要的”。

公司还必须以近乎实时的方式向公众报告任何构成其财务信息重大变化的情况。

最后，公司必须实施内部控制，以保护财务数据免受内部或外部行为者的篡改和欺诈使用。这包括在一定时期内保留财务记录。

3）让公司高管亲自负责财务披露和控制

根据《萨班斯-奥克斯利法案（SOX）》，首席执行官（CEO）、首席财务官（CFO）和任何担任类似职务的公司高管都有个人责任确保财务报表真实，内部控制结构有效。

如果财务报告不准确，高管们可能会面临罚款和刑事判决，即使他们没有故意误导投资者。

4）提高外部审计师和分析师的独立性

利益冲突导致了促使萨班斯-奥克斯利法案（SOX）通过的丑闻。审计上市公司财务报表的会计师事务所经常为这些公司提供利润丰厚的咨询服务。

会计师们感到有动力制作客户认为可以接受的审计报告，否则他们可能会失去这些有利可图的安排。

同样，报告股票价值的分析师通常为向上市公司提供投资银行或其他服务的组织工作。

萨班斯-奥克斯利法案（SOX）旨在通过多种方式消除这些利益冲突。首先，它要求上市公司成立独立于管理层的审计委员会。

这些委员会负责招聘独立审计师并与之协调。萨班斯-奥克斯利法案（SOX）还规定，组织试图影响审计结果是非法的。

会计师事务所不能为其进行萨班斯-奥克斯利法案（SOX）审计的同一家公司提供咨询或其他服务，组织必须每五年轮换一次外部审计师。

证券分析师必须独立于其机构的投资银行部门运作。他们在报告证券时还必须披露任何潜在的利益冲突。

5）保护举报人

萨班斯-奥克斯利法案（SOX）规定，通过降级、解雇、停职、骚扰或其他方式伤害举报潜在欺诈行为的员工进行报复是违法的。

萨班斯-奥克斯利法案（SOX）适用于谁？

​​​​​​​

萨班斯-奥克斯利法案（SOX）适用于在美国开展业务的所有上市公司及其全资子公司。它也适用于证券分析师和审计上市公司的会计师事务所。

虽然私营公司和非营利组织通常不受萨班斯-奥克斯利法案（SOX）的约束，但也有一些例外。准备通过首次公开募股上市的私营公司在向美国证券交易委员会提交注册声明时受到萨班斯-奥克斯利法案（SOX）的约束。为上市公司提供服务的私营公司的举报人在报告其公共客户的不当行为时受到萨班斯-奥克斯利法案（SOX）的保护。

萨班斯-奥克斯利法案（SOX）规定，任何组织（公共、私人或非营利组织）销毁或伪造财务记录以阻碍联邦调查都是非法的。

虽然萨班斯-奥克斯利法案（SOX）是美国的一项法规，但它确实对国外的组织产生了影响。总部设在美国以外的上市公司如果在美国开展业务，必须遵守萨班斯-奥克斯利法案（SOX）要求。

萨班斯-奥克斯利法案（SOX）的通过也激励了其他国家通过自己的法律打击金融欺诈，如加拿大的《履行对强大经济的承诺法案》（也称为“C-萨班斯-奥克斯利法案（SOX）”）和日本的《金融工具和交易法案》（也称为“J-萨班斯-奥克斯利法案（SOX）”。

在欧洲，许多人注意到萨班斯-奥克斯利法案（SOX）合规性和通用数据保护条例（GDPR）合规性之间存在重大重叠。特别是，许多实现萨班斯-奥克斯利法案（SOX）合规性的相同安全控制和数据保护流程也支持General Data Protection Regulation (GDPR)合规性。欧盟也实施了围绕财务审计师独立性的类似萨班斯-奥克斯利法案（SOX）的规则。

萨班斯-奥克斯利法案（SOX）的合规要求

从核心上讲，萨班斯-奥克斯利法案（SOX）合规意味着一个组织的所有财务披露都是完全准确的，并且该组织有控制和文件来支持其财务报表。

然而，达到萨班斯-奥克斯利法案（SOX）合规性的过程可能很复杂。萨班斯-奥克斯利法案（SOX）法并没有详尽地概述公司需要的每一项控制措施或审计师必须采取的每一步。不同的组织以不同的方式达到萨班斯-奥克斯利法案（SOX）法合规性。

从高层次上讲，萨班斯-奥克斯利法案（SOX）有三大要求

• 提交经公司高管认证的准确财​​​​​​​务报告
• 实施适当的内部控制
• 通过定期审核

1、提交经公司高管认证的准确财务报告

根据《萨班斯-奥克斯利法案》第302条“财务报告的企业责任”，公司的首席执行官、首席财务官或同等级别的领导人必须在提交给美国证券交易委员会的每份年度和季度财务报告上签字。

在签署报告时，首席执行官和首席财务官必须证明财务报表完全准确。他们还必须声明，适当的内部控制措施已经到位，并且在过去90天内已经过验证。

根据《萨班斯-奥克斯利法案（萨班斯-奥克斯利法案（SOX））》第404条“内部控制管理评估”，提交给美国证券交易委员会的每份年度财务报告都必须包含一份深入的内部控制报告。内部控制报告指出，管理层负责内部控制，并评估截至最近一个财政年度末公司内部控制的有效性。

组织必须及时报告其财务状况的任何重大变化。虽然网络安全事件可以被视为萨班斯-奥克斯利法案（SOX）下的重大变化，但值得注意的是，美国证券交易委员会于2023年7月通过了新规定，使这些事件的报告要求更加严格SEC Cybersecurity Disclosure Enhancements | Protiviti United StatesSEC's cybersecurity amendments enhance transparency for public companies, focusing on incident impacts, risk management, and board oversight. Effective Dec 15, 2023.https://www.protiviti.com/us-en/flash-report/sec-cybersecurity-disclosure-enhancements-efforts-boost-investor-confidence 值得注意的是，组织必须在确定事件已经或可能产生重大影响后的四天内报告网络安全事件。如果第三方（如云服务）的事件可能对组织产生重大影响，公司必须报告这些事件。

2、实施适当的内部控制

公司实施萨班斯-奥克斯利法案（SOX）内部控制，以防止内部和外部行为者欺诈性地更改财务数据或将其用于非法目的。

萨班斯-奥克斯利法案（SOX）没有明确列出公司必须实施的所有控制措施。组织通常依赖于公司治理框架，如属于信息系统审计和控制协会的信息和相关技术控制目标框架。

特雷德韦委员会框架下的赞助组织委员会也很受欢迎。虽然这些框架不是专门为萨班斯-奥克斯利法案（SOX）开发的，但它们提出的控制方案通常符合萨班斯-奥克斯利法案（SOX）合规要求。

组织在业务流程和信息技术基础设施层面实施控制

1）业务流程控制

业务流程控制包括对员工进行萨班斯-奥克斯利法案（SOX）要求的培训，以及为举报人建立安全的报告渠道。

许多公司还采用了职责分离的原则，即工作流程分为多个部分，每个步骤由不同的员工负责。

这个想法是，没有一个员工可以控制整个工作流程，每个参与其中的人都是对其他人的监督。一个典型的例子是，批准付款的人与从公司账户中开具支票的人不同。

公司还可以创建存储和保存记录的流程，以符合萨班斯-奥克斯利法案（SOX）对文件保留的要求。例如，审计师需要将与审计相关的任何工作文件保存七年。

2）IT控制

随着企业网络变得越来越复杂，自动化对萨班斯-奥克斯利法案（SOX）合规工作变得越来越重要。根据甫瀚咨询的数据，平均每家公司有36个符合萨班斯-奥克斯利法案（SOX）要求的业务应用程序EMPOWERING THE PROGRESS OF SOX INNOVATION WITH ANALYTICS AND AUTOMATION | Protiviti United StatesKey takeaways and findings from a SOX Compliance Poll of Audit and Finance Executives and Professionalshttps://www.protiviti.com/us-en/whitepaper/empowering-sox-innovation IT安全控制可以帮助在所有这些应用程序中执行萨班斯-奥克斯利法案（SOX）规则。

一些组织使用专门的萨班斯-奥克斯利法案（SOX）合规软件来安全地存储与萨班斯-奥克斯利法案（SOX）相关的数据和文档，跟踪相关活动并标记内部控制中的差距。然而，公司也可以使用更通用的网络安全工具来实现萨班斯-奥克斯利法案（SOX）合规目的。

数据保护工具

如数据丢失防护（Data Loss Prevention）解决方案，可以跟踪敏感数据的存储位置、访问者以及他们对其的处理方式。一些DLP工具还可以阻止用户对财务数据进行未经授权的更改或将其移动到未经授权的位置。组织还可以使用自动备份，以便在数据被销毁或篡改时可以恢复。

身份和访问管理（（Identity and Access Management - IAM）

解决方案允许组织根据最小权限原则设置精细的访问控制策略。员工只被授予完成工作所需的最低权限。

IAM平台还可以简化变更管理，以便组织可以在人们加入公司、更改角色或离开时快速更新和删除访问权限。

公司可以使用安全信息和事件管理（security information and event management - SIEM）

该解决方案来监控网络活动，检测安全漏洞并更快地响应事件。SIEM解决方案还保留了安全日志，帮助组织在萨班斯-奥克斯利法案（SOX）审计期间证明合规性。

一些SIEM工具具有内置的萨班斯-奥克斯利法案（SOX）特定功能或与这些功能集成，使其能够自动记录相关信息并生成合规报告。

萨班斯-奥克斯利法案（SOX）的信息安全义务延伸到组织存储或处理财务信息的云数据中心。公司也需要考虑对这些数据源的控制。

3、通过定期审核

如上所述，首席执行官和首席财务官必须保证每份财务报告的准确性和内部控制的有效性。定期审计为高管们提供了做出这些声明所需的证据。

通过对财务报告实践和数据控制进行定期内部审计，公司可以随着时间的推移监控合规性，发现差距并弥补不足。

内部审计的结果也可以帮助执行年度萨班斯-奥克斯利法案（SOX）合规审计的外部审计师。在年度审计中，独立会计师事务所对内部控制和财务报告进行评估。审计结果通常包含在公司的年度美国证券交易委员会报告中。

过去，审计师必须报告他们是否认为管理层对内部控制的评估是准确的。当美国证券交易委员会于2007年通过第5号审计标准时，这一要求现在由于某些原因被取消了https://www.sec.gov/news/press/2007/2007-144.htmhttps://www.sec.gov/news/press/2007/2007-144.htm萨班斯-奥克斯利法案（SOX）并没有明确规定经理和会计师事务所应该如何进行审计。相反，美国证券交易委员会指出https://pcaobus.org/oversight/standards/archived-standards/pre-reorganized-auditing-standards-interpretations/details/Auditing_Standard_5https://pcaobus.org/oversight/standards/archived-standards/pre-reorganized-auditing-standards-interpretations/details/Auditing_Standard_5审计师和经理应使用自上而下的风险评估（TDRA）来确定其审计范围。TDRA确定了最有可能发生重大欺诈的账户、披露和其他领域，并侧重于评估应对这些风险的关键控制措施。

为什么萨班斯-奥克斯利法案（SOX）合规性很重要

符合萨班斯-奥克斯利法案（SOX）标准有好处。投资者可能对财务披露更有信心，因此更愿意投资于符合萨班斯-奥克斯利法案（SOX）标准的公司。萨班斯-奥克斯利法案（SOX）还通过让企业领导人对财务报表承担个人责任，减少了他们实施欺诈的动机。

萨班斯-奥克斯利法案（SOX）合规性可能有助于组织整体改善其网络安全状况。许多组织用于防止财务篡改的数据安全控制措施也可以打击网络攻击。例如，IAM解决方案有助于防止黑客进入用户帐户，而SIEM工具可以帮助更快地发现正在发生的安全事件。

不遵守萨班斯-奥克斯利法案（SOX）也可能导致组织和个人受到民事和刑事处罚。

对不准确的财务报告进行认证的高管可能会被处以高达100万美元的罚款和长达10年的监禁。故意证明误导性陈述的高管可能被处以最高500万美元的罚款和最高20年的监禁。

如果一个组织必须发布财务重述，高管们也可以收回与激励挂钩的薪酬。根据美国证券交易委员会2022年通过的规则SEC Adopts Compensation Clawback Rule with Requirements for Public CompaniesThe Securities and Exchange Commission (SEC) released a long-awaited final rule requiring public companies to have policies for recouping executive pay if financial restatements show relevant goals were not met.https://www.shrm.org/topics-tools/news/benefits-compensation/sec-adopts-compensation-clawback-rule-requirements-public-companies 高管甚至不需要犯有不当行为。只要重述显示激励相关目标未实现，就会自动触发追回。

萨班斯-奥克斯利法案（SOX）还规定，损坏、更改或以其他方式干扰财务记录是违法的。个人员工这样做可能面临最高20年的监禁。对举报人进行报复的公司官员将面临罚款和最高10年的监禁。

美国证券交易委员会可以禁止违反萨班斯-奥克斯利法案（SOX）规则的人担任公司高管、董事、经纪人、顾问和交易商。公司甚至可能因严重违规而从证券交易所退市。