Sarbanes-Oxley
Sarbanes-Oxley
Sarbanes-Oxley 法案,始創於 2002 年,由美國證券交易委員會 (SEC)提交,經美國總統小布希簽署,是即 Enron 公司和 WorldCom 公司曝出財務破產的醜聞之後的一部為消除企業欺詐和弊端的歷史性典型法規。
該法案主要是針對上市公司財務進行審計的,簡單的理解,就是,如果公司都不能保證自己的內部控制的可靠性(例如IT系統可能存在安全隱患等),那麼,公司所提供的財務報告就很難具備足夠的公信力。
此法案被認為是繼 1934 年的證券交易法之後對上市交易公司影響最為廣泛的法規。該法案要求組織機構使用文檔化的財務政策和流程來改善可審計性,並更快地拿出財務報告。而該法案中,以第404節條款的影響最大,第404節條款規定兩個必備的內容:一是公司管理層要對公司內控和財務會計報表的制定和編製的有效性、真實性負責,二是必須聘請外部審計師對公司內控和財務報表進行獨立審計並出具審計結果。SOX法案對IT服務的成本和質量提出了非常直接的挑戰。
為了重振投資者對上市公司財務報告的信心,Sarbanes-Oxley 要求公司的管理者對虛報財務數據承擔個人責任。如果公司管理者故意簽署了虛假的財務報表,則可能會受到最高達 100 萬美元的經濟處罰,並可能會被判處 10 年有期徒刑。儘管該法案已於2002年通過,但是隨著美國證券交易委員會 (SEC) 設定了一致性截止期限並公布了相關的要求和一致性規則,該法案將繼續擴展。根據AMR Research 公司的調查,大約有 85% 的上市公司計劃改變其 IT 系統,以作為遵守該法案的部分努力。 AMR 還做出估計,在 2003 年,企業在遵從 Sarbanes-Oxley 的工作中就需花費 25 億美元。
以安全為中心
Sarbanes-Oxley 最初用於解決諸如帳外交易(灰色交易)之類的特殊情況。當時,安全並不是首要考慮的問題。Sarbanes-Oxley 法包含這樣一項規定,即要求 CEO 和 CFO 必須證明其公司擁有適當的內部控制。法律專家指出,如果維護財務數據的體系確系不安全的系統,則高層管理人員很難擔保數據的有效性,也很難擔保其內部控制的可靠性。因此,內部控制已不再屬於“最佳實踐”的範疇,而轉移至法律需求的範疇。Sarbanes-Oxley 在許多重要的方面改變了財務信息的本質特徵。儘管人們對於審查一致性的審計員在安全方面的關注程度仍存在爭議,但是正如 Forrester Research 公司的 Mike Rasmussen 所說,“如果沒有適當的安全控制機能,高層管理人員實際上無法簽名證明財務報表的準確性”。
根據 AMR 對 60 家財富 1000 強公司的調查,大多數公司已實施Sarbanes-Oxley 第一批要求中提出的變更,現在開始進一步改進流程文檔。AMR 還發現,接受調查的公司已將 Sarbanes-Oxley 項目的範圍擴大到“包括流程和控制的記錄、設計和實施,遠遠超出了財務報告流程”。我們不難領會此舉的原因。
主要條款
使用什麼策略可以解決 Sarbanes-Oxley 法案的問題?我們來看一下 Sarbanes-Oxley 法案的主要條款以及為達到一致性而推薦的措施。
第 302 條。“公司對財務報表的責任”這一條從去年開始生效。該條款要求 CEO 和 CFO 親自確認公司的財務結果。第 302 條還簡要說明了如果高層管理人員在知情的情況下或故意發布虛假財務報表將受到何種刑事處罰。很顯然,大多數公司無需大幅度更改其基礎系統,便可與 SEC 法規的第 302 條保持一致。(但是,公司也開始意識到,他們並未完全實施一種足以展示其數據的準確性以及經受得住“應有努力(Due Diligence)”的考驗方法)。
第 404 條。正如許多評論人員所言,第 404 條“內部控制評估的管理”提出了最嚴峻的一致性挑戰。這一條款要求審計人員驗證公司用以報告財務結果的基本控制和流程。聲明包括對控制的評估以及對評估所用的框架的認證。正如 Gartner 所說,第 302 條要求財務報表必須完整並準確,而第 404 條則要求用於生成報表的流程必須準確並符合公認的行業標準。(Committee of Sponsoring Organizations of the Treadway Commission 標準就是一個例子,這一標準是在 20 世紀 80 年代的儲蓄和借貸危機后產生的。)第 404 條還要求每季度報告一次實際的流程變更。
按照最初的要求,企業需在今年秋季開始遵從第 404 條規定,但後來 SEC 准予延期。目前大型公司需要在 2004 年 6 月 15 日之前履行上述要求,而小型公司的最後期限為 2005 年 4 月 15 日。
第 409 條。“發布人實時披露信息”這一條款將帶來最大的一致性挑戰。這一條款要求對影響公司財務業績的重要事件進行實時報告。儘管 SEC 沒有對“實時”進行定義(也沒有設定遵從第 409 條的最後期限),但許多公司都將其理解為 48 小時。行業分析師指出,重要的系統集成以及實時通知和事件驅動警報的實施,都必需遵從第 409 條。
遵從之路
定義針對財務報表的內部控制是遵從 Sarbanes-Oxley 的基礎。有關專家認為,這些控制包括用以維護精確記錄的策略、確保正確記錄並報告交易的策略以及防止數據被非法使用的策略。好消息:這些控制類似於其它法規(如 GLBA 和 HIPAA)列出的用於防止數據被非法使用的控制。
許多公司正在尋找根據 ISO 17799 標準設定的風險評估框架。此標準將信息安全作為業務問題加以處理,並涵蓋以下主題:系統操作和維護、備份和恢復、文檔處理以及數據完整性。(有關 ISO 17799 的詳細信息,請單擊此處。)
最後,許多有助於確保良好企業管理的“最佳實踐”方法,都適用於 Sarbanes-Oxley,如基於策略的安全評估和管理程序包、託管安全服務、入侵防護產品,以及早期預警系統。
五個關鍵步驟
許多公司正在計劃或已經啟動了有關 Sarbanes-Oxley 遵從項目的工作。理想情況下,應該依次執行以下事件:
定義 – 該流程(建立遵從委員會之後)的第一步是進行審計,以確定哪些地方需要變更。(請注意,簽署公司財務報表的審計人員不能實施推薦的變更。)應當為具有適當流程和控制的公司確定預期的理想狀態以確保達到一致性的目標。Gartner 指出,CIO 應當廣泛參與審計過程,通常應作為遵從委員會的成員參與其中。
評估 – 審計完成以後,公司便可提出以下問題:我們與 Sarbanes-Oxley 要求相差多遠?通過“差距分析”可以得出完整的需求列表,以達到一致性目標。
修改和/或實施 – 必須主動升級與該法律不一致的系統和流程。這裡項目時間線十分重要。
衡量 – 實施了期望的一致性狀態之後,便需要在一段時間內,對所有流程的質量以及一致性控制要求的情況進行定期評估。
報告/傳達 – 完成了最終審計后,便需要將狀態通報給適當的管理層。