一、SOX
2001年,由于安然、世通事件,美国500强中的前几名公司一下子轰然倒塌,这使得全球的投资者对美国的资本市场都产生了怀疑,在这种情况下,美国以最快的速度、最坚定的决心,开始实施《公众公司会计改革和投资者保护法》(以下简称《萨班斯法案》),因此,有人将实施《萨班斯法案》称作美国国家的救亡运动。
在美国这样靠资本市场输血来维持和发展经济的国家,财务做假、内控不严格相当严重,直接的影响就是使全球的投资者对美国资本市场失去信心,因此,美国出台《萨班斯法案》,以一部法案将公司治理的风险转嫁到上市公司的执行经理人身上,主要是公司的CEO、CFO,还有外部的中介机构、会计师、律师等。可以说这是美国政府的无奈之举。
7月15日,在美国上市的中国公司开始实施《萨班斯法案》,包括中国的四大基础电信运营商在内的几十家中国公司面对内控方面的巨大挑战。
“实际上,普华永道、毕马威、德勤、安永四大会计师事务所从两年前就各自成立了帮助企业实施《萨班斯法案》的相关部门”,供职于四大会计师事务所的一位内部人士说。
何谓《萨班斯—奥克斯利法案》
简单地讲,萨班斯法案是一部由美国颁布,涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律,包括在美国注册上市公司和在外国注册而于美国上市的公司,都必须遵守该法案。
《萨班斯—奥克斯利法案》的主要要求
法案共分为11个部分,由若干个独立的章节组成。该法案主要强化了上市公司财务信息批露义务,加大了公司的财务报告责任;要求公司进行管理体制的改革,建立有效的内部控制体系;加重了违法行为的处罚措施,明确严重的违法所适用的刑法;强调并加强了审计委员会的角色和独立性;提出了更多的关于审计师独立性的约束。其中对有限公司有重大影响的主要是第302节、第906节和第404节。
1) 第302节
要求公司的CEO和CFO在财务报告上签字,保证财务报告不存在重大错报、漏报,在所有重大方面公允地反映公司在该报告期末的财务状况及该报告期内的经营成果。同时要求CEO、CFO对相关批露的内部控制有效性进行评价。
2) 第906节
明确规定上市公司管理层对舞弊和欺诈负有刑事责任。
3) 第404节
404节核心内容是严格界定了上市公司管理层对公司内部控制需承担的责任和义务。
a) 公司的年报中增加管理层关于公司内部控制情况的报告。该报告包括:明确阐明公司管理层有责任建立和保持一套完整的与财务报告相关的内部控制系统和程序;管理层应对财务年度期末与公司财务报告相关的内部控制系统及程序的有效性做出评价。公司全体管理层对报告负责。
b) 公司外部审计师对管理层的内控报告出具鉴证报告。
萨班斯法案被认为是美国自20世纪30年代颁布财务规则以来,最为严厉和企业必须遵守的财务法则。萨班斯法案来了,中国企业如何应对?
对于在美上市的中国企业来说,一场残酷的萨式考验正在逼近。该法案中的404条款,是萨班斯法案中最难操作、最复杂、耗费成本最高的一个条款。条款规定,在美上市企业,要建立内部控制体系,其中包括控制环境、风险评估、控制活动、信息沟通以及监督5个部分。内部控制活动的记录不仅要细化到像产品付款时间这样的细节,而且对重大缺陷都要予以披露。
为应对第404条款的要求,首先需要开展与财务报表相关的公司内部控制项目。
由于财务报告及其相关的内部控制流程都依赖信息技术的重要支撑,因此需要加强相关的信息技术控制,以满足第404条款的要求。特别是在业务流程高度依赖IT系统支撑的电信与金融行业,重视信息技术控制、完善信息技术控制对满足监管机构要求和企业自身发展都至关重要。
要在短时间内满足审计要求,对企业而言是极大的挑战。在开展404合规性项目的实际过程中,也暴露出许多国内企业共性的一些问题:
一是普遍缺乏对信息系统从招投标建设到上线实施再到验收之后的运行维护的一整套成体系的IT管理制度。
二是员工的工作习惯问题。由于普遍具有的国有背景的特点,长期以来养成的工作习惯无法符合第404条款或是现代企业管理制度的要求。如有些系统维护人员在进行系统检查时发现了问题,随即进行排查和解决,却未留下任何的检修记录;如根据领导一个电话就为某位员工开通某个系统权限等。而《萨班斯法案》要求所有的操作都遵循一定控制要求来执行,所有的工作必须责任到人,对重要工作要留下相应的痕迹。
三是系统普遍未达到第404条款的要求。出于对财务报表相关的披露信息的关注和重视,第404条款要求企业通过公司层面的监督、信息与沟通、控制活动、风险评估和控制环境控制,以及信息技术一般性控制层面和业务应用层面的控制来确保构成财务报表的信息系统源数据以及计算逻辑准确和完整。而国内企业的系统和流程都存在着不少的问题,比如系统的密码策略没有固化、数据的备份策略不完整等。
二、审计与SOX
根据辞海的解释,“审计”二字的含义为审核、审查,其原始意义为“查帐”。而在现代,则赋予它对某行业审核、审查,并起到一定监督保障的作用。
来自网络的安全威胁日益增多,很多威胁并不是以网络入侵的形式进行的,这些威胁事件多数是来自于内部合法用户的误操作或恶意操作,仅靠系统自身的日志功能并不能满足对这些网络安全事件的审计要求。网络安全审计主要用于网络安全事件的事后查询和取证工作。
那么,SOX与审计有什么样的密切关系?图1很好地说明了SOX要求下,内部控制体系与审计的关系:
 |
| 共2页: 1 [2] 下一页 | ||
|
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SOA 面向服务架构 · SQL Server 2008/2005.. · Apache技术专题 · 三层交换技术专题 · SQL Server入门到精通 · Windows远程桌面应用 · C#技术开发指南 · Apache技术专题 |
· Windows集群服务应用 · C#技术开发指南 · 国际文档格式标准开战 · 路由器设置与口令恢复 · Linux 集群技术专题 · PHP开发应用手册 · SOA 面向服务架构 · 企业数据恢复指南 |
|||
|
||||
| · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · Apache技术专题 · C#技术开发指南 · 三层交换技术专题 · Apache技术专题 · C#技术开发指南 |
· Windows远程桌面应用 · 企业数据恢复指南 · Windows集群服务应用 · 路由器设置与口令恢复 · Linux 集群技术专题 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · 反垃圾邮件技术应用 |
|||
