浅谈SOX法案与企业信息安全
SOX法案与信息安全建设
S X法案与信 息安全建 设的异 同点 O
点 如下 :
( )S X 1 O 法案 与信息安全建设不 同点
S OX法 案 与 信 息 安 全 建 没 的
以防范或 找出与重要账 户、交易种类 和披 露相关的错误或 舞 弊的 『部控制措施 ; ( 其他重要内控措施所依赖的内部_ ^ J 3) } 卒 制 ,包括一般性 控制 ,例如信息系统控 制 ; ( 非经 常 、 4)
( )重 网络轻应用 现在我们常见的信息安全项 日中以 4
一
.
S OX法案简介
网络 安全 为上 ,而对 麻 用层 的安 个卸 考虑得 不够 ;在 面对 S 0X法案检查的时候 ,住应用层和业务流 稗方面 的问题就暴
露得很 H ; 月
按照美国国会l 网站对s ox法案 的介绍 ,该法 案从 最初 j
就 ,需要不断地建设和 完善。但是住我 们的安全建设中 ,时
常 缺 乏 全 局 的 规 划 ,这 样 导 致 信 息 安 全 的 前 后 建 设 缺 乏 连 续
此前从未 经历过这样严厉 的 “ 规则 ”的考验 ,再大 的公 美I 刮一 旦走 出 门 ,就注定要面对这场艰巨的考验。
和延续性 ;
式,到现在的 “ 防” 模式 ,已经 E趋完善 ,但是还 临 很 预 j
计嗣枞 安茔 2 0 .2 0 61
维普资讯
3 )管理 制度的地 位相同 信息安全 界有 个非常重要的观
点 :安 伞 的 最 高 境 界 不 是 产 品 , 也 币 是 服 务 , 而 是 管理 。 没
( )信息安全只有投入没有产 出 对丁很多企业,信息 1
美国SOX法案对完善我国上市公司内部控制的启示
美国SOX法案对完善我国上市公司内部控制的启示【摘要】本文分析了美国SOX法案对完善我国上市公司内部控制的启示。
首先介绍了我国上市公司内部控制存在的问题,然后详细解析了美国SOX法案的内容和影响。
接着提出三点启示:一是强化内部控制意识,二是加强信息披露和透明度,三是建立独立监督机制。
最后总结指出加强内部控制建设的重要性,借鉴国外经验不断完善我国上市公司内部控制。
通过对SOX法案的研究和启示,可以帮助我国上市公司建立更加健全的内部控制制度,提升公司运营效率和规范性,保护股东和投资者的利益。
【关键词】美国SOX法案、内部控制、上市公司、信息披露、透明度、独立监督机制、内部控制意识、国外经验、完善、借鉴、监督机制、建设。
1. 引言1.1 背景介绍随着我国经济的快速发展和金融市场的不断壮大,上市公司成为了我国经济体系中的重要组成部分。
由于我国上市公司内部控制体系相对薄弱,内部管理机制不够规范,导致了一些上市公司存在财务造假、资产侵占、内幕交易等违法违规行为。
这不仅损害了投资者的利益,也破坏了市场秩序,影响了我国金融市场的健康发展。
在此背景下,美国于2002年通过了《萨班斯-奥克斯法案》(SOX 法案),这一法案对美国上市公司的内部控制提出了严格的规定和要求,旨在保护投资者利益,提升公司治理水平,增强市场透明度。
SOX法案的实施,极大地提高了美国上市公司的内部管理质量和透明度,有效防范了财务造假等风险事件的发生,为投资者提供了更加可靠的信息,增强了市场信心。
面对我国上市公司内部控制存在的问题,我们有必要深入学习借鉴美国SOX法案的经验,加强我国上市公司的内部控制建设,提升公司治理水平,保障投资者权益,推动金融市场健康持续发展。
2. 正文2.1 我国上市公司内部控制存在的问题1. 制度不健全:我国上市公司内部控制存在着许多制度不完善或者漏洞,例如缺乏有效的风险管理、内部审计和监督机制等,导致管理失控和风险无法有效控制。
sox法案与信息安全
3
© 2005 Aryasec Information Technology Limited
美国会计丑闻影响极其深远
世界通信公司会计造假案、安然事件、安达信解体和“9 .11事件”并称为美国金 融证券市场遭遇的“四大危机”; 危机导致投资人信心丧失,导致公共市场严重衰退,动摇了公众对会计师行业 的信心。危机引起的一系列“多米诺骨牌”效应不啻是对美国公司治理及证券业甚至 于世界证券业的一个打击; 在处理这些事件的过程中,法律的漏洞以及制度的缺陷显露无疑; 公共急切呼唤信任回归; 于是,美国证券交易委员会(SEC)协同美国国会展开行动,颁布新的法律。
20
© 2005 Aryasec Information Technology Limited
关于我们-安言咨询
21
© 2005 Aryasec Information Technology Limited
专业的信息安全培训和咨询服务提供者 资质深厚和经验丰富的咨询顾问队伍 善于将国际IT最佳实践引入客户实际的运营环境 面向企业客户,从业务出发,诊断并解决IT问题 能为客户提供量身定做的专业培训 是BS7799认证咨询服务最早的倡导者和最佳的实践者
7
© 2005 Aryasec Information Technology Limited
SOX在中国
8
© 2005 Aryasec Information Technology Limited
议题 议题
• 背景介绍 • SOX法案简介 • SOX法案与信息安全 • 借助BS7799来符合安全需求 • 小结
SOX引发了信息安全的直接需求
法律法规的强 制要求
组织原则目 标和规定
风险评估的 结果
课题研究论文:美国SOX法案对完善我国上市公司内部控制的启示
144533 公司研究论文美国SOX法案对完善我国上市公司内部控制的启示1引言目前,证券市场的诚信文化已成为一个地区或国家最具有国际竞争实力的重要指标之一。
美国“萨班斯法案”(SOX法案)的出台无疑是监管机构挥出的一记重拳和最严厉的监督法律,法案要求所有美国上市公司必须建立和完善内控体系,并对公司管理层提出了明确的责任要求。
法案中最难操作、成本最高的是对公司治理和完善内部控制的全面要求,其核心是促进企业完善内部控制,提高公众披露信息的质量和透明度,以建立、完善并有效运行内部控制和风险管理机制,实现公司运营过程的全方位风险管理。
此法案为全球其他地区的证券监管机构提供了借鉴和参考模式。
2007年以来,国资委、上交所、深交所等纷纷发布指引性文件或征求意见稿,要求中国企业加强内控。
中国在美上市电信企业利用执行SOX法案的契机,建设与实施内部监控系统,提升公司整体管理水平,同时也为国内上市公司完善内部控制提供了借鉴。
2SOX法案概述2.1SOX法案的出台背景随着2001年美国最大天然气采购及出售商--安然公司财务造假案的曝光,拉开了美国大公司财务造假丑闻的序幕。
此后相继暴露出多家大公司财务造假,从企业规模来看,既有声名显赫的巨型公司,如全球通讯公司、世界通讯公司、施乐公司,也有小公司如泰科公司等。
此次“美国公司假账丑闻浪潮”经新闻媒体渲染引发了整个社会对美国公司的信任危机,造成美国股票市场持续下跌,延缓了美国经济的复苏步伐,从而也打击了投资者对美国资本市场的信心。
为整顿上市公司秩序、重建投资者信心、提高投资者所依赖的财务报告的信息质量,美国参议员萨班斯(Sarbanes)和众议员奥克斯利(Oxley)联合提出了《萨班斯-奥克斯利法案》,简称“SOX法案”,该法案最初于2002年2月14日提交给国会众议院金融服务委员会,经过多次听证、修订,该修正稿以高票分别在参众两院通过,2002年7月正式获得通过成为美国的一项法律。
SO 法案与信息安全
Electronic Commerce
6
电子商务 第17讲 附件
背景资料
SOX法案主要解决什么问题?
再建立上市公司高管人员责任追究机制 ; 强化内外制衡 ; 加强内部独立监督能力 ; 杜绝注册会计师利益瓜葛 ; 会计师行业由自律改为监管 ; 确保证券分析师的客观性和独立性 ; 加强刑事处罚。
美国总统布什在签署“SOX法案”的新闻发布会上称“这 是自罗斯福总统以来美国商业界影响最为深远的改革法案”。
Electronic Commerce
4
电子商务 第17讲 附件
背景资料
SOX法案的由来:
2001年底美国安然公司在一片哗然中轰然倒台,由此引发 的“安然事件”至今令许多人记忆犹新。此后,公司丑闻不 断,规模也“屡创新高”,特别是次年6月的世界通信会计 丑闻事件,更是雪上加霜,彻底打击了美国投资者对美国资 本市场的信心。这一系列丑闻事件的爆发不仅招致包括安达 信等五大会计师事务所在投资者中的“诚信危机”,更引发 了世界各国对公司治理模式的新一轮思考。
电子商务 第17讲 附件
电子商务
Electronic Commerce
Electronic Commerce
1
电子商务 第17讲 附件
第17讲(附件)
SOX法案与信息安全
Electronic Commerce
2
电子商务 第17讲 附件
内容提要
SOX法案背景 SOX法案涉及信息安全的主要内容 针对SOX法案的信息安全方案 SOX法案对信息安全行业的影响
Electronic Commerce
9
电子商务 第17讲 附件
SOX法案与信息安全
SOX法案对信息系统控制的要求主要包括:
《sox法案》对我国银行完善公司治理结构的启示
《sox法案》对我国银行完善公司治理结构的启示《SOX法案》是美国国会通过的一部法律,旨在保护投资者免受企业管理不善、财务舞弊等行为的伤害。
该法案明确了公司治理的职责和义务,并对上市公司的内部控制和审计进行了严格的规定,促进了公司治理结构的完善。
对于我国银行而言,可以从《SOX法案》中得到以下启示:
1. 建立健全内部控制制度。
《SOX法案》要求上市公司建立健全内部控制制度并公布相关信息,这也是我国银行应该积极践行的。
银行应该建立健全风险管理和内部控制制度,规范经营行为,防范经营风险。
2. 加强财务报告的透明度。
《SOX法案》要求上市公司提高财务报告的透明度,这对于银行来说也同样重要。
银行应该公开自己的财务报告,提高信息披露的透明度,让客户和投资者了解银行的真实情况。
3. 提高内部审计的独立性和有效性。
《SOX法案》要求上市公司加强内部审计的独立性和有效性,这也是银行需要关注的问题。
银行应该建立独立的内部审计机构,加强对各项业务的审计监督,确保业务合规。
总之,《SOX法案》为我们提供了一个完善公司治理结构的模板和借鉴,对于我国银行而言,要积极学习和借鉴,加强自身的治理结构建设。
美国SOX法案对完善我国上市公司内部控制的启示论文
美国SOX法案对完善我国上市公司内部控制的启示论文美国SOX法案是美国历史上一项重要的改革性法案,也被认为是全球公司治理领域的一个里程碑。
该法案于2002年通过,是对上世纪90年代晚期发生的一系列严重的财务丑闻(如安然、恩达尔和世达等公司的丑闻)做出的回应。
这些丑闻暴露了美国公司内部控制和财务报告的严重问题,严重损害了投资者信心和金融市场的稳定。
SOX法案强制性地要求上市公司加强内部控制并进行更严格的财务报告,以增强透明度、防止错误和欺诈。
美国SOX法案对我国上市公司内部控制的完善具有重要的启示意义。
以下是几点参考:首先,SOX法案明确要求上市公司董事会成员的独立性和责任。
根据该法案,公众公司必须至少有一个独立的董事会成员,并设立审计委员会和董事会以监督公司内部控制和财务报告。
这种做法突出了董事会的独立性和专业性,对我国上市公司的治理结构提出了重要启示。
我国应通过增加独立董事的比例,加强董事会独立性,并在公司法律法规中明确规定董事会的职责和责任,以保证公司的合规运营。
其次,SOX法案要求上市公司建立和维护内部控制制度。
该法案明确规定了财务报告和内部控制的要求,并要求公司进行正确的财务报告和合规公告。
这一规定促使上市公司加强与会计准则和会计信息系统的合规性,并设立独立审计委员会来审查财务报告和内部控制。
我国上市公司应向SOX的要求看齐,加强内部控制制度的建设和监测,提高财务报告的透明度和可靠性,增强投资者对公司信息的信任。
此外,SOX法案还规定了公司内部控制的评估和审计要求。
公司必须对其内部控制的有效性进行评估,并将其评估结果报告给美国证券交易委员会。
审计师需要对公司的内部控制进行独立审计,以验证公司对内部控制有效性的评估。
这一规定使得上市公司的内部控制具有一定的可靠性和可验证性,为公司的持续经营和风险管理提供了指导和保障。
我国上市公司可以参考SOX法案的要求,建立和完善内部控制评估和审计制度,提高内部控制的有效性和可靠性,降低公司经营风险。
sox法案主要内容和意义
sox法案主要内容和意义
SOX法案,全名为萨班斯-奥克斯法案(Sarbanes-Oxley Act),是美国在2002年通过的一项法案,旨在加强对公共公司的会
计准则和公司治理的监管。
以下是SOX法案的主要内容和意义:
1. 会计准则和报告要求:SOX法案要求公共公司的财务报表
必须准确、透明,并且以合理的方式反映公司的财务状况和业绩。
它还规定了公司与审计师之间的独立性要求,并对审计报告的格式和内容提出了严格的要求。
2. 内部控制要求:法案要求公司建立有效的内部控制制度,以确保资产安全、财务准确性和信息保密性。
公司必须对内部控制进行评估,并公开披露评估结果。
3. 独立董事和审计委员会:SOX法案要求公共公司建立独立
董事和独立审计委员会,以监督公司的财务报告和内部控制。
这样做可以减少公司高管的权力集中,增加公司治理的透明度和负责性。
4. 公司管理和法律责任:法案加强了公司管理层和高管的法律责任。
违反法案规定的公司管理层和高管可能面临严厉的刑事和民事指控,包括重罚款和监禁。
5. 金融服务机构监管:SOX法案还加强了对金融服务机构的
监管,要求它们建立、实施和执行合规控制措施,以防止非法、欺诈性或不道德的行为。
SOX法案的意义在于提高了公共公司的财务报告的准确性和可靠性,加强了公司内部控制的建立和执行,并增加了公司治理的透明度。
它有助于保护投资者的利益,增强了市场的信心和稳定性。
此外,SOX法案还提高了公司管理层和高管的道德和法律责任意识,减少了公司金融丑闻和财务欺诈的发生。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全专业服务部-技术研究部
目录
一、SOX法案产生的背景 二、SOX法案的目标 三、《萨班斯—奥克斯利法案》的组件 四、《萨班斯—奥克斯利法案》对企业不同部门的影响 五、《萨班斯—奥克斯利法案》对IT的影响 六、建议企业信息系统的安全技术采纳的原则 七、《萨班斯—奥克斯利法案》相关的安全技术 八、遵从《SOX法案》404条款的十大难题 九、用IT系统化解访问控制难题 十、《SOX法案》合规的身份识别及访问管理系统
Page 9
内部控制的定义
什么是内部控制(internal control,IC)
– 内控被广泛定义为一种过程(process),被 企业董事会、高管及其他人员所实施,用来提 供对下列目标达成的合理的保证
• 运营的效力(effectiveness)和效率(efficiency) ; • 财务报告的可靠性(reliability); • 对法律法规的符合性(compliance)
Page 11
构建符合SOX法案的内控框架
COSO只提供了一般性的指南,并没有就SOX合规性审计的具体操作和评价指标做 出强制统一规定,更没有特别针对IT风险管理和控制,因此,具体IT活动的实施还 需要其他的补充标准作为指导 第三方咨询公司都建议企业利用Cobit治理框架制定IT管控目标,并实施ITIL/IT服务 管理流程提高IT管理能力和IT服务水平,在满足SOX合规要求的同时,提高IT部门 工作效力和客户满意度。 – Cobit - Control Objectives for Information and related Technology • 是一套将IT与业务需求联系在一起的IT过程及控制框架 – ISO/IEC27001:2005 / BS7799 • 是实施信息安全管理的一套最佳实践 – ITIL -IT Infrastructure Library • 是一套IT服务管理的最佳实践
• • • 经营效率与效果(Operational efficiency and effectiveness) 财务报告可靠(Financial reporting reliability) 合规性(Compliance with laws and regulations
– 五项要素:
• • • • • 控制环境(Control environment) 风险评估(Riskassessment) 控制活动(Control activities) 信息与沟通(Information&Communication ) 监控(Monitoring)
Page 8 公司层面的控制措施。
Sarbanes-Oxley 中与安全最相关的是什么?
SOX法案将对财务报告的内部控制作为关注的具体内容。要求高管报告公 司对财务报告的内部控制,并要求独立审计师证实管理层报告的准确性; 什么是内部控制(internal control,IC) ?
Page 2
一、SOX法案产生的背景
2002年12月2日安然公司承认会计错误和非正常会计处置(导 致安然公司自1994年以来收入激增6亿美元的原因)后不到一 个月,安然公司申请破产保护。安然公司资产额为628亿美元 ,这是当时美国历史上最大的破产案。 安然事件不久后,世通公司被410亿美元债务和不久批露的关 于其隐藏39亿美元费用的丑闻拖垮,世通公司也申请了破产保 护,其资产额为1070亿美元。就这样世通公司取代安然成为美 国历史上最大的破产案。 安然和世通公司的破产,使人们震惊于上市公司财务与信息系 统的漏洞,改变了投资者和广大公众一直以来对会计和财务报 告自律措施的信赖。 2002年7月30日,美国总统布什签署了《萨班斯—奥克斯利法 案》
Page 6
条款 101-109 201-209 301-309 401-409 501 601-604 701-705 801-807 901-906 1001 1101-1107
三、《萨班斯—奥克斯利法案》的组件
法案的关键组件: 301条款到308条款涉及公司责任,401条款到 409条款涉及强化财务信息批露,这两部分内 容是最具强制执行性质的内容,同时也是备受 关注和广为分析的内容。302条款论述信息批 露控制和程序,404条款论述内部控制和程序 ,这两个条款相关性最大,也得到人们的最广 泛研读。
•
Page 14
四、《萨班斯—奥克斯利法案》对企业不同部门的影响
很明显SOX法案的目标对象主要为财务系统,是一个会计改革 法案,但该法案的出台会对企业的各个部门产生巨大的影响, 如图所示,。 SOX法案对不同 部 门的影响程度可以 看出,实际上企业 财务系统的准确性 和可靠性最终取决 于企业的IT支撑系 统,所以整个萨班 斯法案符合性最终 落地必然是在企业 的IT支撑系统的安 全,必须要求加强 企业的内部控制 Page 15
Page 13
Cobit34个高层控制目标
计划和组织 – 1 定义战略性的信息技术规划(PO1) – 2 定义信息体系结构(PO2) – 3 决定技术方向(PO3) – 4 定义信息技术的组织机构及关系(PO4) – 5 管理信息技术投资(PO5) – 6 沟通管理层的目标和方向(PO6) – 7 管理人力资源(PO7) – 8 确保遵从外部要求(PO8) – 9 评估风险(PO9) – 10 管理项目(PO10) – 11 管理质量(PO11) 采购和实施 – 1 确定自动化的解决方案(AI1) – 2 采购和维护应用软件(AI2) – 3 采购和维护技术基础设施(AI3) – 4 开发和维护程序(AI4) – 5 系统的安装和鉴定(AI5) – 6 管理变更(AI6) • 交付和支持 – 1 定义和管理服务水平(DS1) – 2 管理第三方服务(DS2) – 3 管理性能和容量(DS3) – 4 确保持续的服务(DS4) – 5 确保系统安全(DS5) – 6 确认和分配成本(DS6) – 7 教育与培训用户(DS7) – 8 帮助及向客户提建议(DS8) – 9 管理配置(DS9) – 10 管理问题和事件(DS10) – 11 管理数据(DS11) – 12 管理设施(DS12) – 13 管理操作(DS13) 监控 – 1 监控处理过程(M1) – 2 评估内部控制的适当性(M2) – 3 获得独立的保证(M3) – 4 提供独立的审计(M4)
– 包括IT一般控制和应用控制:
• IT general controls针对基本的计算基础设施,包括 物理和逻辑网络安全、DB管理、灾难恢复等
Page 10
• Application controls针对支持财务报告的特定应用
COSO的核心内容
内部控制是为达到目标提供合理保证而设 计的过程: – 三类目标:
Page 12
Cobit简介
Cobit是由ISACA(InformationSystems Audit and ControlAssociation)在1996年公布的、目前在国际上公认 的最先进、最权威的安全与信息技术管理和控制标准。 Cobit是一套专供企业经营者、使用者、IT专家、审计员与 安控人员来强化和评估IT管理和控制的规范。 Cobit架构的主要目的是为业界提供关于IT控制的一个清楚 的政策和发展的良好的典范,这个架构定义了34个高级IT控 制目标和318个详细控制目标。,分成4个领域:PO( Planning &Organization)、AI( Acquisition&Implementation)、DS(Delivery andSupport )、和Monitoring,所有的程序中提供了最佳的施行指导。 Cobit 涉及的方面很广,但在萨班斯法案要求下,我们只考 虑应用Cobit中与财务报告相关的控制。
PagБайду номын сангаас 4
二、SOX法案的目标
萨班斯法案的第一句话是:“遵守证券法律以提高公司披露
的准确性和可靠性,从而保护投资者及其他目的。”
这句话较好地阐述了萨班斯法案的基本目标。 萨班斯法案是一部涉及会计职业监管、公司治理、证券市场监管等方面改 革的重要法律。由于该法案在颁布时没有提出具体的适用豁免条件,这就 意味着目前所有在美国上市的公司,包括在美国注册的上市公司和在外国 注册而于美国上市的公司,都必须遵守该法案萨班斯法案 为公众公司的外部审计师创建了一个新的监督体制,并把对财务报告的内 部控制作为关注的具体内容,不仅要求管理层报告公司对财务报告的内部 控制,而且要求外部审计师证实管理层报告的准确性。 美国企业界普遍认为,《萨班斯法案》是自20世纪30年代通过证券法案以 来,对美国商界和会计界影响最为巨大的一次立法。《萨班斯法案》完善 了现行美国法规在处理虚假财务报表、虚假财务审计、销毁财务证据等方 面的漏洞。
SOX法案内容繁博,我们无法详细论及每条法规,但是,有一 些重要的法规执行了SOX法案中的关键条款,我们可以了解以 下一些内容(点击打开):
Page 7
三、《萨班斯—奥克斯利法案》的组件
404条款:内部控制。
404条款要求进行评价的内部控制包括针对与会计报表中所有重要科 目和信息披露相关的所有会计认定所实施的内部控制,包括: 在财务报告中主要交易是如何启动、授权、记录、处理和报告的; 用以防范或找出与重要账户、交易种类和披露相关的错误或舞弊的 内部控制措施; 其它重要内控措施所依赖的内部控制,包括一般性控制,例如信息 系统控制; 非经常性、非系统交易或财务估计的内控措施; 财务报表关账和汇总过程中的内控措施; 资产保护的控制措施;
Page 5
三、《萨班斯—奥克斯利法案》的组件
组件 标题一:公众公司会计监督 标题二:审计师独立性 标题三:公司责任 标题四:强化财务信息批露 标题五:分析师利益冲突 标题六:委员会的资源和权威 标题七:研究和报告 标题八:公司和刑事欺诈责任 标题九:加重白领犯罪处罚 标题十:公司纳税申请表 标题十一:公司欺诈和责任