立足萨班斯(SOX)法案的系列安全解决方案.

立足萨班斯(SOX)法案的系列安全解决方案

萨班斯(SOX)法案内控审计要求的出台，提升了IT控制在企业内部控制中的重要性，对电信运营商IT设施的安全性提出了更高的要求，如何改进IT控制和完善IT治理，是电信运营商的CIO们面临的新挑战。

针对电信运营商SOX内控的系列安全解决方案孕育而生，国内信息安全厂商启明星辰从宏观到微观，包括ISO27001安全认证咨询服务解决方案、安全域解决方案、4A(账号、认证、授权、审计)统一安全管理平台解决方案、以及面向业务保障的安全服务体系解决方案。

一、ISO27001安全认证咨询服务解决方案

近年来，国家出台了一系列信息安全的法律法规，信息产业部已将安全与业务准入挂钩，与此同时，海外政府、资本市场提出的新监管要求(如：SOX法案)的强制执行都要求运营商进一步遵守安全内控要求。

放眼电信市场，各大运营商的“转型”都在寻找新的蓝海，IT与电信迅速融为一体成为ICT，而IT为传统通信产业注入无限活力的同时，也引发了大量安全问题，能否解决这些安全问题，已成为运营商与竞争对手拉开差距的关键，并已成为新的业务增长点。

在此背景下，各大运营商需要建立完善的信息安全管理体系(ISMS)，通过国际权威机构的安全认证，并不断巩固完善，旨在赢得国内外客户的信任与国际资本市场的青睐，为企业的持续健康发展保驾护航。

相关国际标准与法案

作为建立信息安全管理体系(ISMS)的重要规范，BS7799标准被ISO组织采纳后，衍生为ISO 17799《信息安全管理实施细则》和ISO 27001《信息安全管理体系规范》。ISO 17799是建立并实施信息安全管理体系的指导性标准，ISO 27001是对信息安全管理体系进行审核的依据性标准。获得ISO 27001认证是企业拥有完善的信息安全管理体系的象征。

萨班斯(SOX)法案是另一部更加具有国际性影响的规章，始创于2002 年，由美国证券交易委员会(SEC)提交，是一部旨在消除企业财务欺诈行为和弊端的历史性法案，它要求在美国上市的所有企业必须通过该法案审核。

ISO 17799/27001与定义信息治理过程的COBIT标准和COSO框架共同健全了萨班斯法案中与安全和内控审计相关的404条款。

安全认证、咨询服务解决方案

启明星辰公司积极参照ISO 17799/27001和COBIT为客户提供安全认证、咨询服务，最终达到符合SOX法案的要求。同时我们也意识到，安全认证的真正目的不仅仅是为了获得证书，更重要的是建立切实的网络和业务安全体系，帮助运营商争取更多的用户，特别是高端的国际型用户与投资，在此基础上，将SOX内控审计落实到具体的运营工作中、塑造卓越的运维队伍、驱动更大的经济效益。

应该看到，安全管理具有宏观、中观和微观三重层次，ISO 27001在宏观安全管理体系规划方面有很好的定义，但中观调整、特别是微观实现方面实际上是留待各实施机构根据各自情况自行解决，换句话说，ISO 27001偏重从宏观角度提供理论指导。执行ISO 27001、符合ISO 27001，必须结合运营商的主业、从中观和微观角度加以落实。

启明星辰公司为运营商提供立体的ISO 27001防御体系，涉及宏观规划和监控、中观整合加固、微观技术实现，每个层面上又纵深提供评估服务、应急服务、技术培训和技术支撑，真正做到将ISO 27001认证落实到安全运维人员每天可执行的技术、工具、平台、流程、规章等各个层次。

收益

启明星辰公司承诺所提供的安全认证、咨询服务针对运营商的不同系统量体裁衣，协助运营商除获得认证证书之外，落实并巩固安全认证成果，包括：

制定切实可操作的安全规范与安全策略;

实施网络安全优化方案;

对系统进行深层次的安全评估并提交安全加固建议;

提供电信级应急响应服务;

提供专业的安全管理和安全技术培训;

实施全面的安全监控

二、安全域解决方案

划分安全域的原则

安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。启明星辰公司采用“同构性简化”的安全域划分方法，将复杂的大网络进行简化后设计防护体系，以便进行有效的安全管理。

启明星辰公司安全域划分遵循以下原则：

1、业务保障原则;

2、结构简化原则;

3、立体协防原则。

以某运营商系统为例，我们通过对该系统进行数据流分析、网络结构分析，结合考虑现有的安全隐患，从资产价值、脆弱性、安全隐患三者间的关系出发，得到了整体的安全防护体系和各个业务系统自身的安全防护体系，为进一步管理整合后的安全域做好了准备。

基于安全域划分的最佳实践，该运营商的各个系统被分别划入不同的安全域，再根据每个安全域内部的特定安全需求进一步划分安全子域，包括：核心交换区、核心生产区、日常办公区、接口区、安全管理区、内部系统接入区、外部系统接入区。如下图所示：

安全加固

在划分安全域之后，我们对不同安全域内的关键设备进行安全加固，依据是：各安全域内部的设备由于不同的互联需求，面临的威胁也不同，因此其安全需求也存在很大差异。

1、生产服务器：一般都是UNIX平台，资产价值最高，不直接连接外部网络，主要的安全需求是访问控制、账号口令、权限管理和补丁管理;

2、维护终端：一般都是WINDOWS平台，维护管理人员可以直接操作，其用户接入的方式也不尽相同(本地维护终端、远程维护终端)，面临着病毒扩散、漏洞补丁、误操作、越权和滥用等威胁，其安全需求是安全策略的集中管理、病毒检测(固定终端)、漏洞补丁等;

3、第三方：对业务系统的软、硬件进行远程维护或现场维护，其操作很难控制，面临着病毒、漏洞、攻击、越权或滥用、泄密等威胁，安全需求主要是接入控制，包括IP/MAC

地址绑定、帐号口令、访问控制，以及在线杀毒、防毒墙、应用层的帐号口令管理、补丁管理等;

4、合作伙伴：涉及到与其他系统的连接，面临着病毒、漏洞、入侵等威胁，安全需求是病毒防护、入侵检测、漏洞补丁等。

5、互联网：面临着黑客入侵、病毒扩散等威胁，主要的安全需求是入侵检测、病毒防护、数据过滤等。

安全域与安全策略的结合

在划分安全域、进行安全加固的基础上，还需要对网络边界和重点区域采取特定的安全措施。

? 边界安全

对于任何安全域的保护，边界安全是最低的保护措施，通过对边界的控制能够保护安全域不受到来自其它区域的安全威胁。在上面的图例中，我们采用了以下技术：边界隔离、认证、监视、审计。具体的产品实现包括：MPLS VPN、VPN Lite、防火墙、接口主机、交换机VLAN、PVLAN、ACL等。

? 区域安全

区域安全是通过在安全域内部设置监视、测量、清理、审计等技术手段，实现安全域内安全事件的及时响应和清除。安全域的区域安全以安全状况的监控为主，对于本安全域内部的安全事件及时响应和清除，是安全域的核心安全处置手段。具体采用的技术和产品包括：入侵检测、安全审计、漏洞扫描、病毒防护、访问控制、帐号管理、补丁管理、流量监控等。

实现效益

通过划分安全域实现等级保护，启明星辰公司把电信运营商复杂的安全问题化解成小区域的安全保护问题，从而在全网范围内实现大规模的等级保护。该方案不仅仅是从网络系统、技术层面和单一安全设备来看待问题，更是从网络建设的整体规划出发，全盘考虑，帮助电信运营商从根本上解决安全问题。

从SOX内控审计的角度，安全域解决方案也将发挥其潜在的巨大优势，帮助电信运营商在SOX内控审计的过程中化繁为简，快速达到安全指标要求，与国际接轨，为企业带来更大的市场和经济效益。

三、4A统一安全管理平台解决方案

4A统一安全管理平台解决方案结合了启明星辰天玥业务审计产品的优势，引入了SafeWord产品系列中的3A组件。4A包括统一用户账号(Account)管理、统一认证(Authentication) 管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。

融合后的解决方案将涵盖单点登录(SSO)等安全功能，既能够为客户提供功能完善的、高安全级别的4A管理，也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。

为什么需要4A统一安全管理平台解决方案

随着各大电信运营商的业务网发展，其内部用户数量持续增加，网络规模迅速扩大，安全问题不断出现。而每个业务网系统分别维护一套用户信息数据，管理本系统内的账号和口令，孤立地的以日志形式审计操作者在系统内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求，及与国际业务接轨的需求。问题主要表现在以下几方面：

1. 大量的网络设备、主机系统和应用系统分属不同的部门或业务系统，认证、授权和审计方式没有统一，当需要同时对多个系统进行操作时，工作复杂度成倍增加;

2. 一些设备和业务系统由厂商代维，因缺乏统一监管，安全状况不得而知;

3. 各系统分别管理所属的系统资源，为本系统的用户分配访问权限，缺乏统一的访问控制平台，随着用户数增加，权限管理愈发复杂，系统安全难以得到充分保障;

4. 个别账号多人共用，扩散范围难以控制，发生安全事故时更难以确定实际使用者;

5. 随着系统增多，用户经常需要在各系统间切换，而每次切换都需要输入该系统的用户名和口令，为不影响工作效率，用户往往会采用简单口令或将多个系统的口令设置成相同的，造成对系统安全性的危害;

6. 对各个系统缺乏集中统一的访问审计，无法进行综合分析，因此不能及时发现入侵行为。

综上，由于缺乏统一的4A管理平台，在系统管理人员工作负担加重的同时，因各业务系统安全策略不一致，实质上也大大降低了业务系统的安全系数。

4A统一安全管理平台解决方案

采用启明星辰4A统一安全管理平台解决方案能够解决运营商当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。该解决方案由5个子系统组成：统一的4A管理平台、统一的认证授权子系统、统一的账号管理子系统、统一的日志审计子系统、网络行为审计子系统，它们之间的协作关系如下图所示：

统一4A管理平台向其它四个子系统传递配置参数，包括认证参数、账号参数、审计策略参数等，而四个子系统则将自身的运行状态值传递给统一4A管理平台;

统一4A管理平台上各参数的变更，以及各告警值通过syslog的方式传递给统一日志审计子系统;

统一认证授权子系统对用户进行统一接入认证后，产生的认证记录通过syslog的方式发送给统一日志审计子系统;

统一账号管理子系统对用户账号进行维护的操作通过syslog的方式发送给统一日志审计子系统;

网络审计引擎部件将采集到的日志信息通过syslog方式发送给统一日志审计子系统。

统一日志审计子系统功能：

安全日志采集

安全日志多维分析

安全日志实时展现

报表分析

审计策略配置

数据存储

统一认证授权子系统功能：

统一身份认证

集中账号口令管理

统一认证和授权

- 网络设备的身份认证及授权

- 主机系统的身份认证及授权

- 远程接入或VPN接入用户的认证及授权

- 数据库管理的身份认证及授权

- 基于Web的运营系统的身份认证及授权

- 基于C/S结构的业务系统的身份认证

统一账号管理子系统功能：

单点登陆

账号同步

统一账号管理与统一认证授权协作

网络行为审计子系统功能：

FTP/TELNET审计

XWINDOW审计

常用数据库的操作审计(ORACLE审计、DB2审计、SQL SERVER审计、SYBASE审计)

堡垒机跳转行为审计

NETBIOS审计

HTTP审计

SMTP审计

POP3审计

非正常网络行为的审计

各种协议的审计报表

投资收益

统一认证、授权和审计，工作复杂度大幅度降低;

统一监管，安全状况尽在掌握;

避免多人共用相同账号，安全事故易于追踪;

单点登录(SSO)免去用户在各系统间切换时，需要再次输入用户名和口令的繁琐;

对各个系统进行统一的访问审计，利于综合分析，及时发现入侵行为

与萨班斯法案(SOX)内控需求一致。

四、面向业务保障的安全服务体系解决方案

为了阻止黑客对电信级业务、应用系统的破坏，启明星辰公司在延用一系列传统安全产品(如防火墙、防病毒、入侵检测、入侵防御、漏洞扫描等)的同时，根据国际安全领域权威的ISO 17799/27001和最符合萨班斯(SOX)法案要求的COBIT等标准，推出了全新的、贴近电信市场需求的、面向业务保障的安全服务体系解决方案。

业务系统安全解决方案

启明星辰公司紧随世界发展，面对新一代市场挑战，提出了更具针对性的业务系统安全解决方案。以萨班斯(SOX)法案对内控系统的安全需求为根本，制定了全新的风险评估、应急响应、安全加固等服务，时刻以市场上的安全需求为导向，更树立起全面的电信级安全服务解决方案。用专注、专业、专心的精神为电信运营商客户切实解决遇到的安全问题。

安全管理监控闭环服务体系

安全管理监控服务是网络与信息安全系统的委托管理与服务，是风险管理的过程化实施，是专业安全公司为企业提供的专家级服务体系。该体系以全面保护、实时监控、专家响应为基本元素，建立了一套闭环服务体系，这种全面的安全服务体系能完全使企业摆脱维护系统安全的烦恼，并从最大程度上提高投资回报率。

在这个闭环中，依次执行以下6部分内容：

?为了解系统本身的漏洞及潜在的风险，对系统进行风险评估;

?针对评估出来的漏洞和风险提出准确的系统加固建议;

?依据系统加固建议，有效地部署并配置安全设备;

?对工作进程进行安全监控，确保其顺利进行;

?如遇紧急事件，由资深安全专家做出及时响应，以解决问题;

?根据客户信息系统中的信息资产情况，提供相应的安全信息通告，以邮件，电话或短信的方式发给客户，提供及时的修补和防御措施。

此外，在整个管理监控过程中，对企业相关人员进行安全实践培训。

为您带来的收益

?最大限度降低安全运营成本;

?建立强化的信息安全保障体系;

?充分利用体系中已有的安全产品;

?免除您在使用与维护安全产品时的烦恼; ?降低企业信息安全人员的投入。

谢尔曼法案和萨班斯法案

论美国《谢尔曼法案》和《萨巴尼·奥克斯勒法案》的性质有什么不同谢尔曼法是1890年，美国国会制定的第一部反托拉斯法，也是美国历史上第一个授权联邦政府控制、干预经济的法案。该法规定：凡以托拉斯形式订立契约、实行合并或阴谋限制贸易的行为，旨在垄断州际商业和贸易的任何一部分的垄断或试图垄断、联合或共谋犯罪的行为，均属违法。违反该法的个人或组织，将受到民事的或刑事的制裁。该法奠定了反垄断法的坚实基础，至今仍然是美国反垄断的基本准则。 谢尔曼法案确实为“反垄断”做了一些事情。立法者和来表示通常将“反垄断”普通化地称之为“竞争条例”。谢尔曼法案的目的在于处罚潜在地伤害竞争公平的实体，比如说垄断部门或联合企业。在这条法案颁布的时代，信托同等于垄断行动，因为信托是一个很受欢迎的方式使垄断者把持他们的商机，也是一个方式让联合公司的入股者建立一个可实施的合同。 谢尔曼法案是一个由国家站在全社会立场上，为了维护经济发展，反垄断或试图垄断，联合，或共谋犯罪而制定的法案。 2002年，在世界通信会计丑闻事件发生后，美国国会和政府加速通过了《萨班斯法案》（以下简称SOX法案），该法案的另一个名称是"公众公司会计改革与投资者保护法案"。法案的第一句话就是"遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。"《萨班斯—奥克斯利法案》对在美国上市的公司提供了合规性要求，使上市公司不得不考虑控制IT风险在内的各种风险。 萨班斯法案，又被称为萨班斯·奥克斯利法案，其全称为《2002年公众公司会计改革和投资者保护法案》，由参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出，又被称作《2002年萨班斯-奥克斯利法案》。该法案对美国《1933年证券法》、《1934年证券交易法》做出大幅修订，在公司治理、会计职业监管、证券市场监管等方面作出了许多新的规定。 美国总统布什在签署"SOX法案"的新闻发布会上称"这是自罗斯福总统以来美国商业界影响最为深远的改革法案"。但由于该法案刚刚通过不久，其执行也不到两年，就来评价该法案的成败得失，为时尚早。但是，了解该法案的通过背景以及该法案制订过程中的一些问题，对我们正确认识，把握该法案，从而理性地看待中国资本市场的相关事件以及相应的对策问题，不无裨益。

萨班斯法案简介：由来、影响及争论.

萨班斯法案简介：由来、影响及争论 2001年12月，美国最大的能源公司——安然公司，突然申请破产保护，此后，公司丑闻不断，规模也“屡创新高”，特别是2002年6月的世界通信会计丑闻事件，“彻底打击了（美国）投资者对（美国）资本市场的信心”（Congress report, 2002）。为了改变这一局面，美国国会和政府加速通过了《萨班斯法案》（以下简称SOX法案），该法案的另一个名称是“公众公司会计改革与投资者保护法案”。法案的第一句话就是“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。” 美国总统布什在签署“SOX法案”的新闻发布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。但由于该法案刚刚通过不久，其执行也不到两年，现在就来评价该法案的成败得失，为时尚早。但是，了解该法案的通过背景以及该法案制订过程中的一些问题，对我们正确认识、把握该法案，从而理性地看待我国资本市场的相关事件以及相应的对策问题，不无裨益。 一、法案的形成过程 按照美国国会网站对SOX法案的介绍，该法案最初于2002年2月14日提交给国会众议院金融服务委员会(Committee on Financial Services，到7月25日国会参众两院最终通过，先后有6个版本，它们分别是：2月14日、4月22日、4月24日、7月15日、7月24日、7月25日，我们现在看到的是7月25日的最后版本。 2002年2月14日提交到众议院金融服务委员会的版本，包括13章，主要内容集中在对注册会计师行业的监管，如：成立一个管制机构，监督注册会计师的运行；对该管制机构的运行给出一些原则性的规定；禁止公司官员、董事等相关人员对审计实务施加不当影响；加快财务披露的速度，包括对内幕交易和关联交易的电子披露；禁止在退休和养老金冻结期间(blackout periods内部人的交易；责成SEC修改公司信息披露的相关规定、设定最低检查期，并在指定的日期内提交对分析师的利益冲突、公司治理实务、执行(enforcement actions、信贷评级机构等的专项研究报告。与最终通过的版本相比，第一稿较温和，不仅没有最终定稿所包括的各项严厉的刑事责任要求，而且，对会计职业监管相对较宽松。当然，这与该法案起草时间短有一定的关系，因为，2001年12月2日安然申请破产保护，第一稿正式提交的日期为2002年2月14日，这中间还包括一个月的国会休会期（2001年12月21日至2002年1月22日）。此外，当时世界通信等事件尚未爆发，社会舆论对企业管理层的态度还没有根本转变。 从对美国国会网站的检索情况看，安然公司2001年12月2日申请破产保护，美国国会众议院“金融服务委员会”2001年12月12日就安然事件举行第一次听证会，讨论安然倒闭对投资者及资本市场的影响，作为专家证人出席听证会的有SEC首席会计师、安达信的首席执行官等4人。国会于2002年1月下旬复会后，2月4

萨班斯法案知识背景

2002年颁布的萨班斯-奥克斯利法案 1.概述萨班斯法案介绍 “萨班斯-奥克斯利法案”，是指2002年6月18日美国国会参议院银行委员会以17票赞成对4票反对通过由奥克斯利和参议院银行委员会主席萨班斯联合提出的会计改革法案——《2002上市公司会计改革与投资者保护法案》。这一议案在美国国会参众两院投票表决通过后，由布什总统在2002年7月30日签署成为正式法律，称作《2002年萨班斯-奥克斯利法案》。 《萨—奥法》起源于2001年末爆发的美国安然事件。是继美国1933年《证券法》、1934年《证券交易法》以来又一部具有里程碑意义的法律，其效力涵盖了注册于美国证监会（SEC）之下的约14，000家公司，其中包括了大量的非美国公司。包括中国移动 “萨班斯法案”的主要内容包括：设立独立的上市公司会计监管委员会，负责监管执行上市公司审计的会计师事务所；特别加强执行审计的会计师事务所的独立性；特别强化了公司治理结构并明确了公司的财务报告责任及大幅增强了公司的财务披露义务；大幅加重了对公司管理层违法行为的处罚措施；增加经费拨款，强化美国证券交易委员会（SEC）的预算以及职能。其中，萨班斯法案中的302条款和404条款需要在美上市的公司或准备赴美上市的企业特别注意。国内的法律就太宽容了 总体来看，《萨—奥法》强调了公司内控的重要性，从管理者、内部审计及外部审计等几个层面对公司内控作了具体规定，并设定了问责机制和相应的惩罚措施。 第一，严格界定了上市公司管理者的财务责任和义务。《萨—奥法》的第404条要求公司管理层应负担起建立完善内控制度的职责，首席执行官（CEO）和首席财务官（CFO）应对公司提交的财务报表的真实准确性提供书面保证，在公司的年度报告中必须出具一份“内部控制报告”，以“明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任”。内控报告还应包含管理层在财务年度期末对公司财务报告相关内部控制体系及程序有效性的评估。法案的第302条和第906条则分别在民事和刑事方面直接规定了上市公司CEO和CFO的特别书证要求，对违反财务报表披露要求的行为，对个人的处罚额由5000美元提高至10万美元，并将判处的监禁期限由1年延长到10年，对团体的处罚额由10万美元提高到50万美元。新法案还规定，如果公司财务报告在12个月之内被宣布需要修改，无论修改是基于任何原因，CEO和CFO 都将承担相应的法律责任。上述规定明确了管理层对内控制度建立的责任归属。 第二，强调了公司内部审计的作用与职责。与早期的《证券交易法》相比，《萨—奥法》更强调了公司审计委员会的作用和职能，新法案第301条要求所有的上市公司都必须设立审计委员会，其成员必须全部是独立董事，且至少有一名财务专家，以监管财务报告的编撰过程。审计委员会的主要职责是：讨论每一年度和季度的财务报表并提出质疑；评估公司对外发布的所有盈利信息和分析性预测；切实讨论公司的风险评估和管理政策；负责公司内部审计机构的建立及运行；负责聘请注册会计师事务所，给事务所支付报酬并监督其工作，受聘的会计师事务所应直接向审计委员会报告；接受并处理本公司会计、内部控制或审计方面的投诉；有权雇用独立的法律顾问、其他咨询顾问和外部审计师。 第三，对公司的信息披露作了明确要求。法案第401条规定，披露的每一份

《萨班斯法案》的启示.

《萨班斯法案》的启示 国企真正加强管理并不是做不到，关键是要解决责任落实不到位的问题。从这点看，《萨班斯法案》对我们颇有启示…… 企业要加强管理，这没人不认同，问题是加强管理是要得罪人的，是要改变既有的利益格局，是要付出巨大代价的，谁愿意这么做呢？那要看企业一把手是否想动真格，是否有动力。 一般来说，没人会和自己过不去。那么动力来自于哪里？一是来自于企业出资人，出资人为追求利益最大化，要求经营者加强管理，出资人给经营者施加压力；二是来自严刑峻法的要求。 最近，笔者到一家在美国上市的大型国有企业调研，该公司正在按照《萨班斯法案》的要求，寻找风险控制点，梳理流程，完善内部控制管理体系，为配合该项目更好地完成，还建立了ERP系统。按照《萨班斯法案》404条款的要求，建立企业内部控制管理体系的工作量十分巨大，该公司为此付出的费用达几千万元，动员的员工超过5000人。 笔者问该企业的几位老总，为什么在这件事中推进力度这么大？老总们讲，主要是来自《萨班斯法案》的压力，特别是法案中对个人处罚的压力。 2002年7月，美国国会通过了《萨班斯法案》。该法案针对系列公司财务丑闻中暴露的问题，从规定公司管理层的相关责任以及加大处罚力度等几个方面入手，旨在加强公司责任，保护公众公司投资者的利益免受公司高管及相关机构的侵害，试图重新恢复投资者对股票市场的信心。 《萨班斯法案》是美国自20世纪30年代颁布财务规则以来，最为严厉的企业必须严格遵守的财务法则，其中要求上市公司的首席执行官（CEO）和首席财务官（CFO）对公司财务年报和季报的真实性和完整性提供个人签字的书面保证，同时加强了对公司欺诈行为和白领犯罪的刑事处罚力度。 该法案302条款“公司对财务报告责任”和404条款“管理层对内部控制的评价”，要求在美国上市的公司管理层对公司财务信息披露和内部控制效力负有直接责任，上市公司应建立完善的内控制度，由管理层声明内控制度有效并由独立审计机构出具内控审计报告提交给美国证监会。 CEO和CFO如果知道定期报告不符合上述要求但仍然做出保证的，将判处最高100万美元的罚款，或是最长10年的监禁，或是二者同罚；如果是蓄意做出书面保证的，将判处最多500万美元罚款，或是最长20年的监禁，或是二者同罚。

美国萨班斯法案 404条款

404法案： 美国在2002年7月出台《萨班斯-奥克斯利法案》，其中的第404条款中要求所有上市企业必须在限定时间内提交一份详尽的财务报表内控报告。 英文名：Sarbanes-Oxley Section 404 https://www.360docs.net/doc/c915472820.html,/050720/16/bbg3.html 2002年，在安然事件后的一片混乱中，美国颁布了萨班斯－奥克斯利法案（以下简称“萨班斯法案”）。该法案对美国商业界影响巨大，以致于美国总统布什在签署萨班斯法案的新闻发布会上称，“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。从表面来看，它的初衷并不激进：即提高经理对股东的责任，并由此解决人们在丑闻发生之后对美国资本市场的信任危机。然而，法案的方法却很偏激，而其中的404条款也因其严厉性和高昂的执行成本饱受争议。 最复杂的条款 作为萨班斯法案中最重要的条款之一，404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。该条款要求上市公司必须在年报中提供内部控制报告和内部控制评价报告\;上市公司的管理层和注册会计师都需要对企业的内部控制 系统作出评价，注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见。显然，404条款对于公司内部控制情况作出严厉要求是为了使得公众更易于察觉到公司的欺诈行为，并确保公司财务报告的可靠性。而上市公司为了遵循该条款将付出沉重的代价，包括大量的时间和人力、财力的投入。 对于上市公司来说，404条款的实施是一个重要的举措，必须由公司董事、管理层、404项目小组、内审总监与其他人士积极监察和参与。404条款的遵照执行有四个区分明显的阶段:1.公司应制定内部控制详细目录，确定内部控制是否足够，然后将这些控 制与诸如COSO委员会之类的内部控制研究机构的内部控制框架进行对照\; 2.公司被要求记录控制措施评估方式，以及未来将被用来弥补控制缺陷的政策和流程(如果有的话)\;

萨班斯法案及其影响分析.

萨班斯法案及其影响分析 1. 什么是《萨班斯法案》 2002年在安然，世通等一系列财务丑闻发生后，美国政府颁布了萨班斯-奥克斯利法案（Sarbanes-Oxley） . 该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作《2002年萨班斯—奥克斯利法案》（简称萨班斯法案）。法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订，在财务管理、公司治理、证券市场监管等方面作出了许多新的规定。从表面来看，它的内容并不严苛：即提高经理对股东的责任，并由此解决人们在丑闻发生之后对美国资本市场的信任危机。然而，其中的404条款却因其严厉性和高昂的执行成本饱受争议。 作为萨班斯法案中最重要的条款之一， 404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。该条款要求上市公司必须在年报中提供内部控制报告和内部控制评价报告；上市公司的管理层和注册会计师都需要对企业的内部控制系统作出评价，注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见。 对于上市公司来说，404条款的实施必须由公司董事、管理层、404项目小组、内审总监与其他人士的积极参与，一般来说分为以下几个阶段：1.公司应制定内部控制详细目录，确定内部控制是否足够，并与内部控制框架进行对照； 2.记录控制措施评估方式，以及未来将被用来弥补控制缺陷的政策和流程（如果存在）； 3.测试工作，以确保控制措施和补救手段起到预期作用； 4.管理层要将前述三个阶段的活动情况进行总结并撰写报告。 按照萨班斯法案生效时的规定，数千家大型美国本土上市公司已于2004年11月15日后结束的财政年度中遵守404条款。对于美国以外的上市公司（比如中国概念股）及中小型美国企业，遵守日期则约定在2005年7月15日。考虑到在美上市的海外公司和中小型本土公司的执行难度，纽约证券交易所（NYSE）极力游说美国证监会（SEC）推迟实施。2005年3月，SEC同意将原先拟定的生效日期延期一年至2006年7月15日，该法案目前已完全生效。 2. 实施该法案前后有何区别？ 由于404条款对于公司内部控制情况作出严格要求，投资者可以更加真实地了解公司运作，并确保公司财务报告的可靠性。上市公司的财务运作，内控流程，决策程序及汇报程序无疑会更加严谨。而与此同时，上市公司为了遵循该条款将付出沉重的代价，包括大量的人力、财力和时间的投入，即财务

美国上市公司在华子公司萨班斯法案404条款的执行

龙源期刊网 https://www.360docs.net/doc/c915472820.html, 美国上市公司在华子公司萨班斯法案404条款的执行 作者：杨龙 来源：《经营管理者·上旬刊》2016年第11期 摘要：自2002年，萨班斯-奥克斯利法案（以下简称萨班斯法案）诞生后，其已成为约束美国上市公司最具影响力的公共法典。大量的美国上市公司在华设有分支机构，一般是以美国独资企业的形式按中国法律成立，这些美国上市公司在华投资的子公司要遵守中国的法律法规、财税制度，但同时其美国上市母公司在萨班斯法案的遵循上，也要求涵盖其全球范围内的子公司。其中最为著名的萨班斯法案404条款，涉及企业“内部控制的管理评估”对这些在华子公司的影响最大、波及范围最广。本文仅就美国上市公司在华子公司如何遵循萨班斯法案的404条款作以简单探讨。 关键词：会计舞弊法律约束规避风险 一、萨班斯法案及404条款简介 2001年12月，美国安然公司、世界通信公司因会计舞弊而相继倒闭破产，震惊全球，这些公司的董事、高级管理人员以及公司外部审计人员的诚信也出现了危机。为了恢复公众、股民对美国上市公司、股市的信心，美国联邦政府于2002年7月通过了萨班斯法案。该法案基于美国当今上市公司的实践，根据现代上市公司股权变化的特点，回应了现实中公司治理的问题。该法案涵盖了几个方面的富有创意的立法内容：董事、高级管理人员个人和整体的责任与义务；更有力度的上市公司财务披露以及上市公司审计制度等；创设了可追究上市公司 CEO/CFO刑事责任的认证制度；以及设立了新型的会计、审计、律师管理结构。萨班斯法案404条款（以下简称SOX404）中所要求美国上市公司的CEO和CFO必须在注册会计师出具的内部控制评估报告上签署书面声明。内控评估报告按萨班斯法案的要求，应由为企业出具年度审计报告的会计师事务所之外的其他会计师事务所出具。美国政府已强制性地要求所有公开交易公司必须于2005年底满足本部分的要求，与财务报告一起提供内部控制的年度管理报告（CEO和CFO必须签署书面声明），这之中包括：a、记录控制设计效力测试的结果，对公司建立和维持足够的财务报告内部控制负有责任b、披露任何主要缺陷c、获取外部审计公司审核以证明相关报告。 二、K公司如何遵循萨班斯法案404条款 笔者认为，SOX404是对美国上市公司及其全球子公司关于企业内控管理和评估方面的框架性法律约束，在对该法案条款的遵循上，因每个公司有着不同的规模和不同的业务，该条款也不会具体到每个公司的具体业务的控制标准或流程要求，具体的执行在各个上市企业中可能会存在一定的差异，但最终目的是可以达到SOX404对内部控制风险评估披露的基本要求，确

萨班斯法案对我国企业内部控制的影响(上).

萨班斯法案对我国企业内部控制的影响（上） 【摘要】2006年7月15日开始，所有在美国上市的外国企业，必须执行《萨 班斯——奥克斯利法案》。而选择在同一天，我国财政部别有深意地发起成立了“企业内部控制标准委员会”，中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。 我们可以发现，美国萨班斯法案的实施对中国企业的内部控制和会计信息披露也已经产生了一定的影响：一来是针对已经或准备在美国上市的中国企业必须达到法案的要求;二是针对在我国的资本市场，如果不能尽快完善内部控制和信息披露机制，那么将会导致股东利益受损和证券市场的泡沫。 本文将分三个层次，循序渐进阐明论题。首先从法律规范的高度切入，导入了《萨班斯一奥克斯利法案》及中国在内部控制相关的法律法规。接着，从理论界的层面谈了内部控制的理论框架，并进而结合自己的专业讨论了会计的监督职能在公司内部控制建设方面的作用。最后，我们回到实务界的层面，探讨了中国企业内部控制的现状；并结合中国在美上市公司已在内部控制改革所取得的经验，提出了进一步完善中国企业内部控制建设的一些建议和方法。 关键字：萨班斯法案内部控制会计信息 Abstract Since July 15th, 2006, all the foreign companies which listed in America should take Sarbanes-Oxley into action. And on the same day, the finance department of Chinese government set up the Committee of Enterprise Internal Control, and the committee of CICPA also set up the Committee of Internal Guide on Auditing Firm. We can find out that the SOX has some influence on the internal control of Chinese enterprise. First, the firms that has listed or would list in America should fulfill the require of SOX. The other influence is that our own capital market should improve our regulation on internal control, or the share holders would have the risk to lose money. The article has 3 parts to illustrate the thesis. First, we’d like to talk about something on the development of internal control and how accounting works in this part. Then we will show how the SOX and Chinese laws regulate the issues on internal control. Finally, we will give some suggestion to the Chinese enterprise on how to improve internal control through the experience at home and abroad. Key words: Sarbanes-Oxley Internal control Financial information

萨班斯法案及SOX合规工作简介

萨班斯法案及SOX合规工作简介 萨班斯法案是一部2002年由美国颁布的旨在提高在美国上市公司披露的准确性和可靠性从而保护投资者的一部法案。一、 二、法案的目标及主要条款（针对上市公司） 从法案本身及其背景可以看出，萨班斯法案的主要目标包括：增加对上市公司管理的职责，改善公司的治理，从而促进投资者恢复对资本市场的信心。其中： 对公司层面的目标包括： 1、所有报告准确且没有重大遗漏； 2、所有应该在信息披露工作中应该被考虑的事项都已与管理层进行充分、及时的沟通； 3、所有交易都按照会计准则及美国证券证券交易委员会的规定被记录、总结和报告； 4、存在实物资产与会计记录的比较； 5、资产安全有保证。 对流程的目标（认定）包括：完整性、存在于发生（包括授权）、估价与计量（包括准确性）、分类、对会计记录（资产）权限的控制。 法案共分十一章，但是对于上市公司及管理层来说，真正重要的条款（或者说具有重要的分量的条款）主要包括下面几条： 第302节 公司对财务报告的责任 该条款要求公司首席执行官和首席财务官向证交会提交经确认的年度和季度财务报告，并就一下事项作出保证：(1) 签字的官员已审阅过该报告；(2) 该官员认为报告中不存在重大的错报、漏报；(3) 该官员认为报告中的会计报表及其他财务信息在所有重大方面，公允地反映了公司在该报告期末的财务状况及该报告期内的经营成果。(4) 签字官员：(A) 对建立及保持内部控制负责；(B) 设计了所需的内部控制，以保证这些官员能知道该公司及其并表子公司的所有重大信息，尤其是报告期内的重大信息；(C) 评价公司的内部控制在签署报告前90天内的有效性；(D) 在该定期报告中发布他们上述评价的结论；(5) 签字官员已向公司的审计师及董事会下属的审计委员会（或担任同等职务的人员）披露了如下内容： (A) 内部控制的设计或执行中，对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷。以及向公司的审计师指出内部控制的重大缺点；(B)在内部控制中担任重要职位的管理人员或其他雇员的欺诈行为，而不论该行为的影响是否重大；(6) 签字官员应在报告中指明在他们对内部控制评价之后，内部控制是否发生了重大变化，或是其他可能对内部控制产生重要影响的因素，包括对内部控制的重大缺陷或重要缺点的更正措施。 第404节 管理层对内部控制的评价 要求管理层在年度报告中包括内部控制报告，包括： (1) 强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；(2) 发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价；(3)担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。 第409节 实时信息披露 要求提供报告的公司应更加实时、快捷地向公众披露附加信息。该信息应简单明了，并关注公司在财务状况及经营上的重大变化。另外，303、402、403分别对影响审计师、内部融资限制及管理层和主要股东交易的披露做了规定，也属比较重要的条款。当然，法案还有一块

萨班斯法案对企业内部控制.

萨班斯法案对企业内部控制 可低影响程度 [NextPage] 5.3我国企业内部控制建设的步骤 要完善中国企业的内部控制体系，职称论文发表我们还有很长的路要走，这需要很大的人力、物力和时间资源，而且内控体系的完善不是1个1次性的工作，也不是公司中几个人的工作，它需要全员参与，需要对内部控制不断进行监督和复核，从而达到降低风险，实现企业计划的目的。下面是企业在建设内部控制体系时需要走过的几个步骤： 5.3.1 内部控制环境的建设 １．公司治理结构 目前我国公司法人治理结构存在很大缺陷，表现在：产权结构1元化、1股独大、内部人控制现象严重、董事会形同虚设等。美国企业的所有权过于分散，而我们的问题是股权过于集中，结果都造成了内部人控制。因此，我们应在产权明晰的基础上完善公司治理结构，解决“内部人控制”问题。调整持股结构，分散大股东股权，建立股东制衡机制，解决“1股独大”问题； 进1步健全独立董事会制度，完善独立董事责任追究制与考核机制；完善监事会制度，从监事会人员构成的独立性、专业性以及如何实施全程监督等方面加强监事会建设，根本上解决企业内部控制失控的病根。 ２．法制大环境 在上市公司内部控制报告制度方面，SOX强制规定上市公司要上报内部控制报告及进行注册会计师审计，而我国目前对于内部控制报告要求还是相当宽松的，过去中国证监会仅要求会计师事务所对拟上市的金融类企业和拟增发的上市公司的内部控制的完整性、合理性及有效性出具意见。在实际操作中，接受执行发行审计业务的会计师事务所仅就与会计报表编制有关的内部控制是否存在重大缺陷发表意见。由此导致上市公司内部控制报告质量太差，大多数公司的内部控制报告流于形式的现象，也就不足为奇了。尽管 2006 年 6月 5日，上海证券交易所出台了《上海证券交易所上市公司内部控制指引》。该指引和SOX在达到内控目标方面是1致的，只是这个指引还没有具体的操作细则出来，也不像SOX已经上升到法律的高度。因此，内部控制到底做到怎么样，做多少才合适，还缺乏权威的认定，因此，我们应借鉴SOX，进1步细化公司内部控制报告的要求，并建立公司管理层责任追究制度，以保证内部报告有效性与有用性。 在对单位负责人和财务主管进行会计舞弊的惩罚力度方面，我国《会计法》、《企业财务会计报告条例》等法规规定，单位负责人、单位主管会计工作的负责人、会计机构负责人应在财务会计报告上签名盖章。中国证监会在案件查处时， 1直严格依法对所有负有责任的以上人员作出处罚，但并没要求他们事先公开做出承诺。前不久证监会修改后的《年报准则》规定，2005年上市公司公布年报时，公司负责人、主管会计工作负责人及会计机构负责人（会计主管人员）必须声明：“保证年度报告中财务报告的真实、完整”，便是借鉴了SOX要求上市公司公开披露信息中附有首席执行官和首席财务主管的承诺函的规定。但这还是远远不够的，相对于SOX的1系列严厉惩罚措施，我国对于

美国《萨班斯―奥克斯利法案》及其启示

美国《萨班斯―奥克斯利法案》及其启示 编者按： 本文介绍了美国近年通过并且实行的一个新法案。尽快熟悉这个新的“游戏规则”，是准备到美国证券市场上市企业的必修课，同时对国内企业的规范运作、对有关管理部门进一步完善管理制度，都具有很好的参考和借鉴价值，因此推荐给读者一阅。 2002年7月，美国正式通过了《萨班斯―奥克斯利法案》（以下简称《萨―奥法》），它被誉为美国乃至全球“新的上市公司准则”。目前，国有商业银行正加紧改制，赴海外上市是其战略选择之一。我们认为，国有商业银行成功改制并上市的一个重要条件就是熟悉国际资本市场的游戏规则。作为新的公司指引，《萨―奥法》对上市公司的内控机制及外部审计作出了明确的严格规定，将给全球的上市公司带来深远影响。了解和把握这些规定对把美国作为上市目标市场的国有商业银行来说意义重大。 一、《萨―奥法》出台的背景及其主要内容 《萨―奥法》起源于2001年末爆发的美国安然事件。为整顿上市公司秩序、维护投资者信心，美国参议员萨班斯（Sar-banes）和众议员奥克斯利（Oxley）联合提出了《萨―奥法》，该法于2002年7月正式获得通过。《萨―奥法》是继美国1933年《证券法》、1934年《证券交易法》以来又一部具有里程碑意义的法律，其效力涵盖了注册于美国证监会（SEC）之下的约14，000家公司，其中包括了大量的非美国公司。

总体来看，《萨―奥法》强调了公司内控的重要性，从管理者、内部审计及外部审计等几个层面对公司内控作了具体规定，并设定了问责机制和相应的惩罚措施。 第一，严格界定了上市公司管理者的财务责任和义务。《萨―奥法》的第404条要求公司管理层应负担起建立完善内控制度的职责，首席执行官（CEO）和首席财务官（CFO）应对公司提交的财务报表的真实准确性提供书面保证，在公司的年度报告中必须出具一份“内部控制报告”，以“明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任”。内控报告还应包含管理层在财务年度期末对公司财务报告相关内部控制体系及程序有效性的评估。法案的第302条和第906条则分别在民事和刑事方面直接规定了上市公司CEO和CFO的特别书证要求，对违反财务报表披露要求的行为，对个人的处罚额由5000美元提高至10万美元，并将判处的监禁期限由1年延长到10年，对团体的处罚额由10万美元提高到50万美元。新法案还规定，如果公司财务报告在12个月之内被宣布需要修改，无论修改是基于任何原因，CEO和CFO都将承担相应的法律责任。上述规定明确了管理层对内控制度建立的责任归属。 第二，强调了公司内部审计的作用与职责。与早期的《证券交易法》相比，《萨―奥法》更强调了公司审计委员会的作用和职能，新法案第301条要求所有的上市公司都必须设立审计委员会，其成员必须全部是独立董事，且至少有一名财务专家，监管财务报告的编撰过程。审计委员会的主要职责是：讨论每一年度和季度的财务报表并提出质疑；评估

《萨班斯法案》及其修订

《萨班斯法案》及其修订 发布时间：2006-12-16 阅读次数：5980 评分(1票，平均0.00分) 评论:1次 来源：证券时报作者：王璟编辑：caoqiaobo 继世通、安达信财务欺诈事件之后，为了重塑投资者信心、规范美国证券市场秩序，2002年6月18日，美国国会参议院银行委员会通过了由奥克斯利和参议院银行委员会主席萨班斯联合提出的会计改革 法案《2002上市公司会计改革与投资者保护法案》，这一议案在美国国会参众两院投票表决通过后，由布什总统在2002年7月30日签署成为正式法律，称作《萨班斯-奥克斯利法案》（简称《萨班斯法案》）。该法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订，在会计职业监管、公司治理、证 券市场监管等方面作出了许多新的规定。 近期，萨班斯法案修改呼声甚高，美国证券交易委员会(SEC)也在近期对《萨班斯法案》进行了修订。 本文将关注此修订的主要内容，并客观评价修订前后萨班斯法案对中国企业赴美上市带来的影响。 《萨班斯法案》概要 萨班斯法案的主要内容包括七个方面：成立独立的上市公司会计监管委员会，负责监管执行上市公司审计的会计师事务所及注册会计师；加强审计师的独立性；加大公司的财务报告责任；加强公司的财务披露义务；加重对公司管理层违法行为的处罚措施；增加经费拨款，强化SEC的监管职能；要求美国审计总署加强调查研究。其中，《萨班斯法案》的两个核心条款302和404条款需要广大赴美上市企业特别关注。 302条款要求向SEC提交定期报告的公司，在每一个年度或季度定期报告中就某些财务事宜附一份CEO和CFO签署的书面认证文件，声明公司对定期财务报告的责任。该认证文件明确适用于10－K 及20-F 年度报告。其主要内容为以下六个方面：(1) 签名的官员已审核该报告；(2) 据CEO、CFO所知，该报告中不存在任何虚假不实之处；(3) 据CEO、CFO所知，报告中的会计报表和财务信息在所有重大方面，公允地反映了上市公司在报告所述阶段的财务状况和运营业绩；(4) CEO、CFO负责建立和维持公司的内部控制机制，保证CEO、CFO能够全面了解上市公司及其子公司的所有重大信息；并评估内控体系是否有效可行；(5) 签署官员已向会计师、审计师披露了所有有关内控体制的重要不足之处；（6）签署官员已在报告中说明自评估之日后，内控体制是否进行过重大变更。 404条款主要强调的是管理层对内部控制的评估。此条款规定，公司的年报中必须包括一份“内部控制报告”，该报告要明确指出公司管理层对建立和保持一套完整的、与财务报告相关的内部控制系统所负有的责任，并要求管理层在财务年度期末，对公司财务报告相关的内部控制体系作出有效性的评估；会计事务所的审计师需要对管理层所作的有效性评估发表意见。 302和404条款的制定是为了使企业建立一套完善的内部控制制度，从而使企业对自身的财务和经营状况有更加明晰的监管。从企业发展的长远角度来考虑，《萨班斯法案》确实有助于公司建立完善的公司 治理结构和内控体制。 客观看待萨法影响 虽然《萨班斯法案》对在美上市企业提出了更严格的要求，但其主要的目的是为了防范诸如安然、世通公司等丑闻的再次发生。并且，该法案还强调了一些资本市场发展非常重要的原则，比如，上市公司的真实信息披露、会计审计的独立性、加强上市公司管理层的责任、上市公司治理和内部控制，对投资者的

萨班斯法案对我国企业内部控制的影响(上)(1)

萨班斯法案对我国企业内部控制的影响（上）(1) 【摘要】2006年7月15日开始，所有在美国上市的外国企业，必须执行《萨班斯——奥克斯利法案》。而选择在同一天，我国财政部别有深意地发起成立了“企业内部控制标准委员会”，中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。 我们可以发现，美国萨班斯法案的实施对中国企业的内部控制和会计信息表露也已经产生了一定的影响：一来是针对已经或预备在美国上市的中国企业必须达到法案的要求;二是针对在我国的资本市场，假如不能尽快完善内部控制和信息表露机制，那么将会导致股东利益受损和证券市场的泡沫。 本文将分三个层次，循序渐进阐明论题。首先从法律规范的高度切进，导进了《萨班斯一奥克斯利法案》及中国在内部控制相关的法律法规。接着，从理论界的层面谈了内部控制的理论框架，并进而结合自己的专业讨论了会计的监视职能在公司内部控制建设方面的作用。最后，我们回到实务界的层面，探讨了中国企业内部控制的现状；并结合中国在美上市公司已在内部控制改革所取得的经验，提出了进一步完善中国企业内部控制建设的一些建议和方法。关键字：萨班斯法案内部控制会计信息Abstract Since July 15th, 2006, all the foreign companies which listed in America should take Sarbanes-Oxley into action. And on the same day, the finance department of Chinese government set up the Committee of Enterprise Internal Control, and the committee of CICPA also set up the

内部控制与萨班斯(SOX)法案

https://www.360docs.net/doc/c915472820.html,/ 课程特色 内部控制体系被称为企业的“免疫系统”，而萨班斯法案则无疑成为了这个“免疫系统”的一针“强心剂”，本课程将展示萨班斯法案的出台背景、法案目标和法案要求，重点讲解法案中302、404、409、906主要条款的合规要求以及条款背后牵扯着的公司整体内控流程和财务体系的重整，并结合多年的实战经验，将公司整体战略、经营环节、财务报告和评估串联起来，从而指导企业更有效的依照萨班斯法案进行内控分析、设计、建立与评价，最终形成企业风险从战略到营运的立体防控格局。 2002年，针对安然、世通等财务欺诈事件，美国国会出台了《萨班斯-奥克斯利法案》，对美国公司加强企业财务报告责任、管理层对内部控制的评价等重要方面做出了硬性的规定，该法案也对已经在美国上市的公司和拟在美国上市的公司做出了同样的要求。内控已经被越来越成为企业加强风险管理提高竞争优势的有效工具，萨班斯(SOX)法案则是工具中的利器。 课程收益 了解萨班斯法案背景和内容 明确萨班斯法案的规章以及实施要点 了解302、404、409、906条款最新合规要求，并重点掌握404条款在工作中的具体应用 掌握首年、次年和之后的SOX合规方法论与项目管理 通过案例了解中国企业普遍存在的内控不足和其解决之道 了解内控理论框架、内控记录与测试 内部控制理论源于美国国会颁布的“萨班斯法案”，内部控制体系的建立应该源于理论但又要高于理论，做到具体问题具体分析，因此课程秉承全面性系统培训特征，提供最全、最新的理论与工具，还原理论的原始面貌，让您真正把握内控的真谛，找到适合您的利器。

课程大纲 第1天萨班斯法案介绍 萨班斯法案的由来和主要条款介绍 萨班斯法案的由来 萨班斯法案的目标 萨班斯法案概览 萨班斯法案的要求 未遵循萨班斯法案可能导致的后果 萨班斯法案主要条款 S302、S404、S409、S906 财务报告内部控制 实质性漏洞 萨班斯法案404条款合规要求的最新修改 遵循SOX404条款对公司的益处 SOX404条款的合规期限 核证官员对404条款要保持两项关注 整体目标不变：透明度和平衡 PCAOB审计准则的变化 PCAOB审计准则第五号 《多德-弗兰克法案》的影响 首年SOX合规的方法论与项目管理——“兼顾效果与效率”SOX合规项目建立的六个阶段 阶段一：建立基础 阶段二：评估现状/识别关键流程及流程责任人 阶段三：记录关键流程与控制的设计并进行评价 阶段四：进行控制测试并评价其执行有效性 阶段五：对缺陷的整改进行再测试并进行文档更新 阶段六：报告 内部控制报告的要素 阶段二：财务报告的要求、公司层面的控制、相关流程 阶段三：流程风险、控制的设计、控制的执行 阶段四、五：控制的改善

SOX简介、萨班斯法案

建立符合SOX法案以及企业内部控制基本规范的内部审计思路 2009-10-19 17:18 文鸿义【大中小】【打印】【我要纠错】 随着企业规模的扩大以及社会经济环境的要求，对企业内部控制的制度建设正日益受到广泛关注，而作为内部控制最基本的一个环节内部审计，也正逐渐提上日程，并越来越多受到重视。本文根据美国颁布的《萨班斯－奥克斯利法案》以及我国颁布的《企业内部控制基本规范》有关企业内部审计的要求，来探讨建立企业内部审计的思路。 一、SOX法案的产生背景及缘由 SOX法案即《萨班斯－奥克斯利法案》。在一般人眼中，美国一直是一个法治比较完备，企业管理相对规范、高效，社会诚信良好的国家。但是, 2001年出现的安然事件，以及由此发现的一系列美国著名大公司在公司治理和财务管理力方面的问题，引发了美国社会特别是经济界、金融界的诚信危机。安然公司的造假主要依靠三种途径，一是通过资本重组，建立了超过3000多个各类子公司、孙公司、合伙公司在内的复杂的公司结构体系，以便使公司进行大规模违规融资活动。二是通过内部各类公司之间的复杂的关联交易，随意制造营业收入和利润。三是创造出一套非常复杂的公司财务结构，使用了被称为SPE（特殊目的主体）的金融工具和其他资产负债表进行表外融资。 首先，我们从安然的故事中看到了一个缺乏责任的董事会。如公司董事长兼首席执行官肯莱利用个人的影响通过巨额资助竞选。此外，公司与董事利益相互交织互相利用安然公司签订了多份与独立董事的咨询服务和产品销售的业务合同，还向独立董事任职的非盈利机构大量捐款。这种利益交织的情况下独立董事对公司管理层的监督形同虚设。在缺乏监督和制约的条件下，公司就会被个人操纵和利用成为内部人牟取个人利益的手段。 另一个扮演着不光彩角色的是安达信公司。安达信从20世纪80年代中开始承担安然的外部审计业务到90年代又承担了其内部审计业务。这样，安达信一手为安然作帐，用另一手为其查帐。当会计师事务所为同一个客户同时提供审计和咨询两种服务时，其审计的独立性就可能因此受到影响。 包括安然在内的一系列公司假账丑闻的发生，已经不是个别公司的问题，而是美国公司制度的缺陷。这个缺陷主要表现在公司治理结构的不平衡和外部监督的缺失。在这样一个背景下，《萨班斯－奥克斯利法案》于2002年7月30日正式出台。它以维护广大投资者利益为宗旨，对惩治公司财务欺诈、规范企业行为和加强资本市场监管等方面做出了更加严厉、更加全面的规定。 该法案的核心是通过立法加强对财务制度和企业内部的控制，并增加企业财务透明度和及时对各种缺陷进行修复。如果企业被认定未达到萨班斯法案的要求，将可能使企业受到严重处罚，包括高额罚款以及管理层个人形式责任追究。 二、法案涉及财务内部控制的主要内容 通过仔细观察萨班斯法案，对企业的财务审计工作产生的重大影响主要集中在其中的302条款和404条款。即：

404萨班斯法案.

美国萨班斯·奥克斯法案302和404条款下内部审计 师的职责（部分） 一、综述............ 二、目的............ 三、背景............ 四、404遵循性工作中阶段、工作和主要职责的简述 五、审计委员会、管理层和外部审计师作用小结........ （一）审计委员会........... （二）管理层................... （三）外部审计师........... 六、建议性内部审计作用................ （一）项目监督............... （二）咨询和项目支持... （三）持续的监督和测试 （四）项目审计............... 七、实践的判断 （一）咨询的源泉........... （二）作为管理层完成记录或测试的有力助手... （三）作为项目管理层. （四）作为内部控制培训或信息提供者............. （五）作为控制自我评估发起者..... （六）作为披露程序证明者.............

八、如何处理对内部审计客观性的妨害.......... 一、综述 随着各个公司逐渐展开对萨班斯·奥克斯法案（以下简称“SOX 法案”）的遵循性工作，内部审计也就其在遵循性工作中的地位和工作遇到一系列问题。根据404条款的要求，管理层需要建立、健全财务报告内部控制，并对其进行评价，同时外部审计师要对上述评价进行再评价。302条款不仅要求管理层每季度对财务报告相关内部控制进行评价，而且对信息披露方面的控制和程序也要进行评价。 保证对SOX法案302、404及其他条款的遵循性是公司管理层不可推卸的责任。帮助管理层履行上述职责是内部审计的职责。参与公司404遵循性工作是内部审计的重要工作，但是上述工作要与内部审计总体目标和章程相一致。无论内部审计涉入404遵循性工作中的层次和性质是什么样的，都不应该违背内部审计的客观性和其监督公司主要风险区域的职能。由于404遵循性工作与内部审计工作有本质的联系，内部审计经常被迫全力融入404遵循性工作。 国际内审协会对内部审计的定义是：内部审计是一种独立客观的保证与咨询活动，目的是为机构增加价值并提高机构的运作效率，采取系统化、规范化的方法来对风险管理、内部控制及治理程序进行评估和改善，以帮助机构实现目标。