sox(薩班斯法案)

SOX法案規定：

●禁止向本公司董事或高管人員提供私人貸款；

●公司高管、董事或者受益權人10%的股權變動必須在兩個營業日內披露；

●在養老金計畫管制期內，公司的董事和高層管理人員不能直接或間接交易持有的該公司股票或從中獲益的其他行為；

●對於有違反證券法規情節的有關人士，美國證監會可以禁止他們擔任公司的管理人員或者董事等。

1.明確CEO/CFO的會計責任

SOX法案要求在上市公司公開披露的信息中，須附有執行長（CEO）和首席財務主管（CFO）的承諾函，保證所提交的定期信息披露報告的真實性。此前，美國的上市公司定期信息披露並不需要CEO/CFO簽字，因此一旦其上市公司的財務醜聞被揭發，其CEO/CFO往往以自己不知情來開脫個人的法律責任；由於專業性強，程式複雜，一般也很難找到直接證據來證明CEO/CFO明知或故意披露虛假財務信息。結果，美國無罪推定的司法原則使監管部門經常無計可施。

SOX法案規定：

●上市公司所有定期報告(包括公司依照1934年證券交易法規定編制的會計報表)應附有公司執行長與財務長簽署的承諾函；

●承諾函中的內容包括：確保本公司定期報告所含會計報表及信息披露的適當性，並且保證此會計報表及信息披露在所有重大方面都公正地反映了公司的經營成果及財務狀況。

這樣一來，監管者即使找不到或者不再需要尋找財務欺詐的直接證據，也可以要求其CEO/CFO本人承擔法律責任。

2.要求公司CEO/CFO本人承擔不當行為的法律責任

此前，在那些造成重大危害的上市公司財務欺詐事件中，公司CEO/CFO本人僅面臨個人職業聲譽下降（Reputation Risk）的威脅；即使監管者對其採取種種處罰措施，這些懲罰可能也會以各種方式轉嫁給上市公司負擔，卻難以對CEO/CFO本人形成有效威懾。

SOX法案此次直接明確了公司CEO/CFO本人面臨的法律責任，為監管機構查處財務欺詐提供了強有力的法律武器，彌補了監管體系上的漏洞，使公司的激勵機制與責任追究機制達成某種平衡。

SOX法案規定：

●在公司定期報告中若發現因實質性違反監管法規而被要求重編會計報表時，公司的CEO/CFO應當返還給公司12個月內從公司收到的所有獎金、紅利，其他形式的激勵性報酬以及買賣本公司股票所得收益；

●如果公司CEO/CFO事先知道違規事項，但仍提交承諾函，最多可以判處10年監禁，以及100萬美元的罰款；

●對於故意做出虛假承諾的，最多可以被監禁20年並判處500萬美元的罰款。

安然事件的引爆，並非始於監管機構的稽查行動，而是市場投資機構（主要是對沖基金等）對安然公司的信息披露產生懷疑，即向公司管理層提出一連串的問題要求予以澄清，並大量拋空安然股票所致。因此可以說，提高信息披露義務、加強信息披露，是各國對上市公司進行監管的基本手段。

但是一般而言，如何使投資者獲得全面、準確、有用的信息以便作出正確的投資決策，並形成對上市公司的監管，還是一個難題。儘管在上市公司信息披露的有關制度方面，美國走在世界前沿，但是SOX法案依然提出了更高的要求，似乎有點矯枉必須過正的味道。

SOX法案規定：

●進一步縮短財務報告披露的滯後期，提高及時性。其中，未來3年內，年度報告由90天縮短為60天；季度報告由45天縮短為35天。年報及季報都需要註冊會計師的審計。

●強化上市公司內控及報告制度，要求公司年度報告中提供“內部控制報告”，說明公司內部控制制度及其實施的有效性，“內部控制報告”要出具註冊會計師的意見；

●提高對公司信息披露可用性的要求，包括定期報告中披露所有的資產負債表外交易、財務狀況的預測性信息、高層財務人員的道德守則、所有由註冊會計師出具的實質性的糾正調整、臨時報告中公司財務狀況或財務經營狀況的實質性變化等。

與我國上市公司不同，美國上市公司內部設有審計委員會，但不設立監事會。審計委員會的職責是監督該公司的會計及財務報告程式，以及審計該公司的財務報告。2002年上市公司系列財務醜聞表明，公司的審計委員會沒有發揮應有的作用，甚至形同虛設。

SOX法案規定：

●為保證獨立性，審計委員會必須完全由“獨立董事”組成，獨立董事不得是公司或者其子公司的關聯人士，其中至少一人應是財務專家；獨立董事不得從公司中接受任何諮詢、顧問費或者其他酬金;

●公司聘用會計師事務所及報酬方式要由審計委員會批准，並接受審計委員會的監督；會計師事務所在審計過程中遇到的重大事項必須及時報告審計委員會；

●為保證審計委員會能夠及時發現公司的會計和審計問題，還需要建立一套處理舉報或投訴的工作程式以及相應的監測系統、反應機制。

SOX法案所提出的措施，是否能確保對會計、審計及公司高官人員的監督，還需要實踐檢驗。但是會計審計本身的專業性較強，即使由審計委員會進行監督，還是能夠給註冊會計師留有一定的操作空間。

美國上市公司的連鎖會計醜聞，已使有關會計師事務所深陷其中。然而，負有審計責任的會計師事務所不但沒有履行職責，五大會計師事務所之一的安達信甚至為虎作倀，幫助安然銷毀證據。

實際上，美國證監會在很早以前就注意到並著手開始糾正會計師事務所與被審計公司之間存在的利益瓜葛問題。例如：若一個事務所長期服務於同一客戶，就有可能和客戶發生複雜的利害關係，它們會在進行審計業務的同時，再提供企業諮詢等非審計業務。而非審計業務的收益，很可能會超過審計業務等。

前任美國證監會主席阿瑟·萊維特曾經力主：所有會計師事務所的審計業務與諮詢業務必須分拆。但此建議曾遭到五大會計師事務所的抵制。對此，SOX法案授予美國證監會一柄尚方寶劍，嚴格限制會計師事務所那些可能產生利益衝突的做法。

SOX法案規定：

●禁止會計師事務所在進行審計業務的同時提供非審計業務。其中，明確列舉了8類不適當業務被禁止，並授權美國證監會的會計監督委員會可以根據情況對其他類業務作出禁止規定。

●強制實行註冊會計師定期輪換制。規定會計師事務所的主審會計師，或者覆核審計項目的會計師，為同一公司連續提供審計服務不得超過5年。

●限制註冊會計師去被審公司任職。公司的現任CEO/CFO等高管人員，若在一年內曾經受僱於會計師事務所並參與該公司有關的審計工作，則該事務所不得再擔任該公司的審計工作。

●實行會計師事務所註冊備案制度。從事上市公司審計業務的會計師事務所，必須在會計監督委員會進行註冊，並且要定期更新註冊信息。

●針對安達信銷毀審計檔案的問題，SOX法案還規定：註冊會計師有保管審計工作底稿的責任。要求會計師事務所審計上市公司的工作底稿至少保存7年。

由於此項措施的強制性，到目前為止，五大會計師事務所已經基本完成審計和諮詢業務的分拆。例如畢馬威的諮詢業務分拆為畢博諮詢；普華永道的諮詢業務分拆後被IBM收購；因為分拆較早，從安達信分拆出來的埃森哲諮詢得以從安然事件中倖免。

以往，美國註冊會計師行業的監管與服務職能都集中在美國註冊會計師協會（AICPA）。然而，證券市場的系列會計醜聞，已使註冊會計師行業自律的有效性遭到空前質疑。

實際上，美國註冊會計師協會是依靠會員會費的資助在維持運作，所以少數大型會計師事務所對協會的影響很大，使協會不可避免地會自發維護註冊會計師的利益。因此，僅依靠協會自律，很難杜絕醜聞再度發生。

SOX法案規定：

●要求美國證券交易委員會（SEC）成立上市公司會計監督委員會(PCAOB)，而原來由AICPA行使的對註冊會計師行業的監管職能，則交給更具公共職能的PCAOB。

●PCAOB由五人組成，直接歸美國證監會管轄，但不屬於其內部雇員。為消除註冊會計師事務所對其的影響，該委員會的運行經費不再由會計師事務所承擔，而是改為由上市公司分擔；

●美國證監會授權該委員會制定審計準則、會計師事務所註冊權、日常監督權、調查和處罰權；檢查和處理上市公司與會計師之間的會計處理分歧。

儘管此前在《1934年證券交易法》中已明確：制定上市公司會計準則的許可權屬於美國證監會。但是，由於政府機構的效率、經費、專業人才等方面的不足，更由於對行業自律的有效性存在幻想，美國證監會一度將會計準則的制定權代理給了民間自律機構。SOX法案要求美國證監會對這個問題進行糾正，並向國會報告有關情況。

美國證券市場系列會計醜聞中，除了註冊會計師外，證券公司在其中也扮演了不光彩的角色。尤其證券公司內部投資銀行部門和證券分析師相互勾結，發布虛假分析報告，操縱市場價格，誤導投資者。此類情況被揭發後，證券公司面臨大量的法律訴訟和監管部門的處罰。

SOX法案規定：

●要求美國證監會SEC制定相關的規定和細則，以避免證券分析師在其研究報告或公開場合向投資者推薦股票時“見利忘義”，以提高研究報告的客觀性，向投資者提供更為有用和可靠的信息。規定的內容包括：禁止公開發布由經紀人和交易商僱傭的從事投資銀行業務的人員所提供的研究報告，以及非直接從事投資研究的人員提供的研究報告；由經紀人和交易商僱傭的非從事投資銀行業務的官員負責對證券分析師的監管和評價；要求經紀人和交易商，以及他們僱傭從事投資銀行業務的人員，不得因證券分析師對發行人證券提出了不利的或相反的研究結論，並因該結論影響到經紀人、交易商同發行人的關係而對證券分析師進行報復和威脅；

●規定一定期限內擔任或即將擔任公開發行股票承銷商或坐市商(dealers)的經紀人和交易商不得公開發布關於該股票或發行人的研究報告；

●在執業的經紀人和交易商內部建立制度架構體系，將證券分析師劃分為覆核、強制(pressure)、監察等不同的工作部門，以避免參與投資銀行業務的人員存有潛在的偏見；

●要求證券分析師、經紀人和交易商在研究報告公布的同時，披露已知的和應當知曉的利益衝突事項。

SOX法案還注意到糾正各種干擾證券分析人員獨立性的問題，例如來自公司內部投資銀行部門的威脅利誘等。

加強刑事處罰

由於上市公司會計醜聞給投資者造成極大損失，人們迫切要求將犯罪分子繩之以法。因此，除了對CEO/CFO的處罰規定外，SOX法案中還制定了嚴厲處罰證券犯罪的法規。

SOX法案規定：

●任何人通過信息欺詐或價格操縱在證券市場獲取利益，最多可監禁25年或處以罰款；對違法的註冊會計師可被判處10年以下監禁或罰款；

●延長了對證券欺詐的追訴期，起訴時間可以延長至非法行為發現的兩年內，或者非法行為實施後的五年內；

●新的規定將保護公司檢舉揭發的員工，對舉報者進行打擊報復的，最高可判處10年監禁，還規定了對舉報者的具體的補償措施，比如恢復職務、補發報酬及其他損失等。

SOX法案是匆忙出台的產物，這與美國特定的政治背景有關。

從當前情況看，SOX法案提出的措施，對於穩定美國股市起到了一定作用。但要使投資者全面恢覆信心，解決證券市場深層次的問題，還需要一定的時間，也並非制定幾條法律法規那么簡單。

SOX法案即《薩班斯-奧克斯萊法案》

又稱《2002年公眾公司會計改革和投資者保護法》。美國國會為糾正2001年安然事件後爆發的連串上市公司會計醜聞，恢復投資者對股票市場的信心，推出此亡羊補牢之舉。該法案於2002年7月由美國總統布希簽署發布。

SOX法案主要針對公司財務醜聞中揭露出來的問題，修補完善了《1933年證券法》和《1934年證券交易法》的有關章節。

對於在美國公共運營公司里的IT組織,sox是一個不爭的事實。期待這些公司直接和長期準備一個sox法規審計。

sox所有的數據中心都得益於日誌收集和監控 - sox簡化故障診斷和性能最佳化。但是，在美國的sox公共機構，要求這些日誌和組織標準通過sox，否則面臨sox法律後果。

在美國，sox可以防止企業錯誤或惡意操縱財務數據。所有上市公司必須遵守sox, 證明可論證的的sox內部控制，sox網路日誌,sox資料庫,sox登錄和賬戶的合法執業，每季度財務的sox用戶活動。IT團隊還必須顯示他們如何控制信息sox訪問。

sox合規性要求十分複雜和具體。如果你有一個即將到來的年度sox,那么請你 重溫你的sox崗位職責,做這八個步驟的sox準備工作。

有方法努力精簡最大的sox障礙工作：sox404。例如，僅測試sox內部控制，如果他們失敗了，可能導致一個重大的可罰的財務sox數據誤述。從長遠來看，通過過濾掉這個sox控制項子集，你可以節省時間和精力。建立一個sox進程，sox程式和sox組織相關活動的流程圖，sox讓您知道在何處放置控制項來避免錯誤。其他sox關鍵領域的工作包括通信，對sox必要條件的培訓，以及內部控制的要素和教育。

回顧你的sox數據治理和安全協定。企業內的正在進行的與sox大數據相關的項目，大量的sox各類數據進入資料庫，sox與業務部門之間的溝通引入了新的複雜性合規。

大多數sox控制的IT組織使用COBIT，ITIL或其它sox管理方法，以確保sox一致的做法。回顧你是否建立了sox文檔策略，大數據的sox內容管理工作和新的企業理念，並使用了sox自動記錄管理和歸檔工具。

所有這些內部sox審計籌備是一個通過合規管理的最佳實踐，sox更容易保護的新的IT方案，如虛擬桌面或雲。

不要忘了軟體即服務（SaaS）。sox敏感數據經常存在於這些第三方SaaS應用程式之外，sox審計師正在修改出現的違規數據。如果您的sox組織依賴於SaaS供應商，請確認他們遵守sox-符合SAS 70報告的數據。

正確的sox審計師使整個過程更順利的運行。在您的特定行業中選擇一個有經驗的sox公司。挑選那些更大名氣的sox公司，除非sox有令人信服的理由 - 像在一家sox小公司內做一個引人注目的sox審計專家，或者一起去另一家sox公司。sox審計師無法為貴公司提供sox會計服務業務，並且不會提供有關糾正sox措施的深入支持。在sox公司評估，與審計師商量，而不是sox銷售人員和高級職員。知道誰是實際執行的sox審計工作。

sox審計詢問和sox審計師的方法都沒有問題。sox會幫助你的IT組織做準備 -甚至運行sox內部審計,避免常見的錯誤。

大多數IT組織里，合規，管理和安全都在同一個sox地方出故障。這是個好訊息。因為您可以在sox審計過程開始之前識別和修復問題領域的。

毫不奇怪,sox自動化工具勝過手動維護審計跟蹤。即使沒有專門的sox軟體,但是,你可以嚴訓紀律和勤勉最重要的問題:sox訪問許可權變更,特權分離和sox供應商管理。