SOX法案
发布时间:2008-01-17   录入:启明星辰

针对安然、世通等财务欺诈事件,美国国会出台了《2002 年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯—奥克斯利法案》(简称萨班斯法案)。法案对美国《1933 年证券法》、《1934 年证券交易法》作了不少修订,在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。


萨班斯法案主要包括以下几个方面的内容:


 一、成立独立的公众公司会计监察委员会,监管执行公众公司审计职业公众公司会计监察委员会(以下简称PCAOB)负责监管执行公众公司审计的会计师事务所及注册会计师。法案规定:


(一)PCAOB 拥有注册、检查、调查和处罚权限,保持独立运作,自主制定预算和进行人员管理,不应作为美国政府的部门或机构,遵从哥伦比亚非赢利公司法,其成员、雇员及所属机构不应视为联邦政府的官员、职员或机构。


(二)授权美国证券交易委员会(以下简称SEC)对PCAOB 实施监督。PCAOB 由5 名专职委员组成,由SEC 与美国财政部长和联邦储备委员会主席商议任命,任期5 年。5 名委员应熟悉财务知识,其中可以有2 名是或曾经是执业注册会计师,其余3 名必须是代表公众利益的非会计专业人士。


(三)要求执行或参与公众公司审计的会计师事务所须向PCAOB 注册登记。PCAOB 将向登记会计师事务所收取“注册费”和“年费”,以满足其运转的经费需要。


(四)PCAOB 有权制定或采纳有关会计师职业团体建议的审计与相关鉴证准则、质量控制准则以及职业道德准则等。PCAOB 如认为适当,将与指定的、由会计专家组成的、负责制定准则或提供咨询意见的专业团体保持密切合作,有权对这些团体建议的准则进行补充、修改、废除或否决。PCAOB 须就准则制定情况每年向SEC 提交年度报告。

 

(五)根据《1934 年证券交易法》和修订《1933 年证券法》的有关要求,授权SEC 对会计准则制定机构的会计原则是否达到“一般公认”的目标进行认定。该准则制定机构必须符合如下要求:第一,应是民间机构;第二,由某个理事会(或类似机构)管理,该理事会多数成员在过去两年内未在任何会计师事务所任职;第三,经费获取方式与PCAOB相似;第四,通过多数票的方式确保会计原则及时反映新的会计问题和商业实务;第五,制定准则时考虑准则适应商业环境的变动性,以及高质量会计准则国际趋同的必要性或适当性。此外,法案还要求SEC 就美国财务报告系统如何采用以原则为基础的会计准则问题进行研究,并在一年内向国会提交研究报告。


(六)PCAOB 对公众公司审计客户超过100 户以上的会计师事务所,要进行年度质量检查,其它事务所每3 年检查一次。PCAOB 和SEC 可随时对会计师事务所进行特别检查。


(七)PCAOB 有权调查、处罚和制裁违反该法案、相关证券法规以及专业准则的会计师事务所和个人。不过,PCAOB 的处罚程序要受SEC 监督,SEC 可以加重、减轻其做出的处罚,也可以修改或取消其处罚决定。PCAOB 对会计师事务所和个人进行处罚和制裁的形式包括:临时或永久吊销注册;临时或永久禁止个人在会计师事务所执业;临时或永久限制事务所或个人的执业活动、职能等;对于故意、明知故犯、不计后果的行为或者屡犯的过失行为,可对自然人处以75 万美元以下的罚款,对单位处以1500 万美元以下的罚款;对于过失行为,自然人罚款不超过10万美元,单位不超过200 万美元;谴责;强制要求参加附加的专业培训和教育;其它处罚形式。

 

(八)审计美国公司(包括审计美国公司的国外子公司)的外国会计师事务所也必须向PCAOB 登记。

 

二、要求加强注册会计师的独立性

 

(一)修改1934 年《证券交易法》,禁止执行公众公司审计的会计师事务所为审计客户提供列入禁止清单的非审计服务,未明确列入禁止清单的非审计服务也要经过公司审计委员会的事先批准。被禁止的非审计服务包括:簿记服务以及为审计客户提供的与会计记录或财务报表相关的其它服务、财务信息系统设计与实施、评估或估价服务、精算服务、内部审计外包服务、管理职能或人力资源服务、经纪人、投资顾问或投资银行服务、法律服务以及与审计无关的专家服务、公众公司监察委员会根据有关规则认为不可提供的其它服务。


(二)审计合伙人和复核合伙人每5 年必须轮换,规定了注册会计师需向公司审计委员会报告的事项。


(三)如果公司首席执行官、财务总监、首席会计官等高级管理者在前一年内曾在会计师事务所任职,该事务所则被禁止为这家公司提供法定审计服务。


另外,责成各州监管机构自行决定PCAOB 的独立性标准是否适用于未在该委员会登记的中小事务所。


三、要求加大公司的财务报告责任


(一)要求公司的审计委员会负责选择和监督会计师事务所,并决定会计师事务所的付费标准。


(二)要求公司首席执行官和财务总监对呈报给SEC 的财务报告“完全符合证券交易法,以及在所有重大方面公允地反映了财务状况和经营成果”予以保证。对违反证券法规而重编会计报表后发放的薪酬和红利应予退回。


(三)公司财务报告必须反映会计师事务所做出的所有重大调整,年报和季报要披露重大表外交易,以及与未合并实体之间发生的对现在或将来财务状况具有重大影响的其他关系。


(四)SEC 有权对违反证券法规者担任公司的董事或管理人员采取禁入措施。


(五)强制要求公司高级财务人员遵循职业道德规则。


(六)禁止公司给高层管理者或董事贷款,并要求公司管理层在买卖公司股票后立即告知SEC。


四、要求强化财务披露义务


(一)公众公司应进行实时披露,即要求及时披露导致公司经营和财务状况发生重大变化的信息。


(二)由SEC 制定规则,要求公众公司披露对公司财务状况具有重大影响的所有重要的表外交易和关系,且不以误导方式编制模拟财务信息。由SEC 负责对特殊目的实体等表外交易的披露进行研究,提出建议并向国会报告。


 (三)主要股东或高级管理者披露股权变更或证券转换协议的强制期间由原来的10 个工作日减少为2 个工作日。


 (四)由SEC 制定规则,强制要求公众公司年度报告中应包含内部控制报告及其评价,并要求会计师事务所对公司管理层做出的评价出具鉴证报告。


(五)由SEC 制定规则,强制要求公司审计委员会至少应有一名财务专家,并且要予以披露。


五、加重了违法行为的处罚措施


(一)故意进行证券欺诈的犯罪最高可判处25 年入狱。对犯有欺诈罪的个人和公司的罚金最高分别可达500 万美元和2500 万美元。


(二)故意破坏或捏造文件以阻止、妨碍或影响联邦调查的行为将视为严重犯罪,将处以罚款或判处20 年入狱,或予以并罚。


(三)执行证券发行的会计师事务所的审计和复核工作底稿至少应保存5 年。任何故意违反此项规定的行为,将予以罚款或判处20 年入狱,或予以并罚。


(四)公司首席执行官和财务总监必须对报送给SEC 的财务报告的合法性和公允表达进行保证。违反此项规定,将处以50 万美元以下的罚款,或判处入狱5 年。


(五)起诉证券欺诈犯罪的诉讼时效由原来从违法行为发生起3 年和被发现起1 年分别延长为5 年和2 年。


(六)对检举公司财务欺诈的公司员工实施保护措施,并补偿其特别损失和律师费。


六、增加经费拨款,强化SEC 的监管职能


从2003 年度起将SEC 的拨款增加到7.76 亿美元,加强欺诈防范、风险管理、市场监管与投资管理。其中9800 万美元用于招聘200 名工作人员,加强对注册会计师和审计业务的监管。


七、要求美国审计总署加强调查研究

 

(一)授权美国审计总署对会计师事务所强制轮换制度进行研究。

 

(二)要求美国审计总署对1989 年以来的会计师事务所的合并进行研究,评估其现在和未来的影响,并对发现的问题提出解决方案。

 

(三)要求美国审计总署研究导致会计师事务所竞争受限的因素,如高成本、低服务质量、独立性、缺乏选择等。并调查联邦或州的监管政策是否存在妨碍会计师事务所正当竞争的因素。


(四)责成美国审计总署就调查研究的情况,在一年内分别向参议院银行委员会和众议院金融服务委员会报告。

 

 萨班斯-奥克斯利法案,是所有在美国上市的企业都要遵循的法案。SOX法案共11章,其中1-7章主要涉及对会计职业及公司行为的监管,8-11章主要涉及如何界定和追究公司白领犯罪的刑事责任。

 

从IT的角度看SOX法案,主要有4款与IT部门有关,分别是302条款、404条款、409条款和1102条款,其中影响最大的是302条款和404条款。可以发现按照302条款,上市企业的首席执行官CEO 或首席财务官CFO必须就内部控制的缺陷和重大变动向审计委员会进行汇报,要对财务报告签字并承担责任,如果有问题,CEO或CFO将会承担法律责任,该条款已于2002年7月30日生效。进一步解读该法案,我们可以发现对于这些上市企业产生的最大的冲击,实际上是第404条款。会计机构在其编制和发布的企业财务报告中必须出具该企业管理层的关于内部控制效力的证明和汇报。这个条款要求企业管理层对于内部控制承担责任。也就是从对于财务结果负责,延伸到对过程控制负责。针对不同的企业类型,404条款的生效时间不尽相同,针对$75M以上的美国企业是2005年12月15日生效,其它的原计划2006年7月15日生效,但最近又有变化,已经推迟。第404条款如下:

 

第404 节 管理层对内部控制的评价


(a) 内部控制方面的要求——SEC 应当相应的规定,要求按《1934年证券交易法》第13 节(a)或15 节(d)编制的年度报告中包括内部控制报告,包括:


(1) 强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;


(2) 发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价;


(b) 内部控制评价报告——对于本节(a)中要求的管理层对内部控制的评价,担任公司年报审计的会计公司应当对其进行测试和评价,并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。

 

IT的SOX合规不是一个孤立的过程,而是企业以业务为主导的整体SOX合规项目的组成部分。在现实中,由于IT运行环境和IT应用水平迥异,不同的企业在SOX合规过程中的控制重点各不相同。而SOX是一部典型的法律文件,既不是管理手册,也不是行动指南。它规定了企业在整体或业务层面上必须达到的要求,即没有指明企业如何能者达到法案规定的水平。比如SOX要求企业内控必须有效,并在发布财务公告前90日内评估内控效力等。但企业需要控制什么,如何控制,内控效力又如何评估全都不在SOX的范围之内。特别是落实到IT控制方面,SOX完全 没有给出任何指导意见。


这样,在SOX的合规性管理方面,IT部门的主要职责和活动就应该包括:了解组织的内控项目和财务汇报流程;确定与内控活动或财务汇报流程相对应的IT系统;分析辨别这些IT系统带来的风险;设计执行控制措施降低或排队潜在风险,对此进行监控以保证控制措施的长期效力;将控制措施文档化和IT化,并进行测试;即时地对IT控制进行必要的升级和变更,以配合公司内控或财务汇报流程的变化;随时监控IT控制的效力;作为一个重要的职能部门全程参与SOX合规管理项目。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号