美国萨班斯-奥克斯利法案
2011年05月20日 chinabcm 管理员
萨班斯-奥克斯利法案(Sarbanes- Oxley Act of 2002,简称SOX)是美国政府于2002年通过的法律。它是由美国国会参议员保罗.萨班斯和众议员迈克尔.奥克斯利发起的。SOX法案主要是针对一些美国知名大公司(如Enron公司和WorldCom公司)的财务丑闻而制定的。这些丑闻导致公众对上市公司财务报告失去了信任,该法案就是为了通过加强上市公司的财务控制及其报告程序来保护股东和普通民众免受企业统计错误和欺骗行为的损害,从而恢复公众的信任和投资者的信心。
SOX法案由美国证券交易委员会(SEC)负责执行。SEC设置了遵从的底线并发布了规则要求。SOX法案不是商业行为,也不规定企业保存财务记录的方法,而是规定这些记录应该保存多长时间。这一法案不仅影响了公司的财务部门,还影响了负责存储公司电子记录的IT部门。该法案指出所有商业纪录,包括电子记录以及电子消息,都必须保存“至少五年”。违反该法案则会受到严厉的经济处罚(个人最高可处500万美元罚款)并可能承担刑事责任(最高可判监禁20年)。因此,IT部门将面临新的挑战——高效地创建并维护公司记录档案以满足法案提出的要求。
虽然在萨班斯-奥克斯利法案中并没有直接关于BCP(Business Continuity Planning)或DRP(Disaster Recovery Planning)的描述,但其中某些条款的要求,却只有当企业建立了有效的BCP和DRP,才能很好地得到满足。例如,法案的302条款、404条款、及409条款等,都有一些相关的要求。
SOX 302条款“企业财务报告的责任”
在SOX 302条款“企业财务报告的责任”(Section 302:Corporate Responsibility for Financial Reports)中,明确要求企业CEO和CFO签署承诺书以保证其季报和年报的准确性。规定高管层必须在90天内完成内部控制的有效性评价并提交报告,这就要求确保企业财务系统的完整并维持系统服务持续不断。
SOX 404条款“管理内部控制的评估”
在SOX 404条款“管理内部控制的评估”(Section 404:Management Assessment of Internal Controls)中,要求企业编制、测试和报告其内部控制框架,并提供外部审计师对这些控制效果的验证。对普通财务系统和大型企业信息系统都要求有内部控制,并要求在内部控制框架中应包括业务持续规划及灾难恢复的考虑。
SOX 409条款“发行人实时信息披露”
在SOX 409条款“发行人实时信息披露”(Section 409:Real-time Issuer Disclosures)中,要求企业必须在48小时内清楚准确地报告财务状况和经营中的重大变化,这就要求财务监控措施应该高度自动化。因此,当系统在监控过程中遇到离线升级或停电时,或者其他引起系统中断的事件时,要想确保对此时可能发生的“重大变化”继续进行监控,就必须具备有效的BCP和DRP。
以上SOX法案的几个条款中虽没有对BCM的直接要求,但其内容中所要求满足的规定,却给企业间接地提出了实施BCM的要求,因此,只有建立了完善的BCM机制,才能有效地帮助企业满足SOX法案的要求。
