AMT研究报告Sarbanes-Oxley法案影响及合规方案.doc

本文档所载信息和意见仅供参阅。本报告并不提供量身定制的管理信息化咨询建议。报告的撰写并未考虑到企业的具体状况。本报告所探讨的问题可能不适用于所有企业。AMT Group建议企业根据自身的状况和目标确定具体的战略措施。 ■ 资源中心 ■ 教育培训 Resources Center Education Training ■ 管理咨询 ■ IT服务 Management Consulting IT Service 作者简介 郭建荣先生，AMT咨询顾问 郭建荣先生研究和咨询领域是IT治理、Sarbanes-Oxley合规，拥有ITIL/IT服务管理证书 联系方式：Emil.Guo@AMT 王佑先生，AMT合伙人，AMT咨询总监。 王佑先生在流程管理、绩效管理、人力资源管理、知识管理、产品研发管理等领域内具有非常丰富的咨询经验，曾经为国内外的几十家企业作过咨询及培训服务。 联系方式：roger.wang@ 摘要  上世纪末本世纪初，各种公司丑闻屡屡出现，导致美国国会出台了《2002年萨班斯-奥克斯利法案》（the Sarbanes-Oxley Act of 2002，简称SOX法案）。它对公司治理有着极为严格和苛刻的要求，它要求公司针对产生财务交易的所有作业流程，都做到能见度、透明度、控制、通讯、风险管理和欺诈防范，且这些流程必须详加记录到可追查交易源头的地步。SOX法案的要求是全面且复杂的。SOX法案对于上市公司来说，是一个严峻的挑战，同时也是一个改善公司治理的机会。 SOX法案不仅对美国上市公司有影响，也对全球的在美国上市的公司产生重要影响。随着SOX404条款的逐渐实施，该法案的影响正在席卷全球。可以说，SOX法案对全球的影响力直逼上世纪的千年虫事件。 那么，SOX法案主要内容有哪些？它给上市公司带来了哪些挑战？上市公司如何才能像SOX所要求的有效地管理风险？SOX法案有没有什么执行标准？作为财务交易活动不可或缺的IT系统，SOX法案又提出了哪些要求？上市公司的SOX项目有没有切实可行的解决流程？ 本报告试图为您解决这些问题。它通过研究SOX法案对上市公司的挑战及应对方法，希望帮助中国企业明确该法案的要求，可以借此评估自身治理水平与该法案的差距，并尽量地缩短差距，逐 步完善公司治理： 通过概览SOX法案，明确SOX法案对管理层、总体内部控制和IT控制的要求，指出要满足SOX法案的要求，需要在公司治理和文化上作相应的改变； 通过描述COSO的内部控制框架和COBIT框架的控制目标，帮助读者建立内部控制的标杆意识，明晰COSO和COBIT框架主要内容及COBIT与COSO在IT控制方面的对应关系； 通过阐述SOX合规与提升项目的路线图，为读者详细描述了消除差距的流程及其流程中主要包含的工作内容，为内部控制的水平提升提供了参考； 通过对某财富500强公司的SOX合规项目案例的分析，使读者了解该项目过程中主要的工作内容和主要交付物，对SOX合规项目的进程有更清楚的感受。 本报告的读者范围包括： 已经或者准备在美国上市的公司的CEO、CFO、CIO 所有希望减少运营风险加强内部控制的CEO、CIO IT审计师及其他关注Sarbanes-Oxley法案的人员 目录 作者简介 2 摘要 3 目录 5 第一章 关于本报告 6 简介 6 目的 6 受众 6 范围 7 第二章：SOX法案提出严峻挑战 8 SOX法案背景 8 SOX法案主要内容 8 SOX法案对公司管理层的要求 9 财务报告内部控制 11 组织共通的内部控制 11 IT控制 12 总结 15 第三章：如何应对SOX法案的挑战？ 16 设定控制目标 16 COSO内部控制整体框架 16 COBIT：IT的COSO 18 差距分析与审计准备 20 消除差距：SOX合规与提升 22 项目规划 23 确定项目范围 23 风险评估 24 识别主要控制 25 控制设计 25 评估控制设计 26 评估运维 27 纠正缺陷 29 报告 29 持续改进 30 总结 30 第四章：案例分析 31 项目规划 32 控制评估与设计 32 内部审计 36 管理层报告 38 结论与建议 39 索引 40 AMT Group 简介 41 第一章 关于本报告 简介 上世纪末本世纪初，各种公司丑闻屡屡出现，导致美国国会出台了《2002年萨班斯-奥克斯利法案》（the Sarbanes-Oxley Act of 2002，简称SOX法案）。它对公司治理有着极为严格和苛刻的要求，它要求公司针对产生财务交易的所有作业流程，都做到能见度、透明度、控制、通讯、风险管理和欺诈防范，且这些流程必须详加记录到可追查