SOX 규정 준수란?

사베인스-옥슬리 법(2022년)은 기업의 책임성, 투명성, 재무 보고의 정확성을 강화하여 사기 또는 오해의 소지가 있는 금융 활동으로부터 투자자와 대중을 보호하기 위한 연방법입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • SOX 규정 준수 정의
  • SOX 규정 준수의 중요성 이해하기
  • SOX 규정 준수를 유지하기 위한 요구 사항 살펴보기

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

SOX 규정 준수란?

2002년 제정된 사베인스-옥슬리법은 재무제표 및 보고의 책임성, 기업 지배구조, 투명성을 강화하여 투자자를 보호하는 연방법입니다. 이 법은 상장 기업과 그 기업의 감사인에 대한 여러 가지 규정과 요건을 도입했습니다.

이 법에는 다음과 같은 SOX 규정 준수 요건이 명시되어 있습니다.

  • 감사 기준: 미국상장기업회계감독위원회(PCAOB)의 등록 회계법인에 대한 지속적인 규정 준수 점검 및 규정 미준수 시 징계 조치 등 감사 기준을 수립하고 유지합니다
  • 감사인 독립성: 이해 상충을 방지하기 위해 외부 감사인의 권한, 독립성, 감독을 강화합니다
  • 기업의 책임: CEO와 CFO가 재무제표와 회사 통제의 효과성에 대해 서명하고 재무 보고의 무결성과 정확성에 대해 책임을 지도록 요구합니다
  • 재무 정보 공개 강화: 이해 상충 및 중대한 재정적 의무와 같이 재정적 이해관계에 영향을 미칠 수 있는 공개에 대한 엄격한 규정을 의무화합니다. 또한 중대한 약점 수준에 해당하는 통제 결함도 공개해야 합니다.

SOX 규정 준수가 중요한 이유는?

2002년에 제정된 사베인스-옥슬리 법(일반적으로 SOX라고 함)은 2000년대 초에 발생한 일련의 기업 금융 스캔들에 대한 대응책으로 통과된 미국 연방법입니다. 이러한 스캔들로 인해 기업 지배구조, 회계 방법론, 상장 기업 내 재무 보고의 전반적인 신뢰성과 관련된 상당한 우려가 드러났습니다

사베인스-옥슬리 법의 주요 목적은 기업의 책임성, 투명성, 재무 보고의 정확성을 강화하여 사기 또는 오해의 소지가 있는 금융 활동으로부터 투자자와 일반 대중을 보호하는 것입니다.

SOX 감사란?

사베인스-옥슬리(SOX) 감사(섹션 404 감사라고도 함)에는 재무 보고에 대한 회사의 내부 통제(ICFR)에 대한 철저한 평가가 수반됩니다. 이 감사는 재무제표의 정확성과 신뢰성을 유지하는 데 있어 기업의 내부 통제가 효율적인지를 평가합니다. SOX 감사의 목적은 회사가 재무 보고 프로세스에서 오류 및 사기를 방지 및/또는 감지할 수 있는 적절한 통제를 구축했음을 투자자, 규제 기관, 기타 이해관계자에게 보장하는 것입니다.

SOX 규정 미준수에 대한 처벌은?

사베인스-옥슬리법(SOX)에는 특히 기업의 책임, 재무 보고, 감사인의 독립성, 감사인의 상장회사 감사 수행 등과 관련된 조항을 준수하지 않을 경우 다양한 처벌 규정이 도입되었습니다. 위반의 성격과 정도에 따라 처벌의 강도가 달라질 수 있습니다.

SOX를 준수하지 않을 경우 재정적 벌금과 잠재적 형사 고발을 모두 포함하는 중대한 결과를 초래될 수 있으며, 이는 개인이나 회사나 감사인에게 부과될 수 있습니다. 개별 형사 처벌에는 기소된 개인에게 부과되는 최대 5백만 달러의 벌금과 최대 20년의 징역형이 포함됩니다. 규정 위반에 대해 책임이 있고 이를 인지하고 있는 개인에게는 형사 및 민사 처벌이 부과될 수 있으며, 증권 거래소 상장 폐지와 같은 법적 및 재정적 회사 결과가 추가로 발생할 수 있습니다.

SOX 규정 준수를 보장하는 방법은?

사베인스-옥슬리(SOX) 규정 준수를 보장하려면 재무 보고에 대한 효과적인 내부 통제를 수립하고 유지하기 위한 체계적인 접근 방식이 필요합니다. SOX 규정 준수를 위한 6가지 모범 사례는 다음과 같습니다.

  1. 고위급의 강한 의지: 리더십의 의지가 아주 중요합니다. 이사회, CEO, 고위 경영진은 윤리적 행동, 투명성, SOX 요건 준수에 대한 강력한 의지를 보여야 하며, 이러한 의지가 조직 전체에 지배적인 정신으로 자리 잡아야 합니다.
  2. 정기적인 위험 평가, 검토, 업데이트 수행: 재무 보고 프로세스에서 허위 기재 가능성이 높은 영역을 식별하는 것을 포함하여 프로세스를 검토하고 기존 위험 및 통제를 평가하는 정기적인 주기를 설정합니다.
  3. 엄격한 내부 통제 개발: 금융 정보의 취급 및 보고에 대한 감독을 위한 내부 통제를 개발, 구현, 문서화하고 필요에 따라 이 프로세스를 정기적으로 업데이트합니다.
  4. 효과적인 모니터링 및 테스트: 내부 통제를 위한 정기적인 테스트 및 모니터링 프로세스를 구현합니다. 검토회, 트랜잭션 테스트 등의 방법을 통해 통제 효과를 정기적으로 테스트합니다. 그 결과를 이용하여 부족한 부분을 신속하게 해결합니다.
  5. 공식적인 내부 고발자 정책 제공: 직원이 규정 위반 사례를 안전하고 기밀로 신고할 수 있도록 공식적인 내부 고발자 정책을 수립합니다.
  6. 부서 간 교육 및 규정 준수 실시: 직원들에게 요구 사항, 내부 통제의 중요성, SOX 규정 준수에 대한 직원들의 역할에 대한 교육을 제공합니다.

SOX 규정 준수는 기업 지배구조 및 투명성의 중요한 요소입니다. 이는 재무제표가 정확하고 신뢰할 수 있으며 중요한 허위 기재가 없는지 확인하는 데 도움이 됩니다. 내부 통제의 약점이나 결함을 파악함으로써 기업에서는 프로세스를 개선하고 재무 보고의 신뢰성을 높일 기회를 확보하게 됩니다.

클라우드 제공자는 어떻게 효과적인 제어 환경을 보장할 수 있을까요?

클라우드 제공자는 데이터 위생, 액세스 제어, 데이터 보안에서 핵심적인 역할을 담당하며, 이들은 모두 SOX 및 기타 규정 준수를 위한 효과적인 제어 환경을 보장하는 데 매우 중요합니다.

다음은 클라우드 제공자가 SOX 및 기타 규정 준수 요구 사항에 대한 효과적인 제어 환경을 유지하는 데 도움을 줄 수 있는 6가지 방법입니다.

  1. 저장 중이거나 전송 중인 데이터를 암호화하여 중요한 정보의 기밀성을 보장하고 보호합니다.
  2. 사용자 권한을 관리하고 기밀 데이터에 대한 그룹 또는 개인 액세스를 제한하여 액세스 제어를 유지합니다.
  3. 기밀 데이터를 사일로화하여 기밀 데이터와 상호 작용할 필요가 없는 사용자가 액세스할 수 없도록 합니다.
  4. 사용자 활동에 대한 광범위한 감사 및 로깅을 수행하고, 구성 변경 사항을 추적하며, 의심스러운 활동을 모니터링합니다.
  5. 보안에 대한 기업의 노력을 입증하는 데 도움이 되는 SOC Type II 인증 및 ISO 인증 등의 규정 준수 인증을 획득합니다.
  6. 물리적 보안 조치, 복구, 비즈니스 연속성 계획을 포함하여 정기적인 보안 감사, 취약성 평가, 침투 테스트를 수행합니다.

Cloudflare에서는 조직에서 효과적인 제어 환경을 갖추도록 어떻게 지원할 수 있을까요?

Cloudflare에서는 조직에서 데이터를 어디에 저장하고 처리하는지와 관계없이 데이터를 보호하도록 지원합니다. Cloudflare에서는 ISO/IEC 27701:2019 인증을 받았으며 ISO 27001/27002, 결제 카드 산업 데이터 보안 표준(PCI DSS), SSAE 18 SOC 2 Type II를 준수합니다. 이러한 다양한 데이터 개인정보 보호 표준을 충족함으로써 Cloudflare에서는 고객이 자체 규정 준수 의무를 충족하고 유지하여 효과적인 제어 환경을 보장하도록 지원합니다.

Cloudflare의 인증 및 규정 준수 리소스에 대해 자세히 알아보세요.