ما المقصود بالامتثال لقانون ساربينز-أوكسلي (SOX)؟

لكي تتمكن الشركات العامة التي تمارس نشاطًا تجاريًا في الولايات المتحدة من تحقيق الامتثال لقانون ساربينز-أوكسلي (SOX)، يجب عليها الالتزام بما يلي:

• تنفيذ عناصر تحكم داخلية لحماية البيانات المالية من التلاعب.
   
• تقديم تقارير منتظمة إلى لجنة الأوراق المالية والبورصات (SEC) تشهد على فعالية عناصر التحكم الأمنية ودقة الإفصاحات المالية.
  
  
• اجتياز تدقيق سنوي مستقل لبياناتها المالية وعناصر التحكم المالية التي تستخدمها.

ويضع قانون ساربينز-أوكسلي (SOX) أيضًا قواعد لشركات المحاسبة التي تقوم بمراجعة حسابات الشركات العامة والمحللين الذين ينشرون أبحاثًا عن الأوراق المالية. ويفرض القانون غرامات كبيرة وعقوبات جنائية على الأنشطة المالية الاحتيالية وبعض أشكال عدم الامتثال.

في حين أن قانون ساربينز-أوكسلي (SOX) بمثابة لائحة تنظيمية مالية، إلا أن الأطراف المعنية من جميع أنحاء المؤسسة يشاركون في تحقيق الامتثال. أصبحت أقسام تكنولوجيا المعلومات وفرق الأمن السيبراني ذات أهمية خاصة حيث تلجأ المؤسسات بشكل متزايد إلى الحلول التكنولوجية لحماية المعلومات المالية في شبكات المؤسسات المعقدة.

وفقًا لتقرير صادر عن شركة Protiviti الاستشارية لعام 2023، تقول أكثر من نصف المؤسسات إن الامتثال لقانون ساربينز-أوكسلي (SOX) يستغرق وقتًا أطول لتحقيقه الآن. تنفق المؤسسات متوسطة الحجم أكثر من مليون دولار أمريكي على جهود الامتثال لقانون ساربينز-أوكسلي (SOX) كل عام.

قانون ساربينز-أوكسلي (SOX) لعام 2002 هو قانون فيدرالي أمريكي شارك في رعايته السيناتور Paul Sarbanes والنائب Michael Oxley. وقد سنّ الكونجرس هذا القانون في أعقاب العديد من الفضائح المالية في مطلع القرن الحادي والعشرين، بما في ذلك انهيار شركات Enron وWorldCom وTyco.

في هذه الحالات وغيرها، استخدمت الشركات العامة مزيجًا من الثغرات المحاسبية والاحتيال الصريح لتضخيم قيمتها، مما تسبب في خسارة المستثمرين للمليارات. على سبيل المثال، عندما تم الكشف عن خداع شركة Enron، انخفض سعر سهمها من 90.75 سنتًا أمريكيًا إلى 60 سنتًا فقط لسهم الواحد.

وفي بعض الحالات، كانت الشركات تتلقى المساعدة من شركات المحاسبة الخارجية التي كان من المفترض أن تقوم بمراجعة حساباتها. فقد أوقفت شركة Arthur Andersen، التي كانت ذات يوم واحدة من "شركات المحاسبة الخمس الكبرى" عملياتها بسبب دورها في فضائح شركتي Enron وWorldCom.

يهدف قانون ساربينز-أوكسلي (SOX) إلى منع الاحتيال في الشركات من خلال وضع التزامات تنظيمية صارمة لكيفية حماية المؤسسات للسجلات المالية من التلاعب، وجعل مدققي الحسابات أكثر استقلالية عن عملائهم.

القانون عبارة عن مشروع قانون شامل يضم 11 عنوانًا في المجمل. وتشمل بعض أهم آثاره ما يلي: 

1. إنشاء مجلس الرقابة المحاسبية على الشركات العامة (PCAOB)
2. تعزيز متطلبات إعداد التقارير المالية.
3. جعل المسؤولين التنفيذيين في الشركات مسؤولين شخصيًا عن الإفصاحات وعناصر التحكم المالية.
4. زيادة استقلالية المدققين والمحللين الخارجيين.
5. حماية المبلغين عن المخالفات.

أسس قانون ساربينز-أوكسلي (SOX) مجلس الرقابة المحاسبية على الشركات العامة (PCAOB)، وهو مؤسسة غير ربحية تضع معايير التدقيق المالي وتنظم شركات المحاسبة التي تقوم بمراجعة حسابات الشركات العامة.

يمكن لمجلس الرقابة المحاسبية على الشركات العامة (PCAOB) التحقيق مع الشركات المشتبه في عدم امتثالها ومعاقبتها بفرض غرامات تصل إلى 10000 دولار أمريكي للأفراد و2000000 دولار أمريكي للمؤسسات.

بموجب قانون بورصة الأوراق المالية لعام 1934، كان على الشركات العامة ذات حجم محدد تقديم تقارير مالية سنوية وربع سنوية إلى لجنة الأوراق المالية والبورصات. ويشدد قانون ساربينز-أوكسلي (SOX) على أن هذه التقارير يجب أن تكون خالية من البيانات المضللة.

ويجب إعداد التقارير وفقا لمبادئ المحاسبة المقبولة عموماً، وهي مجموعة من المعايير التي يفرضها مجلس معايير المحاسبة المالية.

أصبح من الواجب الآن الإبلاغ عن بعض المعاملات خارج الرصيد التي كان بإمكان الشركات في السابق استبعادها من التقارير المالية، مثل الديون التي تحتفظ بها الشركات التابعة غير المدمجة، إذا كان لها تأثير مادي على الوضع المالي للشركة. تُعد المعلومات "مهمة" إذا كان من شأنها أن تجعل مستثمرًا عاقلًا يعيد النظر في قرار الاستثمار.

يجب على الشركات أيضًا إبلاغ الجمهور، في الوقت الفعلي تقريبًا، بأي شيء يشكل تغييرًا جوهريًا في معلوماتها المالية.

أخيراً، يجب على الشركات تنفيذ عناصر تحكم داخلية لحماية البيانات المالية من التلاعب والاستخدام الاحتيالي من قبل جهات داخلية أو خارجية. ويشمل ذلك الاحتفاظ بالسجلات المالية لفترات زمنية معينة.

بموجب قانون ساربينز-أوكسلي (SOX)، فإن الرئيس التنفيذي والمدير المالي وأي مسؤولين في الشركة يؤدون أدوارًا مماثلة مسؤولون شخصيًا عن ضمان صحة البيانات المالية وفعالية هياكل الرقابة الداخلية.

يمكن أن يواجه المديرون التنفيذيون غرامات وأحكامًا جنائية إذا كانت التقارير المالية غير دقيقة، حتى لو لم يتعمدوا تضليل المستثمرين.

ساهم تضارب المصالح في حدوث الفضائح التي أدت إلى تمرير قانون ساربينز-أوكسلي (SOX). غالبًا ما قدمت شركات المحاسبة التي راجعت البيانات المالية للشركات العامة خدمات استشارية مربحة لتلك الشركات نفسها.

شعر المحاسبون بالتحفيز لإنتاج تقارير التدقيق التي وجدها عملاؤهم مقبولة، وإلا فقد يخاطرون بخسارة هذه الترتيبات المربحة.

وبالمثل، فإن المحللين الذين يقدمون تقارير عن قيم الأسهم غالبًا ما يعملون في المؤسسات التي تقدم الخدمات المصرفية الاستثمارية أو غيرها من الخدمات للشركات العامة.

يهدف قانون ساربينز-أوكسلي (SOX) إلى القضاء على هذا التضارب في المصالح بعدة طرق. أولاً، يفرض على الشركات العامة إنشاء لجان تدقيق مستقلة عن الإدارة.

هذه اللجان مسؤولة عن تعيين المدققين المستقلين والتنسيق معهم. كما يجعل قانون ساربينز-أوكسلي (SOX) من غير القانوني للمؤسسات محاولة التأثير على نتائج عمليات التدقيق.

لا يمكن لشركات المحاسبة تقديم خدمات استشارية أو غيرها من الخدمات إلى نفس الشركات التي تقوم بإجراء عمليات تدقيق لها بموجب قانون ساربينز-أوكسلي (SOX)، ويجب على المؤسسات أن تقوم بتبديل المدققين الخارجيين كل خمس سنوات.

يجب أن يعمل محللو الأوراق المالية بشكل مستقل عن الأجزاء المصرفية الاستثمارية لمؤسساتهم. يجب عليهم أيضًا الكشف عن أي تضارب محتمل في المصالح عند إعداد التقارير بشأن الأوراق المالية.

يجعل قانون ساربينز-أوكسلي (SOX) من غير القانوني الانتقام من الموظفين الذين يبلغون عن احتيال محتمل عن طريق تخفيض رتبهم أو فصلهم أو إيقافهم عن العمل أو مضايقتهم أو إلحاق الضرر بهم بأي طريقة أخرى.

وينطبق قانون ساربينز-أوكسلي (SOX) على جميع الشركات المتداولة علنًا التي تمارس نشاطًا تجاريًا في الولايات المتحدة والشركات التابعة لها المملوكة بالكامل. كما ينطبق أيضاً على محللي الأوراق المالية وشركات المحاسبة التي تقوم بمراجعة حسابات الشركات العامة.

على الرغم من أن الشركات الخاصة والمنظمات غير الربحية غير ملزمة عمومًا بقانون ساربينز-أوكسلي (SOX)، إلا أن هناك بعض الاستثناءات. فالشركات الخاصة التي تستعد لطرح أسهمها للاكتتاب العام من خلال طرح عام أولي تخضع لقانون ساربينز-أوكسلي (SOX) عندما تقدم بيان تسجيل لدى لجنة الأوراق المالية والبورصات. المُبلّغون في الشركات الخاصة التي تقدم خدمات للشركات العامة محميون بموجب قانون ساربينز-أوكسلي (SOX) عند الإبلاغ عن سوء سلوك عملائهم من الشركات العامة.

يجعل قانون ساربينز-أوكسلي (SOX) من غير القانوني للمؤسسة - سواء كانت عامة أو خاصة أو غير ربحية - إتلاف السجلات المالية أو تزويرها لعرقلة تحقيق فيدرالي.

على الرغم من أن قانون ساربينز-أوكسلي (SOX) هو لائحة تنظيمية أمريكية، إلا أن له تداعيات على المؤسسات خارج الدولة. فالمؤسسات العامة التي يقع مقرها خارج الولايات المتحدة يجب أن تلتزم بمتطلبات قانون ساربينز-أوكسلي (SOX) إذا كانت تمارس أعمالها داخل الولايات المتحدة.

وقد شجّع إقرار قانون ساربينز-أوكسلي (SOX) أيضاً دولاً أخرى لتبني قوانينها الخاصة لمكافحة الاحتيال المالي، مثل قانون الوفاء بالوعد من أجل اقتصاد قوي في كندا (المعروف أيضاً باسم "قانون C-SOX") وقانون الأدوات المالية والبورصة في اليابان (المعروف أيضاً باسم "قانون J-SOX").

في أوروبا، لاحظ الكثيرون وجود تداخل كبير بين الامتثال لقانون ساربينز-أوكسلي (SOX) والامتثال للائحة العامة لحماية البيانات (GDPR). على وجه الخصوص، تدعم العديد من عناصر التحكم الأمنية وعمليات حماية البيانات نفسها التي تمكّن الامتثال لقانون ساربينز-أوكسلي (SOX) أيضًا الامتثال للائحة العامة لحماية البيانات. وقد طبّق الاتحاد الأوروبي قواعده الخاصة الشبيهة بقانون ساربينز-أوكسلي (SOX) المتعلقة باستقلالية المدققين الماليين أيضًا.

يعني الامتثال لقانون ساربينز-أوكسلي (SOX) في جوهره أن تكون جميع الإفصاحات المالية للمؤسسة دقيقة تمامًا وأن يكون لدى المؤسسة ضوابط ووثائق تدعم بياناتها المالية.

ومع ذلك، يمكن أن تكون عملية تحقيق الامتثال لقانون ساربينز-أوكسلي (SOX) معقدة. لا يحدد قانون ساربينز-أوكسلي (SOX) بشكل شامل كل عناصر التحكم التي تحتاجها المؤسسة أو كل خطوة يجب على المدققين اتخاذها. تتمكن المؤسسة من تحقيق الامتثال لقانون ساربينز-أوكسلي (SOX) بطرق مختلفة.

على مستوى عالٍ، يتضمن قانون ساربينز-أوكسلي (SOX) ثلاثة متطلبات عامة:

1. تقديم تقارير مالية دقيقة معتمدة من المديرين التنفيذيين للشركات.
   
2. تنفيذ عناصر التحكم الداخلية المناسبة.
   
3. اجتياز عمليات التدقيق المنتظمة.

بموجب المادة 302 من قانون ساربينز-أوكسلي (SOX)، "مسؤولية الشركات عن التقارير المالية،" يجب على الرئيس التنفيذي أو المدير المالي أو من يعادلهم من القادة التوقيع على كل تقرير مالي سنوي وربع سنوي يتم تقديمه إلى لجنة الأوراق المالية والبورصات.

عند التوقيع على التقارير، يجب أن يشهد الرئيس التنفيذي والمدير المالي أن البيانات المالية دقيقة تمامًا. يجب عليهم أيضًا التأكيد على أن عناصر التحكم الداخلية المناسبة موجودة وتم التحقق من صحتها خلال التسعين يومًا الماضية.

بموجب المادة 404 من قانون ساربينز-أوكسلي (SOX)، "التقييم الإداري لعناصر التحكم الداخلية،" يجب أن يتضمن كل تقرير مالي سنوي يُقدم إلى لجنة الأوراق المالية والبورصات تقريراً متعمقاً عن الرقابة الداخلية. وينص تقرير الرقابة الداخلية على أن الإدارة مسؤولة عن عناصر التحكم الداخلية وتقييم فعالية عناصر التحكم الداخلية للشركة اعتبارًا من نهاية السنة المالية الأخيرة.

يجب على المؤسسات الإبلاغ عن أي تغييرات جوهرية تطرأ على وضعها المالي فورًا. في حين أن حوادث الأمن السيبراني تُعتبر تغييرات جوهرية بموجب قانون ساربينز-أوكسلي (SOX)، تجدر الإشارة إلى أن هيئة الأوراق المالية والبورصات الأمريكية (SEC) قد اعتمدت قواعد جديدة في يوليو 2023، مما جعل متطلبات الإبلاغ عن هذه الحوادث أكثر صرامة.

تجدر الإشارة إلى أنه يتعين على المؤسسات الإبلاغ عن حوادث الأمن السيبراني خلال أربعة أيام من تاريخ التأكد من أن الحادثة قد يكون لها أو يُحتمل أن يكون لها تأثير ملموس. ويجب على الشركات الإبلاغ عن الحوادث التي تتعرض لها جهات خارجية، مثل الخدمات السحابية، إذا كان من الممكن أن تؤثر عليها بشكل ملموس.

تطبق الشركات عناصر التحكم الداخلية التي يفرضها قانون ساربينز-أوكسلي (SOX) لمنع الجهات الفاعلة الخبيثة الداخلية والخارجية من تغيير البيانات المالية عن طريق الاحتيال أو استخدامها لأغراض غير مشروعة.

لا يُحدد قانون ساربينز-أوكسلي (SOX) صراحةً جميع عناصر التحكم التي يجب على الشركات تطبيقها. غالبًا ما تعتمد المؤسسات على أُطر عمل حوكمة متخصصة في حوكمة الشركات مثل إطار عمل أهداف الرقابة على المعلومات والتقنيات ذات الصلة، التابع لجمعية تدقيق ومراقبة أنظمة المعلومات. 

إطار عمل لجنة المنظمات الراعية للجنة Treadway بشعبية أيضًا. على الرغم من أن أُطر العمل هذه لم يتم تطويرها خصيصًا من أجل قانون ساربينز-أوكسلي (SOX)، إلا أن مخططات الرقابة التي تقدمها عادةً ما تلبي متطلبات الامتثال التي يفرضها قانون ساربينز-أوكسلي (SOX).

تقوم المؤسسات بتنفيذ عناصر التحكم على مستوى كل من عمليات الأعمال والبنية التحتية لتكنولوجيا المعلومات.

تتضمن عناصر التحكم في عمليات الأعمال أشياء مثل تدريب الموظفين على متطلبات قانون ساربينز-أوكسلي (SOX) وإنشاء قنوات إبلاغ آمنة للمبلغين عن المخالفات.

تطبق العديد من الشركات أيضًا مبدأ الفصل بين الواجبات، وهو مبدأ يتم بموجبه تقسيم مهام سير العمل إلى أجزاء متعددة، ويتحمل مسؤولية كل خطوة موظفون مختلفون.

والفكرة هي أنه لا يوجد موظف واحد يتحكم في سير العمل بالكامل، ويعمل كل شخص معني كجهة رقابة على الآخرين. ومن الأمثلة النموذجية على ذلك جعل الشخص الذي يوافق على المدفوعات ليس هو نفس الشخص الذي يكتب الشيكات من حساب الشركة.

يمكن للشركات أيضًا إنشاء عمليات لتخزين السجلات والحفاظ عليها لتتوافق مع متطلبات قانون ساربينز-أوكسلي (SOX) بشأن الاحتفاظ بالمستندات. على سبيل المثال، يُطلب من المدققين حفظ أي أوراق عمل مرتبطة بالتدقيق لمدة سبع سنوات.

اكتسبت الأتمتة أهمية متزايدة ضمن جهود الامتثال لقانون ساربينز-أوكسلي (SOX) حيث تنمو شبكات المؤسسات بمزيد من التعقيد. وفقا لتقرير Protiviti، تمتلك الشركة متوسطة الحجم 36 تطبيقاً تجارياً تندرج تحت متطلبات قانون ساربينز-أوكسلي (SOX). يمكن أن تساعد عناصر التحكم في أمان تكنولوجيا المعلومات في فرض قواعد قانون ساربينز-أوكسلي (SOX) عبر جميع هذه التطبيقات.

تستخدم بعض المؤسسات برامج متخصصة للامتثال لقانون ساربينز-أوكسلي (SOX) لتخزين البيانات والوثائق المتعلقة بقانون ساربينز-أوكسلي (SOX) بشكل آمن، وتتبع النشاط ذي الصلة وتحديد الثغرات في عناصر التحكم الداخلية. ومع ذلك، يمكن للشركات أيضًا استخدام أدوات الأمن السيبراني الأكثر شيوعًا لأغراض تحقيق الامتثال لقانون ساربينز-أوكسلي (SOX).

يمكن لأدوات حماية البيانات، مثل حلول منع فقدان البيانات (DLP)، تتبع مكان تخزين البيانات الحساسة ومن يصل إليها وماذا يفعل بها. يمكن لبعض أدوات منع فقدان البيانات أيضا منع المستخدمين من إجراء تغييرات غير مصرح بها على البيانات المالية أو نقلها إلى مواقع غير مصرح بها. قد تستخدم المؤسسات النسخ الاحتياطي بحيث يمكن استرداد البيانات في حالة إتلافها أو العبث بها.

تتيح حلول إدارة الهوية والوصول (IAM) للمؤسسات تعيين سياسات تحكم في الوصول متعدد المستويات وفقًا لمبدأ الحد الأدنى من الصلاحيات. يُمنح الموظفون أقل الصلاحيات اللازمة فقط التي يحتاجونها لأداء وظائفهم.

يمكن لمنصات إدارة الهوية والوصول (IAM) أيضًا تبسيط إدارة التغيير بحيث يمكن للمؤسسات تحديث أذونات الوصول وإزالتها بسرعة عند انضمام الأشخاص إلى المؤسسة أو تغيير أدوارهم أو مغادرتهم.

يمكن للشركات استخدام حلول إدارة معلومات الأمان والأحداث الأمنية (SIEM) لمراقبة نشاط الشبكة، والكشف عن الاختراقات الأمنية ، والاستجابة للحوادث بشكل أسرع. كما تحتفظ حلول SIEM بسجلات أمنية تساعد المؤسسات على إثبات الامتثال أثناء عمليات التدقيق المرتبطة بقانون ساربينز-أوكسلي (SOX).

تحتوي بعض أدوات SIEM على ميزات مدمجة خاصة بقانون ساربينز-أوكسلي (SOX) أو تتكامل مع الأدوات التي يتوفر بها ذلك، مما يسمح لها بتسجيل المعلومات ذات الصلة تلقائيًا وإنشاء تقارير الامتثال.

تمتد التزامات أمن المعلومات بموجب قانون ساربينز-أوكسلي (SOX) إلى مراكز البيانات السحابية حيث تقوم المؤسسات بتخزين أو معالجة المعلومات المالية. ويتعين على الشركات أيضًا مراعاة تعيين عناصر تحكم تختص بمصادر البيانات هذه أيضًا.

كما هو مذكور أعلاه، يجب أن يشهد الرئيس التنفيذي والمدير المالي على دقة كل تقرير مالي وفعالية عناصر التحكم الداخلية. وتوفر عمليات التدقيق المنتظمة للمديرين التنفيذيين الإثبات الذي يحتاجون إليه للإدلاء بهذه التصريحات.

من خلال إجراء عمليات تدقيق داخلية منتظمة لممارسات إعداد التقارير المالية وعناصر التحكم في البيانات، يمكن للشركات مراقبة الامتثال بمرور الوقت وتحديد الثغرات ومعالجة نقاط الضعف.

يمكن أن تساعد نتائج عمليات التدقيق الداخلية أيضًا المدققين الخارجيين الذين يقومون بعمليات تدقيق الامتثال السنوية المتعلقة بقانون ساربينز-أوكسلي (SOX). في التدقيق السنوي، تجري شركة محاسبة مستقلة تقييمها الخاص لعناصر التحكم الداخلية والتقارير المالية. غالبًا ما يتم تضمين النتائج الخاصة بهذا التدقيق في تقرير هيئة الأوراق المالية والبورصات (SEC) السنوي للشركة.

في الماضي، كان لزامًا على المدققين الإبلاغ عما إذا كانوا يشعرون أن تقييمات الإدارة لعناصر التحكم الداخلية كانت دقيقة. تمت إزالة هذا الشرط عندما اعتمدت هيئة الأوراق المالية والبورصات معيار التدقيق رقم 5 في عام 2007.

لا يحدد قانون ساربينز-أوكسلي (SOX) بالضبط كيف يجب على المديرين وشركات المحاسبة إجراء عمليات التدقيق الخاصة بهم. بدلاً من ذلك، تنص هيئة الأوراق المالية والبورصات على أنه يجب على المدققين والمديرين استخدام تقييم المخاطر من أعلى إلى أسفل (TDRA) لتحديد نطاق عمليات التدقيق الخاصة بهم. يحدد TDRA الحسابات والإفصاحات والمجالات الأخرى الأكثر عرضة لخطر الاحتيال المادي وتركز على تقييم عناصر التحكم الرئيسية التي تعالج تلك المخاطر.

إن الامتثال لقانون ساربينز-أوكسلي (SOX) له عدة فوائد. فالمستثمرون قد يكونون أكثر ثقة في عمليات الكشف عن البيانات المالية، وبالتالي أكثر استعداداً للاستثمار في الشركات الممتثلة لمعايير قانون ساربينز-أوكسلي (SOX). كما أن قانون ساربينز-أوكسلي (SOX) يقلل أيضاً من الحوافز التي تدفع قادة الشركات إلى ارتكاب الاحتيال بتحميلهم المسؤولية الشخصية عن البيانات المالية.

قد يساعد الامتثال لقانون ساربينز-أوكسلي (SOX) المؤسسات على تحسين أوضاع الأمن السيبراني بشكل عام. ويمكن للعديد من عناصر التحكم في أمن البيانات التي تستخدمها المؤسسات لمنع التلاعب المالي أيضًا مكافحة الهجمات الإلكترونية. على سبيل المثال، تساعد حلول إدارة الهوية والوصول (IAM) على إبقاء المخترقين خارج حسابات المستخدمين، ويمكن لأدوات SIEM المساعدة في اكتشاف الحوادث الأمنية المستمرة في وقت أقرب.

كما يمكن أن يؤدي عدم الامتثال لقانون ساربينز-أوكسلي (SOX) إلى فرض عقوبات مدنية وجنائية على المؤسسات والأفراد.

يمكن تغريم المديرين التنفيذيين الذين يصادقون على تقرير مالي غير دقيق بغرامة تصل إلى مليون دولار أمريكي والسجن لمدة تصل إلى 10 سنوات. ويمكن تغريم المديرين التنفيذيين الذين يتعمدون التصديق على بيانات مضللة بغرامة تصل إلى 5 ملايين دولار أمريكي والسجن لمدة تصل إلى 20 عامًا.

يمكن أيضًا استرداد التعويضات المرتبطة بالحوافز من المديرين التنفيذيين إذا اضطرت المؤسسة إلى إصدار إعادة بيان مالي. بموجب قواعد هيئة الأوراق المالية والبورصات المعتمدة في عام 2022 لا يشترط أن يكون المديرون التنفيذيون مذنبين بسوء السلوك. يتم تفعيل استرداد التعويضات تلقائيًا في أي وقت تُظهر فيه إعادة البيان أن الأهداف المرتبطة بالحوافز لم تتحقق.

كما أن قانون ساربينز-أوكسلي (SOX) يجعل من غير القانوني إتلاف السجلات المالية أو تغييرها أو التدخل فيها بأي طريقة أخرى. ويمكن أن يواجه الموظفون الأفراد أحكامًا بالسجن تصل إلى 20 عامًا عند قيامهم بذلك. ويواجه موظفو الشركات الذين ينتقمون من المبلّغين عن المخالفات غرامات وأحكاماً بالسجن تصل إلى 10 سنوات.

يمكن للجنة الأوراق المالية والبورصات منع الأشخاص الذين ينتهكون قواعد قانون ساربينز-أوكسلي (SOX) من العمل كمسؤولين ومديرين وسماسرة ومستشارين وتجار. ويمكن حتى شطب الشركات من بورصات الأوراق المالية في حالة عدم الامتثال بشكل كبير.