Co to jest zgodność z SOX 404 i jak ją osiągnąć?

Opublikowany: 2021-10-08

Zgodność z SOX 404 jest koniecznością dla wszystkich spółek giełdowych w Stanach Zjednoczonych, oprócz spółek zależnych będących w całości własnością i notowanych na giełdzie spółek zagranicznych, które prowadzą działalność w USA.

Został stworzony po wielu głośnych skandalach korporacyjnych na początku 2000 roku i został wprowadzony w celu lepszej ochrony akcjonariuszy i zwiększenia przejrzystości poprzez spójne i dokładne ujawnianie informacji korporacyjnych.

W 11 tytułach SOX znajduje się wiele sekcji, ale niektóre będą bardziej istotne dla firm ze względu na ich zakres i koszty – w szczególności SOX 404, który dotyczy oceny kontroli wewnętrznych dotyczących sprawozdawczości finansowej.

Zgodność z SOX 404 może być bardzo kosztowna, ale dzięki nowoczesnej technologii i zarządzaniu dokumentami wiele wcześniej ręcznych procesów można zautomatyzować, zmniejszając ryzyko i koszty.

W tym poście na blogu przyjrzymy się SOX 404, w tym, co jest wymagane i co organizacje mogą zrobić, aby zachować zgodność.

Co to jest sekcja SOX 404?

Sekcja 404 ustawy SOX jest najbardziej kosztownym i złożonym aspektem zgodności z SOX i dotyczy rocznej sprawozdawczości finansowej.

Artykuł 404 wymaga, aby sprawozdania roczne zawierały własną ocenę kontroli wewnętrznej w zakresie sprawozdawczości finansowej, a także audytora poświadczającego i przedstawiającego ocenę firmy.

Audytor ten musi być osobą trzecią i musi wykazać wiarygodność i dokładność kontroli wewnętrznych firmy.

Zgodnie z sekcją 404, rejestrujący SEC będą musieli dołączyć do swojego rocznego zgłoszenia:

  • Oświadczenie o odpowiedzialności kierownictwa za ustanowienie i utrzymanie adekwatnej kontroli wewnętrznej nad sprawozdawczością finansową
  • Oświadczenie określające ramy stosowane przez kierownictwo do oceny skuteczności kontroli wewnętrznej
  • Ocena kierownictwa dotycząca skuteczności kontroli wewnętrznej na koniec ostatniego roku obrotowego spółki
  • Oświadczenie, że audytor zewnętrzny spółki wydał raport atestacyjny z oceny kierownictwa

Co oznaczają kontrole wewnętrzne?

W każdej firmie, bez względu na jej wielkość, kadra kierownicza najwyższego szczebla musi przestrzegać zestawu standardów, aby zapewnić dokładność swoich sprawozdań finansowych.

Samo prawodawstwo nie określa dokładnie, co firmy muszą zrobić, aby spełnić swoje standardy kontroli wewnętrznej – doprowadziło to do wielu interpretacji, co tak naprawdę oznacza „kontrola wewnętrzna”.

Na szczęście istnieją już ramy, w szczególności Ramy Kontroli Wewnętrznej COSO, opracowane jako wspólna inicjatywa pięciu organizacji: Instytutu Audytorów Wewnętrznych (IIA), Amerykańskiego Instytutu Biegłych Rewidentów (AICPA), Międzynarodowych Dyrektorów Finansowych (FEI), Stowarzyszenia księgowych i specjalistów finansowych w biznesie (IMA) oraz American Accounting Association (AAA).

Kontrole opisane w Ramach Kontroli COSO są odpowiednie do przyjęcia dla firm, które chcą zapewnić zgodność z SOX 404.

Ramy COSO

Ramy COSO zawierają 17 zasad w pięciu podsekcjach, których należy przestrzegać, aby wykazać zewnętrznemu audytorowi, że firma spełnia wymogi cyberbezpieczeństwa SOX.

5 elementów ram COSO | Co to jest zgodność z SOX 404 i jak ją osiągnąć?

Kontrolować środowisko

Środowisko kontroli określa zestaw standardów i procesów, które są podstawą przeprowadzania kontroli wewnętrznej w firmie.

Skuteczny system kontroli wewnętrznej opiera się na środowisku kontroli i powinien kierować się celami strategicznymi:

  • Zapewnienie rzetelnej sprawozdawczości finansowej interesariuszom wewnętrznym i zewnętrznym
  • Sprawne i efektywne prowadzenie biznesu
  • Przestrzeganie wszystkich obowiązujących przepisów i regulacji
  • Ochrona aktywów i poufnych informacji

Powiązane zasady

  1. Wykazać zaangażowanie w uczciwość i wartości etyczne
  2. Upewnij się, że rada sprawuje nadzór
  3. Ustanowienie struktur, linii podległości, uprawnień i obowiązków
  4. Wykazać zaangażowanie w kompetentną siłę roboczą
  5. Pociągaj ludzi do odpowiedzialności

Ocena ryzyka dla SOX

Ocena ryzyka dla SOX ma kluczowe znaczenie dla określenia czynników ryzyka firmy i sposobu zarządzania nimi.

W tym przypadku „ryzyko” definiuje się jako prawdopodobieństwo wystąpienia zdarzenia, które zakłóci realizację celów biznesowych.

Ocena ryzyka wymaga od najwyższego kierownictwa rozważenia konsekwencji zmian w środowisku kontrolnym i podjęcia działań tam, gdzie jest to właściwe w celu zarządzania ryzykiem.

Powiązane zasady

  1. Określ odpowiednie cele
  2. Identyfikuj i analizuj ryzyka
  3. Oceń ryzyko oszustwa
  4. Zidentyfikuj i przeanalizuj zmiany, które mogą znacząco wpłynąć na kontrole wewnętrzne

Działania kontrolne

Działania kontrolne odnoszą się do działań, które są podejmowane, aby złagodzić ryzyko określone w ocenie ryzyka.

Działania te mogą mieć charakter prewencyjny lub detektywistyczny i mogą być wykonywane na wszystkich poziomach organizacji.

Powiązane zasady

  1. Wybierz i opracuj działania kontrolne, które ograniczają ryzyko
  2. Wybierz i opracuj kontrolę technologii
  3. Wdrażaj działania kontrolne za pomocą zasad i procedur

Informacja i komunikacja

Informacje i komunikaty płynące w górę, w dół i między organizacjami są udostępniane efektywnie i wydajnie.

Systemy informacyjne i repozytoria muszą dostarczać odpowiednim interesariuszom informacje, które są istotne dla ich ustalonych celów w sposób terminowy i wystarczająco zrozumiały.

To samo jest konieczne dla interesariuszy spoza organizacji.

Powiązane zasady

  1. Korzystaj z odpowiednich, wysokiej jakości informacji w celu wsparcia funkcji kontroli wewnętrznej
  2. Przekazywanie informacji dotyczących kontroli wewnętrznej wewnętrznie
  3. Przekazywać informacje dotyczące kontroli wewnętrznej na zewnątrz

Monitorowanie

Organizacja powinna przyjąć bieżące oceny kontroli wewnętrznych w celu zapewnienia prawidłowego działania funkcji kontroli wewnętrznej.

W przypadku wykrycia niedociągnięć należy je ocenić i przekazać w odpowiednim czasie kierownictwu wyższego szczebla i radzie dyrektorów (w razie potrzeby), aby można je było szybko skorygować.

Powiązane zasady

  1. Wykonywanie bieżących lub okresowych ocen kontroli wewnętrznych (lub kombinacji tych dwóch)
  2. Informować o niedociągnięciach kontroli wewnętrznej

Dlaczego powinieneś ustanowić ramy COSO w swojej firmie?

Jeśli organizacja nie wdroży mechanizmów kontrolnych w ramach COSO, może równie dobrze naruszyć wymagania SOX 404 nałożone przez prawo federalne dotyczące sprawozdawczości finansowej.

Audytorzy ocenią możliwości kontroli wewnętrznej firmy w porównaniu z ramami COSO, więc najlepiej jest, aby firmy trzymały się tego standardu, aby przestrzegać SOX.

Jak wdrożyć ramy COSO

Powiązany post: Co się dzieje podczas audytu ryzyka cyberbezpieczeństwa?

Wdrażanie COSO obejmuje ocenę, gdzie obecnie znajduje się organizacja wśród jej pięciu podsekcji i zrozumienie, co jest potrzebne, aby osiągnąć standard.

Będzie to obejmować audyt SOX, który powinien obejmować ramy COSO i ocenę 17 zasad, o których mowa wcześniej, zazwyczaj w czterech odrębnych etapach.

Planowanie i zakres

Wdrożenie rozpoczyna się na początku: zaangażowani zostaną kluczowi interesariusze, a audytorzy cyberbezpieczeństwa wyznaczą odpowiednich interesariuszy dla każdej z zasad.

Na przykład, dyrektorzy wyższego szczebla będą zaangażowani w wiele działań związanych ze środowiskiem kontroli, podczas gdy personel IT może być zaangażowany w politykę technologiczną i zasady procedur, a zgodność może być zaangażowana jako kluczowy interesariusz dla zasad monitorowania.

Audytorzy będą musieli mieć pełny obraz tego, gdzie przechowywane są wszystkie dane biznesowe, w tym w aplikacjach innych firm działających w sieci firmowej.

Wykonanie

Audytorzy przeprowadzą testy penetracyjne i skanowanie podatności w celu jasnego ustalenia, na jakim etapie firma stoi przy obecnym modelu w ramach COSO.

Analiza i raportowanie

Wyniki te zostaną następnie przekazane kluczowym interesariuszom, a następnie wydane zostaną zalecenia, które pomogą uzyskać zgodność firmy z ramami COSO, dzięki czemu organizacja może mieć pewność, że jest zgodna z SOX 404.

Dolna linia

Zgodność z SOX 404 jest niezbędną, ale szczerze mówiąc dość złożoną formą zgodności dla spółek giełdowych.

Wymagania SOX 404 oznaczają przestrzeganie ram COSO. Jego 17 zasad zapewnia solidną podstawę i środki, aby organizacja była zgodna z SOX 404. Dobrym pomysłem dla firm jest przestrzeganie tego standardu, aby dostosować swoje wewnętrzne kontrole do standardu.

Aby wdrożyć ramy COSO, firmy powinny rozważyć zatrudnienie dostawcy zarządzanych usług bezpieczeństwa w celu przeprowadzenia audytu ich systemów i przedstawienia zaleceń dotyczących rozwiązań, zasad i procedur, które należy przyjąć, aby zapewnić zgodność.

Jeśli musisz zachować zgodność z SOX 404, ale nie masz pewności, od czego zacząć, rozważ przeprowadzenie oceny ryzyka SOX wykonanej przez Impact. Skontaktuj się z nami już dziś, aby zapewnić sobie przyszłość.