Ce este conformitatea cu SOX 404 și cum o poți realiza?

Publicat: 2021-10-08

Conformitatea cu SOX 404 este o necesitate pentru toate companiile cotate la bursă din Statele Unite, pe lângă filialele deținute integral și companiile străine cotate la bursă care desfășoară afaceri în SUA.

Acesta a fost creat după o serie de scandaluri corporative importante de la începutul anilor 2000 și a fost pus în aplicare pentru a proteja mai bine acționarii și pentru a crește transparența prin dezvăluiri corporative consecvente și precise.

Există o serie de secțiuni în cele 11 titluri ale SOX, dar unele vor fi mai pertinente pentru întreprinderi din cauza domeniului și costului lor – în special SOX 404, care se referă la evaluarea controalelor interne privind raportarea financiară.

Conformitatea cu SOX 404 poate fi foarte costisitoare, dar prin tehnologia modernă și managementul documentelor, multe procese anterior manuale pot fi automatizate, reducând riscurile și costurile.

În această postare pe blog, vom arunca o privire la SOX 404, inclusiv ceea ce este necesar și ce pot face organizațiile pentru a se conforma.

Ce este secțiunea 404 SOX?

Secțiunea 404 din Legea SOX este cel mai costisitor și complex aspect al conformității SOX și se referă la raportarea financiară anuală.

Secțiunea 404 cere ca rapoartele anuale să includă evaluarea proprie a companiei asupra controalelor interne asupra raportării financiare, precum și un auditor care atestă și raportează asupra evaluării companiei.

Acest auditor trebuie să fie o terță parte și trebuie să demonstreze fiabilitatea și acuratețea controalelor interne ale unei companii.

În conformitate cu Secțiunea 404, înregistrații SEC vor fi obligați să includă în depunerea lor anuală:

  • O declarație de responsabilitate a conducerii pentru stabilirea și menținerea unui control intern adecvat asupra raportării financiare
  • O declarație care identifică cadrul utilizat de conducere pentru a evalua eficacitatea controlului intern
  • Evaluarea de către conducere a eficacității controlului intern la sfârșitul celui mai recent sfârșit de an fiscal al companiei
  • O declarație conform căreia auditorul extern al companiei a emis un raport de atestare privind evaluarea conducerii

Ce înseamnă controlul intern?

În orice companie, indiferent de dimensiunea lor, personalul de conducere trebuie să mențină un set de standarde pentru a asigura acuratețea situațiilor financiare.

Legislația în sine nu specifică exact ce trebuie să facă companiile pentru a-și îndeplini standardele de control intern – acest lucru i-a determinat pe mulți să interpreteze ce înseamnă de fapt „controale interne”.

Din fericire, există cadre existente, în special Cadrul de control intern COSO, dezvoltat ca o inițiativă comună între cinci organizații: Institutul Auditorilor Interni (IIA), Institutul American al Contabililor Publici Autorizați (AICPA), Executivii Financiari Internaționali (FEI), Asociația of Accountants and Financial Professionals in Business (IMA) și American Accounting Association (AAA).

Controalele prezentate în Cadrul de control COSO sunt adecvate pentru a fi adoptate de companiile care doresc să asigure conformitatea SOX 404.

Cadrul COSO

Cadrul COSO conține 17 principii în cinci subsecțiuni care ar trebui urmate pentru a demonstra unui auditor terț că compania respectă cerințele de securitate cibernetică SOX.

5 componente ale cadrului COSO | Ce este conformitatea cu SOX 404 și cum o poți realiza?

Mediul de control

Mediul de control stabilește setul de standarde și procese care stau la baza realizării controlului intern în cadrul unei companii.

Un sistem eficient de control intern se bazează pe mediul de control și ar trebui să fie condus de obiectivele strategice de:

  • Furnizarea de rapoarte financiare de încredere părților interesate interne și externe
  • Operarea afacerii eficient și eficient
  • Respectarea tuturor legilor și reglementărilor aplicabile
  • Protejarea activelor și a informațiilor sensibile

Principii asociate

  1. Demonstrați angajamentul față de integritate și valori etice
  2. Asigurați-vă că consiliul își exercită responsabilitatea de supraveghere
  3. Stabiliți structuri, linii de raportare, autorități și responsabilități
  4. Demonstrați angajamentul față de o forță de muncă competentă
  5. Trage oamenii la răspundere

Evaluarea riscului pentru SOX

O evaluare a riscurilor pentru SOX este crucială pentru a determina care sunt factorii de risc ai unei companii și cum vor fi gestionați.

În acest caz, „riscul” este definit ca probabilitatea ca un eveniment să se producă care va perturba obiectivele de afaceri.

Evaluarea riscurilor impune managementului superior să ia în considerare implicațiile schimbărilor în mediul de control și să ia măsuri, acolo unde este cazul, pentru a gestiona riscul.

Principii asociate

  1. Precizați obiectivele adecvate
  2. Identificați și analizați riscurile
  3. Evaluați riscurile de fraudă
  4. Identificați și analizați schimbările care ar putea afecta semnificativ controalele interne

Activități de control

Activitățile de control se referă la acțiunile întreprinse care ajută la atenuarea riscurilor determinate în evaluarea riscurilor.

Aceste activități pot fi preventive sau detective și pot fi efectuate la toate nivelurile în cadrul unei organizații.

Principii asociate

  1. Selectați și dezvoltați activități de control care atenuează riscurile
  2. Selectați și dezvoltați controale tehnologice
  3. Desfășurați activități de control prin politici și proceduri

Informații și comunicații

Informațiile și comunicațiile care circulă în sus, în jos și între organizații sunt partajate eficient și eficient.

Sistemele și depozitele de informații trebuie să furnizeze părților interesate adecvate informații relevante pentru obiectivele lor stabilite în timp util și într-un mod suficient de înțeles.

Același lucru este necesar și pentru părțile interesate din afara organizației.

Principii asociate

  1. Utilizați informații relevante și de calitate pentru a sprijini funcția de control intern
  2. Comunicați informațiile de control intern pe plan intern
  3. Comunicați informațiile de control intern în exterior

Monitorizarea

Evaluările continue ale controalelor interne ar trebui adoptate de către organizație pentru a se asigura că funcțiile de control intern funcționează corect.

Atunci când se constată deficiențe, acestea trebuie evaluate și comunicate în timp util conducerii superioare și consiliului de administrație (dacă este necesar), astfel încât să poată fi corectate rapid.

Principii asociate

  1. Efectuați evaluări continue sau periodice ale controalelor interne (sau o combinație a celor două)
  2. Comunicați deficiențele de control intern

De ce ar trebui să stabiliți cadrul COSO în afacerea dvs.?

Dacă o organizație nu reușește să implementeze controalele cadrului COSO, este foarte bine să încalce cerințele SOX 404 impuse de legea federală pentru raportarea financiară.

Auditorii vor evalua capacitățile de control intern ale unei companii în raport cu cadrul COSO, așa că cel mai bine este ca companiile să se mențină la acel standard pentru a respecta SOX.

Cum să implementați cadrul COSO

Postare asociată: Ce se întâmplă în timpul unui audit de risc de securitate cibernetică?

Implementarea COSO implică evaluarea unde se află o organizație în prezent printre cele cinci subsecțiuni ale sale și înțelegerea a ceea ce este necesar pentru a ajunge la standard.

Acesta va cuprinde un audit SOX, care ar trebui să includă cadrul COSO și o evaluare a celor 17 principii menționate mai devreme, de obicei în patru etape distincte.

Planificarea și domeniul de aplicare

Implementarea începe de la început: părțile interesate cheie vor fi implicate, iar auditorii de securitate cibernetică vor desemna părțile interesate corecte pentru fiecare dintre principii.

De exemplu, directorii executivi vor fi angajați pentru multe dintre activitățile Mediului de control, în timp ce personalul IT poate fi angajat pentru politicile tehnologice și principiile procedurilor, iar o conformitate poate fi angajată ca parte interesată cheie pentru principiile de monitorizare.

Auditorii vor trebui să aibă o imagine completă a locului în care sunt stocate toate datele de afaceri, inclusiv în aplicațiile terțe care operează în rețeaua companiei.

Execuţie

Auditorii vor efectua teste de penetrare și scanare a vulnerabilităților pentru a stabili în mod clar unde se află afacerea cu modelul actual în cadrul COSO.

Analiză și raportare

Aceste rezultate vor fi apoi raportate principalelor părți interesate și vor fi făcute recomandări pentru a ajuta afacerea să respecte cadrul COSO, moment în care organizația poate fi sigură că respectă SOX 404.

Concluzia

Conformitatea cu SOX 404 este o formă necesară, dar sincer destul de complexă de conformitate pentru companiile cotate la bursă.

Cerințele SOX 404 înseamnă aderarea la cadrul COSO. Cele 17 principii ale sale oferă o bază solidă și mijloace pentru ca o organizație să respecte SOX 404 și este o idee bună ca companiile să urmeze acest standard pentru a-și aduce controalele interne la standard.

Pentru a implementa cadrul COSO, companiile ar trebui să ia în considerare angajarea unui furnizor de servicii de securitate gestionată pentru a-și audita sistemele și pentru a oferi recomandări cu privire la soluțiile, politicile și procedurile care ar trebui adoptate pentru a se conforma.

Dacă trebuie să fiți conform cu SOX 404, dar nu sunteți sigur de unde să începeți, luați în considerare efectuarea unei evaluări a riscurilor pentru SOX de către Impact. Luați legătura astăzi pentru a vă asigura viitorul.