什麼是 SOX 404 合規性以及如何實現它?

已發表: 2021-10-08

除了全資子公司和在美國開展業務的外國上市公司外,所有在美國的上市公司都必須遵守 SOX 404。

它是在 2000 年代初期的一系列備受矚目的公司醜聞之後創建的,旨在通過一致和準確的公司披露來更好地保護股東並提高透明度。

SOX 的 11 個標題中有許多部分,但由於其範圍和成本,有些部分與企業更相關——特別是 SOX 404,它涉及對財務報告內部控制的評估。

SOX 404 合規性可能非常昂貴,但通過現代技術和文檔管理,許多以前的手動流程可以自動化,從而降低風險和成本。

在這篇博文中,我們將了解 SOX 404,包括要求什麼以及組織可以採取哪些措施來實現合規。

什麼是 SOX 第 404 條?

SOX 法案的第 404 條是 SOX 合規性最昂貴和最複雜的方面,涉及年度財務報告。

第 404 節要求年度報告包括公司自己對其財務報告內部控制的評估,以及審計師對公司評估的證明和報告。

該審計師必須是第三方,並且需要證明公司內部控制的可靠性和準確性。

根據第 404 節,SEC 註冊人將被要求在其年度申報中包括:

  • 管理層對建立和保持對財務報告的充分內部控制的責任聲明
  • 一份聲明,確定管理層用於評估內部控制有效性的框架
  • 管理層對截至公司最近一個財政年度末內部控制有效性的評估
  • 公司外部審計師已就管理層評估出具鑑證報告的聲明

內部控制是什麼意思?

在任何公司,無論規模大小,高層管理人員都必須保持一套標準,以確保其財務報表的準確性。

立法本身並沒有具體說明公司必須做什麼才能達到其內部控制標準——這導致許多人解釋“內部控制”的實際含義。

幸運的是,現有框架,特別是 COSO 內部控制框架,由五個組織聯合開發:內部審計師協會 (IIA)、美國註冊會計師協會 (AICPA)、財務執行官國際 (FEI)、協會商業會計師和金融專業人士協會 (IMA) 和美國會計協會 (AAA)。

COSO 控制框架中概述的控制適用於希望確保 SOX 404 合規性的公司。

COSO 框架

COSO 框架包含五個小節中的 17 條原則,應遵循這些原則,以便向第三方審計員證明公司符合 SOX 網絡安全要求。

COSO 框架的 5 個組成部分 |什麼是 SOX 404 合規性以及如何實現它?

控制環境

控制環境列出了一套標準和流程,這些標準和流程是在整個公司內實施內部控制的基礎。

有效的內部控制系統以控制環境為基礎,並應由以下戰略目標驅動:

  • 向內部和外部利益相關者提供可靠的財務報告
  • 高效和有效地經營業務
  • 遵守所有適用的法律和法規
  • 保護資產和敏感信息

相關原則

  1. 表現出對誠信和道德價值觀的承諾
  2. 確保董事會行使監督職責
  3. 建立結構、報告路線、權限和責任
  4. 表現出對稱職員工的承諾
  5. 追究人們的責任

SOX 的風險評估

SOX 的風險評估對於確定公司的風險因素是什麼以及如何管理這些因素至關重要。

在這種情況下,“風險”被定義為會破壞業務目標的事件發生的概率。

風險評估要求最高管理層考慮控制環境變化的影響,並在適當的情況下採取措施管理風險。

相關原則

  1. 指定適當的目標
  2. 識別和分析風險
  3. 評估欺詐風險
  4. 識別和分析可能顯著影響內部控制的變化

控制活動

控制活動是指為幫助減輕風險評估中確定的風險而採取的行動。

這些活動可能是預防性的或檢測性的,並且可以在組織內的所有級別執行。

相關原則

  1. 選擇和開發降低風險的控制活動
  2. 選擇和開發技術控制
  3. 通過政策和程序部署控制活動

信息與通訊

向上、向下和跨組織流動的信息和通信得到有效和高效的共享。

信息系統和存儲庫必須以及時和充分可理解的方式向適當的利益相關者提供與其既定目標相關的信息。

對於組織外部的利益相關者來說,這也是必要的。

相關原則

  1. 使用相關的質量信息來支持內部控制功能
  2. 內部溝通內部控制信息
  3. 對外交流內部控制信息

監控

組織應採用對內部控制的持續評估,以確保內部控制功能正常運行。

發現不足時,應及時進行評估,並及時與高級管理層和董事會(如有必要)進行溝通,以便迅速改正。

相關原則

  1. 對內部控制進行持續或定期評估(或兩者的組合)
  2. 溝通內部控制缺陷

為什麼要在您的業務中建立 COSO 框架?

如果一個組織未能實施 COSO 框架的控制,他們很可能違反了聯邦法律對財務報告規定的 SOX 404 要求。

審核員會根據 COSO 框架判斷公司的內部控制能力,因此公司最好遵守該標準以遵守 SOX。

如何實施 COSO 框架

相關文章:網絡安全風險審計期間會發生什麼?

COSO 實施涉及評估組織當前在其五個子部分中的位置,並了解需要什麼才能達到標準。

這將包括 SOX 審核,其中應包含 COSO 框架和對前面提到的 17 項原則的評估,通常分為四個不同的階段。

規劃和範圍

實施從頭開始:關鍵利益相關者將參與進來,網絡安全審計員將為每項原則指定正確的利益相關者。

例如,企業高管將參與許多控制環境活動,而 IT 人員可能會參與技術政策和程序原則,而合規性可能會作為關鍵利益相關者參與監控原則。

審計人員需要全面了解所有業務數據的存儲位置,包括在公司網絡下運行的第三方應用程序中。

執行

審計人員將進行滲透測試和漏洞掃描,以便清楚地確定業務在 COSO 框架內的當前模型所處的位置。

分析和報告

然後將這些結果報告給主要利益相關者,並提出建議以幫助企業遵守 COSO 框架,此時組織可以確信他們符合 SOX 404。

底線

對於上市公司而言,SOX 404 合規性是一種必要但坦率地說相當複雜的合規形式。

SOX 404 的要求意味著遵守 COSO 框架。 它的 17 條原則為組織符合 SOX 404 提供了堅實的基礎和手段,公司遵循此標準以使其內部控制達到標準是一個好主意。

為實施 COSO 框架,企業應考慮聘請託管安全服務提供商來審核其係統,並就應採用哪些解決方案、策略和程序以使其合規提供建議。

如果您需要遵守 SOX 404 但不確定從哪裡開始,請考慮由 Impact 對 SOX 進行風險評估。 立即聯繫,以確保您的未來順利進行。