ما هو التوافق مع SOX 404 وكيف يمكنك تحقيقه؟

نشرت: 2021-10-08

يعد الامتثال لـ SOX 404 ضرورة لجميع الشركات المتداولة علنًا في الولايات المتحدة ، بالإضافة إلى الشركات التابعة المملوكة بالكامل والشركات الأجنبية المتداولة علنًا والتي تمارس الأعمال التجارية في الولايات المتحدة.

تم إنشاؤه بعد عدد من فضائح الشركات البارزة خلال أوائل العقد الأول من القرن الحادي والعشرين وتم وضعه لحماية المساهمين بشكل أفضل وزيادة الشفافية من خلال إفصاحات الشركات المتسقة والدقيقة.

هناك عدد من الأقسام ضمن 11 عنوانًا لـ SOX ، ولكن بعضها سيكون أكثر صلة بالشركات بسبب نطاقها وتكلفتها - على وجه التحديد SOX 404 ، الذي يتعلق بتقييم الضوابط الداخلية فيما يتعلق بإعداد التقارير المالية.

يمكن أن يكون الامتثال لـ SOX 404 مكلفًا للغاية ، ولكن من خلال التكنولوجيا الحديثة وإدارة المستندات ، يمكن أتمتة العديد من العمليات اليدوية السابقة ، مما يقلل من المخاطر والتكلفة.

في منشور المدونة هذا ، سنلقي نظرة على SOX 404 ، بما في ذلك ما هو مطلوب وما يمكن للمنظمات فعله لتكون متوافقة.

ما هو SOX Section 404؟

القسم 404 من قانون SOX هو الجانب الأكثر تكلفة وتعقيدًا من الامتثال SOX ويتعلق بالتقارير المالية السنوية.

يتطلب القسم 404 أن تتضمن التقارير السنوية تقييم الشركة الخاص لضوابطها الداخلية على التقارير المالية ، بالإضافة إلى وجود مدقق يصادق على تقييم الشركة ويبلغ عنه.

يجب أن يكون هذا المدقق طرفًا ثالثًا ، ومطلوبًا منه إثبات موثوقية ودقة الضوابط الداخلية للشركة.

بموجب القسم 404 ، سيُطلب من المسجلين في SEC تضمين ملفاتهم السنوية:

  • بيان بمسؤولية الإدارة عن إنشاء والحفاظ على رقابة داخلية كافية على التقارير المالية
  • بيان يحدد الإطار الذي تستخدمه الإدارة لتقييم فعالية الرقابة الداخلية
  • تقييم الإدارة لفعالية الرقابة الداخلية اعتبارًا من نهاية آخر سنة مالية للشركة
  • إفادة بأن المدقق الخارجي للشركة قد أصدر تقرير تصديق على تقييم الإدارة

ماذا تعني الضوابط الداخلية؟

في أي شركة ، بغض النظر عن حجمها ، يجب على موظفي الإدارة العليا الحفاظ على مجموعة من المعايير لضمان دقة بياناتهم المالية.

التشريع نفسه لا يحدد بالضبط ما يجب أن تفعله الشركات للوفاء بمعايير الضوابط الداخلية الخاصة بها - وقد أدى ذلك إلى تفسير الكثير لما تعنيه "الضوابط الداخلية" في الواقع.

لحسن الحظ ، هناك أطر عمل قائمة ، ولا سيما إطار الرقابة الداخلية COSO ، الذي تم تطويره كمبادرة مشتركة بين خمس منظمات: معهد المدققين الداخليين (IIA) ، والمعهد الأمريكي للمحاسبين القانونيين المعتمدين (AICPA) ، والمديرين التنفيذيين الماليين الدولي (FEI) ، والرابطة المحاسبين والمتخصصين الماليين في الأعمال (IMA) ، وجمعية المحاسبة الأمريكية (AAA).

الضوابط الموضحة في COSO Controls Framework مناسبة لاعتمادها للشركات التي تتطلع إلى ضمان الامتثال لـ SOX 404.

إطار عمل كوسو

يحتوي إطار عمل COSO على 17 مبدأ في خمسة أقسام فرعية يجب اتباعها من أجل إثبات لمدقق خارجي أن الشركة تمتثل لمتطلبات الأمن السيبراني SOX.

5 مكونات لإطار عمل كوسو | ما هو التوافق مع SOX 404 وكيف يمكنك تحقيقه؟

التحكم بالبيئة

تحدد بيئة التحكم مجموعة المعايير والعمليات التي تشكل الأساس لتنفيذ الرقابة الداخلية عبر الشركة.

يعتمد نظام الرقابة الداخلية الفعال على بيئة الرقابة ، ويجب أن يكون مدفوعاً بالأهداف الاستراتيجية المتمثلة في:

  • تقديم تقارير مالية موثوقة لأصحاب المصلحة الداخليين والخارجيين
  • تشغيل الأعمال بكفاءة وفعالية
  • الامتثال لجميع القوانين واللوائح المعمول بها
  • حماية الأصول والمعلومات الحساسة

المبادئ المرتبطة

  1. إظهار الالتزام بالنزاهة والقيم الأخلاقية
  2. تأكد من أن مجلس الإدارة يمارس مسؤولية الإشراف
  3. إنشاء الهياكل والتسلسل الإداري والسلطات والمسؤوليات
  4. إظهار الالتزام بالقوى العاملة المختصة
  5. محاسبة الناس

تقييم مخاطر SOX

يعد تقييم مخاطر SOX أمرًا بالغ الأهمية لتحديد عوامل مخاطر الشركة وكيفية إدارتها.

في هذه الحالة ، يتم تعريف "المخاطر" على أنها احتمال وقوع حدث من شأنه أن يعطل أهداف العمل.

يتطلب تقييم المخاطر من الإدارة العليا النظر في الآثار المترتبة على التغييرات في بيئة الرقابة واتخاذ الإجراءات المناسبة لإدارة المخاطر.

المبادئ المرتبطة

  1. حدد الأهداف المناسبة
  2. تحديد وتحليل المخاطر
  3. تقييم مخاطر الاحتيال
  4. تحديد وتحليل التغييرات التي يمكن أن تؤثر بشكل كبير على الضوابط الداخلية

أنشطة مكافحة

تشير أنشطة الرقابة إلى الإجراءات التي يتم اتخاذها للمساعدة في تخفيف المخاطر المحددة في تقييم المخاطر.

قد تكون هذه الأنشطة وقائية أو استقصائية ويمكن أداؤها على جميع المستويات داخل المنظمة.

المبادئ المرتبطة

  1. اختيار وتطوير أنشطة الرقابة التي تخفف من المخاطر
  2. اختيار وتطوير ضوابط التكنولوجيا
  3. نشر أنشطة التحكم من خلال السياسات والإجراءات

المعلومات والاتصالات

يتم تبادل المعلومات والاتصالات التي تتدفق لأعلى ولأسفل وعبر المنظمات بفعالية وكفاءة.

يجب أن تزود أنظمة ومستودعات المعلومات أصحاب المصلحة المناسبين بالمعلومات ذات الصلة بأهدافهم المحددة في الوقت المناسب وبطريقة مفهومة بما فيه الكفاية.

نفس الشيء ضروري أيضًا لأصحاب المصلحة خارج المنظمة.

المبادئ المرتبطة

  1. استخدم المعلومات ذات الصلة والجودة لدعم وظيفة الرقابة الداخلية
  2. توصيل معلومات الضوابط الداخلية داخليا
  3. توصيل معلومات الضبط الداخلي خارجيًا

يراقب

يجب أن تتبنى المنظمة التقييمات المستمرة للضوابط الداخلية من أجل ضمان عمل وظائف الرقابة الداخلية بشكل صحيح.

عند العثور على أوجه قصور ، يجب تقييمها وإبلاغها في الوقت المناسب إلى الإدارة العليا ومجلس الإدارة (إذا لزم الأمر) بحيث يمكن تصحيحها بسرعة.

المبادئ المرتبطة

  1. إجراء تقييمات مستمرة أو دورية للضوابط الداخلية (أو مزيج من الاثنين)
  2. الإبلاغ عن أوجه القصور في الرقابة الداخلية

لماذا يجب عليك إنشاء إطار عمل COSO في عملك؟

إذا فشلت إحدى المؤسسات في تنفيذ ضوابط إطار عمل COSO ، فمن المحتمل جدًا أنها تنتهك متطلبات SOX 404 التي يفرضها القانون الفيدرالي لإعداد التقارير المالية.

سيحكم المدققون على قدرات الرقابة الداخلية للشركة مقابل إطار عمل COSO ، لذلك من الأفضل للشركات أن تلتزم بهذا المعيار من أجل الالتزام بـ SOX.

كيفية تنفيذ إطار عمل كوسو

منشورات ذات صلة: ماذا يحدث أثناء تدقيق مخاطر الأمن السيبراني؟

يتضمن تنفيذ COSO تقييم مكان وجود المنظمة حاليًا من بين أقسامها الفرعية الخمسة وفهم ما هو مطلوب من أجل الوصول إلى المعيار.

سيشمل ذلك تدقيق SOX ، والذي يجب أن يتضمن إطار عمل COSO وتقييمًا للمبادئ السبعة عشر المشار إليها سابقًا ، عادةً في أربع مراحل متميزة.

التخطيط والنطاق

يبدأ التنفيذ في البداية: سيتم إشراك أصحاب المصلحة الرئيسيين وسيقوم مدققو الأمن السيبراني بتعيين أصحاب المصلحة المناسبين لكل مبدأ من المبادئ.

على سبيل المثال ، سيتم إشراك المديرين التنفيذيين في c-suite في العديد من أنشطة بيئة التحكم ، في حين قد يشارك موظفو تكنولوجيا المعلومات في سياسة التكنولوجيا ومبادئ الإجراءات ، وقد يتم إشراك الامتثال باعتباره صاحب المصلحة الرئيسي لمبادئ المراقبة.

سيحتاج المدققون إلى الحصول على صورة كاملة عن مكان تخزين جميع بيانات الأعمال ، بما في ذلك تطبيقات الطرف الثالث التي تعمل ضمن شبكة الشركة.

تنفيذ

سيقوم المدققون بإجراء اختبار الاختراق ومسح الثغرات الأمنية من أجل تحديد موقف الأعمال بشكل واضح مع نموذجها الحالي ضمن إطار عمل COSO.

التحليل وإعداد التقارير

سيتم بعد ذلك الإبلاغ عن هذه النتائج إلى أصحاب المصلحة الرئيسيين وسيتم تقديم توصيات للمساعدة في جعل الأعمال متوافقة مع إطار عمل COSO ، وعند هذه النقطة يمكن للمؤسسة أن تكون واثقة من أنها متوافقة مع SOX 404.

الخط السفلي

يعد الامتثال SOX 404 شكلاً ضروريًا ولكنه معقد إلى حد ما من أشكال الامتثال للشركات المتداولة علنًا.

تعني متطلبات SOX 404 الالتزام بإطار عمل COSO. توفر مبادئها السبعة عشر أساسًا متينًا ووسيلة للمؤسسة لتكون متوافقة مع SOX 404 ، وهي فكرة جيدة للشركات أن تتبع هذا المعيار حتى تصل ضوابطها الداخلية إلى المستوى القياسي.

لتنفيذ إطار COSO ، يجب على الشركات النظر في الاستعانة بمزود خدمة أمان مُدار لتدقيق أنظمتها وتقديم توصيات بشأن الحلول والسياسات والإجراءات التي ينبغي اعتمادها لتحقيق الامتثال.

إذا كنت بحاجة إلى أن تكون متوافقًا مع SOX 404 ولكنك غير متأكد من أين تبدأ ، ففكر في إجراء تقييم مخاطر لـ SOX بواسطة Impact. تواصل معنا اليوم لتستمر في تأمين مستقبلك.