Apa itu Kepatuhan SOX 404 dan Bagaimana Cara Mencapainya?

Diterbitkan: 2021-10-08

Kepatuhan SOX 404 merupakan kebutuhan bagi semua perusahaan publik di Amerika Serikat, selain anak perusahaan yang dimiliki secara keseluruhan dan perusahaan asing publik yang melakukan bisnis di AS.

Itu dibuat setelah sejumlah skandal perusahaan terkenal selama awal 2000-an dan diberlakukan untuk melindungi pemegang saham dengan lebih baik dan meningkatkan transparansi melalui pengungkapan perusahaan yang konsisten dan akurat.

Ada sejumlah bagian dalam 11 judul SOX, tetapi beberapa akan lebih relevan dengan bisnis karena ruang lingkup dan biayanya—khususnya SOX 404, yang menyangkut penilaian pengendalian internal terkait pelaporan keuangan.

Kepatuhan SOX 404 bisa sangat mahal, tetapi melalui teknologi modern dan manajemen dokumen, banyak proses manual sebelumnya dapat diotomatisasi, mengurangi risiko dan biaya.

Dalam posting blog ini, kita akan melihat SOX 404, termasuk apa yang diperlukan dan apa yang dapat dilakukan organisasi untuk mematuhinya.

Apa itu SOX Bagian 404?

Bagian 404 dari Undang-Undang SOX adalah aspek yang paling mahal dan kompleks dari kepatuhan SOX dan menyangkut pelaporan keuangan tahunan.

Bagian 404 mensyaratkan bahwa laporan tahunan mencakup penilaian perusahaan sendiri atas pengendalian internal mereka atas pelaporan keuangan, serta auditor yang membuktikan dan melaporkan penilaian perusahaan.

Auditor ini harus pihak ketiga, dan diharuskan untuk menunjukkan keandalan dan keakuratan pengendalian internal perusahaan.

Berdasarkan Bagian 404, pendaftar SEC akan diminta untuk menyertakan dengan pengarsipan tahunan mereka:

  • Pernyataan tanggung jawab manajemen untuk menetapkan dan memelihara pengendalian internal yang memadai atas pelaporan keuangan
  • Pernyataan yang mengidentifikasi kerangka kerja yang digunakan oleh manajemen untuk mengevaluasi efektivitas pengendalian internal
  • Penilaian manajemen atas efektivitas pengendalian internal sampai dengan akhir tahun buku terakhir perusahaan
  • Pernyataan bahwa auditor eksternal perusahaan telah mengeluarkan laporan pengesahan atas penilaian manajemen

Apa Arti Pengendalian Internal?

Di perusahaan mana pun, berapa pun ukurannya, personel manajemen puncak harus mempertahankan seperangkat standar untuk memastikan keakuratan laporan keuangan mereka.

Undang-undang itu sendiri tidak secara spesifik menentukan apa yang harus dilakukan perusahaan untuk memenuhi standar pengendalian internal mereka—hal ini menyebabkan banyak orang menafsirkan apa sebenarnya arti "pengendalian internal".

Untungnya, ada kerangka kerja yang ada, terutama Kerangka Pengendalian Internal COSO, yang dikembangkan sebagai inisiatif bersama antara lima organisasi: Institute of Internal Auditors (IIA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Association Akuntan dan Profesional Keuangan dalam Bisnis (IMA), dan American Accounting Association (AAA).

Kontrol yang diuraikan dalam Kerangka Kontrol COSO sesuai untuk diadopsi oleh perusahaan yang ingin memastikan kepatuhan SOX 404.

Kerangka COSO

Kerangka kerja COSO berisi 17 prinsip dalam lima subbagian yang harus diikuti untuk menunjukkan kepada auditor pihak ketiga bahwa perusahaan mematuhi persyaratan keamanan siber SOX.

5 komponen kerangka kerja COSO | Apa itu Kepatuhan SOX 404 dan Bagaimana Cara Mencapainya?

Kontrol lingkungan

Lingkungan pengendalian menjabarkan serangkaian standar dan proses yang menjadi dasar untuk melaksanakan pengendalian internal di seluruh perusahaan.

Sistem pengendalian internal yang efektif didasarkan pada lingkungan pengendalian, dan harus didorong oleh tujuan strategis:

  • Memberikan pelaporan keuangan yang andal kepada pemangku kepentingan internal dan eksternal
  • Mengoperasikan bisnis secara efisien dan efektif
  • Mematuhi semua hukum dan peraturan yang berlaku
  • Menjaga aset dan informasi sensitif

Prinsip terkait

  1. Menunjukkan komitmen terhadap integritas dan nilai-nilai etika
  2. Pastikan bahwa dewan menjalankan tanggung jawab pengawasan
  3. Menetapkan struktur, jalur pelaporan, wewenang, dan tanggung jawab
  4. Menunjukkan komitmen kepada tenaga kerja yang kompeten
  5. Minta pertanggungjawaban orang

Penilaian risiko untuk SOX

Penilaian risiko untuk SOX sangat penting untuk menentukan apa faktor risiko perusahaan dan bagaimana mereka akan dikelola.

Dalam hal ini, “risiko” didefinisikan sebagai kemungkinan terjadinya suatu peristiwa yang akan mengganggu tujuan bisnis.

Penilaian risiko memerlukan manajemen puncak untuk mempertimbangkan implikasi dari perubahan dalam lingkungan pengendalian dan untuk mengambil tindakan yang sesuai untuk mengelola risiko.

Prinsip terkait

  1. Tentukan tujuan yang sesuai
  2. Mengidentifikasi dan menganalisis risiko
  3. Mengevaluasi risiko penipuan
  4. Mengidentifikasi dan menganalisis perubahan yang secara signifikan dapat mempengaruhi pengendalian internal

Aktivitas kontrol

Aktivitas pengendalian mengacu pada tindakan yang diambil untuk membantu mengurangi risiko yang ditentukan dalam penilaian risiko.

Kegiatan ini dapat bersifat preventif atau detektif dan dapat dilakukan di semua tingkatan dalam suatu organisasi.

Prinsip terkait

  1. Memilih dan mengembangkan aktivitas pengendalian yang memitigasi risiko
  2. Pilih dan kembangkan kontrol teknologi
  3. Menyebarkan aktivitas pengendalian melalui kebijakan dan prosedur

Informasi & komunikasi

Informasi dan komunikasi yang mengalir ke atas, ke bawah, dan lintas organisasi dibagikan secara efektif dan efisien.

Sistem informasi dan tempat penyimpanan harus memberikan informasi yang relevan kepada pemangku kepentingan yang sesuai dengan tujuan yang telah ditetapkan secara tepat waktu dan cukup dapat dipahami.

Hal yang sama juga diperlukan bagi pemangku kepentingan di luar organisasi.

Prinsip terkait

  1. Gunakan informasi yang relevan dan berkualitas untuk mendukung fungsi pengendalian internal
  2. Mengkomunikasikan informasi pengendalian internal secara internal
  3. Mengkomunikasikan informasi pengendalian internal secara eksternal

Pemantauan

Evaluasi pengendalian internal yang berkelanjutan harus diadopsi oleh organisasi untuk memastikan fungsi pengendalian internal beroperasi dengan benar.

Ketika ditemukan kekurangan, hal ini harus dievaluasi dan dikomunikasikan secara tepat waktu kepada manajemen senior dan dewan direksi (jika perlu) sehingga dapat diperbaiki dengan cepat.

Prinsip terkait

  1. Melakukan evaluasi pengendalian internal yang berkelanjutan atau berkala (atau kombinasi keduanya)
  2. Komunikasikan kekurangan pengendalian internal

Mengapa Anda Harus Menetapkan Kerangka COSO Dalam Bisnis Anda?

Jika sebuah organisasi gagal untuk menerapkan kontrol kerangka COSO, mereka mungkin melanggar persyaratan SOX 404 yang diamanatkan di bawah undang-undang federal untuk pelaporan keuangan.

Auditor akan menilai kemampuan pengendalian internal perusahaan terhadap kerangka COSO, jadi yang terbaik bagi perusahaan untuk mempertahankan standar itu untuk mematuhi SOX.

Bagaimana Menerapkan Kerangka COSO

Posting Terkait: Apa Yang Terjadi Selama Audit Risiko Keamanan Siber?

Implementasi COSO melibatkan penilaian di mana suatu organisasi saat ini berada di antara lima subbagiannya dan memahami apa yang dibutuhkan untuk mencapai standar.

Ini akan terdiri dari audit SOX, yang harus menggabungkan kerangka kerja COSO dan penilaian dari 17 prinsip yang disebutkan sebelumnya, biasanya dalam empat tahap yang berbeda.

Perencanaan dan ruang lingkup

Implementasi dimulai dari awal: pemangku kepentingan utama akan dilibatkan dan auditor keamanan siber akan menunjuk pemangku kepentingan yang tepat untuk setiap prinsip.

Misalnya, eksekutif c-suite akan dilibatkan untuk banyak kegiatan Lingkungan Kontrol, sementara personel TI dapat dilibatkan untuk prinsip kebijakan dan prosedur teknologi, dan kepatuhan dapat dilibatkan sebagai pemangku kepentingan utama untuk prinsip pemantauan.

Auditor harus memiliki gambaran lengkap tentang di mana semua data bisnis disimpan, termasuk dalam aplikasi pihak ketiga yang beroperasi di bawah jaringan perusahaan.

Eksekusi

Auditor akan melakukan pengujian penetrasi dan pemindaian kerentanan untuk menetapkan dengan jelas di mana posisi bisnis dengan model saat ini dalam kerangka COSO.

Analisis dan pelaporan

Hasil ini kemudian akan dilaporkan kepada pemangku kepentingan utama dan rekomendasi akan dibuat untuk membantu bisnis agar mematuhi kerangka kerja COSO, di mana organisasi dapat yakin bahwa mereka mematuhi SOX 404.

Garis bawah

Kepatuhan SOX 404 adalah bentuk kepatuhan yang diperlukan tetapi sejujurnya agak rumit untuk perusahaan publik.

Persyaratan SOX 404 berarti kepatuhan terhadap kerangka kerja COSO. 17 prinsipnya menawarkan dasar yang kuat dan sarana bagi organisasi untuk mematuhi SOX 404, dan merupakan ide yang baik bagi perusahaan untuk mengikuti standar ini agar pengendalian internal mereka mencapai standar.

Untuk menerapkan kerangka kerja COSO, bisnis harus mempertimbangkan untuk menyewa penyedia layanan keamanan terkelola untuk mengaudit sistem mereka dan memberikan rekomendasi tentang solusi, kebijakan, dan prosedur mana yang harus diadopsi untuk mematuhinya.

Jika Anda harus mematuhi SOX 404 tetapi tidak yakin harus mulai dari mana, pertimbangkan untuk melakukan penilaian risiko untuk SOX yang dilakukan oleh Impact. Hubungi sekarang untuk memastikan masa depan Anda.