Che cos'è la conformità SOX 404 e come puoi ottenerla?

Pubblicato: 2021-10-08

La conformità SOX 404 è una necessità per tutte le società quotate in borsa negli Stati Uniti, oltre alle filiali interamente controllate e alle società estere quotate in borsa che operano negli Stati Uniti.

È stato creato dopo una serie di scandali aziendali di alto profilo durante i primi anni 2000 ed è stato messo in atto per proteggere meglio gli azionisti e aumentare la trasparenza attraverso comunicazioni aziendali coerenti e accurate.

Ci sono un certo numero di sezioni all'interno degli 11 titoli di SOX, ma alcune saranno più pertinenti alle aziende a causa della loro portata e dei loro costi, in particolare SOX 404, che riguarda la valutazione dei controlli interni relativi all'informativa finanziaria.

La conformità SOX 404 può essere molto costosa, ma grazie alla tecnologia moderna e alla gestione dei documenti, molti processi precedentemente manuali possono essere automatizzati, riducendo rischi e costi.

In questo post del blog, daremo un'occhiata a SOX 404, incluso ciò che è richiesto e ciò che le organizzazioni possono fare per essere conformi.

Che cos'è la sezione SOX 404?

La sezione 404 del SOX Act è l'aspetto più costoso e complesso della conformità SOX e riguarda la rendicontazione finanziaria annuale.

La sezione 404 richiede che le relazioni annuali includano la valutazione della società dei propri controlli interni sull'informativa finanziaria, nonché un revisore dei conti che attesta e riferisce sulla valutazione della società.

Tale revisore deve essere una terza parte ed è tenuto a dimostrare l'affidabilità e l'accuratezza dei controlli interni di una società.

Ai sensi della Sezione 404, i dichiaranti SEC dovranno includere nella loro dichiarazione annuale:

  • Una dichiarazione di responsabilità della direzione per stabilire e mantenere un controllo interno adeguato sull'informativa finanziaria
  • Una dichiarazione che identifica il quadro utilizzato dal management per valutare l'efficacia del controllo interno
  • Valutazione del management sull'efficacia del controllo interno alla fine dell'ultimo esercizio sociale della società
  • Una dichiarazione che il revisore esterno della società ha rilasciato una relazione di attestazione sulla valutazione della direzione

Cosa significano i controlli interni?

In qualsiasi azienda, indipendentemente dalle dimensioni, il personale di vertice deve mantenere una serie di standard per garantire l'accuratezza del proprio bilancio.

La legislazione stessa non specifica esattamente cosa devono fare le aziende per soddisfare i propri standard per i controlli interni: questo ha portato molti a interpretare il significato effettivo di "controlli interni".

Fortunatamente, esistono framework esistenti, in particolare il COSO Internal Control Framework, sviluppato come iniziativa congiunta tra cinque organizzazioni: Institute of Internal Auditor (IIA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Association di contabili e professionisti finanziari in affari (IMA) e American Accounting Association (AAA).

I controlli delineati nel COSO Controls Framework sono appropriati da adottare per le aziende che desiderano garantire la conformità SOX 404.

Il quadro COSO

Il framework COSO contiene 17 principi in cinque sottosezioni che dovrebbero essere seguite per dimostrare a un revisore di terze parti che l'azienda è conforme ai requisiti di sicurezza informatica SOX.

5 componenti del quadro COSO | Che cos'è la conformità SOX 404 e come puoi ottenerla?

Ambiente di controllo

L'ambiente di controllo definisce l'insieme di standard e processi che sono alla base dell'esecuzione del controllo interno in un'azienda.

Un efficace sistema di controllo interno si basa sull'ambiente di controllo e dovrebbe essere guidato dagli obiettivi strategici di:

  • Fornire rendiconti finanziari affidabili agli stakeholder interni ed esterni
  • Gestire l'azienda in modo efficiente ed efficace
  • Rispettare tutte le leggi e i regolamenti applicabili
  • Tutela dei beni e delle informazioni sensibili

Principi associati

  1. Dimostrare impegno per l'integrità e i valori etici
  2. Assicurarsi che il consiglio eserciti la responsabilità di supervisione
  3. Stabilire strutture, linee di riporto, autorità e responsabilità
  4. Dimostrare impegno verso una forza lavoro competente
  5. Ritieni le persone responsabili

Valutazione del rischio per SOX

Una valutazione del rischio per SOX è fondamentale per determinare quali sono i fattori di rischio di un'azienda e come verranno gestiti.

In questo caso, il “rischio” è definito come la probabilità che si verifichi un evento che perturbi gli obiettivi aziendali.

La valutazione del rischio richiede all'alta direzione di considerare le implicazioni dei cambiamenti nell'ambiente di controllo e di agire ove appropriato per gestire il rischio.

Principi associati

  1. Specificare obiettivi appropriati
  2. Identificare e analizzare i rischi
  3. Valuta i rischi di frode
  4. Identificare e analizzare le modifiche che potrebbero influire in modo significativo sui controlli interni

Attività di controllo

Le attività di controllo si riferiscono alle azioni intraprese che aiutano a mitigare i rischi determinati nella valutazione del rischio.

Queste attività possono essere preventive o investigative e possono essere eseguite a tutti i livelli all'interno di un'organizzazione.

Principi associati

  1. Selezionare e sviluppare attività di controllo che mitighino i rischi
  2. Selezionare e sviluppare controlli tecnologici
  3. Implementare le attività di controllo attraverso politiche e procedure

Informazioni e comunicazioni

Le informazioni e le comunicazioni che fluiscono verso l'alto, verso il basso e tra le organizzazioni vengono condivise in modo efficace ed efficiente.

I sistemi informativi e gli archivi devono fornire alle parti interessate appropriate informazioni pertinenti ai loro obiettivi stabiliti in modo tempestivo e sufficientemente comprensibile.

Lo stesso è necessario anche per gli stakeholder esterni all'organizzazione.

Principi associati

  1. Utilizzare informazioni pertinenti e di qualità a supporto della funzione di controllo interno
  2. Comunicare internamente le informazioni di controllo interno
  3. Comunicare le informazioni di controllo interno all'esterno

Monitoraggio

L'organizzazione dovrebbe adottare valutazioni continue dei controlli interni al fine di garantire il corretto funzionamento delle funzioni di controllo interno.

Quando vengono riscontrate carenze, queste devono essere valutate e comunicate tempestivamente all'alta dirigenza e al consiglio di amministrazione (se necessario) in modo che possano essere corrette rapidamente.

Principi associati

  1. Eseguire valutazioni continue o periodiche dei controlli interni (o una combinazione dei due)
  2. Comunicare le carenze del controllo interno

Perché dovresti stabilire il framework COSO nella tua azienda?

Se un'organizzazione non riesce ad attuare i controlli del quadro COSO, potrebbe benissimo violare i requisiti SOX 404 imposti dalla legge federale per la rendicontazione finanziaria.

I revisori giudicheranno le capacità di controllo interno di un'azienda rispetto al framework COSO, quindi è meglio che le aziende si attengono a tale standard per rispettare SOX.

Come implementare il COSO Framework

Articolo correlato: Cosa succede durante un audit del rischio di sicurezza informatica?

L'implementazione di COSO implica la valutazione della posizione attuale di un'organizzazione tra le sue cinque sottosezioni e la comprensione di ciò che è necessario per raggiungere gli standard.

Ciò comprenderà un audit SOX, che dovrebbe incorporare il quadro COSO e una valutazione dei 17 principi a cui si è fatto riferimento in precedenza, tipicamente in quattro fasi distinte.

Pianificazione e portata

L'attuazione inizia dall'inizio: le parti interessate chiave saranno coinvolte e gli auditor della sicurezza informatica designeranno le parti interessate corrette per ciascuno dei principi.

Ad esempio, i dirigenti della c-suite saranno coinvolti per molte delle attività dell'ambiente di controllo, mentre il personale IT potrebbe essere coinvolto per le politiche tecnologiche e i principi delle procedure e una conformità potrebbe essere coinvolta come stakeholder chiave per i principi di monitoraggio.

I revisori dovranno avere un quadro completo di dove sono archiviati tutti i dati aziendali, anche in applicazioni di terze parti che operano nella rete aziendale.

Esecuzione

I revisori condurranno test di penetrazione e scansione delle vulnerabilità al fine di stabilire chiaramente dove si trova l'azienda rispetto al suo attuale modello all'interno del quadro COSO.

Analisi e reportistica

Questi risultati verranno quindi segnalati alle principali parti interessate e verranno formulate raccomandazioni per aiutare a rendere l'azienda conforme al framework COSO, a quel punto l'organizzazione può essere sicura di essere conforme a SOX 404.

La linea di fondo

La conformità SOX 404 è una forma di conformità necessaria ma francamente piuttosto complessa per le società quotate in borsa.

I requisiti di SOX 404 implicano l'adesione al framework COSO. I suoi 17 principi offrono una solida base e mezzi affinché un'organizzazione sia conforme a SOX 404, ed è una buona idea che le aziende seguano questo standard per portare i propri controlli interni allo standard.

Per implementare il framework COSO, le aziende dovrebbero prendere in considerazione l'assunzione di un fornitore di servizi di sicurezza gestiti per controllare i propri sistemi e fornire raccomandazioni su quali soluzioni, politiche e procedure dovrebbero essere adottate per ottenere la conformità.

Se devi essere conforme a SOX 404 ma non sei sicuro da dove iniziare, prendi in considerazione la possibilità di eseguire una valutazione del rischio per SOX eseguita da Impact. Mettiti in contatto oggi per dare il via alla sicurezza del tuo futuro.