SOX 404 コンプライアンスとは何か、またそれを達成するにはどうすればよいですか?

公開: 2021-10-08

SOX 404 への準拠は、米国で事業を行う完全子会社および上場外国企業に加えて、米国のすべての上場企業にとって必要です。

これは、2000 年代初頭に起きた数々の注目を集めた企業スキャンダルの後に作成され、株主の保護を強化し、一貫した正確な企業開示を通じて透明性を高めるために導入されました。

SOX の 11 のタイトルには多くのセクションがありますが、その範囲とコストのためにビジネスにより関連するものもあります。特に、財務報告に関する内部統制の評価に関する SOX 404 です。

SOX 404 への準拠は非常にコストがかかる可能性がありますが、最新のテクノロジとドキュメント管理により、以前は手動だった多くのプロセスを自動化し、リスクとコストを削減できます。

このブログ投稿では、SOX 404 を見ていきます。これには、何が必要で、組織が準拠するために何ができるかが含まれます。

SOX セクション 404 とは何ですか?

SOX 法第 404 条は、SOX コンプライアンスの最も費用がかかり複雑な側面であり、年次財務報告に関係しています。

第 404 条は、年次報告書に、財務報告に関する内部統制の会社独自の評価、および会社の評価を証明および報告する監査人を含めることを要求しています。

この監査人は第三者である必要があり、企業の内部統制の信頼性と正確性を実証する必要があります。

セクション 404 に基づき、SEC 登録者は年次提出書類に以下を含める必要があります。

  • 財務報告に対する適切な内部統制を確立し維持する経営者の責任に関する声明
  • 内部統制の有効性を評価するために経営者が使用するフレームワークを特定する声明
  • 会社の直近の会計年度末における内部統制の有効性に関する経営陣の評価
  • 会社の外部監査人が経営者の評価に関する証明書レポートを発行したという声明

内部統制とは

企業の規模に関係なく、経営トップは財務諸表の正確性を確保するための一連の基準を維持する必要があります。

法律自体は、企業が内部統制の基準を満たすために何をしなければならないかを正確に規定していません。

幸いなことに、内部監査人協会 (IIA)、米国公認会計士協会 (AICPA)、ファイナンシャル エグゼクティブ インターナショナル (FEI)、The Association の 5 つの組織間の共同イニシアチブとして開発された、既存のフレームワーク、特に COSO 内部統制フレームワークがあります。 Accountants and Financial Professionals in Business (IMA)、および American Accounting Association (AAA)。

COSO Controls Framework で概説されているコントロールは、SOX 404 コンプライアンスの確保を目指す企業に採用するのに適しています。

COSO フレームワーク

COSO フレームワークには、5 つのサブセクションに 17 の原則が含まれており、会社が SOX サイバーセキュリティ要件に準拠していることを第三者監査人に証明するために従う必要があります。

COSO フレームワークの 5 つのコンポーネント | SOX 404 コンプライアンスとは何か、またそれを達成するにはどうすればよいですか?

制御環境

統制環境は、企業全体で内部統制を実行するための基盤となる一連の標準とプロセスを配置します。

内部統制の効果的なシステムは、統制環境に基づいており、以下の戦略的目標によって推進されるべきです。

  • 信頼できる財務報告を社内外の利害関係者に提供する
  • 事業を効率的かつ効果的に運営する
  • 適用されるすべての法律および規制の遵守
  • 資産と機密情報の保護

関連する原則

  1. 誠実さと倫理的価値へのコミットメントを示す
  2. 取締役会が監督責任を果たすようにする
  3. 構造、報告ライン、権限、および責任を確立する
  4. 有能な労働力へのコミットメントを示す
  5. 人々に説明責任を持たせる

SOXのリスク評価

SOX のリスク評価は、企業のリスク要因とその管理方法を決定するために重要です。

この場合、「リスク」は、ビジネス目標を混乱させるイベントが発生する確率として定義されます。

リスク評価では、経営陣が統制環境の変化の影響を考慮し、リスクを管理するために適切な場合に行動を起こす必要があります。

関連する原則

  1. 適切な目標を指定する
  2. リスクの特定と分析
  3. 不正リスクの評価
  4. 内部統制に重大な影響を与える可能性のある変更を特定して分析する

制御活動

統制活動とは、リスク評価で決定されたリスクを軽減するのに役立つ行動を指します。

これらの活動は、予防的または発見的である可能性があり、組織内のすべてのレベルで実行できます。

関連する原則

  1. リスクを軽減する統制活動の選択と開発
  2. テクノロジー コントロールの選択と開発
  3. ポリシーと手順を通じて統制活動を展開する

情報通信

組織を上下に流れる情報と通信は、効果的かつ効率的に共有されます。

情報システムとリポジトリは、適切な利害関係者に、確立された目的に関連する情報をタイムリーかつ十分に理解できる方法で提供する必要があります。

組織外のステークホルダーにも同じことが必要です。

関連する原則

  1. 関連する質の高い情報を使用して、内部統制機能をサポートする
  2. 内部統制情報の社内伝達
  3. 内部統制情報の外部への伝達

モニタリング

内部統制機能が正しく機能していることを確認するために、組織は内部統制の継続的な評価を採用する必要があります。

不備が見つかった場合は、これらを評価し、必要に応じて上級管理職および取締役会にタイムリーに連絡して、迅速に修正できるようにする必要があります。

関連する原則

  1. 内部統制の継続的または定期的な評価 (またはその 2 つの組み合わせ) を実行する
  2. 内部統制の不備を伝える

あなたのビジネスで COSO フレームワークを確立する必要があるのはなぜですか?

組織が COSO フレームワークの制御を実装できない場合、財務報告に関する連邦法の下で義務付けられている SOX 404 要件に違反している可能性が非常に高くなります。

監査人は企業の内部統制能力を COSO フレームワークに照らして判断するため、企業が SOX を遵守するためにはその基準を維持することが最善です。

COSO フレームワークの実装方法

関連記事: サイバーセキュリティ リスク監査中に何が起こるか?

COSO の実装には、組織が現在 5 つのサブセクションのどこにあるかを評価し、標準に到達するために何が必要かを理解することが含まれます。

これは SOX 監査で構成され、COSO フレームワークと前述の 17 原則の評価を組み込む必要があり、通常は 4 つの異なる段階で行われます。

計画と範囲

実装は最初から始まります。主要な利害関係者が関与し、サイバーセキュリティ監査人が各原則の正しい利害関係者を指定します。

たとえば、経営幹部は制御環境の活動の多くに関与し、IT 担当者は技術ポリシーと手順の原則に関与し、コンプライアンスは監視原則の主要な利害関係者として関与する可能性があります。

監査人は、企業ネットワークの下で動作するサードパーティ アプリケーションを含め、すべてのビジネス データがどこに保存されているかを完全に把握する必要があります。

実行

監査人は、侵入テストと脆弱性スキャンを実施して、COSO フレームワーク内の現在のモデルでのビジネスの立ち位置を明確に確立します。

分析と報告

その後、これらの結果は主要な利害関係者に報告され、ビジネスが COSO フレームワークに準拠するようにするための推奨事項が作成されます。この時点で、組織は SOX 404 に準拠していると確信できます。

結論

SOX 404 コンプライアンスは必要ですが、率直に言って、上場企業にとってはかなり複雑な形式のコンプライアンスです。

SOX 404 の要件は、COSO フレームワークへの準拠を意味します。 その 17 の原則は、組織が SOX 404 に準拠するための強固な基盤と手段を提供します。企業がこの基準に従って内部統制を標準に近づけることは良い考えです。

COSO フレームワークを実装するには、マネージド セキュリティ サービス プロバイダーを雇ってシステムを監査し、コンプライアンスを達成するために採用すべきソリューション、ポリシー、および手順に関する推奨事項を提供することを検討する必要があります。

SOX 404 に準拠する必要があるが、どこから始めればよいかわからない場合は、Impact による SOX のリスク評価を受けることを検討してください。 今すぐ連絡を取り、あなたの将来を確保するためにボールを転がしてください.