SOX 404 규정 준수란 무엇이며 어떻게 달성할 수 있습니까?

SOX 404 준수는 미국에서 사업을 하는 전액 출자 자회사 및 상장 외국 기업 외에도 미국의 모든 상장 기업에 필수 사항입니다.

2000년대 초반에 수많은 기업 스캔들 이후에 만들어졌으며 일관되고 정확한 기업 공개를 통해 주주를 더 잘 보호하고 투명성을 높이기 위해 마련되었습니다.

SOX의 11개 타이틀에는 여러 섹션이 있지만 일부 섹션은 범위와 비용 때문에 비즈니스에 더 적합할 것입니다. 특히 재무 보고에 관한 내부 통제 평가와 관련된 SOX 404입니다.

SOX 404 규정 준수는 비용이 많이 들 수 있지만 현대 기술과 문서 관리를 통해 이전의 많은 수동 프로세스를 자동화하여 위험과 비용을 줄일 수 있습니다.

이 블로그 게시물에서 우리는 SOX 404가 요구되는 사항과 규정을 준수하기 위해 조직이 할 수 있는 일을 포함하여 살펴보겠습니다.

SOX 섹션 404란 무엇입니까?

SOX법 섹션 404는 SOX 준수의 가장 비용이 많이 들고 복잡한 측면이며 연간 재무 보고와 관련이 있습니다.

섹션 404는 연례 보고서에 재무 보고에 대한 내부 통제에 대한 회사 자체 평가와 회사 평가를 증명하고 보고하는 감사인을 포함하도록 요구합니다.

이 감사인은 제3자여야 하며 회사 내부 통제의 신뢰성과 정확성을 입증해야 합니다.

섹션 404에 따라 SEC 등록자는 연간 신고서에 다음을 포함해야 합니다.

• 재무 보고에 대한 적절한 내부 통제를 수립하고 유지하기 위한 경영진의 책임에 대한 설명
• 내부 통제의 효율성을 평가하기 위해 경영진이 사용하는 프레임워크를 식별하는 설명
• 회사의 가장 최근 회계연도말 현재 내부통제의 실효성에 대한 경영진의 평가
• 회사의 외부 감사인이 경영진 평가에 대한 증명 보고서를 발행했다는 진술

내부 통제는 무엇을 의미합니까?

규모에 관계없이 모든 회사에서 최고 경영진은 재무제표의 정확성을 보장하기 위해 일련의 표준을 유지해야 합니다.

법률 자체는 기업이 내부 통제에 대한 표준을 충족하기 위해 무엇을 해야 하는지 정확히 지정하지 않습니다. 이로 인해 많은 사람들이 "내부 통제"가 실제로 무엇을 의미하는지 해석하게 되었습니다.

다행히도 내부 감사 협회(IIA), 미국 공인 회계사 협회(AICPA), 국제 금융 임원(FEI), 협회의 5개 조직 간의 공동 이니셔티브로 개발된 COSO 내부 통제 프레임워크와 같은 기존 프레임워크가 있습니다. 비즈니스 회계사 및 금융 전문가(IMA) 및 미국 회계 협회(AAA).

COSO 컨트롤 프레임워크에 설명된 컨트롤은 SOX 404 준수를 보장하려는 회사에 적합합니다.

COSO 프레임워크

COSO 프레임워크에는 회사가 SOX 사이버 보안 요구 사항을 준수하고 있음을 제3자 감사자에게 입증하기 위해 따라야 하는 5개 하위 섹션 내 17개 원칙이 포함되어 있습니다.

제어 환경

통제 환경은 회사 전체에서 내부 통제를 수행하기 위한 기반이 되는 일련의 표준 및 프로세스를 제시합니다.

효과적인 내부 통제 시스템은 통제 환경을 기반으로 하며 다음과 같은 전략적 목표에 의해 추진되어야 합니다.

• 내부 및 외부 이해 관계자에게 신뢰할 수 있는 재무 보고 제공
• 비즈니스를 효율적이고 효과적으로 운영
• 모든 해당 법률 및 규정 준수
• 자산 및 민감한 정보 보호

관련 원칙

1. 청렴성과 윤리적 가치에 대한 헌신을 보여줍니다.
2. 이사회가 감독 책임을 행사하는지 확인
3. 구조, 보고 라인, 권한 및 책임 설정
4. 유능한 인력에 대한 헌신을 보여줍니다.
5. 사람들에게 책임을 묻다

SOX에 대한 위험 평가

SOX에 대한 위험 평가는 회사의 위험 요소가 무엇이며 어떻게 관리할지 결정하는 데 중요합니다.

이 경우 "리스크"는 비즈니스 목표를 방해하는 이벤트가 발생할 확률로 정의됩니다.

위험 평가를 위해서는 최고 경영진이 통제 환경의 변화에 ​​따른 영향을 고려하고 위험을 관리하기 위해 적절한 조치를 취해야 합니다.

관련 원칙

1. 적절한 목표 지정
2. 위험 식별 및 분석
3. 사기 위험 평가
4. 내부 통제에 중대한 영향을 미칠 수 있는 변경 사항 식별 및 분석

활동 통제

통제 활동은 위험 평가에서 결정된 위험을 완화하는 데 도움이 되는 조치를 의미합니다.

이러한 활동은 예방적이거나 탐지적일 수 있으며 조직 내 모든 수준에서 수행할 수 있습니다.

관련 원칙

1. 위험을 완화하는 통제 활동 선택 및 개발
2. 기술 제어 선택 및 개발
3. 정책 및 절차를 통해 제어 활동 배포

정보통신

조직 전반에 걸쳐 상하로 흐르는 정보와 커뮤니케이션이 효과적이고 효율적으로 공유됩니다.

정보 시스템 및 리포지토리는 적절한 이해 관계자에게 설정된 목표와 관련된 정보를 시기 적절하고 충분히 이해할 수 있는 방식으로 제공해야 합니다.

조직 외부의 이해 관계자에게도 마찬가지입니다.

관련 원칙

1. 내부 통제 기능을 지원하기 위해 관련 품질 정보를 사용합니다.
2. 내부 통제 정보를 내부적으로 전달
3. 내부 통제 정보를 외부에 전달

모니터링

조직은 내부 통제 기능이 올바르게 작동하는지 확인하기 위해 내부 통제에 대한 지속적인 평가를 채택해야 합니다.

결함이 발견되면 이를 평가하고 신속하게 고위 경영진과 이사회(필요한 경우)에 전달하여 신속하게 수정할 수 있도록 해야 합니다.

관련 원칙

1. 내부 통제(또는 둘의 조합)에 대한 지속적 또는 주기적 평가 수행
2. 내부 통제 결함에 대해 소통

비즈니스에서 COSO 프레임워크를 구축해야 하는 이유는 무엇입니까?

조직이 COSO 프레임워크의 제어를 구현하지 못하면 재무 보고에 대한 연방법에 따라 의무화된 SOX 404 요구 사항을 위반하는 것일 수 있습니다.

감사인은 COSO 프레임워크에 대해 회사의 내부 통제 능력을 판단하므로 회사가 SOX를 준수하기 위해 해당 표준을 유지하는 것이 가장 좋습니다.

COSO 프레임워크를 구현하는 방법

관련 게시물: 사이버 보안 위험 감사 중에는 어떻게 됩니까?

COSO 구현에는 조직이 현재 5개의 하위 섹션 중 어디에 있는지 평가하고 표준에 도달하기 위해 필요한 것이 무엇인지 이해하는 것이 포함됩니다.

이것은 COSO 프레임워크와 앞서 언급한 17가지 원칙에 대한 평가를 일반적으로 4단계로 통합해야 하는 SOX 감사로 구성됩니다.

계획 및 범위

구현은 처음부터 시작됩니다. 주요 이해 관계자가 참여하고 사이버 보안 감사자가 각 원칙에 대해 올바른 이해 관계자를 지정합니다.

예를 들어, 최고 경영진은 많은 제어 환경 활동에 참여하고 IT 직원은 기술 정책 및 절차 원칙에 참여하고 규정 준수는 원칙 모니터링에 대한 주요 이해 관계자로 참여할 수 있습니다.

감사인은 회사 네트워크에서 작동하는 타사 응용 프로그램을 포함하여 모든 비즈니스 데이터가 저장된 위치에 대한 완전한 그림을 가지고 있어야 합니다.

실행

감사인은 COSO 프레임워크 내에서 비즈니스가 현재 모델과 함께 어디에 있는지 명확하게 설정하기 위해 침투 테스트 및 취약성 스캔을 수행합니다.

분석 및 보고

그런 다음 이러한 결과는 주요 이해 관계자에게 보고되고 COSO 프레임워크를 준수하도록 비즈니스를 지원하기 위한 권장 사항이 만들어집니다. 이 시점에서 조직은 SOX 404를 준수한다고 확신할 수 있습니다.

결론

SOX 404 규정 준수는 상장 기업에 필요하지만 솔직히 다소 복잡한 규정 준수 형식입니다.

SOX 404의 요구 사항은 COSO 프레임워크의 준수를 의미합니다. 17가지 원칙은 조직이 SOX 404를 준수할 수 있는 견고한 기반과 수단을 제공하며, 기업이 이 표준을 따라 내부 통제를 표준으로 만드는 것은 좋은 생각입니다.

COSO 프레임워크를 구현하기 위해 기업은 시스템을 감사하고 규정 준수를 위해 채택해야 하는 솔루션, 정책 및 절차에 대한 권장 사항을 제공하기 위해 관리형 보안 서비스 제공자를 고용하는 것을 고려해야 합니다.

SOX 404를 준수해야 하지만 어디서부터 시작해야 할지 모르겠다면 Impact에서 SOX에 대한 위험 평가를 수행하는 것을 고려하십시오. 오늘 연락하여 미래를 확보하는 데 공을 돌리십시오.