O que é a conformidade com SOX 404 e como você pode alcançá-la?

Publicados: 2021-10-08

A conformidade com a SOX 404 é uma necessidade para todas as empresas de capital aberto nos Estados Unidos, além de subsidiárias integrais e empresas estrangeiras de capital aberto que fazem negócios nos EUA.

Foi criado após uma série de escândalos corporativos de alto nível durante o início dos anos 2000 e foi implementado para proteger melhor os acionistas e aumentar a transparência por meio de divulgações corporativas consistentes e precisas.

Há várias seções nos 11 títulos da SOX, mas algumas serão mais pertinentes às empresas devido ao seu escopo e custo – especificamente a SOX 404, que diz respeito à avaliação dos controles internos relativos aos relatórios financeiros.

A conformidade com SOX 404 pode ser muito cara, mas por meio de tecnologia moderna e gerenciamento de documentos, muitos processos anteriormente manuais podem ser automatizados, reduzindo riscos e custos.

Nesta postagem do blog, veremos a SOX 404, incluindo o que é necessário e o que as organizações podem fazer para estar em conformidade.

O que é a Seção 404 da SOX?

A Seção 404 da Lei SOX é o aspecto mais caro e complexo da conformidade com a SOX e diz respeito aos relatórios financeiros anuais.

A Seção 404 exige que os relatórios anuais incluam a própria avaliação da empresa de seus controles internos sobre relatórios financeiros, bem como um auditor atestando e relatando a avaliação da empresa.

Esse auditor deve ser um terceiro e deve demonstrar a confiabilidade e a precisão dos controles internos de uma empresa.

De acordo com a Seção 404, os registrantes da SEC deverão incluir em seu arquivamento anual:

  • Uma declaração de responsabilidade da administração para estabelecer e manter controle interno adequado sobre relatórios financeiros
  • Uma declaração identificando a estrutura usada pela administração para avaliar a eficácia do controle interno
  • Avaliação da administração sobre a eficácia do controle interno no final do último ano fiscal da empresa
  • Uma declaração de que o auditor externo da empresa emitiu um relatório de certificação da avaliação da administração

O que significa controles internos?

Em qualquer empresa, não importa seu tamanho, a alta administração deve manter um conjunto de padrões para garantir a precisão de suas demonstrações financeiras.

A própria legislação não especifica exatamente o que as empresas devem fazer para cumprir seus padrões de controles internos – isso levou muitos a interpretar o que “controles internos” realmente significa.

Felizmente, existem frameworks existentes, notadamente o COSO Internal Control Framework, desenvolvido como uma iniciativa conjunta entre cinco organizações: Institute of Internal Auditors (IIA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Association of Accountants and Financial Professionals in Business (IMA) e American Accounting Association (AAA).

Os controles descritos no COSO Controls Framework são apropriados para serem adotados por empresas que buscam garantir a conformidade com a SOX 404.

A Estrutura COSO

A estrutura COSO contém 17 princípios em cinco subseções que devem ser seguidas para demonstrar a um auditor terceirizado que a empresa está em conformidade com os requisitos de segurança cibernética da SOX.

5 componentes do framework COSO | O que é a conformidade com SOX 404 e como você pode alcançá-la?

Ambiente de controle

O ambiente de controle estabelece o conjunto de padrões e processos que são a base para realizar o controle interno em uma empresa.

Um sistema eficaz de controle interno é baseado no ambiente de controle e deve ser orientado pelos objetivos estratégicos de:

  • Fornecer relatórios financeiros confiáveis ​​para as partes interessadas internas e externas
  • Operar o negócio de forma eficiente e eficaz
  • Cumprimento de todas as leis e regulamentos aplicáveis
  • Protegendo ativos e informações confidenciais

Princípios associados

  1. Demonstrar compromisso com a integridade e os valores éticos
  2. Garantir que o conselho exerça a responsabilidade de supervisão
  3. Estabelecer estruturas, linhas de subordinação, autoridades e responsabilidades
  4. Demonstrar compromisso com uma força de trabalho competente
  5. Responsabilize as pessoas

Avaliação de risco para SOX

Uma avaliação de risco para SOX é crucial para determinar quais são os fatores de risco de uma empresa e como eles serão gerenciados.

Nesse caso, “risco” é definido como a probabilidade de ocorrer um evento que interromperá os objetivos do negócio.

A avaliação de risco exige que a alta administração considere as implicações das mudanças no ambiente de controle e tome medidas quando apropriado para gerenciar o risco.

Princípios associados

  1. Especifique os objetivos apropriados
  2. Identifique e analise os riscos
  3. Avalie os riscos de fraude
  4. Identificar e analisar mudanças que possam afetar significativamente os controles internos

Atividades de controle

As atividades de controle referem-se às ações que são tomadas para ajudar a mitigar os riscos determinados na avaliação de riscos.

Essas atividades podem ser preventivas ou de detecção e podem ser realizadas em todos os níveis dentro de uma organização.

Princípios associados

  1. Selecionar e desenvolver atividades de controle que mitiguem os riscos
  2. Selecionar e desenvolver controles de tecnologia
  3. Implantar atividades de controle por meio de políticas e procedimentos

Informações e comunicações

As informações e comunicações que fluem para cima, para baixo e entre as organizações são compartilhadas de maneira eficaz e eficiente.

Os sistemas e repositórios de informação devem fornecer às partes interessadas apropriadas informações relevantes para seus objetivos estabelecidos de maneira oportuna e suficientemente compreensível.

O mesmo também é necessário para as partes interessadas fora da organização.

Princípios associados

  1. Use informações relevantes e de qualidade para apoiar a função de controle interno
  2. Comunicar informações de controle interno internamente
  3. Comunicar informações de controle interno externamente

Monitoramento

Avaliações contínuas de controles internos devem ser adotadas pela organização para garantir que as funções de controle interno estejam operando corretamente.

Quando deficiências são encontradas, elas devem ser avaliadas e comunicadas em tempo hábil à alta administração e ao conselho de administração (se necessário) para que possam ser corrigidas rapidamente.

Princípios associados

  1. Realizar avaliações contínuas ou periódicas dos controles internos (ou uma combinação dos dois)
  2. Comunicar deficiências de controle interno

Por que você deve estabelecer a estrutura COSO em seu negócio?

Se uma organização não implementar os controles da estrutura COSO, ela pode estar violando os requisitos SOX 404 exigidos pela lei federal para relatórios financeiros.

Os auditores avaliarão as capacidades de controle interno de uma empresa em relação à estrutura COSO, portanto, é melhor que as empresas mantenham esse padrão para cumprir a SOX.

Como implementar o framework COSO

Post relacionado: O que acontece durante uma auditoria de risco de segurança cibernética?

A implementação do COSO envolve avaliar onde uma organização está atualmente entre suas cinco subseções e entender o que é necessário para atingir o padrão.

Isso incluirá uma auditoria SOX, que deve incorporar a estrutura COSO e uma avaliação dos 17 princípios mencionados anteriormente, normalmente em quatro etapas distintas.

Planejamento e escopo

A implementação começa no início: as principais partes interessadas serão envolvidas e os auditores de segurança cibernética designarão as partes interessadas corretas para cada um dos princípios.

Por exemplo, executivos de nível C serão engajados em muitas das atividades do Control Environment, enquanto o pessoal de TI pode ser engajado em políticas de tecnologia e princípios de procedimentos, e um compliance pode ser engajado como o principal stakeholder para os princípios de monitoramento.

Os auditores precisarão ter uma visão completa de onde todos os dados de negócios são armazenados, inclusive em aplicativos de terceiros que operam na rede da empresa.

Execução

Os auditores realizarão testes de penetração e varredura de vulnerabilidades para estabelecer claramente onde a empresa está com seu modelo atual dentro da estrutura COSO.

Análise e relatórios

Esses resultados serão então relatados às principais partes interessadas e recomendações serão feitas para ajudar a manter o negócio em conformidade com a estrutura COSO, quando a organização pode ter certeza de que está em conformidade com a norma SOX 404.

A linha inferior

A conformidade com a SOX 404 é uma forma de conformidade necessária, mas francamente bastante complexa para empresas de capital aberto.

Os requisitos da SOX 404 significam aderência à estrutura COSO. Seus 17 princípios oferecem uma base sólida e meios para que uma organização esteja em conformidade com a SOX 404, e é uma boa ideia que as empresas sigam esse padrão para que seus controles internos estejam de acordo com o padrão.

Para implementar a estrutura COSO, as empresas devem considerar a contratação de um provedor de serviços de segurança gerenciados para auditar seus sistemas e fornecer recomendações sobre quais soluções, políticas e procedimentos devem ser adotados para obter conformidade.

Se você precisa estar em conformidade com a SOX 404, mas não sabe por onde começar, considere fazer uma avaliação de risco para a SOX feita pela Impact. Entre em contato hoje para dar o pontapé inicial para garantir o seu futuro.