Что такое соответствие SOX 404 и как его достичь?

Опубликовано: 2021-10-08

Соответствие SOX 404 является обязательным для всех публичных компаний в Соединенных Штатах, в дополнение к дочерним компаниям, находящимся в полной собственности, и публичным иностранным компаниям, которые ведут бизнес в США.

Он был создан после ряда громких корпоративных скандалов в начале 2000-х годов и был создан для лучшей защиты акционеров и повышения прозрачности за счет последовательного и точного корпоративного раскрытия информации.

В 11 разделах SOX есть ряд разделов, но некоторые из них будут более актуальны для бизнеса из-за их масштаба и стоимости, в частности, SOX 404, который касается оценки внутреннего контроля в отношении финансовой отчетности.

Соответствие SOX 404 может быть очень дорогостоящим, но благодаря современным технологиям и управлению документами многие процессы, которые ранее выполнялись вручную, могут быть автоматизированы, что снижает риски и затраты.

В этом сообщении блога мы рассмотрим SOX 404, в том числе то, что требуется и что организации могут сделать, чтобы соответствовать требованиям.

Что такое раздел SOX 404?

Раздел 404 Закона SOX является наиболее дорогостоящим и сложным аспектом соблюдения SOX и касается ежегодной финансовой отчетности.

Раздел 404 требует, чтобы годовые отчеты включали собственную оценку компанией своего внутреннего контроля в отношении финансовой отчетности, а также аудиторское подтверждение и отчет об оценке компании.

Этот аудитор должен быть третьей стороной и должен продемонстрировать надежность и точность внутреннего контроля компании.

В соответствии с разделом 404 владельцы регистраций SEC должны будут включать в свою ежегодную подачу:

  • Заявление об ответственности руководства за установление и поддержание надлежащего внутреннего контроля за финансовой отчетностью
  • Заявление, определяющее структуру, используемую руководством для оценки эффективности внутреннего контроля.
  • Оценка руководством эффективности внутреннего контроля по состоянию на конец последнего финансового года компании
  • Заявление о том, что внешний аудитор компании выпустил аттестационный отчет об оценке руководства

Что означает внутренний контроль?

В любой компании, независимо от ее размера, высшее руководство должно поддерживать набор стандартов для обеспечения точности своей финансовой отчетности.

В самом законодательстве точно не указывается, что компании должны делать, чтобы соответствовать своим стандартам внутреннего контроля — это привело к тому, что многие толкуют, что на самом деле означает «внутренний контроль».

К счастью, существуют существующие структуры, в частности Система внутреннего контроля COSO, разработанная в рамках совместной инициативы пяти организаций: Института внутренних аудиторов (IIA), Американского института дипломированных бухгалтеров (AICPA), Международной организации финансовых руководителей (FEI), Ассоциации бухгалтеров и финансовых специалистов в бизнесе (IMA) и Американской ассоциации бухгалтеров (AAA).

Средства контроля, изложенные в структуре контроля COSO, подходят для компаний, стремящихся обеспечить соответствие SOX 404.

Структура COSO

Структура COSO содержит 17 принципов в пяти подразделах, которым необходимо следовать, чтобы продемонстрировать стороннему аудитору, что компания соответствует требованиям кибербезопасности SOX.

5 компонентов структуры COSO | Что такое соответствие SOX 404 и как его достичь?

Среда управления

Среда контроля устанавливает набор стандартов и процессов, которые являются основой для осуществления внутреннего контроля в компании.

Эффективная система внутреннего контроля основана на контрольной среде и должна руководствоваться стратегическими целями:

  • Предоставление достоверной финансовой отчетности внутренним и внешним заинтересованным сторонам
  • Эффективно и эффективно управлять бизнесом
  • Соблюдение всех применимых законов и правил
  • Защита активов и конфиденциальной информации

Связанные принципы

  1. Демонстрировать приверженность честности и этическим ценностям
  2. Убедиться, что правление осуществляет надзорную ответственность
  3. Установить структуры, линии подчинения, полномочия и обязанности
  4. Продемонстрировать приверженность компетентной рабочей силе
  5. Привлекайте людей к ответственности

Оценка риска SOX

Оценка риска для SOX имеет решающее значение для определения факторов риска компании и способов управления ими.

В этом случае «риск» определяется как вероятность того, что произойдет событие, которое нарушит бизнес-цели.

Оценка риска требует от высшего руководства рассмотрения последствий изменений в контрольной среде и принятия необходимых мер по управлению риском.

Связанные принципы

  1. Укажите соответствующие цели
  2. Выявление и анализ рисков
  3. Оценить риски мошенничества
  4. Выявление и анализ изменений, которые могут существенно повлиять на внутренний контроль

Контрольные мероприятия

Действия по контролю относятся к действиям, которые предпринимаются для снижения рисков, определенных при оценке рисков.

Эти действия могут быть профилактическими или обнаруживающими и могут выполняться на всех уровнях организации.

Связанные принципы

  1. Выбрать и разработать контрольные мероприятия, снижающие риски
  2. Выбор и разработка технологических средств контроля
  3. Развертывание контрольных действий с помощью политик и процедур

Информация и связь

Информация и коммуникации, проходящие вверх, вниз и между организациями, распределяются эффективно и действенно.

Информационные системы и репозитории должны предоставлять соответствующим заинтересованным сторонам информацию, имеющую отношение к их поставленным целям, своевременным и достаточно понятным образом.

То же самое необходимо и для заинтересованных сторон вне организации.

Связанные принципы

  1. Используйте актуальную и качественную информацию для поддержки функции внутреннего контроля.
  2. Сообщать информацию внутреннего контроля внутри компании
  3. Сообщать информацию о внутреннем контроле внешним организациям

Мониторинг

Организация должна проводить постоянные оценки внутреннего контроля, чтобы обеспечить правильное функционирование функций внутреннего контроля.

При обнаружении недостатков их следует оценивать и своевременно сообщать высшему руководству и совету директоров (при необходимости), чтобы их можно было быстро исправить.

Связанные принципы

  1. Выполнять текущие или периодические оценки внутреннего контроля (или их комбинации)
  2. Сообщать о недостатках внутреннего контроля

Почему вы должны установить структуру COSO в своем бизнесе?

Если организации не удается внедрить средства контроля структуры COSO, вполне возможно, что она нарушает требования SOX 404, предусмотренные федеральным законом для финансовой отчетности.

Аудиторы будут оценивать возможности внутреннего контроля компании в соответствии со структурой COSO, поэтому компаниям лучше придерживаться этого стандарта, чтобы соблюдать SOX.

Как внедрить структуру COSO

Связанный пост: Что происходит во время аудита рисков кибербезопасности?

Внедрение COSO включает в себя оценку того, где в настоящее время находится организация среди ее пяти подразделений, и понимание того, что необходимо для того, чтобы соответствовать стандарту.

Это будет включать аудит SOX, который должен включать структуру COSO и оценку 17 принципов, упомянутых ранее, обычно в четыре отдельных этапа.

Планирование и объем

Реализация начинается с самого начала: будут задействованы основные заинтересованные стороны, а аудиторы кибербезопасности назначат правильных заинтересованных сторон для каждого из принципов.

Например, руководители высшего звена будут участвовать во многих мероприятиях, связанных со средой управления, в то время как ИТ-персонал может быть привлечен к разработке принципов технологической политики и процедур, а ответственный за соблюдение требований может быть привлечен в качестве ключевой заинтересованной стороны для мониторинга принципов.

Аудиторам потребуется иметь полное представление о том, где хранятся все бизнес-данные, в том числе в сторонних приложениях, работающих в сети компании.

Исполнение

Аудиторы проведут тестирование на проникновение и сканирование уязвимостей, чтобы четко установить, где находится бизнес с его текущей моделью в рамках COSO.

Анализ и отчетность

Затем эти результаты будут сообщены ключевым заинтересованным сторонам, и будут даны рекомендации, которые помогут привести бизнес в соответствие со структурой COSO, после чего организация может быть уверена, что они соответствуют SOX 404.

Нижняя линия

Соответствие SOX 404 — необходимая, но, откровенно говоря, довольно сложная форма соответствия для публичных компаний.

Требования SOX 404 означают соблюдение структуры COSO. Его 17 принципов предлагают прочную основу и средства для обеспечения соответствия организации SOX 404, и компаниям рекомендуется следовать этому стандарту, чтобы привести свои внутренние средства контроля в соответствие со стандартом.

Чтобы внедрить структуру COSO, компаниям следует рассмотреть вопрос о найме поставщика управляемых услуг безопасности для аудита своих систем и предоставления рекомендаций о том, какие решения, политики и процедуры следует принять для обеспечения соответствия требованиям.

Если вам нужно соответствовать SOX 404, но вы не знаете, с чего начать, подумайте о том, чтобы компания Impact провела оценку рисков для SOX. Свяжитесь с нами сегодня, чтобы начать работу по обеспечению своего будущего.