การปฏิบัติตาม SOX 404 คืออะไรและคุณจะบรรลุได้อย่างไร

เผยแพร่แล้ว: 2021-10-08

การปฏิบัติตาม SOX 404 เป็นสิ่งจำเป็นสำหรับบริษัทที่ซื้อขายในตลาดหลักทรัพย์ในสหรัฐอเมริกา นอกเหนือจากบริษัทในเครือที่ถือหุ้นทั้งหมดและบริษัทต่างชาติที่ซื้อขายในตลาดหลักทรัพย์ซึ่งทำธุรกิจในสหรัฐอเมริกา

สร้างขึ้นหลังจากเกิดเรื่องอื้อฉาวของบริษัทที่มีชื่อเสียงมากมายในช่วงต้นทศวรรษ 2000 และจัดทำขึ้นเพื่อปกป้องผู้ถือหุ้นให้ดีขึ้นและเพิ่มความโปร่งใสผ่านการเปิดเผยข้อมูลขององค์กรที่สม่ำเสมอและถูกต้อง

มีหลายหัวข้อใน 11 หัวข้อของ SOX แต่บางส่วนจะเกี่ยวข้องกับธุรกิจมากกว่าเนื่องจากขอบเขตและต้นทุน โดยเฉพาะอย่างยิ่ง SOX 404 ซึ่งเกี่ยวข้องกับการประเมินการควบคุมภายในเกี่ยวกับการรายงานทางการเงิน

การปฏิบัติตามข้อกำหนด SOX 404 อาจมีค่าใช้จ่ายสูง แต่ด้วยเทคโนโลยีที่ทันสมัยและการจัดการเอกสาร กระบวนการแบบแมนนวลก่อนหน้านี้จำนวนมากสามารถดำเนินการโดยอัตโนมัติ ลดความเสี่ยงและค่าใช้จ่าย

ในบล็อกโพสต์นี้ เราจะมาดู SOX 404 รวมถึงสิ่งที่จำเป็นและสิ่งที่องค์กรสามารถทำได้เพื่อให้เป็นไปตามข้อกำหนด

SOX มาตรา 404 คืออะไร?

มาตรา 404 ของพระราชบัญญัติ SOX เป็นแง่มุมที่มีค่าใช้จ่ายสูงและซับซ้อนที่สุดในการปฏิบัติตาม SOX และเกี่ยวข้องกับการรายงานทางการเงินประจำปี

มาตรา 404 กำหนดให้รายงานประจำปีรวมถึงการประเมินการควบคุมภายในของบริษัทในเรื่องการรายงานทางการเงิน ตลอดจนผู้สอบบัญชีที่รับรองและรายงานการประเมินของบริษัท

ผู้ตรวจสอบบัญชีรายนี้ต้องเป็นบุคคลที่สาม และจำเป็นต้องแสดงให้เห็นถึงความน่าเชื่อถือและความถูกต้องของการควบคุมภายในของบริษัท

ภายใต้มาตรา 404 ผู้ลงทะเบียน ก.ล.ต. จะต้องรวมการยื่นประจำปี:

  • คำชี้แจงความรับผิดชอบของผู้บริหารในการจัดทำและคงไว้ซึ่งการควบคุมภายในที่เพียงพอเกี่ยวกับการรายงานทางการเงิน
  • คำแถลงระบุกรอบที่ผู้บริหารใช้เพื่อประเมินประสิทธิผลของการควบคุมภายใน
  • การประเมินประสิทธิภาพของการควบคุมภายในของฝ่ายบริหาร ณ สิ้นปีงบประมาณล่าสุดของบริษัท
  • คำชี้แจงว่าผู้ตรวจสอบภายนอกของบริษัทได้จัดทำรายงานรับรองผลการประเมินของฝ่ายจัดการ

การควบคุมภายในหมายถึงอะไร?

ในบริษัทใด ๆ ไม่ว่าขนาดของพวกเขา ผู้บริหารระดับสูงจะต้องรักษาชุดของมาตรฐานเพื่อให้แน่ใจว่าถูกต้องของงบการเงิน

ตัวกฎหมายเองไม่ได้ระบุชัดเจนว่าบริษัทต้องทำอะไรเพื่อให้เป็นไปตามมาตรฐานสำหรับการควบคุมภายใน ซึ่งส่งผลให้หลายคนตีความว่า "การควบคุมภายใน" หมายถึงอะไรจริงๆ

โชคดีที่มีกรอบการทำงานอยู่แล้ว โดยเฉพาะกรอบการควบคุมภายในของ COSO ที่พัฒนาขึ้นเป็นความคิดริเริ่มร่วมกันระหว่างห้าองค์กร: Institute of Internal Auditors (IIA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Association ของนักบัญชีและผู้เชี่ยวชาญด้านการเงินในธุรกิจ (IMA) และ American Accounting Association (AAA)

การควบคุมที่สรุปไว้ใน COSO Controls Framework นั้นเหมาะสมที่จะนำมาใช้สำหรับบริษัทต่างๆ ที่ต้องการรับรองการปฏิบัติตาม SOX 404

กรอบการทำงานของ COSO

กรอบงานของ COSO ประกอบด้วยหลักการ 17 ข้อภายในห้าส่วนย่อยที่ควรปฏิบัติตามเพื่อแสดงให้ผู้ตรวจสอบภายนอกเห็นว่าบริษัทปฏิบัติตามข้อกำหนดด้านความปลอดภัยทางไซเบอร์ของ SOX

5 องค์ประกอบของกรอบงาน COSO | การปฏิบัติตาม SOX 404 คืออะไรและคุณจะบรรลุได้อย่างไร

ควบคุมสภาพแวดล้อม

สภาพแวดล้อมการควบคุมกำหนดชุดของมาตรฐานและกระบวนการที่เป็นพื้นฐานสำหรับการดำเนินการควบคุมภายในทั่วทั้งบริษัท

ระบบการควบคุมภายในที่มีประสิทธิภาพถูกกำหนดไว้ในสภาพแวดล้อมการควบคุม และควรขับเคลื่อนโดยเป้าหมายเชิงกลยุทธ์ของ:

  • จัดทำรายงานทางการเงินที่เชื่อถือได้แก่ผู้มีส่วนได้ส่วนเสียภายในและภายนอก
  • ดำเนินธุรกิจอย่างมีประสิทธิภาพและประสิทธิผล
  • ปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้องทั้งหมด
  • การปกป้องทรัพย์สินและข้อมูลสำคัญ

หลักการที่เกี่ยวข้อง

  1. แสดงให้เห็นถึงความมุ่งมั่นในความซื่อสัตย์สุจริตและค่านิยมทางจริยธรรม
  2. ตรวจสอบให้แน่ใจว่าคณะกรรมการมีหน้าที่กำกับดูแล
  3. สร้างโครงสร้าง สายการรายงาน อำนาจหน้าที่และความรับผิดชอบ
  4. แสดงให้เห็นถึงความมุ่งมั่นต่อพนักงานที่มีความสามารถ
  5. ให้คนรับผิดชอบ

การประเมินความเสี่ยงสำหรับ SOX

การประเมินความเสี่ยงสำหรับ SOX มีความสำคัญในการพิจารณาว่าปัจจัยเสี่ยงของบริษัทคืออะไร และจะจัดการอย่างไร

ในกรณีนี้ "ความเสี่ยง" หมายถึงความน่าจะเป็นที่เหตุการณ์จะเกิดขึ้นซึ่งจะขัดขวางวัตถุประสงค์ทางธุรกิจ

การประเมินความเสี่ยงกำหนดให้ผู้บริหารระดับสูงพิจารณาผลกระทบของการเปลี่ยนแปลงในสภาพแวดล้อมการควบคุมและดำเนินการตามความเหมาะสมเพื่อจัดการความเสี่ยง

หลักการที่เกี่ยวข้อง

  1. ระบุวัตถุประสงค์ที่เหมาะสม
  2. ระบุและวิเคราะห์ความเสี่ยง
  3. ประเมินความเสี่ยงจากการทุจริต
  4. ระบุและวิเคราะห์การเปลี่ยนแปลงที่อาจส่งผลกระทบอย่างมีนัยสำคัญต่อการควบคุมภายใน

ควบคุมกิจกรรม

กิจกรรมการควบคุมหมายถึงการดำเนินการที่ช่วยบรรเทาความเสี่ยงที่กำหนดไว้ในการประเมินความเสี่ยง

กิจกรรมเหล่านี้อาจเป็นการป้องกันหรือนักสืบและสามารถทำได้ในทุกระดับภายในองค์กร

หลักการที่เกี่ยวข้อง

  1. เลือกและพัฒนากิจกรรมการควบคุมที่ช่วยลดความเสี่ยง
  2. เลือกและพัฒนาการควบคุมเทคโนโลยี
  3. ดำเนินกิจกรรมการควบคุมผ่านนโยบายและขั้นตอนต่างๆ

สารสนเทศและการสื่อสาร

ข้อมูลและการสื่อสารที่ไหลขึ้น ลง และทั่วทั้งองค์กรมีการแบ่งปันอย่างมีประสิทธิภาพและประสิทธิผล

ระบบสารสนเทศและที่เก็บข้อมูลต้องจัดเตรียมข้อมูลที่เกี่ยวข้องกับผู้มีส่วนได้ส่วนเสียที่เหมาะสมด้วยข้อมูลที่เกี่ยวข้องกับวัตถุประสงค์ที่กำหนดไว้ในเวลาที่เหมาะสมและเข้าใจได้เพียงพอ

เช่นเดียวกันเป็นสิ่งจำเป็นสำหรับผู้มีส่วนได้ส่วนเสียภายนอกองค์กร

หลักการที่เกี่ยวข้อง

  1. ใช้ข้อมูลคุณภาพที่เกี่ยวข้องเพื่อสนับสนุนฟังก์ชันการควบคุมภายใน
  2. สื่อสารข้อมูลการควบคุมภายในภายใน
  3. สื่อสารข้อมูลการควบคุมภายในภายนอก

การตรวจสอบ

องค์กรควรนำการประเมินการควบคุมภายในอย่างต่อเนื่องมาใช้เพื่อให้แน่ใจว่าหน้าที่การควบคุมภายในทำงานอย่างถูกต้อง

เมื่อพบข้อบกพร่องควรได้รับการประเมินและสื่อสารอย่างทันท่วงทีกับผู้บริหารระดับสูงและคณะกรรมการ (ถ้าจำเป็น) เพื่อให้สามารถแก้ไขได้อย่างรวดเร็ว

หลักการที่เกี่ยวข้อง

  1. ดำเนินการประเมินการควบคุมภายในอย่างต่อเนื่องหรือเป็นระยะ (หรือทั้งสองอย่างรวมกัน)
  2. สื่อสารข้อบกพร่องการควบคุมภายใน

ทำไมคุณควรสร้างกรอบงาน COSO ในธุรกิจของคุณ?

หากองค์กรล้มเหลวในการดำเนินการควบคุมของกรอบงาน COSO พวกเขาอาจละเมิดข้อกำหนด SOX 404 ที่ได้รับคำสั่งภายใต้กฎหมายของรัฐบาลกลางสำหรับการรายงานทางการเงิน

ผู้ตรวจสอบจะตัดสินความสามารถในการควบคุมภายในของบริษัทตามกรอบการทำงานของ COSO ดังนั้นจึงเป็นการดีที่สุดที่บริษัทต่างๆ จะยึดมั่นในมาตรฐานนั้นเพื่อปฏิบัติตาม SOX

วิธีดำเนินการตามกรอบงาน COSO

โพสต์ที่เกี่ยวข้อง: จะเกิดอะไรขึ้นระหว่างการตรวจสอบความเสี่ยงด้านความปลอดภัยทางไซเบอร์

การนำ COSO ไปใช้เกี่ยวข้องกับการประเมินว่าองค์กรปัจจุบันอยู่ในส่วนย่อย 5 ส่วนใด และทำความเข้าใจว่าสิ่งใดจำเป็นเพื่อให้ได้มาตรฐาน

ซึ่งจะประกอบด้วยการตรวจสอบ SOX ซึ่งควรรวมกรอบงาน COSO และการประเมินหลักการ 17 ข้อที่อ้างถึงก่อนหน้านี้ โดยทั่วไปแล้วจะอยู่ในสี่ขั้นตอนที่แตกต่างกัน

การวางแผนและขอบเขต

การดำเนินการเริ่มต้นตั้งแต่ต้น: ผู้มีส่วนได้ส่วนเสียหลักจะมีส่วนร่วมและผู้ตรวจสอบความปลอดภัยทางไซเบอร์จะกำหนดผู้มีส่วนได้ส่วนเสียที่ถูกต้องสำหรับแต่ละหลักการ

ตัวอย่างเช่น ผู้บริหารระดับสูงของ c-suite จะเข้าร่วมกิจกรรมต่างๆ ในสภาพแวดล้อมการควบคุม ในขณะที่บุคลากรด้านไอทีอาจมีส่วนร่วมกับนโยบายด้านเทคโนโลยีและหลักการของขั้นตอน และการปฏิบัติตามกฎระเบียบอาจมีส่วนร่วมในฐานะผู้มีส่วนได้ส่วนเสียหลักสำหรับหลักการตรวจสอบ

ผู้ตรวจสอบจะต้องมีภาพที่สมบูรณ์ของตำแหน่งที่จัดเก็บข้อมูลทางธุรกิจทั้งหมด รวมถึงในแอปพลิเคชันของบุคคลที่สามที่ทำงานภายใต้เครือข่ายของบริษัท

การดำเนินการ

ผู้ตรวจสอบจะทำการทดสอบการเจาะระบบและการสแกนหาจุดอ่อนเพื่อสร้างความชัดเจนในจุดยืนของธุรกิจด้วยรูปแบบปัจจุบันภายในกรอบการทำงานของ COSO

การวิเคราะห์และการรายงาน

ผลลัพธ์เหล่านี้จะถูกรายงานไปยังผู้มีส่วนได้ส่วนเสียหลักและจะมีการเสนอแนะเพื่อช่วยให้ธุรกิจปฏิบัติตามกรอบงานของ COSO ซึ่งจะทำให้องค์กรสามารถมั่นใจได้ว่าเป็นไปตามมาตรฐาน SOX 404

บรรทัดล่าง

การปฏิบัติตาม SOX 404 เป็นรูปแบบการปฏิบัติตามข้อกำหนดที่จำเป็นแต่ค่อนข้างซับซ้อนสำหรับบริษัทที่ซื้อขายในตลาดหลักทรัพย์

ข้อกำหนดของ SOX 404 หมายถึงการปฏิบัติตามกรอบการทำงานของ COSO หลักการ 17 ข้อนี้นำเสนอรากฐานที่มั่นคงและวิธีการสำหรับองค์กรที่จะปฏิบัติตาม SOX 404 และเป็นความคิดที่ดีที่บริษัทต่างๆ จะปฏิบัติตามมาตรฐานนี้เพื่อให้การควบคุมภายในได้มาตรฐาน

ในการนำกรอบงาน COSO ไปใช้ ธุรกิจควรพิจารณาว่าจ้างผู้ให้บริการรักษาความปลอดภัยที่มีการจัดการเพื่อตรวจสอบระบบของตนและให้คำแนะนำว่าควรใช้โซลูชัน นโยบาย และขั้นตอนใดเพื่อให้เป็นไปตามข้อกำหนด

หากคุณต้องการปฏิบัติตาม SOX 404 แต่ไม่แน่ใจว่าจะเริ่มต้นจากที่ใด ให้พิจารณามีการประเมินความเสี่ยงสำหรับ SOX ที่ดำเนินการโดย Impact ติดต่อวันนี้เพื่อรับลูกบอลกลิ้งในการรักษาความปลอดภัยในอนาคตของคุณ