SOX 404 Uyumluluğu Nedir ve Nasıl Elde Edebilirsiniz?

Yayınlanan: 2021-10-08

SOX 404 uyumluluğu, ABD'de faaliyet gösteren, tamamına sahip olunan yan kuruluşlar ve halka açık yabancı şirketlere ek olarak, Amerika Birleşik Devletleri'ndeki tüm halka açık şirketler için bir zorunluluktur.

2000'lerin başındaki bir dizi yüksek profilli kurumsal skandaldan sonra oluşturuldu ve tutarlı ve doğru kurumsal açıklamalar yoluyla hissedarları daha iyi korumak ve şeffaflığı artırmak için uygulamaya kondu.

SOX'un 11 başlığında birkaç bölüm vardır, ancak bazıları kapsamları ve maliyetleri nedeniyle işletmeler için daha uygun olacaktır - özellikle finansal raporlamaya ilişkin iç kontrollerin değerlendirilmesiyle ilgili olan SOX 404.

SOX 404 uyumluluğu çok maliyetli olabilir, ancak modern teknoloji ve belge yönetimi sayesinde daha önce manuel olan birçok işlem otomatikleştirilebilir, bu da risk ve maliyeti azaltır.

Bu blog gönderisinde, neyin gerekli olduğu ve uyumlu olmak için kuruluşların neler yapabileceği dahil olmak üzere SOX 404'e bir göz atacağız.

SOX Bölüm 404 Nedir?

SOX Yasası'nın 404. Bölümü, SOX uyumluluğunun en maliyetli ve karmaşık yönüdür ve yıllık mali raporlamayla ilgilidir.

Bölüm 404, yıllık raporların, şirketin finansal raporlamaya ilişkin iç kontrollerine ilişkin kendi değerlendirmesini ve ayrıca şirketin değerlendirmesini onaylayan ve raporlayan bir denetçiyi içermesini gerektirir.

Bu denetçi bir üçüncü taraf olmalıdır ve bir şirketin iç kontrollerinin güvenilirliğini ve doğruluğunu göstermesi gerekir.

Bölüm 404 uyarınca, SEC tescil ettirenlerin yıllık dosyalamalarına şunları eklemeleri istenecektir:

  • Finansal raporlama üzerinde yeterli iç kontrolün sağlanması ve sürdürülmesine ilişkin yönetimin sorumluluk beyanı
  • Yönetim tarafından iç kontrolün etkinliğini değerlendirmek için kullanılan çerçeveyi tanımlayan bir beyan
  • Şirketin en son mali yıl sonu itibarıyla iç kontrolün etkinliğine ilişkin yönetimin değerlendirmesi
  • Şirketin dış denetçisinin, yönetimin değerlendirmesine ilişkin bir tasdik raporu yayınladığına dair bir beyan

İç Kontroller Ne Anlama Geliyor?

Herhangi bir şirkette, büyüklükleri ne olursa olsun, üst yönetim personeli, mali tablolarının doğruluğunu sağlamak için bir dizi standart sağlamalıdır.

Mevzuatın kendisi, şirketlerin iç kontrol standartlarını karşılamak için ne yapmaları gerektiğini tam olarak belirtmemektedir - bu, birçok kişinin “iç kontrollerin” gerçekte ne anlama geldiğini yorumlamasına yol açmıştır.

Neyse ki, beş kuruluş arasında ortak bir girişim olarak geliştirilen COSO İç Kontrol Çerçevesi başta olmak üzere mevcut çerçeveler var: İç Denetçiler Enstitüsü (IIA), Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA), Uluslararası Mali Yöneticiler (FEI), The Association Muhasebeciler ve İşletmedeki Finansal Profesyoneller (IMA) ve Amerikan Muhasebe Derneği (AAA).

COSO Kontrol Çerçevesinde özetlenen kontroller, SOX 404 uyumluluğunu sağlamak isteyen şirketler için benimsenmeye uygundur.

COSO Çerçevesi

COSO çerçevesi, üçüncü taraf denetçiye şirketin SOX siber güvenlik gereksinimlerine uygun olduğunu göstermek için takip edilmesi gereken beş alt bölümde 17 ilke içermektedir.

COSO çerçevesinin 5 bileşeni | SOX 404 Uyumluluğu Nedir ve Nasıl Elde Edebilirsiniz?

Kontrol ortamı

Kontrol ortamı, bir şirket genelinde iç kontrolü gerçekleştirmenin temeli olan standartlar ve süreçler dizisini ortaya koyar.

Etkili bir iç kontrol sistemi, kontrol ortamına dayanır ve aşağıdaki stratejik hedefler tarafından yönlendirilmelidir:

  • İç ve dış paydaşlara güvenilir finansal raporlama sağlamak
  • İşletmeyi verimli ve etkin bir şekilde yürütmek
  • Yürürlükteki tüm yasa ve yönetmeliklere uymak
  • Varlıkları ve hassas bilgileri koruma

ilgili ilkeler

  1. Dürüstlük ve etik değerlere bağlılık göstermek
  2. Kurulun gözetim sorumluluğunu yerine getirmesini sağlamak
  3. Yapılar, raporlama hatları, yetkiler ve sorumluluklar oluşturun
  4. Yetkin bir işgücüne bağlılık göstermek
  5. İnsanları sorumlu tutun

SOX için risk değerlendirmesi

SOX için bir risk değerlendirmesi, bir şirketin risk faktörlerinin neler olduğunu ve nasıl yönetileceğini belirlemek için çok önemlidir.

Bu durumda "risk", iş hedeflerini bozacak bir olayın meydana gelme olasılığı olarak tanımlanır.

Risk değerlendirmesi, üst yönetimin kontrol ortamındaki değişikliklerin etkilerini dikkate almasını ve uygun olduğunda riski yönetmek için harekete geçmesini gerektirir.

ilgili ilkeler

  1. Uygun hedefleri belirtin
  2. Riskleri tanımlayın ve analiz edin
  3. Dolandırıcılık risklerini değerlendirin
  4. İç kontrolleri önemli ölçüde etkileyebilecek değişiklikleri belirleyin ve analiz edin

Kontrol aktiviteleri

Kontrol faaliyetleri, risk değerlendirmesinde belirlenen risklerin azaltılmasına yardımcı olan eylemler anlamına gelir.

Bu faaliyetler önleyici veya tespit edici olabilir ve bir organizasyon içindeki tüm seviyelerde gerçekleştirilebilir.

ilgili ilkeler

  1. Riskleri azaltan kontrol faaliyetlerini seçin ve geliştirin
  2. Teknoloji kontrollerini seçin ve geliştirin
  3. Politikalar ve prosedürler aracılığıyla kontrol faaliyetlerini dağıtın

Bilgi ve iletişim

Yukarı, aşağı ve kuruluşlar arasında akan bilgi ve iletişim, etkin ve verimli bir şekilde paylaşılır.

Bilgi sistemleri ve veri havuzları, uygun paydaşlara belirlenen hedefleriyle ilgili bilgileri zamanında ve yeterince anlaşılır bir şekilde sağlamalıdır.

Aynısı kurum dışındaki paydaşlar için de gereklidir.

ilgili ilkeler

  1. İç kontrol işlevini desteklemek için ilgili, kaliteli bilgileri kullanın
  2. İç kontrol bilgilerini dahili olarak iletin
  3. İç kontrol bilgilerini harici olarak iletin

izleme

İç kontrol fonksiyonlarının doğru bir şekilde çalıştığından emin olmak için iç kontrollerin sürekli değerlendirmeleri kuruluş tarafından benimsenmelidir.

Eksiklikler bulunduğunda bunlar değerlendirilerek zamanında üst yönetime ve (gerekirse) yönetim kuruluna iletilerek hızla düzeltilebilir.

ilgili ilkeler

  1. İç kontrollerin (veya ikisinin bir kombinasyonunun) devam eden veya periyodik değerlendirmelerini gerçekleştirin
  2. İç kontrol eksikliklerini iletin

Neden İşletmenizde COSO çerçevesini Oluşturmalısınız?

Bir kuruluş COSO çerçevesinin kontrollerini uygulayamazsa, finansal raporlama için federal yasa kapsamında zorunlu kılınan SOX 404 gerekliliklerini çok iyi ihlal ediyor olabilir.

Denetçiler, bir şirketin iç kontrol yeteneklerini COSO çerçevesine göre değerlendireceklerdir, bu nedenle şirketlerin SOX'a uymak için kendilerini bu standarda uymaları en iyisidir.

COSO Çerçevesi Nasıl Uygulanır?

İlgili Yazı: Siber Güvenlik Risk Denetimi Sırasında Ne Olur?

COSO uygulaması, bir kuruluşun şu anda beş alt bölümü arasında nerede olduğunu değerlendirmeyi ve standarda ulaşmak için neyin gerekli olduğunu anlamayı içerir.

Bu, COSO çerçevesini ve tipik olarak dört farklı aşamada daha önce bahsedilen 17 ilkenin bir değerlendirmesini içermesi gereken bir SOX denetimini içerecektir.

Planlama ve kapsam

Uygulama başlangıçta başlar: kilit paydaşlar sürece dahil edilecek ve siber güvenlik denetçileri her bir ilke için doğru paydaşları belirleyecektir.

Örneğin, c-suite yöneticileri Kontrol Ortamı faaliyetlerinin çoğuyla meşgul olurken, BT personeli teknoloji politikası ve prosedür ilkeleri için meşgul olabilir ve izleme ilkeleri için kilit paydaş olarak bir uyum devreye girebilir.

Denetçilerin, şirket ağı altında çalışan üçüncü taraf uygulamalar da dahil olmak üzere, tüm iş verilerinin nerede saklandığına dair tam bir resme sahip olması gerekecektir.

Uygulamak

Denetçiler, COSO çerçevesinde işletmenin mevcut modeliyle nerede durduğunu net bir şekilde belirlemek için sızma testi ve güvenlik açığı taraması yapacaklardır.

Analiz ve raporlama

Bu sonuçlar daha sonra kilit paydaşlara rapor edilecek ve işletmenin COSO çerçevesine uygun hale getirilmesine yardımcı olmak için önerilerde bulunulacak ve bu noktada kuruluş, SOX 404 uyumlu olduklarından emin olabilir.

Alt çizgi

SOX 404 uyumluluğu, halka açık şirketler için gerekli ancak açıkçası oldukça karmaşık bir uyumluluk şeklidir.

SOX 404'ün gereklilikleri, COSO çerçevesine bağlılık anlamına gelir. 17 ilkesi, bir kuruluşun SOX 404 uyumlu olması için sağlam bir temel ve araçlar sunar ve şirketlerin iç kontrollerini standart hale getirmek için bu standardı izlemeleri iyi bir fikirdir.

COSO çerçevesini uygulamak için işletmeler, sistemlerini denetlemek ve uyum sağlamak için hangi çözümlerin, politikaların ve prosedürlerin benimsenmesi gerektiğine dair tavsiyeler sağlamak için yönetilen bir güvenlik hizmeti sağlayıcısı tutmayı düşünmelidir.

SOX 404 ile uyumlu olmanız gerekiyorsa ancak nereden başlayacağınızdan emin değilseniz, Impact tarafından SOX için bir risk değerlendirmesi yaptırmayı düşünün. Geleceğinizi güvence altına almak için topun yuvarlanmasını sağlamak için bugün iletişime geçin.