什么是 SOX 404 合规性以及如何实现它?

已发表: 2021-10-08

除了全资子公司和在美国开展业务的外国上市公司外,所有在美国的上市公司都必须遵守 SOX 404。

它是在 2000 年代初期的一系列备受瞩目的公司丑闻之后创建的,旨在通过一致和准确的公司披露来更好地保护股东并提高透明度。

SOX 的 11 个标题中有许多部分,但由于其范围和成本,有些部分与企业更相关——特别是 SOX 404,它涉及对财务报告内部控制的评估。

SOX 404 合规性可能非常昂贵,但通过现代技术和文档管理,许多以前的手动流程可以自动化,从而降低风险和成本。

在这篇博文中,我们将了解 SOX 404,包括要求什么以及组织可以采取哪些措施来实现合规。

什么是 SOX 第 404 条?

SOX 法案的第 404 条是 SOX 合规性最昂贵和最复杂的方面,涉及年度财务报告。

第 404 节要求年度报告包括公司自己对其财务报告内部控制的评估,以及审计师对公司评估的证明和报告。

该审计师必须是第三方,并且需要证明公司内部控制的可靠性和准确性。

根据第 404 节,SEC 注册人将被要求在其年度申报中包括:

  • 管理层对建立和保持对财务报告的充分内部控制的责任声明
  • 一份声明,确定管理层用于评估内部控制有效性的框架
  • 管理层对截至公司最近一个财政年度末内部控制有效性的评估
  • 公司外部审计师已就管理层评估出具鉴证报告的声明

内部控制是什么意思?

在任何公司,无论规模大小,高层管理人员都必须保持一套标准,以确保其财务报表的准确性。

立法本身并没有具体说明公司必须做什么才能达到其内部控制标准——这导致许多人解释“内部控制”的实际含义。

幸运的是,现有框架,特别是 COSO 内部控制框架,由五个组织联合开发:内部审计师协会 (IIA)、美国注册会计师协会 (AICPA)、财务执行官国际 (FEI)、协会商业会计师和金融专业人士协会 (IMA) 和美国会计协会 (AAA)。

COSO 控制框架中概述的控制适用于希望确保 SOX 404 合规性的公司。

COSO 框架

COSO 框架包含五个小节中的 17 条原则,应遵循这些原则,以便向第三方审计员证明公司符合 SOX 网络安全要求。

COSO 框架的 5 个组成部分 |什么是 SOX 404 合规性以及如何实现它?

控制环境

控制环境列出了一套标准和流程,这些标准和流程是在整个公司内实施内部控制的基础。

有效的内部控制系统以控制环境为基础,并应由以下战略目标驱动:

  • 向内部和外部利益相关者提供可靠的财务报告
  • 高效和有效地经营业务
  • 遵守所有适用的法律和法规
  • 保护资产和敏感信息

相关原则

  1. 表现出对诚信和道德价值观的承诺
  2. 确保董事会行使监督职责
  3. 建立结构、报告路线、权限和责任
  4. 表现出对称职员工的承诺
  5. 追究人们的责任

SOX 的风险评估

SOX 的风险评估对于确定公司的风险因素是什么以及如何管理这些因素至关重要。

在这种情况下,“风险”被定义为会破坏业务目标的事件发生的概率。

风险评估要求最高管理层考虑控制环境变化的影响,并在适当的情况下采取措施管理风险。

相关原则

  1. 指定适当的目标
  2. 识别和分析风险
  3. 评估欺诈风险
  4. 识别和分析可能显着影响内部控制的变化

控制活动

控制活动是指为帮助减轻风险评估中确定的风险而采取的行动。

这些活动可能是预防性的或检测性的,并且可以在组织内的所有级别执行。

相关原则

  1. 选择和开发降低风险的控制活动
  2. 选择和开发技术控制
  3. 通过政策和程序部署控制活动

信息与通讯

向上、向下和跨组织流动的信息和通信得到有效和高效的共享。

信息系统和存储库必须以及时和充分可理解的方式向适当的利益相关者提供与其既定目标相关的信息。

对于组织外部的利益相关者来说,这也是必要的。

相关原则

  1. 使用相关的质量信息来支持内部控制功能
  2. 内部沟通内部控制信息
  3. 对外交流内部控制信息

监控

组织应采用对内部控制的持续评估,以确保内部控制功能正常运行。

发现不足时,应及时进行评估,并及时与高级管理层和董事会(如有必要)进行沟通,以便迅速改正。

相关原则

  1. 对内部控制进行持续或定期评估(或两者的组合)
  2. 沟通内部控制缺陷

为什么要在您的业务中建立 COSO 框架?

如果一个组织未能实施 COSO 框架的控制,他们很可能违反了联邦法律对财务报告规定的 SOX 404 要求。

审核员会根据 COSO 框架判断公司的内部控制能力,因此公司最好遵守该标准以遵守 SOX。

如何实施 COSO 框架

相关文章:网络安全风险审计期间会发生什么?

COSO 实施涉及评估组织当前在其五个子部分中的位置,并了解需要什么才能达到标准。

这将包括 SOX 审核,其中应包含 COSO 框架和对前面提到的 17 项原则的评估,通常分为四个不同的阶段。

规划和范围

实施从头开始:关键利益相关者将参与进来,网络安全审计员将为每项原则指定正确的利益相关者。

例如,企业高管将参与许多控制环境活动,而 IT 人员可能会参与技术政策和程序原则,而合规性可能会作为关键利益相关者参与监控原则。

审计人员需要全面了解所有业务数据的存储位置,包括在公司网络下运行的第三方应用程序中。

执行

审计人员将进行渗透测试和漏洞扫描,以便清楚地确定业务在 COSO 框架内的当前模型所处的位置。

分析和报告

然后将这些结果报告给主要利益相关者,并提出建议以帮助企业遵守 COSO 框架,此时组织可以确信他们符合 SOX 404。

底线

对于上市公司而言,SOX 404 合规性是一种必要但坦率地说相当复杂的合规形式。

SOX 404 的要求意味着遵守 COSO 框架。 它的 17 条原则为组织符合 SOX 404 提供了坚实的基础和手段,公司遵循此标准以使其内部控制达到标准是一个好主意。

为实施 COSO 框架,企业应考虑聘请托管安全服务提供商来审核其系统,并就应采用哪些解决方案、策略和程序以使其合规提供建议。

如果您需要遵守 SOX 404 但不确定从哪里开始,请考虑由 Impact 对 SOX 进行风险评估。 立即联系,以确保您的未来顺利进行。