满足2018年SOX合规要求的4个重点领域
在某种意义上, 萨班斯-奥克斯利法案(SOX合规)是每年的必经之路, 类似于春季或秋季电视季的到来. 确切的经历每年都在变化,但总会发生. 当前的监管环境要求严格. 虽然遵守的成本很高,但不遵守的成本甚至更高. 但这对你意味着什么?
您的公司是否通过综合审计完全遵守SOX法规, 作为新兴成长型公司进行管理评估,或者考虑SOX对即将到来的业务战略的准备情况, 知道会发生什么以及如何准备是至关重要的.
以下是帮助您满足SOX遵从性和控制方面新需求的四个重点领域.
- 实体级控制
与其他关键控制相比,实体级控制在操作和评估方面通常不那么复杂. 然而, 它们在提供COSO框架原则的覆盖范围和在整个SOX计划中启用基于风险的方法方面至关重要. 实体一级控制活动的不足可能表明控制环境中存在其他问题, 包括缺乏适当的“高层语气”, 控制所有权、问责制和欺诈风险增加. 多重缺陷合计可能导致重大缺陷披露.
如何解决这个问题:- 适当的董事会和审计委员会的意识和参与是推动高层基调的关键成功因素. 作为实现可持续发展的一部分,管理层和一线控制所有者应关注关键实体级控制的绩效和证据方面的一致纪律, 有效SOX程序.
- 职责分离
越来越强调系统和过程内职责的分离. 审计委员会, 理应如此, 是否更多地询问管理层组织结构的健全性和职责分工. 外部审计员期望管理层提供职责分离的文档化分析,作为SOX控制设计评估的一部分, 特别是对于受综合审计的公司. 由于资源有限,管理可能面临挑战, 预算限制和可能的系统限制. 职责分离是当今监管环境中系统访问和角色的重点领域,并强调网络安全风险覆盖.
如何解决这个问题:- 最佳实践是执行, 根据需要正式记录和更新正在进行的职责分离分析,以演示过程和系统中的适当分离. 这种分析应包括查明暴露/差距并找出补偿控制措施, 特别是在目前根本没有足够的资源来充分划分职责的情况下.
- 还应注意有效地证明补偿控制的运行.
- 关键报告和电子表格
外部审计员严格关注的重点并不是用于支持关键控制活动的关键报告和电子表格.控制活动的缺陷导致缺乏完整性和准确性,增加了出现重大缺陷的风险. 控件所有者必须彻底理解并记录生成关键报告或下载到关键电子表格中的数据来源,以证明对完整性和准确性的理解和验证. 这通常需要接受IT和业务中指定的“所有者”的共同责任.
如何解决这个问题:
- 管理这种情况的最佳方法之一是让管理层开发和维护关键报告和电子表格的库存,这些报告和电子表格列出了IT和业务所有者等信息, 控制的支持, 来源系统和报告类型(e.g., 罐头, 自定义, 查询), 频率产生, 并保留文件以保证证据的完整性和准确性. 这个主列表支持控制所有者的职责,并使管理层能够在他们的SOX计划活动中对关键报告和电子表格的评估进行优先级排序.
- 管理评审控制
“评审”控制表示评审人员独立验证编制人员工作的活动,例如账户分析, 对账, 储备计算或审查业务绩效(例如.g.(预算和/或预测与实际)差异. 审核人员的简单签字不再提供控制运行的充分证据. 审核员作为控制所有人有责任定义、记录和保留证据:- 使用的标准/阈值(e.g., 卷, 美元, 以适当的精度来检测潜在的材料错误
- 对符合或超过规定的标准和阈值的核对项目和差异进行调查, 解释和/或调整和纠正
- 基于控制频率的评审及时性
我们能为您做些什么?
是否改善内部控制, 解决萨班斯-奥克斯利法案的准备和遵从问题, 制定和执行内部审计计划或确定安全利用IT和系统的方法, 我们的团队 风险与合规 专业人员在帮助各种规模的公司实现法规遵从方面经验丰富. 保持联系 今天来学习我们如何帮助您通过这些严格的期望来实现成功, 可持续SOX计划.
By 珍妮·梅茨
Jeanne管理了许多内部审计和Sarbanes-Oxley 404合规项目的成功实施. 她对合规工作的组织和高效执行赋予了她分析方面的经验, 修正这些缺陷, 测试财务流程.