SOX风险评估:如何准备,步骤 & 挑战
报税表已经提交了! 你正在享受一个受欢迎的休息时间,远离审计师和他们没完没了的问题.
现在,SOX风险评估出现在任务清单上——但没有人可以委托.
你模糊地记得去年或前年准备的?
如果你想知道SOX风险评估是什么, 你为什么要这么做, 以及如何正确有效地做到这一点, 我们有你想要的答案.
什么是SOX风险评估?
SOX风险评估侧重于财务报告的内部控制(ICFR)。. 从本质上讲,它分析财务信息以及可能出现的潜在风险.
结果决定了下一财政年度SOX或ICFR有效性评估活动的范围和优先事项.
为什么SOX风险评估很重要?
SOX风险评估有助于管理层确定某些流程是否, 可以将帐户或系统排除在SOX监视活动之外.
它们还可以让你识别并优先考虑高风险区域, 如果确定了问题,可以先测试哪一个以便有充足的时间进行补救工作.
成功的SOX风险评估的5个步骤
1. 计算重要性
首先,决定使用什么指标. 这通常是一个财务报表项目(FSLI),对管理层衡量公司业绩很重要.
应用百分比. 说明你为什么选择这个指标和百分比来支持你的重要性结论. 当你明年更新风险评估时,这也会刷新你的记忆.
SOX风险评估中重要性的使用:
- 范围: 确定哪些流程和账户在本年度的范围内或范围外(有时称为“计划重要性”)
- 缺陷分析确定控制缺陷是否上升到重大缺陷或重大缺陷的程度(有时称为“总体重要性”)
2. 进行地点或公司范围界定
这取决于你的组织结构, 使用重要性来确定是否可以将某些地点或公司排除在SOX监视活动之外.
这将帮助您简化SOX遵从性方法并节省时间.
3. 将帐户映射到业务流程
在此步骤中,将总账帐户与影响这些帐户的业务流程联系起来. 您可以将fsli映射到业务流程,而不是帐户.
流程也被称为“事务周期”或“重要事务类别”.”
4. 进行定量和定性分析
总结每个过程的财务影响或FSLI,并对每个过程的某些因素进行风险率,以确定每个过程的总体风险.
SOX风险评估分析需要考虑的定性风险因素:
- 判断和估计的使用 结果是更高的评级.
- 非例行的或同构的事务. 在不太频繁的交易或计算中存在较高的错报或错误风险.
- 欺诈的风险和欺诈、错误或缺陷的历史. 某些流程或账户存在较高的欺诈风险. 此外,还要考虑错误或控制缺陷的历史.
- 的复杂性 对过程、计算或会计的指导. 例如,联邦税收的计算通常比现金活动更复杂.
- 缺乏自动化 以及电子表格的范围. 手工活动更容易出错.
- 变化 在过程、系统或管理中. 由于流程的改进,这些评级可能每年都会发生变化, 系统实现和员工变更.
如果你用去年的试算表作为基准, 考虑本年度计划的项目和倡议,以及是否应将新程序纳入评估.
再一次。, 记录你分配风险等级的理由,以支持你的结论,并在明年更新风险评估时刷新你的记忆.
5. 进行IT应用范围界定
确定每个流程中使用的IT应用程序和数据库.
取决于系统在过程中的使用程度, 该系统中用于财务报告目的的数据或报告以及现有手动控制的精度, 确定哪些应用程序在IT通用控制评估的范围内.
作为 IT应用范围, 还要确定系统是否由内部托管和管理, 还是基于云的SaaS系统.
控制要求因系统类型而异.
有关IT通用控制的更多信息,请阅读 IT SOX遵从性要求.
SOX风险评估:最后的想法
人们很容易迷失在细节中, 因此,确定结果是否反映了管理层对ICFR相关风险的看法是很重要的.
将整体风险评级与前一年的评估进行比较,并确定变化是否合理. 考虑在年内修订评估,以反映机构的重大变化, 商业或工业.
这一评估乍一看可能令人望而生畏. 如果没有适当地分配风险, 重要的项目和系统可能被排除在SOX监控范围之外.
最后一分钟的意外可能没有足够的时间来实施适当的文档化控制或纠正缺陷. 或者相反, 您可能会包括比所需更多的领域,并且由于没有采取基于风险的方法而浪费时间.
在风险评估过程中获得效率和消除复杂性的最佳方法是将初始设置外包, 分析与监控.
需要SOX风险评估支持?
Bridgepoint咨询 对计划和交付SOX准备和合规服务的复杂性和期望有深刻的理解。我们已经证明了满足监管环境严格要求的经验. 客户团队之间的协作, 审计委员会和外部审计师是我们战略中不可或缺的一部分,因此我们可以根据您的具体要求和支持水平进行调整.
近期咨询新闻 & 来自Bridgepoint数字内容的行业见解 & 研究团队.