首页 ICI内控快讯文章正文

SOX 20年来该调整一下了吗?

ICI内控快讯 2024年03月06日 15:40 495 内控网

7.jpg

多年未受到挑战的 SOX 计划可能会耗尽资源并阻碍绩效

德勤华尔街日报

 

 

2002 年《萨班斯-奥克斯利法案》(SOX) 成为联邦法律以来的 20 年间,公司内部和外部都发生了很大变化,相关技术、方法和整个业务环境都取得了重大发展。 然而,许多公司的 SOX 计划可能没有以同样的速度发展,或者根本没有发展。

多年来,一些 SOX 计划可能继续增加额外的控制措施,同时花费相同或更多的资金来实现合规性,但无法从计划中获取价值。 在这种情况下,组织可能测试了太多的控制措施,或者可能没有关注最重要的风险领域。 因此,他们可能无法对财务报告内部控制的运行有效性获得合理的保证,或者合规成本可能高于必要的成本。

现在可能是首席财务官和合规官员考虑更新、重新思考和现代化 SOX 计划的最佳时机。 现代化可以帮助公司提高效率,提取价值和见解以与组织的其他领域共享,并有可能降低相关的合规成本,同时仍然实现合规性的合理保证。

SOX 现代化不仅仅是控制合理化。 它还应该考虑三个重点领域:运营模式改进、程序增强以及技术和自动化机会。

运营模式改进

既定的治理结构和明确的问责制是有效运营模式的基础。 这些领域可能并不总是得到明确定义,应定期重新审视,特别是考虑到财务和会计职能之外的利益相关者多种多样。 重要的是要记住,虽然 SOX 与财务报告的内部控制 (ICFR) 有关,但财务报告的输入也来自业务,因此内部控制运行的责任延伸到那些相关的业务流程、系统和应用程序。

经过多年遵守 SOX 后,一些公司可能不再通过关键的视角进行稳健的风险评估。

考虑以下步骤:

定义该计划的总体治理结构。 正确的治理结构有助于确保拥有适当技能和权力的人员提供监督,以推动 SOX 合规计划的战略愿景,并将这些决策传达给所有相关利益相关者。

制定监控计划。 应制定监控计划来跟踪控制措施未有效运行或风险未得到适当缓解的地方。 监控应基于风险并与风险评估保持一致,因此优先考虑花时间调查已发现的任何问题或缺陷。

推动问责制。 对于控制所有者而言,责任不仅应与其各自的控制相关,还应与这些控制旨在缓解的已识别风险相关。 如果重点仅放在控制上,则现有控制可能无法始终如一地减轻相关风险,尤其是当组织内的风险发生变化时。 如果焦点转移到风险上,利益相关者就有机会推动变革,将重点放在那些能够更有效地减轻风险的控制措施上。

采取灵活的资源配置方式。 在确定谁应参与 SOX 计划并定义其相关角色和职责时,请考虑利用内部审计师协会 (IIA) 三线模型,该模型阐明了整个组织中不同群体在管理风险方面可能具有的角色和职责。

 

程序增强

管理层与财务报告内部控制相关的责任是对财务报告的可靠性获得合理保证,而不是绝对保证。 “合理性”的概念是客观的,有一系列可以认为适当的判断和方法。 进行有效的风险评估可以帮助管理层识别公司内部存在重大错报风险的领域,并确定重点关注哪些领域。

经过多年遵守 SOX 后,一些公司可能不再通过关键的视角进行稳健的风险评估,最终可能会更多地关注确定今年将接受测试的控制措施、执行设计和运营有效性的测试 这些控制措施,并评估结果。 从一开始就更新风险评估,并通过关键的视角评估每个步骤,可以帮助管理层确定公司因新的或变化的风险而应重点关注的领域。

风险评估应该是迭代的,包括定量和定性考虑,包括但不限于:

过程的复杂程度或判断

单笔交易的活动量、复杂性和同质性

发现前期错误

执行控制活动的资源对于该角色是否是新的

更细粒度的评估,例如业务部门级别。

为了能够在识别风险时确定重点领域的优先顺序,应考虑风险水平以区分那些如果不加以缓解可能导致财务报表中出现重大错报的风险。 一旦确定了风险并确定了优先级,就可以确定旨在减轻这些风险以实现合理保证的控制措施。

在进行风险评估时,公司还应考虑欺诈的可能性以及对信息技术和外包服务提供商的依赖以及相关的风险和控制。 随着公司继续沿着 SOX 现代化的道路前进,公司还可以协调其风险评估工作,而不仅仅是对财务报告的内部控制,以及整个组织的其他合规活动。

除了风险评估之外,公司还应该考虑现代化的测试策略。 考虑基于风险的方法,重新考虑测试的性质、时间安排和范围,以及由谁测试已确定的控制措施,可以提高效率并最大限度地提高外部审计师对管理层测试的依赖。

 

技术和自动化机会

如果一家公司的 SOX 计划或控制环境没有跟上变化的步伐,那么支持 SOX 计划的技术很可能也有改进的空间。 这些挑战可能会导致项目成本增加。

利用技术可以通过多种方式实现 SOX 计划,并提高质量、提高效率和获得更深入的见解。 它还可以潜在地降低合规的总成本。

考虑以下技术重点领域:

自动化控制测试。 许多公司依赖于基于样本的时间点测试,导致采样量更大,但对整个人群的覆盖率较低。 自动化测试包括通过实时结果分析某些人群和交易,使公司能够测试高达 100% 的人群,并有可能以更少的时间和成本获得更多的保证。 即使进行了自动化控制测试,公司仍然需要执行异常和趋势监控,以便能够响应控制性能中的任何异常。

自动化控制。 并非所有控制都可以或应该自动化,但如果设计得当,自动化控制本质上比手动控制更可靠。 一旦实施,出现人为错误的机会就会减少。 考虑控制自动化有两种方法:将手动控制本身自动化或实施新的自动化控制,例如更高级别的直接和精确的监控控制,例如,分析大量低金额的数据以识别 人群中的风险和异常值。 这些类型的数字控制使设计、实施和控制测试能力现代化。 他们还可以主动触发纠正措施,以减轻风险并降低残余风险,并提供用于管理决策的见解。

自动化整个过程。 就像控制一样,并非所有流程都可以或应该自动化。 确定哪个流程最有可能实现自动化时,首要考虑因素是考虑它是否是频繁发生且由一组标准活动定义的高度手动流程。 自动化流程有助于释放资源来处理更复杂的任务,通过消除人为交互来减少错误,并通过更高效的流程来减少时间和成本。 这也将使公司能够合理化对该流程的控制,因为实施的自动化可以帮助降低与该流程相关的相关风险。

实施治理、风险和合规性 (GRC) 工具。 这样的工具可以使组织能够管理和简化其 SOX 计划和整体合规风险。 GRC 的优点包括:作为控制文档的单一事实来源、管理文档请求和相关控制测试,以及管理围绕已识别问题和缺陷的工作流程。

由于组织希望用更少的资源做更多的事情,因此不提供额外业务洞察力的合规计划不应被视为可持续的选择。 通过更新和现代化 SOX 计划,公司可以发现提高效率的机会,将重点和工作转移到最重要的领域,并有可能降低合规成本,同时提取价值并实现合规。

 

来源:ICI内控快讯




近期课程安排:

《国际注册内部控制师CICS资格认证》网络课程学习班:

报名链接:https://www.neikong.com/s/pc/#/course/detail/1527212/1473841/info?parentId=905884

报名电话:400-098-1119    15810764339(微信同号)

联 系 人:孙老师、邱老师

报名咨询二维码 :

企业微信.png




内控网—国际注册内部控制师官方网站—内控®、风控®、首席内控官®、风控在线®、内控网®、内部控制
  • 出版物经营许可证: 京出发京零字第西200036号
  • 内控网®、内控®、风控®、首席内控官®、内控师®、风控在线®、内控培训、内部控制培训、国际注册内部控制师
  • Copyright© 中经安信息科技(北京)有限公司 版权所有 京ICP备08102702号-6
  • 京公网安备110102004017 京B2-20120020