CFGI最近召集了几位顶尖的萨班斯-奥克斯利法案专家,在镜头前讨论了遵守萨班斯法案的所有事情. 随后的讨论产生了近90分钟的见解,来自三位前四大审计师,现在是CFGI的支柱:
- 丹尼尔蜻蜓:合伙人,IT风险咨询业务全国负责人.
- 安吉拉Barcelos:合伙人,风险咨询业务全国负责人.
- 克里斯托弗•特鲁多:风险咨询业务总经理.
以下是他们对围绕SOX遵从性的一些最紧迫主题的看法(请观看两分钟的视频) 这里是视频回顾).
何时开始规划SOX遵从性
对于计划上市的公司
丹尼尔: “要达到符合SOX 404的最终目标,有多个步骤. 现在,在某些情况下,你有几年的时间来积累. 如果你知道你将成为一家新兴的成长型公司, 例如, 我发现,在IPO前几个月开始谈判是理想的. 在这一点上,你不必全力以赴, 但你可以以一种更轻松的方式开始建立基础,而不是破坏性的.”
对于已经上市的公司
克里斯托弗: “我们通常会告诉我们的亚博电子游戏网站,你要在年底结束后尽快考虑风险评估流程和内部控制. 通常是在尘埃落定之后. 你知道风险在哪里, 这是一个很好的时间来思考我们如何在接下来的一年里取得进步.”
要避免的高级SOX陷阱
克里斯托弗: “我们看到,亚博电子游戏网站在遵守《亚博电子游戏网站》(Sarbanes-Oxley)方面遇到的典型问题是,他们的金融业务在文件方面没有变得更加正式, 或者没有将计划的重要性传达给财务部门以外的组织, 比如HR, 运营和法律.”
丹尼尔: “在IT方面, 有时,公司使用的工具和技术要么来自于公司不需要符合SOX标准的时候,要么与对财务不重要的流程结合使用. 当它变得足够重要,可以纳入SOX时, 该工具可能需要替换为允许更好的控制(如访问控制)的工具, 审计日志, 等.”
即将上市的公司面临的首要问题
丹尼尔: “规范控制、记录这些控制的操作以及全年坚持执行这些控制的负担增加了,这给本已繁忙的日常工作增加了时间. 我对此深表同情. 这对任何处于控制地位的所有者来说都是一项艰巨的任务. 在一定程度上,您的SOX团队愿意跳出框框,以最小的侵入方式找到减轻风险的方法——特别是如果您可以访问自动化功能——这种负担可以显著减少.”
安琪拉: “如果你想让公司上市, 你首先要考虑的是谁是利益相关者——谁会对你的内部控制环境感兴趣. 这个人可以是任何一个人,从你的银行家、审计委员会到管理层. 了解控制环境的当前状态也非常重要. 您希望能够将路线图放置到位,以解决内部控制环境中存在的任何设计或执行差距.”
新上市公司面临的首要问题
安琪拉: “我从新上市公司或在SOX生命周期中不成熟的公司那里得到的最常见的问题是, 我们如何降低SOX合规费用?公司可以通过多种方式做到这一点:关键控制合理化, 与所有相关的关键利益相关者(包括外部审计员)进行早期规划和协调,并真正致力于协调您的员工, 整个组织的过程和系统.”
克里斯托弗: “当我们接手刚刚上市或正在考虑上市的新上市公司时, 通常,最具挑战性的部分是传达内部控制程序正规化的重要性,以及在整个组织中传达这些目标. 另一个重要的因素是确保高层的语气非常强硬,以确保这是公司的首要任务.”
成熟上市公司面临的首要问题
丹尼尔: “自满可能是风险管理的敌人. 如果您是一个拥有完善SOX程序的成熟环境, 你冒着重蹈去年覆辙的风险. 进行真正的风险评估,并敏锐地观察年复一年的变化,这一点至关重要. 当人们对事情的运作方式感到太舒服时, 您可能没有意识到实现GRC工具这样的小转变, 例如, 以支持您的审核流程,或允许您通过仪表板获得更好的可见性, 能带来很大的不同吗.”
安琪拉: “如果他们的业务发生变化, 的人, 向过程, 系统, 它确实是, 对公司来说,控制风险——以及这些交易带来的新暴露——并确保SOX计划恰当地反映了不断变化的业务是非常重要的.”
SOX的趋势和热门话题
安琪拉: “我们看到的一些事情是监管机构希望和要求更精确的控制和更多的文件, 这给很多公司带来了很大的压力和责任,让他们真正遵守SOX法案.”
克里斯托弗: “目前,管理评审控制是SOX合规领域的热门话题. 这些是对重要判断和估计的控制,作为财务报表的一部分. 我们发现需要对组织审查的东西进行大量的严格性和文档化,以证明评估和判断以及对方法的任何更改是正确的. 实体产生的信息(IPE)也很重要. 公司需要考虑在执行控制时如何记录所使用信息的完整性和准确性.”
丹尼尔: 多年来, 对IT环境的强调以及它在更广泛的SOX范围内发挥的重要性已经大大增加. 测试需求更加健壮. 非常强调来自系统的信息的完整性、准确性和有效性. 自动化控制和系统功能以更重要的方式进行审查. 近年来,有一个明显的趋势是,需要考虑网络安全风险,因为它与SOX环境的范围有关.”
花费比预期更多时间和精力的SOX活动
安琪拉: “一种是实体或IPE提供的信息,也被称为关键报告. 对于公司来说,重要的是确保他们用来执行控制或财务报告的任何报告都是完整和准确的. 在验证关键报告的完整性和准确性方面有很多工作要做.
“第二是对第三方的审查. 大多数公司把很多服务外包给第三方, 你要确保有足够的控制措施来监督这些第三方.
“第三件需要花费大量时间的事情是,内部控制在整个组织中本质上是紧密相连的. 你有很多函数, 你有很多利益相关者参与到控制或过程的执行中. 并真正纠正发现或确保你的控制有效运作, 你需要在整个组织中进行协调在整个组织中进行收买.”
克里斯托弗: “比我们的亚博电子游戏网站通常期望花费更多时间和精力的事情包括您需要解决组织中某些风险的更全面的方法. 我们很容易把问题和权宜之计分开处理, 但是大多数时候,我们看到解决在一个领域普遍存在的风险的最有效的方法是实现一个新的系统,它将帮助组织同时处理许多风险.”
关于SOX合规伙伴关系
克里斯托弗: 在决定SOX合规合作伙伴时, 你真的需要考虑他们给你的组织带来的价值, 不仅仅是从财务报表中, 风险合规立场, 而是整体效率和运作效率. 伴侣的灵活性是另一个重要因素. 在不可预见的情况出现之前,提前计划是很好的. 当他们这么做的时候, 你需要一个时间安排灵活的伴侣, 当你需要他们的时候,他们就在你身边;当你不需要他们的时候,他们就走开.”
安琪拉: “一个好的合作伙伴能够与外部审计员密切协调SOX审计,以减少与SOX项目相关的大量往返和行政类型的工作. 在许多情况下,我们使用外部审计师的抽样方法和样本量, 他们可以依靠我们的测试, 降低公司的合规成本.”
丹尼尔: “通常情况下,我们SOX亚博电子游戏网站的外部审计公司是四大会计师事务所. 我们都是CFGI的前四大. 我们在另一边. 我们知道审计员想要什么. 我们知道他们是怎么想的,也知道他们为什么要问他们想要什么. 我们知道如何用他们自己的语言与他们交谈,这有助于消除许多障碍.”