不同SOX遵从性计划模型的优缺点
每一家上市公司都有法律义务遵守《电子游戏网站》, 这种遵从不可避免地要付出代价.
控制成本的关键是通过投资资源使SOX计划的价值最大化,这些资源可以使企业在现在和将来实现合规性. 这就提出了一个大多数决策者迟早都会面临的问题: 内部管理SOX遵从性是否更有价值, 将其完全外包或共同外包以填补某些专业知识和资源缺口?
Every business is different and therefore stands to gain varying amounts of value from the three different structures; however, 了解每一种选择的潜在利弊可以帮助你明确哪一种对你的公司最好.
为此目的, 这个概述简要说明了采购SOX遵从性专业知识和资源的三种模型, 以及每种方法的优缺点.
内包
内包是指公司雇佣内部人员来处理所有与sox相关的活动. 从范围和风险评估, 过程/控制的文件, 测试设计和操作的有效性,以建议流程和控制业主的最佳做法, 并向执行管理层和审计委员会提供总结报告——所有SOX合规计划活动都由公司员工管理.
优点
- 内包对更大的公司更有意义, 在更复杂的公司,合规工作(在SOX和其他领域)需要全职人员.
- 内部SOX合规项目主管将有充分的机会与关键利益相关者建立关系, 与不同的流程和控制所有者进行大量的视频交流, 并帮助确定透明度的基调, 合规性和持续改进.
缺点
- 从成本或工作流程的角度来看,在内部配备每个专业领域的人员不一定是实际的.
- 人力资源和人员管理方面的挑战可能导致工作流程连续性问题.g.(员工离职、晋升和其他潜在的破坏性人力资源事件). 这对于高度专业化的领域尤其成问题, 比如试图雇佣或替换IT审计专家.
- 能力和能力的限制会导致管理者之间的优先级竞争.
- 一个完全内包的SOX程序可能比一个外包模型更难扩展.
- 如果公司过于墨守成规,政策和程序可能会变得陈旧.g., 没有跟上新趋势和领先实践的步伐, 或未能定期提供控制权所有者培训).
外包
外包需要雇用第三方合作伙伴进行功能构建, 操作和维护SOX合规程序. 供应商通常会指定一个SOX项目管理办公室(PMO)负责人和一个专门的团队来处理SOX合规性的所有元素, 包括基线诊断, 风险评估, 项目管理与执行, 与外部审计员协调, 在很多情况下, 履行内部审计职能的更广泛职责,如协助更新控制文档和执行控制测试.
优点
- 更大的人力资源灵活性,使项目更容易扩展.
- 接触可就特定主题咨询的主题专家, such as cybersecurity; this is more practical than hiring specialists in every conceivable area.
- Few concerns regarding HR and people management; third-parties have the advantage of consistent, 高价值的, 按需提供资源,在人员周转时减少工作流程中断的风险.
- 外部审计公司往往更愿意接受第三方提供商的专业知识和客观性, 增加他们对所完成工作的依赖的可能性. 工作, 如测试控制的设计和运行有效性, 第三方SOX提供者已经完成的工作可能不需要重复, 最终压低外部审计费用的因素是什么.
- 有为其他组织执行SOX职能的经验, 提供对工作的强烈感觉,以及更有效和更经济地执行的能力.
- 熟悉并有监督非常规事件的经验,如企业合并和ERP实施.
缺点
- 从长远来看,外包可能比内包花费更多的钱——尤其是当你成功地建立了一个可持续的、可重复的SOX合规项目之后. 对于那些有足够的SOX和其他合规工作让全职员工全年忙碌的大公司来说,情况尤其如此.
- SOX计划可能会过度依赖外部公司, 哪一种情况会使转向共同外包或内外包模式变得更加困难.
- 与过程和控制所有者的关系可能不如全职员工建立的关系那么牢固, 始终在现场的SOX团队.
共建
共同外包模式是内包和外包的混合体,在这种模式中,第三方被引入其中, 最常见的是帮助SOX程序启动并运行, 为测试提供手臂和腿, 和/或支持更专业的技术领域(例如.g.(税务、IT、技术会计). 在这种结构下, 上市公司通常在SOX合规领域有一名内部首席审计执行官或董事,为公司定下基调, 组织风险评估, 与主要利益相关者(包括审计委员会和外部审计师)进行互动,并执行其他监督活动. 另外, 共同采购通常用于提供补救支持服务, 因为第三方有能力在紧迫的时间窗口内解决具体问题,例如解决材料缺陷或填补特定人员, 过程或技术差距.
优点
- 高级管理人员, 首席财务官和财务总监仍然决定着合规计划的基调,并帮助建立与业务和IT利益相关者的关系, 审计委员会和外部审计员.
- 合作公司可以根据存在多少控制提供基线诊断, 在哪些地方雇佣内部人员更有意义, 存在差距的地方, 等.
- 管理层有更多的自由来选择想要外包的项目或功能——it, 网络安全和/或数据隐私组件, 系统实施建议, 整合新收购的控制, and so on; this helps simplify cost structures for as-needed resources.
- 与单独行动的内部人员相比,共同采购的供应商可以更快地向内部控制环境引入改进和领先实践.
- 公司觉得没有义务在每个专业领域都配备人手, 哪种方法可以节省招聘、人员管理和其他长期员工投资的资金.
缺点
- 在责任和问责方面存在一些混淆的风险, 取决于合作供应商的项目管理能力和在公司内的定位/概况.
底线
一个程序结构不一定比另一个更好. 决定最佳方法的主要因素是公司的规模以及流程的成熟度和复杂性.
对于任何规模的初创公司或新上市公司, 例如, 外包可能更具成本效益,因为公司还没有建立一个框架来管理SOX遵从性,因此不太可能拥有建立一个全面和遵从性计划所需的广泛资源. 然而, 随着公司SOX计划的扩展和成熟, 评估每种模型的优缺点是很重要的. 在某些情况下,共同来源的模型可以使公司达到两全其美的效果.
特别是对于中小型市场公司(通常定义为年收入低于10亿美元), 完整的外包模型通常提供专业知识和基础设施的最大组合,以比构建内部团队更具成本效益的方式支持SOX遵从性计划.
随着公司规模的扩大和流程的成熟, 持续评估对当前和预计的需求最有意义的模型是合适的, 对于大公司来说, 通常包括共同外包或内包模型.
那么问题就变成了:外部公司的参与程度会有多大, 能维持多久? 您是否会将整个程序的功能内包,仅在特定的基础上调用外部资源? 另外, 管理层是否会与外部合作伙伴建立更全面的关系——而不仅仅是为了SOX, 但要更广泛地执行, 更深入、更复杂的服务,扩展到治理和风险管理的其他领域?
没有正确或错误的答案, 只要你花时间去了解公司的资源, 专业知识和能力.