Automatização de um programa de certificação SOX 302

Assegurar que os funcionários responsáveis pela aprovação certifiquem relatórios trimestrais pode ser uma tarefa difícil. Para agilizar esse processo, as organizações precisam garantir uma distribuição justa de responsabilidades entre os envolvidos no controle interno. Neste artigo, discutimos como realizar subcertificações com proprietários de controle e implantar solicitações de certificação 302 usando os aplicativos Projetos e Resultados.

Este artigo é baseado em exemplos apresentados em Implementação de um programa SOX 404.

O que é uma certificação 302?

A Seção 302 da Sarbanes-Oxley (SOX) exige que o CEO e o CFO de uma organização assegurem a integridade dos principais controles que influenciam os relatórios de suas demonstrações financeiras trimestralmente.

Antes da aprovação dos diretores, as solicitações de certificação são enviadas para proprietários de processo ou controle em vários departamentos na organização. Essa abordagem ajuda a garantir que os diretores que aprovaram os controles internos principais sobre relatórios financeiros estão operando de maneira eficaz em todos os departamentos e fornecem a confiança necessária para aprovar as certificações 302 trimestrais.

Onde eu automatizo um programa de certificação 302?

É possível automatizar um programa de certificação 302 usando os aplicativos Projetos e Resultados.

O panorama mais amplo

  • Um único Projeto pode conter várias Certificações.
  • Questionários podem ser implementados a partir do Projetos. As respostas são armazenadas em Tabelas no Resultados.
  • Gatilhos automatizam os processos de correção de sua organização, executando um conjunto de ações com base nos dados do registro em Tabelas.

Etapas

Pronto para uma demonstração?

Vamos dar uma olhada mais de perto nesses recursos no contexto.

1. Criar um programa de certificação

Programas de certificação permitem definir os grupos de pessoas que precisam certificar, os itens que precisam certificar e outras informações contextuais. É possível enviar solicitações de certificação para as pessoas certas, no momento certo, e oferecer a garantia que os CEOs e CFOs precisam ao assinar certificações 302 trimestrais.

Dica

Para automatizar e simplificar ainda mais o processo de certificação, você pode configurar o programa uma vez e reutilizá-lo trimestre após trimestre. Basta propagar o projeto contendo o programa de certificação.

Ativar certificações

A primeira etapa é habilitar certificações em um projeto. Depois de habilitadas, você pode começar a criar um programa de certificação.

Exemplo

Cenário

Como Diretor de SOX, você precisa obter subcertificações de todos os membros do comitê de divulgação para apoiar as certificações SOX 302 do CEO e do CFO.

Processo

Tópicos da ajuda Criando programas de certificação

Nas configurações do projeto Canadá - Revisão SOX 2018, você habilita as certificações.

Resultado

Você pode criar vários programas de certificação em um único projeto.

Insira detalhes da certificação

Depois de habilitar as certificações dentro do projeto, você pode começar a criar um programa de certificação inserindo alguns detalhes básicos. Você pode personalizar o assunto e a mensagem de e-mail que pretende enviar, anexar arquivos e fornecer detalhes relevantes para as pessoas que participam do programa de certificação.

Exemplo

Cenário

Você está pronto para começar a criar um programa de certificação. Você deseja centralizar toda a documentação referente ao programa, definir um prazo para o programa e fornecer aos membros do comitê de divulgação as informações contextuais apropriadas.

Processo

Tópicos da ajuda Criando programas de certificação

No painel de controle do projeto Canadá - Revisão SOX 2018, clique em Adicionar certificação. Insira os seguintes detalhes:

  • Nome Subcertificação de membros do comitê de divulgação
  • Prazo 14 de dezembro de 2018
  • Assunto do e-mail Ação necessária: subcertificação SOX
  • Mensagem de e-mail Como parte de nosso processo de relatório trimestral e anual, esse questionário é distribuído ao final de cada período de relatório para garantir que todos os eventos, contratos e fatos relevantes sejam relatados e que todas as informações relevantes tenham sido consideradas para inclusão em nossos registros normativos. Você precisa responder até 14 de dezembro de 2018.

Você também anexa alguns arquivos de apoio para fornecer um contexto adicional aos membros do comitê de divulgação.

Resultado

Você forneceu os principais detalhes sobre o programa de certificação e personalizou o assunto do e-mail e a mensagem que pretende enviar aos participantes. Quaisquer instruções e arquivos adicionais que você especificou serão incluídos no questionário enviado aos membros do comitê de divulgação.

Criar ou selecionar um questionário

Uma autoavaliação é uma abordagem de prática recomendada para avaliar os controles e processos internos de uma organização, e geralmente assume a forma de um questionário. Os questionários de autoavaliação podem ser usados para avaliar o nível de conformidade com a Seção 302 da SOX dentro de uma organização e são uma abordagem eficaz para identificar áreas de exposição ao risco, bem como para destacar oportunidades em potencial.

Dica

Você pode copiar um dos seguintes questionários de modelo do Resultados como ponto de partida para criar seu próprio questionário:

  • Certificação de divulgação de gerentes
  • Certificação de divulgação de diretores
  • Certificação SOX 302

Exemplo

Cenário

Como parte do seu processo de relatório trimestral e anual, você precisa circular um questionário no final de cada período do relatório. Você deseja garantir que todos os eventos, contratos e fatos relevantes sejam relatados e que todas as informações relevantes sejam consideradas para inclusão nos registros normativos.

Processo

Tópicos da ajuda Criando questionários

No Resultados, copie o questionário de Certificação de Divulgação de Executivos da coleção Modelos de Questionários para a coleção de Canadá - Revisão de SOX 2018 e renomeie o questionário como Subcertificação SOX 302.

Depois, você define o idioma do questionário e modifica as perguntas do questionário para se alinhar aos requisitos de sua organização. Finalmente, você volta ao Projetos e seleciona o questionário que acabou de criar.

Resultado

Agora você está pronto para enviar o questionário para coletar informações dos membros do comitê de divulgação.

Especificar participantes e itens

CEOs e CFOs normalmente estão mais distantes das atividades de controle diárias. No entanto, eles precisam ter confiança para certificar, pois as consequências podem ser graves. Muitas organizações adotam um processo de subcertificação, no qual os funcionários principais precisam subcertificar. Isso cria uma cadeia de responsabilidade dentro da organização. Dentro do programa de certificação, você pode especificar quem precisa subcertificar e quais itens eles precisam subcertificar. Você também pode definir se os participantes devem responder em uma ordem específica ou ao mesmo tempo.

Exemplo

Cenário

Você criou anteriormente um questionário de Subcertificação SOX 302 e agora planeja enviá-lo para as seguintes pessoas:

Você quer que Shalini responda primeiro, pois ela é a pessoa mais próxima das operações da empresa. Depois, você quer que Brad responda, seguido de Tim.

Processo

Tópicos da ajuda Criando programas de certificação

Você cria uma certificação Sequencial, define o grupo de certificação "Equipe de TI" e adiciona Shalini, Brad e Tim ao grupo, nessa ordem. Concluindo, você especifica os controles que cada participante precisa de subcertificação: NS-002, NS-005, NS-006.

Resultado

Você especificou quem precisa subcertificar e em que ordem eles precisam fornecer respostas. Você também definiu quais controles cada pessoa precisa subcertificar.

Revisar e finalizar

A etapa final envolvida na criação de um programa de certificação é verificar sua configuração e optar por enviar solicitações de certificação posteriormente ou imediatamente.

Exemplo

Cenário

Você terminou de configurar seu programa de certificação. Agora, você deseja revisar as informações antes de enviar oficialmente as solicitações de certificação aos membros do comitê de divulgação.

Processo

Tópicos da ajuda Criando programas de certificação

Você revisa cada seção para verificar se as informações estão corretas. Após a revisão, você percebe que ainda precisa fornecer algumas informações contextuais adicionais aos membros do comitê de divulgação.

Como resultado, você decide salvar a configuração do programa de certificação e enviar as solicitações de certificação posteriormente.

Resultado

O programa de certificação é salvo. Você pode voltar para as configurações e enviar as solicitações de certificação posteriormente.

2. Implementar solicitações de certificação 302

As certificações e os relatórios financeiros do SOX 302 são muito importantes para os executivos da empresa e frequentemente resultam em demandas críticas de controladores, vice-presidentes e até mesmo o diretor financeiro. Você pode usar questionários para implementar várias solicitações de certificação 302 para proprietários em diferentes departamentos na organização e agregar as respostas para revisão adicional ou escalonamento.

Dica

Solicitações de certificação podem ser enviadas a qualquer pessoa, inclusive para usuários sem licença.

Exemplo

Cenário

Você está pronto para enviar solicitações de certificação aos membros do comitê de divulgação. Você precisa que eles revisem os controles pelos quais são responsáveis, avaliem a adequação dos controles e comuniquem os resultados à gerência.

Processo

Tópicos da ajuda Criando programas de certificação

Você abre o programa de certificação salvo e envia as solicitações de certificação.

Resultado

Shalini é a primeira pessoa a receber o questionário. Ela recebe um único e-mail que lista os três controles que ela precisa subcertificar. Depois que Shalini envia sua primeira resposta em qualquer um dos controles, Brad começa a receber questionários.

Brad recebe um e-mail que faz referência ao controle específico de certificação recente de Shalini, e pode enviar sua própria resposta. Ele recebe e-mails subsequentes (um por controle) depois que Shalini termina a subcertificação.

Tim começa a receber questionários depois que Brad envia sua primeira resposta. Ele recebe e-mails subsequentes (um por controle) depois que Brad termina a subcertificação. Depois que Tim termina, todas as certificações estão completas.

Todas as respostas são salvas na coleção Canadá - Revisão de SOX 2018 para aguardar revisão ou escalonamento.

3. Automatizar os fluxos de trabalho da certificação 302

Gatilhos desempenham um conjunto de ações sempre que condições específicas ou limites são atingidos e podem ser usados para automatizar diferentes aspectos do programa de certificação 302. Você pode usar gatilhos para agregar respostas por meio de vários níveis de certificações, definir critérios específicos para gatilhos a ser executados a cada período trimestral da 302 e definir fluxos de trabalho de escalonamento para certificações concluídas e não acionadas.

Dica

Para rastrear certificações pendentes e quaisquer indicadores de atraso, é possível visualizar dados usando o Storyboards ou criar um painel de resultados específico do SOX 302 no Relatórios.

Exemplo

Cenário

Para que sua equipe SOX possa identificar e responder de maneira eficiente às certificações ociosas, você precisa criar um fluxo de trabalho de resposta automatizado que realize uma verificação semanal das solicitações de certificação pendentes.

Qualquer solicitação de certificação que permaneça ociosa por 10 dias deve ser escalada para prioridade crítica e ser atribuída ao membro da equipe apropriado para investigação e remediação.

Processo

Tópicos da ajuda Criar um gatilho

Você configura um gatilho agendado que é executado toda segunda-feira às 9h PST quando os registros permanecem ociosos por 10 dias.

O gatilho executa as seguintes ações quando os registros não são atualizados:

  • atribui o registro a um membro da equipe SOX
  • escala a prioridade do registro para crítica

Resultado

O gatilho notifica o membro da equipe de SOX e aumenta a prioridade do registro quando as condições são atendidas. A ação é automatizada e todo o processo é gerenciado por meio do Resultados – sem nenhum sistema ou gargalo externo para enfrentar.

O que fazer em seguida?

Para saber mais sobre como proporcionar garantia sobre a eficácia do ambiente de controle por meio do teste de controles, consulte Demonstrando garantia sobre controles internos.