实施 SOX 404 计划
对于许多利益相关者、部门、流程和系统而言,萨班斯-奥克斯利法案 (SOX) 合规可能是一个沉重的负担。通过创建正确架构的 SOX 404 计划,在需要汇总报告时,正确的控制和过程修改可能会更自动化。在本文中,我们讨论如何使用项目、框架和报告应用程序实施 SOX 404 计划。
本文阐述了如何使用 COSO® 内部控制框架 2013 来管理 SOX 合规计划,该框架是一个综合框架,使组织能够有效和高效地开发内部控制系统。
但是,相同的工作流也可以被用于支持 SOX 合规要求的其他框架,例如:
- COBIT® 5 框架
- 信息技术治理学会 (ITGI) 发布的安全框架
- 公众公司会计监督委员会 (PCAOB) 制定的审计标准
- 适用于政府或高等教育的规范,包括 OMB 公告 A-123、《统一拨款指导》(Uniform Grant Guidance) 或 GreenBook
什么是 SOX 合规?
2002 年,SOX 法案要求组织提供季度和年度报告来证明其财务报表的准确性,从而让企业合规再次成为关注焦点。SOX 法案旨在提高财务报告的透明度,并使内部检查和平衡标准化。
SOX 法案第 404 款要求组织进行外部审计,以评估和报告内部控制的有效性。
我在哪里实施 SOX 404 计划?
您可以使用项目和报告应用程序实施 SOX 404 计划。
全盘视角
- 框架用于集中捕获要求和控制之间的控制关系,管理不断变化的法规和业务环境中的变化,以及构建单个项目。
- 项目应用程序用于测试控制措施的设计和操作有效性以及捕获问题。如果在框架中创建控制,则可以将更改从项目同步回该框架,以便也在其他项目中使用。
- 您可以复制和修改报告模板,以便根据 Diligent One 应用程序中的数据轻松生成报告,并按周期计划将报告广播给收件人。
在框架内,您可以跟踪多个项目中与运营风险和控制相关的保障和测试结果,以制定风险和项目结果的仪表盘。测试控制措施时,项目应用程序自动汇总来自与框架相关项目的测试结果,并实时计算保障。在任何时候,您都可以生成报告并将其发送给适当的收件人。
步骤
准备好进行了解了吗?
让我们在情境中仔细了解上述功能。
1. 设置计划
第一步是理解在您的系统中建立数据的最佳办法,以便您能够正确报告。
您可以创建框架来管理一组结构化的信息,并使用框架来构建多个项目。您还可以根据组织的标准自定义项目中的术语和标签。还可以设置标记结构,以将目标、风险和控制映射到相关的情境数据点(资产、所有者、实体等), 并启用上述维度的风险和控制报告。
提示
项目应用程序提供了多个风险和控制库(项目模板),其中包含特定工作流(如 SOX 合规)的预填充内容。有两个项目模板符合 SOX 404 要求,通常用于快速启动 SOX 合规项目及创建可重复使用的模板:
- Sarbanes-Oxley (SOX) 审计模板(COSO 2013 框架)
- IT 一般控制审核 (SOX 内容)
配置项目术语
术语在不同类型的项目之间以及执行相同类型项目的组织之间可能存在很大差异。组织可以配置不同的项目类型,以便每个团队使用的术语反映在相关项目中。
查看示例
示例
场景
您是负责两个项目的 SOX 审计经理。您希望确保两个 SOX 项目中显示的术语与您组织的首选词库保持一致。
流程
帮助主题 自定义术语、字段和通知
您前往 Sarbanes-Oxley 审核项目类型,并在每个选项卡上配置以下术语:
| 选项卡 | 字段 | 术语 |
|---|---|---|
| 项目 | 外勤工作的自定义术语 |
流程文档和测试 |
| 环节 | 环节的自定义术语 | 重要的流程 |
| 环节选项卡的标签 |
SOX 流程 |
|
| 注解 | 注解选项卡的标签 | 注解和流程表 |
| 问题 | 问题的自定义术语 |
不足 |
| 问题选项卡的标签 | 不足 |
结果
自定义术语将应用于您创建的项目,并与 Sarbanes-Oxley 审核项目类型相关联。
设置项目和框架
框架有助于减少设置项目所涉及的手工操作,并可用于集中管理不断变化的监管和业务环境中的信息。许多组织的一般做法是按过程和子过程在其项目和框架中细分 SOX 404 要求。
查看示例
示例
场景
为了开始集中处理 SOX 文档,您创建了两个项目:
- 加拿大 - 2018 年 SOX 审核
- 巴西 - 2018 年 SOX 审核
您最近认识到类似的风险和控制可用于这两个项目。要提供构建项目的起点,您可以从名为 Sarbanes-Oxley (SOX) 审计模板(COSO 2013 框架)的项目模板创建项目。您希望使用此模板创建一组可同时用于这两个项目的风险和控制。
流程
帮助主题
您创建了一个名为 SOX 流程控制框架的新框架。然后,将目标(包含风险和控制)从项目模板导入框架。最后,将框架中的目标导入到每个项目中。
结果
框架中的目标、风险和控制被链接到项目中的目标、风险和控制。
您现在可以根据需要更新项目,也可以将那些更新应用回框架,并通过将项目与框架同步来确保在框架中做出的更新被传至适当的项目。
为组织实体结构建模
组织包括不同的业务单位、部门、地点、地区和法律实体,它们都具有影响财务报表报告的控制。您可以在 SOX 管理过程中为组织和法律实体建模,以便向高级主管汇报测试状态和问题管理。
查看示例
示例
场景
您的组织涵盖不同的部门、地区和地点。您希望能够报告来自业务不同交叉部分的内部控制措施,使组织所有级别的利益相关者都能够获得他们需要的信息。
流程
帮助主题 设置实体标签
在管理实体下,您根据适用于这两个项目的部门、地区和位置为业务结构建模:
- 加拿大 - 2018 年 SOX 审核
- 巴西 - 2018 年 SOX 审核
结果
您现在可以将项目、重要目标、风险、控制和不足标记到相关的情境数据点,并启用上述维度的风险和控制报告。
2. 记录目标、风险和控制
您可以使用框架作为信息的集中存储库,与流程和控制所有者合作起草流程注解,捕获不同证明项目中的风险和控制属性,并根据需要请求更详尽的文档。可以使用特定用户角色指定正确的访问权并将正确的职责分配给流程和控制所有者。
计划项目
从计划阶段开始每个项目。计划一个项目涵盖准备和整合项目中的计划信息,包括项目背景、目的、范围和相关计划文件。计划文件可以包括各种不同的文档,例如范围界定信息、聘书、SOX 采样方法文档,甚至是有关项目团队结构的详细信息。
查看示例
示例
场景
您负责准备和整合与加拿大 - 2018 年 SOX 审核项目相关的所有计划文档。您需要在项目中获取该信息,以便日后可以参考它。
流程
帮助主题 计划项目
首先,前往计划页面,开始定义项目的背景、目的和范围。然后,使用计划文件页面添加支持文档:
结果
已捕获计划信息:
- 背景 2002 年,SOX 法案要求组织提供季度和年度报告来证明其财务报表的准确性,这让企业合规再次成为关注焦点。SOX 法案旨在提高财务报告的透明度,并使内部检查和平衡标准化。SOX 法案第 404 款要求组织进行外部审计,以评估和报告内部控制措施的有效性。
- 目的/目标 该组织投资于采用 SOX,旨在采用最佳实践模型,为其上市做好合规准备。
- 范围 该项目将评估组织实施预防性与探测性控制的设计和有效性,以减轻与 SOX 404 合规相关的流程级风险。我们将在项目范围内包括所有关键业务流程,具体包括:
- 实体级控制:控制环境,风险评估,信息与沟通,监控活动,控制活动
- 财务关账与报告
- 披露控制和程序
- 税收
- 收入和应收账款
- 信息技术一般控制
- 电子表格控制
- 采购
- 财政
- 库存
- 薪资和人力资源
- 物业厂房及设备
文件注解
注解是一个框架,用于了解组织的内部控制如何适应业务流程。许多组织将流程表作为可视化和显示给定区域内详细工作流的主要方法。可以附加任何音频或视觉内容以支持注解文档,而且您可以关联控制以便引用。
查看示例
示例
场景
作为审计经理,您的其中一个职责是记录描述每个流程的注解。您需要在加拿大 - 2018 年 SOX 审核项目中构建与收入和应收账款流程相关的注解。在注解中,您计划定义流程,清晰地概述支持计费流程的 IT 系统,并附上与流程相关的风险和主要控制的摘要。当您收集更多信息时,您打算相应地更新注解。
流程
帮助主题 定义注解
您前往项目中的注解选项卡,并添加标题为营收确认流程注解的新注解。
您开始如下定义注解:
流程概览 营收确认是记录北美 (NA) 收入、发票和应收账款的过程。
IT 系统
| 系统 | 所支持的流程 |
|---|---|
| 现状 | 计费 |
| EWR |
计费 |
| RIU | 计费 |
| RIU 报告 |
收入报告和分析 |
| Xerdox 基础 |
财务报告 |
| Rac GL |
总分类账 |
| Rac AR |
Accounts Receivable |
最后,附上一个 Word 文档,其中包含与收入和应收账款流程相关的风险和主要控制措施摘要。
结果
注解的第一部分是草稿,Word 文档被添加为支持附件。在多数情况下,需要以每季度或中期和滚动形式更新注解。
要围绕广播、更新的流程表审核、注解以及其他过程相关文档,增加工作流管理和自动化,您可以:
- 在工作上签核,并将您的团队中的成员指定为注解内容的下一个审核者。
- 在您对应的 SOX 404 GRC 项目中创建超链接至汇总的流程表报告。
定义风险和控制
在生成的风险控制矩阵(RCM)中定义风险和控制结果。RCM 由已识别的风险和对应的控制措施(如何缓解风险的措施或操作过程)组成。
提示
一旦定义了风险和控制,流程所有者就可以在项目应用程序中制定计划,以确保持续一致地执行控制活动。
查看示例
示例
场景
您的组织拥有成熟和完善的风险评估流程,并从两个维度(影响和可能性)评估风险。使用 5 分制评分机制对影响进行评分,使用 3 分制评分机制对可能性进行评分。
您需要评估固有风险评分,以确定在没有实施控制或其他缓解因素的情况下,组织面临的原始风险。您还希望为主要控制措施指定有效性得分,以便在稍后的测试期间,任何失败的控制措施都将提供残留风险评分。
流程
帮助主题
您在加拿大 - 2018 年 SOX 审核和巴西 - 2018 年 SOX 审核项目中捕获了以下信息:
| 项目 | 风险 | 影响 | 可能性 |
|---|---|---|---|
| 加拿大——2018 年 SOX 审核 | REV-R.01 无标题风险:可能没有记录营收和现金收入,记录在错误的时间段内,或记录不正确(即错误的金额)。 | 3 - 中等 | 1 = 低 |
| 巴西——2018 年 SOX 审核 | 3 = 高 | 3 = 高 |
您还可以为每个项目中的相关控制指定有效性得分(控制权重):
- REV-03 30%
- REV-04 20%
- REV-05 50%
结果
已完成固有风险评估。固有和残留风险评分被汇总到框架中,以进行报告。在评估控制设计和有效性之前,残留风险评分与固有风险评分保持一致。
管理请求
您可以向企业所有者和利益相关方索取文件,并在项目应用程序中保存相关讨论。您还可以向负责完成请求的人员发送定期提醒,将多个请求整合到一封单独的电子邮件。
查看示例
示例
场景
您需要从会计部门收集其他信息,以更好地了解组织的现金流入量,因为它涉及商品销售。
流程
帮助主题 添加请求
您向会计部门发送请求,要求提供当前会计期间的现金收入日记账摘要。
- 说明请提供当前会计期间的现金收入日记帐摘要。
- 状态打开
- 所有者会计
- 到期日期2018 年 08 月 03 日
结果
会计部收到请求并能够通过附加文件和发表评论提供相关文档。
3. 评估控制设计和有效性
许多 SOX 合规职能部门期待该业务承担一些评估控制设计和有效性的职责。所有者自己可以访问更新控制排查以及记录控制有效性测试步骤等简单任务。这可对真正归业务所有的控制进行评估。评估控制设计和有消息可以让您评估组织在管理合规风险和要求方面的表现。
提示
IdeasHub 是从全球 Diligent 计划中收集的风险场景和测试的目录,通过涵盖所有财务运作以及其他类别的流程,提供一系列分析测试想法。有关更多信息,请参阅 Diligent 开发者门户。
评估控制设计
您可以执行排查来评估控制的设计。控制措施所有者也可以通过证明或附加证据来评估控制的设计,制定行动计划以实施缺失的控制并解决不合规的问题,或解释为什么不需要控制。
提示
组织中的一线员工可以使用任务控制应用程序来管理其在项目应用程序外部有权访问的控制。任务控制是个应用程序,它以简化而集中的视图呈现来自项目应用程序的控制信息。
查看示例
示例
场景
既然您已评估固有风险并获得所需文档,则需要执行排查来评估每个控制的设计。
流程
帮助主题 执行程序和测试控制
您在加拿大 - 2018 年 SOX 审核和巴西 - 2018 年 SOX 审核项目中捕获了以下排查:
设计合理
| 项目 | 风险 | 控制 | 控制属性 | 排查结果 |
|---|---|---|---|---|
| 加拿大——2018 年 SOX 审核 | REV-R.01: 无标题风险 | REV-03 |
|
|
| REV-04 |
|
|
||
| REV-05 |
|
|
||
| 巴西——2018 年 SOX 审核 | REV-R.01: 无标题风险 | REV-03 |
|
|
| REV-04 |
|
|
||
| REV-05 |
|
|
结果
两个项目均捕获了每个控制的排查:
定义测试计划
测试计划确定您将如何测试控制。您可以定义测试计划,以指定测试方法、总样本数(在测试周期中分割)以及测试控制所需执行的测试步骤。
查看示例
示例
场景
在开始测试控制措施的有效性之前,您需要制定一个测试计划,以确定测试每个控制措施的方式。您想定义测试方法、总样本数(在测试周期中分割)以及测试控制措施所需执行的测试步骤。
流程
帮助主题 执行程序和测试控制
您如下记录REV-03测试计划:
- REV-03 会计将现金收据与银行对账单和基础发票进行核对,以确保在适当的会计期间准确而完整一致地记录。管理会计审核对账并批准相关日记账分录。
- 测试方法 检查
- 总样本数 25
- 测试步骤/测试属性
- 确认有适当的职责分离。
- 确认应收账款余额。
- 将现金收据的详细信息与日记账分录和相应的银行存款回单进行比较。
- 跟踪银行转账并执行现金截账测试,以确保财务报表中包含适当的交易。
- 将现金余额与预测和预算进行比较。
结果
已捕获 REV-03 的测试计划。
评估控制有效性
评估控制措施的有效性涉及记录详细的测试结果以及指明控制措施是否通过。完成控制措施的有效性评估后,您可以标记文本部分并链接至证据,例如政策或程序手册、规范、SLA/SLS 和合同。
提示
为避免手动给控制有效性打分,您可以使用评估推动器自动执行不同的控制评估。您可以将在结果应用程序中创建的度量链接到项目应用程序中的控制措施评估,为评估提供信息,并根据预定义的度量范围自动填充固有风险评分。
查看示例
示例
场景
现在您已评估控制措施设计,并制定了一个测试计划,其中规定了如何测试每个控制措施,您还需要评估控制措施的有效性以确定残留风险或在实施控制措施后剩余的风险量。
流程
帮助主题
您在加拿大——2018 年 SOX 审核和巴西——2018 年 SOX 审核项目中测试了每个控制措施的操作有效性,并捕获以下信息:
有效运行
发现异常
| 项目 | 风险 | 控制 | 控制属性 | Q1 测试 | Q2 测试 | Q3 测试 | Q4 测试 |
|---|---|---|---|---|---|---|---|
| 加拿大——2018 年 SOX 审核 | REV-R.01: 无标题风险 | REV-03 |
|
|
|
|
|
| REV-04 |
|
|
|
|
|
||
| REV-05 |
|
|
|
|
|
||
| 巴西——2018 年 SOX 审核 | REV-R.01: 无标题风险 | REV-03 |
|
|
|
|
|
| REV-04 |
|
|
|
|
|
||
| REV-05 |
|
|
|
|
|
结果
与控制相关的测试结果被汇总到框架,以进行报告:
捕获不足和行动
您可以在整个合规审查过程中捕获和分配要补救的已标记不足,并将不足委托给控制措施所有者或问题所有者,以更新状态和相关行动计划。您还可以将操作分配给利益相关者,以便跟踪、捕获证据和解决问题。
查看示例
示例
场景
由于巴西 - 2018 年 SOX 审核项目中的控制措施 REV-03 在第 4 季度测试中未通过,所以您需要通过记录不足来指出异常情况。您还希望创建与确定的不足相关的具体后续措施,并将其分配给相应的员工。
流程
帮助主题
您在巴西 - 2018 年 SOX 审核项目中记录了以下不足和操作:
问题
- 标题/大标题缺乏职责分离
- 描述 会计职责的分离或分割是指将任务分开,从而将交易处理、数据记录、财务报表编制和审计交由不同的人员处理。让一个人负责处理所有会计职能可能会导致内部控制不力、会计舞弊和公司资产被挪用。
- 所有者会计经理
- 问题类型不足
- 识别日期日期
- 严重性高——审计观察表明将导致财务损失,须予以重视
- 已发布已发布
操作
- 标题 强制执行职责分离或实施补偿性控制措施
- 所有者会计经理
- 描述确保会计部门的组织方式能够实现充分的职责分离。当无法分离职责时,应实施以下补偿性控制:
- 在监管层面处理所有异常报告。
- 在 IT 系统中实施基于角色的访问控制。
- 到期日日期
- 状态未结
- 优先级高
结果
已捕获不足和操作。审计员日后可以审核补救计划,记录重新测试结果,以确定不足是否真正得到了补救。
4. 报告内部控制
内部控制报告对于业务的执行分支非常重要,常常会有控制者、VP,甚至 CFO 的严格要求。您可以在项目周期的任何时候生成报告,向高级主管和董事会提供信息,以便进行监管报告。您还可以定期群发自定义报告,以跟踪补救措施和拖延的迹象。
提示
您可以在项目应用程序中下载各种默认的一键式报告,这些报告会随着项目进展自动更新。例如,可以下载测试计划报告,以确定项目是否得到有效的采样方法的支持,识别高强度手工测试,以及创建提升效率的机会。要获得更多自定义报告选项,组织可以使用报告应用程序。
查看示例
示例
场景
您需要向 PMO 提供详细的控制测试状态信息。报告应包括两个项目(加拿大 - 2018 年 SOX 审核和巴西 - 2018 年 SOX 审核)的控制措施测试进度,包括控制措施属性、有效性评估和控制措施测试准备者签核。您还希望提供基于项目或有效性评分过滤控制测试数据的机会。
流程
帮助主题
首先,复制控制测试详情报告模板,然后根据需要修改报告。然后,保存并激活报告。最后,您通过电子邮件将报告按指定的计划群发给相应的收件人。
结果
按周期计划与指定的收件人共享报告。群发报告是按周期计划与其他人共享数据的有效方式。如果您需要针对不同的受众群发,那么您可以为单个报告设置多个群发时间表。
后续步骤
了解如何自动执行 SOX 302 认证项目
项目和结果应用程序可用于有效地进行自我评估,部署 302 认证请求,以及确保在内部控制利益相关者之间公平分配责任。
更多详情请参阅自动执行 SOX 302 认证项目。
