SOX-404-Programm implementieren
Sarbanes-Oxley (SOX) Compliance kann zu einer schweren Last werden, die viele Unternehmensinteressenvertreter, Abteilungen, Prozesse und Systeme zu schultern haben. Mit Hilfe eines angemessen strukturierten SOX-404-Programms können die richtigen Kontrollen und Prozessänderungen deutlich automatisierter implementiert werden, wenn Berichte erstellt werden müssen. Dieser Artikel beschreibt die Implementierung eines SOX-404-Programms unter Verwendung der Projekte-, Frameworks- und Berichte-Apps.
In diesem Artikel wird beschrieben, wie Sie ein SOX-Compliance-Programm unter Verwendung des Frameworks COSO® Internal Control Framework 2013, ein integriertes Framework, mit dessen Hilfe Organisationen effizient und effektiv Systeme aus internen Kontrollen entwickeln können.
Derselbe Workflow kann auch auf andere Frameworks angewendet werden, die die SOX-Compliance-Anforderungen erfüllen, wie z.B.:
- Framework COBIT® 5
- Sicherheits-Frameworks, die vom Information Technology Governance Institute (ITGI) veröffentlicht werden
- Prüfungsstandards, die vom Public Company Accounting Oversight Board (PCAOB) entwickelt werden
- Bestimmungen, die für Behörden oder höhere Bildungseinrichtungen gelten, inkl. OMB Circular A-123, Uniform Grant Guidance oder GreenBook
Was ist SOX-Compliance?
Seit 2002 wird durch die SOX Act Gesetzgebung die Konzentration auf Corporate Compliance neu ausgerichtet. Dieses Gesetz fordert von Organisationen, dass sie Quartals- und Jahresberichte einreichen. die die Genauigkeit ihrer Konzernabschlüsse zertifizieren. Das SOX Act wurde verfasst, um die Transparenz in der Finanzberichterstattung zu erhöhen und ein System aus internen Kontrollmechanismen zu standardisieren.
Laut SOX Section 404 müssen Organisationen eine externe Prüfung durchführen, um die Wirksamkeit der internen Kontrollen zu bewerten und einen entsprechenden Bericht abzufassen.
Wo kann man ein SOX-404-Programm implementieren?
Sie können ein SOX-404-Programm unter Verwendung der Projekte- und Berichte-Apps implementieren.
Der umfassende Überblick
- Frameworks Werden verwendet, um die Masterbeziehungen zwischen den Anforderungen und den Kontrollen zu erfassen, Änderungen in einer sich entwickelnden regulatorischen und Geschäftsumgebung zu verwalten und einzelne Projekte zu definieren.
- Projekte werden verwendet, um das Design und die betriebliche Effizienz der Kontrolle zu testen und Probleme zu erfassen. Wenn Sie die Kontrolle in einem Framework erstellt haben, können Sie Änderungen aus einem Projekt zurück in dieses Framework synchronisieren, um sie auch auf andere Projekte anzuwenden.
- Berichtsvorlagen Können kopiert und geändert werden, um Berichte auf Grundlage der Daten aus den Diligent One-Apps ohne großen Aufwand zu generieren. Dabei können die Berichte nach einem festgelegten Zeitplan an die Empfänger übertragen werden.
Innerhalb eines Frameworks können Sie die Absicherung und die Testergebnisse im Zusammenhang mit operativen Risiken und Kontrollen überwachen, um ein Dashboard der Risiko- und Projektergebnisse zu entwickeln. Während Sie Kontrollen testen, fasst die Projekte-App in Echtzeit die Testergebnisse aus den Projekten, die mit dem Framework verbunden sind, automatisch zusammen und berechnet die Absicherung. An jedem Punkt können Sie Berichte generieren, die an die entsprechenden Empfänger gesendet werden.
Schritte
Bereit für eine Tour?
Beschäftigen wir uns ein wenig genauer mit den Funktionen in diesem Kontext.
1. Programm einrichten
Der erste Schritt besteht aus dem Verständnis, welches Verfahren am besten geeignet ist, Daten in dem System einzurichten, sodass Sie angemessene Berichte erstellen können.
Sie können Frameworks erstellen, um einen strukturierten Satz von Informationen zu verwalten und Frameworks verwenden, um mehrere Projekte aufzubauen. Sie können auch die Begriffe und Bezeichnungen in den Projekten entsprechend den Standards Ihrer Organisation anpassen. Tagging-Strukturen können auch eingerichtet werden, um Ziele, Risiken und Kontrollen den relevanten Kontextdatenpunkten (Vermögenswerte, Eigentümer, Entitäten usw.) zuzuordnen und in diesen Dimensionen Berichte zu Risiken und Kontrollen zu aktivieren.
Tipp
Die Projekte-App bietet mehrere Risiko- und Kontrollbibliotheken (Projektvorlagen), die vorab ausgefüllte Inhalte für spezifische Workflows enthalten, beispielsweise für die SOX- Compliance. Es gibt zwei Projektvorlagen, die für die SOX-404-Anforderungen entwickelt wurden und typischerweise für den schnellen Einstieg in SOX-Compliance-Projekte und zum Erstellen wiederverwendbarer Vorlagen verwendet werden:
- Sarbanes-Oxley (SOX) Audit-Vorlage (COSO 2013 Framework)
- Genereller IT-Kontroll-Review (SOX-Inhalte)
Projektterminologie konfigurieren
Die Terminologie kann sich zwischen verschiedenen Projekttypen und auch zwischen Organisationen, die dieselben Projekttypen ausführen, stark unterscheiden. Organisationen können verschiedene Projekttypen konfigurieren, sodass die von jedem Team verwendete Terminologie in den relevanten Projekten widergespiegelt wird.
Siehe Beispiel
Beispiel
Szenario
Als ein SOX-Audit-Manager sind Sie für zwei Projekte verantwortlich. Sie möchten sicherstellen, dass die in beiden SOX-Projekten verwendete Terminologie der in Ihrer Organisation verwendeten Sprache entspricht.
Prozess
Hilfethema Begriffen, Felder und Benachrichtigungen anpassen
Sie navigieren zum Projekttyp Sarbanes-Oxley-Review und konfigurieren die folgenden Begriffe auf jeder Registerkarte:
| Registerkarte | Feld | Begriff |
|---|---|---|
| Projekt | Begriff für „Einsatz vor Ort” |
Prozessdokumentation und Tests |
| Abschnitt | Begriff für Abschnitt | Signifikanter Prozess |
| Beschriftung für den Abschnittsreiter |
SOX-Prozesse |
|
| Schilderungen | Beschriftung für die Registerkarte „Schilderungen“ | Schilderungen und Flussdiagramme |
| Probleme | Begriff für ein Problem |
Mangel |
| Beschriftung für Probleme-Registerkarte | Mängel |
Ergebnis
Die benutzerdefinierten Begriffe werden auf die von Ihnen erstellten Projekte angewendet und dem Projekttyp Sarbanes-Oxley-Review zugeordnet.
Projekte und Frameworks einrichten
Frameworks sind hilfreich für die Reduzierung des manuellen Aufwands beim Einrichten von Projekten, und können verwendet werden, um zentral Informationen verwalten, indem Sie regulatorische oder geschäftliche Umgebungen einbeziehen. Für viele Organisationen ist es eine gängige Praxis, die SOX-404-Anforderungen nach Prozess und Unterprozess in ihren Projekten und Frameworks zu segmentieren.
Siehe Beispiel
Beispiel
Szenario
Sie erstellen zwei Projekte, um mit der Zentralisierung der SOX-Dokumentation zu beginnen:
- Kanada - SOX-Review 2018
- Brasilien - SOX-Review 2018
Vor kurzem haben Sie erkannt, dass ähnliche Risiken und Kontrollen auf beide Projekte anwendbar sind. Als Ausgangspunkt für den Aufbau Ihrer Projekte erstellen Sie ein Projekt aus einer Projektvorlage mit der Bezeichnung Sarbanes-Oxley (SOX) Audit-Vorlage (COSO 2013 Framework). Sie möchten mit dieser Vorlage mehrere Risiken und Kontrollen erstellen, der in beiden Projekten verwendet werden können.
Prozess
Hilfethemen
- Projekte anlegen
- Mit Projektvorlagen arbeiten
- Übersicht über Frameworks
- Ziele klonen und importieren
Sie erstellen ein neues Framework mit der Bezeichnung Framework für SOX-Prozesskontrollen. Dann importieren Sie die Ziele (die Risiken und Kontrollen enthalten) aus der Projektvorlage in das Framework. Schließlich importieren Sie die Ziele aus dem Framework in jedes Projekt.
Ergebnis
Die Ziele, Risiken und Kontrollen im Framework sind mit den Zielen, Risiken und Kontrollen im Framework verknüpft.
Sie können nun die Projekte nach Bedarf aktualisieren, diese Aktualisierungen optional wieder auf das Framework anwenden und außerdem sicherstellen, dass die im Framework vorgenommenen Aktualisierungen auf die entsprechenden Projekte übertragen werden, indem Sie Projekte mit Frameworks synchronisieren.
Organisatorische Entitätsstruktur modellieren
Organisationen bestehen aus verschiedenen Geschäftseinheiten, Abteilungen, Standorten, Regionen und Rechtspersonen, die alle über Kontrollen verfügen, die sich auf die Finanzberichterstellung auswirken. Sie können die Struktur ihres Geschäft s und Rechtspersonen in Ihrem SOX-Management-Prozess modellieren, um die Berichterstattung in Bezug auf den Teststatus und die Issue-Management für Führungskräfte zu ermöglichen.
Siehe Beispiel
Beispiel
Szenario
Ihre Organisation besteht aus verschiedenen Abteilungen, Regionen und Standorten. Sie möchten in der Lage sein, Berichte zu den internen Kontrollen aus verschiedenen bereichsübergreifenden Unternehmensabschnitten zu erstellen, und Unternehmensinteressenvertretern jeder Organisationsebene ermöglichen, die Informationen zu erhalten, die sie benötigen.
Prozess
Hilfethema Entitäts-Tagging einrichten
Unter Entitäten verwalten modellieren Sie die Geschäftsstruktur auf Grundlage der Abteilungen, Regionen und Standorte, die für beide Projekte gelten:
- Kanada - SOX-Review 2018
- Brasilien - SOX-Review 2018
Ergebnis
Sie können nun Projekte, signifikante Ziele, Risiken, Kontrollen und Mängel mit den relevanten kontextualisierten Datenpunkte über Tags verbinden und Berichte zu Risiken und Kontrollen auf diesen Dimensionen ermöglichen.
2. Ziele, Risiken und Kontrollen dokumentieren
Wenn Sie Frameworks als zentrales Repository für Informationen verwenden, können Sie mit den Eigentümern von Prozessen und Kontrollen arbeiten, um Schilderungen zu entwerfen, Risiko- und Kontrollattribute in verschiedenen Attestierungsprojekten erfassen und ggf. weitere Dokumentation anfordern. Bestimmte Benutzerrollen können genutzt werden, um den Prozess- und Kontrolleigentümern den richtigen Zugriff und die richtige Verantwortlichkeit zuzuteilen.
Planprojekte
Jedes Projekt beginnt mit einer Planungsphase. Die Planung eines Projekts umfasst die Vorbereitung und Konsolidierung der Planungsinformationen in einem Projekt. Dazu gehören Projekthintergrund, Zweck, Umfang und die relevanten Planungsdateien. Planungsdateien können eine Vielzahl von verschiedenen Dokumenten umfassen, wie z.B. Informationen zum Projektrahmen, Auftragsbestätigungen, Dokumentation zur SOX-Stichprobenmethodik und sogar Details über die Strukturen der Projektteams.
Siehe Beispiel
Beispiel
Szenario
Sie sind verantwortlich für die Vorbereitung und Konsolidierung der gesamten Planungsdokumentation im Zusammenhang mit einem Projekt in Verbindung mit dem Projekt Kanada - SOX-Review 2018. Sie müssen diese Informationen im Projekt erfassen, sodass zu einem späteren Zeitpunkt darauf Bezug genommen werden kann.
Prozess
Hilfethema Projekte planen
Als Erstes navigieren Sie zur Seite Planung und beginnen dann mit der Definition von Hintergrund, Zweck und Projektrahmen. Dann fügen Sie unterstützende Dokumentation unter Verwendung der Seite Planungsdateien:
Ergebnis
Erfasste Planungsinformationen:
- Hintergrund Seit 2002 wird durch die SOX Act Gesetzgebung die Konzentration auf Corporate Compliance neu ausgerichtet. Dieses Gesetz fordert von Organisationen, dass sie Quartals- und Jahresberichte einreichen. die die Genauigkeit ihrer Konzernabschlüsse zertifizieren. Das SOX Act wurde verfasst, um die Transparenz in der Finanzberichterstattung zu erhöhen und ein System aus internen Kontrollmechanismen zu standardisieren. Laut SOX Section 404 müssen Organisationen eine externe Prüfung durchführen, um die Wirksamkeit der internen Kontrollen zu bewerten und einen entsprechenden Bericht abzufassen.
- Zweck/Ziel Die Organisation will SOX einführen, um ein Best-Practice-Modell anzuwenden, um bereits vor dem Börsengang Compliance umgesetzt zu haben.
- Bereich Dieses Projekt bewertet das Design und die Wirksamkeit der präventiven und detektiver Kontrollen in der Organisation, um Risiken im Zusammenhang mit der SOX-404-Compliance auf Prozessebene beizulegen. Wir werden alle Hauptgeschäftsprozesse und innerhalb des Projektumfangs aufnehmen, insbesondere:
- Kontrollen auf Entitätsebene: Kontrollumgebung, Risikobewertung, Informationen und Kommunikation, Überwachungsaktivitäten, Kontrollaktivitäten
- Financial Close und Berichterstellung
- Offenlegungskontrollen und Verfahren
- Besteuerung
- Erträge und Forderungen
- Generelle Kontrollen der Informationstechnologie
- Kalkulationstabellenkontrollen
- Einkauf
- Treasury
- Bestand
- Lohn und Gehalt und Personal
- Sachanlagen
Schilderungen dokumentieren
Schilderungen sind ein Framework und vermitteln ein Verständnis darüber wie die internen Kontrollen in einen Geschäftsprozess passen. In vielen Organisationen werden Flussdiagramme als primäre Methode zur Darstellung eines detaillierten Workflows innerhalb eines bestimmten Bereichs verwendet. Inhalte, sowohl Audio als auch visuelle Inhalte, können als Unterstützung einer Schilderung angehängt werden, und Sie können Kontrollen als Referenz verbinden.
Siehe Beispiel
Beispiel
Szenario
Eine Ihrer Aufgaben als ein SOX-Audit-Manager besteht aus der Dokumentation in Form von Schilderungen, die jeden Prozess beschreiben. Sie müssen eine Schilderung konstruieren, die sich auf den Prozess Erträge und Forderungen im Projekt Kanada - SOX-Review 2018 bezieht. In der Schilderung planen Sie den Prozess zu definieren. Dabei beschreiben Sie die IT-Systeme, die die Abrechnungsprozesse unterstützen klar und deutlich, und hängen eine Zusammenfassung der Risiken und primären Kontrollen im Zusammenhang mit dem Prozess an. Während Sie weitere Informationen erfassen, beabsichtigen Sie, die Schilderung entsprechend zu aktualisieren.
Prozess
Hilfethema Schilderungen definieren
Sie navigieren im Projekt zur Registerkarte Schilderungen und fügen eine neue Schilderung mit der Bezeichnung Schilderung zum Erlösrealisierungsprozess hinzu.
Sie beginnen die Definition der Schilderung wie folgt:
Prozessübersicht Erlösrealisierung ist der Prozess, bei dem Erlöse, Rechnungen und Forderungen für Nordamerika (NA) aufgezeichnet werden.
IT-Systeme
| System | Unterstützter Prozess |
|---|---|
| QUO | Rechnungsstellung |
| EWR |
Rechnungsstellung |
| RIU | Rechnungsstellung |
| RIU-Berichterstellung |
Berichterstellung der Erlöse und Analyse |
| Xerdox-Basis |
Finanzberichterstattung |
| Rac GL |
Hauptbuch |
| Rac AR |
Forderungen |
Schließlich hängen Sie ein Word-Dokument mit einer Zusammenfassung der Risiken und primären Kontrollen im Zusammenhang mit dem Prozess Erträge und Forderungen an.
Ergebnis
Der Entwurf für den ersten Teil der Schilderung steht, und das Word-Dokument wird als unterstützende Anlage angehängt. In vielen Fällen müssen Schilderungen in jedem Quartal, zwischenzeitlich und auf rollierender Basis aktualisiert werden.
Um das Workflow-Management und die Automatisierung in Bezug auf Veröffentlichungsfunktionen sowie in Bezug auf den Review von aktualisierten Flussdiagrammen, Schilderungen und anderer prozessbezogener Dokumentation hinzuzufügen, können Sie die folgenden Arbeitsschritte ausführen:
- Ihre Arbeit abzeichnen und ein Mitglied Ihres Teams als nächsten Kontrollprüfer des Inhalts der Schilderung zuweisen
- einen Hyperlink im entsprechenden SOX-404-Projekt erstellen, um Ablaufdiagrammberichte zusammenzufassen
Risiken und Kontrollen definieren
Das Ergebnis der Definition von Risiken und Kontrollen führt zur Produktion der Risikokontrollmatrix (RCM). Eine RCM ist eine Kombination aus identifizierten Risiken und dazugehörigen Kontrollen (die Aktionen oder Handlungsoptionen, wie das Risiko beigelegt wird).
Tipp
Nachdem Risiken und Kontrollen definiert wurden, können Eigentümer von Prozessen in der Projekte-App einen Ablaufplan einrichten, um sicherzustellen, dass Kontrollaktivitäten einheitlich durchgeführt werden.
Siehe Beispiel
Beispiel
Szenario
Ihre Organisation hat einen ausgereiften und verfeinerten Risikobewertungsprozess und bewertet das Risiko über zwei Dimensionen: Auswirkung und Wahrscheinlichkeit. Für die Bewertung der Auswirkung wird eine 5-Punkte-Skala und für die Wahrscheinlichkeit eine 3-Punkte-Skala verwendet.
Sie müssen die inhärente Risikoeinstufung bewerten, um das unbearbeitete Risiko für die Organisation zu ermitteln, wenn keine Kontrollen oder andere beilegende Kontrollen eingesetzt wurden. Sie sollten auch Ihren primären Kontrollen eine Wirksamkeitseinstufung zuweisen, sodass später, während der Tests, alle fehlgeschlagenen Kontrollen eine Restrisikoeinstufung bereitstellen.
Prozess
Hilfethemen
Sie erfassen die folgenden Informationen in den Projekten Kanada - SOX-Review 2018 und Brasilien - SOX-Review 2018:
| Projekt | Risiko | Auswirkung | Wahrscheinlichkeit |
|---|---|---|---|
| Kanada - SOX-Review 2018 | REV-R.01 Risiko ohne Namen: Umsätze und Zahlungseingänge werden möglicherweise nicht, im falschen Zeitraum oder falsch verbucht (d. h. falscher Betrag). | 3 - Mittel | 1 - Niedrig |
| Brasilien - SOX-Review 2018 | 3 - Hoch | 3 - Hoch |
Sie können in jedem Projekt der verbundenen Kontrolle auch eine Wirksamkeitseinstufung (Kontrollgewicht) zuweisen:
- REV-03 30%
- REV-04 20%
- REV-05 50%
Ergebnis
Die inhärente Risikobewertung ist abgeschlossen. Die Einstufungen für das inhärente Risiko und das Restrisiko werden zusammengefasst und im Framework gespeichert, um Berichte zu erstellen. Die Restrisikoeinstufung entspricht der inhärenten Risikoeinstufung bis zur Bewertung des Konzepts und der Wirksamkeit der Kontrolle.
Anfragen verwalten
Sie können von Geschäftsinhabern und Interessengruppen Dokumente anfordern und relevante Diskussionen in der Projekte-App speichern. Sie können auch wiederkehrende Erinnerungen an Personen senden, die für das Ausfüllen von Anfragen verantwortlich sind, und mehrere Anfragen in einer E-Mail konsolidieren.
Siehe Beispiel
Beispiel
Szenario
Sie müssen zusätzliche Informationen aus der Buchhaltungsabteilung einholen, um den Mittelzufluss der Organisation im Zusammenhang mit Warenverkäufen besser zu verstehen.
Prozess
Hilfethema Anfragen hinzufügen
Sie senden eine Anfrage an die Buchhaltung und bitten um eine Zusammenfassung des Barmittelzuflussjournals für die aktuelle Buchhaltungsperiode.
- Beschreibung Geben Sie bitte eine Zusammenfassung des Kasseneingangsjournals für die aktuelle Rechnungsperiode an.
- Status Offen
- Eigentümer Buchhaltung
- Fälligkeitsdatum 03.08.18
Ergebnis
Die Buchhaltung erhält die Anfrage und kann Ihnen die erforderliche Dokumentation durch Anhängen einer Datei und das Posten einer Anmerkung bereitstellen.
3. Konzept und Wirksamkeit der Kontrolle bewerten
Viele der SOX-Compliance-Funktionen verlangen von dem Unternehmen, Verantwortlichkeiten in Bezug auf die Bewertung des Konzepts und der Wirksamkeit der Kontrollen zu übernehmen. Einfache Aufgaben wie zum Beispiel die Aktualisierung einer exemplarischen Vorgehensweise für eine Kontrolle und die Wirksamkeit der Kontrollen dokumentieren, lassen sich direkt von den Verantwortlichen durchführen. Somit liegt die Verantwortung der Beurteilung dieser Kontrollen tatsächlich im Unternehmen. Die Bewertung des Konzepts und der Wirksamkeit der Kontrollen ermöglicht Ihnen, mit Hilfe von Benchmarks zu messen, wie Ihre Organisation bei der Verwaltung des Compliance-Risikos und der Anforderungen abschneidet.
Tipp
IdeasHub, ein Katalog aus Risikoszenarien und Tests, die von Diligent-Initiativen weltweit gesammelt werden, bietet eine Reihe von Ideen für analytische Tests nach Prozess, die unter anderem alle Finanzoperationen abdecken. Weitere Informationen finden Sie im Diligent Developer Portal.
Kontrollkonzept bewerten
Sie können eine exemplarische Vorgehensweise durchführen, um das Design der Kontrolle zu bewerten. Eigentümer von Kontrollen können dazu beitragen, das Design einer Kontrolle über die Attestierung oder das Beifügen von Beweisen zu bewerten. Sie definieren Aktionspläne, um die fehlenden Kontrollen zu implementieren und Lösungen für die Fälle von fehlender Compliance zu finden oder um zu erklären, warum eine Kontrolle nicht erforderlich ist.
Tipp
Mitarbeiter im Kundenverkehr können außerhalb der Projekte-App über die App „Kontrollzentrum” die Kontrollen, auf die sie Zugriff haben, verwalten. Kontrollzentrum ist eine App, die Kontrollinformationen aus der Projekte-App auf einer vereinfachten und zentralisierten Ansicht darstellt.
Siehe Beispiel
Beispiel
Szenario
Nun, da Sie das inhärente Risiko bewertet und die angeforderte Dokumentation erhalten haben, müssen Sie eine exemplarische Vorgehensweise durchführen, um das Design jeder Kontrolle zu bewerten.
Prozess
Hilfethema Verfahren ausführen und Kontrollen testen
Sie erfassen die folgenden exemplarischen Vorgehensweisen in den Projekten Kanada - SOX-Review 2018 und Brasilien - SOX-Review 2018:
Angemessen gestaltet
| Projekt | Risiko | Kontrolle | Kontrollattribute | Ergebnisse der exemplarischen Vorgehensweise |
|---|---|---|---|---|
| Kanada - SOX-Review 2018 | REV-R.01: Risiko ohne Namen | REV-03 |
|
|
| REV-04 |
|
|
||
| REV-05 |
|
|
||
| Brasilien - SOX-Review 2018 | REV-R.01: Risiko ohne Namen | REV-03 |
|
|
| REV-04 |
|
|
||
| REV-05 |
|
|
Ergebnis
Die exemplarische Vorgehensweise für jede Kontrolle wird in beiden Projekten erfasst:
Testpläne definieren
Testpläne identifizieren wie Sie die Kontrolle testen werden. Sie können Testpläne definieren, um die Testmethode, die Gesamtstichprobengröße (aufgeteilt auf die Anzahl der Testrunden) und die Testschritte, die durchgeführt werden müssen, um die Kontrolle zu testen, anzugeben.
Siehe Beispiel
Beispiel
Szenario
Bevor Sie damit beginnen, die Wirksamkeit der Kontrollen zu testen, müssen Sie einen Testplan vorbereiten, der identifiziert, wie Sie jede Kontrolle testen werden. Sie möchten die Testmethode, die Gesamtstichprobengröße (aufgeteilt auf die Anzahl der Testrunden) und die Testschritte, die durchgeführt werden müssen, um die Kontrolle zu testen, definieren.
Prozess
Hilfethema Verfahren ausführen und Kontrollen testen
Sie dokumentieren den Testplan für REV-03 wie folgt:
- REV-03 Zahlungseingänge werden vom Buchhalter mit den Bankbelegen und den zugrunde liegenden Rechnungen abgeglichen, um genaue, vollständige und einheitliche Buchungen in der entsprechenden Buchhaltungsperiode sicherzustellen. Der Controller prüft den Abgleich und genehmigt die entsprechenden Journaleinträge.
- Testmethode Inspektion
- Gesamtstichprobengröße 25
- Testschritte/Testattribute
- Bestätigen Sie, dass es eine entsprechende Aufgabentrennung gibt.
- Bestätigen Sie die Salden der Forderungen.
- Vergleichen Sie die Details der Zahlungseingänge mit den Journaleinträgen und den entsprechenden Einzahlungsbelegen der Bank.
- Sie überprüfen Banküberweisungen und führen Tests zu den Barmitteln an Stichtagen durch, um sicherzustellen, dass die Transaktionen in den Konzernabschlüssen enthalten sind.
- Vergleichen Sie Kassenbestände mit Prognosen und Budgets.
Ergebnis
Der Testplan für REV-03 ist erfasst.
Wirksamkeit der Kontrolle bewerten
Die Bewertung der Wirksamkeit der Kontrolle umfasst die Dokumentation der detaillierten Testergebnisse und die Angabe, ob die Kontrolle bestanden hat oder durchgefallen ist. Nachdem Sie die Bewertung der Wirksamkeit der Kontrolle abgeschlossen haben, können Sie Textstellen markieren und Belege verknüpfen, wie z. B. Richtlinien- oder Verfahrenshandbücher, Bestimmungen, SLAs/SLSs und Verträge.
Tipp
Um die manuell Einstufung der Wirksamkeit von Kontrollen zu vermeiden, können Sie Bewertungsfaktoren einsetzen, um verschiedene Kontrollbewertungen zu automatisieren. Sie können eine in der Ergebnisse-App erstellte Metrik mit einer Kontrollbewertung in der Projekte-App verknüpfen und die inhärenten Risikoeinstufungen auf Grundlage von vordefinierten Metrikbereichen automatisch ausfüllen.
Siehe Beispiel
Beispiel
Szenario
Nun, da Sie das Kontrollkonzept bewertet und einen Testplan vorbereitet haben, der definiert, wie Sie jede Kontrolle testen werden, müssen Sie die Wirksamkeit der Kontrolle bewerten, um das Restrisiko, oder wie viel Risiko verbleibt, nachdem die Kontrollen eingeführt wurden, zu ermitteln.
Prozess
Hilfethemen
Sie testen die betriebliche Wirksamkeit jeder Kontrolle in den beiden Projekten Kanada - SOX-Review 2018 und Brasilien - SOX-Review 2018 und erfassen die folgenden Informationen:
Funktioniert effektiv
Vermerkte Ausnahme
| Projekt | Risiko | Kontrolle | Kontrollattribute | Q1-Test | Q2-Test | Q3-Test | Q4-Test |
|---|---|---|---|---|---|---|---|
| Kanada - SOX-Review 2018 | REV-R.01: Risiko ohne Namen | REV-03 |
|
|
|
|
|
| REV-04 |
|
|
|
|
|
||
| REV-05 |
|
|
|
|
|
||
| Brasilien - SOX-Review 2018 | REV-R.01: Risiko ohne Namen | REV-03 |
|
|
|
|
|
| REV-04 |
|
|
|
|
|
||
| REV-05 |
|
|
|
|
|
Ergebnis
Testergebnisse im Zusammenhang mit der Kontrolle werden zum Zweck der Berichterstellung zusammengefasst und im Framework gespeichert.
Mängel und Aktionen erfassen
Während des gesamten Compliance-Prozesses können Sie markierte Mängel erfassen und für eine Beilegung zuweisen und Mängel an die Eigentümer der Kontrolle oder des Problems delegieren, um den Status und damit in Zusammenhang stehende Aktionspläne zu delegieren. Sie können außerdem Aktionen beliebigen Interessenvertretern zuweisen, um sie einfach zu überwachen, Beweise zu erfassen und eine Lösung zu finden.
Siehe Beispiel
Beispiel
Szenario
Da der Q4-Test für die Kontrolle REV-03 im Projekt Brasilien - SOX-Review 2018 fehlgeschlagen ist, müssen Sie die Ausnahme notieren, indem Sie einen Mangel protokollieren. Sie erstellen ebenfalls eine spezifische Anschlussmaßnahme, die mit einem identifizierten Mangel verbunden ist, und weisen sie dem entsprechenden Mitarbeiter zu.
Prozess
Hilfethemen
Sie dokumentieren im Projekt Brasilien - SOX-Review 2018 den folgenden Mangel und die folgende Aktion:
Problem
- Titel/Überschrift Unzureichende Aufgabenverteilung
- Beschreibung Die Trennung der Buchführungsaufgaben bedeutet, die Aufteilung der Aufgaben, sodass verschiedene Personen an der Transaktionsverarbeitung, der Datenaufzeichnung, der Vorbereitung der Konzernabschlüsse und Prüfung mitarbeiten. Wenn nur eine Person die Buchführungsfunktionen erledigt, könnten schlechte interne Kontrollen, Abrechnungsbetrug und Veruntreuung von Unternehmensvermögen die Folge sein.
- Eigentümer Leiter der Buchhaltung
- Problemtyp Defizit
- Datum identifiziert Datum
- Schweregrad Hoch - Ernste Prüfungsfeststellung, die zu finanziellen Verlusten führt
- Veröffentlicht Veröffentlicht
Aktion
- Titel Aufgabenteilung erzwingen oder ausgleichende Kontrollen implementieren
- Eigentümer Leiter der Buchhaltung
- Beschreibung Stellen Sie sicher, dass die Buchhaltung in einer Art und Weise organisiert ist, wodurch eine angemessene Aufgabentrennung erreicht wird. Wenn Aufgaben nicht getrennt werden können, implementieren Sie die folgenden ausgleichenden Kontrollen:
- Bearbeiten Sie alle Ausnahmeberichte auf der Aufsichtsebene.
- Implementieren Sie in den IT-Systemen eine rollenbasierte Zugriffskontrolle.
- Fälligkeitsdatum Datum
- Status Geöffnet
- Priorität Hoch
Ergebnis
Der Mangel und die Aktion werden erfasst. Zu einem späteren Zeitpunkt kann die Prüfungskommission den Beilegungsplan prüfen und die Ergebnisse von erneuten Tests dokumentieren, um zu ermitteln, ob der Mangel wirklich beigelegt wurde.
4. Bericht zu internen Kontrollen
Berichte zu internen Kontrollen sind für die Geschäftsleitung eines Unternehmens von hoher Bedeutung, was häufig zu kritischem Bedarf für Controller, VPs oder den CFO führt. Sie können zu einem beliebigen Zeitpunkt während des Projektzyklus Berichte generieren, um der Geschäftsleitung und dem Aufsichtsrat Informationen zu aufsichtsrechtlichen Meldezwecke zur Verfügung zu stellen. Sie können ebenfalls benutzerdefinierte Berichte auf einer geplanten Basis übertragen, um Beilegungen und spätzyklischen Indikatoren zu überwachen.
Tipp
In der Projekte-App gibt es eine Vielzahl von standardmäßigen Ein-Klick-Berichten, die heruntergeladen werden können und die sich automatisch im Projektverlauf entwickeln. Der Bericht Testplan kann heruntergeladen werden, um festzustellen, ob ein Projekt durch eine gültige Stichprobenmethode unterstützt wird, umfangreiche manuelle Tests zu identifizieren und Chancen zur Erhöhung der Wirksamkeit zu schaffen. Die Berichte-App stellt weitere Berichtsoptionen bereit, die für Organisationen ein höheres Maß an Anpassungen bieten.
Siehe Beispiel
Beispiel
Szenario
Sie müssen detaillierte Statusinformationen zu den Kontrolltests für Ihren PMO bereitstellen. Der Bericht sollte den Fortschritt bei den Kontrolltests für beide Projekte (Kanada - SOX-Review 2018 und Brasilien - SOX-Review 2018) enthalten, inkl. Kontrollattribute, Wirksamkeitsbewertungen und Abzeichnungen durch den Ersteller der Kontrolltests. Sie möchten außerdem die Gelegenheit bereitstellen, die Kontrolltestdaten auf Grundlage von Projekt oder Wirksamkeitsbewertung zu filtern.
Prozess
Hilfethemen
Als Erstes kopieren Sie die Berichtsvorlage Kontrolltestdetails und ändern den Bericht nach Bedarf. Dann speichern und aktivieren Sie den Bericht. Schließlich übertragen Sie den Bericht per E-Mail an den entsprechenden Empfänger nach einem festgelegten Ablaufplan.
Ergebnis
Der Bericht wird dem angegebenen Empfänger nach einen wiederkehrenden Zeitplan bereitgestellt. Die Übertragung eines Berichts ist eine effiziente Methode, um Daten in festgelegten Intervallen für andere Personen freizugeben. Wenn Sie weitere Zielgruppen bedienen möchten, können Sie mehrere Übertragungszeitpläne für einen Bericht festlegen.
Wie geht's weiter?
Sie lernen, wie man ein SOX-302-Zertifizierungsprogramm automatisiert
Die Projekte- und Ergebnisse-Apps eignen sich, um wirksam Self-Assessments durchzuführen, 302-Zertifizierungsanfragen bereitzustellen und eine faire Verteilung der Verantwortung über Beteiligte der internen Kontrolle sicherzustellen.
Weitere Informationen finden Sie unter SOX-302-Zertifizierungsprogramm automatisieren.
