Automatizzare un programma di certificazione SOX 302

Assicurarsi che i responsabili firmatari certifichino i rapporti trimestrali può essere una attività scoraggiante. Per snellire questo processo, le organizzazioni devono garantire un'equa distribuzione delle responsabilità tra le parti interessate del controllo interno. Il presente articolo illustra come condurre le sottocertificazioni con i proprietari dei controlli e come distribuire le richieste di certificazione 302 utilizzando le applicazioni Progetti e Risultati.

Questo articolo si basa sugli esempi illustrati in Implementare un programma SOX 404.

Che cos'è la certificazione 302?

La Sezione 302 del Sarbanes-Oxley (SOX) richiede che l'amministratore delegato e il direttore finanziario di un'organizzazione dichiarino l'integrità dei controlli chiave che influenzano il reporting dei bilanci finanziari su base trimestrale.

Prima della firma dei responsabili, le richieste di certificazione vengono inviate ai responsabili dei processi o dei controlli nei diversi dipartimenti dell'organizzazione. Questo approccio contribuisce a garantire ai responsabili firmatari che i controlli interni chiave sul reporting finanziario funzionino in modo efficace in tutti i dipartimenti e garantisce loro la sicurezza necessaria per firmare le certificazioni 302 trimestrali.

Dove automatizzare un programma di certificazione 302?

È possibile automatizzare un programma di certificazione 302 utilizzando le applicazioni Progetti e Risultati.

Visione d'insieme

  • Un singolo Progetto può contenere più Certificazioni.
  • Con Progetti è possibile proporre questionari. Le risposte vengono salvate nelle Tabelle all'interno dei Risultati.
  • I trigger automatizzano i processi di rimedio dell'organizzazione eseguendo una serie di azioni basate sui dati di record presenti in Tabelle.

Passaggi

Facciamo un tour?

Diamo un'occhiata più da vicino a queste funzioni nel loro contesto.

1. Creare un programma di certificazione

I programmi di certificazione consentono di definire i gruppi di persone e gli elementi che devono essere certificati e altre informazioni contestuali. È possibile inviare le richieste di certificazione alle persone giuste, al momento giusto, e fornire l'assurance di cui hanno bisogno gli amministratori delegati e i direttori finanziari quando firmano le certificazioni 302 trimestrali.

Consiglio

Per automatizzare e semplificare ulteriormente il processo di certificazione, è possibile configurare il programma di certificazione una sola volta e riutilizzarlo di trimestre in trimestre. È sufficiente fare un rollforward del progetto contenente il programma di certificazione.

Abilitare le certificazioni

Il primo passaggio consiste nell'abilitare le certificazioni in un progetto. Una volta abilitato, è possibile iniziare a creare un programma di certificazione.

Esempio

Scenario

In qualità di direttore SOX, devi ottenere le sottocertificazioni di tutti i membri del comitato di divulgazione per supportare le certificazioni SOX 302 dell'amministratore delegato e del direttore finanziario.

Processo

Argomento della guidaCreare programmi di certificazione

Nelle impostazioni del progetto Canada: Revisione SOX 2018, abiliti le certificazioni.

Risultato

Puoi iniziare a creare un programma di certificazione all'interno del progetto.

Inserire i dettagli della certificazione

Una volta abilitate le certificazioni all'interno del progetto, si può iniziare a creare un programma di certificazione inserendo alcuni dettagli di base. È possibile personalizzare l'oggetto e il messaggio dell'e-mail che si desidera inviare, allegare file e fornire qualsiasi dettaglio rilevante alle persone che partecipano al programma di certificazione.

Esempio

Scenario

Sei in grado di iniziare a creare un programma di certificazione. Desideri centralizzare tutta la documentazione relativa al programma, definire una data di scadenza del programma e fornire ai membri del comitato di divulgazione le informazioni contestuali appropriate.

Processo

Argomento della guidaCreare programmi di certificazione

Dalla dashboard del progetto Canada: Revisione SOX 2018, fai clic su Aggiungi certificazione. Inserisci i seguenti dettagli chiave:

  • NomeSottocertificazione dei membri del comitato di divulgazione
  • Data di scadenza14 dicembre 2018
  • Oggetto dell'e-mailAzione obbligatoria: Sottocertificazione SOX
  • Messaggio dell'e-mailNell'ambito del nostro processo di reporting trimestrale e annuale, questo questionario viene distribuito alla fine di ogni periodo di rapporto per garantire che tutti gli eventi, i contratti e i fatti rilevanti siano stati riportati e che tutte le informazioni materiali siano state considerate per l'inclusione nei nostri documenti normativi. È necessario rispondere entro il 14 dicembre 2018.

Alleghi anche alcuni file di supporto per fornire un contesto aggiuntivo ai membri del comitato di divulgazione.

Risultato

Hai fornito i dettagli chiave del programma di certificazione e hai personalizzato l'oggetto dell'e-mail e il messaggio che intendi inviare ai partecipanti. Eventuali istruzioni e file aggiuntivi specificati saranno inclusi nel questionario inviato ai membri del comitato di divulgazione.

Creare o selezionare un questionario

L'autovalutazione è un approccio di miglior pratica per la valutazione dei controlli e dei processi interni di un'organizzazione e si presenta tipicamente sotto forma di questionario. I questionari di autovalutazione possono essere utilizzati per valutare il livello di conformità alla Sezione 302 del SOX all'interno di un'organizzazione e rappresentano un approccio efficace per identificare le aree di esposizione al rischio, nonché per evidenziare potenziali opportunità.

Consiglio

È possibile copiare uno dei seguenti modelli di questionario da Risultati come punto di partenza per costruire il proprio questionario:

  • Certificazione di divulgazione per i manager
  • Certificazione di divulgazione per i responsabili
  • Certificazione SOX 302

Esempio

Scenario

Nell'ambito del processo di reporting trimestrale e annuale, devi distribuire un questionario alla fine di ogni periodo di rapporto. Desideri assicurarti che tutti gli eventi, i contratti e i fatti rilevanti siano stati riportati e che tutte le informazioni rilevanti siano state prese in considerazione per l'inclusione nei documenti normativi.

Processo

Argomento della guidaCreare questionari

In Risultati, copi il questionario Certificazione di divulgazione per i responsabili dalla raccolta Modelli di questionario alla raccolta Canada: Revisione SOX 2018, e rinomini il questionario Sottocertificazione SOX 302.

Quindi, cambi la lingua del questionario e ne modifichi le domande per allinearlo ai requisiti della tua organizzazione. Infine, torni a Progetti e selezioni il questionario appena costruito.

Risultato

Ora sei in grado di inviare il questionario per raccogliere informazioni dai membri del comitato di divulgazione.

Specificare i partecipanti e gli elementi

Gli amministratori delegati e i direttori finanziari sono in genere estranei alle attività di controllo quotidiane. Tuttavia, è necessario si sentano sicuri al momento di certificare perché le conseguenze possono essere gravi. Molte organizzazioni adottano un processo di sottocertificazione, in cui ai dipendenti chiave viene chiesto di sottocertificare. In questo modo si crea una catena di responsabilità all'interno dell'organizzazione. All'interno del programma di certificazione, è possibile specificare chi deve sottocertificare e su quali elementi deve farlo. È inoltre possibile definire se i partecipanti devono rispondere in un ordine specifico o contemporaneamente.

Esempio

Scenario

In precedenza hai creato un questionario di sottocertificazione SOX 302 e ora intendi inviarlo alle seguenti persone:

Desideri che Shalini risponda per prima, in quanto è la persona più vicina alle operazioni di business. A seguire, devono rispondere, in ordine, Brad e Tim.

Processo

Argomento della guidaCreare programmi di certificazione

Hai creato una certificazione sequenziale, hai definito il gruppo di certificazione "Personale IT" e hai aggiunto Shalini, Brad e Tim al gruppo, in questo ordine. Infine, specifica i controlli che ogni partecipante deve sottocertificare: NS-002, NS-005, NS-006.

Risultato

Hai specificato chi deve sottocertificare e in quale ordine devono essere fornite le risposte. Hai anche definito quali controlli ogni persona deve sottocertificare.

Revisiona e finalizza

L'ultima fase della creazione di un programma di certificazione consiste nel verificare la configurazione e scegliere se inviare le richieste di certificazione in un secondo momento o immediatamente.

Esempio

Scenario

Hai terminato la configurazione del tuo programma di certificazione. A questo punto, desideri revisionare le informazioni prima di inviare ufficialmente le richieste di certificazione ai membri del comitato di divulgazione.

Processo

Argomento della guidaCreare programmi di certificazione

Revisioni ogni sezione per verificare l'accuratezza delle informazioni. Durante tale verifica, ti accorgi che devi ancora fornire alcune informazioni contestuali aggiuntive ai membri del comitato di divulgazione.

Di conseguenza, decidi di salvare la configurazione del programma di certificazione e di inviare le richieste di certificazione in un secondo momento.

Risultato

Il programma di certificazione è stato salvato. Puoi tornare alla configurazione e inviare le richieste di certificazione in un secondo momento.

2. Distribuire le richieste di certificazione 302

Le certificazioni SOX 302 e il reporting finanziario sono di fondamentale importanza per il ramo esecutivo del business e spesso comportano richieste critiche da parte di Controllori, Vicepresidenti e persino del direttore finanziario. È possibile utilizzare i questionari per distribuire più richieste di certificazione 302 ai proprietari di diversi dipartimenti dell'organizzazione e aggregare le risposte per un'ulteriore revisione o escalation.

Consiglio

Le richieste di certificazione possono essere inviate a chiunque, anche a utenti non titolari di licenza.

Esempio

Scenario

Sei in grado di inviare le richieste di certificazione ai membri del comitato di divulgazione. Occorre che questi siano in grado di revisionare i controlli di cui sono responsabili, di valutarne l'adeguatezza e di comunicarne i risultati alla dirigenza.

Processo

Argomento della guidaCreare programmi di certificazione

Apri il programma di certificazione salvato e invii le richieste di certificazione.

Risultato

Shalini è la prima persona a ricevere il questionario. Riceve un'unica e-mail che elenca i tre controlli che deve sottocertificare. Quando Shalini consegna la sua prima risposta su uno qualsiasi dei controlli, Brad inizia a ricevere i questionari. 

Brad riceve un'e-mail che fa riferimento al controllo specifico che Shalini ha recentemente certificato e può quindi presentare la propria risposta. Riceve le e-mail successive (una per controllo) man mano che Shalini completa la sottocertificazione.

Tim inizia a ricevere i questionari non appena Brad invia la sua prima risposta. Riceve le e-mail successive (una per controllo) man mano che Brad completa la sottocertificazione. Una volta che Tim ha terminato, tutte le certificazioni sono complete.

Tutte le risposte vengono salvate nella raccolta Canada: Revisione SOX 2018 in attesa di ulteriori revisioni o escalation.

3. Automatizzare i flussi di lavoro della certificazione 302

I trigger eseguono una serie di azioni ogni volta che vengono soddisfatte condizioni o soglie specifiche e possono essere utilizzati per automatizzare diversi aspetti del programma di certificazione 302. È possibile utilizzare i trigger per aggregare le risposte attraverso diversi livelli di certificazioni, impostare criteri specifici per i trigger da eseguire ogni periodo trimestrale 302 e definire flussi di lavoro di escalation per le certificazioni completate e non azionate.

Consiglio

Per monitorare le certificazioni in sospeso e gli indicatori in ritardo, è possibile visualizzare i dati utilizzando Storyboard o creare una dashboard specifica dei risultati SOX 302 in Rapporti.

Esempio

Scenario

Affinché il tuo team SOX possa identificare e rispondere in modo efficiente alle certificazioni non azionate, devi creare un flusso di lavoro di risposta automatizzato che esegua un controllo settimanale sulle richieste di certificazione in sospeso.

Qualsiasi richiesta di certificazione che rimane inattiva per 10 giorni deve essere classificata come priorità critica e assegnata al membro del team appropriato per l'indagine e il rimedio.

Processo

Argomento della guidaCreare un trigger

Configuri un trigger pianificato che venga eseguito ogni lunedì alle 9:00 PST quando i record rimangono inattivi per 10 giorni.

Il trigger esegue le seguenti azioni quando i record non vengono aggiornati:

  • assegna il record a un membro del team SOX
  • aumenta la priorità del record a critico

Risultato

Il trigger notifica il membro del team SOX e aumenta la priorità del record quando le condizioni sono soddisfatte. L'azione è automatizzata e l'intero processo è gestito tramite Risultati, senza dover affrontare sistemi esterni o ostacoli.

Cosa succede dopo?

Per ulteriori informazioni su come fornire l'assurance sull'efficacia dell'ambiente di controllo testando i controlli, consulta Dimostrare la assurance sui controlli interni.