实现对SOX合规的“IPE”信心的4个步骤

年轻的企业家夫妇在平板电脑上工作

您对用于做出重要决策的系统生成数据有多满意? 您确信数据完全支持您的关键控制以符合Sarbanes-Oxley (SOX)吗, 或者你在“国际政治经济学”的方法上遇到了挑战吗??

我们开始问问题,发现虽然我们的客户普遍同意 定义 实体产生的信息(IPE), 盈禾体育如何确保信息的准确和完整,有不同的想法. 有一件事是我们都同意的:在这种监管环境下, 遵守SOX法规或准备遵守SOX法规的组织应该高度重视验证其IPE的完整性和准确性.

这是因为美国上市公司会计监督委员会(PCAOB)正在密切关注外部审计机构的工作,特别是他们的审计程序. 外部审计机构正在推动这种压力, 要求管理层在评估SOX控制措施时更加严格地对待IPE. 这种增加的关注使得能够证明您了解进入报告和电子表格(统称为“关键报告”)的数据的来源和可靠性比以往任何时候都更加重要。.

为什么? 因为如果审计发现有不准确或不完整的数据支持你的控制, 你的组织可能会面临在SEC文件中披露重大缺陷的后果.  后来, 您将被置于显微镜下,以展示修复该问题可能需要付出的重大且昂贵的努力.

IPE验证

我们一直在与客户合作,在他们的SOX合规程序中开发和实现工作流, 旨在盘点他们的数据, 将其映射到关键控制,并及时验证其完整性和准确性.

这种方法使管理层能够准确地理解底层数据如何支持和促进其控制活动,从而掌握IPE质量. 它还提供了一个可持续的流程来管理数据和受影响控制的持续可靠性, 以及加强对COSO 2013框架原则的遵守.

这里有四个关键步骤可以帮助你发展你的方法.

  1. 创建IPE清单

    第一步是通过创建一个列表或Excel文件来创建清单,该列表或Excel文件标识支持关键SOX控件的所有报告. 然后确定要为每个报告跟踪哪些属性. 这些可能包括:

    • 报告类别(标准、自定义或特别)
    • 支持的控制号(数据如何映射到关键控件)
    • 数据源(特定的系统、应用程序或数据库)
    • 系统/工具生成IPE
    • 报告老板
    • 报告托管人
    • 最后变更日期
  2. 对IPE进行分类

    接下来,将报表分为以下三个主要类别之一:标准、自定义或特别类别. 这个过程使得根据具体报告的创建方式开发适当的完整性和准确性评估和测试程序成为可能.

    • 标准或罐装报表由应用程序提供商设计,并随应用程序包一起提供. 它通常不能由最终用户重新配置.
    • 定制报告由IT(或由公司要求的软件提供商)构建或配置,以满足特定需求, 使用数据或软件的功能. 一个例子是使用自定义查询/程序从应用程序数据库中提取数据的SQL报告.
    • 临时查询是更“狂野西部”方法的结果, 最终用户可以在其中插入一组参数以生成报告. 因为这类查询的创建方式, 它更有可能包含需要额外审查的错误或不一致.
  3. 确定验证方法

    一旦你把报告分类, 确定每种类别类型的验证方法,并执行完整性和准确性验证程序. 这样的验证可以作为“基线”。, 取决于报告类别, 考虑到对变更管理的控制的有效性,可以预期地加以利用,以解决这一步, 查看为上述三种不同报告类型捕获数据的底层代码和参数. 你的审查可以包括:

    验证方法

    • 获取并评估生成报告的程序/查询
    • 获取并评估使用的参数
    • 结果报告中的样本数据
    • 识别数据源(数据库、系统)

    管理层保留的证据

    • 程序代码/查询
    • 用于运行报告的参数的屏幕截图
    • 报告日期
    • 报告验证支持文件
  4. 维持IPE流程

    想出一个你可以持续前进的方法是很重要的——这意味着你要掌握人们的任何变化, 过程, 或者影响关键报表清单的系统, 然后根据需要进行额外的验证. 例如, 如果生成特定报告的责任易手, you need to be able to quickly reflect that change in your inventory; it is a living document that should be updated timely as needed.

    这里有一些行动项目可以帮助你在整个过程中提供问责制.

    • 为整个关键报告库存分配最终所有者. 该人员将与报告所有者和保管人协调,以确保库存及时更新任何必要的更改.
    • 为每个密钥报告分配所有者和保管人. 所有者对报告中的信息负责, 而保管人是技术管理员.
    • 培训和沟通与报告所有者和保管人 确保他们明白自己的责任.
    • 建立并记录关键报告维护流程. 定义所有者的职责,例如向库存所有者提供信息,并保持用户访问和变更管理IT General Controls符合要求. 建立保管人职责, 其中包括确保没有对报告进行更改,以及未经所有者批准不得授予访问权限, 如果需要更改,也要严格遵循您的更改管理过程. 记录任何变化对报告完整性和准确性的影响.
    • 建立并记录新的关键报告开发流程. 进行用户访问, 用户验收测试和保留的证据文件服从IT一般控制活动. 与库存所有者沟通此过程.

建立你的舒适程度

随着公司使用越来越多的系统生成的数据来支持关键控制活动和做出重要的管理决策, 确保所使用的信息既准确又完整将变得越来越重要. 一个强大的IPE验证程序可以保证支持关键控制活动的数据的可靠性,并帮助这些控制在组织内部和监管环境发生变化时保持有效.

如果您有问题或需要额外的资源来开发您自己的IPE验证程序, 盈禾体育! Bridgepoint的 风险 & 合规 专家可以为您的管理团队提供建议,并帮助您开发和评估将支持法规遵从的验证方法, 变更管理和可持续性,以支持您的ipe依赖控制.

友情链接: 1 2 3 4 5 6 7 8 9 10