萨班斯-奥克斯利法案》(SOX)报告问题在 2002 年最初立法通过多年后再次出现,许多人可能会觉得奇怪,因为企业为遵守法案而实施的系统、流程和技术已经投入了数十亿美元。
尽管如此,近年来,由于管理层、审计师和上市公司会计监督委员会(PCAOB)充分认识到电子表格在关键业务应用和流程中的普遍存在,电子表格在SOX合规性方面所付出的努力、资源和成本都在稳步上升。
虽然电子表格风险可能是 SOX 法案的一个新的重点领域,但其主要原则依然未变。美国上市公司报告的季度和年度业绩必须是基本业务的公正反映,高级管理层,通常是首席执行官和首席财务官,必须愿意证明这一点。
这意味着需要对新的重要电子表格环境采用与支撑 SOX 环境其他部分的企业 IT 环境相同的管理控制、透明度和可审计性水平。
企业通常热衷于保留电子表格的使用,因为电子表格的强大功能和灵活性有助于提高企业的灵活性和活力。许多企业越来越认识到,SOX 意味着它们需要与其他 IT 资产一样,接受同样的管理和控制。
鉴于根据《萨氏法案》管理电子表格风险所面临的挑战以及结果的重要性,机构需要仔细考虑如何最好地利用电子表格的功能,同时降低与之相关的风险。它们需要确保管理层、审计师和监管机构所期望的数据管理。
电子表格风险管理在 SOX 合规性方面的最佳实践方法
根据帮助众多企业在各种合规制度下处理电子表格风险管理 的经验,这是管理 SOX电子表格风险 的最佳实践方法。
识别 SOX 电子表格
识别 SOX 电子表格有效的 SOX 报告取决于是否有适当的基础,而确定所有关键的 SOX 电子表格至关重要。这些电子表格可能涵盖一系列业务领域和功能:例如,收入管理流程、成本管理模式、摊销模式、收入确认模式、合同记录或订单管理。电子表格在合并模型和最终报告中也占有重要地位。这些数据与一系列公司系统的数据相结合,产生了需要证明的最终 SOX 结果。
这些电子表格分布在不同的部门、业务单位甚至国家。同一业务部门可能会使用不同的版本、格式和定义,这种情况会在多个业务部门中扩大。这就为电子表格风险的进一步植入和报告提供了充分的空间。
评估 SOX 电子表格的风险
评估 SOX 电子表格的风险在使用电子表格的 SOX 框架中,电子表格的重要性各不相同。例如,电子表格的重要性可能取决于与之相连的其他电子表格的数量、所含公式和工作表的数量以及公式和宏的复杂程度。虽然这是一个有用的衡量标准,但其他简单得多的电子表格可能对 SOX 报告同样重要。
拥有一个系统的 SOX 合规性风险评估模型,可以让整个业务部门的人员客观地商定哪些电子表格需要最严格的审查。这可以为有效的 SOX 电子表格管理项目实施模式奠定基础,并有助于制定机构所需的风险管理、审计和治理框架。
它还能确保将风险管理的重点放在正确的领域,而不会因为评估了太多错误的电子表格而分散精力。
监控和审核您的 SOX 电子表格
监控和审核您的 SOX 电子表格最后一个阶段是密切监控关键的 SOX 电子表格,以确定它们的变化及其对 SOX 结果和更广泛业务的潜在影响。重要的是,电子表格的变更--例如公式、数据源、单个工作表和宏--可以很容易地识别出来,因为它们会对最终的 SOX 结果产生重大影响。
这些变化需要易于识别、审计和报告,以便充分支持对遵守 SOX 至关重要的风险管理和治理框架。
无论机构如何应对这一挑战,都必须将风险和治理管理模式视为 SOX 电子表格管理实施模式的先决条件,与数据管理以及系统集成和设计一起考虑。这种方法不仅能确保最终结果的准确性,还能确保从电子表格流程中得出的最终 SOX 结果完全符合 SOX 的审计和数据管理要求。
使用人工流程提供这些功能至少可以说是一项挑战。利用 ClusterSeven 的功能,可以高效、有效地利用自动化实现这些功能。
