SOX audit lépései, elvárások a CIO-val szemben CIO 08 Konferencia SOX audit lépései, elvárások a CIO-val szemben 2008. április 18.
Az előadás témakörei: 1) Áttekintés 2) Miért előnyös a nem amerikai társaságoknak? 3) Főbb kontrollterületek 4) Kiszervezés – ki felelős a kontrollokért?
Áttekintés A Sarbanes-Oxley törvény célja: a befektetői bizalom visszaállítása A Sarbanes-Oxley törvénnyel kapcsolatos összes szabály mára kiadásra került. A PCAOB az amerikai könyvvizsgáló szakma új szabályozó hatósága. Ensure the following slide points are covered at a minimum, consider: reminding the participants the rules are all final except for the SEC’s approval of the Standard on internal controls required in terms of s404.
Mi is az a SOX 404? Pénzügy Adó IT HR Belső ellenőrzés
Mi is az a SOX 404? Külső auditorok Tanácsadók PCAOB SEC
2) Miért előnyös a nem amerikai társaságoknak?
Előnyök A SOX amerikai tőzsdén jegyzett cégekre és azok leányvállalataira vonatkozik, de… Jó gyakorlat Könyvvizsgálat esetén úgyis vizsgálják ezeket a kontrollokat Egyéb törvényi / szabályozási megfeleléshez is alkalmazható: Basel II, AEO, tőkepiaci törvény, PSZÁF,… Tapasztalat szerint hatékonyabb,megbízhatóbb működést eredményez Ha amerikai ügyfelekkel vannak üzleti kapcsolatban KEN
A SOX megfelelés egyben versenyelőny is Általános előnyök Erős irányítási modell Jobb elszámoltathatóság Gyorsabb reagálás az üzleti kihívásokra IT előnyök: IT irányítás megerősödése Jobb üzleti döntések a pontosabb és gyorsabb információk következtében Egyéb törvényi / szabályozási megfeleléshez is alkalmazható A hatékonyabb működés által versenyelőny megszerzése Optimálisabb működés a biztonság, rendelkezésre állás Fejleszti a kockázatkezelési szakértelmet és a programok prioritási sorrendjének kialakítását Legislation and subsequent SEC rule-making affect all key participants in the financial reporting process and capital markets, including boards of directors, audit committees, attorneys, investment banks, and accounting firms. The PCAOB (generally referred to as the Board) is appointed and overseen by the SEC. It is comprised of five full-time members, who will oversee and investigate the audits and auditors of public companies. In addition, the PCAOB drafts the auditing standards and can impose sanctions on both public accounting firms and its individuals for violations of laws, regulations and rules.
A pénzügyi beszámolási folyamatok javítása Törvényi megfelelés A törvény betűje A törvény szelleme Átláthatóság Pontosság Információ minőségének javítása Időbeliség Megbízhatóság
3) Főbb kontrollterületek
Bevezetés Nincs általános, előre definiált megközelítés a SOX esetében A vállalatoknak egyedileg hozzá kell igazítaniuk a kontrollcélokat saját körülményeikhez A megvalósításhoz ajánlott keretrendszer a COSO A COSO komponensek és a CobiT kontrollcélok összefüggését a Sarbanes-Oxley törvényre vonatkozóan A CobiT mindegyik területe és a kontrollcélok majdnem mindegyike érintett a COSO különböző komponenseinek szintjén
Általános kontroll területek A pénzügyi beszámolási folyamatokban használt IT rendszerekre vonatkozóan: Dokumentált szabályzatok Kockázatelemzés Információ biztonság: Logikai és fizikai biztonság Adatvédelem, hozzáférési jogok kezelése Mentések Üzletfolytonossági terv (BCP) Felelősségek szétválasztása Dokumentált és szabályozott változáskezelés Vezetőségi jelentések
Alkalmazásokba épített kontrollok Az alábbi üzleti folyamatokba használt alkalmazásokra vonatkozóan: Értékesítés Beszerzés Pénzügy Leltár, raktárkészlet kezelés Tárgyi eszköz HR, munkaügy
A megfelelés még csak a kezdet Fejlesztés Fenntartás Tesztelés és javítás Felkészülés A SOX 404 út
„Projekt”-től a „Program”-ig Hatékony belső kontroll vizsgálat, nyomon követési (monitoring)- és beszámoló készítési folyamat Integrált kockázat kezelés, pénzügyi és belső kontrollok monitoringja, dokumentáltság Technológia az integrált program megvalósításához Tisztán megfogalmazott munka- és felelősségi körök Oktatás, tréning a kontroll környezet megerősítése érdekében Rugalmasság a változások kezelésének érdekében
Megfontolandó kérdések Milyen új tevékenységeket és folyamatokat kell az IT-nak a SOX kontrollkörnyezetben kezelnie? Folyamatos dokumentálás, tesztelés, javító intézkedések, ellenőrzés és a kontrollok riportálása Hatékony számítógépes kontrollok működtetése Rendszer változások és a belső ellenőrzési rendszer integritása Új pénzügyi rendszerek bevezetésének időzítése A belső kontrollok működésének folyamatos átláthatósága és a pénzügyi információk alkalmazása A teljesítmény management és a megfelelőség konvergenciája
Megfontolandó kérdések Hogyan tudja az információ technológia a kontrollok és a pénzügyi beszámolás hatékonyságát javítani? Manuális kontrollok automatizálása Felelősségi körök megosztása Folyamatos auditálás IT üzleti folyamatok automatizálása A zárási és konszolidációs folyamatok felgyorsítása Jövőbeli előnyök
4) Kiszervezés – ki felelős a kontrollokért?
Kiszervezés A felelősség abban az esetben is a szervezet vezetőségéé, amennyiben a tevékenységet és a kontrollokat is külső szervezet végzi el! SOX követelmények kiszervezésre is! Sections 302 and 404 To put this session into context, we will look first at the requirements of the Act and the SEC rules, and then consider the Public Accounting and Oversight Boards (“PCAOB”) Approved Standard, Auditing Standard No. 2, An Audit of Internal Control Over Financial Reporting Performed in Conjunction With an Audit of Financial Statements, that was released on March 9, 2004. This Standard is not yet final as it still needs to go through the SEC approval process. The distinction between disclosure controls and financial reporting controls will be discussed in more detail on the next slide. Two other sections of the Act are relevant to internal control over financial reporting: s103 - stipulates specific requirements that must be included in the auditor’s report. s906 - requires the CEO and CFO to certify that all information contained within a periodic financial report fairly presents, in all material respects, the financial condition and results of operations of the issuer.
Záró gondolatok SOX-nak való megfelelés nem egy esemény, hanem egy folyamat Ez a folyamat egy jobb vállalatirányításhoz vezet és az információk minőségének javításához A magasabb minőségű információ befolyást gyakorol a cég értékére, szabályozásoknak való megfelelésekre és a vezetőségi irányításra Elsősorban hatékony üzleti folyamatokon keresztül jelenik meg, amit megfelelő informatikai technológia segítségével kompetens, etikus emberek hajtanak végre Az információ technológia létfontosságú a fenntartható SOX megfelelés és a SOX által biztosított hozzáadott érték elérése érdekében KEN
A Deloitte név a Deloitte Touche Tohmatsu svájci "Verein" és tagvállalatainak hálózatára utal, melyek mindegyike önálló, egymástól elkülönülő jogi személy. A Deloitte Touche Tohmatsu és tagvállalatai jogi struktúrájának részletes bemutatását a következő link alatt találja: www.deloitte.com/hu/magunkrol. © 2008 Deloitte Touche Tohmatsu. Minden jog fenntartva.