Audyt SOX: Klucz do Zaufania Inwestorów

W dzisiejszym dynamicznym świecie biznesu, zaufanie inwestorów jest fundamentem stabilności i wzrostu każdej firmy, szczególnie tych notowanych na giełdzie. Ustawa Sarbanes-Oxley Act (SOX), wprowadzona w Stanach Zjednoczonych w 2002 roku, stała się kamieniem węgielnym w budowaniu tego zaufania, nakładając rygorystyczne wymagania dotyczące kontroli wewnętrznej i sprawozdawczości finansowej. Jednym z kluczowych elementów zapewnienia zgodności z SOX jest audyt SOX. Ale czym dokładnie jest audyt SOX i dlaczego jest tak istotny?

Czym jest Audyt SOX?

Audyt SOX, nazwany tak od Ustawy Sarbanes-Oxley Act, to systematyczna kontrola mająca na celu ocenę i potwierdzenie skuteczności kontroli wewnętrznej przedsiębiorstwa w zakresie sprawozdawczości finansowej. Jego głównym celem jest ochrona inwestorów poprzez zapewnienie, że sprawozdania finansowe są dokładne, rzetelne i wiarygodne. Audyt SOX jest zazwyczaj przeprowadzany przez zewnętrznych audytorów, często firmy audytorskie posiadające certyfikaty biegłego rewidenta. Audytorzy ci dokładnie analizują sprawozdania finansowe, mechanizmy kontroli wewnętrznej oraz procesy zachodzące w organizacji, aby upewnić się, że są one zgodne z obowiązującymi standardami regulacyjnymi.

Podczas audytu SOX, audytorzy koncentrują się na ocenie, czy kontrole wewnętrzne są efektywne w zapobieganiu i wykrywaniu nieprawidłowości finansowych, w tym potencjalnych oszustw. Przeprowadzają szczegółowe testy kluczowych transakcji finansowych, analizują dokumentację i oceniają przestrzeganie standardów i przepisów rachunkowości. Wynikiem audytu jest raport, który zawiera szczegółowe ustalenia, w tym wszelkie zidentyfikowane niedociągnięcia w kontroli wewnętrznej. Raport ten jest następnie przekazywany zarządowi, komitetowi audytu oraz innym zainteresowanym stronom zewnętrznym.

W efekcie, audyt SOX ma kluczowe znaczenie dla zwiększenia transparentności, odpowiedzialności i zaufania inwestorów do rynków finansowych. Poprzez weryfikację dokładności i wiarygodności sprawozdawczości finansowej i kontroli wewnętrznej, audyty te wzmacniają integralność ujawnień korporacyjnych i podtrzymują zaufanie do środowiska biznesowego.

Kluczowe Komponenty Audytu Zgodności z SOX

Audyty SOX wymagają rygorystycznych procedur audytorskich, rejestrowania i monitorowania, aby zapewnić zgodność z regulacjami określonymi w sekcjach 302, 404 i 409 Ustawy Sarbanes-Oxley. Kluczowe komponenty audytu zgodności z SOX obejmują:

Kontrole Wewnętrzne:

Kontrole dostępu: Audyt kontroli dostępu koncentruje się na monitorowaniu i rejestrowaniu dostępu użytkowników do wrażliwych danych i systemów finansowych. Obejmuje to śledzenie, kto ma dostęp do jakich informacji oraz zapewnienie, że uprawnienia dostępu są właściwie przypisane i regularnie weryfikowane.

Bezpieczeństwo IT: Audyt bezpieczeństwa IT monitoruje i rejestruje działania związane z ochroną informacji finansowych przed nieautoryzowanym dostępem, ujawnieniem, modyfikacją lub zniszczeniem. Obejmuje to monitorowanie zabezpieczeń, takich jak zapory ogniowe, systemy wykrywania włamań i mechanizmy szyfrowania.

Backup Danych: Audyt procesów backupu danych monitoruje i rejestruje działania związane z tworzeniem kopii zapasowych krytycznych danych finansowych oraz zapewnia integralność i dostępność kopii zapasowych. Obejmuje to śledzenie procedur backupu, częstotliwości tworzenia kopii zapasowych i weryfikacji integralności backupu.

Zarządzanie Zmianą: Audyt zarządzania zmianą monitoruje i rejestruje zmiany w systemach IT i aplikacjach, które mogą mieć wpływ na sprawozdawczość finansową. Obejmuje to śledzenie zmian w oprogramowaniu, konfiguracjach i procedurach oraz zapewnienie, że zmiany są właściwie autoryzowane, testowane i udokumentowane.

Aktywność Sieci i Baz Danych: Audyt aktywności sieci i baz danych monitoruje i rejestruje działania związane z dostępem, pobieraniem i manipulowaniem danymi finansowymi przechowywanymi w systemach sieciowych i bazach danych. Obejmuje to śledzenie ruchu sieciowego, zapytań do baz danych i transferów danych w celu wykrycia wszelkich nieautoryzowanych lub podejrzanych działań.

Aktywność Logowania, Kont i Użytkowników: Audyt aktywności logowania, kont i użytkowników monitoruje i rejestruje działania związane z procesami uwierzytelniania i autoryzacji użytkowników. Obejmuje to śledzenie logowania użytkowników, tworzenia kont, zmiany haseł i prób dostępu w celu identyfikacji wszelkich nieautoryzowanych lub podejrzanych działań.

Rodzaje Organizacji Wymagających Audytu SOX

Audyt SOX jest kluczowym wymogiem dla różnych typów organizacji, w tym:

• Spółki Publiczne z Siedzibą w USA: Są to podmioty, których papiery wartościowe są notowane na głównych amerykańskich giełdach, takich jak New York Stock Exchange (NYSE) lub NASDAQ.
• Spółki Publiczne spoza USA Prowadzące Działalność w USA: Niezależnie od lokalizacji, firmy handlujące swoimi papierami wartościowymi na rynkach amerykańskich muszą przestrzegać regulacji SOX.
• Spółki Prywatne Przygotowujące się do Pierwszej Oferty Publicznej (IPO): Firmy prywatne, które zamierzają wejść na giełdę i notować swoje papiery wartościowe na amerykańskich giełdach, muszą zapewnić zgodność ze standardami SOX przed IPO.
• Firmy Księgowe i Firmy Zewnętrzne Świadczące Usługi dla Powyższych: Każda firma księgowa lub zewnętrzny dostawca usług oferujący usługi spółkom publicznym podlegającym zgodności z SOX również musi przestrzegać standardów SOX. Dotyczy to firm świadczących usługi audytorskie, doradcze lub inne usługi profesjonalne związane ze sprawozdawczością finansową.

Audyty SOX podtrzymują transparentność, odpowiedzialność i integralność w sprawozdawczości finansowej, chroniąc interesy inwestorów, akcjonariuszy i innych interesariuszy. Firmy prywatne i organizacje non-profit również mogą podlegać audytom SOX w określonych sytuacjach:

• Wymagania stron trzecich: Partnerzy biznesowi, tacy jak kredytodawcy lub firmy ubezpieczeniowe, mogą wymagać audytu SOX w celu zapewnienia wiarygodności finansowej przy zatwierdzaniu pożyczek lub pokryciu ubezpieczeniowym.
• Due diligence dla inwestorów: Potencjalni inwestorzy lub nabywcy mogą zażądać zbadanych sprawozdań finansowych i zapewnień dotyczących kontroli wewnętrznej w celu oceny ryzyka przed inwestycją lub przejęciem.
• Regulacje stanowe: Niektóre stanowe organy regulacyjne ds. papierów wartościowych mogą rozszerzyć obowiązki zgodności z SOX na niektóre podmioty prywatne.

Ponadto firmy z znaczącymi udziałowcami zewnętrznymi lub zarejestrowanymi dłużnymi papierami wartościowymi również mogą przechodzić audyty SOX w celu utrzymania transparentności i odpowiedzialności.

Kluczowe Kroki do Sukcesu Audytu SOX

Poniżej przedstawiono 8 kluczowych kroków procesu audytu SOX, zaprojektowanych w celu zapewnienia solidnych kontroli finansowych, zgodności z przepisami i integralności sprawozdawczości:

1: Ocena Ryzyka i Określenie Zakresu Audytu

Na początku audytu SOX przeprowadzana jest dokładna i systematyczna ocena ryzyka. Proces ten ma na celu precyzyjne określenie zakresu audytu, zgodnie z rygorystycznymi standardami określonymi przez PCAOB (Public Company Accounting Oversight Board). Ten etap, zamiast być jedynie listą kontrolną protokołów regulacyjnych, jest strategicznie zaprojektowany, aby wyposażyć audytorów w narzędzia do zidentyfikowania potencjalnych ryzyk. Oceniają oni potencjalne konsekwencje tych ryzyk dla działalności organizacji. Poprzez dokładne zbadanie kontroli wewnętrznej organizacji, celem jest ustalenie ich skuteczności w ochronie przed nieścisłościami i przeoczeniami, które mogłyby zagrozić integralności finansowej organizacji.

2: Przeprowadzenie Analizy Istotności

Analiza istotności jest krytycznym krokiem w procesie audytu SOX. Jej celem jest zidentyfikowanie elementów finansowych, które mogłyby znacząco wpłynąć na decyzje interesariuszy.

Identyfikacja Kluczowych Elementów Finansowych: Ten krok koncentruje się na wskazaniu pozycji w bilansie i rachunku zysków i strat, które znacząco wpływają na decyzje interesariuszy. Chodzi o określenie istotności tych elementów, kształtujących oceny finansowe użytkowników.

Podejście Metodologiczne: Audytorzy stosują różne metody, w tym obliczanie proporcji kont sprawozdań finansowych w celu ustalenia progów istotności. Dokładnie analizują istotne salda kont i powiązane transakcje, oceniając kompleksowo ryzyko sprawozdawczości finansowej.

Kompleksowe Badanie Jednostek: Analiza istotności rozciąga się na jednostki biznesowe w celu zidentyfikowania sald kont przekraczających progi. Audytorzy badają transakcje przyczyniające się do powstania rozbieżności. Proces ten ma na celu odkrycie pierwotnych przyczyn zdarzeń ryzyka lub błędów, umożliwiając podjęcie skutecznych działań naprawczych i wzmocnienie integralności sprawozdawczości finansowej.

3: Wdrożenie Kontroli SOX

Audytorzy skrupulatnie identyfikują i dokumentują kontrole SOX w celu zapobiegania i wykrywania nieścisłości w rejestracji transakcji. Obejmuje to dokładne zbadanie istniejących procedur mających na celu zagwarantowanie dokładnego obliczania sald kont. Biorąc pod uwagę krytyczne znaczenie istotnych kont, może być konieczne zastosowanie wielu kontroli w celu zabezpieczenia przed potencjalnymi błędami w sprawozdaniach finansowych. Każda kontrola jest poddawana rygorystycznej analizie w celu ustalenia jej skuteczności i przydatności w ograniczaniu ryzyka związanego ze sprawozdawczością finansową. Ponadto proces wdrożenia podkreśla obecność kontroli i ich zgodność z celami organizacyjnymi i wymogami regulacyjnymi. Regularne monitorowanie i ocena zapewniają, że kontrole SOX pozostają solidne i dostosowane do zmieniającego się środowiska biznesowego i standardów zgodności.

4: Ocena Ryzyka Oszustw

Ocena ryzyka oszustw zajmuje kluczową pozycję w procesie audytu SOX. Jej głównym celem jest wskazanie i minimalizacja potencjalnych przypadków działalności oszukańczej, chroniąc w ten sposób integralność finansową. Poprzez dokładną ocenę, audytorzy zagłębiają się w systemy i procesy organizacji, identyfikując słabe punkty podatne na wykorzystanie w celach oszukańczych. Aby przeciwdziałać takiemu ryzyku, firmy wdrażają solidne kontrole wewnętrzne. Obejmują one rozdział obowiązków, kontrole dostępu i monitorowanie transakcji. Te środki proaktywnie odstraszają oszustwa i minimalizują ich negatywny wpływ na sprawozdania finansowe. Ostatecznie, ocena ta wykrywa zachowania oszukańcze i zwiększa zaufanie inwestorów. Pokazuje zaangażowanie w transparentność i skuteczne praktyki zarządzania ryzykiem.

5: Dokumentacja Kontroli SOX i Proces

Ustanowienie solidnego opisu kontroli i procesu dokumentacji ma kluczowe znaczenie dla osiągnięcia skutecznej zgodności z SOX. Obejmuje to dokładne opisanie działania kluczowych kontroli, w tym ich częstotliwości, metod testowania i powiązanych ryzyk. Jednak ze względu na złożoność, ręczna dokumentacja ryzyk i kontroli stwarza wyzwania i większe prawdopodobieństwo błędów. Aby temu zapobiec, nieocenione okazuje się wykorzystanie narzędzi automatycznych i standardowych szablonów. Takie narzędzia usprawniają proces dokumentacji, gwarantując dokładność i spójność na każdym kroku. Przyjmując takie podejście, organizacje zwiększają efektywność i umożliwiają łatwiejsze śledzenie i audyt kontroli. Ostatecznie wzmacnia to ramy zgodności, zapewniając przestrzeganie regulacji SOX i wzmacniając ogólną strukturę zarządzania organizacji.

6: Testowanie Kontroli

Aby zapewnić integralność kontroli SOX, konieczne jest rygorystyczne testowanie. Obejmuje to walidację skuteczności metod testowania, potwierdzenie, że kontrole są administrowane przez właściwych właścicieli procesów oraz ocenę ich skuteczności w ochronie przed istotnymi nieprawidłowościami. Metodologie testowania kontroli SOX obejmują szereg podejść:

• Ciągła Ocena i Obserwacja: Monitorowanie działań kontrolnych w czasie rzeczywistym w celu identyfikacji wszelkich odchyleń lub anomalii, które mogą wystąpić, umożliwiając szybkie działania naprawcze.
• Komunikacja z Właścicielami Procesów: Bezpośrednie zaangażowanie interesariuszy odpowiedzialnych za wykonywanie kontroli w celu zrozumienia ich wdrożenia, rozwiązania wszelkich obaw i zapewnienia zgodności z wymogami regulacyjnymi.
• Przegląd Transakcji: Dokładne zbadanie przepływu transakcji przez środowisko kontroli w celu ustalenia dokładności i skuteczności mechanizmów kontrolnych na różnych etapach procesu.
• Kontrola Dokumentacji: Szczegółowe badanie odpowiedniej dokumentacji, w tym polityk, procedur i dowodów wykonania kontroli, w celu weryfikacji przestrzegania ustalonych protokołów i standardów regulacyjnych.

Stosując te kompleksowe metody testowania, organizacje mogą wzmocnić swoje wysiłki w zakresie zgodności z SOX i złagodzić ryzyko nieścisłości lub rozbieżności finansowych.

7: Ocena Niedociągnięć

Oceniając niedociągnięcia w programie SOX, nacisk kładzie się na minimalizację ręcznego testowania i wysiłków zarządczych przy jednoczesnym utrzymaniu akceptowalnego poziomu niedociągnięć. Gdy audytorzy zidentyfikują luki w procesie testowania kontroli SOX, kluczowe staje się ich szybkie usunięcie. Ocena ta obejmuje ustalenie, czy niedociągnięcie wynikało z wady projektowej czy awarii operacyjnej oraz określenie, czy osiąga poziom istotnej słabości, wskazując na wyższy procentowy udział wariancji ryzyka. Organizacje mogą proaktywnie wzmocnić swoje kontrole wewnętrzne poprzez dokładną ocenę niedociągnięć i zapewnienie zgodności z regulacjami SOX.

8: Raport Kontroli

Raport kontroli SOX, obejmujący następujące elementy, służy jako kompleksowy dokument, który podkreśla osiągnięcia i identyfikuje obszary wymagające poprawy, wspierając ciągłe doskonalenie ram kontroli organizacji:

• Podsumowanie Wykonawcze i Opinia Zarządu: Przedstawienie zwięzłego przeglądu ustaleń i opinii zarządu na temat skuteczności kontroli wewnętrznej.
• Przegląd Ram i Dowodów: Szczegółowe zbadanie zastosowanych ram kontroli, w połączeniu z dowodami zebranymi podczas fazy testowania, zapewniające transparentność i odpowiedzialność.
• Wyniki Testów: Dokładne przedstawienie wyników uzyskanych z każdego przeprowadzonego testu, oferujące wgląd w wydajność i niezawodność środowiska kontroli.
• Identyfikacja Luk i Awarii: Rygorystyczna analiza w celu wskazania wszelkich niedociągnięć lub wad mechanizmów kontrolnych, wraz z badaniem ich przyczyn źródłowych.
• Ocena przez Audytora Zewnętrznego: Niezależna ocena przeprowadzona przez wykwalifikowanego audytora zewnętrznego, zapewniająca obiektywną perspektywę na adekwatność i skuteczność kontroli.

Jednak ręczne audyty SOX często wiążą się z uciążliwymi zadaniami, takimi jak analiza ogromnych ilości danych, dokumentowanie procedur kontrolnych i przeprowadzanie czasochłonnych procedur testowania. Ponadto zapewnienie skuteczności kontroli i szybkie usuwanie niedociągnięć może być trudnym zadaniem bez odpowiednich narzędzi i metodologii. Brak automatyzacji i scentralizowanej widoczności dodatkowo pogłębia te wyzwania, prowadząc do potencjalnych luk w zgodności i zwiększonego ryzyka audytu.

Jak Rozwiązania do Przeglądu Dostępu Mogą Pomóc w Audycie SOX?

Wprowadzenie rozwiązania do przeglądu dostępu oferuje usprawnione podejście do audytów SOX, rozwiązując problemy związane z ręcznymi procesami. Rozwiązania do przeglądu dostępu wykorzystują zaawansowane technologie do automatyzacji kluczowych aspektów procesu audytu, zapewniając organizacjom narzędzia potrzebne do przeprowadzania dokładnych i efektywnych audytów.

Ręczne przeprowadzanie audytów SOX może być czasochłonne, podatne na błędy i zasobochłonne. Często obejmuje złożone procesy, takie jak certyfikacja dostępu, polityki rozdziału obowiązków, monitorowanie w czasie rzeczywistym i kompleksowe przeglądy dostępu. Audyty ręczne mogą prowadzić do luk w zgodności, zwiększonego ryzyka oszustw i nieefektywności w zarządzaniu dostępem.

Zaawansowane rozwiązanie do przeglądu dostępu automatyzuje i usprawnia procesy w zakresie zgodności z SOX:

Zautomatyzowany Przegląd Dostępu:

• Zautomatyzowana Certyfikacja Dostępu: Rozwiązania automatyzują procesy certyfikacji dostępu, usprawniając ręczne wysiłki i zapewniając terminowe przeglądy. Zmniejsza to obciążenie administracyjne i zwiększa efektywność kontroli dostępu.
• Kompleksowy Przegląd Dostępu: Rozwiązania konsolidują dane związane z dostępem, zapewniając jasny wgląd podczas audytów. Pomaga to zespołom IT utrzymać zgodność i wzmocnić praktyki zarządzania dostępem.

Wymuszanie Rozdziału Obowiązków (SoD):

• Wdrażanie Polityk SoD: Rozwiązania wdrażają polityki SoD, aby zapobiegać konfliktom interesów, zapewniając bezpieczeństwo i zgodność z regulacjami, takimi jak SOX. Wzmacnia to ogólną postawę bezpieczeństwa i zmniejsza ryzyko działalności oszukańczej.
• Zautomatyzowane Procesy Przeglądu Dostępu: Rozwiązania automatyzują procesy przeglądu dostępu, oferując bogate w kontekst informacje do podejmowania świadomych decyzji. To proaktywne podejście wzmacnia zarządzanie zgodnością i zmniejsza prawdopodobieństwo naruszeń zgodności.

Monitorowanie i Alerty w Czasie Rzeczywistym:

• Alerty i Powiadomienia w Czasie Rzeczywistym: Rozwiązania zapewniają alerty w czasie rzeczywistym o konfliktowych rolach lub podejrzanych działaniach, umożliwiając natychmiastowe działanie. To proaktywne monitorowanie wzmacnia postawę bezpieczeństwa i ułatwia ciągłe dostosowywanie się do zgodności.
• Precyzja dzięki Planowanej Certyfikacji: Rozwiązania oferują funkcje planowanej certyfikacji, umożliwiając systematyczne przeglądy dostępu w oparciu o różne kryteria. Zapewnia to zgodność z mandatami regulacyjnymi, takimi jak SOX, i wzmacnia praktyki zarządzania dostępem.

Ogólnie rzecz biorąc, rozwiązania usprawniają procesy audytu SOX, zmniejszają ręczny wysiłek, łagodzą ryzyko związane z zgodnością i zapewniają bezpieczne i efektywne środowisko zarządzania dostępem.

SOX a Systemy SAP

W kontekście firm korzystających z systemów SAP, audyt SOX nabiera szczególnego znaczenia. System SAP, będący często kluczowym narzędziem w dużych przedsiębiorstwach do realizacji operacji finansowych i sprawozdawczości, staje się centralnym punktem kontroli SOX. Sposób funkcjonowania systemów SAP, ich funkcjonalność, procedury utrzymania i rozwoju mają istotny wpływ na zgodność z wymaganiami SOX. Obszary SAP, takie jak SAP FI (finanse), ale również inne, w których przetwarzane są dane finansowe, podlegają wymogom kontroli SOX. Wdrożenie standardów SOX może wymagać znaczących zmian w sposobie zbierania, przechowywania i zarządzania informacjami w systemach SAP.

Dlatego firmy decydujące się na wdrożenie standardów SOX powinny przeprowadzić kompleksowy audyt systemów SAP i IT, aby ocenić ich zgodność z SOX. Taki audyt powinien obejmować m.in.:

• Dostęp do programów i danych (system uprawnień SAP): Ocena polityki kontroli dostępu, zarządzania uprawnieniami użytkowników SAP, procedur rejestracji i wyrejestrowania użytkowników, zarządzania hasłami i regularnych przeglądów praw dostępu.
• Procedury odtworzeniowe i ciągłość działania SAP: Analiza planów ciągłości działania (Business Continuity Plan - BCP) i planów odtwarzania po awarii (Disaster Recovery Plan - DRP) dla systemów SAP, w tym procedur backupu, archiwizacji i przywracania systemów SAP.
• Zarządzanie zmianą w SAP: Ocena procesu zarządzania zmianą w systemach SAP, w tym procedur zgłaszania, zatwierdzania, testowania i wdrażania zmian w konfiguracji i funkcjonalności SAP.
• Rozwój funkcjonalności SAP a wymagania SOX: Ocena procesów wytwarzania oprogramowania i zarządzania projektami w kontekście rozwoju funkcjonalności SAP, zapewnienia bezpieczeństwa danych, kontroli zmian i dokumentacji.
• Ochrona stacji roboczych z dostępem do SAP: Ocena zabezpieczeń stacji roboczych, z których użytkownicy mają dostęp do systemów SAP, w tym zabezpieczeń przed złośliwym oprogramowaniem, konfiguracji bezpieczeństwa, backupu danych i polityk wymiany informacji.

Przeprowadzenie audytu IT/SAP pod kątem SOX, najlepiej z udziałem ekspertów zewnętrznych, pozwala firmom zidentyfikować obszary wymagające poprawy i wdrożyć niezbędne zmiany w systemach SAP i infrastrukturze IT, aby osiągnąć i utrzymać zgodność z wymaganiami SOX.

FAQ - Najczęściej Zadawane Pytania

1. Co oznacza skrót SOX?
   SOX to skrót od Sarbanes-Oxley Act, ustawy federalnej z 2002 roku w Stanach Zjednoczonych, która ma na celu ochronę inwestorów poprzez poprawę dokładności i wiarygodności ujawnień korporacyjnych.
2. Jakie są korzyści z audytu SOX?
   Główne korzyści z audytów SOX to:
   • Wzmocnienie transparentności i odpowiedzialności w sprawozdawczości finansowej.
   • Zmniejszenie ryzyka oszustw finansowych i nadużyć.
   • Poprawa praktyk zarządzania korporacyjnego.
   • Zwiększenie zaufania inwestorów do wiarygodności informacji finansowych.
   • Wzmocnienie kontroli wewnętrznej i procesów zarządzania ryzykiem.
3. Czy to audyt SOX czy SOC?
   To zależy od kontekstu. Audyty SOX, mandatowane przez Ustawę Sarbanes-Oxley, koncentrują się głównie na skuteczności kontroli wewnętrznej związanej ze sprawozdawczością finansową w spółkach publicznych. Z kolei audyty SOC oceniają kontrole systemowe w organizacjach, które mogą wpływać na bezpieczeństwo, dostępność, integralność przetwarzania, poufność i prywatność danych i systemów klientów.
4. Kto przeprowadza audyty SOX?
   Audyty SOX są zazwyczaj przeprowadzane przez zewnętrzne firmy audytorskie, które są niezależne od firmy poddawanej audytowi. Audytorzy ci oceniają skuteczność kontroli wewnętrznej nad sprawozdawczością finansową, aby zapewnić zgodność z wymaganiami Ustawy Sarbanes-Oxley. Działy audytu wewnętrznego w firmach również mogą odgrywać rolę w przeprowadzaniu testów i ocen SOX.
5. Jak model COSO jest powiązany z SOX?
   Model COSO (Committee of Sponsoring Organizations of the Treadway Commission) jest standardem wskazywanym jako punkt odniesienia przy kontroli wewnętrznej wynikającej z SOX. Ustawa SOX nie narzuca konkretnego modelu kontroli wewnętrznej, ale standardem de facto stał się model COSO, który jest szeroko akceptowany i zalecany jako ramy dla uzyskania zgodności z wymaganiami SOX. Model COSO obejmuje ramy kontroli wewnętrznej oraz dobre praktyki zarządzania ryzykiem korporacyjnym.

Jeśli chcesz poznać inne artykuły podobne do Audyt SOX: Klucz do Zaufania Inwestorów, możesz odwiedzić kategorię Audyt.