Стандарт SOX не містить переліку конкретних елементів керування. Натомість він вимагає від організацій визначати власні засоби контролю для досягнення цілей регулятора. Це може включати, наприклад, контроль доступу, управління змінами, розподіл обов’язків, рішення з кібербезпеки та системи резервного копіювання.
Контроль доступу користувачів є ключовим компонентом SOX. По суті контроль доступу включає організації, які контролюють дозволи у своїх фінансових системах і хто може отримати доступ і маніпулювати даними, пов’язаними з фінансовими операціями. Хоча контроль доступу зазвичай асоціюється з паролями, це більше, ніж це.
Сфера застосування: засоби контролю SOX мають вузьку сферу, головним чином зосереджені на фінансових операціях і звітності. Контроль, не пов’язаний із SOX, має ширший спектр, охоплюючи операційні процеси, ІТ-системи, людські ресурси та інші сфери, пов’язані з бізнесом.
SOX прагне запобігти корпоративному шахрайству, встановлюючи суворі нормативні вимоги щодо того, як організації захищають фінансову документацію від підробки, і робить аудиторів більш незалежними від своїх клієнтів.
Більшість компаній використовують чотири етапи тестування SOX як частину аудиту відповідності SOX.
- Крок 1: Початкова оцінка.
- Крок 2: Проміжне тестування.
- Крок 3: Тестування на кінець року.
- Крок 4: Тестування незалежними аудиторами.
- Виконайте аналіз ризику шахрайства.
- Внутрішній та зовнішній аудит.
- Керуйте ключовими елементами керування.