Итак, #sox , не все понимают, многие боятся, некоторые не осознают важности и тд.

Однако, сегодня я бы хотела поговорить про SOX, как контрольную культуру, как возможность, нежели бремя.

Начнём с того, что опишем, какие преимущества получает компания , которая находится в SOX scope:

⏺️доверие международных инвесторов

⏺️повышение стоимости капитала и акций (если , конечно вы при этом не погрязли в скандалах)

⏺️доверие поставщиков, клиентов, общества

⏺️повышение зрелости на рынке

⏺️возможность привлечь более квалифицированные кадры

⏺️наличие описания всех значительных бизнес процессов

⏺️в целом , имиджевый эффект

Где преимущества, там и недостатки:

🔽большие затраты на содержание

🔽нет права на ошибку

🔽меньшая мобильность и свобода

🔽бОльшая забюрократизированность

🔽постоянное напряжение

Однако, SOX очень помогает взращивать и контрольную и не побоюсь этого слова, корпоративную культуру

Почему же?

✔️компания не склонна делать поспешных решений, которые могут испортить ее контрольную среду или имидж

✔️контрольные функции компании услышаны, и поэтому корректирующие действия внедряются с большим ранением (однако, не хочу тут обобщать, очень много зависит от руководства контрольных функций)

✔️руководство склонно идти по пути комплайенс

✔️выделяется бюджет на инициативы

Кажется, что SOX - прям чудо-чудное, диво -дивное 😎

Однако, вам , как человеку внедряющему контроли, нужно быть готовым к тому, что

☑️каждое движение должно быть выверено , ибо это стоит компании денег

☑️контроль ради контроля - будет тут выявлен и вы будете жестоко за это наказаны 🤪

☑️фокус на существенные зоны должен быть максимально прицеленным и точным

☑️коммуникация, умение внедрять и управлять изменения - ваши основные скиллы

☑️книга по конфликт менеджменту должна лежать на вашем прикроватном столике 😉

☑️стейкхолдер менеджмент - туда же

☑️улыбка, харизма, чувство юмора - ваши друзья

Итак, SOX или корпоративная ответственность перед инвесторами, акционерами, клиентами, поставщиками и сотрудниками.

Это о том, что ваша финансовая отчетность не только отражает ваши реальные показатели, но и про то, что ваша контрольная среда способствует тому, что данные заложенные в финансовую отчетность не несут в себе ошибки (намеренной или преднамеренной), риска манипуляции и фрода

Очень часто слышу такое «у нас обязательный финансовый аудит ежегодно, все подтверждено, чем же тут помогает SOX?”

✔️во- первых ставить знак равенства между финансовым аудитом и аудитом контрольной среды в корне неверно

✔️во -вторых, SOX - это законодательство для листингующихся компаний и отчет по эффективности контрольной среды напрямую идет в SEC (Securities and exchange commission) или иными словами, уважаемые внутренние аудиторы, представьте, что ваш отчет шел бы не СД , а в министерство финансов, центральный банк или налоговую, ну чтобы понимать масштаб 😝

✔️акционеры и инвесторы будут смотреть в первую очередь на результаты такого аудита, а потом уж фин отчетность. Так что цена ошибки тут выше (вплоть до уголовного наказания)

Кстати мне наверное можно сказать «посчастливилось», я видела кейс нарушения и применения SEC штрафа вживую

✔️в SOX оцениваются контроли, которые должны четко митигировать риски, которые определила для себя компания и которые еще и присущи отрасли. Так что от фонаря поставленные риски тут тоже не пройдут

✔️документация -четко регламентирована - матрица рисков и контролей, диаграммы бизнес процессов и нарратив бизнес процесса

✔️тестирование бинарное - pass or fail. Полутонов не имеется. Однако, есть нюанс, если ключевой контроль failed (а аудиту подлежат только ключевые контроли), то аудиторы предложат потестировать компенсирующие контроли, если и тут fail, то они расширят выборку, за что выставят вам нехилый инвойс и потом уж точно FAILED

✔️внутренний аудит также тестирует контроли до того как это сделает внешний аудит и это важно, так как цена ошибки велика.

✔️внутренний аудит также может проводить и полный анализ всех контролей (не только колчевых), если контрольная зрелость в компании низкая, также для self assessment полезен отдел внутреннего контроля

✔️аудит проводится по двум знакомым направления - дизайн и операционная эффективность- классика

И как это зачастую бывает больно 😣 , особенно тем, кто эти изменения внедряют, а если ты еще и из assurance - пиши пропало

И это то, в чем сейчас живу я.

✔️надо: повышать контрольную среду и становится #sox

❌боль: мы раньше делали так, мышечная память и тд

✔️надо: дополнительные контроли и ответственность

❌боль: мы задыхаемся в работе итак

✔️надо: SOX - это и возможность автоматизировать процессы и сделать их лучше

❌боль: подождите! А где тот мой сраный Excel , к которому я привык за Х лет

✔️надо: повышать ИТ безопасность, везде должен быть аудиторский след

❌ боль: а че Excel не сохраняет это что ли? Ну придумайте что-то, вам же не чем больше заняться

И эту цепочку можно продолжать без конца 🫣

Однако, в итоге, что важно?

✅важно то, чтобы менеджмент создал у людей желание это попробовать. И да! Desire создает менеджмент

✅важно, чтобы от менеджера шел абсолютно понятный месседж : это нужно, ты в безопасности, на твою территорию никто не посягает

✅играть в хорошего и плохого полицейского категорически запрещается. Это как один родитель учит , другой жалеет

✅не ждите, что все будет гладко , это нормально

✅верьте в то, что вы делаете