انطباق با SOX: راهنمای عملی برای آمادگی شرکت‌ها

مقدمه‌ای بر انطباق با SOX

هنگامی که شرکت‌ها تصمیم به ورود به بازار عمومی می‌گیرند، چه از طریق عرضه اولیه عمومی (IPO) سنتی و چه از طریق شرکت‌های تملک با هدف خاص (SPAC)، یک وجه مشترک دارند: همه آنها باید با قانون ساربینز-آکسلی (SOX) مصوب سال ۲۰۰۲ انطباق داشته باشند. با وجود اولویت‌های رقابتی و سایر الزامات عرضه عمومی، تمرکز بر انطباق با SOX می‌تواند چالش‌برانگیز باشد. در حالی که رعایت این مقررات فدرال سال‌هاست برای شرکت‌های سهامی عام الزامی است، شرکت‌ها ممکن است هنوز با نحوه آماده‌سازی عملی و انطباق با آن دست و پنجه نرم کنند. در این مقاله، بررسی خواهیم کرد که انطباق با SOX به طور عملی برای یک شرکت به چه معناست و چگونه یک شرکت می‌تواند با تمرکز بر افراد، فرآیند و فناوری برای آن آماده شود.

قانون ساربینز-آکسلی (SOX) چیست؟

SOX یک قانون فدرال ایالات متحده است که در ۳۰ ژوئیه ۲۰۰۲ تصویب شد و چندین اصلاحات را برای افزایش مسئولیت‌پذیری شرکت‌ها، افشای اطلاعات مالی و مبارزه با کلاهبرداری‌های شرکتی و حسابداری الزامی کرد. از جمله موارد دیگر، SOX هیئت نظارت بر حسابداری شرکت‌های سهامی عام (PCAOB) را تأسیس کرد، مجازات‌های مربوط به کلاهبرداری شرکتی را تشدید نمود، الزامات کنترل داخلی خاصی را برای مدیریت تعیین کرد و الزاماتی را برای حسابرسان مستقل جهت تأیید ارزیابی مدیریت از کنترل‌های داخلی وضع نمود. برای درک بهتر الزامات، بیایید بر بخش‌های ۳۰۲، ۴۰۴ و ۹۰۶ تمرکز کنیم.

الزامات کلیدی بخش‌های مختلف SOX

• بخش ۳۰۲: مدیرعامل و مدیر مالی موظفند در پایان هر دوره گزارشگری فصلی و سالانه، گواهی‌نامه‌های خاصی را امضا کنند. این گواهی‌نامه‌ها تأیید می‌کنند که گزارش حاوی اطلاعات نادرست نیست، وضعیت مالی شرکت را به درستی نشان می‌دهد و مسئولیت طراحی و نگهداری کنترل‌های افشا و کنترل‌های داخلی بر گزارشگری مالی را بر عهده دارند.
• بخش ۴۰۴: این بخش مدیرعامل و مدیر مالی را ملزم می‌کند که در پایان هر دوره گزارشگری سالانه، مسئولیت خود را برای ایجاد، نگهداری و آزمایش اثربخشی کنترل‌های داخلی بر گزارشگری مالی (ICFR) مستند و ارزیابی کنند. این ارزیابی باید همراه با گزارش تأیید حسابرسان مستقل باشد.
• بخش ۹۰۶: این بخش مدیرعامل و مدیر مالی را ملزم به صدور گواهی‌نامه‌ای می‌کند که تمامی گزارش‌های مالی (اعم از سالانه و دوره‌ای) وضعیت مالی و نتایج عملیات شرکت را به درستی نشان می‌دهند و با الزامات قانون مطابقت دارند. عدم رعایت این بخش، مجازات‌های کیفری سنگینی را در پی دارد.

زمان‌بندی اعمال این بخش‌ها به شرایط خاص شرکت شما بستگی دارد. عواملی مانند بلوغ محیط کنترل داخلی فعلی، تعداد سیستم‌های گزارشگری مالی متفاوت و تعداد شعب، همگی می‌توانند بر مدت زمان لازم برای دستیابی به انطباق با SOX تأثیر بگذارند.

مسیر دستیابی به انطباق با SOX

مسیر انطباق با SOX ممکن است طولانی و دلهره‌آور به نظر برسد. یک راه برای مدیریت این فرآیند، تقسیم آن به مراحل مشخص است:

1. تعیین دامنه، ارزیابی و تعریف: با انجام یک ارزیابی ریسک بر اساس عوامل کیفی و کمی شروع کنید تا مهم‌ترین حوزه‌ها شناسایی شوند. این کار به تمرکز تلاش‌ها و تعریف دامنه پروژه کمک می‌کند.
2. شناسایی و مستندسازی کنترل‌ها: فرآیندهای اصلی را درک کرده، جریان معاملات را مستند کنید، ریسک‌ها را شناسایی کرده و کنترل‌های موجود یا مورد نیاز را مشخص نمایید.
3. انجام تست کنترل‌ها: کنترل‌های پیاده‌سازی شده را آزمایش کنید تا از اثربخشی عملکرد آن‌ها اطمینان حاصل کنید و کنترل‌های ناکارآمد را شناسایی نمایید.
4. اجرای فرآیند اصلاح: لیستی از کنترل‌های ناقص یا ناکارآمد تهیه کنید، شدت آن‌ها را ارزیابی و اولویت‌بندی نمایید. برای هر مورد، مسئول تعیین کرده و یک نقشه راه برای اصلاح ایجاد کنید.
5. نظارت، صدور گواهی و تأیید: یک برنامه برای نظارت مستمر و ارزیابی کنترل‌ها تدوین کنید و فرآیندی برای صدور گواهی توسط صاحبان کنترل جهت حمایت از گواهی‌های فصلی و سالانه مدیرعامل و مدیر مالی ایجاد نمایید.

نقش افراد، فرآیند و فناوری

تمرکز بر افراد

داشتن منابعی با مهارت و اختیار مناسب در سراسر سازمان حیاتی است. مسئولیت کنترل‌های داخلی مؤثر فراتر از بخش مالی و حسابداری است. مدل سه خطی مؤسسه حسابرسان داخلی (IIA) به شفاف‌سازی نقش‌ها کمک می‌کند:

• خط اول: مدیریت عملیاتی که ریسک‌ها را مدیریت می‌کند.
• خط دوم: واحدهای پشتیبانی مانند انطباق و مدیریت ریسک که نظارت می‌کنند.
• خط سوم: حسابرسی داخلی که اطمینان‌بخشی مستقل ارائه می‌دهد.

مدیرعامل و مدیر مالی شخصاً مسئول گواهی‌های SOX هستند و باید اطمینان حاصل کنند که فرآیندهای لازم برای جمع‌آوری اطلاعات دقیق در محل وجود دارد.

تمرکز بر فرآیند

بخش 404(a) مدیریت را ملزم به ایجاد یک ساختار کنترل داخلی مناسب بر اساس یک چارچوب مشخص می‌کند. رایج‌ترین چارچوب، چارچوب یکپارچه کنترل داخلی ۲۰۱۳ است که توسط کمیته سازمان‌های حامی کمیسیون تردوی (COSO) توسعه یافته است. این چارچوب دارای پنج جزء است:

• محیط کنترلی
• ارزیابی ریسک
• فعالیت‌های کنترلی
• اطلاعات و ارتباطات
• فعالیت‌های نظارتی

ایجاد “لحن مناسب در رأس سازمان” (Tone at the top) توسط رهبری برای تقویت فرهنگ صداقت و اخلاق ضروری است و یک کنترل مهم در سطح نهاد محسوب می‌شود.

منبع: این مقاله بر اساس محتوای منتشر شده توسط Deloitte با عنوان “SOX compliance: Are you ready? A practical approach to SOX readiness” تهیه و ترجمه شده است. اطلاعات تکمیلی از ecfr.gov استخراج شده است.