Bagian Sarbanes-Oxley 404: Penilaian pengendalian internal [ sunting ]

Informasi lebih lanjut: SOX 404 penilaian risiko top-down

Aspek yang paling kontroversial dari SOX adalah Pasal 404, yang mengharuskan manajemen dan
auditor eksternal untuk melaporkan kecukupan pengendalian internal perusahaan pada pelaporan
keuangan (ICFR). Ini adalah aspek yang paling mahal dari undang-undang bagi perusahaan untuk
melaksanakan, mendokumentasikan dan pengujian panduan keuangan yang penting dan kontrol
otomatis membutuhkan usaha yang sangat besar.
[32]

Menurut Pasal 404 dari Undang-Undang, manajemen diperlukan untuk menghasilkan "laporan
pengendalian internal" sebagai bagian dari setiap laporan Exchange Act tahunan. Lihat 15 USC
7262 . Laporan ini harus menegaskan "tanggung jawab manajemen untuk membangun dan
memelihara struktur pengendalian internal yang memadai dan prosedur untuk pelaporan
keuangan."15 USC 7262 (a) . Laporan ini juga harus "berisi penilaian, pada akhir tahun fiskal
terbaru dari Perusahaan , efektivitas struktur pengendalian intern dan prosedur penerbit untuk
pelaporan keuangan. " Untuk melakukan hal ini, manajer umumnya mengadopsi kerangka kerja
pengendalian internal seperti yang dijelaskan dalam COSO .
Untuk membantu meringankan biaya tinggi kepatuhan, bimbingan dan praktek terus
berkembang. The Perusahaan Akuntan Publik Dewan Pengawas (PCAOB)
disetujui Auditing Standard No 5 untuk kantor akuntan publik pada tanggal 25 Juli 2007.
[33]
Standar
ini menggantikan Auditing Standard No 2, panduan awal yang diberikan pada tahun 2004. SEC juga
menerbitkan pedoman penafsiran nya
[34]
pada tanggal 27 Juni 2007. Hal ini umumnya konsisten
dengan bimbingan PCAOB, tapi dimaksudkan untuk memberikan panduan bagi manajemen. Baik
manajemen dan auditor eksternal bertanggung jawab untuk melakukan penilaian mereka dalam
konteks penilaian risiko top-down , yang mengharuskan manajemen untuk dasar kedua lingkup
penilaian dan bukti yang dikumpulkan pada risiko. Ini memberikan manajemen diskresi yang lebih
luas dalam pendekatan penilaian. Kedua standar bersama-sama membutuhkan manajemen untuk:
Menilai kedua desain dan efektivitas operasi pengendalian internal yang dipilih berkaitan dengan
pos penting dan pernyataan yang relevan, dalam konteks risiko salah saji material;
Memahami aliran transaksi, termasuk aspek IT, secara cukup rinci untuk mengidentifikasi titik-titik
di mana salah saji yang bisa muncul;
Evaluasi (entity level) kontrol, yang sesuai dengan komponen dari perusahaan-
tingkat COSO framework;
Melakukan penilaian risiko fraud;
Mengevaluasi pengendalian yang dirancang untuk mencegah atau mendeteksi kecurangan ,
termasuk manajemen override kontrol;
Evaluasi kontrol selama periode-end keuangan proses pelaporan;
Skala penilaian didasarkan pada ukuran dan kompleksitas perusahaan;
Mengandalkan kerja manajemen berdasarkan faktor-faktor seperti kompetensi, objektivitas, dan
risiko;
Simpulkan atas kecukupan pengendalian internal atas pelaporan keuangan.
SOX 404 biaya kepatuhan merupakan pajak pada inefisiensi, mendorong perusahaan untuk
memusatkan dan mengotomatisasi sistem pelaporan keuangan mereka. Hal ini terlihat dari
perbandingan biaya perusahaan dengan operasi desentralisasi dan sistem, dibandingkan dengan
mereka dengan terpusat, sistem yang lebih efisien. Sebagai contoh, tahun 2007 Eksekutif Keuangan
Internasional (FEI) survei menunjukkan biaya kepatuhan rata-rata untuk perusahaan desentralisasi
adalah $ 1,9 juta sedangkan biaya perusahaan terpusat adalah $ 1,3 juta.
[35]
Biaya mengevaluasi
prosedur kontrol manual yang drastis dikurangi melalui otomatisasi.