Bagian Sarbanes-Oxley 404: Penilaian pengendalian internal [ sunting ]
Informasi lebih lanjut: SOX 404 penilaian risiko top-down
Aspek yang paling kontroversial dari SOX adalah Pasal 404, yang mengharuskan manajemen dan auditor eksternal untuk melaporkan kecukupan pengendalian internal perusahaan pada pelaporan keuangan (ICFR). Ini adalah aspek yang paling mahal dari undang-undang bagi perusahaan untuk melaksanakan, mendokumentasikan dan pengujian panduan keuangan yang penting dan kontrol otomatis membutuhkan usaha yang sangat besar. [32]
Menurut Pasal 404 dari Undang-Undang, manajemen diperlukan untuk menghasilkan "laporan pengendalian internal" sebagai bagian dari setiap laporan Exchange Act tahunan. Lihat 15 USC 7262 . Laporan ini harus menegaskan "tanggung jawab manajemen untuk membangun dan memelihara struktur pengendalian internal yang memadai dan prosedur untuk pelaporan keuangan."15 USC 7262 (a) . Laporan ini juga harus "berisi penilaian, pada akhir tahun fiskal terbaru dari Perusahaan , efektivitas struktur pengendalian intern dan prosedur penerbit untuk pelaporan keuangan. " Untuk melakukan hal ini, manajer umumnya mengadopsi kerangka kerja pengendalian internal seperti yang dijelaskan dalam COSO . Untuk membantu meringankan biaya tinggi kepatuhan, bimbingan dan praktek terus berkembang. The Perusahaan Akuntan Publik Dewan Pengawas (PCAOB) disetujui Auditing Standard No 5 untuk kantor akuntan publik pada tanggal 25 Juli 2007. [33] Standar ini menggantikan Auditing Standard No 2, panduan awal yang diberikan pada tahun 2004. SEC juga menerbitkan pedoman penafsiran nya [34] pada tanggal 27 Juni 2007. Hal ini umumnya konsisten dengan bimbingan PCAOB, tapi dimaksudkan untuk memberikan panduan bagi manajemen. Baik manajemen dan auditor eksternal bertanggung jawab untuk melakukan penilaian mereka dalam konteks penilaian risiko top-down , yang mengharuskan manajemen untuk dasar kedua lingkup penilaian dan bukti yang dikumpulkan pada risiko. Ini memberikan manajemen diskresi yang lebih luas dalam pendekatan penilaian. Kedua standar bersama-sama membutuhkan manajemen untuk: Menilai kedua desain dan efektivitas operasi pengendalian internal yang dipilih berkaitan dengan pos penting dan pernyataan yang relevan, dalam konteks risiko salah saji material; Memahami aliran transaksi, termasuk aspek IT, secara cukup rinci untuk mengidentifikasi titik-titik di mana salah saji yang bisa muncul; Evaluasi (entity level) kontrol, yang sesuai dengan komponen dari perusahaan- tingkat COSO framework; Melakukan penilaian risiko fraud; Mengevaluasi pengendalian yang dirancang untuk mencegah atau mendeteksi kecurangan , termasuk manajemen override kontrol; Evaluasi kontrol selama periode-end keuangan proses pelaporan; Skala penilaian didasarkan pada ukuran dan kompleksitas perusahaan; Mengandalkan kerja manajemen berdasarkan faktor-faktor seperti kompetensi, objektivitas, dan risiko; Simpulkan atas kecukupan pengendalian internal atas pelaporan keuangan. SOX 404 biaya kepatuhan merupakan pajak pada inefisiensi, mendorong perusahaan untuk memusatkan dan mengotomatisasi sistem pelaporan keuangan mereka. Hal ini terlihat dari perbandingan biaya perusahaan dengan operasi desentralisasi dan sistem, dibandingkan dengan mereka dengan terpusat, sistem yang lebih efisien. Sebagai contoh, tahun 2007 Eksekutif Keuangan Internasional (FEI) survei menunjukkan biaya kepatuhan rata-rata untuk perusahaan desentralisasi adalah $ 1,9 juta sedangkan biaya perusahaan terpusat adalah $ 1,3 juta. [35] Biaya mengevaluasi prosedur kontrol manual yang drastis dikurangi melalui otomatisasi.