今年,我们将庆祝萨班斯-奥克斯利法案出台18周年。绰号为SOX,SOA或Sarbox的法案已经达到了大多数,就年龄而言就是。
没有欢呼或掌声?真正地?也许这是由于错过了预期……
确实有人会预料到,在18岁时,SOX将准备好自己的翅膀飞行,因此不再是控制和合规部门最初通过时的负担(资源方面)。不幸的是,一切似乎都与事实相去甚远。
我非常关注Protiviti关于SOX合规成本及其2019年发布的基准,基准SOX成本、工时和控制,如何做淘客,我发现最有趣的发现是:"总体而言,SOX合规工时继续上升。"。很明显,索克斯仍然是一个躺在沙发上需要关注的青少年。
拿着2018年的报告,分析每个关键控制所花费的平均时间,我们得到了29.3小时。这当然包括控制的所有步骤,从设计到评估和审查:
但现在是痛苦的比较。将Protiviti 2019年的数据应用到同一个图表中,令人震惊的是,每一个类别在完成任务所需的时间方面实际上都有所增加:
为什么会有这样的增长?
根据报告,持续增加执行控制的时间以及控制本身数量的原因与新的会计准则、关于控制的管理审查的新指南以及最后但肯定不是最不重要的,实施和测试控制时考虑网络威胁的要求
可以做什么?又回到了基础!
当我15年前第一次开始研究GRC软件解决方案时,很明显,市场是由SOX要求和全球相关的公司治理法规驱动的。COSO II ERM的引入在一定程度上改变了路径,大数据挖掘,云服务器是什么,并将要求重新集中在基于风险管理的更积极主动的方法上,但控制仍然是当然的核心。
从那时起,许多法规已经发布,新的指南发布,什么叫云,更加关注GRC的一个或另一个领域,在许多情况下,控制管理被认为是足够成熟的。
然而,这仍然是令人惊讶的,至少对我来说,要看到关键的SOX基础,如职责分离管理,仍然主要是手动执行的。
在当今越来越多的混合IT环境中,流程在不同的平台上执行–有些在云端,有些在本地,我个人认为,我们需要重新调整我们的工作重点,实施一项修订后的控制实践,该实践将自动监控应用流程的源系统中的信息。
2002年,我们没有合适的技术来这样做。因此,事后控制是最佳选择。今天,返利机器人怎么做,我们可以将控制直接放在流程执行本身中,因此使其更加主动。我们可以将其自动化,从而降低资源密集度。
如果您有兴趣了解更多信息,或者只是进行公开讨论,请在SAP内部控制会议上与我联系,合规与风险管理于2020年3月在哥本哈根举行。