今年，我们将庆祝萨班斯-奥克斯利法案出台18周年。绰号为SOX，SOA或Sarbox的法案已经达到了大多数，就年龄而言就是。

没有欢呼或掌声？真正地？也许这是由于错过了预期……

确实有人会预料到，在18岁时，SOX将准备好自己的翅膀飞行，因此不再是控制和合规部门最初通过时的负担（资源方面）。不幸的是，一切似乎都与事实相去甚远。

我非常关注Protiviti关于SOX合规成本及其2019年发布的基准，基准SOX成本、工时和控制，如何做淘客，我发现最有趣的发现是："总体而言，SOX合规工时继续上升。"。很明显，索克斯仍然是一个躺在沙发上需要关注的青少年。

拿着2018年的报告，分析每个关键控制所花费的平均时间，我们得到了29.3小时。这当然包括控制的所有步骤，从设计到评估和审查：

但现在是痛苦的比较。将Protiviti 2019年的数据应用到同一个图表中，令人震惊的是，每一个类别在完成任务所需的时间方面实际上都有所增加：

为什么会有这样的增长？

根据报告，持续增加执行控制的时间以及控制本身数量的原因与新的会计准则、关于控制的管理审查的新指南以及最后但肯定不是最不重要的，实施和测试控制时考虑网络威胁的要求

可以做什么？又回到了基础！

当我15年前第一次开始研究GRC软件解决方案时，很明显，市场是由SOX要求和全球相关的公司治理法规驱动的。COSO II ERM的引入在一定程度上改变了路径，大数据挖掘，云服务器是什么，并将要求重新集中在基于风险管理的更积极主动的方法上，但控制仍然是当然的核心。

从那时起，许多法规已经发布，新的指南发布，什么叫云，更加关注GRC的一个或另一个领域，在许多情况下，控制管理被认为是足够成熟的。

然而，这仍然是令人惊讶的，至少对我来说，要看到关键的SOX基础，如职责分离管理，仍然主要是手动执行的。

在当今越来越多的混合IT环境中，流程在不同的平台上执行–有些在云端，有些在本地，我个人认为，我们需要重新调整我们的工作重点，实施一项修订后的控制实践，该实践将自动监控应用流程的源系统中的信息。

2002年，我们没有合适的技术来这样做。因此，事后控制是最佳选择。今天，返利机器人怎么做，我们可以将控制直接放在流程执行本身中，因此使其更加主动。我们可以将其自动化，从而降低资源密集度。

如果您有兴趣了解更多信息，或者只是进行公开讨论，请在SAP内部控制会议上与我联系，合规与风险管理于2020年3月在哥本哈根举行。