GRC周二:SOX年满18岁，但仍需要更多关注!

今年，我们要庆祝18岁生日^th萨班斯-奥克斯利法案推出的周年纪念日。这个绰号为SOX、SOA或Sarbox的法案，就年龄而言已经达到了多数。

没有欢呼或掌声?真的吗?也许这是由于没有达到预期……

事实上，人们会期望，在18岁时，SOX将准备好自己飞翔，因此不再像它最初通过时那样(在资源方面)负担控制和合规部门。不幸的是，事实似乎并非如此。

我是Protiviti关于SOX合规成本和2019年发布的基准的忠实追随者，对SOX成本、工时和控制进行基准测试，再一次有趣地揭示了与这一规定相关的成本。

我发现最有趣的发现如下:总的来说，SOX遵守时间继续增加”。所以很明显，SOX仍然是一个躺在沙发上需要关注的青少年。

根据2018年的报告，分析每个键控制的平均时间，我们得出了29.3小时的结论。这当然包括控制的所有步骤，从设计到评估和审查:

但现在出现了痛苦的对比。将Protiviti 2019年的数据应用到同一图表中，令人惊讶的是，就完成任务所需的时间而言，每个类别实际上都增加了:

你可能会问为什么会有这样的增长?

根据该报告，实施控制的时间和控制本身的数量持续增加背后的原因与新的会计准则、有关控制管理审查的新指导，以及在实施和测试控制时考虑网络威胁的要求有关。

我们能做些什么?这是回归基本!

当我15年前第一次开始研究GRC软件解决方案时，很明显市场是由SOX需求和相关的全球公司治理法规驱动的。COSO II ERM的引入在某种程度上改变了路径，并将需求重新集中在基于风险管理的更主动的方法上，但当然控制仍然是事情的核心。

从那时起，政府发布了许多法规和新的指导方针，更多地关注GRC的一个或另一个领域，在许多情况下，控制管理被认为是足够成熟的。

然而，至少对我来说，看到关键的SOX基础(如职责分离管理)仍然主要是手动执行的，这仍然令人惊讶。

在当今越来越多的混合IT环境中，流程在不同的平台上执行——有些在云中，有些在OnPremise中，我个人认为我们需要重新集中精力，实现一个经过修订的控制实践，在应用流程的源系统中自动监控信息。

在2002年，我们没有合适的技术来做到这一点。事实证明，控制是最好的选择。今天，我们可以将控制直接置于流程执行本身中，因此使其更具前瞻性。我们可以自动化它，从而减少资源密集。

如果你有兴趣了解更多，或者只是有一个开放的讨论，请来见我在SAP内部控制、合规和风险管理会议2020年3月在哥本哈根举行。

我期待着在那里见到你，或者在这个博客或Twitter上阅读你的想法和评论@TFrenehard