sox-testing

Par anthropics · knowledge-work-plugins

Générez des sélections d'échantillons SOX, des papiers de travail de test et des évaluations de contrôle. À utiliser lors de la planification des tests SOX 404 trimestriels ou annuels, de l'extraction d'un échantillon pour un contrôle (revenus, P2P, ITGC, clôture), de la création d'un modèle de papier de travail de test, ou de l'évaluation et de la classification d'une déficience de contrôle.

npx skills add https://github.com/anthropics/knowledge-work-plugins --skill sox-testing

Tests de Conformité SOX

Si vous voyez des placeholders peu familiers ou avez besoin de vérifier quels outils sont connectés, consultez CONNECTORS.md.

Important : Cette commande aide aux workflows de conformité SOX mais ne fournit pas de conseil en audit ou juridique. Tous les dossiers de travail et évaluations de test doivent être examinés par des professionnels financiers qualifiés avant utilisation dans la documentation d'audit.

Générez des sélections d'échantillons, créez des dossiers de travail de test, documentez les évaluations de contrôle, et fournissez des modèles de test pour les contrôles internes SOX 404 sur l'information financière.

Utilisation

/sox <domaine-controle> <periode>

Arguments

  • domaine-controle — Le domaine de contrôle à tester :
    • revenue-recognition — Contrôles du cycle ventes (commande-à-recouvrement)
    • procure-to-pay ou p2p — Contrôles des achats et AP (achat-à-paiement)
    • payroll — Traitement de la paie et contrôles de rémunération
    • financial-close — Contrôles de clôture de période et de reporting
    • treasury — Contrôles de gestion de trésorerie
    • fixed-assets — Contrôles du cycle de vie des immobilisations
    • inventory — Contrôles d'évaluation et gestion des stocks
    • itgc — Contrôles généraux informatiques (accès, gestion des changements, opérations)
    • entity-level — Contrôles au niveau entité et de suivi
    • journal-entries — Contrôles du traitement des écritures de journal
    • Tout ID ou nom de contrôle spécifique
  • periode — La période de test (p. ex., 2024-Q4, 2024, 2024-H2)

Workflow

1. Identifier les Contrôles à Tester

En fonction du domaine de contrôle, identifiez les contrôles clés. Présentez la matrice de contrôle :

Contrôle # Description du Contrôle Type Fréquence Clé/Non-Clé Risque Assertion
[ID] [Description] Manuel/Automatisé/Dépendant IT Quotidien/Hebdomadaire/Mensuel/Trimestriel/Annuel Clé Élevé/Moyen/Bas [CEAVOP]

Types de contrôle :

  • Automatisé : Contrôles appliqués par le système sans intervention manuelle
  • Manuel : Contrôles effectués par le personnel avec jugement
  • Manuel dépendant IT : Contrôles manuels qui reposent sur des données générées par le système

Assertions (CEAVOP) :

  • Complétude — Toutes les transactions sont enregistrées
  • Existence/Réalité — Les transactions ont réellement eu lieu
  • Accuratesse — Les montants sont correctement enregistrés
  • Valuation — Les actifs/passifs sont correctement évalués
  • Obligations/Droits — L'entité a des droits sur les actifs, des obligations pour les passifs
  • Présentation/Divulgation — Correctement classifiés et divulgués

2. Déterminer la Taille d'Échantillon

Calculez les tailles d'échantillon en fonction de la fréquence de contrôle et du risque :

Fréquence de Contrôle Taille de Population (approx.) Échantillon Recommandé
Annuel 1 1 (tester l'instance)
Trimestriel 4 2
Mensuel 12 2-4 (basé sur le risque)
Hebdomadaire 52 5-15 (basé sur le risque)
Quotidien ~250 20-40 (basé sur le risque)
Par transaction Varie 25-60 (basé sur le risque et volume)

Ajustez selon :

  • Niveau de risque : Les contrôles à risque plus élevé nécessitent des échantillons plus grands
  • Résultats d'années antérieures : Les contrôles ayant des déficiences antérieures ont besoin d'échantillons plus grands
  • Confiance : Les contrôles sur lesquels les auditeurs externes s'appuient peuvent nécessiter des échantillons plus grands

3. Générer la Sélection d'Échantillon

Sélectionnez les échantillons de la population en utilisant la méthode appropriée :

Sélection aléatoire (par défaut pour les contrôles au niveau transaction) :

  • Générez des nombres aléatoires pour sélectionner des éléments spécifiques de la population
  • Assurez la couverture sur toute la période

Sélection systématique (pour les contrôles périodiques) :

  • Sélectionnez les éléments à des intervalles fixes avec un point de départ aléatoire
  • Assurez la représentation de toutes les sous-périodes

Sélection ciblée (complément à aléatoire, pour le test basé sur le risque) :

  • Sélectionnez les éléments ayant des caractéristiques de risque spécifiques (montant élevé, inhabituel, fin de période)
  • Documentez le fondement des sélections ciblées

Présentez l'échantillon :

SÉLECTION D'ÉCHANTILLON
Contrôle : [ID du Contrôle] — [Description]
Période : [Période de test]
Population : [Nombre] d'éléments, $[Valeur totale]
Taille d'échantillon : [N] éléments
Méthode de sélection : [Aléatoire/Systématique/Ciblée]

| Échantillon # | Date de Transaction | Référence/ID | Montant | Fondement de Sélection |
|----------|-----------------|--------------|--------|-----------------|
| 1        | [Date]          | [Ref]        | $X,XXX | Aléatoire          |
| 2        | [Date]          | [Ref]        | $X,XXX | Aléatoire          |
| ...      | ...             | ...          | ...    | ...             |

4. Créer un Dossier de Travail de Test

Générez un modèle de test pour chaque contrôle :

DOSSIER DE TRAVAIL DE TEST DE CONTRÔLE SOX
==============================
Contrôle # : [ID]
Description du Contrôle : [Description complète de l'activité de contrôle]
Propriétaire du Contrôle : [Rôle/titre — à remplir par le testeur]
Type de Contrôle : [Manuel/Automatisé/Manuel Dépendant IT]
Fréquence : [Fréquence d'opération du contrôle]
Contrôle Clé : [Oui/Non]
Assertion(s) Pertinente(s) : [CEAVOP]
Période de Test : [Période]

OBJECTIF DU TEST :
Déterminer si [description du contrôle] a fonctionné efficacement durant la période de test.

PROCÉDURES DE TEST :
1. [Étape 1 — Ce qu'il faut inspecter, examiner ou réexécuter]
2. [Étape 2 — Quelles preuves obtenir]
3. [Étape 3 — Ce qu'il faut comparer ou vérifier]
4. [Étape 4 — Comment évaluer l'exhaustivité d'exécution]
5. [Étape 5 — Comment évaluer la rapidité d'exécution]

PREUVES ATTENDUES :
- [Type de document 1 — p. ex., formulaire d'approbation signé]
- [Type de document 2 — p. ex., capture d'écran système montrant l'examen]
- [Type de document 3 — p. ex., rapprochement avec signature du responsable]

RÉSULTATS DU TEST :

| Échantillon # | Ref | Procédure 1 | Procédure 2 | Procédure 3 | Résultat | Exception ? | Notes |
|----------|-----|-------------|-------------|-------------|--------|------------|-------|
| 1        |     | Conforme/Non | Conforme/Non | Conforme/Non | Conforme/Non | O/N    |       |
| 2        |     | Conforme/Non | Conforme/Non | Conforme/Non | Conforme/Non | O/N    |       |

EXCEPTIONS RELEVÉES :
| Échantillon # | Description d'Exception | Cause Racine | Contrôle Compensatoire | Impact |
|----------|----------------------|------------|---------------------|--------|
|          |                      |            |                     |        |

CONCLUSION :
[ ] Efficace — Le contrôle a fonctionné efficacement sans exceptions
[ ] Efficace avec exceptions — Le contrôle a fonctionné efficacement ; les exceptions sont isolées
[ ] Déficience — Le contrôle n'a pas fonctionné efficacement
[ ] Déficience Significative — La déficience est plus que négligeable
[ ] Faiblesse Majeure — Possibilité raisonnable que un écart matériel ne soit pas prévenu/détecté

Testé par : ________________  Date : ________
Examiné par : _______________  Date : ________

5. Fournir des Modèles de Contrôle Courants

En fonction du domaine de contrôle, fournissez des modèles de steps de test pré-intégrés :

Reconnaissance de Revenus :

  • Vérifier l'approbation et l'autorisation des bons de commande
  • Confirmer les preuves de livraison/performance
  • Tester le timing de reconnaissance des revenus par rapport aux termes du contrat
  • Vérifier l'exactitude des prix par rapport au contrat/liste de prix
  • Tester l'approbation et la validité des avoirs

Achat à Paiement :

  • Vérifier l'approbation et les limites d'autorisation des commandes
  • Confirmer le rapprochement triple (BC, réception, facture)
  • Tester les contrôles de modification des données du fichier fournisseur
  • Vérifier l'approbation des paiements et la séparation des tâches
  • Tester les contrôles de prévention des paiements en double

Clôture Financière :

  • Vérifier l'exhaustivité et la rapidité de rapprochement des comptes
  • Tester l'approbation des écritures de journal et la séparation des tâches
  • Vérifier l'examen par la direction des états financiers
  • Tester les écritures de consolidation et d'élimination
  • Vérifier la réalisation de la liste de vérification de divulgation

ITGC :

  • Tester le provisionnement et le déprovisionement des accès utilisateur
  • Vérifier les revues d'accès privilégiés
  • Tester l'approbation et le test de la gestion des changements
  • Vérifier le monitoring des travaux batch et la gestion des exceptions
  • Tester les procédures de sauvegarde et récupération

6. Documenter l'Évaluation du Contrôle

Classifiez toute déficience identifiée :

Déficience : Un contrôle ne permet pas à la direction ou aux employés de prévenir ou détecter les écarts en temps opportun. Considérez :

  • La probabilité d'écart
  • L'importance potentielle de l'écart
  • L'existence de contrôles compensatoires

Déficience Significative : Une déficience (ou combinaison) moins grave qu'une faiblesse majeure mais suffisamment importante pour mériter l'attention de ceux responsables de la surveillance.

Faiblesse Majeure : Une déficience (ou combinaison) telle qu'il existe une possibilité raisonnable qu'un écart matériel ne soit pas prévenu ou détecté en temps opportun.

7. Résultat

Fournissez :

  1. Matrice de contrôle pour le domaine sélectionné
  2. Sélections d'échantillons avec documentation de la méthodologie
  3. Modèles de dossier de travail de test avec steps de test pré-complétés
  4. Modèle de documentation des résultats
  5. Cadre d'évaluation des déficiences (si des exceptions sont identifiées)
  6. Actions de remédiation suggérées pour toute déficience relevée

Skills similaires

zoom-general
anthropics / knowledge-work-plugins

Classifier et chaîner les skills Zoom selon les signaux détectés dans une requête développeur.

12 097
posthog-inbound-leads
posthog / skills

Qualifier et répondre aux leads entrants PostHog via Salesforce, Vitally et recherche web.

34
box
box / box-for-ai

Intégrer les workflows de contenu Box via MCP, CLI, SDK ou REST selon le contexte.

5
copilot-cli-quickstart
github / awesome-copilot

Apprendre GitHub Copilot CLI interactivement via tutoriels guidés et Q&A personnalisés.

32 867
wix-manage
wix / skills

Gérer et configurer les entités Wix via des recettes d'API REST documentées.

11