Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Education Center
    2. Vorschriften, Standards und Compliance

Was ist der Sarbanes-Oxley Act (SOX)?   

Geschrieben vonShruti Chandan 22 Minuten
Was ist der Sarbanes-Oxley-Act (SOX)?
Inhaltsverzeichnis

Der Sarbanes-Oxley Act (SOX) ist ein Bundesgesetz, das 2002 vom US-Kongress verabschiedet wurde, um Wirtschaftsbetrug zu verhindern und Aktionäre und die Öffentlichkeit vor Bilanzierungsfehlern zu schützen. Ziel ist es, die Genauigkeit der Finanzberichterstattung von Unternehmen zu verbessern. 

SOX-Compliance bezeichnet die Einhaltung der Regeln und Anforderungen des Sarbanes-Oxley Acts von 2002 durch ein Unternehmen. Finanzberichterstattung, Informationssicherheit und Audit-Regelungen sind notwendig, um eine ordnungsgemäße Unternehmensführung durch Transparenz, Integrität und Rechenschaftspflicht zu fördern und so Unternehmensbetrug zu reduzieren. Dieses Compliance-System erfordert interne Kontrollen, umfassende Dokumentation und interne Prüfungen, um die Richtigkeit und Sicherheit von Informationen zu gewährleisten und den Anforderungen von Investoren und Aufsichtsbehörden gerecht zu werden.   

In Fällen wie Enron, WorldCom und W. CraigheadFührungskräfte manipulierten Finanzdaten, um Schulden zu verschleiern, Gewinne aufzublähen und Investoren zu täuschen. Dies führte zu einer falschen Einschätzung der Rentabilität, was letztendlich zu massiven Verlusten führte, als die Wahrheit ans Licht kam. Dieser Skandal deckte auch Schwachstellen in der Unternehmensführung und der Rechenschaftspflicht in der Finanzberichterstattung auf.    

Was sind die Ziele von SOX?

Gemäß dem Sarbanes-Oxley Act sind die leitenden Angestellten eines Unternehmens, insbesondere der Chief Executive Officer (CEO) und der Chief Financial Officer (CFO), verpflichtet, die Richtigkeit der Jahresabschlüsse persönlich zu überprüfen und sicherzustellen, dass diese frei von finanziellen Falschaussagen sind. Abschnitt 302 Gemäß Artikel 10 dieses Gesetzes sind diese Führungskräfte für die Überprüfung der Finanzzahlen der Organisation und der Wirksamkeit ihrer internen Kontrollen verantwortlich. Mit ihrer Unterschrift übernehmen sie die persönliche Verantwortung für die Integrität der Berichte.  

Sollten später Ungenauigkeiten oder betrügerische Praktiken entdeckt werden, drohen empfindliche Strafen, darunter Geld- und Freiheitsstrafen. Diese Bestimmung gewährleistet Transparenz, Rechenschaftspflicht und Vertrauen in die Finanzberichterstattung.   

Um die SOX-Vorschriften einzuhalten, müssen Unternehmen interne Kontrollsysteme implementieren, um finanzielles Fehlverhalten zu verhindern. Darüber hinaus sollten die Kontrollen ständig überprüft und überwacht werden, um die Integrität des Unternehmens zu gewährleisten.  

Eine kurze Übersicht über die SOX 11-Titel

Der Sarbanes-Oxley Act ist ein umfassendes Dokument mit 11 Abschnitten (auch als Titel bezeichnet), die sich jeweils mit einem anderen Element der Unternehmensführung und der finanziellen Rechenschaftspflicht befassen.

1. Aufsichtsbehörde für öffentliche Unternehmen (PCAOB) 

Öffentliche Unternehmen unterliegen obligatorischen Wirtschaftsprüfungen, die vom Public Company Accounting Oversight Board (PCAOB) überwacht werden. Das PCAOB ist für die Entwicklung von Richtlinien und Standards für die Erstellung von Prüfungsberichten verantwortlich. Es setzt diese Standards strikt durch und leitet bei Bedarf eine Untersuchung ein.  

Der Vorstand überwacht auch die Aktivitäten unabhängiger Wirtschaftsprüfungsgesellschaften, die diese Prüfungen durchführen.  

2. Unabhängigkeit des Abschlussprüfers 

Dieser Titel enthält neun Abschnitte, die die Unabhängigkeit des Abschlussprüfers betonen, indem sie die Anforderungen zur Vermeidung von Ergebniskonflikten festlegen. Er untersagt den Abschlussprüfern die Erbringung von Nichtprüfungsleistungen für ihre Kunden. Darüber hinaus sieht er eine einjährige Karenzzeit vor, bevor Abschlussprüfer als Führungskräfte für ehemalige Kunden tätig werden dürfen. 

3. Unternehmensverantwortung 

Titel III unterstreicht die persönliche Verantwortung, indem er von CEOs und CFOs eine Bestätigung der Richtigkeit ihrer Jahresabschlüsse verlangt. Dies bedeutet, dass Führungskräfte direkt für die Richtigkeit und Vollständigkeit der Jahresabschlüsse des Unternehmens haften. Dies sorgt für mehr Transparenz und verringert Unternehmensbetrug. 

4. Erweiterte Finanzinformationen 

Unter diesem Titel müssen Unternehmen mehr Informationen zu ihren Offenlegungen offenlegen, beispielsweise zu Insiderhandel, außerbilanziellen Transaktionen und Pro-forma-Gewinnen. Schnelle und zuverlässige Offenlegungen helfen Anlegern, die Gesundheit eines Unternehmens einzuschätzen, sodass sie eine fundierte Entscheidung darüber treffen können, ob sie in ein bestimmtes Unternehmen investieren sollten. 

5. Interessenkonflikte von Analysten

Der Titel zielt darauf ab, das Vertrauen der Anleger in die Analystenberichte zu stärken. Dazu gehört die Offenlegung jeglicher Interessen sowie Verhaltensregeln und die Auseinandersetzung mit Konflikten in der Finanzanalyse. Alles soll der Öffentlichkeit zugänglich gemacht werden, von Analystenportfolios bis hin zu Unternehmenszahlungen. 

6. Ressourcen und Befugnisse der Kommission 

Es verleiht der US-amerikanischen Regulierungsbehörde Securities and Exchange Commission (SEC) mehr Macht, Verstöße gegen Wertpapiergesetze durch Makler, Berater oder sogar Händler zu ahnden, was die Rechtspraxis und die Marktkontrolle verbessert.  

7. Studien und Berichte 

Veranlasst die SEC und den General Controller mit verschiedenen Studien zu den Marktpraktiken. Diese dienen der Bewertung der Corporate Governance des Emittenten und der Bewertung unethischer Praktiken bei Investmentbanken, Wirtschaftsprüfungsgesellschaften und Ratingagenturen. Diese Berichte minimieren das Betrugsrisiko im Finanzökosystem. 

8. Verantwortlichkeit für Unternehmensbetrug und kriminellen Betrug 

Dieser Titel sieht strenge Strafen für Betrug vor, einschließlich des Verbergens, Veränderns oder Vernichtens von Finanzunterlagen, was zu einer Freiheitsstrafe von bis zu 20 Jahren führen kann. Darüber hinaus sieht er Geldstrafen und Strafen für jeden vor, der bei der Täuschung von Aktionären hilft.

9. Strafverschärfungen bei Wirtschaftskriminalität 

Die sechs Bestimmungen dieses Titels sehen höhere Strafen für Straftaten vor, die von Wirtschaftsfachleuten begangen werden, darunter auch die Nichtbescheinigung von Finanzberichten. Die strengeren Strafen sollen Fehlverhalten eindämmen und die Verantwortlichkeit von Führungskräften stärken. 

10. Körperschaftsteuererklärungen 

Dieser Titel besagt, dass die Geschäftsführer die Steuererklärungen der Organisation persönlich unterschreiben müssen. Dies geschieht, um die Verantwortung der Führungskräfte für die Abgabe korrekter Steuererklärungen sicherzustellen und Steuerbetrug zu verhindern. 

11. Verantwortlichkeit für Unternehmensbetrug 

Dieser Titel besteht aus sieben Abschnitten. Darin heißt es, dass Unternehmensbetrug strafbar ist und für betrügerische Aktivitäten verschiedene Strafen verhängt werden. Die SEC erhält Ressourcen, um Unternehmensbetrug zu bekämpfen und gleichzeitig Sanktionen gegen Personen zu verhängen, die verdächtige Transaktionen durchführen. 

SOX-Kontrollen und Compliance-Anforderungen

SOX-Kontrollen dienen als wichtiges Sicherheitsnetz und schützen Unternehmen, indem sie das Risiko von Fehlern und betrügerischen Aktivitäten in Finanzberichten minimieren. Sie fungieren als interner Mechanismus, der die Ausgewogenheit, Genauigkeit und Wahrhaftigkeit des Finanzberichtssystems gemäß den Gesetzen und Branchenstandards gewährleistet.  

Viele Organisationen nutzen das COSO-Framework (Committee of Sponsoring Organizations), um SOX-Kontrollen zu implementieren. Es umfasst die Verwendung detaillierter interner Kontrollen und des Risikomanagements. 

Der Schwerpunkt des COSO-Rahmens liegt auf:  

  • Risikomanagement, d. h. die Prozesse zur Bewertung und Minimierung jeglicher Bedrohungen für die Genauigkeit und Vollständigkeit von Finanzinformationen.

  • Datenintegrität zur Wahrung der Vertrauenswürdigkeit, Vollständigkeit und Gültigkeit von Finanzinformationen.

  • Die Einhaltung der Vorschriften wird durch regelmäßige Überprüfung externer und interner Anforderungen überwacht.

Durch die Nutzung des COSO-Frameworks können Unternehmen daher strenge SOX-Compliance-Kontrollen implementieren, die die Grundlage für eine transparente und vertrauenswürdige Finanzberichterstattung stärken. 

Der Kern von SOX  

Abschnitt 404 ist nach wie vor der wichtigste Aspekt des SOX. Dieser Abschnitt verpflichtet Unternehmen, ihre internen Finanzkontrollen jährlich zu dokumentieren und zu testen, um deren Wirksamkeit nachzuweisen. Dadurch trägt er dazu bei, die Kontrolle über die Unternehmen zu behalten und – was noch wichtiger ist – zu verdeutlichen, dass ein starkes Kontrollumfeld für die Finanzberichte des Unternehmens besteht.  

Warum ist SOX wichtig? 

Der Enron-Skandal

Enron nutzte sogenannte Eggshell-Techniken, um hohe Schulden zu verschleiern. So konnte das Unternehmen vor seinem endgültigen Zusammenbruch seine Gewinne übertreiben, was den Investoren erhebliche finanzielle Verluste bescherte. Der Wirtschaftsprüfungsgesellschaft Arthur Andersen gelang es nicht, dieses Verbrechen aufzudecken oder zu verhindern. Um ähnliche Vorfälle in Zukunft zu vermeiden, stellt SOX sicher, dass diese beiden Funktionen innerhalb derselben Firma vollständig getrennt sind, sodass sie bei der Erstellung des erforderlichen Berichts unvoreingenommen sind.  

Maßgeschneiderte Verschlüsselungsdienste

Wir bewerten, entwickeln Strategien und implementieren Verschlüsselungsstrategien und -lösungen.

Mehr erfahren

Was ist ein SOX-Compliance-Audit?

Ein SOX-Compliance-Audit bewertet die internen Kontrollen eines Unternehmens, um sicherzustellen, dass sie den Anforderungen und Vorschriften des Sarbanes-Oxley Act entsprechen, insbesondere in Bezug auf Jahresabschlüsse und IT-Sicherheit. Prüfer beginnen in der Regel mit einer Überprüfung der Gestaltung und Struktur der Kontrollen eines Unternehmens, um potenzielle Schwachstellen oder Lücken zu identifizieren. Ein erfolgreich bestandenes SOX-Audit stärkt das Vertrauen externer Stakeholder in die Transparenz, Rechenschaftspflicht und Genauigkeit der Finanzberichterstattung des Unternehmens. Dies gewährleistet nicht nur die Compliance, sondern stärkt auch den Ruf des Unternehmens in Bezug auf Vertrauenswürdigkeit und Zuverlässigkeit bei Investoren und Aufsichtsbehörden.  

Wird beispielsweise das IT-System eines Unternehmens aufgrund mangelnder Kontrollen gehackt, kann dies zu finanziellen Ungenauigkeiten führen. SOX-Audits sollen diese Schwachstellen identifizieren und die Sicherheit der Finanzinformationen gewährleisten.  

Der SOX-Audit-Prozess 

Die SOX-Prüfung ist ein Verfahren zur Bewertung der Integrität der Finanzberichterstattungsprozesse eines Unternehmens. Dieser Prozess ist zwar sehr detailliert, lässt sich aber in vier Hauptphasen unterteilen: 

1. Entwurf eines Vorschlags für die SOX-Auditarbeit

In der ersten Phase jeder Sarbanes-Oxley (SOX)-Prüfung wird der Prüfungsumfang präzise festgelegt. Dieser definiert die Grenzen und Schwerpunkte der Prüfung, einschließlich der zu bewertenden Finanzprozesse, Systeme, Compliance-Kontrollen und Risiken. Dies ermöglicht eine fokussiertere und effizientere Bewertung und steht im Einklang mit den Rechnungslegungsstandards Nr. 5 des Public Company Accounting Oversight Board (PCAOB), die den Top-down-Prüfungsansatz unterstützen.  

Der Top-Down-Audit-Ansatz beginnt mit einer Bewertung auf hoher Ebene und verengt diese schrittweise auf die feineren Details, d. h. er beginnt mit der Betrachtung des Gesamtbildes und geht dann zu spezifischen Einzelheiten über.  

Der erste Schritt besteht üblicherweise darin, die wichtigsten Stakeholder zu identifizieren und erste Informationsgespräche mit den relevanten Stakeholdern zu führen. Anschließend werden die wichtigsten Interessensgebiete fokussiert.     

  • Konten, bei denen die Wahrscheinlichkeit eines Fehlers in der Finanzberichterstattung höher ist.

  • Kritische Vermögenswerte können die Finanzzahlen stark beeinflussen.

  • Kritische Vermögenswerte können die Finanzzahlen stark beeinflussen.

  • Wichtige Systeme und Prozesse, die für die Bereitstellung von Finanzinformationen von entscheidender Bedeutung sind.

Ziel dieses Schrittes ist es, potenzielle Risiken für die Genauigkeit und Qualität der Finanzberichterstattung proaktiv zu identifizieren und zu bewerten. Mit diesem Ansatz wird der Prüfungsumfang so gestaltet, dass er die Faktoren, die ein Risiko für die zuverlässige Finanzberichterstattung darstellen könnten, einschätzt, die Ursachen dieser Risiken identifiziert und ihre potenziellen Auswirkungen auf das Unternehmen bewertet. Diese Phase, bekannt als Kontrollmaßnahmen Erwartung, stellt sicher, dass alle wesentlichen Risiken oder Verzerrungen erkannt und behoben werden, bevor sie von den internen Kontrollsystemen des Unternehmens ungelöst oder unbemerkt bleiben. Letztlich stärkt es die Integrität der Finanzberichterstattung, indem es ein wirksames Management potenzieller Probleme gewährleistet.  

2. Bestimmung der Wesentlichkeit im SOX

Diese Prüfungsphase ist sinnvoll, da Sie sich so ausschließlich auf die relevanten Aspekte der Finanzberichterstattung konzentrieren können. Im Folgenden sind die vier wichtigsten Verfahren vereinfacht dargestellt: 

Schritt 1: Identifizieren Sie, was wesentlich ist

Der erste Schritt besteht darin, die Posten in der Gewinn- und Verlustrechnung und der Bilanz zu bestimmen, die als „wesentlich“ angesehen werden können. Dies sind die Posten, deren Auslassung oder falsche Darstellung die wirtschaftlichen Entscheidungen der Adressaten beeinflussen könnte.  

Normalerweise messen Wirtschaftsprüfer die Wesentlichkeit, indem sie einen Prozentsatz der wesentlichen Konten heranziehen, beispielsweise 5 % des Gesamtvermögens oder 3–5 % des angegebenen Betriebseinkommens.  

Schritt 2: Materialkontostände nach Standort suchen

Führen Sie die gleichen Schritte für die Finanzen aller Geschäftsabteilungen durch. Sollten Kontostände die in Schritt 1 genannten Schwellenwerte überschreiten, werden diese Abteilungen im nächsten Jahr in die SOX-Compliance-Aktivitäten einbezogen.  

Schritt 3: Identifizieren Sie wichtige Transaktionen

Führen Sie ein Meeting mit Ihrem Controller und den Prozessverantwortlichen durch, um die Transaktionen zu skizzieren, die sich auf diese Materialkontostände auswirken.   

Schritt 4: Risiken der Finanzberichterstattung bewerten

Inhärente Risiken sind Risiken, die aufgrund der Art des Geschäfts oder seines Umfelds bestehen und möglicherweise zu falschen Angaben im Jahresabschluss führen können. Diese Risiken ergeben sich aus Faktoren, die außerhalb der Kontrolle interner Kontrollen oder Prüfungsverfahren liegen und die Genauigkeit der Finanzberichterstattung erheblich beeinträchtigen können. 

3. Identifizierung von SOX-Kontrollen

Bei der Durchführung der Wesentlichkeitsanalyse sollten sich die Prüfer auf die Ermittlung und Bewertung der Wirksamkeit von SOX-Kontrollen die das Risiko ungenauer Finanztransaktionen mindern. Dadurch stellen sie sicher, dass diese Kontrollen zu einem zuverlässigeren und transparenteren Finanzberichterstattungsprozess beitragen.   

i) Rollen- und Aufgabentrennung

Zu den wichtigsten Kategorien der SOX-Kontrollen gehört die Trennung von Rollen und Aufgaben. Diese Kontrolle stellt sicher, dass keine einzelne Person die vollständige Kontrolle über kritische Prozesse hat. Beispielsweise sollten verschiedene Personen an der Genehmigung einer Rechnung und der Buchung von Rechnungsbestandteilen beteiligt sein. Durch die Trennung dieser Verantwortlichkeiten verringert das Unternehmen das Risiko, dass eine Person Finanzdaten manipuliert oder betrügerische Aktivitäten begeht. 

ii) Transaktionsprüfung

Eine weitere Kategorie ist die Transaktionsprüfung. Sie umfasst die zeitnahe Überprüfung von Transaktionen durch prüfungsberechtigte Personen. Dies geschieht, um etwaige Abweichungen bei Finanztransaktionen zu erkennen. 

iii) Saldenbestätigungen

Saldenbestätigungen geben externen Prüfern die notwendige Sicherheit, dass die Kontostände mit dem gemeldeten Saldo übereinstimmen. Dies gewährleistet die Genauigkeit und Glaubwürdigkeit der Dokumentation. 

Wesentliche Konten erfordern häufig die Einrichtung mehrerer Kontrollen, um wirksamen Schutz vor ungenauen Jahresabschlüssen zu gewährleisten, die die Entscheidungsfindung der Stakeholder beeinflussen können (sogenannte wesentliche Falschaussagen). Es liegt in der Verantwortung der Organisation, die Wirksamkeit der Kontrollen zu bewerten und zu bestimmen, die die im gesamten System beteiligten Personen, Prozesse und Technologien unterstützen. Risiken sind nicht gleich Risiken, daher gibt es im Rahmen des SOX-Auditprozesses wesentliche und nicht wesentliche Kontrollen, wobei die wesentlichen Kontrollen die wichtigsten sind, um signifikante Risiken zu minimieren, die potenziell zu wesentlichen Falschaussagen im Jahresabschluss führen könnten.   

4. Durchführung einer Betrugsrisikobewertung  

Um einen sicheren Rahmen für die interne Kontrollpolitik zu entwickeln, müssen die verschiedenen Betrugsrisiken, wie beispielsweise fehlerhafte Jahresabschlüsse, bewertet werden, die im Unternehmen auftreten können. Um Betrug einzudämmen, müssen Unternehmen auf präventive Maßnahmen und Warnsignale setzen. Durch die Einführung und Durchsetzung strenger interner Kontrollen können Unternehmen die Wahrscheinlichkeit von Betrug proaktiv verringern und den Umgang mit solchen Vorfällen verbessern.    

Lassen Sie uns einige einfache politische Maßnahmen untersuchen, die Sie ergreifen können, um den oben genannten Betrug zu verhindern.

i) Aufgabentrennung

Betrug lässt sich leichter begehen, wenn eine Person sowohl die Mittel zur Begehung als auch zur Verschleierung des Fehlverhaltens besitzt. Das bedeutet, dass an der Ausführung und Verschleierung des Betrugs verschiedene Personen beteiligt sein müssen. Dies ist vergleichbar mit der Einrichtung interner Kontrollen.

ii) Kostenerstattungen

Ohne ein effektives Management der Mitarbeiterausgaben lässt sich Betrug im Unternehmen nur schwer vermeiden. Um dieses Problem zu lösen, müssen Erstattungsrichtlinien festgelegt und allen Beteiligten bekannt gemacht werden. Bevor Sie eine Erstattung beantragen, sollten Sie mehrere Genehmiger hinzuziehen, z. B. den Chef und weitere Teammitglieder.   

iii) Regelmäßiger Bankabgleich

Stellen Sie sicher, dass die in Ihren Unternehmensbüchern ausgewiesenen Kontostände regelmäßig mit denen der tatsächlichen Bank abgeglichen werden, um Abweichungen zu vermeiden. Dies hilft nicht nur bei der Aufdeckung von Betrug, sondern verhindert auch mögliche zukünftige Probleme wie Zahlungsverzögerungen oder Störungen der Buchhaltungsprozesse.

5. Verwalten der Prozess- und SOX-Kontrolldokumentation

Die in den Compliance-Prozessen vorhandenen Kontrollen sollten ebenfalls angemessen dokumentiert werden. Alle Aspekte der Schlüsselkontrollen müssen umfassend behandelt werden, einschließlich Definitionen, Implementierung, Leistung, Tests, Risiken, Populationen und Nachweisen. Die Verwaltung dieser Aspekte kann jedoch eine Herausforderung darstellen, da sich dasselbe Risiko über mehrere Prozesse und Einheiten erstrecken kann, was eine effektive Überwachung erschwert. Selbst ein kleines Versehen, wie das Vergessen eines Updates, kann zu erheblichem späteren Bereinigungsaufwand und potenziellen Kontrollfehlern führen.  

Um dieses Problem zu entschärfen, empfiehlt sich der Einsatz eines relationalen Datenbankmanagementsystems (RDBMS) als zentrales Repository. Im Gegensatz zu herkömmlichen Tabellenkalkulationssystemen kann SOX-konforme Software, die auf einer großen, integrierten Datenbank basiert, den gesamten Prozess rationalisieren. Dieser zentralisierte Ansatz ermöglicht die nahtlose Integration aller Programmfunktionen, reduziert den Bedarf an häufigen Updates und minimiert das Risiko übersehener Änderungen. Darüber hinaus ermöglichen RDBMS-basierte Systeme die Verarbeitung größerer Datenmengen in kürzerer Zeit, steigern die Effizienz und gewährleisten eine präzisere Überwachung und Berichterstattung der Kontrollen. Dadurch wird die Compliance verbessert und zukünftige Komplikationen reduziert.  

6. Testen der wichtigsten Steuerelemente

SOX-Kontrolltests werden durchgeführt, um die Wirksamkeit und Zuverlässigkeit der Kontrollen zu gewährleisten. Dabei geht es darum, nachzuweisen, dass die Tests so konzipiert sind, dass sie die Kontrollen bei ihrer Durchführung tatsächlich bewerten. Außerdem muss bestätigt werden, dass die als Prozessverantwortliche definierten Personen die Kontrollen während des Auditprozesses konsequent angewendet haben. Schließlich müssen die Tests nachweisen, dass die Kontrollen in der Lage sind, wesentliche Falschaussagen in Bereichen zu verhindern oder aufzudecken, in denen sie Schutz bieten sollen.  

Kontrolltests können auch mehrere Ansätze umfassen, darunter, jedoch nicht beschränkt auf, laufende Bewertungen, Beobachtungen, Interviews mit Prozessverantwortlichen, Transaktionsdurchläufe, Dokumentenprüfungen oder sogar die erneute Durchführung des Prozesses.  

7. Feststellung von Mängeln im SOX

Ein Prüfer, der eine bestimmte Lücke behebt, schafft ein „Problem“. Das Prüfteam muss entscheiden, ob es sich um ein Design- oder ein Implementierungsproblem handelt, das durch eine Umschulung gelöst werden kann. Es muss auch feststellen, ob es sich um einen Kontrollmangel handelt, der sorgfältiger behandelt werden muss, weil er mit einem höheren Risiko verbunden ist.  

8. Übermittlung des Managementberichts über die Kontrollen

Am Ende Ihrer SOX-Kontrollprüfung wird ein detaillierter Bericht für den Prüfungsausschuss erstellt. Während des gesamten Prozesses werden zahlreiche Informationen gesammelt. Der Bericht soll die Sicht des Managements zum Compliance-Status sowie entsprechende Nachweise enthalten.   

Der Bericht muss folgende Informationen enthalten: 

  • Meinung und Belege des Managements für diese Schlussfolgerung.

  • Eine Zusammenfassung der Bewertung des gewählten Ansatzes und der Ergebnisse.

  • Ergebnisse aller Einschätzungen, einschließlich unternehmensweiter IT- und Schlüsselkontrolle.

  • Die Kontrollausfälle, Kontrolllücken und die damit verbundenen Faktoren.

  • Die Eingaben des gesetzlichen Abschlussprüfers des Unternehmens.

Indem Sie diesen Ansatz kontinuierlich verfolgen und die erforderlichen Unterlagen und Verfahren anwenden, können Sie Ihre Compliance-Initiativen verbessern und auf allen Ebenen Ihres Unternehmens ein Gefühl der Eigenverantwortung fördern.  

Checkliste für SOX-Compliance-Audits

Hier ist eine allgemeine Checkliste, die für SOX-Compliance-Audits verwendet werden kann: 

1. Gewährleistung des Schutzes vor Manipulation sensibler Daten 

Es sollten Systeme installiert werden, die unbefugte oder absichtliche Änderungen an Finanzinformationen überwachen und melden. Dies gewährleistet die Integrität der Aufzeichnungen und verringert das Betrugsrisiko.  

2. Implementieren Sie den Kontrollzugriff 

Implementierung des Least-Privilege-Prinzips für sensible Daten. Unbefugte Personen sollten keinen Zugriff darauf haben. Durch den eingeschränkten Zugriff auf Finanzinformationen können Unternehmen Kontrolle unkontrollierter Änderungen und bewahren Sie die Integrität sensibler Daten.   

3. Eingeschränkter Zugang für Auditoren 

Wirtschaftsprüfer spielen eine wichtige und entscheidende Rolle bei der Einhaltung des SOX-Standards. Um ihre Objektivität zu wahren, sollten sie bei Bedarf Zugriff erhalten, um ihre Aufgaben effektiv erfüllen zu können. Dies ist eine sehr transparente Möglichkeit, die Finanzinformationen des Unternehmens zu schützen. 

4. Erkennen von Informationssicherheitsvorfällen 

Die Erkennung von Vorfällen im Zusammenhang mit der Informationssicherheit ist von größter Bedeutung. Es sollten Systeme installiert werden, die Sicherheitsverletzungen in Echtzeit erkennen und melden. Dies trägt dazu bei, mögliche Schäden zu verhindern und die Sicherheit der Finanzsysteme stets zu gewährleisten. 

5. Maßnahmen innerhalb des Finanzsystems verfolgen 

Die Nachverfolgung von Aktionen innerhalb des Finanzsystems ist für eine lückenlose Prüfspur unerlässlich. Jede bedeutende Transaktion muss mit Datum und Uhrzeit versehen sein und eine detaillierte Aufzeichnung enthalten, die von Prüfern und Compliance-Beauftragten verwendet wird, um die Richtigkeit und Vollständigkeit der Finanzdaten nachzuvollziehen. 

Folgen der SOX-Nichteinhaltung

Der Sarbanes-Oxley Act (SOX) sieht strenge Strafen für diejenigen vor, die sich nicht an seine Bestimmungen halten. Dazu gehören hohe Geld- und Gefängnisstrafen für CEOs und CFOs, die falsche Finanzberichte genehmigen. Dies garantiert, dass das Management des Unternehmens die Integrität der Finanzberichterstattung im Auge behält.  

Ein solcher spektakulärer Fall ereignete sich bei der HealthSouth Corporation, wo Führungskräfte die Gewinne um über 2 Milliarden Dollar übertrieben und den CEO Richard Scrushy als einen der Ersten im Rahmen des SOX-Gesetzes vor Gericht brachten.  

Ein Skandal, der die Notwendigkeit von SOX deutlich machte, war der von WorldCom. Das Unternehmen manipulierte Finanzunterlagen und überhöhte die Gewinne um fast 11 Milliarden Dollar. Dieser Skandal ruinierte nicht nur das Unternehmen, sondern verursachte auch große Verluste für Investoren und Mitarbeiter. 

Maßgeschneiderte Verschlüsselungsdienste

Wir bewerten, entwickeln Strategien und implementieren Verschlüsselungsstrategien und -lösungen.

Mehr erfahren

Vorteile der SOX-Compliance

Der SOX schafft Vertrauen in die Integrität veröffentlichter Jahresabschlüsse und regt so zu Investitionen an. Er stärkt die Glaubwürdigkeit von Unternehmen und Investoren und trägt so zu einem sichereren Investitionsumfeld bei, indem er die Richtigkeit der Daten gewährleistet.  

Darüber hinaus verpflichtet SOX Unternehmen zur Implementierung wirksamer interner Kontrollen, was zu einer effizienteren Leistung hinsichtlich Genauigkeit und Zuverlässigkeit der Finanzunterlagen führt. Eine möglichst genaue und vollständige Finanzberichterstattung reduziert das Risiko von Fehlern und Betrug. Dies verbessert das allgemeine Finanzmanagement und die Rechenschaftspflicht des Unternehmens.   

Wichtige Bestimmungen des Sarbanes-Oxley (SOX) Act von 2002

Der SOX wurde verabschiedet, um die Rechenschaftspflicht und Transparenz der Finanzberichterstattung zu stärken. Sehen wir uns die wichtigsten Abschnitte an: 

Abschnitt 302 

Eine der wichtigsten Bestimmungen ist Abschnitt 302, die einen leitenden Angestellten des Unternehmens dazu verpflichtet, persönlich die Richtigkeit der Jahresabschlüsse und die Einhaltung der Vorschriften der US-Börsenaufsichtsbehörde (SEK) Offenlegungsstandard. Beamte, die wissentlich falsche Finanzberichte unterzeichnen, müssen mit schweren Strafen, einschließlich Gefängnis, rechnen.  

Abschnitt 404  

Dies führt zur Notwendigkeit, interne Kontrollen für eine genaue Finanzberichterstattung einzurichten und aufrechtzuerhalten. Eine solche Verbesserung bringt Vorteile hinsichtlich der Rechenschaftspflicht, wird jedoch häufig wegen der damit verbundenen hohen Compliance-Kosten kritisiert.  
Um mehr zu erfahren, klicken Sie werden auf dieser Seite erläutert.

Abschnitt 802  

Abschnitt 802 befasst sich mit der Aufbewahrung von Unterlagen. Es verbietet die Vernichtung oder Fälschung von Unterlagen, definiert Aufbewahrungsfristen und identifiziert die aufzubewahrenden Geschäftsunterlagen (einschließlich elektronischer Kommunikation).  

Wer muss SOX einhalten?

Alle börsennotierten Unternehmen und ihre hundertprozentigen Tochtergesellschaften, die in den USA tätig sind, müssen die SOX-Vorschriften einhalten. Dies gilt auch für an US-Börsen notierte Unternehmen und deren Wirtschaftsprüfer. Darüber hinaus müssen Wertpapieranalysten und Wirtschaftsprüfungsgesellschaften, die Prüfungen bei börsennotierten Unternehmen durchführen, die SOX-Vorschriften einhalten.  

Obwohl private Unternehmen und gemeinnützige Organisationen im Allgemeinen nicht verpflichtet sind, sich an SOX zu halten, gibt es einige wichtige Ausnahmen. Beispielsweise müssen private Unternehmen, die eine Registrierungserklärung bei der SEC einreichen und einen Börsengang vorbereiten, SOX einhalten.   

Darüber hinaus schützt der SOX die Whistleblower in privaten Unternehmen, d. h. Mitarbeiter, die Dienstleistungen für öffentliche Unternehmen erbringen, sind geschützt, wenn sie Fehlverhalten oder Missstände im Zusammenhang mit ihren öffentlichen Kunden melden.  

SOX ist eine US-amerikanische Verordnung. Ihre Reichweite geht jedoch über die Grenzen der USA hinaus. Jedes ausländische Unternehmen, das in den USA geschäftlich tätig ist oder an einer US-Börse notiert ist, muss ebenfalls SOX einhalten. 

Herausforderungen bei der SOX-Compliance

Die häufigste Herausforderung für Unternehmen im Zusammenhang mit der SOX-Compliance ist Abhängigkeit von Tabellenkalkulationen und Endbenutzern. 

Was früher ein einfaches Buchhaltungsinstrument war, die sogenannte Tabellenkalkulation, ist heute integraler Bestandteil der meisten, wenn nicht sogar aller SOX-Prozesse. Sie verknüpft Daten und eliminiert manuelle Arbeit. Der Nachteil: Mit zunehmender Komplexität des Auditprozesses steigt auch der Grad der Kontrolle der Prozesse und jedes einzelnen Dokuments. Leider sind Tabellenkalkulationen in der Regel langsam, garantieren keine Effizienz und sind nicht einheitlich. 

Die Verwendung von Tabellenkalkulationen im Rahmen der SOX-Compliance birgt die folgenden Risiken: 

  • Versionskontrolle: Das Arbeiten mit älteren Versionen ist fehleranfällig.

  • Unvollständige Downloads: Es können Fehler auftreten, da nach einem fehlerhaften Download möglicherweise Daten fehlen.

  • Benutzerfehler: Das Eingeben falscher Informationen oder das unbeabsichtigte Löschen von Daten kann kostspielig sein.

  • Inkonsistente Datensätze: Das Erstellen einer Analyse auf der Grundlage fehlerhafter oder unvollständiger Informationen führt zu falschen Ergebnissen.

  • Fehlende Kommunikation: Die Prozessverantwortlichen haben meist keinen Zugriff auf wichtige Kontrollinformationen, da die Akten der internen Revision in der Regel auf den PCs der Prüfer gespeichert und nie weitergegeben werden. Das bedeutet, dass die Prüfer ihre Kontrollen nur dreimal im Jahr einsehen und daher nicht in die Prozesse integrieren.

  • Erhöhte Kosten und Ressourcen: Im Bereich Corporate Governance hat SOX einige grundlegende positive Veränderungen in der Finanzberichterstattung von Unternehmen mit sich gebracht, die Compliance-Kosten sind jedoch gestiegen. Laut den jährlichen Studien von Protiviti wurden diese Kosten auch durch die Implementierung neuer Systeme wie COSO und die sich wandelnden Anforderungen der Wirtschaftsprüfer in die Höhe getrieben.

Wie kann Encryption Consulting helfen?

Encryption Consulting unterstützt Unternehmen dabei, ihre Sicherheitslage zu verbessern und die Komplexität von Compliance-Vorschriften wie SOX zu bewältigen. NIST 2.0, FIPS 140-3 usw. Unsere Verschlüsselungsberatung umfassen gründliche Maschinenaudits und Einschätzungen um die Lücken in verschiedenen Prozessen zu identifizieren, die Ihr Unternehmen Compliance-Risiken aussetzen können.  

Wir sind spezialisiert auf die Entwicklung maßgeschneiderter Empfehlungen und Abhilfemaßnahmen Roadmaps die die während des Auditprozesses identifizierten Schwachstellen beheben. Diese Roadmaps enthalten Empfehlungen oder Sanierungspläne, um die durch die Schwachstellen verursachten Risiken zu minimieren und alle erforderlichen Vorschriften und Compliance-Standards einzuhalten. 

Indem wir Ihre Prozesse an die SOX-Anforderungen anpassen, unterstützen wir Unternehmen dabei, die Compliance zu erreichen, Risiken zu minimieren und ihre Sicherheitslage zu verbessern.

Fazit

SOX wird seit mehr als zwei Jahrzehnten erfolgreich umgesetzt und hat bis heute einen signifikanten Einfluss auf die Unternehmensführung. Unternehmen, die die SOX-Anforderungen erfüllen, profitieren von verbesserten internen Kontrollen, angemessener Rechenschaftspflicht und einem gesteigerten öffentlichen Vertrauen. Die Bedeutung der SOX-Compliance nimmt mit der Zeit zu; mit zunehmender Geschäftspraxis steigt auch der Bedarf an Transparenz und unternehmerischer Verantwortung in der globalen Wirtschaft.    

In einer gesunden Wirtschaft müssen Jahresabschlüsse genau und wahrheitsgetreu sein. Dies ist keine Frage guter Praxis, sondern einer funktionierenden Gesamtstruktur. 

Entdecken

Weitere Themen