Was ist der Sarbanes-Oxley Act (SOX)?

Was ist SOX-Compliance?

SOX-Compliance bezieht sich auf die Einhaltung des Sarbanes-Oxley Act (SOX), eines US-amerikanischen Bundesgesetzes, das 2002 erlassen wurde, um Investoren und Kunden vor betrügerischen Unternehmenspraktiken zu schützen. SOX-Compliance gewährleistet die Richtigkeit der Finanzberichte von Unternehmen, verbessert die Offenlegung von Finanzdaten und verhindert Buchhaltungsfehler und betrügerische Praktiken in Unternehmen. Das Gesetz wurde nach seinen Verfassern, dem US-Senator Paul Sarbanes (D-MD) und dem US-Abgeordneten Michael G. Oxley (R-OH), benannt. Die Grundsätze des SOX wurden 2002 auch in Deutschland gesetzlich verankert, sodass SOX auch für deutsche Unternehmen relevant ist.

Unternehmen sind verpflichtet, die Einhaltung der SOX-Vorschriften jährlich zu prüfen. Diese Audits werden von autorisierten unabhängigen Prüfern durchgeführt.

Im Rahmen dieser Audits werden die Jahresabschlüsse und internen Kontrollen des Unternehmens bewertet. Der Chief Executive Officer (CEO) und der Chief Financial Officer (CFO) müssen Erklärungen unterschreiben, in denen sie die Richtigkeit aller vorgelegten Informationen bestätigen.

Die SOX-Compliance ist nicht nur eine gesetzliche Verpflichtung, sondern auch eine gute Geschäftspraxis. Alle Unternehmen sollten sich ethisch korrekt verhalten und den Zugriff auf Finanzdaten beschränken. Die Einhaltung der SOX-Vorschriften hilft dem Unternehmen außerdem, sensible Daten vor Insider-Bedrohungen, Cyberangriffen und Sicherheitsproblemen zu schützen.

Die 11 Titel des SOX

Der SOX Act besteht aus elf Titeln. In jedem Titel wird detailliert beschrieben, was für die Einhaltung des SOX erforderlich ist. Nachfolgend finden Sie einen Überblick über das Gesetz mit Beschreibungen der Abschnitte, die die größten Auswirkungen auf Unternehmen haben.

Titel I: Aufsichtsbehörde über die Wirtschaftsprüfungsgesellschaften

In Titel I wird die Aufsichtsbehörde über die Wirtschaftsprüfungsgesellschaften beschrieben und erklärt, wie sie eine unabhängige Aufsicht über Wirtschaftsprüfungsgesellschaften, die Audits durchführen, gewährleistet. Außerdem wird ein kleineres Aufsichtsgremium geschaffen, das für die Registrierung von Wirtschaftsprüfern, die Festlegung der spezifischen Abläufe von Compliance-Audits, die Inspektion und Überwachung von Verhaltensweisen und die Qualitätskontrolle sowie die Durchsetzung der Einhaltung der Mandate des SOX zuständig ist.

Abschnitt 101. Einrichtung, Verwaltungsbestimmungen
Abschnitt 102. Registrierung bei der Behörde
Abschnitt 103. Standards und Vorschriften für die Prüfung, Qualitätskontrolle und Unabhängigkeit
Abschnitt 104. Inspektionen von registrierten Wirtschaftsprüfungsgesellschaften
Abschnitt 105. Untersuchungen und Disziplinarverfahren
Abschnitt 106. Ausländische Wirtschaftsprüfungsgesellschaften
Abschnitt 107. Aufsicht der Kommission über die Behörde
Abschnitt 108. Buchhaltungsstandards
Abschnitt 109. Finanzierung

Titel II: Unabhängigkeit des Wirtschaftsprüfers

In Titel II werden die Standards für die Unabhängigkeit externer Prüfer festgelegt, um Interessenkonflikte zu vermeiden. Er gibt auch Richtlinien für die Zulassung von neuen Prüfern, den Wechsel von Audit-Partnern und die Anforderungen an die Berichterstattung durch die Prüfer vor. Titel II definiert auch die Aufgabentrennung für Wirtschaftsprüfer, da dieselbe Firma keine Audits durchführen darf, die sich nicht auf die SOX-Compliance beziehen.

Abschnitt 201. Dienstleistungen außerhalb des Tätigkeitsbereichs von Wirtschaftsprüfern
Abschnitt 202. Vorabgenehmigungspflicht
Abschnitt 203. Wechsel der Prüfungspartner
Abschnitt 204. Berichte des Abschlussprüfers an den Prüfungsausschuss
Abschnitt 205. Conforming amendments
Abschnitt 206. Interessenkonflikte
Abschnitt 207. Studie über den verpflichtenden Wechsel von registrierten Wirtschaftsprüfungsgesellschaften
Abschnitt 208. Befugnisse der Kommission
Abschnitt 209. Erwägungen der zuständigen staatlichen Regulierungsbehörden

Titel III: Unternehmerische Verantwortung 

Titel III definiert die Verantwortlichkeiten von Führungskräften, insbesondere die individuelle Verantwortung für die Richtigkeit und Vollständigkeit der Finanzberichte von Unternehmen. Darüber hinaus wird das Zusammenspiel von externen Wirtschaftsprüfern und Prüfungsausschüssen geregelt und die Verantwortung von Führungskräften für die Richtigkeit und Gültigkeit der Finanzberichte von Unternehmen festgelegt. Dieser Teil der SOX-Gesetzgebung definiert auch den Verlust von Vorteilen und Strafen für die Nichteinhaltung.

Abschnitt 301. Prüfungsausschüsse öffentlicher Unternehmen
Abschnitt 302. Verantwortung des Unternehmens für Finanzberichte
Hier sind die wichtigsten Erkenntnisse aus Abschnitt 302:

• Öffentliche Unternehmen müssen Finanzberichte bei der SEC einreichen.
• CEOs and CFOs must certify that they have reviewed the report being submitted and that it “does not contain any untrue statements.”
  • Die unterzeichnenden Personen müssen bestätigen, dass interne Kontrollen vorhanden sind und innerhalb von 90 Tagen vor der Berichterstellung wirksam waren, um sicherzustellen, dass alle vom Unternehmen bereitgestellten Informationen korrekt und für die Prüfer zugänglich sind.
  • Etwaige „Mängel“ bei der Gestaltung oder Durchführung dieser internen Kontrollen wurden identifiziert und den Prüfern mitgeteilt.
  • Die Prüfer müssen über alle Änderungen informiert werden, die nach Vorlage des Berichts an den internen Kontrollen vorgenommen werden.

Abschnitt 303. Unzulässige Einflussnahme auf die Durchführung von Abschlussprüfungen.
Abschnitt 303 verbietet „jede Handlung zur betrügerischen Beeinflussung, Nötigung, Manipulation oder Irreführung eines unabhängigen öffentlichen oder vereidigten Wirtschaftsprüfers, der mit der Prüfung der Jahresabschlüsse dieses Emittenten beauftragt ist, mit dem Ziel, diese Jahresabschlüsse im Wesentlichen irreführend zu gestalten“.
Abschnitt 304. Verzicht auf bestimmte Boni und Gewinne
Abschnitt 305. Verbote und Strafen für leitende Mitarbeiter und Direktoren
Abschnitt 306. Verbot des Insidertradings während Sperrfristen für Pensionsfonds
Abschnitt 307. Regeln für die berufliche Verantwortung von Anwälten
Abschnitt 308. Faire Gelder für Anleger

Titel IV: Erweiterte Offenlegung von Finanzdaten

Titel IV erläutert die SOX-Compliance-Anforderungen für die Berichterstattung über Finanztransaktionen, einschließlich außerbilanzieller Transaktionen, Pro-Forma-Zahlen und Aktientransaktionen von führenden Mitarbeitern. Außerdem werden die erforderlichen internen Kontrollen zur Überprüfung der Richtigkeit von Finanzberichten und Offenlegung festgelegt und sowohl Audits als auch Berichte über diese Kontrollen vorgeschrieben.

Abschnitt 401. Angaben in periodischen Berichten
In Abschnitt 401 wird bestätigt, dass SOX-Compliance-Berichte keine irreführenden Aussagen, unwahren Aussagen oder sachlichen Fehler enthalten dürfen. Er schreibt außerdem vor, dass Finanzberichte in Übereinstimmung mit den allgemein anerkannten Rechnungslegungsgrundsätzen der USA (GAAP) erstellt werden müssen.
Abschnitt 402. Erweiterte Bestimmungen zu Interessenkonflikten
Sec. 403. Offenlegung von Transaktionen, an denen die Geschäftsführung und Hauptaktionäre beteiligt sind
Abschnitt 404. Bewertung der internen Kontrollen durch das Management
Abschnitt 404 gilt als der komplizierteste, schwierigste und kostspieligste in der Umsetzung:

• Er weist das Management an, „eine angemessene interne Kontrollstruktur und Verfahren für die Finanzberichterstattung“ einzurichten.
• Er legt fest, dass das Management für die Bewertung der Wirksamkeit dieser Kontrollen und Verfahren im letzten Geschäftsjahr verantwortlich ist.
• Es setzt voraus, dass jede registrierte Wirtschaftsprüfungsgesellschaft, die den Prüfbericht erstellt, die von der Geschäftsleitung vorgenommene Bewertung bestätigt und darüber berichtet.

Abschnitt 405. Freistellung
Abschnitt 406. Ethikkodex für leitende Mitarbeiter der Finanzabteilung
Abschnitt 407. Offenlegung des Finanzexperten des Prüfungsausschusses
Abschnitt 408. Verbesserte Überprüfung der periodischen Offenlegung durch Emittenten
Abschnitt 409. Emittentenveröffentlichungen in Echtzeit
Abschnitt 409 schreibt vor, dass Unternehmen die Öffentlichkeit unverzüglich über alle wesentlichen Veränderungen ihrer Finanzlage oder ihrer Geschäftstätigkeit informieren müssen, einschließlich Datenverletzungen oder anderen Formen von Cyberangriffen.

Titel V: Interessenkonflikte von Analysten

Titel V besteht aus nur einem Abschnitt, der das Vertrauen der Anleger in die Berichterstattung von Wertpapieranalysten wiederherstellen soll, indem Verhaltenskodizes definiert und die Offenlegung von bekannten Interessenkonflikten vorgeschrieben werden.

Abschnitt 501. Behandlung von Wertpapieranalysten durch registrierte Wertpapierverbände und nationale Wertpapierbörsen.

Titel VI: Ressourcen und Befugnisse der Kommission

Titel VI definiert Praktiken zur Wiederherstellung des Vertrauens der Anleger in Wertpapieranalysten. Außerdem wird bestätigt, dass die SEC die Befugnis hat, Wertpapierfachleute zu zensieren oder von der Ausübung ihrer Tätigkeit auszuschließen.

Abschnitt 601. Bewilligung von Mitteln
Sec. 602. Auftreten und Verhalten vor der Kommission
Abschnitt 603. Befugnis der Bundesgerichte, Pennystocks zu verbieten
Sec. 604. Qualifikationen von Personen, die mit Brokern und Tradern in Verbindung stehen

Titel VII: Studien und Berichte

Titel VII legt fest, dass der Comptroller General und die Securities and Exchange Commission (SEC) verschiedene Studien durchzuführen und über ihre Ergebnisse berichten zu hat.

Abschnitt 701. Studie und Bericht des General Accounting Office (GAO) zur Konsolidierung von Wirtschaftsprüfungsgesellschaften
Abschnitt 702. Studie und Bericht der Kommission über Rating-Agenturen
Abschnitt 703. Studie und Bericht über Zuwiderhandelnde und Verstöße
Abschnitt 704. Untersuchung von Durchsetzungsmaßnahmen
Abschnitt 705. Studie über Investmentbanken

Titel VIII: Verantwortung für Unternehmens- und Kriminalbetrug

Titel VIII wird auch als „Corporate and Criminal Fraud Accountability Act of 2002“ bezeichnet. Darin werden die strafrechtlichen Sanktionen für die Manipulation, Zerstörung oder Veränderung von Finanzunterlagen oder andere Störungen von Ermittlungen aufgezählt. Er bietet auch einen gewissen Schutz für Whistleblower.

Abschnitt 801. Kurzer Titel
Abschnitt 802. Strafrechtliche Sanktionen für das Fälschen von Dokumenten
Abschnitt 802 besagt, dass jeder, der wissentlich Aufzeichnungen verändert, vernichtet oder fälscht, mit erheblichen Geld- oder Gefängnisstrafen (oder beidem) rechnen muss. Darüber hinaus schreibt der Abschnitt vor, dass alle Prüfungsunterlagen für einen Zeitraum von fünf Jahren aufbewahrt werden müssen, was sowohl für elektronische als auch nicht-elektronische Unterlagen gilt. Bei Nichtbeachtung drohen Geld- oder Haftstrafen oder beides.
Abschnitt 803. Nicht absetzbare Schulden bei Verstößen gegen Wertpapierbetrugsgesetze
Abschnitt 804. Verjährungsfrist für Wertpapierbetrug
Abschnitt 805. Überprüfung der Federal Sentencing Guidelines wegen Behinderung der Justiz und schwerem strafbaren Betrug
Abschnitt 806. Schutz für Beschäftigte börsennotierter Unternehmen, die Beweise für Betrug liefern
Abschnitt 806 befasst sich mit Whistleblowern. Darin heißt es, dass SOX die Mitarbeiter und Führungskräfte eines Unternehmens schützt, die Untersuchungen unterstützen, Informationen vorlegen, bei einer Untersuchung aussagen oder dafür sorgen, dass Informationen über den Finanzbetrug eines Unternehmens veröffentlicht werden. Diese Mitarbeiter sind vor dem Verlust ihres Arbeitsplatzes und vor Belästigung, Degradierung, Suspendierung oder sonstiger Diskriminierung geschützt. Dieser Abschnitt beschreibt auch entschädigungspflichtige Verstöße.
Abschnitt 807. Unternehmensbetrug und strafrechtliche Verantwortung.

Titel IX: Strafverschärfung bei Wirtschaftskriminalität

Titel IX wird auch „White Collar Crime Penalty Enhancement Act of 2002“ genannt. Die verschärften strafrechtlichen Sanktionen für Wirtschaftskriminalität und Absprachen werden gemeinsam mit Empfehlungen für erweiterte Strafmaße dargelegt. In diesem Abschnitt wird auch das Versäumnis, die Finanzberichte von Unternehmen zu zertifizieren, als Straftat eingestuft.

Abschnitt 901. Kurzer Titel.
Abschnitt 902. Versuche und Verschwörungen zur Begehung von Betrugsdelikten
Abschnitt 902 besagt, dass „jede Person, die versucht, eine Straftat nach diesem Abschnitt zu begehen oder sich dazu verschworen hat, mit denselben Strafen belegt wird, die für die Straftat vorgesehen sind.“
Abschnitt 903. Strafen für Post- und Überweisungsbetrug
Abschnitt 904. Strafrechtliche Sanktionen für Verstöße gegen den Employee Retirement Income Security Act 1974
Abschnitt 905. Änderung der Leitlinien für die Strafzumessung in Bezug auf bestimmte Wirtschaftsstraftaten
Abschnitt 906. Unternehmensverantwortung für Finanzberichte
Abschnitt 906 sieht auch strafrechtliche Sanktionen, einschließlich Geld- und Haftstrafen, für Mitarbeiter vor, die falsche oder irreführende Berichte einreichen, welche im Widerspruch zu SOX stehen. Zu den Personen, die zur Verantwortung gezogen werden können, gehören Auftragnehmer, Mitarbeiter, Vertreter und Führungskräfte.

Titel X: Körperschaftssteuererklärungen

Titel X besteht aus einem Abschnitt. Abschnitt 1001 besagt, dass der Chief Executive Officer die Steuererklärung des Unternehmens unterzeichnen muss.

Abschnitt 1001. Stellungnahme des Senats zur Unterzeichnung von Unternehmenssteuererklärungen durch Vorstandsvorsitzende.

Titel XI: Rechenschaftspflicht bei Unternehmensbetrug

Titel XI besteht aus sieben Abschnitten. Abschnitt 1101 empfiehlt einen Namen für diesen Titel: „Corporate Fraud Accountability Act of 2002“. Er identifiziert Unternehmensbetrug und die Manipulation von Aufzeichnungen als Straftaten und sieht für diese Straftaten spezifischen Strafen vor. Außerdem werden die Richtlinien für die Strafzumessung überarbeitet und die Strafen verschärft.

Dies ermöglicht es der SEC, Transaktionen oder Zahlungen, die als „groß“ oder „ungewöhnlich“ eingestuft wurden, vorübergehend einzufrieren. Außerdem wurde der Straftatbestand der Behinderung eines offiziellen Verfahrens geschaffen.

Abschnitt 1101. Kurzer Titel
Abschnitt 1102. Manipulation einer Aufzeichnung oder anderweitige Störung eines offiziellen Verfahrens
Abschnitt 1103. Vorübergehende Einfrierungsbefugnis für die Wertpapier- und Börsenaufsichtsbehörde
Abschnitt 1104. Änderung der Federal Sentencing Guidelines
Abschnitt 1105. Befugnis der Kommission, Personen als leitende Mitarbeiter oder Direktoren zu verbieten
Abschnitt 1106. Verschärfte strafrechtliche Sanktionen gemäß dem Securities Exchange Act von 1934
Abschnitt 1107. Vergeltungsmaßnahmen gegen Informanten
Stärkt den Schutz von Hinweisgebern und sieht für Vergeltungsmaßnahmen gegen Informanten strafrechtliche Sanktionen in Form von Geldbußen oder Freiheitsstrafen von weniger als zehn Jahren vor.

Ein Überblick über die Geschichte des SOX

Nach einer Welle von betrügerischen Aktivitäten in Großunternehmen um die Wende zum 21. Jahrhundert sahen sich die staatlichen Aufsichtsbehörden gezwungen, Aktionäre besser zu schützen. SOX entstand mit dem Ziel, Schlupflöcher in der Rechnungslegung zu schließen und schlechte Finanzberichterstattung zu unterbinden, die Investoren Milliarden von Dollar kosteten und das Vertrauen der Öffentlichkeit in die US-amerikanischen Wertpapiermärkte beeinträchtigten.

Das Gesetz wurde sowohl im Repräsentantenhaus als auch im Senat mit überwältigender Mehrheit verabschiedet (im Repräsentantenhaus mit 423 Ja-Stimmen, 3 Gegenstimmen und 8 Enthaltungen, im Senat mit 99 Ja-Stimmen und 1 Enthaltung). Als er das SOX-Gesetz unterzeichnete, bezeichnete es Präsident George W. Bush als „die weitreichendste Reform der US-amerikanischen Geschäftspraktiken seit Franklin D. Roosevelt. Die Ära niedriger Standards und falscher Gewinne ist vorbei – keine Vorstandsetage in Amerika steht über dem Gesetz.“

Harvey Pitt, der 26. Vorsitzende der SEC, war federführend bei der Verabschiedung der SOX-Vorschriften. Er gründete das Public Company Accounting Oversight Board (PCAOB), um die SOX-Anforderungen durchzusetzen. Das PCAOB beaufsichtigt, reguliert, prüft und sanktioniert Wirtschaftsprüfungsgesellschaften in ihrer Rolle als Abschlussprüfer von öffentlichen Unternehmen.

Warum Unternehmen den SOX einhalten müssen

SOX-Compliance ist mehr als nur die Erfüllung einer gesetzlichen Verpflichtung: die Einhaltung der im SOX festgelegten Regeln ist gute Geschäftspraxis. SOX bietet einen Rahmen, der Unternehmen hilft, sich ethisch korrekt zu verhalten und ihre finanziellen und anderen sensiblen Daten zu schützen. Die Einhaltung der SOX-Vorschriften hilft Unternehmen unter anderem auf folgende Weise.

Stärkung der Kontrollstruktur

Indem Unternehmen die SOX-Compliance-Anforderungen für die Dokumentation von Kontrollen, einschließlich Betriebshandbüchern, Personalrichtlinien und aufgezeichneten Kontrollabläufen, einhalten, steigt ihre Produktivität. Das liegt daran, dass viele Unternehmen erhebliche Mängel in der Dokumentation feststellen. Wenn Sie diese auf das vom SOX geforderte höhere Niveau bringen, werden Fehler korrigiert, was dem gesamten Unternehmen zugute kommt.

Effiziente Audits

In den meisten börsennotierten Unternehmen ist der Prüfungsausschuss oder die Geschäftsleitung für die Einhaltung der SOX-Vorschriften zuständig. Da diese Gruppe dafür einen umfassenden Überblick über das Risikomanagement und die Berichterstattung haben muss, setzt sie sich meist für Verbesserungen der Audit-Vorbereitung des Unternehmens ein. So sorgt die SOX-Compliance für effektivere und effizientere Prozesse, die Audits optimieren und den Zeit- und Kostenaufwand verringern.

Bessere Finanzberichterstattung

Die erhöhten Mindeststandards für die Finanzberichterstattung, die zur Einhaltung der SOX-Vorschriften erreicht werden müssen, sorgen nicht nur für erfolgreiche Audits. Aufgrund der vorgeschriebenen detaillierten internen Kontrollen aller relevanten Aussagen zur Finanzberichterstattung, Konten und Angaben wurden alle wichtigen Lücken identifiziert und geschlossen.

Seit der Einführung des SOX profitieren Unternehmen von einer effizienteren und zuverlässigeren Finanzberichterstattung, wodurch weniger Zeit für die Datenerfassung und Korrekturen benötigt wird.

Priorisierung von Risiken

Die Einhaltung der SOX-Vorschriften zeigt Unternehmen, auf welche Systeme sie sich konzentrieren sollten, indem sie Risikobewertungen zur Analyse der Risikoexposition und der bestehenden Kontrollen durchführen. Sobald Systeme, die nicht SOX-konform sein müssen, gestrichen werden, sind gezieltere Maßnahmen möglich. Da die SOX-Anforderungen in vielen Fällen strenger sind als die Unternehmensvorschriften, verbessert die Einhaltung der Vorschriften die Sicherheitslage.

Optimierte Abläufe

Die SOX-Compliance verbessert die Prozesseffizienz über das Finanzwesen hinaus. Unternehmen, die die SOX-Vorschriften einhalten müssen, profitieren von einer verbesserten Dokumentation, optimierten Geschäfts- und IT-Abläufen und geringen Auditkosten.

Für wen gilt Sox?

Die Einhaltung der SOX-Vorschriften ist eine Herausforderung – grundsätzlich brauchen Privatunternehmen, Wohltätigkeits- und gemeinnützige Organisationen jedoch nicht alle davon einzuhalten. Zu den Organisationen, die die SOX-Vorschriften einhalten müssen, gehören:

• Börsennotierte Unternehmen
• Hundertprozentige Tochtergesellschaften
• Ausländische Unternehmen, die in den USA an der Börse notiert und geschäftlich tätig sind.
• Private Unternehmen, die ihren Börsengang planen.
• Wirtschaftsprüfungsgesellschaften, die öffentliche Unternehmen prüfen.
• Wirtschaftsprüfungsgesellschaften und Wirtschaftsprüfung

Vorteile der SOX-Compliance

• Mehr Sicherheit
  Die Anforderungen betreffend die Risikominderung und den Datenschutz verbessern die allgemeine Sicherheit von Unternehmen.
• Bessere interne Kontrollen
  Die SOX-Compliance liefert Unternehmen die internen Kontrollstandards, die ihre Daten und ihre Geschäftstätigkeit schützen.
• Weniger Interessenkonflikte in der Buchhaltung
  SOX schreibt vor, dass das Unternehmen, das Audits durchführt, nicht dasselbe sein darf wie das Unternehmen, das sich um die Buchhaltung kümmert.
• Besseres Risikomanagement
  Die Einhaltung der SOX-Vorschriften ermöglicht Abläufe, die risikoreiche Aktivitäten in den Mittelpunkt stellen und die passenden Unternehmenskontrollen zur Fehlerbehebung bereitstellen, einschließlich der Integration von IT und Sicherheit über isolierte Abteilungen hinweg.
• Weniger menschliche Fehler durch Prozessautomatisierung
  Automatisierte Kontrollen ersetzen fehleranfällige manuelle Abläufe, wodurch Fehler erheblich minimiert, die Effizienz gesteigert und der Bedarf an Kontrolltests reduziert wird.
• Vorhersehbare Finanzen
  Kontrollen, Tests, Automatisierung und betriebliche Effizienz verbessern die Transparenz und ermöglichen es Unternehmen, ihre Finanzen leichter vorherzusagen.
• Weniger komplexe Buchhaltung
  Anstatt unterschiedliche Buchhaltungsmethoden anzuwenden, implementieren Unternehmen ein zentrales System und befolgen bewährte Praktiken, um Abläufe zu vereinfachen und Audits schneller und mit weniger Fehlern durchführen zu können.
• Reibungslosere Abläufe 
  Eine bessere Dokumentation sorgt für klare Stellenbeschreibungen und genaue Definitionen, wer für welche Geschäftsabläufe verantwortlich ist. Dies vereinfacht das Onboarding und hilft den Mitarbeitern, die Abläufe besser zu verstehen.
• Standardisierte Abläufe
  Da standardisierte Abläufe im Rahmen eines SOX-Compliance-Audits einfacher und schneller zu bewerten sind, standardisieren viele Unternehmen ihre Abläufe über alle Systeme hinweg. So sparen sie Zeit und können bei Audits glänzen.
• Optimierte Audits
  Im Rahmen der SOX-Compliance werden internen Audit-Teams genaue Aufgaben im Rahmen der SOX-Berichterstattung, der Datendokumentation und der SOX-Tests, zugeteilt.

Probleme mit der SOX-Compliance

• Die Einhaltung der SOX-Bestimmungen bedeutet eine zusätzliche finanzielle Belastung, die nicht direkt mit den Geschäftsergebnissen zusammenhängt.
• Die Entwicklung und Umsetzung eines internen Kontrollrahmens zur Einhaltung der SOX-Vorschriften kann komplex sein und die Unternehmensressourcen belasten.
• Es ist aufwendig, neue interne Kontrollen einzurichten, um die Abläufe für Finanzdaten festzulegen und die Richtigkeit von Berichten zu bestätigen, um die SOX-Compliance-Kriterien zu erfüllen.
• Die Einstellung neuer Mitarbeiter und Auftragnehmer zur Sicherstellung der SOX-Compliance ist zeitaufwendig und teuer.
• Es ist eine schwierige Aufgabe, Kontrollen für einmalige oder bedeutende Transaktionen zu implementieren, bestehende Kontrollen zu bewerten und auf signifikante Mängel und Schwachstellen zu reagieren.
• Die Zunahme von Wirtschaftsprüfern und Wirtschaftsprüfungsgesellschaften erhöht die Kosten.
• Die Trennung von Buchhaltungsaufgaben erfordert oft neue Teammitglieder.

Anforderungen an die SOX-Compliance

Die SOX-Compliance-Anforderungen können in einem vierstufigen Prozess zusammengefasst werden:

Sie müssen der SEC Jahresabschlüsse vorlegen, die von einer Drittpartei geprüft wurden, wobei es sich nicht um dieselbe Firma handeln darf, die auch die Buchhaltung führt.

Sie müssen der Öffentlichkeit wesentliche Änderungen rechtzeitig melden, wie in den SOX-Compliance-Anforderungen festgelegt.

Sie müssen interne Kontrollen für alle IT-Systeme entwerfen, implementieren und testen, um die Sicherheit der Finanzdaten zu gewährleisten.

Sie müssen eine jährliche Erklärung verfassen, die die internen Kontrollen und deren Angemessenheit beschreibt. Diese muss von der Geschäftsleitung bestätigt und von einer dritten Partei geprüft werden.

Relevante Audits

Die SOX-Compliance-Audits umfassen vier wichtige Punkte: Zugriffskontrolle, Change Management, Datensicherung und IT-Sicherheit.

Zugriffskontrolle

Unternehmen müssen über Kontrollen verfügen, um sicherzustellen, dass sensible Daten nur von autorisierten Nutzern eingesehen werden können. Die Zugriffskontrollen müssen den physischen Zugriff bzw. Zugang (z. B. Türen, Aktenschränke) und den elektronischen Zugriff (z. B. Anmeldedaten) umfassen.

Change Management

Es muss definierte Abläufe für das Hinzufügen und Entfernen von Nutzern, Inhalten und Geräten sowie für die Installation und Aktualisierung von Software geben. Außerdem muss ein Prüfpfad aufgezeichnet und gespeichert werden, der zeigt, wer Änderungen vorgenommen hat, was geändert wurde und wann die Änderung vorgenommen wurde.

Datensicherung

Es muss Systeme geben, die sicherstellen, dass alle finanziellen Unterlagen und anderen sensiblen Daten geschützt sind – sowohl vor Ort als auch außerhalb des Unternehmens. Dafür sind geeignete Speichersysteme nötig.

IT-Sicherheit

Unternehmen müssen nachweisen, dass sie genau wissen, wer Zugriff auf welche Daten und Ressourcen hat. Darüber hinaus müssen sie nachweisen, dass sie über die geeigneten Tools verfügen, um Daten zu schützen und Datenverletzungen zu verhindern.

SOX-Compliance umsetzen

Aus IT-Perspektive müssen die folgenden Kontrollen vorhanden sein, um die SOX-Compliance zu gewährleisten:

• Zugriffskontrolle
• Backup-Systeme
• Change Management
• Sicherheit und Cybersicherheit
• Aufgabentrennung

Darüber hinaus müssen auch folgende Aktivitäten überwacht, protokolliert und geprüft werden:

• Kontoaktivität
• Datenbank-Aktivität
• Zugriff auf Informationen
• Interne Aktivität
• Login-Aktivität
• Netzwerk-Aktivität
• Nutzeraktivität

Wichtige Schritte zur Umsetzung der SOX-Compliance

Die Implementierung der SOX-Compliance läuft effizient ab, indem Sie die folgenden Schritte befolgen.

Richten Sie einen Compliance-Ausschuss ein.

• Zu den verpflichtenden Mitgliedern gehören der CEO, der CFO und die Leiter der wichtigsten Geschäftsbereiche.
• Zu den empfohlenen Mitgliedern gehören Führungskräfte aus Funktionsbereichen (z. B. Finanzen, IT, Recht, Personalwesen).

Erheben Sie das Zugriffsrisiko.

• Beschreiben Sie die Art und den Umfang der Risiken in den Risikorichtlinien des Vorstands.
• Bewerten Sie die unternehmensweiten Risiken innerhalb des Unternehmens, einschließlich:
• Finanzielle Risiken
• Humankapitalrisiko
• Rechtliche und regulatorische Risiken
• Operative Risiken
• Strategische Risiken
• Technische Risiken
• Quantifizieren Sie jedes Risiko (d. h. Wahrscheinlichkeit, Umfang, mögliche Auswirkungen).
• Dokumentieren Sie die Risikolandschaft, um Zusammenhänge zu erkennen.
• Entwickeln Sie einen Plan für das Risikomanagement.

Legen Sie Richtlinien für Kontrollen fest.

• Definieren Sie Entscheidungsregeln und Berichtsziele, um Risiken zu begegnen.
• Korrigierend
• Erkennend
• Vorbeugend
• Legen Sie Ziele für die interne Kontrolle in den folgenden Bereichen fest:
• Unternehmensdienstleistungen
• Unternehmensdienstleistungen
• Systeme und Ressourcen
• Systeme und Ressourcen

Entwickeln Sie einen Umsetzungsplan.

• Beschreiben Sie die Schritte für den Übergang von der Projekt-/Planungsphase zur Produktionsphase, um den laufenden Tagesbetrieb zu unterstützen.
• Stellen Sie sicher, dass Ihre Mitarbeiter über die alles verfügen, was sie zur Durchführung interner Kontrollen benötigen.
• Identifizieren Sie Faktoren, die sich auf die ordnungsgemäße Durchführung von internen Kontrollen auswirken.

Kommunizieren Sie die laufenden Verfahren.

• Erklären Sie die Gründe dafür.
• Stellen Sie sicher, dass sie klar definiert sind.
• Nennen Sie Fachexperten, die Fragen beantworten können.

Bieten Sie Schulungen an.

• Stellen Sie die Schulungen und Ressourcen bereit, die Ihre Mitarbeiter für die Einhaltung der SOX-Vorschriften benötigen.
• Stellen Sie die Schulungen und Ressourcen bereit, die Ihre Mitarbeiter für die Einhaltung der SOX-Vorschriften benötigen.
• Nutzen Sie interne und externe Komponenten.

Dokumentieren Sie Risikomanagement-Abläufe.

• Dokumentieren Sie alle Kontrollen.
• Stellen Sie Ressourcen zur Verfügung, die beschreiben, warum die Kontrollen eingeführt wurden.
• Verfassen Sie detaillierte Beschreibungen und Analysen der Kontrollen für zukünftige Audits.

Führen Sie kontinuierlich Bewertungen durch.

• Stellen Sie sicher, dass die Kontrollen wie vorgesehen funktionieren.
• Implementieren Sie Systeme, um Probleme frühzeitig zu erkennen.
• Nehmen Sie bei Bedarf Anpassungen vor, um die SOX-Konformität zu gewährleisten.

Muss der SOX auch in anderen Ländern als den USA eingehalten werden?

Nach der Verabschiedung des SOX wurden seine Grundsätze in mehreren Ländern gesetzlich verankert, darunter die folgenden:

• Kanada (2002)
• Deutschland (2002)
• Niederlande (2004)
• Türkei (2002)
• Türkei (2002)
• Israel (2006)
• Südafrika (2002)
• Frankreich (2003)
• Australien (2004)
• Indien (2015)
• Italien
• Japan
• Großbritannien

SOX-Compliance-Checkliste

Im Folgenden finden Sie Empfehlungen für eine einfache SOX-Compliance-Checkliste mit Fragen zu wichtigen Systemen und Abläufen. Jedes Unternehmen hat seine eigenen Anforderungen, aber diese Liste hilft den Teams, einige wichtige und verwandte Bereiche zu identifizieren.

Backup-Systeme

• Gibt es eine Dokumentationen und Richtlinien für die Sicherung von Systemen?
• Werden die Wiederherstellungsmöglichkeiten regelmäßig getestet?
• Welche Prüfsysteme gibt es, um nachzuweisen, dass die Backups korrekt und manipulationssicher sind?

Kontrolle des Datenzugriffs

• Sind einzigartige Anmeldedaten mit sicheren Passwörtern erforderlich?
• Können Nutzer Anmeldedaten gemeinsam nutzen?
• Können Sitzungen im Netzwerk zu einzelnen Nutzern zurückverfolgt werden?
• Wie werden die Zugriffsrechte aktualisiert, wenn ein Nutzer seine Rolle ändert oder das Unternehmen verlässt?
• Welche Technologien wurden implementiert, um Anmeldungen zu verfolgen und verdächtige Anmeldeversuche in Systemen, die für Finanzdaten verwendet werden, zu erkennen?
• Wer hat Zugriff auf sensible Finanzdaten?

Berichte für Finanz- und Geschäftsunterlagen

• Gibt es Systeme, um Aktivitäten im Zusammenhang mit Daten, die für die SOX-Compliance relevant sind, aufzuzeichnen und mit Zeitstempeln zu versehen?
• Können Protokolle durchsucht und gefiltert werden, um individuelle Berichte zu erstellen?
• Wo werden diese Protokolle aufbewahrt, und gibt es Kontrollen, um Manipulationen zu verhindern?
• Ermöglichen die vorhandenen Systeme den Abruf von Daten aus verschiedenen Quellen, einschließlich Dateien, File Transfer Protocol (FTP) und Datenbanken?
• Werden Aufzeichnungen darüber geführt, wer auf die Daten zugegriffen oder sie verändert hat?

Reaktionen auf Sicherheitsverletzungen

• Sind Sicherheitssysteme vorhanden, um Daten zu überwachen und zu analysieren, Anzeichen für eine Sicherheitsverletzung zu erkennen, Warnungen zu senden und automatisch Updates an ein System zur Verwaltung von Vorfällen zu senden?
• Gibt es einen Notfallplan und ein Team, das bereit ist, ihn umzusetzen?
• Wie wird mit Cyberangriffe (z.B. Phishing, Ransomware) umgegangen?
• Gibt es einen Plan, um Prüfern Sicherheitsverletzungen und das Versagen von Sicherheitskontrollen mitzuteilen?
• Welche Systeme gibt es, um Sicherheitsverstöße zu protokollieren und den Mitarbeitern die Möglichkeit zu geben, ihre Lösung von Vorfällen aufzuzeichnen?
• Wie werden Vorfälle eskaliert?

Aufgabentrennung

• Sind die Rollen der Mitarbeiter klar definiert und verstehen sie die Parameter?
• Gibt es Protokolle, die eine angemessene Aufgabentrennung gewährleisten (z. B. kann ein Nutzer eine Rechnung nicht gleichzeitig einreichen und genehmigen)?
• Gibt es Systeme zur Verhinderung und Aufdeckung von Betrug (z. B. Veruntreuung)?
• Hält sich das Unternehmen an das Prinzip des geringsten Privilegs?

Speicherung

• Falls Daten in der Cloud gespeichert werden: entspricht das Serviceniveau den SOX-Anforderungen?
• Gibt es einen Datenverwaltungsplan, der Richtlinien für die Speicherung, den Schutz, den Zugriff und die Vernichtung von Daten enthält?

Überprüfung der Sicherheitsvorkehrungen

• Gibt es Systeme, die die wichtigsten Interessengruppen im Unternehmen täglich darüber informieren, dass alle Kontrollmaßnahmen zur Einhaltung der SOX-Richtlinien ordnungsgemäß funktionieren?
• Können die Berichte Wirtschaftsprüfern und anderen Personen so zur Verfügung gestellt werden, dass sie sie nur ansehen und nicht bearbeiten können?
• Wie werden die Sicherheitsvorkehrungen zur Einhaltung der SOX-Richtlinien getestet, überprüft und den Prüfern mitgeteilt?
• Wie werden Berichte über kritische Meldungen und Warnungen, Sicherheitsvorfälle und deren Bearbeitung erstellt?

Lösungen zur Einhaltung des SOX

Es gibt viele Lösungen, die Unternehmen bei der Einhaltung des SOX unterstützen. Zu den weit verbreiteten SOX-Compliance-Lösungen zählen:

• Zugriffsverwaltungssoftware
  Diese Software wird zur Sicherung von Netzwerken eingesetzt, indem sie den externen Zugriff beschränkt und interne Nutzer verwaltet, um unbefugten internen Zugriff zu verhindern.
• Automatische Backup-Lösung
  Im Falle einer Katastrophe oder eines anderen Datenverlusts stellen diese Lösungen sicher, dass Kopien von Apps und Daten verfügbar sind.
• Dateiübertragungssoftware
  Diese Software verschlüsselt Dateien, um sie während der Datenübertragung zu schützen, und setzt Regeln in Bezug auf den Zugriff und die gemeinsame Nutzung durch.
• Protokollverwaltungssoftware
  Diese Software verfolgt und protokolliert System- und Dateizugriffe, um einen Prüfpfad zu erstellen und Administratoren zu benachrichtigen, wenn ungewöhnliche Aktivitäten festgestellt werden.
• SOX-Compliance-Software
  Diese Lösungen suchen nach Sicherheitsbedrohungen und melden sie, verfolgen Daten und erstellen Berichte.

Hohes Risiko bei Nichteinhaltung der SOX-Vorschriften

Das Risiko bei Nichteinhaltung der SOX-Compliance-Anforderungen ist hoch und bringt für Führungskräfte eine persönliche Haftung mit sich. Ein CEO oder CFO, der bei einem SOX-Compliance-Audit vorsätzlich falsche Unterlagen einreicht, kann mit einer Haftstrafe von bis zu 20 Jahren, einer Geldstrafe von bis zu fünf Millionen Dollar oder beidem bestraft werden.

Auch Unwissenheit schützt vor Strafe nicht, wenn es um die Einhaltung der SOX-Vorschriften geht. Wenn bei einer Prüfung der Einhaltung der SOX-Vorschriften versehentlich falsche Angaben gemacht werden, kann ein CEO oder CFO dennoch mit einer Geldstrafe von bis zu einer Million Dollar und einer Haftstrafe von bis zu 10 Jahren Gefängnis bestraft werden. Die Nichteinhaltung der SOX-Compliance-Anforderungen kann auch dazu führen, dass ein Unternehmen von der Börse genommen wird.

Die SOX-Compliance erfordert größtmögliche Aufmerksamkeit. Das Unternehmen muss erforderliche Systeme zu identifizieren, in die ordnungsgemäße Implementierung von Systemen und Prozessen investieren und die notwendigen Ressourcen für die SOX-Compliance bereitstellen. Dazu gehört auch, sich fortlaufend über Regeländerungen und mögliche Lösungen zu informieren.