Stell dir vor, dein Unternehmen durchläuft eine Prüfung, die Unstimmigkeiten in den Finanzberichten aufdeckt. Dieses Szenario zeigt, wie wichtig SOX Compliance ist. SOX, eingeführt durch den Sarbanes-Oxley Act von 2002, verlangt von Unternehmen, dass sie effektive interne Kontrollen und genaue Finanzberichte führen, um Betrug zu verhindern.
Durch die Einhaltung von SOX können Unternehmen die höchsten Standards der finanziellen Transparenz und Verantwortlichkeit erfüllen. Dazu gehören regelmäßige Prüfungen, die Dokumentation aller finanziellen Prozesse und das Führen detaillierter Aufzeichnungen. Es ist ein fortlaufender Prozess, der eine ständige Überwachung der internen Kontrollen erfordert.
In diesem Leitfaden gehen wir auf die wichtigsten Anforderungen der SOX Compliance ein, zusammen mit praktischen Schritten zur Umsetzung und häufigen Fragen.
Was ist SOX Compliance?
Der US-Kongress hat den Sarbanes-Oxley Act von 2002 erlassen, um die Öffentlichkeit vor unethischen und betrügerischen Praktiken von Unternehmen zu schützen. Entstanden aus einer Reihe von Finanzskandalen, zielt die SOX Compliance-Checkliste darauf ab, die Rechenschaftspflicht und Transparenz in der Finanzberichterstattung zu erhöhen und gleichzeitig angemessene Kontrollen und Ausgleiche in Unternehmen zu schaffen.
Dieses Gesetz gilt für alle in den USA ansässigen börsennotierten Unternehmen, internationale Unternehmen mit einem bei der SEC registrierten handelbaren Finanzinstrument wie Aktien sowie für Buchhaltungs- und Prüfungsunternehmen, die Dienstleistungen für die oben genannten Unternehmen erbringen.
Was sind die wichtigsten Anforderungen der SOX Compliance?
Die Bestimmungen des SOX-Gesetzes lassen sich in vier Hauptanforderungen zusammenfassen, die öffentliche Unternehmen erfüllen müssen:
- Alle Finanzberichte müssen von unabhängigen Prüfern geprüft und regelmäßig vorgelegt werden.
- Jede wesentliche Änderung, die den Marktwert der Unternehmenswerte und die finanzielle Lage beeinflussen könnte, muss sofort öffentlich gemeldet werden.
- Effektive interne Kontrollen müssen implementiert werden, um Betrug zu erkennen und zu vermeiden sowie die Integrität der finanziellen Informationen zu schützen. Dazu gehören finanz– und IT-bezogene Kontrollen.
- Eine Bewertung der internen Kontrollen, die von unabhängigen Prüfern geprüft und genehmigt wurde, muss jedes Jahr von den Unternehmen vorgelegt werden
Was sind SOX-Kontrollen?
SOX-Kontrollen sind die internen Mechanismen und Verfahren, die Unternehmen gemäß dem Sarbanes-Oxley Act von 2002 implementieren müssen, um die Genauigkeit und Zuverlässigkeit ihrer Finanzberichterstattung sicherzustellen. Diese Kontrollen sollen Fehler, Betrug und andere Unregelmäßigkeiten in den Finanzberichten verhindern und aufdecken.
Sie decken eine Vielzahl von Aktivitäten ab, einschließlich der Prozesse zur Finanzberichterstattung, IT-Kontrollen und operativen Kontrollen. Zum Beispiel schützen IT-Kontrollen die Sicherheit der Finanzdaten innerhalb der IT-Systeme des Unternehmens. Diese Kontrollen schützen vor Datenverletzungen, unbefugtem Zugriff und anderen IT-bezogenen Risiken, die finanzielle Informationen gefährden könnten.
Was sind die wichtigsten Abschnitte von SOX?
SOX umfasst 11 zentrale Abschnitte oder Titel, die darauf abzielen, die Unternehmensführung und finanzielle Transparenz zu verbessern. Zwei Abschnitte sind jedoch besonders wichtig:
Abschnitt 302: Unternehmensverantwortung für Finanzberichte
Abschnitt 302 verlangt, dass der CEO und CFO öffentlicher Unternehmen persönlich die Genauigkeit, Vollständigkeit und Zuverlässigkeit der Finanzberichte des Unternehmens zertifizieren. Dieser Abschnitt soll sicherstellen, dass die obersten Führungskräfte die Verantwortung für die finanziellen Transparenz und internen Kontrollen ihrer Unternehmen übernehmen.
Abschnitt 302 erfordert auch, dass Führungskräfte bestätigen, dass die internen Kontrollen für eine zuverlässige Finanzberichterstattung ausgelegt sind. Führungskräfte müssen wesentliche Mängel, bedeutende Schwächen oder Betrug, die das Management oder Mitarbeiter mit Schlüsselrollen in diesen Kontrollen betreffen, offenlegen. Dies fördert Transparenz und Verantwortlichkeit auf höchster Managementebene.
Abschnitt 404: Managementbewertung interner Kontrollen
Abschnitt 404 verlangt von öffentlichen Unternehmen, eine effektive Struktur interner Kontrollen für die Finanzberichterstattung zu etablieren und zu pflegen. Das Management ist dafür verantwortlich, die Wirksamkeit dieser Kontrollen jährlich zu bewerten und zu berichten. Dies erfordert die Nutzung anerkannter Rahmenwerke wie COSO sowie regelmäßige Risikobewertungen, um potenzielle Schwächen zu identifizieren.
Unabhängige Prüfer müssen dann die Genauigkeit der Bewertung des Managements bestätigen und fügen eine weitere Ebene der Überwachung hinzu.
Wer muss die SOX-Richtlinien befolgen?
Diese Hauptarten von Unternehmen müssen SOX einhalten:
- Öffentliche Unternehmen in den USA: Alle börsennotierten Unternehmen in den Vereinigten Staaten müssen die SOX-Vorschriften befolgen, einschließlich derer, die an Börsen wie der NYSE und NASDAQ gelistet sind.
- Internationale Unternehmen: Nicht-US-Unternehmen mit handelbaren Finanzwerten, die bei der US-Börsenaufsichtsbehörde (SEC) registriert sind, wie Aktien, unterliegen ebenfalls der SOX-Compliance.
- Buchhaltungs- und Prüfungsfirmen: Firmen, die Prüfungsdienstleistungen für öffentliche Unternehmen erbringen, müssen die SOX-Standards einhalten. Dies stellt sicher, dass Finanzprüfungen unabhängig und integer durchgeführt werden.
Private Unternehmen müssen im Allgemeinen nicht SOX folgen, können sich aber in besonderen Situationen entscheiden, die SOX-Standards einzuhalten, um finanzielle Integrität zu demonstrieren. Ein Beispiel dafür ist, wenn ein Unternehmen sich auf einen Börsengang vorbereitet oder Investoren anziehen möchte.
Durch die Verpflichtung dieser Unternehmen zur Compliance zielt SOX darauf ab, Investoren zu schützen und das öffentliche Vertrauen in die Finanzmärkte wiederherzustellen.
Was passiert bei einer SOX-Prüfung?
Eine SOX-Prüfung ist eine gründliche Untersuchung, die mehrere Schritte umfasst.
Der Prozess beginnt mit Planung und Vorbereitung, bei der das Prüfungsteam den Umfang der Prüfung definiert und die Unternehmensdokumentation überprüft. Anschließend erstellen sie einen Plan zur Überprüfung der Wirksamkeit der internen Kontrollen des Unternehmens.
Die Prüfer gehen dann zur Überprüfung der Kontrollen über. Sie führen Durchläufe wichtiger Prozesse durch, um zu verstehen, wie Kontrollen implementiert sind, und testen das Design dieser Kontrollen. Besondere Aufmerksamkeit gilt IT-Kontrollen, einschließlich Zugangskontrollen und Systemsicherheit.
Nach der Überprüfung erstellen die Prüfer einen Bericht über ihre Ergebnisse, identifizieren Mängel oder Schwächen in den internen Kontrollen des Unternehmens und schlagen Korrekturmaßnahmen vor. Diese Mängel werden basierend auf ihrer Schwere und potenziellen Auswirkungen auf die Finanzberichterstattung klassifiziert.
Abschließend entwickelt und implementiert das Unternehmen diese Korrekturmaßnahmen.
Wie bereitest du dich auf eine SOX-Compliance-Prüfung vor?
Die Einhaltung der SOX-Compliance kann eine einschüchternde Aufgabe sein, bei der viel schiefgehen kann. Es gibt jedoch Schritte, die du unternehmen kannst, um die Vorbereitung für die Prüfungszeit zu erleichtern.
- Erstelle einen Plan und definiere deine Zeitpläne. Um sicherzustellen, dass alle relevanten Berichte rechtzeitig verfügbar sind, musst du einen umfassenden Plan erstellen, was wann erledigt werden muss. Es wird empfohlen, einen Plan vom aktuellen Geschäftsjahr bis zu dem Jahr zu entwickeln, in dem du vollständig SOX-konform sein musst.
- Wähle ein oder mehrere Frameworks, die deine SOX-Compliance verbessern können. Du kannst die Unterstützung von Organisationen in Betracht ziehen, die etablierte Frameworks und Modelle speziell zur Stärkung interner Kontrollen und zur Vorbereitung auf die SOX-Compliance anbieten. Einige davon sind:
- Das Committee of Sponsoring Organizations of the Treadway Commission (COSO): Sie bieten Unterstützung bei der Etablierung interner Kontrollen deines Unternehmens.
- Control Objectives for Information and Related Technologies (COBIT): Sie helfen sicherzustellen, dass deine IT-Prozesse konform sind.
- Das Information Technology Governance Institute (ITGI): Sie leiten interne Kontrollen und IT-Compliance, mit einem stärkeren Fokus auf sicherheitsrelevante Kontrollen.
- Führe Risikobewertungen durch. Durch eine Risikobewertung kannst du potenzielle Problembereiche identifizieren, die bei der Erstellung deines Compliance-Plans berücksichtigt werden müssen.
- Führe eine unternehmensweite Bewertung durch. Jeder Teil deines Unternehmens – Hauptabteilungen und Nebenaktivitäten – muss konform sein. Dazu musst du alle Prozesse und Verfahren im gesamten Unternehmen bewerten.
- Dokumentiere alle deine Prozesse. Eine detaillierte Dokumentation deiner Prozesse kann den Kontext bieten, der erforderlich ist, um einen transparenteren Informationsfluss zu etablieren. Stelle sicher, dass du den Finanzberichterstattungsprozess deines Unternehmens zusammen mit den beteiligten Schlüsselpersonen dokumentierst. Ein weiterer wichtiger Punkt, der gut dokumentiert werden muss, sind die Verfahren zum Schutz vor betrügerischen Bedrohungen und finanziellen Risiken.
- Bewerte IT-Kontrollen. Die Bewertung deiner internen IT-Kontrollen wird dir helfen, den Best Practices der Branche in Bezug auf Datensicherheit zu entsprechen und besseren Schutz vor Manipulationen zu gewährleisten. Du kannst eine SOX-Compliance-IT-Checkliste implementieren, die speziell darauf abzielt, die IT-Infrastruktursicherheit deines Unternehmens zu erhöhen, um sicherzustellen, dass nichts übersehen wird.
- Beurteile deine Drittanbieter. Du musst auf deine Anbieter achten, um sicherzustellen, dass du alle Grundlagen abdeckst. Wenn bei einem Anbieter ein Sicherheits- oder Datenverstoß auftritt, wird dein Unternehmen dennoch haftbar gemacht.
- Teste deine internen Kontrollen. Du musst sicherstellen, dass deine internen Kontrollen, insbesondere die Schlüsselkontrollen in deiner Risikobewertung, so funktionieren, wie sie sollten.
- Identifiziere und korrigiere deine Mängel. Behebe alle identifizierten Mängel und melde sie bei Bedarf. Bei erheblichen Mängeln musst du nur dein Senior Management informieren. Materielle Mängel hingegen musst du in einem 10-K öffentlich machen.
- Kommuniziere und aktualisiere regelmäßig. Eines der Hauptziele von SOX ist erhöhte Transparenz und Verantwortlichkeit. Das bedeutet, dass dein Senior Management, das Board und das interne Prüfungskomitee gut über den Fortschritt und die Ergebnisse des Compliance-Prozesses informiert sein müssen.
Lumiforms digitale Lösung für deine erfolgreiche SOX Compliance
Ein besseres Verständnis der Anforderungen und des Prozesses ist nur die halbe Miete. Um die SOX-Prüfung mit Bravour zu bestehen, brauchst du ein zuverlässiges Hilfsmittel, um alle benötigten Daten schnell zu sammeln und die Ergebnisse präzise zu messen.
Mit Lumiform erstellst du eine maßgeschneiderte digitale SOX-Compliance-Checkliste, die deinen Bedürfnissen entspricht. So kannst du den aktuellen Stand deines Unternehmens schnell bewerten, Verbesserungsbereiche identifizieren und volles Vertrauen in deine etablierten internen Kontrollen haben.
Hier sind einige Funktionen, die du nutzen kannst:
- Erstelle deine individuelle Checkliste in Minuten mit Zugriff auf über 12.000 vorgefertigte Vorlagen.
- Greife jederzeit auf deine SOX-Compliance-Checklisten zu, egal ob online oder offline.
- Führe deine Inspektion über die App durch und sammle alle visuellen Dokumentationen deiner Prozesse und Verfahren.
- Erstelle automatisch detaillierte SOX-Compliance-Berichte und teile sie mühelos mit deinen Stakeholdern.
- Analysiere deine Daten über das Dashboard, um zu sehen, ob du die SOX-Compliance erreichst.