SOX Act: Besondere Anforderungen an die IT
„So, dann bereiten wir uns mal auf unseren nächsten SOX Audit vor.“ Wenn diese Worte bei Ihnen Angstschweiß auslösen, dann sind Sie damit nicht alleine. Sich auf die jährliche Kontrolle im Rahmen des SOX Act vorzubereiten stellt eine große Herausforderung für betroffene Firmen dar: Finanzberichte, interne Kontrollsysteme, jährliche Audits – all das und mehr gehört zu den SOX Anforderungen.
Der Sarbanes-Oxley Act (SOX) ist zwar nichts Neues – er existiert schon seit fast 20 Jahren – doch Unternehmen suchen teilweise immer noch verzweifelt nach guten und schnellen Lösungen, um die Ansprüche des Gesetzes mit neuen Technologien in der Unternehmensführung unter einen Hut zu bringen und sich angemessen auf die jährliche SOX-Prüfung vorbereiten zu können.
In diesem Artikel gehen wir der Frage nach, welche Rolle der IT im SOX Act zukommt. Wir verraten Ihnen, worauf Sie bei der Umsetzung der Vorschriften achten müssen und wie eine solide Identity- und Access Management-Strategie Ihnen dabei helfen kann, sich auf eine SOX-Prüfung vorzubereiten.
Was ist der SOX Act?
Der Sarbanes-Oxley Act ist ein US-amerikanisches Gesetz, das 2002 als Reaktion auf mehrere Bilanzierungsskandale Anfang der 2000er Jahre erlassen wurde, darunter Enron, WorldCom und Arthur Andersen. Ziel war es, durch die Einführung von strengeren Gesetzen zur Finanzverwaltung und der Vorschreibung von internen Kontrollsystemen, die auch regelmäßig durch externe Prüfer bewertet werden, Bilanzfälschungen auf Seiten von börsennotierten Unternehmen und deren Steuerberatungsfirmen zu unterbinden.
Was genau umfasst der SOX Act?
Die Einhaltung der SOX-Bestimmungen erfordert nicht nur die Offenlegung von jährlichen Finanzberichten, sondern auch einen Bericht über interne Kontrollsysteme (IKS). Dieser Bericht dient als Nachweis dafür, dass interne Kontrollsysteme im Unternehmen existieren und korrekt implementiert wurden. Diese internen Kontrollsysteme umfassen auch mehrere IT-Aspekte, die sicherstellen sollen, dass die von den Unternehmen vorgelegten Unterlagen wahrheitsgetreu sind und einen angemessenen Schutz vor Datenverletzung- und Manipulationen bieten. Die Systeme werden auch regelmäßig durch externe Prüfer bzw. Auditoren bewertet.
Den Bestimmungen des Sarbanes-Oxley Acts gerecht zu werden verlangt ein sorgfältiges und genaues Vorgehen von all jenen, die mit der Implementierung des Gesetzes beauftragt sind. Außerdem braucht man einen relativ langen Atem, da das Gesetz sehr umfangreich ist. Es bedarf in jedem Fall einer langfristigen und sinnvollen Strategie seitens der betroffenen Unternehmen.
Welche Firmen unterliegen dem SOX Act?
Alle börsennotierten Unternehmen in den USA, einschließlich ausländischer Unternehmen, die in den USA börsennotiert sind, müssen die Ansprüche des SOX Act erfüllen. Das Gesetz betrifft auch Wirtschaftsprüfer, die Audits an börsennotierten Unternehmen durchführen.
Weitere Hintergrundinformationen zum Thema SOX-Compliance, Audit-Verfahren und dem Gesetz im Allgemeinen finden Sie in unserem Blogpost zu dem Thema.
SOX Act: Anforderungen an die IT
Die IT spielt bei der Umsetzung der SOX-Anforderungen eine zentrale Rolle, da die von dem Gesetz betroffenen Finanzdaten durch IT-Systeme verarbeitet und in diesen auch gespeichert werden. Es ist daher unerlässlich, dass Sie Ihre IT-Systeme auf den neuesten Stand bringen, um sicherzustellen, dass diese bereit für die nächste Prüfung sind.
Vorgaben des SOX Act
Um einen SOX-Audit zu bestehen müssen Unternehmen Best Practices im Bereich IT-Sicherheit in ihrer Organisation umsetzen. Um sicher sein zu können, dass Sie mit Ihren eigenen Maßnahmen auf dem richtigen Weg sind, orientieren Sie sich am besten an einer etablierten Best-Practice-Richtlinie (engl. „Framework”) wie COBIT (Control Objectives for Information and Related Technology). Dieses Framework wird wahrscheinlich auch von Ihrem Wirtschaftsprüfer zur Bewertung Ihrer Leistung herangezogen. Weitere Frameworks, mit denen Sie sich vertraut machen sollten, sind:
IT-Sicherheit Best Practices
Die Wahl eines geeigneten Frameworks ist der erste Schritt, um die Anforderungen des SOX Act zu erfüllen. Darin finden sich konkrete Sicherheitsstandards und Maßnahmen, die Ihr Unternehmen im Bereich der Cybersicherheit erfüllen sollte. Zu diesen Best Practices zählen unter anderem:
Vorbeugung gegen Datenverlust
Regelmäßige Backups
Präventionsmaßnahmen gegen Datenschutzverletzungen und Betrugsversuche
Personalschulungen zur richtigen Nutzung von IT-Ressourcen
Regelmäßige Software- und System-Updates
Festlegung klarer Nutzungsrichtlinien für Mitarbeiter und Dritte, die Zugang zu Ihren IT-Systemen haben
Definition einer Incidence Response Strategy, also einer Strategie zum Umgang mit Vorfällen wie Cyberattacken oder Ähnlichem. Ihre IT-Abteilung sowie zuständige Führungskräfte sollten mit dieser Strategie eng vertraut sein.
Wie Sie die Best Practices umsetzen, bleibt Ihnen selbst überlassen. Es gibt keine Universallösung, die das gesamte Spektrum der Best-Practice-Vorgaben im Bereich IT-Sicherheit abdeckt. Ein hilfreiches Werkzeug, um sehr viele der IT-Anforderungen abdecken, ist jedoch eine passende Identity- und Access Management Lösung. IAM Software wie tenfold hilft Ihnen dabei, Kontrolle über ihre Benutzer und Berechtigungen zu erlangen. Damit zeigen Sie Ihrem Auditor, dass ihre internen Kontrollsysteme sich auf einem hohem Niveau bewegen.
Sobald Sie die zuvor gelisteten Best Practices in allen Systemen, die zur Verarbeitung oder Speicherung von Finanzdaten und anderen wichtigen Daten genutzt werden, implementiert haben, sind Sie auf dem richtigen Weg den SOX Act zu erfüllen.
Weitere Punkte, die Sie beachten und umsetzen sollten, sind:
Risikobewertung
Identifikation und Berechtigung von Benutzern
Sicherung von Online-Daten
Überwachung von Systemdiensten und Anwendungen
SOX Section 404: Management Assessment of Internal Controls
Der Abschnitt 404 des Sarbanes-Oxley-Gesetzes gibt vor, dass Firmen interne Kontrollsysteme implementieren müssen, um wichtige Finanzdaten vor Fehlern und Betrugsversuchen abzuschirmen. Außerdem müssen Firmen externe Prüfer anheuern, die diese Kontrollsysteme bewerten und ihre korrekte Funktion attestieren. Für diesen Audit müssen Firmen in der Lage sein, ihren Prüfern jegliches geforderte Dokument sofort vorzulegen.
Dieser Teil des Gesetzes ist, was die IT angeht, am relevantesten – jedoch leider auch am schwierigsten und teuersten umzusetzen. Der Grund dafür liegt in dem hohen Dokumentationsaufwand, um die geforderten Dateien sofort abrufen zu können. Hier empfiehlt es sich in passende Software zu investieren, die die nötigen Datenprotokolle automatisch erstellt und jederzeit zur Verfügung stellen kann. Hier ein direkter Auszug aus dem Gesetz, der die Anforderungen an den Jahresbericht zeigt:
(a) Regeln.
Die Kommission erlässt Vorschriften, wonach jeder Jahresbericht, der gemäß Abschnitt 13(a) oder 15(d) des Securities Exchange Act von 1934 vorgeschrieben ist, einen Bericht über interne Kontrollsysteme enthalten muss, welcher:
(1) die Verantwortung der Geschäftsführung für die Einrichtung und Aufrechterhaltung einer angemessenen internen Kontrollstruktur und angemessener Verfahren für die Finanzberichterstattung darlegt; und
(2) eine Beurteilung der Wirksamkeit der internen Kontrollstruktur und -verfahren des Unternehmens für die Finanzberichterstattung zum Ende des letzten Geschäftsjahres des Unternehmens enthält.
(b) Bewertung der internen Kontrollsysteme und Reporting.
In Bezug auf die in Unterabschnitt (a) geforderte Bewertung der internen Kontrollstruktur muss jede eingetragene
Wirtschaftsprüfungsgesellschaft, die den Prüfungsbericht für das Unternehmen erstellt oder herausgibt, die von der Geschäftsführung des Unternehmens vorgenommene Bewertung attestieren und darüber berichten.
Ein gemäß diesem Unterabschnitt erstelltes Testat muss in Übereinstimmung mit den vom Board herausgegebenen oder angenommenen Standards für Testataufträge erstellt werden. Eine solche Bescheinigung darf nicht Gegenstand eines gesonderten Auftrags sein.
Gut zu wissen: Unternehmen mit einem Jahresumsatz von weniger als 100 Millionen US-Dollar (sog. Smaller Reporting Companies) sind von der Einhaltung von Abschnitt 404 ausgenommen. Die SEC (Securities and Exchange Commission) hat 2018 eine entsprechende Änderungen des Gesetzes genehmigt, um kleineren Firmen die Einhaltung des SOX Act zu erleichtern.
SOX IT-Anforderungen: 3 Tipps
Dokumentieren Sie alle relevanten Richtlinien und Prozesse.
Dokumentieren Sie interne Abläufe im Bereich der Finanzberichterstattung ordnungsgemäß. Interne Abläufe beziehen sich auf die Verfahren, die Sie eingerichtet haben, um die Einhaltung Ihrer eigenen Unternehmensrichtlinien zu gewährleisten.
Beachten Sie das Thema Aufgabentrennung: Stellen Sie sicher, dass alle Rollen und Verantwortlichkeiten klar definiert sind und Mitarbeiter nur über Zugriffsrechte verfügen, die sie auch wirklich benötigen. Mehr zum Thema Least-Privilege-Prinzip.
Welche Software hilft bei der Erfüllung der SOX Anforderungen?
Wie bereits erwähnt, ist die Umsetzung der Best-Practice-Grundsätze für Datensicherheit und Datenschutz für die Einhaltung der SOX-Vorschriften unerlässlich. Daher ist es wichtig, ein Tool zu wählen, das zumindest einige der angeführten Punkte abdeckt. Es sollte die Automatisierung von Vorgängen vorantreiben, die für einen SOX-Audit relevant sind: So lässt sich nicht nur der organisatorische Aufwand reduzieren, sondern auch manuelle Prozesse als mögliche Fehlerquelle ausschließen. Außerdem sollte die passende Software dazu beitragen, dass ihre Finanzdaten und anderen sensiblen Daten ausreichend gegen Cyberangriffe, Insider Threats und Sicherheitsverstöße geschützt sind.
SOX und IAM
Um den Zugriff auf kritische Daten wie Finanzberichte steuern und nachvollziehen zu können, ist eine effektive Identity and Access Management (IAM)-Strategie von zentraler Bedeutung. Tools für das Berechtigungsmanagement automatisieren Prozesse wie die Benutzerbereitstellung und ermöglichen es Unternehmen, den Zugriff auf Ressourcen granular zu steuern (z. B. Lese- und Schreibzugriff oder Ändern- bzw. Vollzugriff).
Durch das Entfernen unnötiger Berechtigungen helfen IAM-Lösungen dabei, Ihr Unternehmen vor Cyberangriffen und Datendiebstahl zu schützen. Die automatische Dokumentation von Zugriffsrechten sorgt darüber hinaus für Nachvollziehbarkeit und erleichtert es, im Rahmen des jährlichen SOX-Audit schnell die gewünschten Informationen parat zu haben.
SOX-Anforderungen erfüllen – mit tenfold
tenfold ist eine Access-Management-Lösung, die einen großen Teil der IT-Anforderungen des SOX Act abdeckt. Die Software fungiert als zentraler Dreh- und Angelpunkt für die Verwaltung von Zugriffsrechten in verschiedenen IT-Systemen (Active Directory, Sharepoint, Exchange). Dabei setzt tenfold Best Practices in den Bereichen Cybersicherheit und Identity Management konsequent und automatisch um, etwa durch rollenbasierte Berechtigungsvergabe und die regelmäßige Rezertifizierung von Berechtigungen. So wird nicht nur das Risiko menschlicher Fehler gesenkt, sondern auch der IT-Aufwand durch Routineaufgaben reduziert.
Eine umfangreiche Reporting-Funktion fasst auf einen Blick zusammen, wer in Ihrem Unternehmen auf kritische (Finanz-)daten zugreifen kann und wann diese Rechte vergeben oder geändert wurden. So können Sie alle Informationen zu Änderungen und Protokollen sofort abrufen, wenn Ihr SOX-Auditor diese anfordert. Access Management mit tenfold deckt nicht nur viele der von Sarbanes-Oxley diktierten Anforderungen ab, sondern hilft auch bei der Umsetzung anderer Frameworks, wie der DSGVO, ISO 27001 und HIPAA.
Identity und Access Management Software: Produkte im Vergleich
Finden Sie heraus, welche Kategorien von IAM Software am Markt erhältlich sind und welches Produkt optimal auf Ihre Bedürfnisse abgestimmt ist.