SOX-Compliance – Alles, was Sie darüber wissen sollten
Der Sarbanes-Oxley Act (kurz: SOX) ist ein US-amerikanisches Gesetz, das im Jahr 2002 aufgrund mehrerer Bilanzierungsskandale in den Jahren zuvor (darunter Enron, WorldCom und Tyco International) verabschiedet wurde. Diese Skandale führten zu erheblichen finanziellen Verlusten unter den Aktionären und Angestellten dieser Firmen.
In diesem Artikel widmen wir uns den Compliance-Anforderungen des Sarbanes-Oxley-Act und sehen uns an, was Sie tun können, um Ihr Unternehmen optimal auf ein SOX-Compliance-Audit vorzubereiten.
Was bedeutet SOX-Compliance?
Der Sarbanes-Oxley Act wurde eingeführt, um die Offenlegung von Finanzdaten zu verbessern und Investoren und Kunden vor Bilanzierungsfehlern und betrügerischen Geschäftspraktiken in Unternehmen zu schützen und somit sicherzustellen, dass sich Skandale wie Enron oder WorldCom in Zukunft nicht wiederholen können. Das Gesetz befasst sich auch mit Themen wie der Unabhängigkeit von Wirtschaftsprüfern, Corporate Governance sowie der Prüfung und Bewertung interner Kontrollen.
Um den vielen SOX-Compliance-Anforderungen gerecht zu werden müssen Unternehmen sich einem SOX-Compliance-Audit unterziehen. Bei dieser Prüfung wird das Unternehmen, mitsamt seinen Finanzabschlüssen und vor allem seinen internen Kontrollen, von externen Auditoren geprüft und bewertet. Die Durchsetzung des SOX-Act obliegt der Securities and Exchange Commission (SEC) bzw. dem Public Company Accounting Oversight Board (PCAOB).
Ist SOX-Compliance das Gleiche wie IT-Compliance?
Obwohl SOX keine IT-bezogenen Vorgaben an sich festlegt, hat das Gesetz erheblichen Einfluss auf die Art und Weise, wie IT-Abteilungen börsennotierter Unternehmen mit elektronischen Daten umgehen (müssen). Das liegt daran, dass die vom Gesetz betroffenen Finanzdaten durch IT-Systeme verarbeitet und gespeichert werden. Die Aufgabe von Wirtschaftsprüfern besteht daher unter anderem auch darin, die im Unternehmen bestehende IT-Infrastruktur sowie die dazugehörigen Kontrollmechanismen zu überprüfen und zu bewerten, ob diese angemessen und korrekt sind oder nicht.
In unserem Ratgeber zum Thema finden Sie weitere Informationen zu den IT Anforderungen des SOX Act und der Frage, welche Software-Lösungen Sie bei der Vorbereitung auf den jährlichen SOX-Audit unterstützen können.
SOX-Compliance: Wie alles begann
Einer jener Bilanzierungsskandale, der zur Einführung des Sarbanes-Oxley-Acts führte, war der berühmte Enron-Skandal im Jahr 2001. Durch das Ausnutzen von Schlupflöchern und der Verwendung von Methoden zur Bilanzfälschung konnte das Unternehmen Milliarden von Dollar an Schulden vor Investoren und Prüfern verheimlichen. Allerdings führten diese fragwürdigen Methoden letztendlich zum Konkurs des Unternehmens sowie dem Verlust von etlichen Milliarden an Rente und Aktien der Aktieninhaber.
Mit in den Abgrund riss Enron den Wirtschaftsprüfungskonzern Arthur Andersen, der in diesem Zusammenhang vor einem Interessenskonflikt stand: einerseits war das Unternehmen nämlich für die Buchhaltung (Accounting) von Enron zuständig, gleichzeitig aber auch für die Prüfung von dessen Finanzberichten (Auditing).
Ebenso war Arthur Andersen in den WorldCom-Skandal verwickelt, der ein Jahr später folgte und sich als größter Fall von Finanzbetrug in der Geschichte Amerikas bis zu diesem Zeitpunkt entpuppte.
SOX Compliance heute
In Anbetracht der enormen Auswirkungen dieser und ähnlicher Skandale im gleichen Zeitraum beschloss der US-Kongress, dass es längst an der Zeit war, strengere Gesetze zur Finanzverwaltung und für interne Kontrollen, sowie besser regulierte Prüfungsmethoden einzuführen. Um das Vertrauen von Anlegern wiederherzustellen und den Aktienmarkt wiederzubeleben, wurde das Sarbanes-Oxley Gesetz verabschiedet.
Den Compliance-Anforderungen von SOX gerecht zu werden ist ein streng überwachtes, vielschichtiges und komplexes Unterfangen, das eine strikte Zusammenarbeit und Kooperation von unterschiedlichen Abteilungen und Einheiten in Firmen verlangt.
Welche Firmen betrifft SOX-Compliance?
Nicht alle Unternehmen unterliegen den SOX-Compliance-Anforderungen. Das Gesetz betrifft im Grunde alle in den USA börsennotierten Unternehmen, einschließlich deren Tochtergesellschaften.
Weiters betrifft SOX auch Steuerberatungsfirmen, die für die Wirtschaftsprüfung von Unternehmen, welche SOX unterliegen, zuständig sind. Das heißt Kanzleien, die mit der Buchhaltung einer Firma beauftragt sind dürfen nicht gleichzeitig für die Finanzaudits zuständig sein (so wie es in den frühen 2000er Jahren bei Arthur Andersen der Fall war).
Gilt SOX international?
Der Sarbanes-Oxley Act betrifft auch ausländische Unternehmen, die in den USA börsennotiert sind.
Ist SOX-Compliance für alle verpflichtend?
Privatunternehmen und Unternehmen mit einem Jahresumsatz von weniger als 100 Millionen US-Dollar sind nicht verpflichtet, die SOX-Compliance-Anforderungen einzuhalten. Allerdings sollten Firmen, die vor haben an die Börse zu gehen, sich frühzeitig und gründlich auf die Erfüllung des Gesetzes vorbereiten.
SOX-Compliance-Anforderungen
Der Sarbanes-Oxley Act ist ein komplexes Gesetz mit vielen Anforderungen an unterschiedliche Abteilungen und Entscheidungsträger in Unternehmen. Der Akt besteht aus 11 Titles, also Titeln, die alle wiederum in Sections, also Abschnitte, unterteilt sind. Diese befassen sich mit Themen wie der Unabhängigkeit von Wirtschaftsprüfern, Unternehmenshaftung und Betrug, bis hin zu internen Kontrollen. Außerdem schreibt das SOX-Gesetz auch Strafen für u.a. Betrug und Datenmanipulation vor.
Der Begriff SOX-Compliance bezieht sich hauptsächlich auf die jährlich stattfindende Prüfung, bei der Börsenunternehmen ihre jährlichen Finanzberichte offenlegen und nachweisen müssen, dass diese korrekt sind. Zusätzlich müssen diese Finanzberichte einen so-genannten Internal Control Report, also einen Bericht bezüglich der vorhandenen internen Kontrollen, beinhalten, der ebenfalls von einem externen Auditor überprüft werden muss.
SOX und IT-Compliance
Die Abschnitte 302 und 404 gelten allgemein als die wichtigsten Bestimmungen für SOX-Compliance in Bezug auf die IT, wobei auch die Abschnitte 401, 409, 802, 902 und 906 eine Rolle spielen. Klicken Sie auf einen Abschnitt unten, um mehr darüber zu erfahren.
CEOs und CFOs müssen bestätigen, dass sie den eingereichten Bericht geprüft haben und dieser “keine unwahren Aussagen enthält”.
Die zuständigen Verantwortlichen müssen interne Kontrollen einrichten, um sicherzustellen, dass alle vom Unternehmen bereitgestellten Informationen korrekt sind und den Prüfern jederzeit zur Verfügung stehen.
Die zuständigen Verantwortlichen sind verpflichtet, diese Kontrollen zu beurteilen und müssen gewährleisten, dass diese Kontrollen innerhalb von 90 Tagen vor der Erstellung des Berichts wirksam waren und
dass etwaige Mängel in der Gestaltung oder Funktionsweise dieser internen Kontrollen festgestellt und den jeweiligen Rechnungsprüfern mitgeteilt wurden.
Die zuständigen Auditoren müssen über alle Änderungen an internen Kontrollen, die nach Abgabe des Berichts vorgenommen werden, informiert werden.
In diesem Abschnitt wird vorgeschrieben, dass Unternehmen sicherstellen müssen, dass die periodischen Finanzberichte in Übereinstimmung mit allgemein anerkannten Rechnungslegungsgrundsätzen erstellt werden und keine unwahren Aussagen enthalten oder wesentliche Fakten auslassen.
Dieser Abschnitt bedingt, dass:
die Geschäftsleitung eine “angemessene interne Kontrollstruktur sowie Verfahren zur Finanzberichterstattung” einrichten muss.
die Geschäftsleitung für die Beurteilung der Wirksamkeit dieser Kontrollen und Verfahren im letzten Geschäftsjahr verantwortlich sein ist.
jede registrierte Wirtschaftsprüfungsfirma, die den jeweiligen Audit-Report erstellt oder abgibt, die Bewertung durch das Management des jeweiligen Unternehmens bescheinigen muss.
Abschnitt 409 schreibt vor, dass Unternehmen die Öffentlichkeit unverzüglich über alle wesentlichen Änderungen ihrer Finanzlage oder ihrer Geschäftstätigkeit informieren müssen. Das heißt, Unternehmen müssen Informationen bezüglich Datenschutzverletzungen oder Cyberangriffen unverzüglich offenlegen.
Wer wissentlich Unterlagen verändert, zerstört oder fälscht muss mit erheblichen Geld- und/oder Freiheitsstrafen rechnen.
Alle relevanten Audit-Dokumente müssen für einen Zeitraum von 5 Jahren nach dem Audit aufbewahrt werden.
Dieser Abschnitt befasst sich mit Strafen für Betrug oder versuchten Betrug nach Paragraph 63 des United States Code. Verstöße werden mit bis zu 20 Jahren Haft oder 500,000 US-Dollar bestraft.
Während Abschnitt 302 desselben Titels eine zivilrechtliche Bestimmung darstellt, ist 906 die strafrechtliche Bestimmung und schreibt vor, dass jedem periodischen Bericht, der von einem Unternehmen eingereicht wird, eine schriftliche Erklärung beigefügt werden muss, in der CEO und CFO bestätigen, dass der Bericht “vollständig den Anforderungen von Abschnitt 13(a) oder 15(d) des Securities Exchange Act aus dem Jahr 1934 (15 U.S.C. 78m oder 78o(d)) entspricht und dass die im Bericht enthaltenen Informationen in allen wesentlichen Aspekten die Finanzlage des Ausstellers und dessen Geschäftsergebnisse angemessen darstellen.”
Die Fälschung dieses Berichts kann zu Geldstrafen von bis zu 5 Millionen Dollar und/oder 20 Jahren Gefängnis führen.
Section 404 gilt als kompliziertester Abschnitt und ist auch am schwierigsten und teuersten umzusetzen. Dieser Abschnitt legt fest, dass Unternehmen interne Kontrollen einrichten und aufrechterhalten müssen, um Finanzdaten gegen Betrug und Fehler abzusichern.
Außerdem sind externe Auditoren dazu verpflichtet, diese Kontrollen zu überprüfen und zu bescheinigen, dass sie angemessen sind. Es reicht nicht, wenn Unternehmen einfach einen Bericht vorlegen, in dem sie behaupten, über angemessene Kontrollen zu verfügen. Sie müssen in der Lage sein, jedes vom Auditor geforderte Dokument vorzulegen und damit nachzuweisen, dass sie die SOX-Vorschriften eingehalten haben.
Das heißt, sie müssen über Systeme verfügen, die nicht nur Daten korrekt und sicher protokollieren, sondern müssen diese Daten auch auf Anfrage den jeweiligen Auditoren jederzeit zur Verfügung stellen können.
SOX-Strafen: Was passiert, wenn SOX nicht eingehalten wird?
Der Preis für die Nichteinhaltung der SOX-Compliance-Anforderungen ist sehr hoch. CEOs und CFOs, die absichtlich gefälschte Dokumente vorlegen, drohen Bußgeldstrafen von bis zu 5 Millionen US-Dollar oder Haftstrafen von bis zu 20 Jahren – oder beides. Inkorrekte Dokumente, die irrtümlich bzw. unabsichtlich eingereicht wurden, können zu Geldstrafen von bis zu einer Million US-Dollar und/oder 10 Jahren Gefängnis führen. Außerdem können Unternehmen, die gegen die SOX-Vorgaben verstoßen, von der Börse genommen werden.
Was beinhaltet ein SOX-Compliance-Audit?
Der Begriff SOX Compliance bezieht sich auf die jährliche Wirtschaftsprüfung, der sich börsennotierte Unternehmen unterziehen müssen. Diese Unternehmen sind verpflichtet, einen externen Auditor zu engagieren, der prüfen muss, ob:
die im Finanzbericht angegebenen Zahlen korrekt sind und
die vom Management eingerichteten internen Kontrollen dazu geeignet sind, sensible Finanzdaten ausreichend vor Manipulation zu schützen.
Außerdem dürfen externe Auditoren Mitarbeiter befragen, um zu verifizieren, dass deren Aufgaben auch tatsächlich mit ihren Tätigkeitsbeschreibungen übereinstimmen und ob sie bezüglich dem Umgang mit sensiblen Daten sowie Finanzdaten entsprechend geschult wurden.
Die Ergebnisse aus diesen Audits werden dann den Aktionären und der Öffentlichkeit zur Verfügung gestellt. SOX-Compliance bezieht sich also nicht auf die bloßen Zahlen im Jahresabschluss, sondern auch zunehmend auf die Kontrollen, Richtlinien und Verfahren, die Unternehmen zum Schutz sensibler Daten einrichten müssen.
Und genau hier überschneiden sich die Anforderungen des Sarbanes-Oxley-Act mit den Anforderungen von IT-Sicherheit. Denn welchen Nutzen haben Finanzkontrollen, wenn dabei nicht berücksichtigt wird, ob Menschen Zugriff auf manipulierbare sensible Daten haben?
SOX IT-Kontrollen
Die Abschnitte 302, 404 und 409 des Sarbanes-Oxley-Act schreiben börsennotierten Unternehmen vor, die folgenden IT-Parameter genau zu überwachen, zu protokollieren und regelmäßig zu überprüfen:
Interne Aktivitäten
Netzwerk-Aktivitäten
Datenbank-Aktivitäten
Login-Aktivitäten
Benutzerkonto-Aktivitäten
Benutzer-Aktivitäten
Datenzugriffe
SOX-Auditoren untersuchen daher die folgenden vier Kernelemente:
IT-Sicherheit: Unternehmen müssen genau wissen, wer Zugriff auf welche Daten und Ressourcen hat. Außerdem müssen sie nachweisen können, dass sie über die entsprechenden Mittel zur Verhinderung von Datenpannen- und missbrauch verfügen. Wie Unternehmen diese IT-Sicherheitsanforderungen umsetzen, bleibt ihnen überlassen. Jedenfalls müssen sie in entsprechende Geräte und Tools investieren, die der Überwachung und dem Schutz ihrer Finanzdatenbanken dienen.
Zugriffskontrollen: Unternehmen müssen sicherstellen, dass ihre sensiblen Informationen nur von Personen und Benutzern eingesehen werden können, die dazu berechtigt sind. Dies umfasst sowohl den physischen Zugang (z.B. Türen, Aktenschränke), als auch elektronische Zugriffe (z.B. Logins). Diese müssen durch geeignete Maßnahmen geschützt werden (z.B. durch die Implementierung des Least-Privilege-Prinzips oder Passwortkontrollen).
Daten-Backups: Alle Finanzunterlagen und anderen sensiblen Daten müssen in geeigneten Datensystemen gespeichert werden.
Verwaltung von Änderungen: Es müssen Prozesse für das Hinzufügen, Entfernen und Ändern von Benutzern sowie Computern existieren. Jegliche Änderungen müssen zur Nachvollziehbarkeit protokolliert werden, einschließlich Informationen bezüglich wer die Änderung vorgenommen hat, was geändert wurde und wann die Änderung vorgenommen wurde.
Systeme zur Protokollierung und Überwachung solcher Aktivitäten müssen einen so-genannten Audit-Trail über Zugriffe auf sensible Daten liefern. Die Überprüfung interner Kontrollen macht daher oft den größten Teil eines SOX-Compliance-Audits aus. Während der Prüfung werden IT-Ressourcen, wie z.B. PCs und andere Formen von Hardware und elektronischen Geräten, die zur Verarbeitung von Finanzdaten verwendet werden, gründlich begutachtet.
Vorbereitung für ein SOX-Compliance-Audit
Es ist weder möglich, sich auf die Einhaltung der SOX-Compliance-Richtlinien und die damit verbundenen Audits innerhalb von wenigen Tagen oder Wochen vorzubereiten, noch ist es notwendig. Es wird Unternehmen für gewöhnlich ausreichend Zeit eingeräumt, sich ordentlich auf die Vorgaben des Sarbanes-Oxley-Act einzustellen.
Daher ist es nicht nur sinnvoll, sondern auch erwünscht, dass sich Unternehmen eine langfristige Strategie zur Erfüllung der SOX-Compliance-Anforderungen überlegen. Am besten beraten sind Firmen damit, in eine gut durchdachte Software-Lösung zu investieren, die Ihnen lästige und zeitraubende manuelle Arbeiten abnimmt und ihre sensiblen Finanzdaten vor unbefugtem Zugriff schützt.
Außerdem müssen Unternehmen auch gewährleisten, dass Ihre internen Prüfsysteme und ihr Reporting auf dem neuesten Stand sind und funktionieren. Nur so können sie sicher sein, dass jegliches Dokument, das von externen Prüfer gefordert wird, auch sofort bereitgestellt werden kann.
SOX-Compliance-Checkliste
Richtige Checklisten, die man einfach von oben bis unten abarbeiten kann, um SOX-Compliance zu gewährleisten, gibt es leider nicht – bzw. wären diese auch sinnlos, da jede Firma anders ist und jedes Audit anders abläuft.
Sie können sich jedoch folgende Fragen stellen, um eine Vorstellung davon zu bekommen, ob Sie auf dem richtigen Weg sind, die SOX-Compliance-Anforderungen zu erfüllen:
Sind Ihre Systeme, insbesondere zur Protokollierung und Überwachung, auf dem neuesten Stand und wurden sie getestet?
Wissen Sie, wer in Ihrem Unternehmen Zugriff auf finanzielle oder andere sensible Daten hat?
Überwachen Sie das Verhalten Ihrer User, um mögliche Sicherheitslücken rechtzeitig erkennen zu können?
Führen Sie regelmäßige Rezertifizierungen durch, um Änderungen an Berechtigungen zu überwachen?
Haben Ihre SOX-Auditoren Zugriff auf die erforderlichen Daten und Ressourcen, um ihre Jobs ordnungsgemäß ausführen zu können?
Sind Ihre Mitarbeiter im richtigen Umgang mit Finanzdaten geschult? Wissen sie, worauf sie zugreifen dürfen und worauf nicht?
SOX-Compliance erreichen mit IAM
Es gibt Tools, die Ihnen dabei helfen können, den Überblick über diese und andere Fragen im Zusammenhang mit der Einhaltung von SOX-Compliance-Richtlinien zu behalten. Da SOX sowohl physische als auch elektronische Aufzeichnungen betrifft, könnte daher ein Identity- und Access-Management-Tool genau das Richtige für Sie sein.
Eine IAM-Lösung wie tenfold hilft Unternehmen dabei, ihre User und Berechtigungen in verschiedenen Systemen und Anwendungen zentral zu verwalten.
Vorteile von SOX-Compliance
Abgesehen davon, dass Sie nicht im Gefängnis landen oder hohe Geldstrafen für die Nichteinhaltung der Vorschriften zahlen müssen, bringt die Einhaltung der SOX-Compliance-Richtlinien Ihnen viele weitere Vorteile:
Kostenreduktion dank stärkerer Kontrollen
Mehr Verständnis von Prozessen und Abläufen dank verbesserter Dokumentation
Keine Interessenkonflikte mehr = zufriedenere Aktieninhaber.
Standardisierung von Prozessen
Höhere Effizienz dank reduzierter Komplexität
Minimierung von Fehlern dank Automatisierung von Prozessen
Besser vorhersehbare Finanzzahlen
Weniger Datenverstöße
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.