SOX Act: Besondere Anforderungen an die IT

Der Sarbanes-Oxley Act (SOX) ist zwar nichts Neues – er existiert schon seit fast 20 Jahren – doch Unternehmen suchen teilweise immer noch verzweifelt nach guten und schnellen Lösungen, um die Ansprüche des Gesetzes mit neuen Technologien in der Unternehmensführung unter einen Hut zu bringen und sich angemessen auf die jährliche SOX-Prüfung vorbereiten zu können.

In diesem Artikel gehen wir der Frage nach, welche Rolle der IT im SOX Act zukommt. Wir verraten Ihnen, worauf Sie bei der Umsetzung der Vorschriften achten müssen und wie eine solide Identity- und Access Management-Strategie Ihnen dabei helfen kann, sich auf eine SOX-Prüfung vorzubereiten.

Der Sarbanes-Oxley Act ist ein US-amerikanisches Gesetz, das 2002 als Reaktion auf mehrere Bilanzierungsskandale Anfang der 2000er Jahre erlassen wurde, darunter Enron, WorldCom und Arthur Andersen. Ziel war es, durch die Einführung von strengeren Gesetzen zur Finanzverwaltung und der Vorschreibung von internen Kontrollsystemen, die auch regelmäßig durch externe Prüfer bewertet werden, Bilanzfälschungen auf Seiten von börsennotierten Unternehmen und deren Steuerberatungsfirmen zu unterbinden.

Die Einhaltung der SOX-Bestimmungen erfordert nicht nur die Offenlegung von jährlichen Finanzberichten, sondern auch einen Bericht über interne Kontrollsysteme (IKS). Dieser Bericht dient als Nachweis dafür, dass interne Kontrollsysteme im Unternehmen existieren und korrekt implementiert wurden. Diese internen Kontrollsysteme umfassen auch mehrere IT-Aspekte, die sicherstellen sollen, dass die von den Unternehmen vorgelegten Unterlagen wahrheitsgetreu sind und einen angemessenen Schutz vor Datenverletzung- und Manipulationen bieten. Die Systeme werden auch regelmäßig durch externe Prüfer bzw. Auditoren bewertet.

Den Bestimmungen des Sarbanes-Oxley Acts gerecht zu werden verlangt ein sorgfältiges und genaues Vorgehen von all jenen, die mit der Implementierung des Gesetzes beauftragt sind. Außerdem braucht man einen relativ langen Atem, da das Gesetz sehr umfangreich ist. Es bedarf in jedem Fall einer langfristigen und sinnvollen Strategie seitens der betroffenen Unternehmen.

Alle börsennotierten Unternehmen in den USA, einschließlich ausländischer Unternehmen, die in den USA börsennotiert sind, müssen die Ansprüche des SOX Act erfüllen. Das Gesetz betrifft auch Wirtschaftsprüfer, die Audits an börsennotierten Unternehmen durchführen.

Die IT spielt bei der Umsetzung der SOX-Anforderungen eine zentrale Rolle, da die von dem Gesetz betroffenen Finanzdaten durch IT-Systeme verarbeitet und in diesen auch gespeichert werden. Es ist daher unerlässlich, dass Sie Ihre IT-Systeme auf den neuesten Stand bringen, um sicherzustellen, dass diese bereit für die nächste Prüfung sind.

Um einen SOX-Audit zu bestehen müssen Unternehmen Best Practices im Bereich IT-Sicherheit in ihrer Organisation umsetzen. Um sicher sein zu können, dass Sie mit Ihren eigenen Maßnahmen auf dem richtigen Weg sind, orientieren Sie sich am besten an einer etablierten Best-Practice-Richtlinie (engl. „Framework”) wie COBIT (Control Objectives for Information and Related Technology). Dieses Framework wird wahrscheinlich auch von Ihrem Wirtschaftsprüfer zur Bewertung Ihrer Leistung herangezogen. Weitere Frameworks, mit denen Sie sich vertraut machen sollten, sind:

Die Wahl eines geeigneten Frameworks ist der erste Schritt, um die Anforderungen des SOX Act zu erfüllen. Darin finden sich konkrete Sicherheitsstandards und Maßnahmen, die Ihr Unternehmen im Bereich der Cybersicherheit erfüllen sollte. Zu diesen Best Practices zählen unter anderem:

Wie Sie die Best Practices umsetzen, bleibt Ihnen selbst überlassen. Es gibt keine Universallösung, die das gesamte Spektrum der Best-Practice-Vorgaben im Bereich IT-Sicherheit abdeckt. Ein hilfreiches Werkzeug, um sehr viele der IT-Anforderungen abdecken, ist jedoch eine passende Identity- und Access Management Lösung. IAM Software wie tenfold hilft Ihnen dabei, Kontrolle über ihre Benutzer und Berechtigungen zu erlangen. Damit zeigen Sie Ihrem Auditor, dass ihre internen Kontrollsysteme sich auf einem hohem Niveau bewegen.

Sobald Sie die zuvor gelisteten Best Practices in allen Systemen, die zur Verarbeitung oder Speicherung von Finanzdaten und anderen wichtigen Daten genutzt werden, implementiert haben, sind Sie auf dem richtigen Weg den SOX Act zu erfüllen.

Weitere Punkte, die Sie beachten und umsetzen sollten, sind:

Der Abschnitt 404 des Sarbanes-Oxley-Gesetzes gibt vor, dass Firmen interne Kontrollsysteme implementieren müssen, um wichtige Finanzdaten vor Fehlern und Betrugsversuchen abzuschirmen. Außerdem müssen Firmen externe Prüfer anheuern, die diese Kontrollsysteme bewerten und ihre korrekte Funktion attestieren. Für diesen Audit müssen Firmen in der Lage sein, ihren Prüfern jegliches geforderte Dokument sofort vorzulegen.

Dieser Teil des Gesetzes ist, was die IT angeht, am relevantesten – jedoch leider auch am schwierigsten und teuersten umzusetzen. Der Grund dafür liegt in dem hohen Dokumentationsaufwand, um die geforderten Dateien sofort abrufen zu können. Hier empfiehlt es sich in passende Software zu investieren, die die nötigen Datenprotokolle automatisch erstellt und jederzeit zur Verfügung stellen kann. Hier ein direkter Auszug aus dem Gesetz, der die Anforderungen an den Jahresbericht zeigt:

Wie bereits erwähnt, ist die Umsetzung der Best-Practice-Grundsätze für Datensicherheit und Datenschutz für die Einhaltung der SOX-Vorschriften unerlässlich. Daher ist es wichtig, ein Tool zu wählen, das zumindest einige der angeführten Punkte abdeckt. Es sollte die Automatisierung von Vorgängen vorantreiben, die für einen SOX-Audit relevant sind: So lässt sich nicht nur der organisatorische Aufwand reduzieren, sondern auch manuelle Prozesse als mögliche Fehlerquelle ausschließen. Außerdem sollte die passende Software dazu beitragen, dass ihre Finanzdaten und anderen sensiblen Daten ausreichend gegen Cyberangriffe, Insider Threats und Sicherheitsverstöße geschützt sind.

Um den Zugriff auf kritische Daten wie Finanzberichte steuern und nachvollziehen zu können, ist eine effektive Identity and Access Management (IAM)-Strategie von zentraler Bedeutung. Tools für das Berechtigungsmanagement automatisieren Prozesse wie die Benutzerbereitstellung und ermöglichen es Unternehmen, den Zugriff auf Ressourcen granular zu steuern (z. B. Lese- und Schreibzugriff oder Ändern- bzw. Vollzugriff).

Durch das Entfernen unnötiger Berechtigungen helfen IAM-Lösungen dabei, Ihr Unternehmen vor Cyberangriffen und Datendiebstahl zu schützen. Die automatische Dokumentation von Zugriffsrechten sorgt darüber hinaus für Nachvollziehbarkeit und erleichtert es, im Rahmen des jährlichen SOX-Audit schnell die gewünschten Informationen parat zu haben.

tenfold ist eine Access-Management-Lösung, die einen großen Teil der IT-Anforderungen des SOX Act abdeckt. Die Software fungiert als zentraler Dreh- und Angelpunkt für die Verwaltung von Zugriffsrechten in verschiedenen IT-Systemen (Active Directory, Sharepoint, Exchange). Dabei setzt tenfold Best Practices in den Bereichen Cybersicherheit und Identity Management konsequent und automatisch um, etwa durch rollenbasierte Berechtigungsvergabe und die regelmäßige Rezertifizierung von Berechtigungen. So wird nicht nur das Risiko menschlicher Fehler gesenkt, sondern auch der IT-Aufwand durch Routineaufgaben reduziert.

Eine umfangreiche Reporting-Funktion fasst auf einen Blick zusammen, wer in Ihrem Unternehmen auf kritische (Finanz-)daten zugreifen kann und wann diese Rechte vergeben oder geändert wurden. So können Sie alle Informationen zu Änderungen und Protokollen sofort abrufen, wenn Ihr SOX-Auditor diese anfordert. Access Management mit tenfold deckt nicht nur viele der von Sarbanes-Oxley diktierten Anforderungen ab, sondern hilft auch bei der Umsetzung anderer Frameworks, wie der DSGVO, ISO 27001 und HIPAA.