Compliance
13.12.2023 Stefan van Duyvendijk
Vor dem Sarbanes-Oxley Act (SOX) gab es das letzte Mal während der Weltwirtschaftskrise größere Veränderungen in der Art und Weise, wie börsennotierte Unternehmen arbeiten und ihre Finanzergebnisse veröffentlichen.
Die Große Depression bedeutete für einen Großteil der amerikanischen Gesellschaft den wirtschaftlichen Ruin.
Das Fehlen von Börsenvorschriften machte Marktmanipulationen und betrügerische Aktivitäten leicht möglich. In Verbindung mit anderen Problemen wie Panikverkäufen, Bankenzusammenbrüchen, übermäßiger Risikobereitschaft und wirtschaftlichen Ungleichgewichten entstand so der perfekte Sturm, der zum Schwarzen Dienstag führte.
An diesem Tag im Jahr 1929 stürzte die Börse ab, vernichtete Milliarden von Dollar an Vermögen und markierte den Beginn der Großen Depression.
Spulen Sie 70 Jahre zurück. Viele der Faktoren, die zur Großen Depression beigetragen haben, sind wieder aufgetaucht und haben die US-Finanzmärkte an den Rand des Abgrunds gebracht. Große Betrügereien in großen Unternehmen blieben aufgrund mangelnder Transparenz und unzureichender Vorschriften jahrelang unentdeckt. Sobald sie aufgedeckt wurden, gingen diese großen Unternehmen in Konkurs und ließen die Anleger mit fast nichts zurück.
Hier kommt das Sarbanes-Oxley-Gesetz (SOX) von 2002 ins Spiel. Es ist der kühnste Versuch, das Verhalten und die Finanzberichterstattung börsennotierter Unternehmen in den Vereinigten Staaten seit der Großen Depression zu regulieren.
In diesem umfassenden Leitfaden erfahren Sie alles, was Sie über die Einhaltung von SOX wissen müssen.
Inhaltsübersicht
- Definition der SOX-Einhaltung
- Sarbanes-Oxley-Gesetz: Überblick
- Detaillierter Blick in SOX-Abschnitte
- Die Bedeutung interner Kontrollen für die Einhaltung des SOX
- Erreichen der SOX-Konformität
- Herausforderungen und Lösungen bei der Einhaltung von SOX
- Die Auswirkungen der Nichteinhaltung des Sarbanes-Oxley-Gesetzes
- Schlussfolgerung: Die Zukunft der SOX-Compliance
Definition der SOX-Einhaltung
Die SOX-Compliance ist die gesetzliche Verpflichtung für börsennotierte Unternehmen, die Bestimmungen des Sarbanes-Oxley Act einzuhalten.
Wie wir im folgenden Abschnitt erfahren werden, wurde das Sarbanes-Oxley-Gesetz im Jahr 2002 als Reaktion auf eine Reihe von Finanzskandalen in Unternehmen verabschiedet.
Die SOX-Compliance ist zweigleisig aufgebaut und umfasst Richtlinien zur unternehmerischen Verantwortung für Finanzberichte und angemessene interne Finanzkontrollen.
Kurze Geschichte und Zweck des Sarbanes-Oxley-Gesetzes
Im Jahr 2001 erschütterte der spektakuläre Zusammenbruch des Energieunternehmens Enron die gesamte Finanzwelt.
Ein Teil dieser Überraschung kann auf die prestigeträchtigen Auszeichnungen von Enron zurückgeführt werden, darunter "America's Most Innovative Company" des Fortune Magazine, eine Auszeichnung, die Enron vor seinem plötzlichen Fall beeindruckende sechs Jahre in Folge erhielt.
Im Jahr darauf, 2002, mussten auch der Telekommunikationsriese WorldCom und der milliardenschwere Mischkonzern Tyco wegen finanzieller Unregelmäßigkeiten aufgeben.
Diese Unternehmenszusammenbrüche könnten das Vertrauen der Öffentlichkeit in die Finanzmärkte untergraben.
Es bestand die grundlegende Notwendigkeit, die Ursachen dieser Finanzskandale zu untersuchen, um das Vertrauen der Anleger wiederherzustellen und die Unternehmensführung zu verbessern, indem die Führungskräfte für eine korrekte Finanzberichterstattung zur Verantwortung gezogen werden.
Der Kongress wurde am 1. Februar 2022 aufgerüttelt, als der damalige Dekan der juristischen Fakultät der University of Texas und Mitglied des Enron-Vorstands William C. Powers Jr. einen Unterausschuss des Kongresses zur Untersuchung des Skandals leitete und seine Ergebnisse vorlegte.
Er legte einen 218-seitigen Bericht vor, der sich wie ein Horrorfilm las - Finanztransaktionen ohne wirtschaftliche Substanz, die dazu dienten, die Gewinne zu manipulieren und die Führungskräfte von Enron persönlich zu bereichern.
Zum Schutz der Anleger durch die Verbesserung der Genauigkeit und Zuverlässigkeit der Finanzberichterstattung von Unternehmen brachte Michael Oxley, Abgeordneter des 4. Kongressdistrikts von Ohio, weniger als zwei Wochen später, am 14. Februar, einen Gesetzentwurf in das Repräsentantenhaus ein.
Es wurde als Gesetz über die Rechenschaftspflicht, Verantwortung und Transparenz von Unternehmen und Wirtschaftsprüfern bekannt.
Am 24. April 2002 verabschiedete das Repräsentantenhaus Oxleys Gesetzentwurf mit 334 zu 90 Stimmen und leitete ihn an den Senat weiter.
Der Senatsausschuss für Bankwesen, Wohnungsbau und städtische Angelegenheiten arbeitete jedoch auch an einem eigenen Gesetzentwurf und benötigte Hilfe. Den Vorsitz des Ausschusses hatte der Senator von Maryland, Paul Sarbanes, inne.
Am 18. Juni 2002 schließlich, nachdem sich Sarbanes die entscheidende Unterstützung des Senators von Wyoming, Mike Enzi, dem einzigen Buchhalter im Senat, gesichert hatte, billigte der Bankenausschuss des Senats den Gesetzentwurf von Sarbanes und leitete ihn an den Senat weiter.
Dann gab Worldcom am 25. Juni 2002 bekannt, dass es seinen Jahresgewinn um mehr als 3,8 Milliarden Dollar zu hoch angegeben hatte. Unter anderem wegen der darauf folgenden öffentlichen Empörung stellte die Senatsführung den Gesetzentwurf von Sarbanes zur sofortigen Debatte.
Der Senat billigte den Gesetzentwurf am 15. Juli 2022.
Aber jetzt gab es zwei Gesetzesentwürfe - einen von Repräsentant Oxley und einen von Senator Sarbanes - und beide wurden von den jeweiligen Kammern des Kongresses angenommen.
Es wurde ein Konferenzausschuss mit Mitgliedern aus dem Senat und dem Repräsentantenhaus gebildet, um die beiden Gesetzesentwürfe miteinander in Einklang zu bringen.
Am 25. Juli 2002 wurde das kombinierte Gesetz von beiden Häusern fast einstimmig angenommen und damit der Weg für die Unterzeichnung durch Präsident Bush am 30. Juli 2002 geebnet.
Präsident Bush bezeichnete das Gesetz, das heute als Sarbanes-Oxley Act bekannt ist, zu Ehren der Bemühungen seiner beiden Hauptsponsoren als "die weitreichendsten Reformen der amerikanischen Geschäftspraktiken seit der Zeit von Franklin Delano Roosevelt".
| Datum/Zeitleiste | Sarbanes-Oxley-Veranstaltung |
| 2. Dezember 2001 | Enron meldet Konkurs an |
| 1. Februar 2002 | William C. Powers Jr. untersucht den aufgedeckten Skandal bei Enron und legt seinen Bericht vor. |
| 14. Februar 2002 | Abgeordneter Michael Oxley bringt einen Gesetzentwurf ins Repräsentantenhaus ein (H.R. 3763) |
| April 24, 2002 | Das Repräsentantenhaus verabschiedet den Gesetzentwurf von Oxley mit 334 zu 90 Stimmen und leitet ihn an den Senat weiter. |
| 18. Juni 2002 | Der Bankenausschuss des Senats verabschiedet seinen Gesetzentwurf (S. 2673) mit 17 zu 4 Stimmen und leitet ihn an das Plenum des Senats weiter. |
| 8. bis 15. Juli 2002 | Der Gesetzentwurf wurde vom Senat erörtert und mit 97 zu 0 Stimmen angenommen. Es wird ein Konferenzausschuss gebildet, der die beiden Gesetzentwürfe miteinander in Einklang bringen soll. |
| 25. Juli 2002 | Beide Häuser billigen den Bericht des Konferenzausschusses. |
| 30. Juli 2002 | Präsident George Bush unterzeichnete das Gesetz. |
Die Bedeutung der SOX-Compliance für Unternehmen
Das Sarbanes-Oxley-Gesetz ist von entscheidender Bedeutung, da es eine bessere Aufsicht über die Unternehmen ermöglicht:
- Verbesserung der finanziellen Transparenz
- Verbesserung der internen Kontrollen
- Stärkere Rechenschaftspflicht und Verantwortung
Das Sarbanes-Oxley-Gesetz wurde vor dem Hintergrund aufsehenerregender Fälle von Unternehmensbetrug erlassen und sollte andere Unternehmen von Fehlverhalten abhalten.
Doch das Sarbanes-Oxley-Gesetz ist mehr als nur eine Abschreckung.
Sie sieht auch Rechtsmittel für Anleger vor, die durch falsche Finanzberichte finanzielle Verluste erleiden.
Als HealthSouth beispielsweise bekannt gab, dass das Unternehmen seine Gewinne und Vermögenswerte jahrelang in die Höhe getrieben hatte, wurde 2009 im Rahmen einer Sammelklage von Anlegern ein Vergleich in Höhe von 671 Millionen US-Dollar erzielt, um die Anleger zu entschädigen, die aufgrund der betrügerischen Bilanzierungspraktiken von HealthSouth Verluste erlitten hatten.
Und die Investoren von Tyco erzielten einen Vergleich in Höhe von 3,2 Milliarden Dollar, um sie für die durch den Betrug entstandenen Verluste zu entschädigen.
In Anerkennung der Rolle, die Whistleblower bei der Aufdeckung monumentaler Skandale spielen können, schützt das Gesetz Whistleblower auch vor Vergeltungsmaßnahmen, wenn sie betrügerische Aktivitäten melden.
Das übergreifende Ziel des SOX-Gesetzes ist es, das Vertrauen zwischen Unternehmen, Öffentlichkeit und Investoren zu stärken.
Sarbanes-Oxley-Gesetz: Überblick
Das Sarbanes-Oxley-Gesetz ist sehr umfangreich. Er umfasst 66 Seiten und berührt Themen wie:
- Aufsichtsbehörde für die Rechnungslegung öffentlicher Unternehmen (PCAOB)
- Unabhängigkeit des Abschlussprüfers
- Unternehmerische Verantwortung
- Verbesserte finanzielle Offenlegung
- Strafverschärfung bei Wirtschaftskriminalität
- Körperschaftssteuererklärungen
Die wichtigsten Bestimmungen des Sarbanes-Oxley Act
Das Sarbanes-Oxley-Gesetz umfasst zwar 11 weit gefasste Themen (sogenannte Titel), doch die folgenden sieben bieten einen hervorragenden Überblick.
- Titel I: Schaffung des Public Company Accounting Oversight Board (PCAOB)
Das PCAOB wurde gegründet, um die Prüfungen von Aktiengesellschaften zu überwachen, um die Interessen der Anleger zu schützen und das öffentliche Interesse an der Erstellung informativer, genauer und unabhängiger Prüfungsberichte zu fördern.
Zu den Aufgaben des PCAOB, das der Aufsichts- und Durchsetzungsbefugnis der Securities and Exchange Commission (SEC) unterliegt, gehören:
- Registrierung von Wirtschaftsprüfungsgesellschaften, die Prüfungsberichte für öffentliche Unternehmen erstellen
- Festlegung oder Verabschiedung von Prüfungs-, Qualitätskontroll-, Ethik-, Unabhängigkeits- und anderen Standards im Zusammenhang mit der Erstellung von Prüfungsberichten für öffentliche Unternehmen
- Durchführung von Inspektionen bei registrierten Wirtschaftsprüfungsgesellschaften
- Durchführung von Untersuchungen und Disziplinarverfahren in Bezug auf registrierte Wirtschaftsprüfungsgesellschaften und zugehörige Personen und Verhängung angemessener Sanktionen, sofern dies gerechtfertigt ist
Die Einrichtung des PCAOB stellt einen bedeutenden Wandel in der Regulierung der Rechnungsprüfung öffentlicher Unternehmen dar und soll die Zuverlässigkeit und Rechenschaftspflicht der Finanzberichterstattung verbessern.
- Titel II: Größere Unabhängigkeit der externen Rechnungsprüfer
In Titel II werden Normen und Anforderungen zur Gewährleistung der Unabhängigkeit externer Rechnungsprüfer festgelegt, um die Zuverlässigkeit und Integrität der Finanzberichterstattung zu verbessern.
Sie verbietet es den Abschlussprüfern, bestimmte Beratungsleistungen für ihre Prüfungskunden zu erbringen, und verlangt alle fünf Jahre einen Wechsel des leitenden Prüfungspartners.
Es sei daran erinnert, dass Arthur Andersen, das Wirtschaftsprüfungsunternehmen, das von Enron mit der Durchführung seiner Prüfungen beauftragt wurde, Enron auch umfangreiche Beratungsdienste zur Verfügung stellte. Die durch die Beratungsdienste von Andersen erzielten Einnahmen überstiegen bei weitem das Prüfungshonorar und brachten die Verantwortlichen in die missliche Lage, auf Millionen von Beratungseinnahmen zu verzichten, wenn sie bekannt gaben, dass sie bei Enron einen Betrug aufgedeckt hatten.
Diese Praxis der Erbringung von Beratungsdiensten für Prüfungskunden verwischt die Grenzen der Unabhängigkeit, da sie einen erheblichen Interessenkonflikt beinhaltet.
- Titel III: Verstärkte unternehmerische Verantwortung
Diese Bestimmung verlangt von den leitenden Angestellten, dass sie individuell die Verantwortung für die Richtigkeit und Vollständigkeit der Finanzberichte des Unternehmens übernehmen.
Sie besagt, dass der CEO und der CFO alle Finanzberichte überprüfen müssen und dass diese Beamten strafrechtlich belangt werden können, wenn sie falsche Berichte bescheinigen.
Früher mussten die Unternehmensleiter fast keine Verantwortung für ihr Handeln übernehmen.
Titel III schreibt außerdem vor, dass alle börsennotierten Unternehmen einen unabhängigen Prüfungsausschuss haben müssen, der für die Überwachung der Arbeit der externen Prüfer zuständig ist.
- Titel IV: Verbesserte finanzielle Offenlegung
Titel IV zielt darauf ab, die Genauigkeit und Transparenz der finanziellen Offenlegung von Unternehmen zu verbessern.
Sie verlangt von den Unternehmen die Offenlegung von mehr Informationen, einschließlich außerbilanzieller Transaktionen und Beziehungen.
Sie schreibt auch eine Bewertung der internen Kontrollen vor, um sicherzustellen, dass die Unternehmen über die notwendigen Kontrollen und Gegenkontrollen verfügen.
Diese umfassenden Offenlegungspflichten sind auch auf die Erfahrungen mit Enron zurückzuführen. Wann immer Enron beispielsweise Barmittel benötigte, gründete es heimlich ein temporäres Unternehmen, das technisch als Zweckgesellschaft (Special Purpose Entity, SPE) bekannt ist.
Der Zweck der SPE bestand darin, die Finanzierung durch die Bank zu sichern und dann die Barmittel an Enron für den fiktiven Verkauf von Vermögenswerten zu überweisen. Auf diese Weise konnte Enron die Schulden aus seinen Büchern heraushalten und sich gleichzeitig beträchtliche Mittelzuflüsse sichern.
- Titel V: Festlegung von Regeln für Interessenkonflikte für Sicherheitsanalysten
Nach dem Zusammenbruch von Enron fanden die Ermittler heraus, dass Analysten von Investmentbanken Anlegern günstige Empfehlungen zum Kauf von Enron-Aktien gaben, mit dem einzigen Ziel, ihrem Arbeitgeber Aufträge zu sichern und Boni zu verdienen.
Diese in Titel V des Sarbanes-Oxley-Gesetzes enthaltene Bestimmung versucht, betrügerische Praktiken von Analysten zu verhindern, indem sie Standards für Wertpapieranalysten festlegt und Anleger schützt, indem sie sicherstellt, dass die Anlageberatung, die sie erhalten, unvoreingenommen ist und nicht von den finanziellen Interessen des Analysten oder der Investmentbank beeinflusst wird.
- Titel VIII: Verschärfte strafrechtliche Sanktionen für Wertpapierbetrug
Titel VIII zielt auf die Abschreckung und Bestrafung von Unternehmensbetrug und den Schutz derjenigen, die ein solches Fehlverhalten aufdecken.
Dieser Abschnitt enthält die strafrechtlichen Sanktionen für die Zerstörung, Veränderung oder Fälschung von Dokumenten zur Behinderung von Ermittlungen des Bundes.
Diese Bestimmung wurde teilweise durch die Tatsache motiviert, dass Arthur Andersen, die Wirtschaftsprüfungsgesellschaft von Enron, Dokumente im Zusammenhang mit der Enron-Prüfung vernichtete, um sich selbst belastende Beweise zu beseitigen.
Dieser Abschnitt verhindert auch, dass Schulden, die durch Verstöße gegen das Wertpapierbetrugsgesetz entstanden sind, im Konkurs entlastet werden.
Titel VIII sieht auch einen Schutz für Informanten vor und enthält neue Vorschriften für die Aufbewahrung von Dokumenten.
- Titel IX und XI: Verantwortlichkeit für Unternehmensbetrug und Wirtschaftskriminalität
In diesen beiden Titeln werden die strafrechtlichen Sanktionen für Finanzbetrug in Unternehmen festgelegt und die Strafen für Wirtschaftskriminalität und Verschwörungen erhöht.
So beträgt beispielsweise die mögliche Höchststrafe für verschiedene Arten von Betrug jetzt 20 Jahre.
Im Folgenden finden Sie die wichtigsten Bestimmungen des Sarbanes-Oxley Act auf einen Blick:
| Titel 1 | Einrichtung des Public Company Accounting Oversight Board (PCAOB) |
| Titel 2 | Prüfer sollten bestimmte Beratungsleistungen nicht erbringen |
| Titel 3 | Leitende Angestellte übernehmen die Verantwortung für die Richtigkeit der Finanzberichte |
| Titel 4 | Die Verpflichtung zur Offenlegung von mehr Informationen, einschließlich außerbilanzieller Posten und Transaktionen |
| Titel 5 | Festlegung von Standards für Wertpapieranalysten und Regelung von Interessenkonflikten |
| Titel 8 | Strafrechtliche Sanktionen für das Verändern, Fälschen oder Vernichten von Unterlagen |
| Titel 9 und 11 | Strafrechtliche Sanktionen für Wirtschaftskriminalität und Verschwörungsdelikte |
Die Rolle des Public Company Accounting Oversight Board (PCAOB)
Das Public Company Accounting Oversight Board (PCAOB), das durch das Sarbanes-Oxley-Gesetz aus dem Jahr 2002 geschaffen wurde, spielt eine wichtige Rolle bei der Einhaltung der SOX-Vorschriften, einschließlich der Festlegung von Standards für qualitativ hochwertige Prüfungen, um die Zahl der Fälle falscher Finanzdarstellungen zu verringern.
Vor der Gründung des PCAOB waren die Wirtschaftsprüfungsgesellschaften in erster Linie selbstreguliert.
Da die Ermittler jedoch feststellten, dass die Wirtschaftsprüfungsgesellschaften in den Enron-Skandal und andere finanzielle Misserfolge verwickelt waren, die etwa zur gleichen Zeit auftraten, wurde die Selbstregulierung als unzureichend angesehen.
Folglich sah der Kongress die Notwendigkeit, den PCAOB zu gründen, der die Abschlussprüfer von Aktiengesellschaften beaufsichtigen sollte. Damit sollten die Interessen der Anleger geschützt und die Erstellung informativer, genauer und unabhängiger Prüfungsberichte gewährleistet werden.
Hier sind die wichtigsten Aufgaben des PCAOB:
- Registrierung von Wirtschaftsprüfungsgesellschaften: Aus Gründen der Rechenschaftspflicht und der Ordnung besteht eine der Hauptaufgaben des PCAOB darin, die Registrierung von Wirtschaftsprüfungsgesellschaften zu überwachen, die Prüfungsberichte für öffentliche Unternehmen erstellen. Nur beim PCAOB registrierte Wirtschaftsprüfungsgesellschaften können rechtmäßig öffentliche Unternehmen prüfen.
- Inspektion von registrierten Wirtschaftsprüfungsgesellschaften: Das PCAOB führt regelmäßig Inspektionen bei den registrierten Unternehmen durch, um die Einhaltung des SOX Act, der PCAOB-Vorschriften, der Berufsstandards und der Bundeswertpapiergesetze zu überprüfen. Diese Inspektionen können sowohl regelmäßig als auch aus Anlass von Problemen durchgeführt werden.
Wird eine Wirtschaftsprüfungsgesellschaft eines beruflichen Fehlverhaltens für schuldig befunden, kann das PCAOB Sanktionen und Strafen verhängen oder ihre Fähigkeit einschränken, Prüfungen von Publiku*msgesellschaften durchzuführen.
- Festlegung von Prüfungs- und Qualitätskontrollstandards: Das PCAOB legt auch Prüfungsstandards für öffentliche Unternehmen fest, die so genannten PCAOB Auditing Standards. Ziel dieser Normen ist es, qualitativ hochwertige, unabhängige Prüfungen zu gewährleisten. Sie decken verschiedene Themen ab, vom ethischen Verhalten der Prüfer bis zur Art und Weise, wie eine Prüfung abgeschlossen und berichtet wird.
- Durchsetzungsbefugnis: Das PCAOB kann gegen eine Prüfungsgesellschaft und ihre Partner ermitteln und sie disziplinarisch bestrafen, um sicherzustellen, dass die Vorschriften eingehalten werden. Diese Disziplinierung kann wegen Nichteinhaltung des SOX-Gesetzes, der PCAOB-Vorschriften, der SEC-Vorschriften und anderer berufsständischer Normen für die Prüfung von Aktiengesellschaften erfolgen.
Detaillierter Blick in die SOX-Abschnitte
Für eine genauere Betrachtung werden wir die folgenden Abschnitte behandeln.
- Abschnitt 302: Unternehmensverantwortung für Finanzberichte
- Abschnitt 404: Managementbewertung der internen Kontrollen
- Abschnitt 802: Strafrechtliche Sanktionen für die Veränderung von Dokumenten
Abschnitt 302: Unternehmensverantwortung für Finanzberichte
Der Kern von Abschnitt 302 besteht darin, die Verantwortung für die Richtigkeit der Abschlüsse auf den Einzelnen zu übertragen. Dadurch wird sichergestellt, dass sich die Führungskräfte nicht unter dem Schleier des Unternehmens verstecken können, um sich der persönlichen Verantwortung zu entziehen.
Zu diesem Zweck verlangen die SOX-Vorschriften, dass der CFO und der CEO die Formulare 10-Q (Quartalsabschlüsse) und 10-K (Jahresabschlüsse) unterzeichnen und zertifizieren.
Gemäß den Bestimmungen von Abschnitt 302 bescheinigen sowohl der CEO als auch der CFO persönlich eine Reihe von Aussagen, die sich in zwei große Kategorien unterteilen lassen.
- Bescheinigungen über die Richtigkeit und Vollständigkeit der Jahresabschlüsse
- Bescheinigungen über die Wirksamkeit und Zusammensetzung der internen Kontrollen
In Bezug auf Bescheinigungen, die sich auf die Richtigkeit und Vollständigkeit der Finanzberichte beziehen, bestätigen die CEOs und CFOs, dass sie die Finanzberichte geprüft haben und dass die Finanzberichte ihres Wissens nach keine unwahren Angaben zu wesentlichen Tatsachen enthalten oder wesentliche Tatsachen auslassen.
Die Bedeutung dieser Bescheinigung besteht darin, dass der CFO und der CEO nach bestem Wissen und Gewissen bestätigen, dass die Finanzberichte nicht irreführend sind.
Auf der anderen Seite müssen der CFO und der CEO in Bezug auf die internen Kontrollen bescheinigen, dass sie:
- sind verantwortlich für die Einrichtung und Pflege der Kontrollen
- Gestaltung der Kontrollen, um sicherzustellen, dass ihnen alle wesentlichen Informationen bekannt gemacht werden
- Bewertung der Wirksamkeit der Kontrollen
- ihre Schlussfolgerungen in Bezug auf die Wirksamkeit der Kontrollen dargelegt haben
- Unterrichtung der Prüfer über wesentliche Schwachstellen oder Mängel in der Gestaltung der Kontrollen
Abschnitt 404: Managementbewertung der internen Kontrollen
Section 404 führt weitreichende Reformen in der internen Kontrollstruktur von Unternehmen ein.
Heute muss die Geschäftsleitung einen Bericht in den Jahresabschluss aufnehmen, in dem sie ihre Verantwortung für die Aufrechterhaltung der internen Kontrollen und ihre Bewertung dieser Kontrollen bestätigt.
Auch die Verantwortung der externen Prüfer wurde durch diesen Abschnitt erweitert. Nach den SOX-Vorschriften müssen externe Prüfer die Behauptungen der Geschäftsleitung über das Vorhandensein und die Wirksamkeit interner Kontrollen bestätigen.
Das bedeutet, dass Prüfungen heute stark darauf ausgerichtet sind, Finanzprozesse zu verstehen und die vorhandenen Kontrollen zu testen, um zu verhindern, dass Fehler in Finanzberichten auftauchen.
Vor dem Sarbanes-Oxley-Gesetz mussten externe Prüfer die internen Kontrollen nicht testen, um deren Wirksamkeit zu bestimmen.
In demselben Bericht sollte die Geschäftsführung erklären, dass sie für etwaige Mängel in der internen Kontrollstruktur des Unternehmens verantwortlich ist.
Abschnitt 802: Strafrechtliche Sanktionen für die Veränderung von Dokumenten
Am 15. Juni 2002 wurde Arthur Andersen der Behinderung der Justiz für schuldig befunden, weil es wichtige Akten und Dokumente im Zusammenhang mit seinem berüchtigten Prüfungsmandanten Enron vernichtet hatte.
Die in Ungnade gefallene Wirtschaftsprüfungsgesellschaft wurde zu einer Geldstrafe von 500.000 Dollar und fünf Jahren Bewährung verurteilt.
In seiner beherzten Verteidigung argumentierte Arthur Andersen, dass die Vernichtung der Enron-Dokumente im Einklang mit seinen Richtlinien zur Aufbewahrung von Dokumenten stand und nicht durch Behinderung der Justiz motiviert war.
Zwar hob der Oberste Gerichtshof später die frühere Verurteilung von Arthur Andersen aufgrund der vom Gericht als "fehlerhaft" bezeichneten Belehrung der Geschworenen auf, doch wurden wichtige Lehren hinsichtlich der Integrität von Dokumenten gezogen.
Der Zweck von Abschnitt 802 des Sarbanes-Oxley Act ist einfach: Es soll sichergestellt werden, dass Dokumente auch nach finanziellen Ereignissen verfügbar bleiben und nicht verändert werden.
Abschnitt 802 des SOX Act von 2002 enthält die drei Vorschriften, die sich auf die Aufbewahrung von Aufzeichnungen auswirken.
1️⃣ Die erste betrifft die Vernichtung und Fälschung von Unterlagen.
Nach den Bestimmungen von Abschnitt 802 werden Sie mit einer Geldstrafe und einer Freiheitsstrafe von bis zu 20 Jahren bestraft, wenn Sie wissentlich ein Dokument ändern, zerstören oder fälschen, um eine Bundesuntersuchung zu behindern, zu vereiteln oder zu beeinflussen".
2️⃣ In der zweiten wird die Aufbewahrungsfrist für Aufzeichnungen auf mindestens fünf Jahre festgesetzt.
3️⃣ Die dritte Vorschrift beschreibt die spezifischen Geschäftsunterlagen, die Unternehmen aufbewahren müssen, wozu auch die elektronische Kommunikation gehört.
Die Liste der Geschäftsunterlagen, die Unternehmen und externe Prüfer aufbewahren sollten, ist breit gefächert und umfasst E-Mails, Memos, alle Buchhaltungsunterlagen und alle Unterlagen, die Finanzinformationen enthalten.
Die Bedeutung interner Kontrollen für die Einhaltung des SOX
Interne Kontrollen gewährleisten nicht nur die betriebliche Effizienz, so dass Kontrollprobleme lange vor der Entdeckung durch externe Prüfer erkannt werden, sondern spielen auch eine wichtige Rolle bei der Sicherstellung, dass die Jahresabschlüsse keine wesentlichen falschen Angaben enthalten.
Schwache interne Kontrollen, wie z. B. eine unzureichende Aufgabentrennung, sind bekanntermaßen die Ursache für eine Zunahme von Betrugsfällen.
Aus diesem Grund räumt der Sarbanes-Oxley Act den internen Kontrollen einen hohen Stellenwert ein.
In diesem Abschnitt werden wir uns mit folgenden Themen befassen:
- Die Definition und die Rolle der internen Kontrollen
- Die Bestandteile eines wirksamen internen Kontrollsystems
- Wie die SOX-Compliance die Qualität dieser Kontrollen überprüft
Die Definition und die Rolle der internen Kontrollen
In der Regel setzen Unternehmen interne Kontrollen ein, um Probleme in organisatorischen Abläufen zu verhindern oder aufzudecken und so sicherzustellen, dass das Unternehmen seine Ziele erreicht. Interne Kontrollen finden in allen Abteilungen eines Unternehmens statt, nicht nur in der Buchhaltungs- und Finanzabteilung.
SOX-Kontrollen, auch bekannt als SOX 404-Kontrollen, sind Prozesse, Richtlinien und Verfahren, die darauf abzielen, Fehler in der Finanzberichterstattung eines Unternehmens zu verhindern und aufzudecken.
Öffentliche Unternehmen sollten über Abteilungen für Innenrevision verfügen, deren Beauftragte regelmäßige Compliance-Audits durchführen müssen. Der Schwerpunkt dieser regelmäßigen Ordnungsmäßigkeitsprüfungen liegt darauf, zu überprüfen, ob angemessene interne Kontrollen vorhanden sind und ordnungsgemäß funktionieren.
Aber Folgendes sollten Sie beachten. Die SOX-Standards enthalten keine Liste mit spezifischen Kontrollen. Und sie enthalten auch keine detaillierten Vorschriften für den Schutz der Finanzberichterstattung. Stattdessen wird von den Unternehmen verlangt, dass sie ihre eigenen Kontrollen festlegen, die den Zielen der Regulierungsbehörde entsprechen.
Zu diesen Zielen könnten Zugangskontrolle, Änderungsverwaltung, Aufgabentrennung, Cybersicherheitslösungen und Sicherungssysteme gehören.
Die Bestandteile eines wirksamen internen Kontrollsystems
Eine Prüfung der Einhaltung des Sarbanes-Oxley-Gesetzes hat viele Facetten. Die Prüfung der internen Revision und der Kontrollen eines Unternehmens ist jedoch in der Regel der größte, komplexeste und zeitaufwändigste Teil einer SOX-Konformitätsprüfung.
Aber es ist eine Notwendigkeit für die Einhaltung der SOX-Vorschriften.
Dazu gehören Computer, Hardware, Software und alle anderen elektronischen Geräte, die Zugang zu Finanzdaten haben.
Als Wirtschaftsprüfer wissen wir, dass ein wirksames internes Kontrollsystem für die Finanzberichterstattung Folgendes umfasst:
1. Das Kontrollumfeld
Das Kontrollumfeld ist die Grundlage für das interne Kontrollsystem eines Unternehmens. Es gibt den Ton für die Unternehmenskultur an und beeinflusst das Verhalten der Mitarbeiter.
Das Kontrollumfeld umfasst:
- Philosophie und Arbeitsstil des Managements (auch bekannt als "The Tone at the Top")
- Organisatorische Struktur
- Verwaltungsrat und Prüfungsausschuss
- Personalpolitik
2. Risikobewertung
Bei der Risikobewertung geht es darum, die Risiken zu ermitteln und zu bewerten, die sich auf die Erreichung der Unternehmensziele auswirken könnten.
Im Rahmen der internen Kontrollen werden bei der Risikobewertung die Risiken ermittelt und bewertet, die ein wirksames Funktionieren der internen Kontrollen des Unternehmens verhindern könnten.
Eine Risikobewertung umfasst in der Regel Folgendes:
- Identifizierung von Risiken
- Bewertung der Wahrscheinlichkeit und der Auswirkungen der Risiken
- Priorisierung der Risiken
- Entwicklung von Strategien zur Risikominderung
3. Aktivitäten kontrollieren
Kontrolltätigkeiten sollen Fehler und Betrug in der Finanzberichterstattung verhindern oder aufdecken. Sie werden auf allen Ebenen der Organisation durchgeführt und sind oft in Geschäftsprozesse eingebettet.
Beispiele für Kontrolltätigkeiten sind:
- Zulassungen
- Berechtigungen
- Überprüfungen
- Abstimmungen
- Sicherheit des Vermögens
- Aufgabentrennung
4. Überwachung der Aktivitäten
Überwachungstätigkeiten sind Bewertungen oder Beobachtungen der Durchführung von Kontrolltätigkeiten, die erforderlich sind, um hinreichende Gewähr dafür zu bieten, dass die internen Kontrollen wirksam funktionieren.
Die Überwachungsmaßnahmen dienen der Aufdeckung von Kontrollmängeln.
Die Überwachungsmaßnahmen können von der Innenrevision des Unternehmens, der Geschäftsleitung oder anderen Personen durchgeführt werden. Sie können fortlaufend durchgeführt werden.
5. Dokumentation und Bewertung
Die Dokumentation ist ein Beleg für das interne Kontrollsystem des Unternehmens und trägt dazu bei, dass das System von den Mitarbeitern verstanden und befolgt wird.
Beispiele für die Dokumentation sind:
- Schriftliche Beschreibungen der internen Kontrollen
- Diagramme oder Flussdiagramme der Geschäftsprozesse des Unternehmens
- Nachweise für das Testen und die Überwachung der internen Kontrollen
Die Bewertungen dienen der Beurteilung der Wirksamkeit des internen Kontrollsystems des Unternehmens.
Wie die SOX-Compliance die Qualität dieser Kontrollen überprüft
Um die Nase vorn zu haben, müssen Sie wissen, wie die Qualität der internen Kontrollen durch SOX-Compliance-Audits überprüft wird.
Dies geschieht häufig.
Nachdem sie sich ein Bild vom Kontrollumfeld des Unternehmens gemacht und eine eigene Risikobewertung vorgenommen haben, überprüfen die externen Prüfer die Kontrolltätigkeiten des Unternehmens, um festzustellen, welche SOX-Kontrollen vorhanden sind, um zu verhindern, dass Vorgänge fehlerhaft erfasst werden.
Alternativ dazu werden die Prüfer nach internen Kontrollen suchen, die dazu dienen, fehlerhafte Aufzeichnungen sofort zu erkennen.
Als nächstes testen die Prüfer die Wirksamkeit der Kontrollen. Sie werden prüfen, ob die Kontrollen wie vorgesehen funktionieren und das festgestellte Risiko für die Finanzberichterstattung mindern.
Zu den Tests können die Prüfung einer Stichprobe von Transaktionen, die Prüfung des Zugangs zu sensiblen Informationen und die Beobachtung der Mitarbeiter bei der Ausführung ihrer Arbeit gehören.
Erreichen der SOX-Konformität
Sie wollen vielleicht die SOX-Compliance erreichen, weil sie gesetzlich vorgeschrieben ist, aber das ist die falsche Sichtweise.
Unternehmen, die die SOX-Richtlinien einhalten, haben ihre Risiken oft besser im Griff und arbeiten effizienter.
In diesem Abschnitt werden wir uns mit folgenden Themen befassen:
- Schritte zur Einrichtung einer SOX-konformen Umgebung
- Die Rolle interner und externer Audits bei der Einhaltung der Vorschriften
- Einsatz von SOX-Compliance-Software und -Tools
Schritte zur Einrichtung einer SOX-konformen Umgebung
Wenn Sie eine SOX-konforme Umgebung einrichten wollen, sollten Sie die folgenden fünf Schritte befolgen. Sie sind zwar nicht erschöpfend, aber sie weisen Ihnen den richtigen Weg.
- Verstehen der SOX-Anforderungen.
- Der erste Schritt besteht darin, die spezifischen Anforderungen des SOX zu verstehen. Dazu gehört das Lesen des SOX-Gesetzes, der PCAOB-Standards und der SEC-Leitlinien.
- Bewerten Sie den aktuellen Stand der Einhaltung der Vorschriften in Ihrem Unternehmen.
- Sobald Sie die SOX-Anforderungen verstanden haben, müssen Sie den aktuellen Stand der Einhaltung der Vorschriften in Ihrem Unternehmen bewerten. Dies wird Ihnen helfen, die Bereiche zu ermitteln, in denen Sie sich verbessern müssen.
- Entwicklung eines SOX-Konformitätsprogramms.
- Der nächste Schritt ist die Entwicklung eines SOX-Compliance-Programms. Dieses Programm sollte die folgenden Elemente enthalten:
- Ein Prozess der Risikobewertung
- Ein Verfahren zur Gestaltung und Umsetzung interner Kontrollen
- Ein Verfahren zur Überwachung und Prüfung interner Kontrollen
- ein Verfahren zur Behebung von Mängeln bei internen Kontrollen
- Der nächste Schritt ist die Entwicklung eines SOX-Compliance-Programms. Dieses Programm sollte die folgenden Elemente enthalten:
- Implementierung des SOX-Compliance-Programms.
- Sobald Sie ein SOX-Compliance-Programm entwickelt haben, müssen Sie es umsetzen. Dazu gehört, dass Sie das Programm in Ihrem gesamten Unternehmen einführen und Ihre Mitarbeiter in den Anforderungen des Programms schulen.
- Überwachung und Pflege des SOX-Compliance-Programms.
- Der letzte Schritt besteht darin, Ihr SOX-Compliance-Programm zu überwachen und zu pflegen. Dazu gehört die regelmäßige Überprüfung des Programms, um sicherzustellen, dass es wirksam ist, und die Durchführung von Aktualisierungen des Programms nach Bedarf.
Die Rolle interner und externer Audits bei der Einhaltung von Vorschriften
Sowohl die internen als auch die externen Prüfer des Unternehmens müssen eine Rolle bei der Einhaltung der SOX-Vorschriften spielen.
Die Rolle der externen Prüfer ist klar umrissen und einfach zu handhaben.
Nach den Bestimmungen des Sarbanes-Oxley Act sind externe Prüfer verpflichtet, die Behauptungen des Managements über das Vorhandensein und die Wirksamkeit interner Kontrollen zu prüfen.
In Bezug auf interne Audits ist das Sarbanes-Oxley-Gesetz jedoch weniger eindeutig.
Ungeachtet dessen ist die Unternehmensleitung gemäß den Abschnitten 404 und 302 des Gesetzes für die Einrichtung und Aufrechterhaltung interner Kontrollen verantwortlich und sollte wesentliche Mängel bei den internen Kontrollen offenlegen.
Hier kommt die Funktion der Innenrevision ins Spiel.
Aufgrund ihrer Ausbildung sind die internen Prüfer ein wichtiges Rädchen im Getriebe des internen Kontrollsystems. Sie sind am besten in der Lage, die Angemessenheit der internen Kontrollen und Verfahren zu beurteilen.
Darüber hinaus verfügen die internen Prüfer über mehr Kenntnisse in Bezug auf interne Kontrollrahmen wie COSO, dem Rahmen, der von der überwiegenden Mehrheit der börsennotierten Unternehmen verwendet wird.
Einsatz von SOX-Compliance-Software und -Tools
SOX-Compliance-Softwarelösungen sind für jedes Unternehmen, das gesetzlich zur Einhaltung des Sarbanes-Oxley Act verpflichtet ist, von entscheidender Bedeutung.
Ein Vorteil der SOX-Compliance-Software besteht darin, dass sie Dokumente und Content Management, Workflow und Überwachung kombiniert, um den Prozess der SOX-Compliance zu unterstützen.
Im Wesentlichen benötigen Sie eine SOX-Compliance-Softwarelösung, die unterstützende Dokumentation direkt mit den Kontrollen verknüpft und darüber hinaus alle SOX-bezogenen Programmdokumente, einschließlich Ihrer Risikokontrollmatrix, speichert.
Die Wahrheit ist, dass Unternehmen immer auf der Suche nach einer einfachen und einzigen Anwendung sind, mit der sie ihre SOX-Audits nahtlos verwalten können. Die Suche kann zwar langwierig und frustrierend sein, aber sie ist es wert.
Herausforderungen und Lösungen bei der Einhaltung von SOX
In diesem Abschnitt werden wir darüber sprechen:
- Häufige Herausforderungen für Unternehmen bei der Einhaltung von Vorschriften
- Praktische Lösungen für die Herausforderungen der SOX-Compliance
Häufige Herausforderungen für Unternehmen bei der Einhaltung von SOX
Zwar ist jede Erfahrung anders, aber im Folgenden werden einige Herausforderungen genannt, denen sich öffentliche Unternehmen bei der Einhaltung der SOX-Vorschriften stellen müssen.
- Unzureichende Wertschätzung der SOX-Compliance durch das Top-Management: Wenn die oberste Führungsebene die Bedeutung der SOX-Compliance nicht zu schätzen weiß, kann es sein, dass sie die dringend benötigte Unterstützung für die Aktivitäten zur Erreichung dieses Ziels verweigert.
Folglich kann diese ambivalente Haltung auf den Rest des Unternehmens übergreifen. Das Ergebnis ist, dass die Bemühungen des CFO, der allein für die Einhaltung der SOX-Richtlinien verantwortlich ist, möglicherweise nicht effektiv sind.
- Unzureichende Ressourcen: Die Einhaltung der SOX-Bestimmungen wird einfacher, wenn das Unternehmen genügend Ressourcen für dieses Ziel bereitstellt.
Häufig liegt dies daran, dass die Bedeutung der Einhaltung der SOX-Bestimmungen nicht erkannt wird. Empfehlungen zur internen Kontrolle, wie z. B. die Aufgabentrennung, werden möglicherweise als teuer und unnötig angesehen. Und manchmal fehlt es dem Unternehmen an ausreichenden Ressourcen und es ist hin- und hergerissen zwischen der Finanzierung der operativen Tätigkeiten und der Einhaltung der SOX-Vorschriften.
- Versäumnis, eine solide Risikobewertung durchzuführen: Unternehmen, die keine solide Risikobewertung durchführen, versäumen es oft, Prozesse, Kontensalden und relevante finanzielle Risiken zu identifizieren. Dies kann zu ungünstigen Ergebnissen bei Prüfungen führen und die Einhaltung der SOX-Vorschriften behindern.
- Ineffektive IT-Umgebung: Eine zuverlässige und effektive IT-Infrastruktur kann einen großen Beitrag zur Unterstützung des Tagesgeschäfts des Unternehmens leisten und darüber hinaus die Anforderungen an die Finanzberichterstattung erleichtern.
Die Einhaltung der SOX-Vorschriften erfordert, dass die IT-Systeme Prüfpfade, Datenintegrität und -genauigkeit sowie eine effektive Notfallwiederherstellung bieten. All dies muss gut dokumentiert und für die Prüfung durch externe Prüfer nachvollziehbar sein.
- Sich ständig weiterentwickelnde Risiken: Das geschäftliche Umfeld ist heute von einer noch nie dagewesenen Dynamik geprägt. Insbesondere die Risikolandschaft entwickelt sich ständig weiter. Infolgedessen ist die SOX-Compliance selten von Jahr zu Jahr gleich.
Praktische Lösungen für SOX-Compliance-Herausforderungen
Auf der Grundlage unserer Erfahrung mit der erfolgreichen Unterstützung tausender Unternehmen bei der Rationalisierung ihrer SOX-Compliance-Prozesse haben wir die folgenden Lösungen als die effektivsten erkannt:
- Der CFO sollte die oberste Führungsebene des Unternehmens über die Bedeutung der SOX-Compliance aufklären.
Ein Teil dieser Aufklärung sollte sich auf die Tatsache beziehen, dass die Implementierung von SOX-Kontrollen über die Einhaltung der Gesetze und die Verringerung von Risiken hinausgeht.
Wenn die oberste Führungsebene die Notwendigkeit der SOX-Compliance anerkennt, kann sie die Geldbörsen öffnen und die notwendige finanzielle Unterstützung bereitstellen, um den Erfolg sicherzustellen.
- Der CFO muss in die Risikobewertung einbezogen werden. Im Gegenzug sollte er dafür sorgen, dass alle wichtigen Interessengruppen des Unternehmens mit ins Boot geholt werden, auch solche außerhalb der Bereiche Rechnungswesen und Finanzen, so dass alle Prozessverantwortlichen das übergeordnete Ziel der SOX-Compliance verstehen können.
- Erfahrene IT-Experten sollten hinzugezogen werden, um eine effektive IT-Umgebung zu entwerfen und auszuführen, einschließlich der Beschaffung einer Anwendung oder eines Softwareprogramms, das auf die besonderen Bedürfnisse des Unternehmens zugeschnitten ist.
- Holen Sie sich Unterstützung von Experten. Es mag zwar kurzfristig teuer sein, aber wenn Sie die Hilfe von erfahrenen SOX-Risikoexperten in Anspruch nehmen, können Sie sicherstellen, dass Sie hervorragende Strukturen für eine nachhaltige SOX-Compliance geschaffen haben.
Die Auswirkungen der Nichteinhaltung des Sarbanes-Oxley-Gesetzes
Die Auswirkungen der Nichteinhaltung des Sarbanes-Oxley Act lassen sich in zwei große Kategorien einteilen.
- Gesetzliche Sanktionen bei Nichteinhaltung
- Auswirkungen auf den Ruf des Unternehmens und das Vertrauen der Anleger
Rechtliche Sanktionen bei Nichteinhaltung der Vorschriften
Der Sarbanes-Oxley Act sieht eine Reihe von Strafen für die Nichteinhaltung vor. Einige werden gegen Führungskräfte wie CEOs und CFOs verhängt, andere gegen das Unternehmen als Ganzes.
Zu den Strafen und rechtlichen Konsequenzen bei Nichteinhaltung des SOX gehören:
- Zivilrechtliche Sanktionen und Geldstrafen
- Abschöpfung von Gewinnen
- Ausschluss von der Tätigkeit als leitender Angestellter oder Direktor eines öffentlichen Unternehmens
- Strafrechtliche Anklagen, die zu 20-jährigen Haftstrafen führen können
- Aktionärsklagen
- Verlust der Börsennotierung
Die Art der rechtlichen Folgen hängt von der Schwere des Verstoßes ab.
Vorsätzlicher Betrug wird streng geahndet, wahrscheinlich mit einer Strafanzeige. Eine unsachgemäße Dokumentation der internen Kontrolle kann hingegen eine zivilrechtliche Geldstrafe nach sich ziehen.
Auswirkungen auf den Ruf des Unternehmens und das Vertrauen der Anleger
Die Nichteinhaltung von Vorschriften kann den Wert und den Ruf eines Unternehmens zerstören und zu einem enormen Verlust an Geschäftsmöglichkeiten führen.
Laut einer von Deloitte durchgeführten Umfrage stuften 87 % der Führungskräfte das Reputationsrisiko als ein wichtiges strategisches Risiko für ihr Unternehmen ein.
Die Nichteinhaltung von Vorschriften beeinträchtigt nicht nur das öffentliche Ansehen eines Unternehmens oder einer Führungskraft. Eine verstärkte Prüfung und Überwachung durch die Aufsichtsbehörden erhöht die Belastung eines Unternehmens durch die Einhaltung der Vorschriften.
Fallstudie: Erfolgreiche SOX-Compliance
In diesem Abschnitt werden wir kurz darauf eingehen:
- Ein Unternehmen, das erfolgreich Maßnahmen zur Einhaltung des SOX umgesetzt hat
- Gelernte Lektionen und wichtige Schlussfolgerungen
Ein Überblick über ein Unternehmen, das erfolgreich Sox-Compliance-Maßnahmen umgesetzt hat
Qualys Inc. wurde 1999 gegründet und bietet Sicherheits- und Compliance-Lösungen für Cloud Computing an. Das in Kalifornien ansässige Unternehmen verfügt über ein Kundenportfolio mit mehr als 70 % der Forbes Global 50-Unternehmen in 130 Ländern.
Qualys behauptet, bei einem Fortune Global 50-Unternehmen den weltweit größten Einsatz von Schwachstellenmanagement zu haben.
Da die Verwaltung der Monatsabschlüsse mit Excel immer schwieriger wurde, suchte das Unternehmen nach einer Software zur Automatisierung von Buchhaltungsabläufen, die seine Anforderungen an die Finanzberichterstattung und die Automatisierung von Arbeitsabläufen erfüllen konnte.
"Die Tabellenkalkulation erfüllte ihren Zweck, war aber nicht effizient", so Valerie Cardozo, Leiterin der Abteilung Finanzen und Compliance des Unternehmens.
Dies lag laut Cardozo zum Teil daran, dass das Wachstum von Qualys den Zeitplan für den Abschluss komplexer und zeitkritischer gemacht hatte, vor allem wenn man bedenkt, dass das Buchhaltungsteam auf der anderen Seite der Welt verteilt war.
Im Jahr 2019 entschied sich das amerikanische Technologieunternehmen für FloQast.
"Ich hatte das Gefühl, dass FloQast flexibler und in der Lage war, unsere Bedürfnisse als globales Team zu erfüllen", erinnert sich Cardozo und fügt hinzu, dass die Abschluss-Checkliste von FloQast schlanker war und den geografisch verstreuten Teams mehr Einblick in den Abschlussprozess gewährte.
Nach den großen Erfolgen mit FloQast im Kontext operativer Abläufe beschloss Qualys, mit der Lösung auch seine Workflows rund um SOX-Compliance zu automatisieren.
Heute weist der Finanzdirektor des Unternehmens die Kontrollen einem Teammitglied zu und muss nicht mehr in Excel nachsehen oder Erinnerungen verschicken. Er fügt hinzu, dass FloQast ihm die Gewissheit gibt, dass die Kontrollen abgezeichnet und die Nachweise und Daten sofort verfügbar sind".
Qualys zufolge wurde die Einhaltung der SOX-Richtlinien dadurch noch leichter zugänglich, dass das Unternehmen sowohl seinen internen als auch seinen externen Prüfern Lizenzen erteilt hat, so dass sie die benötigten Informationen, einschließlich der Abstimmungen und Analysen, die die Freigaben unterstützen, sofort abrufen können.
Gelernte Lektionen und wichtige Schlussfolgerungen
Aus den Erfahrungen von Qualys lassen sich die folgenden Erkenntnisse ableiten.
- Tabellenkalkulationen haben ihre Berechtigung, aber es gibt ein gewisses Maß an Komplexität und Aktualität, bei dem sie sich als ineffizient erweisen.
- Unternehmen sollten nach einer anpassbaren Software suchen, die ihren individuellen Bedürfnissen entspricht.
- Unternehmen sollten sich auf Software konzentrieren, die sowohl die tägliche betriebliche Effizienz, einschließlich Tools zur Workflow-Automatisierung, als auch die SOX-Konformität gewährleistet.
Schlussfolgerung: Die Zukunft der SOX-Compliance
In diesem Abschnitt werden wir uns damit befassen:
- Voraussichtliche Veränderungen und ihre Auswirkungen
- Wie Unternehmen den künftigen Veränderungen voraus sein können
Vorausgesagte Veränderungen und ihre Auswirkungen
Während sich die Grundlagen der SOX-Compliance seit 2002 nicht geändert haben, hat sich die Identifizierung der laufenden Risiken, die sich auf die Finanzberichterstattung auswirken, enorm verändert und wird sich weiter verändern.
- Risiken: Die zunehmenden Risiken im Bereich der Cybersicherheit und der Datenverwaltung werden auch in Zukunft ein wichtiger Faktor für die Einhaltung der SOX-Vorschriften sein. Die Identifizierung von Risiken und die Einrichtung von Kontrollen zur Verhinderung oder Minderung von Schäden wird es erforderlich machen, dass Unternehmen ihr Kontrollumfeld kontinuierlich bewerten.
Die Unternehmen werden sich von der jährlichen Bewertung der SOX-Konformität verabschieden und zu einer kontinuierlichen Überwachung übergehen.
- KI und maschinelles Lernen: Die Unternehmen wollen KI und maschinelles Lernen nutzen, um mehr Aufgaben zur Einhaltung der SOX-Vorschriften zu automatisieren. Dadurch könnten sich die Compliance-Fachleute auf wertschöpfungsintensivere Tätigkeiten konzentrieren.
- Internationale Harmonie: Für weltweit tätige Unternehmen bedeuten Risikomanagement und Compliance mehr als die Einhaltung der SOX-Vorschriften. Es gibt IFRS (Internal Financial Reporting Standards), AML (Anti-Money Laundering)-Vorschriften, KYC (Know Your Customer)-Regeln und Basel III-Rahmenwerke, die befolgt werden müssen.
Unternehmen müssen über alle gesetzlichen Anforderungen, denen sie ausgesetzt sind, auf dem Laufenden bleiben und Softwarelösungen finden, die SOX-Compliance und die Einhaltung aller gesetzlichen Vorschriften gewährleisten.
Wie Unternehmen den künftigen Veränderungen voraus sein können
Im Folgenden finden Sie drei Möglichkeiten, wie Unternehmen den künftigen Veränderungen voraus sein können.
- Definieren Sie eine klare Compliance-Vision und -Strategie: Unternehmen sollten eine Compliance-Strategie haben, die sich auf die Bereiche mit dem höchsten Compliance-Risiko konzentriert.
- In Technologie investieren: Unternehmen sollten in Technologien investieren, die ihnen helfen, Aufgaben zur Einhaltung der SOX-Vorschriften zu automatisieren, Risiken zu erkennen und zu mindern und die Qualität ihrer Finanzberichte zu verbessern.
- Regelmäßige Risikobewertungen durchführen: Die Unternehmen sollten ihr Risikoumfeld kontinuierlich überwachen, um ein Risiko proaktiv zu erkennen, bevor es sich nachteilig auf die Finanzberichte auswirkt.
Interne Kontrollen und die Einhaltung der SOX-Vorschriften gibt es schon seit über 20 Jahren. Unabhängig davon, ob Ihr Unternehmen neu im SOX-Geschäft ist oder ein Veteran, der Schlüssel zum Erfolg im SOX-Geschäft ist immer die Überwachung und der Zugriff darauf.
Schieben Sie die Einhaltung der SOX-Vorschriften nicht bis zum Jahresende auf, wenn Sie Hunderte von anderen Aufgaben zu erledigen haben. Sie werden es bereuen.
