Sarbanes-Oxley (SOX): Ein einfacher Leitfaden

Das Sarbanes-Oxley-Gesetz ist ein Rechtsakt, der im Jahr 2002 in Kraft getreten ist. Das Gesetz wurde vom Kongress der Vereinigten Staaten verabschiedet, um die Aktionäre und die Öffentlichkeit vor Betrug und schwerwiegenden Fehlern in der Rechnungslegung zu schützen. Das Gesetz sollte auch die Transparenz der Unternehmensangaben verbessern und Ungenauigkeiten vermeiden.

Seit 2002 ist die Einhaltung des SOX-Gesetzes eine zentrale Aufgabe für alle öffentlichen Unternehmen, insbesondere für öffentliche Wirtschaftsprüfungsgesellschaften und Verwaltungsgesellschaften. Es gibt auch einige Teile des Gesetzes, die von privaten Unternehmen befolgt werden müssen.

Um die Sarbanes-Oxley-Gesetzgebung in vollem Umfang zu erfüllen, müssen die Unternehmen sowohl finanzielle als auch digitale Anforderungen beachten. Einer der wichtigsten Bereiche der SOX-Vorschriften, die Unternehmen beachten müssen, betrifft die Speicherung von Informationen.

Die SOX-Gesetzgebung legt weder fest, wie Unternehmen ihre Aufzeichnungen aufbewahren, noch gibt sie strenge Richtlinien für die besten Geschäftspraktiken vor, die anzuwenden sind. Es werden jedoch Regeln für die Arten von Informationen aufgestellt, die aufbewahrt werden sollten, und für wie lange diese Informationen aufbewahrt werden müssen. So sind Unternehmen beispielsweise verpflichtet, elektronische Aufzeichnungen und Nachrichten mindestens fünf Jahre lang aufzubewahren. Wenn Unternehmen dies nicht tun, können Geldstrafen verhängt werden. In schwerwiegenden Fällen können sogar Gefängnisstrafen verhängt werden.

Um sicherzustellen, dass Ihr Unternehmen alle SOX-Anforderungen erfüllt, empfiehlt es sich, eine Compliance-Checkliste zu verwenden, in der alle Regeln und Vorschriften der Abschnitte 302 und 404 des Gesetzes zusammengefasst sind.

Abschnitte 302 und 404 des SOX

Das SOX-Gesetz aus dem Jahr 2002 war eine wesentliche treibende Kraft bei der Gewährleistung der Rechenschaftspflicht in öffentlichen Unternehmen. Zwei seiner wichtigsten Bestimmungen, bekannt als Section 302 und Section 404, haben bis heute entscheidend zu seiner Bedeutung beigetragen.

Abschnitt 302: Dieses Mandat umfasst eine Reihe von Sicherheitsvorkehrungen, die sicherstellen sollen, dass hochrangige Mitglieder des Führungsteams eines Unternehmens die Richtigkeit der Finanzberichte förmlich bestätigen müssen. Der Abschnitt selbst umfasst Sicherheitsvorkehrungen zur Verhinderung von Datenmanipulationen, Sicherheitsvorkehrungen zur Festlegung von Fristen, überprüfbare Kontrollen des Datenzugriffs und empfohlene operative Sicherheitsvorkehrungen. Darüber hinaus umfasst dieser Abschnitt auch die Berichterstattung über die Wirksamkeit dieser Schutzmaßnahmen und die Aufdeckung potenzieller Sicherheitsverletzungen.

Abschnitt 404: Dieser Abschnitt verlangt die Einführung interner Kontrollen und Berichterstattungsmethoden sowohl durch das Management als auch durch die Prüfer. Die Einführung dieses Abschnitts ist kostspielig, da die geforderten internen Kontrollen sehr kostspielig sind. Diese Kontrollen umfassen die Offenlegung von Sicherheitsvorkehrungen gegenüber zugelassenen SOX-Prüfern sowie die Offenlegung möglicher Sicherheitsverletzungen und -ausfälle gegenüber den Prüfern.

Abschnitt 802

Die Aufbewahrung von Aufzeichnungen ist das Hauptthema von Abschnitt 802 des Gesetzes. Er regelt die Aufbewahrung von Aufzeichnungen auf drei verschiedene Arten. Erstens gibt SOX Richtlinien für die Vernichtung von Aufzeichnungen und die Aufdeckung falscher Aufzeichnungen vor. Zweitens legt SOX den Zeitrahmen für die Aufbewahrung von Aufzeichnungen fest. Drittens gibt Sarbanes-Oxley den Unternehmen Vorschriften darüber, welche Aufzeichnungen sie aufbewahren müssen. In diesem Abschnitt wird auch besonders auf elektronische Nachrichten und die korrekte Aufbewahrung derselben eingegangen.

SOX und Spreadsheet-Risiko

Trotz der zunehmenden Bedeutung immer komplexerer IT-Systeme in Unternehmen ist die Verwendung von Tabellenkalkulationen in Unternehmen immer noch weit verbreitet. Daher müssen bei der Verwaltung solcher Tabellenkalkulationsbestände die SOX-Compliance-Richtlinien beachtet werden. Wenn Tabellenkalkulationen nicht effektiv verwaltet werden, birgt das aufgrund ihrer Flexibilität erhebliche Risiken. Die Tatsache, dass viele Tabellenkalkulationen auch mit verschiedenen Datenquellen und anderen Tabellenkalkulationen verknüpft sind, bedeutet, dass das Risiko von Tabellenkalkulationen ein Faktor ist, den Unternehmen nicht ignorieren können.

Schritte zur Erfüllung der Sarbanes-Oxley-Anforderungen

1. Erstellen Sie einen Plan: Stellen Sie sicher, dass vollständige Klarheit darüber besteht, welche Informationen wann gemeldet werden müssen. Entwickeln Sie kurzfristige Ziele für das laufende Jahr sowie langfristige Ziele, die mit der Entwicklung der Organisation übereinstimmen.
2. Wählen Sie ein oder mehrere Rahmenwerke zur Unterstützung der Einhaltung der Vorschriften: Verschiedene Organisationen haben Rahmenwerke und Modelle entwickelt, die bei der Entwicklung interner SOX-Kontrollen und der Einhaltung der Vorschriften verwendet werden können, z. B. das Committee of Sponsoring Organizations of the Treadway Commission (COSO), Control Objectives for Information and Related Technologies (COBIT) und das Information Technology Governance Institute (ITGI).
3. Durchführung einer Sarbanes-Oxley-Risikobewertung: Ein Einblick in die Prozesse, die für die Einhaltung der Vorschriften relevant sind, und in die Bereiche, in denen potenzielle Risiken auftreten können, ist für die Entwicklung eines umfassenden Plans zur Einhaltung der Vorschriften entscheidend.
4. Bewertung der Kontrollen auf Unternehmensebene: Welche Kontrollen gibt es und in welchen Abteilungen?
5. Prozesse dokumentieren: Alle SOX-relevanten Prozesse müssen dokumentiert werden, damit die Zuständigkeiten und die Informationen klar sind. Auch die Kontrollen zum Schutz vor Betrug oder anderen Risiken müssen geklärt werden.
6. IT-Kontrollen: Die Datensicherheit sollte immer ganz oben auf der Prioritätenliste stehen, und die Aufrechterhaltung dieser Sicherheit ist entscheidend für die Risikobewertung zur Einhaltung des Sarbanes-Oxley-Gesetzes.
7. Bewertung von Drittanbietern: Es liegt in der Verantwortung Ihres Unternehmens, angemessene Kontrollen zum Schutz Ihrer Finanzdaten einzurichten. Dazu gehört auch eine gründliche Bewertung von Drittanbietern, die Sie möglicherweise in Anspruch nehmen.
8. Tests der internen Kontrollen: Die Schlüsselkontrollen sollten regelmäßig getestet werden, um sicherzustellen, dass sie den Anforderungen des SOX entsprechen.
9. Bewertung von Mängeln: Wenn bei der Prüfung Mängel festgestellt werden, müssen diese bewertet werden, um festzustellen, ob sie erheblich sind. Alle Mängel, die eine wesentliche Auswirkung auf die Organisation haben, müssen gemeldet werden.
10.  Kommunikation der Ergebnisse: Die Geschäftsleitung und der Prüfungsausschuss sollten über den Stand der internen Compliance und der Kontrollen informiert werden.