Um die SOX-Vorschriften und die ICFR-Anforderungen zu erfüllen, müssen Unternehmen Kontrollen einrichten, die eine Vielzahl von IT- und Finanzaspekten abdecken, die alle auf ihre einzigartige Organisationsstruktur zugeschnitten sind. Führende Organisationen verweisen auf Rahmenwerke wie COBIT und COSO und sogar auf eine Kombination aus beiden, die Sie bei Ihrem Streben nach SOX- und ICFR-Konformität anwenden können. Die Inhaltsbibliothek von Alyne geht über die Bereitstellung von IT- und Informationssicherheitskontrollen hinaus und enthält nun auch eine umfassende Abdeckung von Finanzkontrollen, die sich ausschließlich auf die finanzielle Integrität eines Unternehmens konzentrieren.
Die erste Kodifizierung interner Rechnungslegungskontrollen erfolgte vor fast vier Jahrzehnten, angestoßen durch die zunehmenden Bestechungs- und Korruptionsfälle in US-Unternehmen im Jahr 1977. Seitdem sind die Anforderungen an die Finanzkontrolle und die Berichterstattung langsam klarer definiert und durchgesetzt worden, was unter anderem durch den Enron-Bilanzskandal bekannt wurde. Der Sarbanes-Oxely Act (SOX) ist seit 2002 für alle börsennotierten und in den USA tätigen Unternehmen in Kraft, um Buchhaltungsfehler und betrügerische Praktiken zu verhindern und zu bekämpfen. Section 404 verlangt die Einführung angemessener interner Kontrollen über die Finanzberichterstattung (Internal Control over Financial Reporting, ICFR) in börsennotierten Unternehmen, um eine faire Finanzberichterstattung in Übereinstimmung mit den Generally Accepted Accounting Principles (GAAP) zu gewährleisten . Externe Prüfer müssen die Ausgestaltung und Wirksamkeit der internen Kontrollen für die Finanzberichterstattung und die Richtigkeit der Jahresabschlüsse einer Organisation bestätigen.
Obwohl oben erwähnt wird, dass die Anforderungen "klarer definiert" werden, sind die tatsächlichen Anforderungen zur Erreichung der Konformität nicht so einfach, und SOX wird nicht für eine direkte Anleitung zur Erreichung der Konformität gelobt. Das Sarbanes-Oxley-Gesetz schreibt zwar vor, dass Unternehmen sowohl im IT- als auch im Finanzbereich über etablierte und wirksame interne Kontrollen verfügen müssen, enthält aber weder eine Checkliste, die zu befolgen wäre, noch Meilensteine, an denen sich die Erfolge messen lassen. Die Zweideutigkeit der SOX-Anforderungen wurde aufgrund ihrer vagen Natur weithin verurteilt, ganz zu schweigen von der fehlenden Differenzierung zwischen wichtigen Prozessteilen.
Trotz des Fehlens eines klar definierten SOX-Kontrollrahmens verweisen zwei führende Organisationen, die für die Umsetzung der SOX verantwortlich sind, nämlich die SECC und die PCAOB, auf weithin akzeptierte Rahmenwerke wie COSO und COBIT und sogar auf eine Kombination aus beiden, die Sie bei Ihrem Streben nach SOX-Compliance und der Gewährleistung des ICFR einsetzen können. Die Kombination von Rahmenwerken kann auch dazu beitragen, dass alle Aspekte in Ihrer SOX-Compliance-Checkliste abgedeckt sind und Ihre Organisationen die in Abschnitt 404 aufgeführten ICFR-Anforderungen erfüllen können.
COSO, COBIT, SOX & ICFR
Ausschuss der Trägerorganisationen der Treadway Commission (COSO) - 1985
Das COSO-Rahmenwerk bietet einen angewandten Risikomanagementansatz für interne Kontrollen und formuliert Schlüsselkonzepte, die Organisationen zur Betrugsabwehr nutzen können. Das Rahmenwerk legt auch den Schwerpunkt auf finanzbezogene Kontrollen, um die Anforderungen des SOX 404 an den ICFR zu erfüllen. Das Rahmenwerk berücksichtigt jedoch nicht in vollem Umfang die IT-Umgebung der Organisation. Nach COSO gibt es drei Arten von internen Kontrollen:
- Diejenigen, die den Betrieb eines Unternehmens betreffen
- Diejenigen, die sich auf die Einhaltung von Gesetzen und Vorschriften durch ein Unternehmen auswirken .
- Diejenigen, die die Rechnungslegung eines Unternehmens Finanzberichterstattung auswirken. (ICFR)
Kontrollziele für Informations- und verwandte Technologie (COBIT) - 1992
COBIT ist ein von ISACA entwickelter Rahmen für das IT-Management, der einen klaren Weg für die Entwicklung von Richtlinien und bewährten Verfahren für die IT-Kontrolle vorgibt und Organisationen hilft, ihre Ziele im Bereich der Informationstechnologie zu erreichen. Das COBIT-Modell ermöglicht es Managern, die Kluft zwischen Kontrollanforderungen, technischen Fragen und Geschäftsrisiken zu überbrücken.
Sarbanes-Oxley-Gesetz (SOX) - 2002
-
Abschnitt 404 - Interne Kontrolle der Finanzberichterstattung
SOX gilt für alle börsennotierten Unternehmen in den Vereinigten Staaten sowie für hundertprozentige Tochtergesellschaften und ausländische Unternehmen, die börsennotiert sind und in den Vereinigten Staaten Geschäfte machen. Der Bericht über die internen Kontrollen, der in Abschnitt 4 des Gesetzes vorgeschrieben ist und allgemein als SOX 404 bekannt ist, verlangt, dass alle betroffenen Unternehmen über angemessene interne Kontrollen verfügen, um in ihren Jahresberichten korrekte Finanzdaten auszuweisen. Genauer gesagt verlangt SOX 404 von den Unternehmen, dass sie angemessene interne Kontrollen für die Finanzberichterstattung (Internal Control over Financial Reporting - ICFR) einführen, um sicherzustellen, dass faire Finanzberichterstattungspraktiken in Übereinstimmung mit den allgemein anerkannten Rechnungslegungsgrundsätzen (Generally Accepted Accounting Principles - GAAP) eingeführt wurden.
SOX-Compliance und Erfüllung der ICFR-Anforderungen bei Alyne
In einer vernetzten Welt hängt die finanzielle Integrität in hohem Maße von einer sicheren, gut funktionierenden IT-Infrastruktur ab. Die Fähigkeit, Ihre Finanzen zu verfolgen, erfordert volle Transparenz und die Gewissheit, wo und wie Ihre Daten fließen. Um die in SOX 404 festgelegten ICFR-Anforderungen zu erfüllen, muss eine Organisation nicht nur über solide Finanzkontrollen verfügen, die sich auf die finanzielle Integrität eines Unternehmens konzentrieren, sondern auch relevante Geschäftskontrollen mit IT- und Informationssicherheitsthemen abdecken.
In Alyne abgedeckt:
-
Vollständiges Mapping auf der Grundlage von COBIT-COSO.
-
Umfassende Kontrollen im Bereich IT und Informationssicherheit.
-
Die Bibliothek der Finanzkontrollen konzentriert sich ausschließlich auf die finanzielle Integrität eines Unternehmens.
ICFR-Kontrollset und Bewertungsvorlage:
Die auf der Alyne-Plattform verfügbaren Inhalte haben es uns ermöglicht, ein sofort einsatzbereites Kontrollset für ICFR (Internal Control over Financial Reporting) für die Einhaltung von SOX und SOC 1 zu veröffentlichen .
Zusätzlich zum Kontrollset bietet Alyne eine sofort einsatzbereite Bewertungsvorlage mit vorkonfigurierten Reifegraden an, die Unternehmen bei der Bewertung des Reifegrads ihrer finanziellen Integrität helfen . Regelmäßige Selbstbewertungen helfen Unternehmen, die Einhaltung ihrer Anforderungen an die Finanzberichterstattung zu überprüfen, und unterstützen sie bei der Stärkung ihrer internen Kontrolle über die Finanzberichterstattung. Die neueste Funktion von Alyne zur internen Kontrolle der Finanzberichterstattung ermöglicht eine vollständige Überprüfung des Zustands Ihres Unternehmens sowie Ihres Lieferantenstamms im Hinblick auf die Einhaltung von SOX und SOC 1.
Laden Sie unser neuestes Whitepaper herunter und erfahren Sie mehr über SOX/SOC-in-a-Box und wie Alyne Ihr Unternehmen bei der Erfüllung der Anforderungen des U.S. Sarbanes-Oxley Act (SOX) an die interne Kontrolle über die Finanzberichterstattung (Internal Control over Financial Reporting, ICFR) und des Rahmenwerks System and Organisation Controls 1 (SOC 1) unterstützen kann, das definiert ist als "Bericht über die Prüfung von Kontrollen bei einer Dienstleistungsorganisation, die für die interne Kontrolle über die Finanzberichterstattung der Nutzerunternehmen relevant sind".
