SOX

SOX, kurz für Sarbanes-Oxley Act, ist ein US-amerikanisches Bundesgesetz, das verabschiedet wurde, um die Transparenz der Finanzberichterstattung zu erhöhen, die Verantwortung von Unternehmen zu stärken und Investoren vor Betrug zu schützen. Das Gesetz wurde nach den großen Unternehmensskandalen Anfang der 2000er Jahre eingeführt und stellt strengere Anforderungen an börsennotierte Unternehmen, deren Management, Abschlussprüfer und interne Kontrollen.

Im Kontext von IT, Cybersicherheit und Unternehmensinfrastruktur wird SOX am häufigsten mit der Kontrolle von Systemen in Verbindung gebracht, die sich auf die Finanzberichterstattung auswirken. Dazu zählen beispielsweise ERP-Systeme, Buchhaltungssysteme, Datenbanken, Dokumenten-Repositorys, Systeme zur Zugriffsverwaltung, Ereignisprotokolle, Integrationen und Anwendungen, in denen finanziell relevante Daten erstellt, geändert oder gespeichert werden.

Die Grundidee von SOX besteht darin, die Finanzberichterstattung verlässlicher und nachprüfbar zu machen. Das Management eines Unternehmens muss nicht nur Jahresabschlüsse veröffentlichen, sondern auch die Verantwortung für die interne Kontrolle bestätigen. Die SEC weist darauf hin, dass Section 404 verlangt, dass der Jahresbericht eine Bewertung des Managements zur Wirksamkeit der internen Kontrolle über die Finanzberichterstattung enthält.

Was SOX regelt

SOX regelt Corporate Governance, Finanzberichterstattung, die Unabhängigkeit von Abschlussprüfern, die Verantwortung der Geschäftsleitung sowie die Regeln für interne Kontrollen. Für börsennotierte Unternehmen bedeutet das, dass finanzielle Prozesse dokumentiert, kontrolliert und für eine Überprüfung verfügbar sein müssen.

Besonders wichtig ist Section 404. Sie verpflichtet das Management, die Wirksamkeit der internen Kontrolle über die Finanzberichterstattung zu bewerten, und in bestimmten Fällen muss ein unabhängiger Abschlussprüfer diese Bewertung bestätigen. Untersuchungen der SEC weisen zudem darauf hin, dass Section 404(a) das Management verpflichtet, die Wirksamkeit der ICFR zu bewerten und offenzulegen, während Section 404(b) eine Bestätigung dieser Bewertung durch den Abschlussprüfer verlangt.

In der Praxis betrifft SOX nicht nur die Finanzabteilung. Wirkt sich ein IT-System auf Finanzdaten aus, wird es Teil der SOX-Kontrolle. Die Anforderungen können daher Benutzerzugriffe, Änderungen an Anwendungen, Backups, die Aufbewahrung von Logs, die Funktionstrennung sowie die Kontrolle administrativer Handlungen betreffen.

SOX und IT-Kontrollen

IT-Kontrollen im Rahmen von SOX sind erforderlich, um sicherzustellen, dass Finanzdaten korrekt, geschützt und nachprüfbar bleiben. Ein Unternehmen muss wissen, wer Zugriff auf kritische Systeme hat, wer Daten ändern kann, wie Änderungen protokolliert werden und wie unbefugte Handlungen verhindert werden.

Zu den IT-Kontrollen im Rahmen von SOX gehören in der Regel mehrere Bereiche:

• Zugriffsverwaltung für Finanzsysteme;
• Funktionstrennung und Vermeidung von Kompetenzkonflikten;
• Kontrolle von Änderungen an Anwendungen und Datenbanken;
• Protokollierung von Benutzer- und Administratorhandlungen;
• Datensicherung und Wiederherstellung;
• regelmäßige Überprüfung von Konten und Zugriffsrechten;
• Dokumentation von Richtlinien, Verfahren und Prüfergebnissen.

Wenn ein Mitarbeiter beispielsweise gleichzeitig einen Lieferanten anlegen, eine Zahlung freigeben und Bankverbindungen ändern kann, entsteht das Risiko von Fehlern oder Betrug. Der SOX-Ansatz verlangt, dass solche Konflikte erkannt und Berechtigungen so eingeschränkt werden, dass kritische Handlungen einer Kontrolle unterliegen.

Warum Unternehmen SOX-Compliance benötigen

SOX-Compliance hilft einem Unternehmen zu bestätigen, dass seine Finanzberichterstattung auf kontrollierten und verlässlichen Prozessen beruht. Für börsennotierte Unternehmen ist dies eine Frage der Einhaltung regulatorischer Vorgaben, des Vertrauens der Investoren und eines reduzierten Sanktionsrisikos.

Für IT-Teams ist SOX nützlich, weil es dazu zwingt, Zugriffsrechte, Änderungen und Dokumentation zu strukturieren. In der Infrastruktur wird klarer, welche Systeme für die Berichterstattung kritisch sind, wer für sie verantwortlich ist, welche Änderungen vorgenommen wurden und wo die Nachweise der Kontrolle abgelegt sind.

SOX reduziert zudem das Risiko unbefugter Änderungen an Finanzdaten. Wenn Zugriffsrechte regelmäßig überprüft werden, Änderungen einen Freigabeprozess durchlaufen und Handlungen in Logs erfasst werden, fällt es einem Unternehmen leichter, einen Fehler zu erkennen, einen Vorfall zu untersuchen und die Korrektheit der Prozesse nachzuweisen.

SOX, Audit und Kontrollnachweise

Ein SOX-Audit stützt sich nicht nur auf das Vorhandensein von Richtlinien, sondern auch auf Nachweise, dass diese eingehalten werden. Es reicht nicht aus, festzuhalten, dass Zugriffsrechte einmal pro Quartal überprüft werden. Das Unternehmen muss belegen, wann die Überprüfung stattgefunden hat, wer sie durchgeführt hat, welche Abweichungen festgestellt wurden und wie diese behoben wurden.

Gleiches gilt für Änderungen an IT-Systemen. Wird eine Finanzanwendung aktualisiert, benötigt der Prüfer unter Umständen Änderungsanträge, Freigaben, Testergebnisse, eine Bestätigung des Deployments und Aufzeichnungen darüber, wer die Arbeiten durchgeführt hat. Dieser Ansatz hilft, technische Handlungen mit einem kontrollierten Prozess zu verknüpfen.

Für Unternehmen bedeutet dies, dass SOX-Compliance eine kontinuierliche Disziplin erfordert. Kontrollen müssen regelmäßig wirken und nicht nur vor einem Audit. Je stärker Zugriffsrechte, Logs, Workflows und Berichte automatisiert sind, desto leichter lässt sich die Einhaltung der Anforderungen aufrechterhalten.

FAQ

🠔 Zurück zum Glossar