Was ist SOX (Sarbanes-Oxley Act)-Compliance?

Um SOX-konform zu sein, müssen börsennotierte Unternehmen, die in den USA geschäftlich tätig sind, die folgenden Anforderungen erfüllen:

• Implementieren Sie interne Kontrollen, um Finanzdaten vor Manipulation zu schützen.
   
• Regelmäßige Vorlage von Berichten bei der Securities and Exchange Commission (SEC), in denen die Wirksamkeit der Sicherheitskontrollen und die Richtigkeit der Finanzangaben bestätigt werden.
  
  
• Bestehen einer jährlichen unabhängigen Prüfung ihrer Finanzberichte und Kontrollen.

Das SOX-Gesetz legt auch Regeln für die Wirtschaftsprüfungsgesellschaften fest, die börsennotierte Unternehmen prüfen, sowie für die Analysten, die Analysen über Wertpapiere veröffentlichen. Das Gesetz sieht erhebliche Geldstrafen und strafrechtliche Verurteilungen für betrügerische Finanzaktivitäten und bestimmte Formen der Nichteinhaltung vor.

SOX ist zwar eine Verordnung aus dem Finanzbereich, aber an der Einhaltung der Vorschriften sind Stakeholder aus dem gesamten Unternehmen beteiligt. IT-Abteilungen und Cybersicherheitsteams sind besonders wichtig geworden, da Unternehmen zunehmend auf Technologielösungen zurückgreifen, um Finanzinformationen in komplexen Unternehmensnetzwerken zu schützen.

Laut einem Bericht des Beratungsunternehmens Protiviti aus dem Jahr 2023 geben mehr als die Hälfte der Unternehmen an, dass es jetzt länger dauert, bis die SOX-Compliance erreicht ist. Ein durchschnittliches Unternehmen gibt jedes Jahr mehr als 1 Million US-Dollar für SOX-Compliance-Maßnahmen aus.

Der Sarbanes-Oxley Act von 2002 ist ein US-amerikanisches Bundesgesetz, das von Senator Paul Sarbanes und dem Abgeordneten Michael Oxley gemeinsam eingebracht wurde. Der US-Kongress erließ das Gesetz im Zuge mehrerer Finanzskandale zu Beginn des 21. Jahrhunderts, darunter die Zusammenbrüche von Enron, WorldCom und Tyco.

In diesen und anderen Fällen nutzten börsennotierte Unternehmen eine Mischung aus Schlupflöchern in der Buchhaltung und offenem Betrug, um ihren Wert in die Höhe zu treiben, sodass die Anleger Milliarden verloren. Als beispielsweise die Betrügereien von Enron aufgedeckt wurden, fiel der Aktienkurs des Unternehmens von 90,75 US-Dollar auf nur noch 60 Cents pro Aktie.

In einigen Fällen wurden die Unternehmen von externen Wirtschaftsprüfungsgesellschaften unterstützt, die sie eigentlich prüfen sollten. Arthur Andersen, einst eine der „Big Five“-Wirtschaftsprüfungsgesellschaften, musste aufgrund seiner Rolle bei den Skandalen um Enron und WorldCom seine Tätigkeit einstellen.

SOX zielt darauf ab, Betrug in Unternehmen zu verhindern, indem strenge gesetzliche Vorgaben gemacht werden, wie Unternehmen ihre Finanzunterlagen vor Manipulationen schützen und dafür sorgen, dass Wirtschaftsprüfer unabhängiger von ihren Kunden werden.

Das Gesetz ist ein umfassender Gesetzesentwurf mit insgesamt 11 Titeln. Zu den bedeutendsten Auswirkungen gehören: 

1. Gründung des Public Company Accounting Oversight Board (PCAOB).
2. Verschärfung der Anforderungen an die Finanzberichterstattung.
3. Persönliche Verantwortung von Führungskräften für finanzielle Offenlegungen und Kontrollen.
4. Stärkung der Unabhängigkeit für externe Auditoren und Analysten.
5. Schutz von Whistleblowern.

SOX führte zur Gründung des PCAOB. Dabei handelt es sich um eine gemeinnützige Organisation, die Standards für die Finanzprüfung festlegt und die Wirtschaftsprüfungsgesellschaften reguliert, die Audits in börsennotierten Unternehmen durchführen.

Das PCAOB kann Unternehmen, die der Nichteinhaltung von Vorschriften verdächtigt werden, untersuchen und sie mit Geldstrafen von bis zu 10.000 US-Dollar für Einzelpersonen und 2.000.000 US-Dollar für Organisationen bestrafen.

Nach dem Securities Exchange Act von 1934 mussten börsennotierte Unternehmen ab einer bestimmten Größe bereits Jahres- und Quartalsfinanzberichte bei der SEC einreichen. SOX betont, dass diese Berichte keine irreführenden Angaben enthalten dürfen.

Berichte müssen gemäß den allgemein anerkannten Rechnungslegungsgrundsätzen erstellt werden, einem Satz von Standards, die vom Financial Accounting Standards Board verwaltet werden.

Einige nicht bilanzwirksame Transaktionen, die Unternehmen bisher in ihren Finanzberichten aussparen konnten, wie z. B. Schulden, die von nicht konsolidierten Tochtergesellschaften gehalten werden, müssen nun gemeldet werden, wenn sie einen wesentlichen Einfluss auf die Finanzlage des Unternehmens haben. Informationen gelten als „wesentlich“, wenn sie einen vernünftigen Investor dazu veranlassen würden, eine Investitionsentscheidung zu überdenken.

Die Unternehmen müssen der Öffentlichkeit außerdem nahezu in Echtzeit alles melden, was eine wesentliche Änderung ihrer Finanzinformationen darstellt.

Schließlich müssen Unternehmen interne Kontrollen einführen, um Finanzdaten vor Manipulationen und betrügerischer Nutzung durch interne oder externe Akteure zu schützen. Dazu gehört auch die Aufbewahrung von Finanzdaten für bestimmte Zeiträume.

Gemäß SOX sind der Chief Executive Officer (CEO), der Chief Financial Officer (CFO) und alle Unternehmensleiter mit ähnlichen Funktionen persönlich dafür verantwortlich, sicherzustellen, dass die Finanzberichte der Wahrheit entsprechen und die internen Kontrollstrukturen wirksam sind.

Führungskräfte können mit Geldstrafen und strafrechtlichen Sanktionen rechnen, wenn Finanzberichte nicht korrekt sind, auch wenn sie die Anleger nicht absichtlich in die Irre geführt haben.

Interessenkonflikte trugen zu den Skandalen bei, die zur Einführung des SOX führten. Die Wirtschaftsprüfungsgesellschaften, die die Jahresabschlüsse von börsennotierten Unternehmen prüften, boten denselben Unternehmen häufig lukrative Beratungsdienste an.

Die Wirtschaftsprüfer sahen sich veranlasst, Prüfungsberichte zu erstellen, die ihre Kunden akzeptabel fanden, oder sie riskierten, diese profitablen Vereinbarungen zu verlieren.

In ähnlicher Weise arbeiten Analysten, die über Aktienwerte berichten, oft für Organisationen, die Investmentbanking oder andere Services für börsennotierte Unternehmen anbieten.

SOX zielt darauf ab, diese Interessenkonflikte auf verschiedene Weise zu beseitigen. Erstens schreibt es börsennotierten Unternehmen die Einrichtung von Prüfungsausschüssen vor, die von der Geschäftsführung unabhängig sind.

Diese Ausschüsse sind für die Beauftragung unabhängiger Prüfer und die Koordination mit diesen zuständig. SOX verbietet es Unternehmen auch, zu versuchen, die Ergebnisse von Prüfungen zu beeinflussen.

Wirtschaftsprüfungsgesellschaften dürfen keine Beratungs- oder anderen Services für dieselben Unternehmen anbieten, für die sie SOX-Prüfungen durchführen, und die Unternehmen müssen die externen Prüfer alle fünf Jahre wechseln.

Wertpapieranalysten müssen unabhängig von den Investmentbanking-Abteilungen ihrer Institute operieren. Darüber hinaus müssen sie bei der Berichterstattung über Wertpapiere etwaige Interessenkonflikte offenlegen.

SOX macht es illegal, Vergeltungsmaßnahmen gegen Mitarbeiter zu ergreifen, die potenziellen Betrug melden, indem sie degradiert, entlassen, suspendiert, belästigt oder anderweitig geschädigt werden.

SOX gilt für alle börsennotierten Unternehmen, die in den USA geschäftlich tätig sind, sowie für deren hundertprozentige Tochtergesellschaften. Es gilt auch für Wertpapieranalysten und die Wirtschaftsprüfungsgesellschaften, die börsennotierte Unternehmen prüfen.

Privatunternehmen und gemeinnützige Organisationen sind zwar grundsätzlich nicht an SOX gebunden, aber es gibt einige Ausnahmen. Privatunternehmen, die sich auf einen Börsengang vorbereiten, unterliegen dem SOX, wenn sie eine Registrierungserklärung bei der SEC einreichen. Whistleblower in Privatunternehmen, die Dienstleistungen für börsennotierte Unternehmen erbringen, sind durch das SOX geschützt, wenn sie über das Fehlverhalten ihrer börsennotierten Kunden berichten.

Gemäß SOX ist es für jedes Unternehmen – ganz gleich, ob börsennotiert, privat oder gemeinnützig – illegal, Finanzunterlagen zu zerstören oder zu fälschen, um eine Bundesuntersuchung zu behindern.

Obwohl es sich bei SOX um eine US-Vorschrift handelt, hat sie Auswirkungen auf Unternehmen außerhalb des Landes. Öffentliche Unternehmen mit Hauptsitz außerhalb der USA müssen die SOX-Anforderungen erfüllen, wenn sie in den USA geschäftlich tätig sind.

Die Verabschiedung des SOX inspirierte auch andere Länder, eigene Gesetze zur Bekämpfung von Finanzbetrug zu verabschieden, wie z. B. Kanadas Keeping the Promise for a Strong Economy Act (auch „C-SOX“ genannt) und Japans Financial Instruments and Exchange Act (auch „J-SOX“ genannt).

Man hat festgestellt, dass es in Europa erhebliche Überschneidungen zwischen der Einhaltung des SOX und der Datenschutz-Grundverordnung (DSGVO) gibt. Insbesondere unterstützen viele der gleichen Sicherheitskontrollen und Datenschutzprozesse, die die Einhaltung von SOX ermöglichen, auch die Einhaltung der DSGVO. Auch die Europäische Union hat ihre eigenen SOX-ähnlichen Regeln für die Unabhängigkeit von Finanzprüfern eingeführt.

Im Kern bedeutet die Einhaltung der SOX-Vorschriften, dass alle finanziellen Angaben eines Unternehmens vollständig korrekt sind und dass das Unternehmen über Kontrollen und Dokumentation verfügt, um seine Finanzabschlüsse zu belegen.

Der Prozess zur Einhaltung der SOX-Vorschriften kann jedoch sehr komplex sein. SOX beschreibt nicht alle Kontrollen, die ein Unternehmen benötigt, oder jeden Schritt, den Prüfer unternehmen müssen. Verschiedene Unternehmen erreichen die SOX-Compliance auf unterschiedliche Weise.

Im Großen und Ganzen hat SOX drei allgemeine Anforderungen:

1. Einreichung genauer Finanzberichte, die von der Unternehmensleitung zertifiziert wurden.
   
2. Implementierung geeigneter interner Kontrollen.
   
3. Bestehen von regelmäßigen Audits.

Gemäß Abschnitt 302 des SOX, „Corporate Responsibility for Financial Reports“, müssen der CEO, der CFO oder gleichwertige Führungskräfte eines Unternehmens jeden bei der SEC eingereichten Jahres- und Quartalsfinanzbericht abzeichnen.

Bei der Unterzeichnung der Berichte müssen der CEO und der CFO bestätigen, dass die Finanzberichte vollständig korrekt sind. Sie müssen auch versichern, dass die entsprechenden internen Kontrollen vorhanden sind und innerhalb der letzten 90 Tage validiert wurden.

Gemäß SOX Abschnitt 404, „Management Assessment of Internal Controls“, muss jeder bei der SEC eingereichte Jahresfinanzbericht einen ausführlichen Bericht über die internen Kontrollen enthalten. Der Bericht über die internen Kontrollen besagt, dass das Management für die internen Kontrollen verantwortlich ist und die Wirksamkeit der internen Kontrollen des Unternehmens zum Ende des letzten Geschäftsjahres bewertet.

Unternehmen müssen alle wesentlichen Änderungen ihres Finanzstatus unverzüglich melden. Cybersecurity-Vorfälle können zwar als wesentliche Änderungen im Sinne des SOX gelten, aber es ist erwähnenswert, dass die SEC im Juli 2023 neue Vorschriften erlassen hat , die die Meldepflichten für diese Vorfälle noch verschärfen.

Insbesondere müssen Unternehmen Cybersicherheitsvorfälle innerhalb von vier Tagen melden, nachdem festgestellt wurde, dass der Vorfall erhebliche Auswirkungen hatte oder haben könnte. Unternehmen müssen Vorfälle bei Dritten, etwa bei Cloud-Services, melden, wenn diese sich erheblich auf das Unternehmen auswirken könnten.

Unternehmen implementieren interne SOX-Kontrollen, um zu verhindern, dass interne und externe Akteure Finanzdaten betrügerisch ändern oder für illegale Zwecke verwenden.

SOX listet nicht ausdrücklich alle Kontrollen auf, die Unternehmen implementieren müssen. Unternehmen verlassen sich oft auf Corporate Governance -Frameworks wie das Framework der Control Objectives for Information and Related Technologies, das zur Information Systems Audit and Control Association gehört.

Das Framework des Committee of Sponsoring Organizations of the Treadway Commission ist ebenfalls sehr beliebt. Diese Frameworks wurden zwar nicht speziell für SOX entwickelt, aber die darin enthaltenen Kontrollschemata erfüllen in der Regel die Anforderungen des SOX.

Unternehmen implementieren Kontrollen sowohl auf der Ebene der Geschäftsprozesse als auch auf der Ebene der IT-Infrastruktur.

Zu den Geschäftsprozesskontrollen gehören Dinge wie die Schulung von Mitarbeitern zu den SOX-Anforderungen und die Einrichtung sicherer Meldewege für Whistleblower.

Viele Unternehmen wenden auch das Prinzip der Aufgabentrennung an, bei dem Workflows in mehrere Teile aufgeteilt werden und für jeden Schritt andere Mitarbeiter zuständig sind.

Die Idee ist, dass kein einzelner Mitarbeiter den gesamten Workflow kontrolliert, sondern jeder Beteiligte die anderen kontrolliert. Ein typisches Beispiel wäre, es so zu gestalten, dass die Person, die Zahlungen genehmigt, nicht dieselbe Person ist, die die Schecks vom Firmenkonto ausstellt.

Unternehmen können auch Prozesse zum Speichern und Aufbewahren von Aufzeichnungen erstellen, um die SOX-Anforderungen für die Aufbewahrung von Dokumenten zu erfüllen. Prüfer sind beispielsweise verpflichtet, alle mit einem Audit verbundenen Arbeitsunterlagen sieben Jahre lang aufzubewahren.

Die Automatisierung wird für die Einhaltung der SOX-Vorschriften immer wichtiger, da die Unternehmensnetzwerke immer komplexer werden. Laut Protiviti hat ein durchschnittliches Unternehmen 36 Geschäftsanwendungen, die unter die SOX-Anforderungen fallen. IT-Sicherheitskontrollen können helfen, die SOX-Regeln für alle diese Anwendungen durchzusetzen.

Einige Unternehmen nutzen spezielle SOX-Compliance-Software, um SOX-bezogene Daten und Dokumente sicher zu speichern, relevante Aktivitäten zu verfolgen und Lücken in den internen Kontrollen zu erkennen. Unternehmen können jedoch auch allgemeinere Cybersicherheitstools für SOX-Compliance-Zwecke verwenden.

Datenschutztools wie Data Loss Prevention (DLP)-Lösungen können nachverfolgen, wo sensible Daten gespeichert sind, wer darauf zugreift und was damit gemacht wird. Einige DLP-Tools können auch verhindern, dass Benutzer unbefugte Änderungen an Finanzdaten vornehmen oder diese an nicht autorisierte Orte verschieben. Unternehmen können auch automatische Backups verwenden, damit Daten wiederhergestellt werden können, wenn sie zerstört oder manipuliert werden.

Identity and Access Management (IAM) Lösungen ermöglichen es Unternehmen, detailgenaue Zugriffskontrollrichtlinien nach dem Prinzip der geringsten Rechte festzulegen. Mitarbeiter erhalten so nur die geringsten Berechtigungen, die sie für ihre Arbeit benötigen.

IAM-Plattformen können auch das Änderungsmanagement optimieren, sodass Unternehmen Zugriffsberechtigungen schnell aktualisieren und entfernen können, wenn Mitarbeiter dem Unternehmen beitreten, Rollen wechseln oder das Unternehmen verlassen.

Unternehmen können Lösungen für das Sicherheitsinformations- und Ereignismanagement (SIEM) nutzen, um die Netzwerkaktivität zu überwachen, Sicherheitsverletzungen zu erkennen und schneller auf Vorfälle zu reagieren. SIEM-Lösungen speichern außerdem Sicherheitsprotokolle, die Unternehmen bei SOX-Audits helfen, die Compliance nachzuweisen.

Einige SIEM-Tools verfügen über integrierte SOX-spezifische Funktionen oder lassen sich in entsprechende Tools integrieren, sodass sie relevante Informationen automatisch aufzeichnen und Compliance-Berichte erstellen können.

Die Informationssicherheitsverpflichtungen von SOX umfassen auch Cloud- Rechenzentren, in denen Unternehmen Finanzinformationen speichern oder verarbeiten. Unternehmen müssen auch Kontrollen für diese Datenquellen in Betracht ziehen.

Wie bereits erwähnt, sind der CEO und der CFO für die Richtigkeit jedes Finanzberichts und die Wirksamkeit der internen Kontrollen verantwortlich. Durch regelmäßige Audits erhalten Führungskräfte den Nachweis, den sie für diese Aussagen benötigen.

Durch regelmäßige interne Prüfungen der Finanzberichterstattungspraktiken und Datenkontrollen können Unternehmen die Einhaltung der Vorschriften im Laufe der Zeit überwachen, Lücken erkennen und Schwachstellen beheben.

Die Ergebnisse interner Audits können auch den externen Prüfern helfen, die jährliche SOX-Compliance-Audits durchführen. Bei der jährlichen Prüfung nimmt eine unabhängige Wirtschaftsprüfungsgesellschaft eine eigene Beurteilung der internen Kontrollen und der Finanzberichterstattung vor. Die Ergebnisse dieser Prüfung werden oft in den jährlichen SEC-Bericht des Unternehmens aufgenommen.

In der Vergangenheit mussten Wirtschaftsprüfer darüber berichten, ob sie die Bewertungen des Managements zu den internen Kontrollen für zutreffend hielten. Diese Anforderung wurde mit der Einführung des Standards Nr. 5 durch die SEC im Jahr 2007 aufgehoben.

SOX gibt nicht genau vor, wie Manager und Wirtschaftsprüfungsgesellschaften ihre Prüfungen durchführen sollten. Stattdessen gibt die SEC an, dass Prüfer und Manager eine Top-down-Risikobewertung verwenden sollten, um den Umfang ihrer Prüfungen zu bestimmen. Ein TDRA identifiziert die Konten, Offenlegungen und andere Bereiche, die am stärksten von einem wesentlichen Betrug bedroht sind, und konzentriert sich auf die Bewertung der wichtigsten Kontrollen, die diese Risiken angehen.

Die Einhaltung der SOX-Bestimmungen hat Vorteile. Die Anleger haben möglicherweise mehr Vertrauen in die Offenlegung der Finanzen und sind daher eher bereit, in Unternehmen zu investieren, die die SOX-Vorschriften einhalten. SOX verringert auch die Anreize für Unternehmensleiter, Betrug zu begehen, indem es sie persönlich für die Jahresabschlüsse verantwortlich macht.

Die SOX-Compliance kann Unternehmen dabei helfen, ihre Cybersicherheit insgesamt zu verbessern. Viele der Datensicherheitskontrollen, die Unternehmen zur Verhinderung von Finanzmanipulationen einsetzen, können auch zur Bekämpfung von Cyberangriffen eingesetzt werden. IAM-Lösungen tragen beispielsweise dazu bei, Hacker von den Benutzerkonten fernzuhalten, und SIEM-Tools können dazu beitragen, laufende Sicherheitsvorfälle früher zu erkennen.

Die Nichteinhaltung von SOX kann auch zivil- und strafrechtliche Sanktionen für Unternehmen und Einzelpersonen nach sich ziehen.

Führungskräfte, die einen fehlerhaften Finanzbericht zertifizieren, können mit einer Geldstrafe von bis zu 1 Million US-Dollar und einer Freiheitsstrafe von bis zu 10 Jahren belegt werden. Führungskräfte, die vorsätzlich irreführende Angaben zertifizieren, können mit einer Geldstrafe von bis zu 5 Millionen US-Dollar und einer Freiheitsstrafe von bis zu 20 Jahren belegt werden.

Für Führungskräfte können auch anreizgebundene Vergütungen zurückgefordert werden, wenn ein Unternehmen eine Finanzberichtigung vornehmen muss. Nach den 2022 verabschiedeten SEC-Vorschriften müssen sich Führungskräfte nicht einmal eines Fehlverhaltens schuldig gemacht haben. Clawbacks werden automatisch ausgelöst, wenn sich bei der Neufestsetzung herausstellt, dass die anreizgebundenen Ziele nicht erreicht wurden.

SOX macht es außerdem illegal, Finanzunterlagen zu beschädigen, zu verändern oder anderweitig zu manipulieren. Einzelne Mitarbeiter können dafür mit Gefängnisstrafen von bis zu 20 Jahren rechnen. Führungskräfte, die Vergeltungsmaßnahmen gegen Whistleblower ergreifen, drohen Geldstrafen und Gefängnisstrafen von bis zu 10 Jahren.

Die SEC kann Personen, die gegen die SOX-Regeln verstoßen, verbieten, als leitende Angestellte, Direktoren, Makler, Berater und Händler zu arbeiten. Bei erheblicher Nichteinhaltung können Unternehmen sogar ihren Status an der Börse verlieren.