Was ist SOX 404-Compliance und wie können Sie sie erreichen?

Die Einhaltung von SOX 404 ist eine Notwendigkeit für alle börsennotierten Unternehmen in den Vereinigten Staaten, zusätzlich zu hundertprozentigen Tochtergesellschaften und börsennotierten ausländischen Unternehmen, die in den USA Geschäfte machen.

Es wurde nach einer Reihe hochkarätiger Unternehmensskandale in den frühen 2000er Jahren geschaffen und eingeführt, um die Aktionäre besser zu schützen und die Transparenz durch konsistente und genaue Unternehmensoffenlegungen zu erhöhen.

Es gibt eine Reihe von Abschnitten in den 11 Titeln von SOX, aber einige sind aufgrund ihres Umfangs und ihrer Kosten für Unternehmen relevanter – insbesondere SOX 404, das die Bewertung interner Kontrollen in Bezug auf die Finanzberichterstattung betrifft.

Die Einhaltung von SOX 404 kann sehr kostspielig sein, aber durch moderne Technologie und Dokumentenmanagement können viele zuvor manuelle Prozesse automatisiert werden, wodurch Risiken und Kosten reduziert werden.

In diesem Blogbeitrag werfen wir einen Blick auf SOX 404, einschließlich dessen, was erforderlich ist und was Unternehmen tun können, um konform zu sein.

Was ist SOX-Abschnitt 404?

Abschnitt 404 des SOX-Gesetzes ist der teuerste und komplexeste Aspekt der SOX-Compliance und betrifft die jährliche Finanzberichterstattung.

Abschnitt 404 verlangt, dass Jahresberichte die eigene Bewertung des Unternehmens hinsichtlich seiner internen Kontrollen der Finanzberichterstattung sowie einen Abschlussprüfer enthalten, der die Bewertung des Unternehmens bestätigt und darüber Bericht erstattet.

Dieser Prüfer muss ein Dritter sein und muss die Zuverlässigkeit und Genauigkeit der internen Kontrollen eines Unternehmens nachweisen.

Gemäß Abschnitt 404 müssen SEC-Registranten ihrer jährlichen Einreichung Folgendes beifügen:

• Eine Erklärung zur Verantwortung des Managements für die Einrichtung und Aufrechterhaltung eines angemessenen internen Kontrollsystems für die Finanzberichterstattung
• Eine Erklärung, die den Rahmen identifiziert, der vom Management verwendet wird, um die Wirksamkeit der internen Kontrolle zu bewerten
• Beurteilung der Wirksamkeit der internen Kontrolle durch das Management zum Ende des letzten Geschäftsjahres des Unternehmens
• Eine Erklärung, dass der externe Wirtschaftsprüfer des Unternehmens einen Bestätigungsbericht über die Beurteilung der Geschäftsleitung ausgestellt hat

Was bedeutet interne Kontrollen?

In jedem Unternehmen, unabhängig von seiner Größe, muss die oberste Führungsebene eine Reihe von Standards einhalten, um die Genauigkeit ihrer Jahresabschlüsse sicherzustellen.

Die Gesetzgebung selbst legt nicht genau fest, was Unternehmen tun müssen, um ihre Standards für interne Kontrollen zu erfüllen – dies hat dazu geführt, dass viele interpretieren, was „interne Kontrollen“ eigentlich bedeuten.

Glücklicherweise gibt es bestehende Rahmenwerke, insbesondere das COSO Internal Control Framework, das als gemeinsame Initiative von fünf Organisationen entwickelt wurde: Institute of Internal Auditors (IIA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Association of Accountants and Financial Professionals in Business (IMA) und der American Accounting Association (AAA).

Die im COSO Controls Framework beschriebenen Kontrollen sind für Unternehmen geeignet, die die Einhaltung von SOX 404 sicherstellen möchten.

Das COSO-Framework

Das COSO-Rahmenwerk enthält 17 Prinzipien in fünf Unterabschnitten, die befolgt werden sollten, um einem externen Prüfer nachzuweisen, dass das Unternehmen die SOX-Cybersicherheitsanforderungen erfüllt.

Kontrollumfeld

Das Kontrollumfeld legt die Reihe von Standards und Prozessen fest, die die Grundlage für die Durchführung interner Kontrollen im gesamten Unternehmen bilden.

Ein effektives internes Kontrollsystem basiert auf dem Kontrollumfeld und sollte von folgenden strategischen Zielen bestimmt werden:

• Bereitstellung zuverlässiger Finanzberichte für interne und externe Stakeholder
• Das Geschäft effizient und effektiv betreiben
• Einhaltung aller geltenden Gesetze und Vorschriften
• Schutz von Vermögenswerten und sensiblen Informationen

Zugehörige Prinzipien

1. Demonstrieren Sie Engagement für Integrität und ethische Werte
2. Stellen Sie sicher, dass der Vorstand die Aufsichtsverantwortung ausübt
3. Etablieren Sie Strukturen, Berichtswege, Befugnisse und Verantwortlichkeiten
4. Zeigen Sie Engagement für eine kompetente Belegschaft
5. Menschen zur Rechenschaft ziehen

Risikobewertung für SOX

Eine Risikobewertung für SOX ist entscheidend, um zu bestimmen, was die Risikofaktoren eines Unternehmens sind und wie sie gehandhabt werden.

In diesem Fall ist „Risiko“ definiert als die Wahrscheinlichkeit, dass ein Ereignis eintritt, das die Geschäftsziele stört.

Die Risikobewertung erfordert, dass das Top-Management die Auswirkungen von Änderungen im Kontrollumfeld berücksichtigt und gegebenenfalls Maßnahmen zur Risikobewältigung ergreift.

Zugehörige Prinzipien

1. Geben Sie geeignete Ziele an
2. Risiken erkennen und analysieren
3. Bewerten Sie Betrugsrisiken
4. Identifizieren und analysieren Sie Änderungen, die sich erheblich auf interne Kontrollen auswirken könnten

Überwachungsaktivitäten

Kontrollaktivitäten beziehen sich auf Maßnahmen, die ergriffen werden, um die in der Risikobewertung ermittelten Risiken zu mindern.

Diese Aktivitäten können präventiv oder aufdeckend sein und können auf allen Ebenen innerhalb einer Organisation durchgeführt werden.

Zugehörige Prinzipien

1. Wählen und entwickeln Sie Kontrollaktivitäten, die Risiken mindern
2. Auswählen und Entwickeln von Technologiesteuerungen
3. Setzen Sie Kontrollaktivitäten durch Richtlinien und Verfahren ein

Informationen & Kommunikation

Informationen und Kommunikation, die nach oben, unten und zwischen Organisationen fließen, werden effektiv und effizient geteilt.

Informationssysteme und Repositorien müssen den entsprechenden Interessenträgern zeitnah und ausreichend verständlich Informationen liefern, die für ihre festgelegten Ziele relevant sind.

Gleiches gilt auch für Stakeholder außerhalb der Organisation.

Zugehörige Prinzipien

1. Verwenden Sie relevante Qualitätsinformationen, um die interne Kontrollfunktion zu unterstützen
2. Interne Kontrollinformationen intern kommunizieren
3. Kommunizieren Sie interne Kontrollinformationen nach außen

Überwachung

Die Organisation sollte fortlaufende Bewertungen der internen Kontrollen durchführen, um sicherzustellen, dass die internen Kontrollfunktionen ordnungsgemäß funktionieren.

Wenn Mängel festgestellt werden, sollten diese zeitnah bewertet und der Geschäftsleitung und dem Vorstand (falls erforderlich) mitgeteilt werden, damit sie schnell behoben werden können.

Zugehörige Prinzipien

1. Führen Sie laufende oder periodische Bewertungen der internen Kontrollen durch (oder eine Kombination aus beidem)
2. Kommunizieren Sie interne Kontrollmängel

Warum sollten Sie das COSO-Framework in Ihrem Unternehmen etablieren?

Wenn eine Organisation die Kontrollen des COSO-Rahmenwerks nicht umsetzt, verstößt sie möglicherweise gegen die Anforderungen von SOX 404, die nach Bundesgesetzen für die Finanzberichterstattung vorgeschrieben sind.

Prüfer werden die internen Kontrollfähigkeiten eines Unternehmens anhand des COSO-Rahmenwerks beurteilen, daher ist es für Unternehmen am besten, sich an diesen Standard zu halten, um SOX einzuhalten.

So implementieren Sie das COSO-Framework

Verwandter Beitrag: Was passiert während eines Cybersicherheitsrisiko-Audits?

Die COSO-Implementierung umfasst die Bewertung, wo sich eine Organisation derzeit unter ihren fünf Unterabschnitten befindet, und das Verständnis, was erforderlich ist, um den Standard zu erreichen.

Dies umfasst ein SOX-Audit, das das COSO-Rahmenwerk und eine Bewertung der 17 zuvor erwähnten Prinzipien umfassen sollte, typischerweise in vier verschiedenen Phasen.

Planung und Umfang

Die Umsetzung beginnt am Anfang: Die wichtigsten Interessengruppen werden einbezogen und die Cybersicherheitsprüfer benennen die richtigen Interessengruppen für jeden der Grundsätze.

Beispielsweise werden C-Suite-Führungskräfte für viele der Kontrollumgebungsaktivitäten engagiert, während IT-Personal für Technologierichtlinien und Verfahrensprinzipien engagiert werden kann und ein Compliance-Mitarbeiter als Hauptakteur für die Überwachung von Prinzipien engagiert werden kann.

Wirtschaftsprüfer müssen ein vollständiges Bild davon haben, wo alle Geschäftsdaten gespeichert sind, einschließlich in Anwendungen von Drittanbietern, die im Unternehmensnetzwerk betrieben werden.

Ausführung

Die Prüfer werden Penetrationstests und Schwachstellen-Scans durchführen, um klar festzustellen, wo das Unternehmen mit seinem aktuellen Modell innerhalb des COSO-Rahmens steht.

Analyse und Berichterstattung

Diese Ergebnisse werden dann den wichtigsten Stakeholdern gemeldet, und es werden Empfehlungen ausgesprochen, die dazu beitragen, dass das Unternehmen das COSO-Rahmenwerk einhält. An diesem Punkt kann die Organisation sicher sein, dass sie SOX 404-konform ist.

Das Endergebnis

Die SOX 404-Compliance ist eine notwendige, aber ehrlich gesagt ziemlich komplexe Form der Compliance für börsennotierte Unternehmen.

Die Anforderungen von SOX 404 bedeuten die Einhaltung des COSO-Frameworks. Seine 17 Prinzipien bieten eine solide Grundlage und Mittel für eine Organisation, um SOX 404-konform zu sein, und es ist eine gute Idee für Unternehmen, diesen Standard zu befolgen, um ihre internen Kontrollen auf den neuesten Stand zu bringen.

Um das COSO-Framework zu implementieren, sollten Unternehmen erwägen, einen Managed Security Service Provider zu beauftragen, um ihre Systeme zu prüfen und Empfehlungen zu geben, welche Lösungen, Richtlinien und Verfahren angewendet werden sollten, um die Anforderungen zu erfüllen.

Wenn Sie SOX 404 einhalten müssen, sich aber nicht sicher sind, wo Sie anfangen sollen, sollten Sie eine Risikobewertung für SOX von Impact durchführen lassen. Setzen Sie sich noch heute mit uns in Verbindung, um den Stein ins Rollen zu bringen, um Ihre Zukunft zu sichern.