SOX 404: Anforderungen, Ausnahmen und Compliance-Checkliste

Was ist SOX-Abschnitt 404?

SOX-Abschnitt 404 ist Bestandteil des US-amerikanischen Sarbanes-Oxley Act von 2002 und soll die Genauigkeit und Zuverlässigkeit von Unternehmensabschlüssen gewährleisten. Er verpflichtet börsennotierte Unternehmen, eine angemessene interne Kontrollstruktur einzurichten, aufrechtzuerhalten und zu bewerten, um die Integrität ihrer Finanzberichterstattung zu gewährleisten. Der Abschnitt verpflichtet das Management und externe Prüfer, über die Wirksamkeit der internen Kontrollen des Unternehmens in Bezug auf die Finanzberichterstattung zu berichten.

Das Hauptziel von SOX 404 ist es, das Vertrauen der Anleger durch die Förderung von Transparenz und Rechenschaftspflicht in den Finanzpraktiken von Unternehmen wiederherzustellen. Die Einhaltung dieses Abschnitts verpflichtet Unternehmen, ihre Finanzprozesse zu dokumentieren, Kontrolllücken zu identifizieren, Korrekturmaßnahmen zu ergreifen und diese Aktivitäten im Rahmen der jährlichen Finanzberichterstattung offenzulegen. Dies verringert die Wahrscheinlichkeit von Finanzbetrug und Falschaussagen, schützt letztlich die Anleger und erhöht die Marktstabilität.

Welche Auswirkungen hat SOX 404 auf die Finanzberichterstattungsprozesse?

SOX-Abschnitt 404 hat erhebliche Auswirkungen auf die Finanzberichterstattungsprozesse. Unternehmen müssen ihre internen Kontrollen implementieren, dokumentieren und regelmäßig evaluieren. Jeder Jahresabschlussbericht eines Unternehmens muss einen Bericht über die interne Kontrolle der Finanzberichterstattung enthalten.

Unternehmen müssen alle Finanzprozesse, wie Umsatz und Beschaffung, identifizieren und Kontrollen einrichten, um eine genaue Berichterstattung zu gewährleisten. Dazu gehört die Entwicklung von Kontrollen für die Geschäftstätigkeit des Unternehmens, die Festlegung von Schwellenwerten für wesentliche Abweichungen und die Dokumentation, um die Wirksamkeit der Kontrollen nachzuweisen.

Darüber hinaus fördert SOX 404 eine verbesserte Corporate Governance. Die Einrichtung unabhängiger Prüfungsausschüsse zur Überwachung der Finanzberichterstattung und der Kontrollaktivitäten sorgt für eine bessere Rechenschaftspflicht. Dies führt zu weniger Prüfungsanpassungen und einem verbesserten Vertrauen in die Jahresabschlüsse, was Investoren und Management zugutekommt. Starke interne Kontrollen verringern zusätzlich die Wahrscheinlichkeit betrügerischer Aktivitäten.

Wichtige Unterabschnitte von SOX Abschnitt 404

Abschnitt 404(a)

Abschnitt 404(a) schreibt vor, dass das Management aller börsennotierten Unternehmen die Wirksamkeit ihrer internen Kontrollen der Finanzberichterstattung (ICFR) jährlich bewerten und darüber Bericht erstatten muss. Der Schwerpunkt dieser Bewertung liegt auf der operativen Wirksamkeit der Kontrollen zur Vermeidung von Fehlern oder Betrug in der Finanzberichterstattung. Die Ergebnisse werden im Jahresabschlussbericht des Unternehmens (Formular 10-K) veröffentlicht.

Abschnitt 404(b)

Abschnitt 404(b) schreibt vor, dass externe Wirtschaftsprüfer die internen Kontrollen des Unternehmens zur Finanzberichterstattung unabhängig bewerten. Dies stellt sicher, dass die Bewertung des Managements gemäß 404(a) zutreffend ist. Die Wirtschaftsprüfer geben eine Stellungnahme zur Wirksamkeit dieser Kontrollen ab, die im Prüfungsbericht des Unternehmens enthalten ist. Das Public Company Accounting Oversight Board (PCAOB) legt die Standards für die Durchführung dieser Prüfung durch die Wirtschaftsprüfer fest.

Abschnitt 404(c)

Abschnitt 404(c) sieht Ausnahmen von der Prüferbescheinigungspflicht gemäß Abschnitt 404(b) für bestimmte kleinere Unternehmen vor, z. B. Unternehmen ohne beschleunigte Einreichung und aufstrebende Wachstumsunternehmen (EGCs). Diese Unternehmen, die in der Regel einen geringeren Streubesitz oder Umsatz aufweisen, müssen nur Abschnitt 404(a) einhalten und entlasten sich so von der Belastung ihrer Kontrollen durch eine externe Prüfung.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, die SOX 404-Konformität besser zu meistern:

Nutzen Sie automatisierte Überwachungstools für interne Kontrollen: Automatisierte Lösungen können interne Kontrollen kontinuierlich überwachen und Abweichungen in Echtzeit erkennen. Dadurch wird die manuelle Überwachung reduziert und Probleme frühzeitig erkannt. Dies ist besonders nützlich bei Transaktionen mit hohem Volumen, bei denen durch menschliche Überwachung wichtige Details übersehen werden können.

Ordnen Sie wichtige Finanzrisiken strategischen Zielen zu: Stellen Sie sicher, dass Ihre internen Kontrollen nicht nur die Compliance-Vorgaben erfüllen, sondern auch mit den strategischen Finanzzielen des Unternehmens übereinstimmen. So stellen Sie sicher, dass die Kontrollen risikoorientiert sind und einen Geschäftswert bieten, der über die bloße Compliance hinausgeht.

Entwickeln Sie einen risikobasierten Testplan: Priorisieren Sie Ihre Kontrolltests anhand von Risikoprofilen. Kontrollen, die mit erheblichen finanziellen Risiken verbunden sind, sollten häufiger und gründlicher getestet werden, während Kontrollen mit geringerem Risiko seltener getestet werden können, um Aufwand und Kosten zu optimieren.

Führen Sie vor dem Audit „Trockenübungen“ durch: Führen Sie Vorprüfungen durch, die das formelle externe Audit simulieren. Diese „Trockenübungen“ helfen, Lücken oder Probleme zu identifizieren, bevor der externe Prüfer seine Bewertung vornimmt. So können im Vorfeld Korrekturmaßnahmen ergriffen werden und die Auditergebnisse werden reibungsloser.

Pflegen Sie einen formalisierten Prozess zur Behebung von Kontrollmängeln: Entwickeln Sie einen dokumentierten, wiederholbaren Prozess zur zeitnahen Behebung von Kontrollmängeln. Dieser sollte eine Ursachenanalyse, Korrekturmaßnahmenpläne und Zeitpläne umfassen, um sicherzustellen, dass Probleme gelöst werden, bevor sie zu größeren Risiken werden.

Wer muss SOX 404 einhalten und wer ist davon ausgenommen?

Die Einhaltung des SOX 404-Standards ist für alle börsennotierten Unternehmen in den USA, einschließlich ihrer Tochtergesellschaften und ausländischen Unternehmen, die an US-Börsen notiert sind, verpflichtend. Diese Unternehmen müssen sowohl Abschnitt 404(a) als auch 404(b) einhalten. Diese verpflichten das Management und externe Prüfer, die Wirksamkeit der internen Kontrollen der Finanzberichterstattung (ICFR) zu bewerten.

Bestimmte kleinere Unternehmen, wie z. B. Unternehmen ohne beschleunigtes Einreichen (mit einem Streubesitz von weniger als 75 Millionen US-Dollar) und aufstrebende Wachstumsunternehmen (Emerging Growth Companies, EGCs), sind von der gemäß Abschnitt 404(b) erforderlichen Bestätigung durch den Abschlussprüfer befreit. EGCs bleiben in den ersten fünf Jahren nach ihrem Börsengang (IPO) von der Prüfung befreit, sofern sie einen jährlichen Bruttoumsatz von 1,235 Milliarden US-Dollar nicht überschreiten oder nicht konvertierbare Schuldverschreibungen im Wert von mehr als einer Milliarde US-Dollar ausgeben.

Darüber hinaus sind kleinere Berichtsunternehmen (SRCs)– solche mit einem Streubesitz von weniger als 250 Millionen US-Dollar – ausgenommen, wenn sie einen Jahresumsatz von weniger als 100 Millionen US-Dollar gemeldet haben. Private Unternehmen und gemeinnützige Organisationen sind im Allgemeinen nicht verpflichtet, SOX 404 einzuhalten, können aber je nach ihren Geschäftsanforderungen oder den Anforderungen Dritter dazu angehalten werden, ähnliche interne Kontrollen einzuführen.

Compliance-Checkliste für SOX 404

1. Anerkannte Frameworks übernehmen

Die Einführung anerkannter Frameworks ist für die Einhaltung von SOX 404 von Vorteil. Frameworks wie COSO (Committee of Sponsoring Organizations) bieten einen strukturierten Ansatz für die Entwicklung, Implementierung und Bewertung interner Kontrollen. Diese Frameworks bieten standardisierte Richtlinien, die die Konsistenz und Gründlichkeit der Kontrollmaßnahmen gewährleisten.

Die Verwendung anerkannter Frameworks vereinfacht den Compliance-Prozess und bietet einen klaren Leitfaden für die Etablierung effektiver Kontrollen. Darüber hinaus werden die internen Kontrollprozesse für interne Stakeholder und externe Prüfer verständlicher und überprüfbarer. Die Einführung solcher Frameworks erhöht die Gesamteffektivität interner Kontrollsysteme und macht Compliance-Bemühungen zuverlässiger.

2. Interne Kontrollen einrichten

Die Einführung interner Kontrollen ist der grundlegende Schritt zur Einhaltung von SOX 404. Unternehmen müssen Kontrollmaßnahmen entwickeln und implementieren, die identifizierte Risiken in ihren Finanzberichterstattungsprozessen wirksam minimieren. Diese Kontrollen sollten alle wesentlichen Aspekte von Finanztransaktionen abdecken und Genauigkeit, Vollständigkeit und Zuverlässigkeit gewährleisten.

Sobald Kontrollen etabliert sind, ist es wichtig, diese sorgfältig zu dokumentieren. Diese Dokumentation sollte Zweck, Methodik und Umfang jeder Kontrolle beschreiben. Eine detaillierte Dokumentation bietet einen klaren Überblick über die Kontrolllandschaft und erleichtert die Bewertung durch interne Teams und externe Prüfer.

3. Dokumentation entwickeln und pflegen

Die Entwicklung und Pflege einer umfassenden Dokumentation ist für die Einhaltung von SOX 404 von entscheidender Bedeutung. Diese Dokumentation sollte alle Aspekte der internen Kontrollverfahren erfassen und deren Gestaltung, Implementierung sowie die Ergebnisse aller Tests und Audits detailliert beschreiben. Eine ordnungsgemäße Dokumentation ist unerlässlich, um die Einhaltung der Vorschriften bei Audits und Überprüfungen nachzuweisen.

Die Dokumentation sollte fortlaufend erfolgen und regelmäßig aktualisiert werden, um Änderungen an Prozessen, Systemen oder Kontrollen zu berücksichtigen. Sie dient als historische Aufzeichnung und als Leitfaden für aktuelle und zukünftige Bewertungen. Eine gut gepflegte Dokumentation vereinfacht den Auditprozess, reduziert das Risiko von Versehen und stellt sicher, dass alle internen Kontrollen klar verstanden und unternehmensweit effektiv kommuniziert werden.

4. Testen Sie interne Kontrollen

Regelmäßige Tests der internen Kontrollen sind entscheidend für die Einhaltung von SOX 404. Dabei werden Design und operative Wirksamkeit der Kontrollen bewertet, um sicherzustellen, dass sie wie vorgesehen funktionieren. Dies kann manuelle Überprüfungen, automatisierte Testverfahren und die Überprüfung von Finanzprozessen umfassen, um Lücken und Schwachstellen zu identifizieren.

Die Tests sollten regelmäßig durchgeführt werden, wobei die Häufigkeit vom Risikoniveau der Kontrollen abhängt. Bereiche mit hohem Risiko erfordern möglicherweise häufigere und intensivere Tests als Bereiche mit geringerem Risiko. Die Ergebnisse dieser Tests sollten dokumentiert und festgestellte Mängel umgehend behoben werden, um die Integrität der Kontrollumgebung zu gewährleisten.

5. Integration mit der Finanzprüfung

Die Integration in die Prozesse der Finanzprüfung ist für eine effektive SOX 404-Konformität unerlässlich. Die internen Kontrollen müssen nahtlos mit den umfassenderen Anforderungen der Finanzprüfung harmonieren und sicherstellen, dass sich beide Aktivitäten gegenseitig unterstützen. Diese Abstimmung trägt dazu bei, Risiken in der Finanzberichterstattung effektiver zu identifizieren und zu adressieren, was zu zuverlässigeren Jahresabschlüssen führt.

Die Koordination zwischen internen Kontrollprüfungen und Finanzprüfungen fördert zudem die Effizienz, da Prüfer auf gut dokumentierte und erprobte Kontrollen zurückgreifen können, was den Umfang und die Dauer ihrer Prüfungen reduziert. Diese Integration minimiert Störungen des Geschäftsbetriebs und gewährleistet gleichzeitig eine umfassende Abdeckung aller finanziellen Risiken und Kontrollen.

SOX-Konformität mit der Exabeam SOC-Plattform

Das Verständnis der Anforderungen der Verordnung ist nur die halbe Miete, wenn es um die Einhaltung der SOX-Vorschriften geht. Um die Compliance effektiv zu erreichen, benötigen Sie die richtige Technologie. Tools, die Ihnen helfen, die richtigen Daten zu sammeln und die von den SOX-Vorschriften geforderten Sicherheitskontrollen und -maßnahmen einzurichten, helfen Ihnen, die Compliance schneller zu erreichen und Risiken für Ihr Unternehmen zu reduzieren.

Als führendes SIEM und XDR der nächsten Generation bietet Exabeam Fusion eine Cloud-basierte Lösung zur Bedrohungserkennung und -reaktion. Exabeam Fusion kombiniert Verhaltensanalyse und Automatisierung mit bedrohungszentrierten, ergebnisorientierten Anwendungspaketen. Es kann dazu beitragen, das allgemeine Sicherheitsprofil Ihres Unternehmens zu verbessern und Sie besser für die Einhaltung von Vorschriften wie SOX gerüstet zu machen.

• Schützen Sie Personenbezogene Daten durch Einhaltung der DSGVO
• PCI-Konformität: Eine Kurzanleitung
• Was ist der HIPAA-Compliance-Standard und wie kann man ihn einhalten?