SOX Compliance: Das sind die Anforderungen
Bedeutung des Sarbanes-Oxley Act of 2002 (SOX)
Der Sarbanes-Oxley Act of 2002 (auch SOX, SarbOx oder SOA) ist ein US-Bundesgesetz, mit dem die Berichterstattung von Unternehmen, die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen, verbessert werden soll. Das Gesetz wurde von den US-Senatoren Paul Sarbanes (Demokratische Partei) und Michael Oxley (Republikaner) als Reaktion auf diverse Bilanzskandale konzipiert.
Das Gesetz gilt für alle Firmen, deren Aktien an US-Börsen oder außerbörslich in den USA gehandelt oder angeboten werden und die der Aufsicht der Securities and Exchange Commission (SEC) unterstehen. Deutsche Unternehmensleitungen, die Zugang zum US-Kapitalmarkt haben oder anstreben, müssen das Gesetz berücksichtigen.
Überprüfung durch PCAOB
Für die Überprüfung öffentlicher Unternehmen wurde das Public Company Accounting Oversight Board ( PCAOB) gegründet. Das PCAOB überwacht die Audits von öffentlichen Unternehmen und sec-registrierten Maklern und Händlern, um Anleger zu schützen und das öffentliche Interesse an der Erstellung informativer, genauer und unabhängiger Prüfberichte zu erfüllen. 2020 wurde ein neuer Strategieplan erstellt. Zu den Zielen gehört, die Aufsicht noch effektiver zu gestalten, die Innovation zu erhöhen und Prozesse zu optimieren.
EU-Richtlinie
In der EU gibt es die Richtlinie 2006/43/EG vom 17.5.2006, mit gleichen Zielen, über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen, die auch in der EWR zu berücksichtigen ist.
In Deutschland wurde die Richtlinie mit dem Gesetz zur Stärkung der Berufsaufsicht und zur Reform berufsrechtlicher Regelungen in der Wirtschaftsprüferordnung ( Berufsaufsichtsreformgesetz – BARefG) von 2007 umgesetzt. 2009 trat zudem das Gesetz zur Modernisierung des Bilanzrechts (Bilanzrechts-Modernisierungsgesetz/BilMoG) in Kraft.
Was ist SOX Compliance: Definition
SOX ist ein Gesetz, das als solches von Unternehmen Compliance in Finanzangelegenheiten fordert und Vorschriften darüber enthält, wie diese zu erreichen sei. Mit dem Gesetz wollte man nach einigen Bilanzskandalen das Vertrauen von Anlegern in die Verlässlichkeit von veröffentlichten Finanzdaten wiederherstellen.
Folgende Maßnahmen sind dafür besonders wichtig:
- Nach SOX müssen die betroffenen Gesellschaften, im Gesetz als Emittenten bezeichnet, ein so genanntes Audit Committee, also einen "Prüfungsausschuss", organisieren. Dieses gehört zum Unternehmen. Es wird im Gesetz definiert als ein Ausschuss oder eine gleichwertige Einrichtung, der von der Unternehmensführung mit der Überwachung der Buchführung, der Finanzen und den dazugehörigen Berichten, sowie die Überprüfung der finanziellen Informationen der Firma beauftragt wird.
- Die Bilanzen und Finanzunterlagen müssen von Geschäftsführung und Leitung der Finanzabteilung beglaubigt werden, und zwar fehlerfrei und vollständig.
- Gemäß SOX muss man externe Abschlussprüfer engagieren, die unabhängig sein müssen. Die Abschlussprüfer müssen auch das interne Kontrollsystem eines Unternehmens beurteilen. Sie sind verpflichtet, das Financial Audit Comittee über kritische Vorgänge zu informieren sowie Alternativen zur Rechnungslegung vorzuschlagen.
SOX-Richtlinien in Deutschland: Wichtige Vorschriften
Wichtige Vorschriften des SOX sind die Abschnitte 404 und 302.
Abschnitt 302 besagt:
Die Bilanzen müssen vom Geschäftsführer und Leiter der Finanzabteilung beglaubigt werden, und zwar müssen die Finanzdaten fehlerfrei und vollständig sein. Die Geschäftsleitung hat zu bestätigen, dass alle Geschäftsabschlüsse und die übrige obligatorische Berichterstattung den Bestimmungen der Börse und dem Prinzip Treu und Glauben (True and Fair-View) entsprechen. Weiter sind CEO und der CFO verpflichtet, dem Audit Committee und dem Wirtschaftsprüfer alle bedeutsamen Schwachstellen der internen Kontrolle sowie alle versuchten oder durchgeführten Unterschlagungen, Veruntreuungen und ähnliche Delikte zu melden. Zumindest ist das vorgeschrieben, wenn Mitglieder der Geschäftsleitung oder Personen mit wichtigen Überwachungs- und Kontrollfunktionen darin verwickelt sind. Verwaltungsräten und hohen Managern ist es verboten, die Konzernprüfer bei ihrer Prüfungsarbeit in unlauterer Absicht zu beeinflussen.
In § 91 Abs. 2 AktG ist vorgeschrieben, dass der Vorstand geeignete Maßnahmen zu treffen hat, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.
Abschnitt 404 besagt:
Der Geschäftsführer, der Leiter der Finanzabteilung und der Abschlussprüfer müssen die Effektivität der internen Kontrollen überprüfen und bestätigen. Dabei wurde kein bestimmtes Konzept als zulässige Bewertungsgrundlage genannt. Besonders beliebt bei der PCAOB sind die COSO-Standards. COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist eine freiwillige privatwirtschaftliche Organisation in den USA, die Standards für Finanzberichterstattung in den Unternehmen entwickelt. Die überarbeitete Version des COSO ERM Frameworks Enterprise Risk Management: Integrating with Strategy and Performance wurde 2017 publiziert.
Das COSO veröffentlichte im Februar 2020 neue Leitlinien mit dem Titel „Creating and Protecting Value: Understanding and Implementing Enterprise Risk Management“, die prägnante und konkrete Schritte zur Implementierung eines effektiven ERM-Programms beschreiben.
Weitere wichtige Vorschriften von SOX
Insidergeschäfte sind im Prinzip verboten (Abschnitt 306 und 402). Von Ausnahmen abgesehen, dürfen keine Kredite an Verwaltungsräte und Direktionsmitglieder vergeben werden.
- Die Konzernprüfungsgesellschaft darf einige klar definierte Beratungsdienstleistungen nicht übernehmen und die beteiligten Personen müssen regelmäßig ausgewechselt werden. Die Führungskräfte und der Verwaltungsrat dürfen die Prüfer nicht in unlauterer Absicht beeinflussen.
- Die Geschäftsleitung muss in der Lage sein, wesentliche Veränderungen der Finanzsituation frühzeitig zu erkennen und das Publikum so rasch wie möglich darüber zu informieren (Abschnitt 409).
Für die Nichterfüllung drohen harte Strafen, wie Bußgelder oder Gefängnisaufenthalt. Wenn die Geschäftsleitung eine Konzernrechnung rückwirkend korrigieren muss, besteht die Pflicht zur Rückerstattung von Boni und anderen variablen Salärkomponenten.
Sicherheitsbeauftragte in SOX Compliance miteinbeziehen
Es ist sehr zu empfehlen, auch den IT-Sicherheitsbeauftragten oder andere IT-Fachleute ins Audit Committee einzubeziehen. Bei der Überprüfung der Unternehmens-Finanzen sind auch die Sicherheit der Computersysteme, Software und Datensicherheit zu beurteilen.
Zu diesem Zweck wird in Europa häufig das System ITIL (Information Technology Infrastructure Library) benutzt. Die IT-bezogenen SOX-Kontrollen beziehen sich auch auf IT-Sicherheit und sind ein Regelwerk, das die „Best Practices“ für IT-Dienstleister zusammenfasst. Dieses grundlegende und durchgängige Werk beschreibt die Vorgehensweise in Form von Prozessen.
Durch SOX-Prüfung und -Audit wird Systemkonformität sichergestellt
Der Ausdruck "Audit" bedeutet laut Gesetz eine Prüfung der Abschlüsse einer Firma von einer unabhängigen öffentlichen Wirtschaftsprüfungsgesellschaft in Übereinstimmung mit den Regeln des Vorstands oder der Kommission. Der Begriff "Audit-Bericht" bezeichnet ein Dokument oder andere Aufzeichnungen, die im Anschluss an ein Audit verfasst werden und die darüber berichten, ob die Firma die Wertpapiergesetze einhält.
Checkliste für die Anforderungen an SOX Compliance
Vorschriften für die Geschäftsleitung
- Rechtmäßigkeit der Geschäftsabschlüsse bestätigen
- Audit Committee über die anwendbaren Rechnungslegungsgrundsätze informieren
- Dem Audit Committee und dem Wirtschaftsprüfer Schwachstellen der internen Kontrolle sowie Finanzdelikte melden
- Ethische Grundsätze für Mitarbeiter im Finanz- und Rechnungswesen einführen
- Unterlagen der Abschlussprüfung aufbewahren und schützen (Abschnitt 802)
Befugnisse des Audit Committees
- Verantwortung für die Auswahl, Entschädigung und Überwachung des Konzernprüfers
- Genehmigung sämtlicher Dienstleistungen des Konzernprüfers und Einsetzung zusätzlicher Berater, sofern das nötig ist
- Einrichtung interner Beschwerdemöglichkeiten für Unstimmigkeiten in Buchführung oder Rechnungslegung und Prüfung der Beschwerden
- Gewährleisten der Vertraulichkeit von Beschwerden und Anonymität der Mitarbeitenden, die vermutete Fehlleistungen melden
-
Italienische Bußgeldwelle trifft deutsche Autofahrer
2.172
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.7342
-
Gerichtliche Ladungen richtig lesen und verstehen
1.635
-
Klagerücknahme oder Erledigungserklärung?
1.613
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.471
-
Wie kann die Verjährung verhindert werden?
1.400
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.368
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.305
-
Verdacht der Befangenheit auf Grund des Verhaltens des Richters
1.136
-
Formwirksamkeit von Dokumenten mit eingescannter Unterschrift
1.0461
-
Risiko der Betriebsstättenbegründung durch mobiles Arbeiten im Ausland
18.11.2024
-
Handelsregistervollmachten – Anforderungen und Umgang bei Rückfragen des Handelsregisters
12.11.2024
-
Datenschutzbehörden müssen nicht zwingend Sanktionen verhängen
07.11.2024
-
Typisch stille Beteiligung an Kapitalgesellschaften – Unterschiede zwischen GmbH und AG
06.11.2024
-
Bundesnetzagentur wird nationale Marktüberwachungsbehörde bei der KI-Aufsicht
05.11.2024
-
Neue Bundesverordnung zur „Cookie-Einwilligung“
31.10.2024
-
Zahl der Datenschutz-Bußgeldverfahren steigt
24.10.2024
-
Untersuchungs- und Rügeobliegenheit im B2B-Bereich
23.10.2024
-
Fernmeldegeheimnis gilt nicht für private E-Mails und Telefonate am Arbeitsplatz
17.10.2024
-
Wirecard: Geschädigte Aktionäre sind keine nachrangigen Gläubiger!
16.10.2024