Unter SOX-Compliance versteht man die Einhaltung der Anforderungen des Sarbanes-Oxley Act (SOX Act), eines US-Gesetzes zur Verhinderung von Unternehmensbetrug, in den Bereichen Finanzberichterstattung, Informationssicherheit und Rechnungsprüfung.
Um die SOX-Compliance zu gewährleisten, müssen börsennotierte Unternehmen, die in den USA geschäftlich tätig sind, die folgenden Anforderungen erfüllen:
- Implementierung interner Kontrollen, um Finanzdaten vor Manipulationen zu schützen.
- Regelmäßige Vorlage von Berichten bei der Securities and Exchange Commission (SEC), in denen die Wirksamkeit der Sicherheitskontrollen und die Richtigkeit der Finanzangaben bestätigt werden.
- Bestehen einer jährlichen unabhängigen Prüfung ihrer Finanzberichte und Kontrollen.
Das SOX-Gesetz legt auch Regeln für die Wirtschaftsprüfungsgesellschaften fest, die börsennotierte Unternehmen prüfen, sowie für die Analysten, die Analysen über Wertpapiere veröffentlichen. Das Gesetz sieht erhebliche Geldstrafen und strafrechtliche Verurteilungen für betrügerische Finanzaktivitäten und bestimmte Formen der Nichteinhaltung vor.
SOX ist zwar eine Verordnung aus dem Finanzbereich, aber an der Einhaltung der Vorschriften sind Stakeholder aus dem gesamten Unternehmen beteiligt. IT-Abteilungen und Cybersicherheitsteams sind besonders wichtig geworden, da Unternehmen zunehmend auf Technologielösungen zurückgreifen, um Finanzinformationen in komplexen Unternehmensnetzwerken zu schützen.
Laut einem Bericht des Beratungsunternehmens Protiviti aus dem Jahr 2023 (Link befindet sich außerhalb von ibm.com) geben mehr als die Hälfte der Unternehmen an, dass es jetzt länger dauert, die SOX-Compliance zu erreichen. Im Durchschnitt gibt ein Unternehmen jedes Jahr mehr als 1 Million US-Dollar für die Einhaltung der SOX-Vorschriften aus.
Gewinnen Sie mit dem IBM Security X-Force Threat Intelligence Index neue Erkenntnisse, um schneller und effektiver auf Cyberangriffe reagieren zu können.
Registrieren Sie sich für den Bericht über die Kosten einer Datenschutzverletzung
Der Sarbanes-Oxley Act von 2002 ist ein US-amerikanisches Bundesgesetz, das von Senator Paul Sarbanes und dem Abgeordneten Michael Oxley gemeinsam eingebracht wurde. Der US-Kongress erließ das Gesetz im Zuge mehrerer Finanzskandale zu Beginn des 21. Jahrhunderts, darunter die Zusammenbrüche von Enron, WorldCom und Tyco.
In diesen und anderen Fällen nutzten börsennotierte Unternehmen eine Mischung aus Schlupflöchern in der Buchhaltung und offenem Betrug, um ihren Wert in die Höhe zu treiben, sodass die Anleger Milliarden verloren. Als beispielsweise die Betrügereien von Enron aufgedeckt wurden, fiel der Aktienkurs des Unternehmens von 90,75 US-Dollar auf nur noch 60 Cents pro Aktie.
In einigen Fällen wurden die Unternehmen von externen Wirtschaftsprüfungsgesellschaften unterstützt, die sie eigentlich prüfen sollten. Arthur Andersen, einst eine der „Big Five“-Wirtschaftsprüfungsgesellschaften, musste aufgrund seiner Rolle bei den Skandalen um Enron und WorldCom seine Tätigkeit einstellen.
SOX zielt darauf ab, Betrug in Unternehmen zu verhindern, indem strenge gesetzliche Vorgaben gemacht werden, wie Unternehmen ihre Finanzunterlagen vor Manipulationen schützen und dafür sorgen, dass Wirtschaftsprüfer unabhängiger von ihren Kunden werden.
Das Gesetz ist ein umfassender Gesetzesentwurf mit insgesamt 11 Titeln. Zu den bedeutendsten Auswirkungen gehören:
- Gründung des Public Company Accounting Oversight Board (PCAOB)
- Verschärfung der Anforderungen an die Finanzberichterstattung
- Persönliche Verantwortung von Führungskräften für finanzielle Offenlegungen und Kontrollen
- Stärkung der Unabhängigkeit für externe Auditoren und Analysten
- Schutz von Whistleblowern
SOX führte zur Gründung des PCAOB. Dabei handelt es sich um eine gemeinnützige Organisation, die Standards für die Finanzprüfung festlegt und die Wirtschaftsprüfungsgesellschaften reguliert, die Audits in börsennotierten Unternehmen durchführen. Das PCAOB kann Unternehmen, die der Nichteinhaltung von Vorschriften verdächtigt werden, untersuchen und sie mit Geldstrafen von bis zu 10,00 US-Dollar für Einzelpersonen und 2.000.000 US-Dollar für Organisationen bestrafen.
Nach dem Securities Exchange Act von 1934 mussten börsennotierte Unternehmen ab einer bestimmten Größe bereits Jahres- und Quartalsfinanzberichte bei der SEC einreichen. SOX betont, dass diese Berichte keine irreführenden Angaben enthalten dürfen. Die Berichte müssen nach den allgemein anerkannten Rechnungslegungsgrundsätzen erstellt werden, einer Reihe von Standards, die vom Financial Accounting Standards Board (Link befindet sich außerhalb von ibm.com) verwaltet werden.
Einige nicht bilanzwirksame Transaktionen, die Unternehmen bisher in ihren Finanzberichten aussparen konnten, wie z. B. Schulden, die von nicht konsolidierten Tochtergesellschaften gehalten werden, müssen nun gemeldet werden, wenn sie einen wesentlichen Einfluss auf die Finanzlage des Unternehmens haben. Eine Information ist „wesentlich“, wenn sie einen vernünftigen Investor dazu veranlassen würde, eine Investitionsentscheidung zu überdenken.
Die Unternehmen müssen der Öffentlichkeit außerdem nahezu in Echtzeit alles melden, was eine wesentliche Änderung ihrer Finanzinformationen darstellt.
Schließlich müssen Unternehmen interne Kontrollen einführen, um Finanzdaten vor Manipulationen und betrügerischer Nutzung durch interne oder externe Akteure zu schützen. Dazu gehört auch die Aufbewahrung von Finanzdaten für bestimmte Zeiträume.
Gemäß SOX sind der Chief Executive Officer (CEO), der Chief Financial Officer (CFO) und alle Unternehmensleiter mit ähnlichen Funktionen persönlich dafür verantwortlich, sicherzustellen, dass die Finanzberichte der Wahrheit entsprechen und die internen Kontrollstrukturen wirksam sind. Führungskräfte können mit Geldstrafen und strafrechtlichen Sanktionen rechnen, wenn Finanzberichte nicht korrekt sind, auch wenn sie die Anleger nicht absichtlich in die Irre geführt haben.
Interessenkonflikte trugen zu den Skandalen bei, die zur Einführung des SOX geführt haben. Die Wirtschaftsprüfungsgesellschaften, die die Jahresabschlüsse von börsennotierten Unternehmen prüften, boten denselben Unternehmen häufig lukrative Beratungsdienste an. Die Wirtschaftsprüfer sahen sich veranlasst, Prüfungsberichte zu erstellen, die ihre Kunden akzeptabel fanden, oder sie riskierten, diese profitablen Vereinbarungen zu verlieren.
In ähnlicher Weise arbeiten Analysten, die über Aktienwerte berichten, oft für Organisationen, die Investmentbanking oder andere Services für börsennotierte Unternehmen anbieten.
SOX zielt darauf ab, diese Interessenkonflikte auf verschiedene Weise zu beseitigen. Erstens schreibt es börsennotierten Unternehmen die Einrichtung von Prüfungsausschüssen vor, die von der Geschäftsführung unabhängig sind. Diese Ausschüsse sind für die Beauftragung unabhängiger Prüfer und die Koordination mit diesen zuständig. SOX verbietet es Unternehmen auch, zu versuchen, die Ergebnisse von Prüfungen zu beeinflussen.
Wirtschaftsprüfungsgesellschaften dürfen keine Beratungs- oder anderen Services für dieselben Unternehmen anbieten, für die sie SOX-Prüfungen durchführen, und die Unternehmen müssen die externen Prüfer alle fünf Jahre wechseln.
Wertpapieranalysten müssen unabhängig von den Investmentbanking-Abteilungen ihrer Institute operieren. Darüber hinaus müssen sie bei der Berichterstattung über Wertpapiere etwaige Interessenkonflikte offenlegen.
SOX macht es illegal, Vergeltungsmaßnahmen gegen Mitarbeiter zu ergreifen, die potenziellen Betrug melden, indem sie degradiert, entlassen, suspendiert, belästigt oder anderweitig geschädigt werden.
SOX gilt für alle börsennotierten Unternehmen, die in den USA geschäftlich tätig sind, sowie für deren hundertprozentige Tochtergesellschaften. Es gilt auch für Wertpapieranalysten und die Wirtschaftsprüfungsgesellschaften, die börsennotierte Unternehmen prüfen.
Privatunternehmen und gemeinnützige Organisationen sind zwar grundsätzlich nicht an SOX gebunden, aber es gibt einige Ausnahmen. Privatunternehmen, die sich auf einen Börsengang vorbereiten, unterliegen dem SOX, wenn sie eine Registrierungserklärung bei der SEC einreichen. Whistleblower in Privatunternehmen, die Dienstleistungen für börsennotierte Unternehmen erbringen, sind durch das SOX geschützt, wenn sie über das Fehlverhalten ihrer börsennotierten Kunden berichten.
Gemäß SOX ist es für jedes Unternehmen – ganz gleich, ob börsennotiert, privat oder gemeinnützig – illegal, Finanzunterlagen zu zerstören oder zu fälschen, um eine Bundesuntersuchung zu behindern.
Obwohl es sich bei SOX um eine US-Vorschrift handelt, hat sie Auswirkungen auf Unternehmen außerhalb des Landes. Börsennotierte Unternehmen mit Hauptsitz außerhalb der USA müssen die SOX-Anforderungen einhalten, wenn sie in den USA geschäftlich tätig sind. Die Verabschiedung von SOX hat auch andere Länder dazu inspiriert, eigene Gesetze zur Bekämpfung von Finanzbetrug zu verabschieden, wie z. B. Kanadas „Keeping the Promise for a Strong Economy Act“ (auch „C-SOX“ genannt) und Japans „Financial Instruments and Exchange Act“ (auch „J-SOX“ genannt).
Man hat festgestellt, dass es in Europa erhebliche Überschneidungen zwischen der Einhaltung des SOX und der Datenschutz-Grundverordnung (DSGVO) gibt. Insbesondere unterstützen viele der gleichen Sicherheitskontrollen und Datenschutzprozesse, die die Einhaltung von SOX ermöglichen, auch die Einhaltung der DSGVO. Auch die Europäische Union hat ihre eigenen SOX-ähnlichen Regeln für die Unabhängigkeit von Finanzprüfern eingeführt.
Im Kern bedeutet die Einhaltung der SOX-Vorschriften, dass alle finanziellen Angaben eines Unternehmens vollständig korrekt sind und dass das Unternehmen über Kontrollen und Dokumentation verfügt, um seine Finanzabschlüsse zu belegen.
Der Prozess zur Einhaltung der SOX-Vorschriften kann jedoch sehr komplex sein. SOX beschreibt nicht alle Kontrollen, die ein Unternehmen benötigt, oder jeden Schritt, den Prüfer unternehmen müssen. Verschiedene Unternehmen erreichen die SOX-Compliance auf unterschiedliche Weise.
Im Großen und Ganzen hat SOX drei allgemeine Anforderungen:
- Einreichung genauer Finanzberichte, die von der Unternehmensleitung zertifiziert wurden
- Implementierung geeigneter interner Kontrollen
- Bestehen der regelmäßigen Audits
Gemäß Abschnitt 302 des SOX, „Corporate Responsibility for Financial Reports“, müssen der CEO, der CFO oder gleichwertige Führungskräfte eines Unternehmens jeden bei der SEC eingereichten Jahres- und Quartalsfinanzbericht abzeichnen.
Bei der Unterzeichnung der Berichte müssen der CEO und der CFO bestätigen, dass die Finanzberichte vollständig korrekt sind. Sie müssen auch versichern, dass die entsprechenden internen Kontrollen vorhanden sind und innerhalb der letzten 90 Tage validiert wurden.
Gemäß SOX Abschnitt 404, „Management Assessment of Internal Controls“, muss jeder bei der SEC eingereichte Jahresfinanzbericht einen ausführlichen Bericht über die internen Kontrollen enthalten. Der Bericht über die internen Kontrollen besagt, dass das Management für die internen Kontrollen verantwortlich ist und die Wirksamkeit der internen Kontrollen des Unternehmens zum Ende des letzten Geschäftsjahres bewertet.
Unternehmen müssen alle wesentlichen Änderungen ihres Finanzstatus unverzüglich melden. Cybersicherheitsvorfälle können zwar als wesentliche Änderungen gemäß SOX gelten, aber es ist erwähnenswert, dass die SEC im Juli 2023 neue Regeln erlassen hat, die die Meldepflichten für diese Vorfälle noch strenger gestalten (Link befindet sich außerhalb von ibm.com).
Insbesondere müssen Unternehmen Cybersicherheitsvorfälle innerhalb von vier Tagen melden, nachdem festgestellt wurde, dass der Vorfall erhebliche Auswirkungen hatte oder haben könnte. Unternehmen müssen Vorfälle bei Dritten, etwa bei Cloud-Services, melden, wenn diese sich erheblich auf das Unternehmen auswirken könnten.
Unternehmen implementieren interne SOX-Kontrollen, um zu verhindern, dass interne und externe Akteure Finanzdaten betrügerisch ändern oder für illegale Zwecke verwenden.
SOX listet nicht ausdrücklich alle Kontrollen auf, die Unternehmen implementieren müssen. Unternehmen verlassen sich oft auf Corporate Governance-Frameworks wie das Framework der Control Objectives for Information, das zur Information Systems Audit and Control Association gehört. Das Framework des Committee of Sponsoring Organizations of the Treadway Commission ist ebenfalls sehr beliebt. Diese Frameworks wurden zwar nicht speziell für SOX entwickelt, aber die darin enthaltenen Kontrollschemata erfüllen in der Regel die Anforderungen des SOX.
Unternehmen implementieren Kontrollen sowohl auf der Ebene der Geschäftsprozesse als auch auf der Ebene der IT-Infrastruktur.
Zu den Geschäftsprozesskontrollen gehören Dinge wie die Schulung von Mitarbeitern zu den SOX-Anforderungen und die Einrichtung sicherer Meldewege für Whistleblower.
Viele Unternehmen wenden auch das Prinzip der Aufgabentrennung an, bei dem Workflows in mehrere Teile aufgeteilt werden und für jeden Schritt andere Mitarbeiter zuständig sind. Die Idee ist, dass kein einzelner Mitarbeiter den gesamten Workflow kontrolliert, sondern jeder Beteiligte die anderen kontrolliert. Ein typisches Beispiel wäre, es so zu gestalten, dass die Person, die Zahlungen genehmigt, nicht dieselbe Person ist, die die Schecks vom Firmenkonto ausstellt.
Unternehmen können auch Prozesse zum Speichern und Aufbewahren von Aufzeichnungen erstellen, um die SOX-Anforderungen für die Aufbewahrung von Dokumenten zu erfüllen. Prüfer sind beispielsweise verpflichtet, alle mit einem Audit verbundenen Arbeitsunterlagen sieben Jahre lang aufzubewahren.
Da Unternehmensnetzwerke immer komplexer werden, wird die Automatisierung für die Einhaltung der SOX-Vorschriften immer wichtiger. Laut Protiviti verfügt ein durchschnittliches Unternehmen über 36 Geschäftsanwendungen, die unter die SOX-Anforderungen fallen (Link befindet sich außerhalb von ibm.com). IT-Sicherheitskontrollen können dabei helfen, SOX-Regeln in all diesen Anwendungen durchzusetzen.
Einige Unternehmen nutzen spezielle SOX-Compliance-Software, um SOX-bezogene Daten und Dokumente sicher zu speichern, relevante Aktivitäten zu verfolgen und Lücken in den internen Kontrollen zu erkennen. Unternehmen können jedoch auch allgemeinere Cybersicherheitstools für SOX-Compliance-Zwecke verwenden.
Datenschutztools wie Data Loss Prevention (DLP)-Lösungen können nachverfolgen, wo sensible Daten gespeichert sind, wer darauf zugreift und was damit gemacht wird. Einige DLP-Tools können auch verhindern, dass Benutzer unbefugte Änderungen an Finanzdaten vornehmen oder diese an nicht autorisierte Orte verschieben. Unternehmen können auch automatische Backups verwenden, damit Daten wiederhergestellt werden können, wenn sie zerstört oder manipuliert werden.
Mit IAM-Lösungen (Identity and Access Management) können Unternehmen detaillierte Zugriffskontrollrichtlinien nach dem Prinzip der geringsten Rechte festlegen. Mitarbeiter erhalten so nur die geringsten Berechtigungen, die sie für ihre Arbeit benötigen. IAM-Plattformen können auch das Änderungsmanagement optimieren, sodass Unternehmen Zugriffsberechtigungen schnell aktualisieren und entfernen können, wenn Mitarbeiter dem Unternehmen beitreten, Rollen wechseln oder das Unternehmen verlassen.
Unternehmen können SIEM-Lösungen (Security Information and Event Management) nutzen, um Netzwerkaktivitäten zu überwachen, Sicherheitsverletzungen zu erkennen und schneller auf Vorfälle zu reagieren. SIEM-Lösungen speichern auch Sicherheitsprotokolle, anhand derer Unternehmen die Einhaltung der Vorschriften bei SOX-Audits nachweisen können. Einige SIEM-Tools verfügen über integrierte SOX-spezifische Funktionen oder lassen sich in entsprechende Tools integrieren, sodass sie relevante Informationen automatisch aufzeichnen und Compliance-Berichte erstellen können.
Die Informationssicherheitsverpflichtungen von SOX umfassen auch Cloud-Rechenzentren, in denen Unternehmen Finanzinformationen speichern oder verarbeiten. Unternehmen müssen auch Kontrollen für diese Datenquellen in Betracht ziehen.
Wie bereits erwähnt, sind der CEO und der CFO für die Richtigkeit jedes Finanzberichts und die Wirksamkeit der internen Kontrollen verantwortlich. Durch regelmäßige Audits erhalten Führungskräfte den Nachweis, den sie für diese Aussagen benötigen.
Durch regelmäßige interne Prüfungen der Finanzberichterstattungspraktiken und Datenkontrollen können Unternehmen die Einhaltung der Vorschriften im Laufe der Zeit überwachen, Lücken erkennen und Schwachstellen beheben.
Die Ergebnisse interner Audits können auch den externen Prüfern helfen, die jährliche SOX-Compliance-Audits durchführen. Bei der jährlichen Prüfung nimmt eine unabhängige Wirtschaftsprüfungsgesellschaft eine eigene Beurteilung der internen Kontrollen und der Finanzberichterstattung vor. Die Ergebnisse dieser Prüfung werden oft in den jährlichen SEC-Bericht des Unternehmens aufgenommen.
Früher mussten die Prüfer angeben, ob sie die Bewertungen der internen Kontrollen durch das Management für zutreffend halten. Diese Anforderung wurde entfernt, als die SEC im Jahr 2007 Auditing Standard No. 5 (Link befindet sich außerhalb von ibm.com) übernommen hat.
SOX legt nicht genau fest, wie Manager und Buchhaltungsunternehmen ihre Audits durchführen sollen. Stattdessen gibt die SEC an (Link befindet sich außerhalb von ibm.com), dass Prüfer und Manager eine Top-Down-Risikobewertung (Top-Down Risk Assessment, TDRA) vornehmen sollten, um den Umfang ihrer Prüfungen zu bestimmen. Eine TDRA identifiziert die Konten, Offenlegungen und andere Bereiche, die am stärksten von Betrug bedroht sind, und konzentriert sich auf die Bewertung der Schlüsselkontrollen, die diese Risiken angehen.
Die Einhaltung der SOX-Bestimmungen hat Vorteile. Die Anleger haben möglicherweise mehr Vertrauen in die Offenlegung der Finanzen und sind daher eher bereit, in Unternehmen zu investieren, die die SOX-Vorschriften einhalten. SOX verringert auch die Anreize für Unternehmensleiter, Betrug zu begehen, indem es sie persönlich für die Jahresabschlüsse verantwortlich macht.
Die SOX-Compliance kann Unternehmen dabei helfen, ihre Cybersicherheit insgesamt zu verbessern. Viele der Datensicherheitskontrollen, die Unternehmen zur Verhinderung von Finanzmanipulationen einsetzen, können auch zur Bekämpfung von Cyberangriffen eingesetzt werden. IAM-Lösungen tragen beispielsweise dazu bei, Hacker von den Benutzerkonten fernzuhalten, und SIEM-Tools können dazu beitragen, laufende Sicherheitsvorfälle früher zu erkennen.
Die Nichteinhaltung von SOX kann auch zivil- und strafrechtliche Sanktionen für Unternehmen und Einzelpersonen nach sich ziehen.
Führungskräfte, die einen fehlerhaften Finanzbericht zertifizieren, können mit einer Geldstrafe von bis zu 1 Million US-Dollar und einer Freiheitsstrafe von bis zu 10 Jahren belegt werden. Führungskräfte, die vorsätzlich irreführende Angaben zertifizieren, können mit einer Geldstrafe von bis zu 5 Millionen US-Dollar und einer Freiheitsstrafe von bis zu 20 Jahren belegt werden.
Darüber hinaus können anreizgebundene Vergütungen von Führungskräften zurückgefordert werden, wenn ein Unternehmen eine Finanzberichtigung vornehmen muss. Nach den im Jahr 2022 verabschiedeten SEC-Regeln (Link befindet sich außerhalb von ibm.com) müssen sich Führungskräfte nicht einmal eines Fehlverhaltens schuldig machen. Rückforderungen werden automatisch ausgelöst, wenn sich bei einer Berichtigung herausstellt, dass die mit Anreizen verknüpften Ziele nicht erreicht wurden.
SOX macht es außerdem illegal, Finanzunterlagen zu beschädigen, zu verändern oder anderweitig zu manipulieren. Einzelne Mitarbeiter können dafür mit Gefängnisstrafen von bis zu 20 Jahren rechnen. Führungskräfte, die Vergeltungsmaßnahmen gegen Whistleblower ergreifen, drohen Geldstrafen und Gefängnisstrafen von bis zu 10 Jahren.
Die SEC kann Personen, die gegen die SOX-Regeln verstoßen, verbieten, als leitende Angestellte, Direktoren, Makler, Berater und Händler zu zu arbeiten. Bei erheblicher Nichteinhaltung können Unternehmen sogar ihren Status an der Börse verlieren.
Die Compliance-Software von IBM Security QRadar SIEM reduziert Risiken und hilft bei der Verwaltung komplexer Compliance-Anforderungen, indem sie Ihre SIEM-Protokolldaten durch die Compliance-Erweiterung für die meisten regulatorischen Standards laufen lassen, darunter zum Beispiel SOX.
IBM Security Guardium Insights ermöglicht es Ihnen, Ihren Weg zu Datensicherheit und Compliance zu optimieren – mit Software, die Ihre Daten unabhängig von deren Speicherort schützt.
AIX, das proprietäre Unix-Betriebssystem von IBM, fördert Innovationen mit Hybrid-Cloud- und Open-Source-Funktionen, die Sie bei der Entwicklung und Bereitstellung moderner, konformer Anwendungen in einer sicheren und stabilen Umgebung unterstützen.
Der IBM Security X-Force Threat Intelligence Index 2023 bietet handlungsrelevante Informationen, um besser zu verstehen, wie man sein Unternehmen proaktiv schützen kann.
GRC ist eine organisatorische Strategie für die Verwaltung von Governance, Risikomanagement und die Einhaltung von brancheninternen und gesetzlichen Bestimmungen.
SIEM ist eine Sicherheitslösung, mit der Unternehmen potenzielle Sicherheitsbedrohungen und Sicherheitslücken erkennen und beheben können, bevor es zu Unterbrechungen im Betriebsablauf kommt.