So bereiten Sie sich auf ein SOX-Audit vor

SOX-Audits sind für alle börsennotierten Unternehmen in den Vereinigten Staaten erforderlich. Als Finanzfachmann ist es wichtig, sich der Anforderungen eines SOX-Audits bewusst zu sein und die notwendigen Maßnahmen zu ergreifen, um eine reibungslose und erfolgreiche Prüfung zu gewährleisten. Dieser Artikel gibt einen Überblick über die wichtigsten Schritte, die zur Vorbereitung eines SOX-Audits unternommen werden müssen.

Was ist ein SOX-Audit?

Ein SOX-Audit oder ein Sarbanes-Oxley-Audit ist ein jährliches Audit, das gemäß dem Sarbanes-Oxley Act von 2002 durchgeführt wird. Der Kongress verabschiedete den Sarbanes-Oxley Act als Reaktion auf mehrere große Bilanzskandale, darunter die bei Enron, Tyco und Worldcom — große Fälle von Unternehmensbetrug, die sich auf den Markt und die Anleger auswirkten, indem sie zu mangelndem Vertrauen in börsennotierte Unternehmen führten. Der Gesetzentwurf wurde von Senator gesponsert Paul Sarbanes aus Maryland und der Abgeordnete Mike Oxley aus Ohio. Der Sarbanes-Oxley Act dient der Verbesserung der Unternehmensführung und der Finanzberichterstattung.

Die Anforderungen eines SOX-Audits ergeben sich aus den Abschnitten 302, 404 und 409 des Sarbanes-Oxley Act. In diesem Abschnitt müssen börsennotierte Unternehmen wirksame interne Kontrollen der Finanzberichterstattung einrichten und aufrechterhalten. Zu diesem Zweck müssen Unternehmen ein Steuerungssystem und Verfahren für die Finanzberichterstattung einführen. Sie müssen auch sicherstellen, dass ihre Unternehmensabschlüsse korrekt und zuverlässig sind.

Was ist der Zweck eines SOX-Audits?

Mit einem SOX-Audit soll sichergestellt werden, dass die Jahresabschlüsse börsennotierter Unternehmen korrekt und zuverlässig sind.

Um diese Sicherheit zu erreichen, müssen Unternehmen unabhängige Wirtschaftsprüfungsunternehmen beauftragen, jährlich zu bewerten, wie gut das Unternehmen seine internen Kontrollen verwaltet, und diesen internen Kontrollbericht den Interessengruppen leicht zugänglich machen.

Während SOX-Konformität wird in erster Linie als Anforderung für öffentliche Unternehmen angesehen. Aspekte davon gelten auch für:

• Börsennotierte ausländische Unternehmen, die in den USA Geschäfte tätigen
• Private Unternehmen, die einen Börsengang (IPO) wünschen
• Wirtschaftsprüfungsgesellschaften, die Dienstleistungen für diese Unternehmen anbieten

Auch wenn es sich bei Ihrem Unternehmen um ein privates oder gemeinnütziges Unternehmen handelt und es nicht verpflichtet ist, die SOX einzuhalten, ist die Aufrechterhaltung einer angemessenen internen Kontrollstruktur zum Schutz Ihrer Jahresfinanzberichte nur eine gute Geschäftspraxis.

Wer kann ein SOX-Audit durchführen?

Ein SOX-Compliance-Audit muss von einem externen Prüfer durchgeführt werden, der von der Organisation unabhängig ist. Die Unabhängigkeit des Abschlussprüfers ist von entscheidender Bedeutung, da sie sicherstellt, dass der Abschlussprüfer keine Interessenkonflikte hat, die sein Urteilsvermögen beeinträchtigen und ihn daran hindern könnten, seine Aufgaben objektiv zu erfüllen. Der externe Prüfer ist für die Durchführung der Prüfung und die Ausstellung des Prüfungsberichts verantwortlich.

Das interne Auditteam des Unternehmens kann auch interne Audits durchführen, um sicherzustellen, dass die Kontrollen des Unternehmens funktionieren und die Organisation bereit ist, sich einer externen Prüfung zu unterziehen.

Das Management, einschließlich des CEO und des CFO, ist für die Implementierung und Aufrechterhaltung des Finanzkontrollsystems verantwortlich, und der unabhängige Prüfer überprüft die internen Kontrollen und Verfahren des Unternehmens, um sicherzustellen, dass sie wie vorgesehen funktionieren.

Obwohl der Schwerpunkt eines SOX-Audits auf internen Kontrollen der Finanzberichterstattung liegt, müssen sich Wirtschaftsprüfungsunternehmen zunehmend mit der Technologie des Unternehmens vertraut machen, da interne Kontrollen IT-Sicherheit, Datensicherung und Zugriffskontrollen umfassen.

Das Public Company Accounting Oversight Board (PCAOB) führt routinemäßig Inspektionen von Wirtschaftsprüfungsunternehmen durch, die SOX-Prüfungen börsennotierter Unternehmen durchführen, um sicherzustellen, dass sie die Prüfungsstandards einhalten.

Welche Dokumente werden benötigt?

Um sich auf ein SOX-Audit vorzubereiten, müssen Unternehmen ihrem Prüfer bestimmte Dokumente zur Verfügung stellen. Das wichtigste Dokument ist der Jahresabschluss des Unternehmens. Dieses Dokument gibt einen Überblick über die finanzielle Lage und Leistung des Unternehmens. Andere Dokumente, die dem Prüfer in der Regel zur Verfügung gestellt werden, umfassen die Diskussion und Analyse des Managements, die Dokumentation der internen Kontrollen und die Ergebnisse aller internen Kontrolltests.

Der Jahresabschluss ist das wichtigste Dokument, da er die Grundlage für die Bewertung der Finanzkontrollen des Unternehmens bildet. Die anderen Dokumente sind jedoch auch wichtig, da sie Aufschluss darüber geben, wie sich das Unternehmen finanziell entwickelt und wie es geführt wird.

Vorbereitungsprozess für das SOX-Audit

Es müssen mehrere Schritte unternommen werden, um eine Aktiengesellschaft auf ein SOX-Audit vorzubereiten.

Einrichtung einer internen Kontrollstruktur

Der wichtigste Schritt ist die Einrichtung eines Kontrollsystems für Finanzinformationen. Dieses System sollte Verfahren für die Finanzberichterstattung und Leitlinien für die Rechenschaftspflicht des Managements beinhalten.

Der Sarbanes-Oxley Act enthält keine spezifische Liste interner Kontrollen, die befolgt werden müssen. Es gibt jedoch mehrere interne Kontrollrahmen, die als Leitfaden dienen können. Zwei etablierte Risikomanagement-Frameworks umfassen das Committee of Sponsoring Organizations (COSO), das für allgemeine Rechnungslegungsprozesse empfohlen wird, und Control Objectives for Information and Related Technology (COBIT), das Richtlinien für die Entwicklung von Richtlinien und Praktiken für IT-Kontrollen enthält.

Die Unterstützung Ihrer IT-Abteilung ist für die Einhaltung von SOX von entscheidender Bedeutung, da die Technologie, die Sie für die Finanzberichterstattung verwenden, bei elektronischen Kontrollen, beim Datenschutz und bei der Verhinderung von Datenschutzverletzungen helfen kann.

Dokumentieren Sie relevante Richtlinien, Verfahren und Prozesse

Pflegen Sie die Dokumentation aller Richtlinien, Verfahren und Prozesse, die sich auf Finanzberichte und Offenlegungen auswirken. Dokumentieren Sie alle Änderungen an diesen Richtlinien und Verfahren, die im Laufe des Jahres vorgenommen werden. Indem Sie diese Änderungen dokumentieren, tragen Sie zur Schaffung einer Kultur der Rechenschaftspflicht bei und zeigen auf, wie wichtig interne Kontrollen sind. So vermeiden Sie letztendlich potenzielle Schwächen bei Ihrer externen Prüfung.

Schulung und Schulung der Mitarbeiter in Bezug auf SOX-Kontrollen

Ihre Mitarbeiter sollten die Grundlagen der SOX-Compliance in- und auswendig verstehen. Je weniger sie darüber wissen, was SOX-konform ist und was nicht, desto wahrscheinlicher ist es, dass sie sich unwissentlich an betrügerischen Aktivitäten beteiligen und andere Risiken in der Finanzberichterstattung eingehen.

Organisatorische Verantwortlichkeiten abbilden

Eine Möglichkeit, Ihr Unternehmen zu schützen, ist die Aufgabentrennung.

Aufgabentrennung ist die Praxis, verschiedene Arten von Aufgaben oder Verantwortlichkeiten auf verschiedene Personen aufzuteilen, um das Betrugsrisiko zu verringern. Dies kann die Trennung der Verantwortlichkeiten für die Genehmigung und Aufzeichnung von Transaktionen, die Überprüfung von Informationen, die Verwahrung von Vermögenswerten und die Erstellung von Jahresabschlüssen beinhalten.

Sie könnten beispielsweise verschiedene Mitarbeiter mit der Führung des Hauptbuches, der Genehmigung von Bestellungen oder dem Ausstellen von Schecks zur Bezahlung von Rechnungen beauftragen. Auf diese Weise hat niemand die Möglichkeit, Betrug zu begehen oder Änderungen vorzunehmen, die unentdeckt bleiben könnten. Ein weiteres Beispiel im Zusammenhang mit IT-Kontrollen ist, dass eine Person nicht gleichzeitig eine Änderung an der Entwicklungsdatenbank vornehmen und die Änderung in die Produktionsdatenbank verschieben kann. Diese Change-Management-Kontrolle soll betrügerische Änderungen an den Systemen verhindern, die sich auf Finanzunterlagen auswirken.

Im Rahmen eines SOX-Compliance-Audits können Ihre externen Auditoren Mitarbeiter interviewen, um sicherzustellen, dass ihre Aufgaben den dokumentierten internen Kontrollen entsprechen und dass sie angemessen geschult und geschult sind, wie die SOX-Compliance-Standards eingehalten werden können.

Pflegen Sie einen Audit-Trail

Ein Prüfpfad ist erforderlich, um Finanzdaten zu schützen und eine genaue Finanzberichterstattung sicherzustellen. Sie sollten über eine detaillierte Aufzeichnung aller Finanztransaktionen, Journaleinträge und Genehmigungen verfügen.

Treffen Sie sich mit Ihren externen Auditoren

Nachdem Sie Ihre unabhängigen Auditoren beauftragt haben, vereinbaren Sie ein Meeting, um Ihre Teammitglieder vorzustellen und Ihre SOX-Compliance-Anforderungen zu besprechen. Ihre Auditoren sollten auch eine vorläufige Checkliste zur SOX-Konformität und eine Liste der Dokumente, die sie benötigen, um mit der Risikobewertung und dem SOX-Kontrolltestprozess zu beginnen.

Ein SOX-Compliance-Audit ist eine wichtige Methode, um sicherzustellen, dass Unternehmen die Finanzvorschriften einhalten. Um sich auf ein SOX-Audit vorzubereiten, ist es wichtig, ein System interner Kontrollen für die Finanzberichterstattung einzurichten und alle relevanten Richtlinien, Verfahren und Prozesse zu dokumentieren. Indem Sie diese Schritte ergreifen, können Sie dazu beitragen, ein erfolgreiches SOX-Audit sicherzustellen.