Wie man sich auf ein SOX-Audit vorbereitet

SOX-Prüfungen sind für alle börsennotierten Unternehmen in den Vereinigten Staaten vorgeschrieben. Als Finanzexperte ist es wichtig, die Anforderungen einer SOX-Prüfung zu kennen und die notwendigen Maßnahmen zu ergreifen, um eine reibungslose und erfolgreiche Prüfung zu gewährleisten. Dieser Artikel gibt einen Überblick über die wichtigsten Schritte, die zur Vorbereitung auf ein SOX-Audit unternommen werden müssen.

Was ist ein SOX-Audit?

Eine SOX-Prüfung oder Sarbanes-Oxley-Prüfung ist eine Jahresabschlussprüfung , die in Übereinstimmung mit dem Sarbanes-Oxley Act von 2002 durchgeführt wird. Der Kongress verabschiedete das Sarbanes-Oxley-Gesetz als Reaktion auf mehrere große Bilanzskandale, u. a. bei Enron, Tyco und WorldCom - große Fälle von Unternehmensbetrug, die sich auf den Markt und die Anleger auswirkten, da sie einen Mangel an Vertrauen in börsennotierte Unternehmen verursachten. Das Gesetz wurde von Senator Paul Sarbanes aus Maryland und dem Abgeordneten Mike Oxley aus Ohio eingebracht. Ziel des Sarbanes-Oxley-Gesetzes ist es, die Unternehmensführung und die Finanz-Reporting zu verbessern.

Die Anforderungen an eine SOX-Prüfung ergeben sich aus den Abschnitten 302, 404 und 409 des Sarbanes-Oxley Act. Dieser Abschnitt verlangt von börsennotierten Unternehmen die Einrichtung und Aufrechterhaltung einer wirksamen Abschlussprüfung über Finanz-Reporting. Zu diesem Zweck müssen die Unternehmen ein System der Unternehmensführung und Verfahren für die Finanz-Reporting einführen. Außerdem müssen sie sicherstellen, dass ihre Unternehmensabschlüsse korrekt und zuverlässig sind. 

Was ist der Zweck eines SOX-Audits?

Der Zweck einer SOX-Prüfung besteht darin, sicherzustellen, dass die Jahresabschlüsse öffentlicher Unternehmen korrekt und zuverlässig sind.

Um diese Gewissheit zu erlangen, müssen die Unternehmen unabhängige Wirtschaftsprüfungsgesellschaften damit beauftragen, jährlich zu bewerten, wie gut das Unternehmen seine Abschlussprüfung handhabt, und diesen Bericht über die interne Kontrolle den Interessengruppen leicht zugänglich machen.

Obwohl die Einhaltung der SOX-Bestimmungen in erster Linie als eine Anforderung für öffentliche Unternehmen angesehen wird, gelten einige Aspekte auch für diese:

• Ausländische börsennotierte Unternehmen, die in den USA tätig sind
• Privatunternehmen, die einen Börsengang (IPO) anstreben
• Wirtschaftsprüfungsunternehmen, die Dienstleistungen für diese Einrichtungen anbieten

Auch wenn Ihr Unternehmen ein privates oder gemeinnütziges Unternehmen ist und nicht zur Einhaltung der SOX-Vorschriften verpflichtet ist, ist die Aufrechterhaltung einer angemessenen internen Kontrollstruktur zum Schutz Ihrer jährlichen Finanzberichte einfach eine gute Geschäftspraxis.

Wer kann ein SOX-Audit durchführen?

Eine SOX-Compliance-Prüfung muss von einem externen Prüfer:in durchgeführt werden, der von der Organisation unabhängig ist. Die Unabhängigkeit Prüfer:in ist von entscheidender Bedeutung, da sie sicherstellt, dass der Prüfer:in keine Interessenkonflikte hat, die sein Urteilsvermögen beeinträchtigen und ihn daran hindern könnten, seine Aufgaben auf objektive Weise zu erfüllen. Die externe Prüfer:in ist für die Durchführung der Prüfung und die Erstellung des Prüfberichts verantwortlich. 

Das interne Audit-Team des Unternehmens kann auch interne Audits durchführen, um sicherzustellen, dass die Kontrollen des Unternehmens funktionieren und die Organisation auf eine externe Prüfung vorbereitet ist.

Das Management, einschließlich des CEO und des CFO, ist für die Umsetzung und Aufrechterhaltung des Finanzkontrollsystems verantwortlich, und der unabhängige Prüfer:in überprüft die Abschlussprüfung und die Verfahren des Unternehmens, um sicherzustellen, dass sie wie vorgesehen funktionieren.

Obwohl der Schwerpunkt einer SOX-Prüfung auf der Abschlussprüfung über die Finanz-Reporting liegt, müssen die Wirtschaftsprüfungsgesellschaften zunehmend ein Verständnis für die Technologie des Unternehmens erlangen, da Abschlussprüfung IT-Sicherheit, Datensicherung und Zugangskontrollen umfasst.

Das Public Company Accounting Oversight Board (PCAOB) führt routinemäßig Inspektionen von Wirtschaftsprüfungsgesellschaften durch, die SOX-Prüfungen bei börsennotierten Unternehmen durchführen, um sicherzustellen, dass sie die Prüfungsstandards einhalten.

Welche Dokumente werden benötigt?

Um sich auf eine SOX-Prüfung vorzubereiten, müssen die Unternehmen ihrem Prüfer:in bestimmte Dokumente vorlegen. Das wichtigste Dokument ist der Jahresabschluss des Unternehmens. Dieses Dokument gibt einen Überblick über die finanzielle Lage und Leistung des Unternehmens. Weitere Dokumente, die dem Prüfer:in in der Regel zur Verfügung gestellt werden, sind die Diskussion und Analyse der Geschäftsführung, die Dokumentation der Abschlussprüfung und die Ergebnisse der Abschlussprüfung .

Der Jahresabschluss ist das wichtigste Dokument, da er die Grundlage für die Bewertung der Finanzkontrolle des Unternehmens bildet. Aber auch die anderen Dokumente sind wichtig, denn sie geben Aufschluss über die finanzielle Leistung des Unternehmens und die Art und Weise, wie es geführt wird.

SOX-Audit-Vorbereitungsprozess

Um ein öffentliches Unternehmen auf eine SOX-Prüfung vorzubereiten, müssen mehrere Schritte unternommen werden. 

Aufbau einer internen Kontrollstruktur

Der wichtigste Schritt ist die Einrichtung eines Systems zur Kontrolle der Finanzinformationen. Dieses System sollte Verfahren für die Finanz-Reporting und Leitlinien für die Rechenschaftspflicht des Managements umfassen. 

Der Sarbanes-Oxley Act enthält keine spezifische Liste der zu befolgenden Abschlussprüfung , es gibt jedoch mehrere interne Kontrollrahmen, die als Guide dienen können. Zwei gut etablierte Rahmenwerke für das Risikomanagement sind das Committee of Sponsoring Organizations (COSO), das für allgemeine Rechnungslegungsprozesse empfohlen wird, und Control Objectives for Information and related Technology (COBIT), das Richtlinien für die Entwicklung von Richtlinien und Praktiken für IT-Kontrollen enthält.

Die Unterstützung durch Ihre IT-Abteilung ist für die Einhaltung der SOX-Bestimmungen von entscheidender Bedeutung, da die Technologie, die Sie für das Finanz-Reporting verwenden, bei elektronischen Kontrollen, dem Datenschutz und der Vermeidung von Datenschutzverletzungen helfen kann.

Dokumentieren Sie relevante Richtlinien, Verfahren und Prozesse

Dokumentation aller Richtlinien, Verfahren und Prozesse, die sich auf Finanzberichte und Offenlegungen auswirken. Dokumentieren Sie alle Änderungen an diesen Richtlinien und Verfahren, die im Laufe des Jahres vorgenommen werden. Indem Sie diese Änderungen dokumentieren, tragen Sie dazu bei, eine Kultur der Verantwortlichkeit zu schaffen und zeigen, welche Bedeutung der Abschlussprüfungbeigemessen wird Abschlussprüfungvermeiden Abschlussprüfungpotenzielle Schwachstellen bei Ihrer externen Prüfung.

Schulung und Weiterbildung der Mitarbeiter in Bezug auf SOX-Kontrollen 

Ihre Mitarbeiter sollten die Grundlagen der SOX-Compliance in- und auswendig kennen. Je weniger sie darüber wissen, was SOX-konform ist und was nicht, desto wahrscheinlicher ist es, dass sie sich unwissentlich an betrügerischen Aktivitäten beteiligen und andere Risiken Finanz-Reporting eingehen. 

Organisatorische Verantwortlichkeiten abbilden

Eine Möglichkeit, Ihr Unternehmen zu schützen, ist die Aufgabentrennung. 

Unter Aufgabentrennung versteht man die Aufteilung verschiedener Aufgaben oder Verantwortlichkeiten auf verschiedene Personen, um das Betrugsrisiko zu verringern. Dazu kann die Trennung der Zuständigkeiten für die Genehmigung und Aufzeichnung von Transaktionen, die Überprüfung von Informationen, die Verwahrung von Vermögenswerten und die Erstellung von Jahresabschlüssen gehören. 

So könnten Sie beispielsweise verschiedene Mitarbeiter mit der Führung des Hauptbuch, der Genehmigung von Bestellungen oder der Ausstellung von Schecks zur Begleichung von Rechnungen betrauen. Auf diese Weise hat nicht eine einzige Person die Macht, Betrug zu begehen oder Änderungen vorzunehmen, die unentdeckt bleiben könnten. Ein weiteres Beispiel für IT-Kontrollen ist, dass eine Person nicht gleichzeitig eine Änderung an der Entwicklungsdatenbank vornehmen und diese in die Produktionsdatenbank übertragen darf. Diese Kontrolle des Änderungsmanagements soll betrügerische Änderungen an den Systemen, die sich auf die Finanzdaten auswirken, verhindern.

Im Rahmen einer SOX-Compliance-Prüfung befragen Ihre externen Prüfer möglicherweise Mitarbeiter, um sicherzustellen, dass ihre Aufgaben mit der dokumentierten Abschlussprüfung übereinstimmen und dass sie in Bezug auf die Einhaltung der SOX-Compliance-Standards angemessen geschult und ausgebildet sind.

Aufrechterhaltung eines Audit Trail

Ein Audit Trail ist notwendig, um Finanzdaten zu schützen und eine genaue Finanz-Reporting zu gewährleisten. Sie sollten über eine detaillierte Aufzeichnung aller Finanztransaktionen, Journaleinträge und Genehmigungen verfügen.

Treffen mit Ihren externen Prüfern

Sobald Sie Ihre unabhängigen Prüfer beauftragt haben, sollten Sie ein Treffen anberaumen, um Ihre Teammitglieder vorzustellen und die Anforderungen an die SOX-Compliance zu besprechen. Ihre Prüfer sollten auch eine vorläufige Checkliste für die Einhaltung der SOX-Vorschriften und eine Liste der Dokumente vorlegen, die sie für die Risikobewertung und die SOX-Kontrollprüfung benötigen.

Ein SOX-Compliance-Audit ist ein wichtiges Instrument, um sicherzustellen, dass Unternehmen die Finanzvorschriften einhalten. Um sich auf eine SOX-Prüfung vorzubereiten, ist es wichtig, ein System für die Abschlussprüfung für Finanz-Reporting einzurichten und alle relevanten Richtlinien, Verfahren und Prozesse zu dokumentieren. Mit diesen Schritten können Sie dazu beitragen, eine erfolgreiche SOX-Prüfung zu gewährleisten.