Blog

SOX-Tests: Eine schrittweise Anleitung

March 1, 2024
Sign Up for Emails from FloQast

Get accounting insights delivered directly to your inbox!

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

In den frühen 2000er Jahren erschütterte Finanzbetrug bei mehreren großen und scheinbar erfolgreichen Unternehmen, darunter Enron, Tyco und WorldCom, die Wirtschaft und untergrub das Vertrauen der Öffentlichkeit in Unternehmensabschlüsse. Das Sarbanes-Oxley Act von 2002, allgemein als SOX bezeichnet, spiegelte die parteiübergreifenden Bemühungen des Kongresses wider, die Grundursachen dieser Finanzskandale anzugehen.

Der Sarbanes-Oxley Act behandelte mehrere Themen, darunter die verstärkte Beaufsichtigung des Rechnungslegungsberufs durch das Public Company Accounting Oversight Board (PCAOB), die Festlegung neuer Standards zur Wahrung der Unabhängigkeit der Abschlussprüfer, die Neugestaltung der Prüfungsausschüsse und die Verpflichtung zur Offenlegung von Jahresabschlüssen.

SOX Abschnitt 203: Die Unternehmensverantwortung für Finanzberichte und Abschnitt 404: Bewertung interner Kontrollen durch das Management verlangen von Unternehmen, dass sie allen Finanzberichten einen internen Kontrollbericht beifügen. In diesem Bericht muss angegeben werden, dass das Management interne Kontrollen eingeführt und die interne Kontrollstruktur auf Richtigkeit und Wirksamkeit überprüft hat.

Um diese Behauptung aufzustellen, muss das Unternehmen SOX-Tests durchführen. SOX-Tests sind nicht nur für börsennotierte Unternehmen verpflichtend — Abschnitt 302 verpflichtet sowohl öffentliche als auch private Unternehmen, interne Kontrollen aufrechtzuerhalten und diese Kontrollen mindestens einmal jährlich zu testen.

Wenn diese Anforderung für Sie neu ist oder Sie einfach nur Ihre internen Kontrollen aktualisieren möchten, führen wir Sie durch den SOX-Testprozess.

Was sind SOX-Konformitätstests?

SOX-Konformität Tests sind wie ein Gesundheitscheck für die internen Kontrollen eines Unternehmens in Bezug auf die Finanzberichterstattung.

Im Rahmen des SOX-Testprozesses bewerten der CFO und andere Finanzmanager mit Hilfe der internen Auditabteilung und externer Prüfer die internen Kontrollen des Unternehmens und testen sie, um sicherzustellen, dass sie wie vorgesehen funktionieren.

Was ist der Zweck des SOX-Testprozesses?

SOX-Tests haben einen zweifachen Zweck: die Sicherstellung der Richtigkeit der Finanzdaten und die Verhinderung von Betrug. Die jährlichen Tests der internen Kontrollen sind zwar nicht narrensicher, helfen aber dabei, Anlegern und Interessengruppen zu versichern, dass die Finanzinformationen, die sie erhalten, vertrauenswürdig sind. Dieser Prozess trägt auch dazu bei, das Unternehmen und seine Manager und Direktoren vor rechtlichen Auswirkungen finanzieller Falschangaben zu schützen.

Die 4 Schritte des SOX-Tests

Die meisten Unternehmen verwenden im Rahmen eines SOX-Compliance-Audits vier Stufen von SOX-Tests.

Schritt 1: Erste Bewertung

Der SOX-Test beginnt mit einer ersten Bewertung. Hier erstellt das Unternehmen schrittweise Vorgehensweisen und dokumentiert die wichtigsten Bereiche und Kontrollen innerhalb des Rechnungslegungsprozesses des Unternehmens.

Das Unternehmen dokumentiert diese exemplarischen Vorgehensweisen in der Regel mit Flussdiagrammen, Erzählungen oder beidem.

Während dieser ersten Bewertung sammelt das Compliance-Team auch Beweise dafür, dass die Kontrollaktivitäten, die eigentlich stattfinden sollten, tatsächlich stattfinden. Wenn das SOX-Compliance-Team bei der ersten Bewertung Mängel feststellt, kann es einen Aktionsplan zur Behebung des Mangels erstellen.

Schritt 2: Zwischentests

Der nächste Schritt zur SOX-Konformität sind Zwischentests. Ungefähr zur Mitte des Geschäftsjahres des Unternehmens führt das SOX-Compliance-Team folgende Aufgaben durch SOX-Steuerelemente Tests, um sicherzustellen, dass die in der ersten Bewertungsphase festgestellten Mängel behoben wurden und die wichtigsten Kontrollen erwartungsgemäß funktionieren.

Das Team kann alle Änderungen an Rollen, Technologien oder Geschäftsprozessen notieren, die eine Neugestaltung der internen Kontrollen oder die Aktualisierung der zugehörigen Dokumentation erfordern.

Schritt 3: Tests zum Jahresende

Da sich das Geschäftsjahr des Unternehmens dem Ende zuneigt, führt das SOX-Compliance-Team eine letzte Testrunde durch. Dies ist eine Gelegenheit, alle Kontrollen, die während der ersten Bewertung oder der Zwischentests nicht wie gewünscht funktionierten, erneut zu testen und sicherzustellen, dass alle Abhilfemaßnahmen, die das Unternehmen zur Behebung dieser Mängel ergriffen hat, wirksam waren.

Dies ist eine kritische Phase, da das Unternehmen die internen Kontrollen im Zusammenhang mit den Daten des Gesamtjahres überprüft.

Schritt 4: Prüfung durch unabhängige Auditoren

Schließlich ist es an der Zeit, die SOX-Konformitätstests an Dritte zu übergeben: die unabhängigen Auditoren. Ein externes Auditteam führt seine eigenen Tests durch und gibt einen unvoreingenommenen Überblick über die Arbeit der internen Auditoren.

Bei der Überprüfung der internen Kontrollen wird Folgendes untersucht:

  • Zugriffskontrollen — physische und elektronische Kontrollen, wie sichere Passwörter und Multifaktor-Authentifizierung
  • Cybersicherheit — Dienste und Hardware zur Verhinderung einer Datenschutzverletzung
  • Änderungsmanagement — Aufzeichnungen darüber, was im Netzwerk geändert wurde, wann es geändert wurde und wer die Änderung vorgenommen hat
  • Backup-Verfahren — Backup-Systeme müssen vorhanden sein, um sensible Daten zu schützen

Externe Auditoren stellen sicher, dass jeder Schritt des Prozesses den strengen SOX-Compliance-Standards entspricht. Wenn sie Bedenken äußern, müssen sich die internen Prüfer sofort mit diesen befassen und alle mildernden Kontrollen oder Prozessänderungen erläutern, die das Unternehmen zum Schutz seiner Finanzunterlagen und Vermögenswerte vornehmen wird.

SOX-Testempfehlungen

Das Testen von SOX-Kontrollen kann zeitaufwändig und teuer sein, aber es ist wichtig, das Unternehmen dabei zu unterstützen, die SOX-Compliance-Standards einzuhalten und sicherzustellen, dass die interne Kontrollstruktur wie vorgesehen funktioniert.

Die folgenden Empfehlungen tragen dazu bei, dass sich Ihre Compliance-Verfahren auszahlen.

Führen Sie eine Betrugsrisikoanalyse durch

Führen Sie zunächst eine gründliche Betrugsanalyse durch. Dies beinhaltet die Überprüfung von Bereichen der Organisation und ihrer Finanzberichterstattungsverfahren auf potenzielle Betrugsrisiken.

Berücksichtigen Sie sowohl interne als auch externe Betrugsrisiken.

Beispiele für interne Betrugsrisiken sind Veruntreuung und Veruntreuung von Vermögenswerten. Denken Sie an das Betrugsdreieck, das die drei Bedingungen umreißt, die zu einer höheren Anzahl interner Betrugsfälle führen: Motivation, Gelegenheit und Rationalisierung.

Einige Beispiele für externe Betrugsrisiken sind Lieferantenbetrug und Datenschutzverletzungen. Ihre IT-Abteilung kann eine wertvolle Ressource sein, um externe Betrugsrisiken und die internen Kontrollen zur Gewährleistung der Datensicherheit zu identifizieren.

Ihre Bewertung des Betrugsrisikos kann Ihnen helfen, einen umfassenden Risikomanagement- und Risikomanagementplan zu formulieren.

Interne und externe Audits

Die Partnerschaft zwischen internen und externen Prüfern hilft dabei, Warnsignale bei Verstößen zu erkennen und Verbesserungspotenziale zu erkennen, bevor sie zu einem Problem werden.

Das interne Auditteam bietet eine zentrale Informationsquelle über die Wirksamkeit der Kontrollumgebung der Organisation. Sie können der externen Prüfung auch einen Mehrwert verleihen, indem sie an Treffen mit den unabhängigen Prüfern teilnehmen, ihnen helfen, die internen Kontrollen im Zusammenhang mit Jahresabschlüssen zu identifizieren, und Unterlagen zur Unterstützung der SOX-Kontrolltests bereitstellen. In vielen Fällen tragen ihre Bemühungen zum Risikomanagement dazu bei, die Kosten für eine externes Audit.

Wichtige Steuerelemente verwalten

Reduzieren Sie die Anzahl der wichtigsten Steuerelemente, die Sie testen müssen. Viele Auditteams glauben fälschlicherweise, dass alle wichtigen Kontrollen Schlüsselkontrollen sind. Bei Schlüsselkontrollen handelt es sich jedoch um eine Reihe interner Kontrollen, die, wenn sie getestet und als betrieblich wirksam eingestuft werden, ausreichend sicherstellen, dass das Unternehmen über eine angemessene interne Kontrollstruktur verfügt und SOX-konform ist.

Beispielsweise kann eine Organisation über 100 Kontrollen für einen bestimmten Bereich der Finanzberichterstattung verfügen, aber fünf dieser Kontrollen führt sie gegen Ende des Prozesses durch. Diese fünf Kontrollen bestätigen, dass die anderen 95 Kontrollen funktioniert haben und es keine weiteren Abgleichprobleme oder andere Fehler gibt. Wenn die fünf letzten Tests ergeben, dass nur wenig oder gar nichts korrigiert werden muss, reichen diese fünf Bedienelemente allein möglicherweise für Ihren Schlüsselsteuersatz aus.

Wenn Sie jede interne Kontrolle in Ihrem Arbeitsablauf unabhängig von ihrer tatsächlichen Bedeutung als Schlüsselkontrolle identifizieren, wird die Anzahl der Schlüsselkontrollen, die Sie testen müssen, unüberschaubar, und das bedeutet mehr Arbeit für Ihr Auditteam und die externen Prüfer.

Das SOX Act schreibt nicht vor, dass Unternehmen bestimmte Kontrollen anwenden. Stattdessen müssen Unternehmen ihre eigenen Kontrollen entwerfen und implementieren — oft unter Verwendung eines Kontrollrahmens. Mit einem Checkliste zur SOX-Konformität kann dazu beitragen, dass Ihr Unternehmen bei der Gestaltung interner Kontrollen für die Finanzberichterstattung die Best Practices und die SOX-Compliance-Anforderungen befolgt.

Optimieren Sie Ihr SOX-Compliance-Audit mit FloQast Compliance Management

SOX-Konformitätstests können ein stressiger, zeitaufwändiger und teurer Prozess sein. Aber das muss nicht sein. Indem Sie diese Schritte und Empfehlungen befolgen und die Automatisierungsfunktionen von nutzen SOX-Konformitätssoftware, können Sie sicherstellen, dass die Jahresabschlüsse Ihres Unternehmens korrekt und zuverlässig sind, und so eine Vertrauensbasis bei den Stakeholdern schaffen.

Vereinbaren Sie eine Demo von FloQast-Konformitätsmanagement um zu erfahren, wie die Rationalisierung der Finanzkontrollen zusammen mit dem Close Ihrem Unternehmen helfen kann, die Einhaltung revisionssicherer Vorschriften in Echtzeit zu erreichen. Denken Sie daran, dass es bei SOX-Tests nicht nur um Compliance oder Unternehmensführung geht, sondern auch um den Schutz der finanziellen Integrität Ihres Unternehmens.

No items found.