Erhalten Sie Einblicke in die Buchhaltung direkt in Ihren Posteingang!
In den frühen 2000er Jahren erschütterten Finanzbetrügereien bei mehreren großen und scheinbar erfolgreichen Unternehmen, darunter Enron, Tyco und WorldCom, die Wirtschaft und untergruben das Vertrauen der Öffentlichkeit in die Unternehmensabschlüsse. Das Sarbanes-Oxley-Gesetz von 2002, das gemeinhin als SOX bezeichnet wird, ist das Ergebnis einer parteiübergreifenden Anstrengung des Kongresses, die Ursachen dieser Finanzskandale zu beseitigen.
Das Sarbanes-Oxley-Gesetz befasste sich mit mehreren Themen, darunter die verstärkte Aufsicht über den Berufsstand der Wirtschaftsprüfer durch das Public Company Accounting Oversight Board (PCAOB), die Einführung neuer Standards zur Wahrung der Unabhängigkeit von Prüfer:in , die Neugestaltung von Prüfungsausschüssen und die Forderung nach einer verbesserten Offenlegung der Finanzberichte.
SOX Abschnitt 203: Die unternehmerische Verantwortung für Finanzberichte und Abschnitt 404: Management Assessment of Abschlussprüfung verlangen von den Unternehmen, dass sie allen Finanzberichten einen Bericht über die interne Kontrolle beifügen. In diesem Bericht muss angegeben werden, dass die Geschäftsleitung die Abschlussprüfung durchgeführt und die interne Kontrollstruktur auf ihre Genauigkeit und Wirksamkeit hin bewertet hat.
Um diese Behauptung aufzustellen, muss das Unternehmen eine SOX-Prüfung durchführen. SOX-Tests sind nicht nur für börsennotierte Unternehmen obligatorisch. Gemäß Section 302 müssen sowohl börsennotierte als auch private Unternehmen eine Abschlussprüfung durchführen und diese Kontrollen mindestens einmal jährlich testen.
Wenn diese Anforderung für Sie neu ist oder Sie einfach Ihre Abschlussprüfung aktualisieren möchten, Guide wir Sie durch den SOX-Prüfungsprozess.
Was ist eine SOX-Konformitätsprüfung?
Die SOX-Compliance-Prüfung ist wie ein Gesundheitscheck für die Abschlussprüfung eines Unternehmens über Finanz-Reporting.
Im Rahmen des SOX-Prüfungsprozesses bewerten der CFO und andere Führungskräfte aus dem Finanzbereich - mit Hilfe der Innenrevision und externer Prüfer - die Abschlussprüfung des Unternehmens und testen sie, um sicherzustellen, dass sie wie vorgesehen funktioniert.
Was ist der Zweck des SOX-Prüfverfahrens?
Mit der SOX-Prüfung wird ein zweifacher Zweck verfolgt: die Gewährleistung der Genauigkeit der Finanzdaten und die Verhinderung von Betrug. Die jährliche Prüfung Abschlussprüfung ist zwar nicht narrensicher, aber sie trägt dazu bei, dass Investoren und Stakeholder sicher sein können, dass die Finanzinformationen, die sie erhalten, vertrauenswürdig sind. Dieser Prozess trägt auch dazu bei, das Unternehmen und seine Manager und Direktoren vor rechtlichen Konsequenzen im Zusammenhang mit falschen Finanzangaben zu schützen.
Die 4 Schritte der SOX-Prüfung
Die meisten Unternehmen verwenden vier Stufen der SOX-Prüfung als Teil eines SOX-Compliance-Audits.
Schritt 1: Erstbewertung
Die SOX-Prüfung beginnt mit einer ersten Bewertung. Hier führt das Unternehmen eine Prozessbegehung durch und dokumentiert die wichtigsten Bereiche und Kontrollen innerhalb des Finanz-Reporting des Unternehmens.
Das Unternehmen dokumentiert diese Durchgänge in der Regel mit Flussdiagrammen, Berichten oder beidem.
Während dieser ersten Bewertung stellt das Compliance-Team auch Nachweise zusammen, die zeigen, dass die Kontrolltätigkeiten, die eigentlich stattfinden sollten, auch tatsächlich durchgeführt werden. Stellt das SOX-Compliance-Team bei der Anfangsbewertung Mängel fest, kann es einen Aktionsplan zur Behebung des Mangels aufstellen.
Schritt 2: Zwischenprüfung
Der nächste Schritt in der SOX-Compliance ist die Zwischenprüfung. Etwa in der Mitte des Geschäftsjahres des Unternehmens führt das SOX-Compliance-Team SOX-Kontrolltests durch, um sicherzustellen, dass die in der ersten Bewertungsphase festgestellten Mängel behoben wurden und die Schlüsselkontrollen wie erwartet funktionieren.
Das Team kann Änderungen an Rollen, Technologie oder Geschäftsprozessen feststellen, die eine Neugestaltung der Abschlussprüfung oder eine Aktualisierung der zugehörigen Dokumentation erfordern.
Schritt 3: Tests zum Jahresende
Wenn sich das Geschäftsjahr des Unternehmens dem Ende zuneigt, führt das SOX-Compliance-Team eine letzte Runde von Tests durch. Dies ist eine Gelegenheit, alle Kontrollen erneut zu testen, die während der anfänglichen Bewertungs- oder Zwischentestphase nicht wie vorgeschrieben funktioniert haben, und sicherzustellen, dass alle Abhilfemaßnahmen, die das Unternehmen zur Beseitigung dieser Mängel ergriffen hat, wirksam waren.
Dies ist eine kritische Phase, da das Unternehmen die Abschlussprüfung im Zusammenhang mit den Daten des gesamten Jahres überprüft.
Schritt 4: Prüfung durch unabhängige Prüfer
Schließlich ist es an der Zeit, die Prüfung der SOX-Konformität an einen Dritten zu übergeben: die unabhängigen Prüfer. Ein externes Prüfungsteam führt seine eigenen Tests durch und bietet eine unvoreingenommene Überprüfung der Arbeit der internen Prüfer.
Im Rahmen der Abschlussprüfung werden folgende Punkte untersucht:
- Zugangskontrollen - physische und elektronische Kontrollen, z. B. sichere Passwörter und Multi-Faktor-Authentifizierung
- Cybersicherheit - Dienstleistungen und Hardware zur Verhinderung von Datenschutzverletzungen
- Änderungsmanagement - Aufzeichnungen darüber, was im Netz geändert wurde, wann es geändert wurde und wer die Änderung vorgenommen hat
- Sicherungsverfahren - zum Schutz sensibler Daten müssen Sicherungssysteme vorhanden sein
Externe Prüfer tragen dazu bei, sicherzustellen, dass jeder Schritt des Prozesses den strengen Standards der SOX-Compliance entspricht. Wenn sie Bedenken äußern, müssen die Innenrevisoren diese sofort ansprechen und erläutern, welche abmildernden Kontrollen oder Prozessänderungen das Unternehmen zum Schutz seiner Finanzunterlagen und Vermögenswerte einführen wird.
Empfehlungen für SOX-Tests
Das Testen der SOX-Kontrollen kann zeitaufwändig und teuer sein, ist aber unerlässlich, um das Unternehmen bei der Einhaltung der SOX-Standards zu unterstützen und sicherzustellen, dass die interne Kontrollstruktur wie vorgesehen funktioniert.
Die folgenden Empfehlungen tragen dazu bei, dass sich Ihre Compliance-Verfahren auszahlen.
Durchführen einer Betrugsrisikoanalyse
Führen Sie zunächst eine gründliche Betrugsanalyse durch. Dabei werden Bereiche der Organisation und ihre Finanz-Reporting auf mögliche Betrugsrisiken untersucht.
Berücksichtigen Sie sowohl interne als auch externe Betrugsrisiken.
Beispiele für interne Betrugsrisiken sind Veruntreuung und Veruntreuung von Vermögenswerten. Erinnern Sie sich an das Betrugsdreieck, das die drei Bedingungen beschreibt, die zu einer höheren Anzahl von internen Betrugsfällen führen: Motivation, Gelegenheit und Rationalisierung.
Einige Beispiele für externe Betrugsrisiken sind Lieferantenbetrug und Datenschutzverletzungen. Ihre IT-Abteilung kann eine wertvolle Ressource sein, wenn es darum geht, externe Betrugsrisiken zu identifizieren und die Abschlussprüfung zur Gewährleistung der Datensicherheit durchzuführen.
Ihre Bewertung des Betrugsrisikos kann Ihnen bei der Formulierung eines umfassenden Plans zur Risikobeherrschung und -verwaltung helfen.
Interne und externe Audits
Die Partnerschaft zwischen internen und externen Prüfern trägt dazu bei, Verstöße gegen die Vorschriften zu erkennen und potenzielle Verbesserungsmöglichkeiten aufzudecken, bevor sie zu einem Problem werden.
Das Team der Innenrevision bietet eine zentrale Informationsquelle für die Wirksamkeit des Kontrollumfelds der Organisation. Sie können auch einen Mehrwert für die externe Prüfung schaffen, indem sie an Sitzungen mit den unabhängigen Prüfern teilnehmen, ihnen bei der Ermittlung der Abschlussprüfung im Zusammenhang mit den Jahresabschlüssen helfen und Unterlagen zur Unterstützung der SOX-Kontrolltests bereitstellen. In vielen Fällen tragen ihre Bemühungen um das Risikomanagement dazu bei, die Kosten einer externen Prüfung zu senken.
Verwalten von Schlüsselkontrollen
Reduzieren Sie die Anzahl der Schlüsselkontrollen, die Sie testen müssen. Viele Prüfungsteams glauben fälschlicherweise, dass alle wichtigen Kontrollen Schlüsselkontrollen sind. Schlüsselkontrollen sind jedoch eine Reihe von Abschlussprüfung , die, wenn sie getestet und für wirksam befunden werden, eine ausreichende Gewähr dafür bieten, dass das Unternehmen über eine angemessene interne Kontrollstruktur verfügt und die SOX-Vorschriften einhält.
Eine Organisation kann beispielsweise 100 Kontrollen für einen bestimmten Bereich der Finanz-Reporting haben, führt aber fünf dieser Kontrollen gegen Ende des Prozesses durch. Diese fünf Kontrollen bestätigen, dass die anderen 95 Kontrollen funktioniert haben und dass es keine weiteren Abstimmungsprobleme oder sonstigen Fehler gibt. Wenn bei den fünf abschließenden Tests nur wenig oder nichts festgestellt wird, was korrigiert werden muss, könnten diese fünf Kontrollen allein für Ihren Schlüsselkontrollsatz ausreichen.
Wenn Sie jede interne Kontrolle in Ihrem Arbeitsablauf als Schlüsselkontrolle identifizieren, unabhängig von ihrer tatsächlichen Bedeutung, wird die Anzahl der zu testenden Schlüsselkontrollen unüberschaubar, und es entsteht mehr Arbeit für Ihr Prüfungsteam und die externen Prüfer.
Das SOX-Gesetz schreibt den Unternehmen nicht vor, bestimmte Kontrollen durchzuführen. Stattdessen wird von den Unternehmen verlangt, ihre eigenen Kontrollen zu entwickeln und zu implementieren - häufig unter Verwendung eines Kontrollrahmens. Mit Hilfe einer SOX-Compliance-Checkliste können Sie sicherstellen, dass Ihr Unternehmen bei der Gestaltung der Abschlussprüfung über das Finanz-Reporting die Best Practices und die SOX-Compliance-Anforderungen einhält.
Rationalisieren Sie Ihr SOX Compliance Audit mit FloQast Compliance Management
Die Prüfung der SOX-Konformität kann ein stressiger, zeitaufwändiger und teurer Prozess sein. Aber das muss nicht sein. Wenn Sie diese Schritte und Empfehlungen befolgen und die Automatisierungsfunktionen der SOX-Compliance-Software nutzen, können Sie sicherstellen, dass die Jahresabschlüsse Ihres Unternehmens korrekt und zuverlässig sind, und so eine Vertrauensbasis mit den Stakeholdern schaffen.
Vereinbaren Sie einen Termin für eine Demo von FloQast Compliance Management, um herauszufinden, wie die Rationalisierung der Finanzkontrollen zusammen mit dem Close Ihrem Unternehmen helfen kann, eine prüfungsreife Compliance in Echtzeit zu erreichen. Denken Sie daran, dass es bei SOX-Prüfungen nicht nur um Compliance oder Corporate Governance geht, sondern auch um den Schutz der finanziellen Integrität Ihres Unternehmens.