All posts
Blog

Was sind SOX Controls?

November 9, 2022
Related blogs
Verbesserung der Buchhaltungsprozesse mit FloQast und Xero
Achieving Balance Sheet Optimization
Accounting Department Transformation: A 2025 Blueprint
How AI is Used in Accounting
Featured Resources
Das Potenzial der KI im Rechnungswesen nutzen: Chancen und Herausforderungen
Sign Up for Emails from FloQast

Get accounting insights delivered directly to your inbox!

Subscribe
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Der Sarbanes-Oxley Act von 2002, allgemein bekannt als SOX, ist ein Bundesgesetz, das im Zuge großer Buchhaltungsskandale der frühen 2000er Jahre, darunter Enron und WorldCom, geschaffen wurde. Es verpflichtet börsennotierte Unternehmen in den USA, Kontrollen einzuführen, um die Aktionäre vor betrügerischer Finanzberichterstattung zu schützen. Das Gesetz kann für Unternehmen zwar umständlich sein, ist aber ein unverzichtbares Instrument zur Bekämpfung von Unternehmensbetrug.

Was sind SOX-Kontrollen?

Die SOX-Kontrollen stammen hauptsächlich aus Abschnitt 404 des Gesetzes, der vorschreibt, dass Unternehmen interne Kontrollen implementieren, um eine genaue Finanzberichterstattung sicherzustellen. Diese Kontrollen tragen dazu bei, Fehler zu verhindern und aufzudecken und Aktivitäten innerhalb eines Rechnungslegungszyklus abzusichern, was es Unternehmen erschwert, Fehlverhalten zu verbergen.

SOX schreibt keine Liste spezifischer interner Kontrollen vor. Stattdessen müssen Unternehmen ihre eigenen Kontrollen definieren, die den SOX-Compliance-Zielen entsprechen.

Interne Auditoren müssen regelmäßig Compliance-Audits durchführen, um zu überprüfen, ob das Unternehmen über angemessene Kontrollen verfügt und ob diese Kontrollen ordnungsgemäß funktionieren.

Externe Prüfer müssen die Kontrollen, Richtlinien und Verfahren im Rahmen eines jährlichen SOX-Compliance-Audits überprüfen. Vor dem Sarbanes-Oxley Act war der Beruf des Wirtschaftsprüfers weitgehend selbstreguliert. Da die Bilanzskandale im Vorfeld von SOX jedoch Fragen zur Leistung und Unabhängigkeit der externen Prüfer aufwarfen, schuf SOX auch die Aufsichtsbehörde für die Rechnungslegung von Aktiengesellschaften (PCAOB) um die Wirtschaftsprüfungsgesellschaften zu beaufsichtigen, die börsennotierte Unternehmen prüfen.

Wie viele SOX-Kontrollen gibt es?

Die Anzahl der internen Kontrollen, die ein Unternehmen durchführt, ist von Organisation zu Organisation unterschiedlich, da unterschiedliche Risiken und Umgebungen einzigartige interne Kontrollen erfordern.

Die folgenden verschiedenen Kontrolltypen können jedoch verwendet werden, um das Risiko für das Unternehmen zu mindern und eine zuverlässige Finanzberichterstattung sicherzustellen.

Präventive Kontrollen im Vergleich zu Erkennungskontrollen

Präventive Kontrollen versuchen zu verhindern, dass ein unerwünschtes Ergebnis eintritt. Zu den präventiven Kontrollmethoden gehören beispielsweise die Verwendung von Passwörtern, Genehmigungssystemen und die Durchsetzung von Richtlinien und Verfahren. Erkennungskontrollen zielen darauf ab, Fehler oder Unregelmäßigkeiten zu finden, die bereits aufgetreten sind. Zu den gängigen Techniken zur Erkennungskontrolle gehört beispielsweise der Abgleich von Ausgaben mit Budgets, Prognosen und Ergebnissen früherer Perioden.

Harte oder weiche Steuerungen

Harte Kontrollen sind Systeme, die Unternehmen zum Risikomanagement einrichten. Sie beinhalten Organisationsstrukturen und Aufgabentrennung. Sanfte Kontrollen sind die Prinzipien und Werte, die das Verhalten einer Organisation bestimmen. Dazu gehören der Ton an der Spitze, ein ethisches Klima, Vertrauen und Kompetenz.

Manuelle vs. automatische Steuerung

Bei manuellen Kontrollen muss eine Person die Finanzdaten eingeben, unabhängig davon, ob sie manuell oder IT-abhängig sind. Unternehmen verwenden in der Regel systemgenerierte Berichte, um diese Kontrollen zu testen. Automatisierte Steuerungen erfordern keine menschliche Interaktion, da das Computersystem sie unabhängig ausführen kann.

Schlüssel- und Sekundärsteuerungen

Die internen Kontrollen von SOX werden grob in zwei Kategorien eingeteilt: Primärkontrollen und Sekundärkontrollen.

Primäre Kontrollen (auch bekannt als SOX-Schlüsselkontrollen) müssen effektiv funktionieren, um das Risiko auf ein akzeptables Maß zu reduzieren. Im Gegensatz dazu tragen sekundäre Steuerungen dazu bei, dass der Prozess reibungslos abläuft, sind aber nicht unbedingt erforderlich.

Die Kontrollen umfassen eine Vielzahl von Aktivitäten, von der Erstellung von Jahresabschlüssen bis hin zur Offenlegung und Prüfung. Um zu wissen, welche Kontrollen Sie implementieren müssen, müssen Sie verstehen, welche Risiken bestehen.

Das COSO-Framework

Das Committee of Sponsoring Organizations (COSO) Framework wird von börsennotierten Unternehmen und SOX-Auditoren verwendet, um interne Kontrollen einzuführen, um zu formalisieren, wie Unternehmen wichtige Geschäftsprozesse ausführen.

Es bietet Organisationen eine Struktur für die Gestaltung, Implementierung, Bewertung und Überwachung interner Kontrollen. Der Rahmen ist weithin akzeptiert und wurde von der PCAOB als Standard für die Prüfung interner Kontrollen übernommen.

Das COSO-Framework besteht aus fünf Komponenten:

  1. Kontrollieren Sie die Umgebung. Die Kontrollumgebung ist die Grundlage für alle internen Kontrollen und umfasst die Kultur, Werte und Betriebsverfahren der Organisation. Das Kontrollumfeld gibt an der Spitze den Ton an und beeinflusst das ethische Klima innerhalb der Organisation.
  2. Risikobewertung und Risikomanagement. Bei der Risikobewertung werden Risiken in einer Organisation identifiziert, gemessen und verwaltet. Es ist wichtig, die verschiedenen Arten von Risiken zu verstehen, die sich auf ein Unternehmen auswirken können, damit Sie angemessene Kontrollen einrichten können. Der erste Schritt besteht darin, die finanziellen und nichtfinanziellen Risiken zu identifizieren, die sich auf das Unternehmen auswirken könnten. Der zweite Schritt besteht darin, den Schweregrad und die Wahrscheinlichkeit jedes Risikos zu messen. Dies hilft dabei, die Risiken zu priorisieren und festzustellen, welchen am meisten Aufmerksamkeit geschenkt werden muss. Der dritte Schritt besteht darin, einen Plan für das Risikomanagement zu entwickeln, einschließlich der Implementierung von Kontrollen zur Risikominderung und der Sicherstellung, dass diese Kontrollen wirksam sind.
  3. Aktivitäten kontrollieren. Eine der kritischen Komponenten des COSO-Frameworks sind Kontrollaktivitäten. Kontrollaktivitäten sind Organisationen, die eingerichtet wurden, um sicherzustellen, dass Finanzdaten korrekt und zuverlässig sind. Sie tragen dazu bei, die Vermögenswerte eines Unternehmens zu schützen, das Risiko zu verringern und die Effizienz zu verbessern.
  4. Information und Kommunikation. Information und Kommunikation sind wesentliche Bestandteile des internen Kontrollumfelds. Sie tragen dazu bei, dass die Mitarbeiter die Richtlinien und Verfahren des Unternehmens kennen, dass sie die Risiken verstehen, denen das Unternehmen ausgesetzt ist, und dass sie alle Bedenken melden können, die sie haben. Organisationen sollten eine schriftliche Informations- und Kommunikationsrichtlinie haben.
  5. Überwachung. Organisationen benötigen ein System zur Überwachung der Wirksamkeit ihrer internen Kontrollen. Dies beinhaltet die Überprüfung der Leistung der Kontrollen und die Identifizierung aller Bereiche, in denen Verbesserungen erforderlich sind.

Beispiele für SOX-Steuerelemente

Im Folgenden finden Sie einige Beispiele für häufig durchgeführte SOX-Kontrollaktivitäten:

  • Aufgabentrennung. Aufteilung der Aufgaben auf mehrere Personen („Trennung“), sodass eine Person keine vollständige Kontrolle über Finanztransaktionen hat. Dies reduziert die Wahrscheinlichkeit von Fehlern oder unsachgemäßem Verhalten. Beispielsweise sollte jemand, der Jahresabschlüsse erstellt, nicht auch für die Erfassung von Transaktionen verantwortlich sein.
  • Genehmigungen und Genehmigungen. Autorisierte Transaktionen wurden von einer Person mit den entsprechenden Befugnissen genehmigt, und diese Genehmigungen bestätigen, dass die Transaktion den Richtlinien entspricht. Beispielsweise kann ein Unternehmen verlangen, dass alle Journaleinträge vom Controller des Unternehmens genehmigt werden.
  • Bewertungen und Abstimmungen. Regelmäßige Überprüfung und Abstimmung der Finanzunterlagen, vorzugsweise durch eine andere Person als die Person, die sie erstellt hat, um zu bestätigen, dass die Transaktionen korrekt verarbeitet wurden.
  • Schutz von Vermögenswerten. Versichern Sie Ausrüstung, Inventar, Bargeld und anderes Eigentum physisch, zählen Sie sie regelmäßig und vergleichen Sie die Zählungen mit Kontrollaufzeichnungen.
  • Schulung und Betreuung. Die Mitarbeiter benötigen Wissen, um ihre Arbeit gut zu erledigen, Anweisungen und Aufsicht, um zu wissen, was von ihnen erwartet wird, und Kanäle, über die sie jegliches Fehlverhalten melden können.

Wie hilft SOX dabei, Betrug zu verhindern?

SOX-Konformität trägt dazu bei, Betrug in öffentlichen Unternehmen zu verhindern, indem Unternehmen verpflichtet werden, verschiedene Kontrollen zum Schutz von Finanzinformationen einzuführen. Diese Kontrollen helfen dabei, Fehler und Unregelmäßigkeiten aufzudecken, was es Unternehmen erschwert, Betrug und Fehlverhalten zu verbergen.

Das Gesetz verpflichtet CEOs und CFOs außerdem, die Richtigkeit der Jahresabschlüsse des Unternehmens zu bestätigen, wodurch sichergestellt wird, dass Informationen nicht verfälscht oder manipuliert werden. Darüber hinaus verbietet SOX Insiderhandel und schränkt die Kreditvergabe an Führungskräfte ein, was dazu beitragen kann, dass diese ihre Positionen nicht für persönliche Zwecke nutzen. Insgesamt trägt SOX dazu bei, ein transparenteres und rechenschaftspflichtigeres Unternehmensumfeld zu schaffen, was Betrug erschwert.

Was ist der Unterschied zwischen SOX- und Nicht-SOX-Steuerelementen?

Die SOX-Kontrollen wurden speziell entwickelt, um Betrug und Fehler in Jahresabschlüssen zu verhindern. Unternehmen können Kontrollen ohne SOX implementieren, um sich vor anderen Arten von Betrug oder Fehlverhalten zu schützen, die betriebliche Effizienz zu verbessern oder die Einhaltung behördlicher Anforderungen sicherzustellen.

Sowohl SOX- als auch Nicht-SOX-Kontrollen spielen zwar eine Rolle bei der Betrugsprävention, unterscheiden sich jedoch in ihrem Schwerpunkt und Umfang. Die SOX-Kontrollen sind enger gefasst und zielen speziell auf die Finanzberichterstattung ab. Die Kontrollen ohne SOX sind umfassender und decken eine Vielzahl von Bereichen wie Finanz- und Betriebssicherheit, Datenintegrität und Compliance ab. Darüber hinaus sind SOX-Kontrollen gesetzlich vorgeschrieben, Nicht-SOX-Kontrollen jedoch nicht.

Insgesamt spielen sowohl SOX- als auch Nicht-SOX-Kontrollen eine Rolle bei der Verhinderung von Betrug und dem Schutz von Unternehmen vor Fehlverhalten. Die SOX-Kontrollen sind jedoch spezifischer ausgerichtet und gesetzlich vorgeschrieben, was sie zu einem wichtigen Bestandteil jeder Betrugsbekämpfungsstrategie macht.

Expand

Related Blog Articles

blog
Was sind KI-Agenten? Ein praktischer Leitfaden für Buchhaltungsteams
Read More
blog
IPO-Bereitschaft: Auswahl der richtigen Börse
Read More
blog
Was ist ISO 42001? Den ethischen KI-Standard durchbrechen
Read More
View All
Nordamerika