SOX Compliance: Das sind die Anforderungen

Regula Heinzelmann

Rechtsberatung

SOX Compliance: Bedeutung, Prüfung und Checkliste — Bild: mauritius images / Izel Photography - RF / Alamy SOX Compliance: Definition, Anforderungen und Checkliste

Der SOX schreibt verschärfte Bilanzierungs- und Prüfungsregeln für alle Firmen vor, deren Aktien an US-Börsen gehandelt oder angeboten werden. Aber was bedeutet er genau und welche wichtigen Vorschriften gibt es zu beachten?

Bedeutung des Sarbanes-Oxley Act of 2002 (SOX)

Der Sarbanes-Oxley Act of 2002 (auch SOX, SarbOx oder SOA) ist ein US-Bundesgesetz, mit dem die Berichterstattung von Unternehmen, die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen, verbessert werden soll. Das Gesetz wurde von den US-Senatoren Paul Sarbanes (Demokratische Partei) und Michael Oxley (Republikaner) als Reaktion auf diverse Bilanzskandale konzipiert.

Das Gesetz gilt für alle Firmen, deren Aktien an US-Börsen oder außerbörslich in den USA gehandelt oder angeboten werden und die der Aufsicht der Securities and Exchange Commission (SEC) unterstehen. Deutsche Unternehmensleitungen, die Zugang zum US-Kapitalmarkt haben oder anstreben, müssen das Gesetz berücksichtigen.

Überprüfung durch PCAOB

Für die Überprüfung öffentlicher Unternehmen wurde das Public Company Accounting Oversight Board ( PCAOB) gegründet. Das PCAOB überwacht die Audits von öffentlichen Unternehmen und sec-registrierten Maklern und Händlern, um Anleger zu schützen und das öffentliche Interesse an der Erstellung informativer, genauer und unabhängiger Prüfberichte zu erfüllen. 2020 wurde ein neuer Strategieplan erstellt. Zu den Zielen gehört, die Aufsicht noch effektiver zu gestalten, die Innovation zu erhöhen und Prozesse zu optimieren.

EU-Richtlinie

In der EU gibt es die Richtlinie 2006/43/EG vom 17.5.2006, mit gleichen Zielen, über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen, die auch in der EWR zu berücksichtigen ist.

In Deutschland wurde die Richtlinie mit dem Gesetz zur Stärkung der Berufsaufsicht und zur Reform berufsrechtlicher Regelungen in der Wirtschaftsprüferordnung ( Berufsaufsichtsreformgesetz – BARefG) von 2007 umgesetzt. 2009 trat zudem das Gesetz zur Modernisierung des Bilanzrechts (Bilanzrechts-Modernisierungsgesetz/BilMoG) in Kraft.

Was ist SOX Compliance: Definition

SOX ist ein Gesetz, das als solches von Unternehmen Compliance in Finanzangelegenheiten fordert und Vorschriften darüber enthält, wie diese zu erreichen sei. Mit dem Gesetz wollte man nach einigen Bilanzskandalen das Vertrauen von Anlegern in die Verlässlichkeit von veröffentlichten Finanzdaten wiederherstellen.

Folgende Maßnahmen sind dafür besonders wichtig:

Nach SOX müssen die betroffenen Gesellschaften, im Gesetz als Emittenten bezeichnet, ein so genanntes Audit Committee, also einen "Prüfungsausschuss", organisieren. Dieses gehört zum Unternehmen. Es wird im Gesetz definiert als ein Ausschuss oder eine gleichwertige Einrichtung, der von der Unternehmensführung mit der Überwachung der Buchführung, der Finanzen und den dazugehörigen Berichten, sowie die Überprüfung der finanziellen Informationen der Firma beauftragt wird.
Die Bilanzen und Finanzunterlagen müssen von Geschäftsführung und Leitung der Finanzabteilung beglaubigt werden, und zwar fehlerfrei und vollständig.
Gemäß SOX muss man externe Abschlussprüfer engagieren, die unabhängig sein müssen. Die Abschlussprüfer müssen auch das interne Kontrollsystem eines Unternehmens beurteilen. Sie sind verpflichtet, das Financial Audit Comittee über kritische Vorgänge zu informieren sowie Alternativen zur Rechnungslegung vorzuschlagen.

SOX-Richtlinien in Deutschland: Wichtige Vorschriften

Wichtige Vorschriften des SOX sind die Abschnitte 404 und 302.

Abschnitt 302 besagt:

Die Bilanzen müssen vom Geschäftsführer und Leiter der Finanzabteilung beglaubigt werden, und zwar müssen die Finanzdaten fehlerfrei und vollständig sein. Die Geschäftsleitung hat zu bestätigen, dass alle Geschäftsabschlüsse und die übrige obligatorische Berichterstattung den Bestimmungen der Börse und dem Prinzip Treu und Glauben (True and Fair-View) entsprechen. Weiter sind CEO und der CFO verpflichtet, dem Audit Committee und dem Wirtschaftsprüfer alle bedeutsamen Schwachstellen der internen Kontrolle sowie alle versuchten oder durchgeführten Unterschlagungen, Veruntreuungen und ähnliche Delikte zu melden. Zumindest ist das vorgeschrieben, wenn Mitglieder der Geschäftsleitung oder Personen mit wichtigen Überwachungs- und Kontrollfunktionen darin verwickelt sind. Verwaltungsräten und hohen Managern ist es verboten, die Konzernprüfer bei ihrer Prüfungsarbeit in unlauterer Absicht zu beeinflussen.

In § 91 Abs. 2 AktG ist vorgeschrieben, dass der Vorstand geeignete Maßnahmen zu treffen hat, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

Abschnitt 404 besagt:

Der Geschäftsführer, der Leiter der Finanzabteilung und der Abschlussprüfer müssen die Effektivität der internen Kontrollen überprüfen und bestätigen. Dabei wurde kein bestimmtes Konzept als zulässige Bewertungsgrundlage genannt. Besonders beliebt bei der PCAOB sind die COSO-Standards. COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist eine freiwillige privatwirtschaftliche Organisation in den USA, die Standards für Finanzberichterstattung in den Unternehmen entwickelt. Die überarbeitete Version des COSO ERM Frameworks Enterprise Risk Management: Integrating with Strategy and Performance wurde 2017 publiziert.

Das COSO veröffentlichte im Februar 2020 neue Leitlinien mit dem Titel „Creating and Protecting Value: Understanding and Implementing Enterprise Risk Management“, die prägnante und konkrete Schritte zur Implementierung eines effektiven ERM-Programms beschreiben.

Weitere wichtige Vorschriften von SOX

Insidergeschäfte sind im Prinzip verboten (Abschnitt 306 und 402). Von Ausnahmen abgesehen, dürfen keine Kredite an Verwaltungsräte und Direktionsmitglieder vergeben werden.

Die Konzernprüfungsgesellschaft darf einige klar definierte Beratungsdienstleistungen nicht übernehmen und die beteiligten Personen müssen regelmäßig ausgewechselt werden. Die Führungskräfte und der Verwaltungsrat dürfen die Prüfer nicht in unlauterer Absicht beeinflussen.
Die Geschäftsleitung muss in der Lage sein, wesentliche Veränderungen der Finanzsituation frühzeitig zu erkennen und das Publikum so rasch wie möglich darüber zu informieren (Abschnitt 409).

Für die Nichterfüllung drohen harte Strafen, wie Bußgelder oder Gefängnisaufenthalt. Wenn die Geschäftsleitung eine Konzernrechnung rückwirkend korrigieren muss, besteht die Pflicht zur Rückerstattung von Boni und anderen variablen Salärkomponenten.

Sicherheitsbeauftragte in SOX Compliance miteinbeziehen

Es ist sehr zu empfehlen, auch den IT-Sicherheitsbeauftragten oder andere IT-Fachleute ins Audit Committee einzubeziehen. Bei der Überprüfung der Unternehmens-Finanzen sind auch die Sicherheit der Computersysteme, Software und Datensicherheit zu beurteilen.

Zu diesem Zweck wird in Europa häufig das System ITIL (Information Technology Infrastructure Library) benutzt. Die IT-bezogenen SOX-Kontrollen beziehen sich auch auf IT-Sicherheit und sind ein Regelwerk, das die „Best Practices“ für IT-Dienstleister zusammenfasst. Dieses grundlegende und durchgängige Werk beschreibt die Vorgehensweise in Form von Prozessen.

Durch SOX-Prüfung und -Audit wird Systemkonformität sichergestellt

Der Ausdruck "Audit" bedeutet laut Gesetz eine Prüfung der Abschlüsse einer Firma von einer unabhängigen öffentlichen Wirtschaftsprüfungsgesellschaft in Übereinstimmung mit den Regeln des Vorstands oder der Kommission. Der Begriff "Audit-Bericht" bezeichnet ein Dokument oder andere Aufzeichnungen, die im Anschluss an ein Audit verfasst werden und die darüber berichten, ob die Firma die Wertpapiergesetze einhält.

Checkliste für die Anforderungen an SOX Compliance

Vorschriften für die Geschäftsleitung

Rechtmäßigkeit der Geschäftsabschlüsse bestätigen
Audit Committee über die anwendbaren Rechnungslegungsgrundsätze informieren
Dem Audit Committee und dem Wirtschaftsprüfer Schwachstellen der internen Kontrolle sowie Finanzdelikte melden
Ethische Grundsätze für Mitarbeiter im Finanz- und Rechnungswesen einführen
Unterlagen der Abschlussprüfung aufbewahren und schützen (Abschnitt 802)

Befugnisse des Audit Committees

Verantwortung für die Auswahl, Entschädigung und Überwachung des Konzernprüfers
Genehmigung sämtlicher Dienstleistungen des Konzernprüfers und Einsetzung zusätzlicher Berater, sofern das nötig ist
Einrichtung interner Beschwerdemöglichkeiten für Unstimmigkeiten in Buchführung oder Rechnungslegung und Prüfung der Beschwerden
Gewährleisten der Vertraulichkeit von Beschwerden und Anonymität der Mitarbeitenden, die vermutete Fehlleistungen melden

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024