Der SOX schreibt verschärfte Bilanzierungs- und Prüfungsregeln vor. Aber was bedeutet er genau und welche wichtigen Vorschriften gibt es zu beachten?

Bedeutung des Sarbanes-Oxley Act of 2002 (SOX)

Der Sarbanes-Oxley Act of 2002 (auch SOX, SarbOx oder SOA) ist ein US-Bundesgesetz, mit dem die Berichterstattung von Unternehmen, die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen, verbessert werden soll. Das Gesetz wurde von den US-Senatoren Paul Sarbanes (Demokratische Partei) und Michael Oxley (Republikaner) als Reaktion auf diverse Bilanzskandale konzipiert.  

Das Gesetz gilt für alle Firmen, deren Aktien an US-Börsen oder außerbörslich in den USA gehandelt oder angeboten werden und die der Aufsicht der Securities and Exchange Commission (SEC) unterstehen. Deutsche Unternehmensleitungen, die Zugang zum US-Kapitalmarkt haben oder anstreben, müssen das Gesetz berücksichtigen.

Für die Überprüfung öffentlicher Unternehmen wurde die Public Company Accounting Oversight Board (PCAOB) gegründet. Diese soll die Interessen der Anleger schützen und das öffentliche Interesse an der Erstellung von informativen, genauen und unabhängigen Prüfungsberichten für Unternehmen, deren Wertpapiere an Börsen gehandelt werden. Die PCAOB gilt als Non-Profit-Organisation. Auf der Webseite der PCAOB findet man auch den SOX-Gesetzestext.

In der EU gibt es eine Richtlinie mit gleichen Zielen, 2006/43/EG vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen, die auch in der EWR zu berücksichtigen ist.

Was ist SOX Compliance: Definition

SOX ist ein Gesetz, das als solches von Unternehmern Compliance in Finanzangelegenheiten fordert und Vorschriften darüber enthält wie diese zu erreichen sei. Mit dem Gesetz wollte man nach einigen Bilanzskandalen das Vertrauen von Anlegern in die Verlässlichkeit von veröffentlichten Finanzdaten wiederherstellen.

 

Folgende Maßnahmen sind dafür besonders wichtig:

  • Nach SOX müssen die betroffenen Gesellschaften, im Gesetz als Emitenten bezeichnet, ein so genanntes Audit Committee, also einen "Prüfungsausschuss", organisieren. Dieses gehört zum Unternehmen. Er wird im Gesetz definiert als ein Ausschuss oder eine gleichwertige Einrichtung, der von der Unternehmensführung mit der Überwachung der Buchführung, den Finanzen und den dazugehörigen Berichten, sowie die Überprüfung der finanziellen Informationen der Firma beauftragt wird.
  • Die Bilanzen und Finanzunterlagen müssen vom Geschäftsführer und Leiter der Finanzabteilung beglaubigt werden, und zwar müssen die Finanzdaten fehlerfrei und vollständig sein.
  • Gemäss SOX muss man externe Abschlussprüfer engagieren, die unabhängig sein müssen. Die Abschlussprüfer müssen auch das interne Kontrollsystem eines Unternehmens beurteilen. Sie sind verpflichtet, das Financial Audit Comittee über kritische Vorgänge zu informieren sowie Alternativen zur Rechnungslegung vorzuschlagen.

SOX Richtlinien in Deutschland: Wichtige Vorschriften

Wichtige Vorschriften des SOX sind die Abschnitte 404 und 302.

Abschnitt 302 besagt folgendes:

Die Bilanzen müssen vom Geschäftsführer und Leiter der Finanzabteilung beglaubigt werden, und zwar müssen die Finanzdaten fehlerfrei und vollständig sein. Die Geschäftsleitung hat zu bestätigen, dass alle Geschäftsabschlüsse und die übrige obligatorische Berichterstattung den Bestimmungen der Börse und dem Prinzip Treu und Glauben (True and Fair-View) entsprechen. Weiter sind CEO und der CFO verpflichtet, dem Audit Committee und dem Wirtschaftsprüfer alle bedeutsamen Schwachstellen der internen Kontrolle sowie alle versuchten oder durchgeführten Unterschlagungen, Veruntreuungen und ähnliche Delikte zu melden. Zumindest ist das vorgeschrieben, wenn Mitglieder der Geschäftsleitung oder Personen mit wichtigen Überwachungs- und Kontrollfunktionen darin verwickelt sind. Verwaltungsräten und hohen Managern ist es verboten, die Konzernprüfer bei ihrer Prüfungsarbeit in unlauterer Absicht zu beeinflussen.

In § 91 Abs. 2 AktG ist vorgeschrieben, dass der Vorstand geeignete Maßnahmen zu treffen hat, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

Abschnitt 404 besagt folgendes:

Der Geschäftsführer, der Leiter der Finanzabteilung und der Abschlussprüfer müssen die Effektivität der internen Kontrollen überprüfen und bestätigen. Dabei wurde kein bestimmtes Konzept als zulässige Bewertungsgrundlage genannt. Besonders beliebt bei der PCAOB sind die COSA-Standards.

COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist eine freiwillige privatwirtschaftliche Organisation in den USA, die Standards für Finanzberichterstattung in den Unternehmen entwickelt. Die überarbeitete Version des COSO ERM Frameworks Enterprise Risk Management: Integrating with Strategy and Performance wurde 2017 publiziert.

Weitere wichtige Vorschriften sind:

  • Insidergeschäfte sind im Prinzip verboten (Abschnitt 306 und 402). Von Ausnahmen abgesehen dürfen keine Kredite an Verwaltungsräte und Direktionsmitglieder vergeben werden.
  • Die Konzernprüfungsgesellschaft darf einige klar definierte Beratungsdienstleistungen nicht übernehmen und die beteiligten Personen müssen regelmäßig ausgewechselt werden. Die Führungskräfte und der Verwaltungsrat dürfen die Prüfer nicht in unlauterer Absicht beeinflussen.
  • Die Geschäftsleitung muss in der Lage sein, wesentliche Veränderungen der Finanzsituation frühzeitig zu erkennen und das Publikum so rasch wie möglich darüber zu informieren (Abschnitt 409).

Für die Nichterfüllung drohen harte Strafen, Bußen und Gefängnisaufenthalt. Wenn die Geschäftsleitung eine Konzernrechnung rückwirkend korrigieren muss, besteht die  Pflicht zur Rückerstattung von Boni und anderen variablen Salärkomponenten.

Der IT- Sicherheitsbeauftrage muss die SOX Compliance miteinbeziehen

Es ist sehr zu empfehlen, auch den IT-Sicherheitsbeauftragten oder andere IT-Fachleute ins Audit Committee einzubeziehen. Bei der Überprüfung der Unternehmens-Finanzen sind auch die Sicherheit der Computersysteme, Software und Datensicherheit zu beurteilen.

Zu diesem Zweck wird in Europa häufig das System ITIL (Information Technology Infrastructure Library) benutzt. Die IT-bezogenen SOX-Kontrollen beziehen sich auch auf IT-Sicherheit und sind ein Regelwerk, das die „Best Practices“ für IT-Dienstleister zusammenfasst. Dieses grundlegende und durchgängige Werk beschreibt die Vorgehensweise in Form von Prozessen.

Durch eine SOX-Prüfung und -Audit wird Systemkonformität sichergestellt

Der Ausdruck "Audit" bedeutet laut Gesetz eine Prüfung der Abschlüsse einer Firma von einer unabhängigen öffentlichen Wirtschaftsprüfungsgesellschaft in Übereinstimmung mit den Regeln des Vorstands oder der Kommission.

Der Begriff "Audit-Bericht" bedeutet ein Dokument oder andere Aufzeichnungen, die im Anschluss an ein Audit verfasst werden und die darüber berichten, ob die Firma die Wertpapiergesetze einhält.

Checkliste für die Anforderungen an SOX Compliance

Vorschriften für die Geschäftsleitung

  • Rechtmäßigkeit der Geschäftsabschlüsse bestätigen
  • Audit Committee über die anwendbaren Rechnungslegungsgrundsätze informieren
  • Dem Audit Committee und dem Wirtschaftsprüfer Schwachstellen der internen Kontrolle sowie Finanzdelikte melden
  • Ethische Grundsätze für Mitarbeiter im Finanz- und Rechnungswesen einführen
  • Unterlagen der Abschlussprüfung aufbewahren und schützen (Abschnitt 802)

Befugnisse des Audit Committees

  • Verantwortung für die Auswahl, Entschädigung und Überwachung des Konzernprüfers
  • Genehmigung sämtlicher Dienstleistungen des Konzernprüfers und Einsetzung zusätzlicher Berater, sofern das nötig ist
  • Einrichtung interner Beschwerdemöglichkeiten für Unstimmigkeiten in Buchführung oder Rechnungslegung und Prüfung der Beschwerden
  • Gewährleisten der Vertraulichkeit von Beschwerden und Anonymität der Mitarbeitenden, die vermutete Fehlleistungen melden
Schlagworte zum Thema:  Compliance, Compliance-Organisation