SOX

(Sarbanes-Oxley Act of 2002 H.R. 3763)

Am 30. Juli 2002 hat US-Präsident George W. Bush die wohl bedeutendste Änderung der amerikanischen Wertpapiergesetze seit dem Securities Act 1933 und dem Securities Exchange Act von 1934 unterzeichnet – der Sarbanes-Oxley Act.

Der Hintergrund und das Ziel

Hindergrund

Hintergrund des Gesetzes sind die Unternehmens- zusammenbrüche von Enron und Worldcom und weitere Fälle von Aufsehen erregenden Bilanzfälschungen.

Ziel

Ziel dieses Gesetzes ist die Wiederherstellung des Vertrauens der Anleger (Shareholder) in die Richtigkeit der veröffentlichten Finanzdaten von Unternehmen, die den amerikanischen Rechtsvorschriften unterliegen. Dazu gehören insbesondere auch deutsche Unternehmen, deren Wertpapiere an einer amerikanischen Börse gehandelt werden und deutsche Tochterunternehmen amerikanischer Gesellschaften.

Verantwortlichkeit, Finanzberichterstattung und Offenlegung

Neben einer Neuregelung der Verantwortlichkeiten von Managern und einer verschärften Haftung der Wirtschaftsprüfer, wurden auch die Anforderungen an die Richtigkeit von veröffentlichten Finanzdaten erheblich verschärft. Ebenfalls wird das Verhältnis zwischen Abschlussprüfer und Mandant präzise beschrieben. Durch das Gesetz wurde auch ein neues Aufsichtsgremium über die Wirtschaftsprüfer geschaffen – das PCAOB (Public Company Oversight Accounting Board).

Sarbanes-Oxley Section 302 und 404 – Internal Control over financial reporting

Der Sarbanes-Oxley Act nimmt die Unternehmensführung stärker für die Vollständigkeit und Richtigkeit der Angaben bei der Quartalsweisen und jährlichen Berichterstattung in die Pflicht. Zusätzlich ergeben sich neue Anforderungen an die Unternehmensführung, indem fortlaufend über die Funktionsfähigkeit des internen Kontrollsystems im Rahmen des periodischen Unternehmensreportings zu berichten ist. Sarbanes- Oxley ist von deutschen Unternehmen mit US-amerikanischem Listing zu beachten. Es wird davon ausgegangen, dass sich für alle Unternehmen zunehmende Anforderungen an die Ausgestaltung ihrer internen Kontrollsysteme ergeben werden.

Gemäß Section 302 muss die Unternehmensführung (CEO und CFO) in Verbindung mit dem Quartalsweisen und jährlichen Reporting bestätigen, dass die Angaben in der Berichterstattung vollständig sind und den tatsächlichen wirtschaftlichen Verhältnissen des Unternehmens entsprechen. Darüber hinaus sind sowohl der Jahresabschlussprüfer als auch das Audit Committee über wesentliche Schwachstellen oder Unregelmäßigkeiten in der Finanzberichterstattung zu informieren.

Der Sarbanes-Oxley Act Section 404 verlangt die Einrichtung eines funktionsfähigen internen Kontrollsystems (IKS) und dessen Dokumentation. Dabei sind sämtliche interne Kontrollen, die im Zusammenhang mit der Rechnungslegung stehen, Gegenstand dieser Regelung. Zusammen mit der Quartalsweisen und jährlichen Berichterstattung ist die Einschätzung und Bewertung der Zweckmäßigkeit dieses Kontrollsystems durch die Unternehmensführung zu veröffentlichen. Der Jahresabschlussprüfer bestätigt und berichtet über die regelmäßige Einschätzung der Unternehmensführung.

Entsprechend Section 409 müssen Unternehmen eine wesentliche Veränderung ihrer Finanzsituation in Echtzeit offen legen. Verstöße oder Abweichungen, die auf mögliche erhebliche Veränderungen hinweisen, müssen frühzeitig erkannt werden.

Nach Section 802 müssen Unternehmen die Unterlagen der Abschlussprüfung aufbewahren und schützen. In Übereinstimmung mit den Unternehmensrichtlinien muss sichergestellt werden, dass die Unterlagen verfügbar sind und nicht verändert werden. Unternehmen müssen ausreichende Sicherheitsmaßnahmen ergreifen, um die Einhaltung dieser Bestimmungen zu gewähren.

h & p Consulting kann Sie bei der Umsetzung dieser Anforderungen unterstützen. Erste Informationen und den Ansprechpartner bei h & p Consulting erfahren Sie hier.

Gesetzestexte / Richtlinien

SOX Section 404

SOXUnisono beklagen die meisten Unternehmen den Aufwand, der mit der Erfüllung des Sarbanes-Oxley Aktes, insbesondere der Section 404 einhergeht. Größtenteils entscheiden sich die Unternehmen für eine vermeintlich einfache Lösung. Es soll mit geringstem Aufwand die Erfüllung der gesetzlichen Anforderungen erreicht werden. Der Fokus liegt hierbei auf der Erfassung, Dokumentation und Bewertung des bestehenden Kontrollsystems. Wenn notwendig, werden zusätzliche Kontrollen eingeführt. Eine generelle Überprüfung der bestehenden Systeme findet nicht statt. Potenziale, die eine grundsätzliche Überarbeitung der Kontrollprozesse mit sich bringen würden, bleiben somit ungenutzt.

Leistung verbessern

Für die SOX-pflichtigen Unternehmen (börsennotierte US-Unternehmen, deren deutsche Konzerntöchter sowie deutsche Unternehmen mit US-amerikanischem Listing) hat die Verbesserung der Effizienz der Compliance-Aktivitäten ein hohe Gewichtung.

Eine der Hauptursache für den oft übertriebenen Aufwand bei der SOX-Implementierung liegt in der großen Anzahl der dokumentierten Kontrollen. In vielen Unternehmen wurden zwischen 10.000 und 50.000 Kontrollen erfasst, viele davon redundant.

Potenziale nutzen

Die auf Compliance gerichtete Sichtweise sieht den Zweck der internen Kontroll-systeme hauptsächlich in der Vermeidung von Sanktionen durch Behörden. Dabei bleiben Potenziale außer Acht, die im Zuge deines SOX-Projekts ohne größeren zusätzlichen Aufwand realisiert werden könnten.

Ein systematisches Vorgehen bei einem SOX-Projekt kann den Unternehmen durchaus einige Vorteile bringen. So kann das IKS (Internes Kontrollsystem) sowohl effektiver als auch kostengünstiger gestaltet werden. Eine dementsprechende Dokumentation sorgt für die notwendige Transparenz. Dadurch können redundante Kontrollen abgeschafft und Prozess-Schnittstellen optimiert werden. Schließlich bringt die Verbesserung der Transparenz, vor allem in abschlussbezogenen Abläufen, eine größere Sicherheit im Finanzbereich mit sich. So werden Aussagen, die im Jahresabschluss gemacht werden, nachprüfbarer und damit verlässlicher.

Vorgehen

Am Anfang eines SOX-Projekts steht, nach detaillierter Projektplanung, die Erfassung des „Kontroll-Portfolios“ des Unternehmens. Gefolgt von einer Analyse der Kontroll- und Informationsprozesse im Hinblick auf ihre Effektivität, aber auch auf die entstehenden Kosten. Es wird überprüft, ob auf redundante oder wenig wirksame Kontrollen verzichtet werden kann . Dann wird das Potenzial, dass sich aus verschiedenen Optionen ergeben kann, geschätzt. Am Ende steht ein Business Plan, der konkrete Veränderungsvorschläge für deren Umsetzung liefert und den angestrebten Nutzen spezifiziert.

Sicherheit

Compliance-Projekte müssen im Kontext betrachtet werden.: Nicht nur SOX verlangt Kontrollsysteme. Auch die GoBS, das KonTraG, MiFID, Basel II oder MaRisk stellen entsprechende Anforderungen an die Zuverlässigkeit der Kontrollsysteme. Ein ordentliches Compliance-Management ist in der Lage, alle gesetzlichen Anforderungen zu erfüllen und sorgt sowohl intern als auch extern für mehr Transparenz..

Fazit

Unternehmen sollten die SOX-Anforderungen als Chance begreifen und die bisherigen internen Kontrollprozesse auf den Prüfstand stellen. Hierbei gilt es darauf zu achten, dass im Rahmen von Compliance auch Kontrollanforderungen zu berücksichtigen, die weit über SOX hinausgehen. Ein durchdachtes, konsistentes System bringt neben Sicherheit und Transparenz auch Einsparungen mit sich, die mittelfristig die Implementierungskosten deutlich übertreffen werden.