Viele Länder verfügen über spezielle Vorschriften, die dazu beitragen sollen, Aktionäre & Investoren auf den Finanzmärkten vor Verlusten zu schützen, die durch Buchhaltungsfehler und Finanzbetrug bei öffentlichen Unternehmen verursacht werden.
Der Sarbanes-Oxley Act oder SOX ist eine dieser wichtigen Vorschriften, die die Rechnungslegungspraktiken und -strategien öffentlicher Unternehmen mit Sitz und/oder Geschäftstätigkeit in den Vereinigten Staaten regeln. SOX, das im US-Senat auch als "Public Company Accounting Reform and Investor Protection Act" bekannt ist, zielt darauf ab, die Interessengruppen der Wertpapiermärkte, die Aktionäre von Unternehmen, Käufer und Verkäufer von Wertpapieren zu schützen.
SOX verpflichtet öffentliche Unternehmen, strenge Kontrollen & Finanzbuchhaltungsrahmen zu befolgen, um überprüfbare & rückverfolgbare Finanzunterlagen für die Rechnungsprüfung bereitzustellen. Das Gesetz verpflichtet öffentliche Unternehmen außerdem, alle Aufzeichnungen auf Papier und in elektronischer Form mindestens 5 Jahre lang aufzubewahren.
Einführung des Sarbanes-Oxley Act (SOX)
Das Sarbanes-Oxley-Gesetz von 2002 ist ein Bundesgesetz der Vereinigten Staaten zur Regelung der Unternehmensführung und der Rechenschaftspflicht in Bezug auf verschiedene Aspekte der Geschäftspraktiken von Unternehmen und des Wertpapiermarktes. SOX wurde als Folge einer Reihe von Bilanzskandalen in den USA erlassen, die zu großen Verlusten auf den Finanzmärkten geführt und das Vertrauen der Anleger erschüttert hatten.
Das erklärte Ziel von SOX ist es, "die Anleger zu schützen, indem die Genauigkeit und Zuverlässigkeit der Unternehmensangaben verbessert wird."
Hauptziele des Sarbanes-Oxley Act:
Nachfolgend sind die wichtigsten Ziele des SOX-Gesetzes aufgeführt
1. Fairness gegenüber den Aktionären
SOX änderte den Schwerpunkt der Corporate-Governance-Praktiken und zwang die Unternehmen, mehr Wert auf die Einhaltung von Vorschriften zu legen, die sich auf die Fairness gegenüber den Aktionären konzentrieren.
2. Fairness gegenüber Stakeholdern
SOX verlangt von der Unternehmensführung, dass sie die Interessen externer Stakeholder berücksichtigt, die nicht nur die Aktionäre des Unternehmens sind.
3. Erhöhte Verantwortlichkeiten für Direktor und Vorstand
SOX hat die Verantwortung der leitenden Angestellten und Direktoren des Unternehmens bei der Erfüllung ihrer Pflichten erhöht. Es hat den Einsatz für die Haftung der leitenden Angestellten und Direktoren enorm erhöht.
4. ethische Grundsätze für Direktoren und Führungskräfte
SOX verlangt von Unternehmen, dass sie über Ethikkodizes oder Bestimmungen verfügen, die den Standard für die Unternehmensführung in einer Organisation festlegen.
5. Offenlegung und Rechenschaftspflicht
Der wichtigste Aspekt des Gesetzes sind die verschärften Offenlegungspflichten, die Rechenschaftspflicht der leitenden Angestellten und Direktoren für diese Offenlegung und die Haftung im Falle von Versäumnissen in der Corporate Governance-Praxis.
Es ist bemerkenswert, dass das SOX-Gesetz zwar größtenteils einen Rahmen für die Finanzverwaltung und die Rechenschaftspflicht vorgibt, in einigen Abschnitten aber auch Richtlinien für die Datenspeicherung und die Informationssicherheit festgelegt werden.
Wer muss sich an die SOX-Vorschriften halten?
SOX verpflichtet die folgenden Arten von Unternehmen, die Vorschriften zu erfüllen:
1. öffentlich gehandelte Unternehmen in den USA
2. börsennotierte ausländische Unternehmen in den USA
3. private Unternehmen, die sich auf ein IPO vorbereiten
4. Wirtschaftsprüfungsgesellschaften, die Unternehmen prüfen
SOX-Compliance - Wichtige Anforderungen für Unternehmen
Der Sarbanes-Oxley Act listet explizite Anforderungen für Unternehmen auf und verpflichtet sie zur Einhaltung strenger Richtlinien, wie folgt:
1. CEO & CFO übernehmen Verantwortung für Finanzberichte
SOX verpflichtet den CEO und den CFO des Unternehmens für die Richtigkeit, Dokumentation und Vorlage aller Finanzunterlagen. Es macht sie persönlich rechenschaftspflichtig für alle falsch dargestellten Daten.
2. Interne Kontrollen einrichten
Das Unternehmen muss eine Beschreibung seiner internen Kontrollen vorlegen, um das Vertrauen der Öffentlichkeit in diese Organisation zu stärken und ihr gleichzeitig einen Einblick in die Verfahren des Unternehmens zu ermöglichen. Jede finanzielle Diskrepanz in den Aufzeichnungen muss frühestmöglich in der Managementkette gemeldet werden, um Transparenz zu gewährleisten.
3. SOX-Compliance-Dokumentationn
SOX verpflichtet die Organisation, eine detaillierte Dokumentation zum Nachweis der SOX-Compliance zu führen. Die Dokumentation muss regelmäßig aktualisiert werden, um die SOX-Compliance-Ziele kontinuierlich zu überwachen und zu messen.
4. Formalisieren & Implementieren von Datensicherheitsrichtlinien
Das Unternehmen ist dafür verantwortlich, die richtigen Datensicherheitsrichtlinien zum Schutz der gespeicherten, genutzten und übertragenen Daten zu implementieren. Gemäß den Datenschutzgesetzen muss ein Unternehmen sicherstellen, dass es während des gesamten Lebenszyklus keine Datenverluste gibt.
5. Beauftragen Sie eine unabhängige Auditfirma
Das Unternehmen ist dafür verantwortlich, eine unabhängige Wirtschaftsprüfungsgesellschaft mit der Prüfung der Richtigkeit seiner Finanzberichte zu beauftragen. Die Finanzberichte müssen einen Abschnitt enthalten, der die Meinung der Wirtschaftsprüfer über die Richtigkeit der in den Berichten enthaltenen Zahlen enthält.
Wichtige Bestimmungen des Sarbanes-Oxley Act (SOX)
SOX hat mehrere Bestimmungen, aber es gibt 4 wichtige, auf die Sie sich konzentrieren sollten:
a) Abschnitt 301 - Whistleblower-Hotline
Verlangt von den Unternehmen, Verfahren für vertrauliche, anonyme Eingaben von Mitarbeitern einzurichten, die Bedenken hinsichtlich fragwürdiger Buchhaltungs- oder Rechnungsprüfungsangelegenheiten haben.
b) Abschnitt 302 - CEO-, CFO-Zertifizierung
Die Geschäftsleitung muss vierteljährlich die Konzeption und die betriebliche Wirksamkeit der Offenlegungskontrollen und -verfahren bewerten (Offenlegungskontrollen umfassen auch interne Kontrollen). Der CEO und der CFO unterzeichnen eine Zertifizierung in Bezug auf die internen Kontrollen.
c) Abschnitt 404 - Interne Kontrollen
Verlangt, dass Unternehmen die Effizienz der internen Kontrollen über die Finanzberichterstattung testen und die externen Wirtschaftsprüfer die internen Kontrollen jährlich prüfen.
d) Abschnitt 906 - Strafrechtliche Sanktionen
Verlangt strafrechtliche Sanktionen, wenn die vom CEO und CFO bescheinigten Informationen die Finanzlage und die Ergebnisse der Geschäftstätigkeit des Unternehmens nicht angemessen darstellen.
Strafen gemäß SOX Act:
Die Nichteinhaltung der SOX-Vorschriften kann zu Geldstrafen von bis zu 1 Million US-Dollar und zu einer Freiheitsstrafe von bis zu 10 Jahren für den Unternehmensverantwortlichen führen, selbst wenn dies versehentlich geschieht. Vorsätzliche Verstöße gegen das Gesetz können die Strafen auf bis zu 5 Millionen US-Dollar und eine Freiheitsstrafe von bis zu 20 Jahren erhöhen!
Der 5-Schritte-Prozess zur Erreichung der SOX-Konformität:
1. Sensible Daten aufdecken und Risiken analysieren
Entdecken Sie sensible Daten und analysieren Sie interne und externe Risiken, die eine Bedrohung für das gesamte Unternehmen darstellen könnten.
Die Bewertung der Risiken, das Aufdecken von Datenbanken und sensiblen Daten hilft Ihnen, relevante Risiken zu analysieren und die besten Sicherheitsmaßnahmen zu implementieren.
2. Schwachstellen und Lücken identifizieren und bewerten
Überprüfen Sie die von Ihnen entdeckten Datenbanken und Server auf Schwachstellen, Fehlkonfigurationen und Sicherheitslücken und beseitigen Sie diese. Die Kontrollen der Systemsoftware ermöglichen die Identifizierung und Behebung von Sicherheitsschwachstellen und Konfigurationsfehlern, einschließlich regelmäßiger Bewertungen und Überprüfungen von Schwachstellen und Sicherheitslücken.
3. Zugriffskontrolle, Überprüfung und Validierung von Benutzerrechten
Eingesessene Unternehmen müssen Zugriffskontrollen einführen, um eine unangemessene und unbefugte Nutzung ihrer Datenbanken zu verhindern.
4. Überwachung, Prüfung und Sicherung des Nutzungszugriffs
Kontrollen sind erforderlich, um unbefugte Transaktionen zu verhindern und zu erkennen und um eine rechtzeitige Meldung von Sicherheitsverletzungen zu gewährleisten. Kontinuierliche Prüfung und Alarmierung bei signifikanten Änderungen der Nutzungsmuster von Finanzdaten, um betrügerische Aktivitäten zu verhindern.
5. Messen, Berichten und Zertifizieren
Die Konfiguration und Nutzung sind regelmäßig zu messen und zu berichten, um zu bestätigen, dass sie den Best-Practice-Richtlinien entsprechen. Eine zentrale Überwachung der Sicherheit und regelmäßige Audits helfen bei der Überprüfung, ob die Kontrollen wirksam funktionieren.
Datenlöschung: Die SOX & Data Privacy Bulls Eye
Die Informationssicherheit ist eine der wichtigsten Grundlagen der SOX-Verordnung, denn das Gesetz verpflichtet die betroffenen Organisationen, die Integrität der Daten für einen Zeitraum von mindestens fünf Jahren zu bewahren und sie für routinemäßige Prüfungen gemäß den Vorschriften des Gesetzes zur Verfügung zu stellen. Doch was geschieht mit diesen Finanzdaten, wenn die Frist abgelaufen ist? In Anbetracht der Tatsache, dass ein Großteil dieser Finanzdaten hochsensibel und vertraulich ist, sind Unternehmen verpflichtet, solche unerwünschten, aber sensiblen Daten so zu entsorgen, dass sie den geltenden Datenschutzbestimmungen entsprechen.
Außerdem könnte es plausible Szenarien geben, in denen sich Unternehmen an der Schnittstelle von SOX- und Datenschutzverpflichtungen wiederfinden; zum Beispiel die Notwendigkeit, nicht dokumentierte Kopien von Finanzprüfungsberichten von einem Altgerät zu entfernen, wenn der primäre Verwahrer, zum Beispiel ein Unternehmensverantwortlicher wie der CFO, auf ein neues Gerät wechselt. Professionelle Datenlösch-Tools wie BitRaser können dieses Problem durch die sichere und zertifizierte Löschung sensibler Aufzeichnungen lösen und Unternehmen dabei helfen, SOX- und Datenschutzverpflichtungen auf einmal zu erfüllen! BitRaser kann sensible Daten dauerhaft von Festplatten, Servern und mobilen Geräten löschen und erstellt Berichte und Löschzertifikate, die als manipulationssichere Prüfpfade für die Einhaltung gesetzlicher Vorschriften dienen.
Zusammenfassend
Die Einhaltung von SOX-Vorschriften ist für alle öffentlichen Organisationen, die in den Vereinigten Staaten ansässig und/oder tätig sind, von größter Bedeutung. Sie stellt strenge Anforderungen an die betroffenen Unternehmen und kann gleichzeitig ein wichtiges Unterscheidungsmerkmal sein, wenn es darum geht, das Vertrauen der Investoren zu gewinnen. Um die SOX-Compliance zu erreichen, ist es unabdingbar, die richtige Sorgfalt walten zu lassen, die richtigen Maßnahmen zu ergreifen und eine gründliche Praxis einzuführen. Und mit den richtigen Werkzeugen und systematischer Unterstützung können Sie Ihre Bemühungen um eine ausfallsichere Einhaltung der SOX- und Datenschutzgesetze unterstützen!
