Der Sarbanes-Oxley Act erklärte: Definition, Zweck und Bestimmungen

Sarbanes-Oxley Act: Zusammenfassung und Definition

Der Sarbanes-Oxley Act (manchmal auch als SOA, Sarbox oder SOX bezeichnet) ist ein US-Gesetz zum Schutz von Anlegern durch Verhinderung betrügerischer Buchhaltungs-und Finanzpraktiken bei börsennotierten Unternehmen. Nach einer Reihe von Unternehmensskandalen und dem Platzen der Dotcom-Blase im Jahr 2002 verhängte Sarbanes-Oxley eine Reihe von Berichts -, Buchhaltungs-und Vorratsdatenspeicherungsmandaten, um sicherzustellen, dass Geschäftspraktiken in großen Unternehmen über Bord bleiben.,

Während sich viele Sarbanes-Oxley-Bestimmungen auf Finanz—und Rechnungslegungsfragen konzentrieren, ist der richtige Umgang mit Unternehmensdaten der Grundstein für viele Aspekte der Funktionsweise des Gesetzes-und das hat große Auswirkungen darauf, worauf wir uns in diesem Artikel konzentrieren werden.

Was ist der Zweck des Sarbanes-Oxley Act?

Der Sarbanes-Oxley Act ist ein Produkt einer Reihe von Skandalen, die nahm um die Jahrtausendwende., Mehrere börsennotierte Unternehmen-Enron und WorldCom waren zwei der bekanntesten—verwendeten Buchhaltungstricksereien, Shell-Unternehmen und andere betrügerische Techniken, um Geschäftsverluste vor der Öffentlichkeit zu verbergen und die Aktienkurse künstlich hoch zu halten. Führungskräfte und Vorstandsmitglieder nutzten diese Täuschung, um sich zu bereichern, auszahlen zu lassen und Investoren (und in Enrons Fall Mitarbeiter, die aufgefordert worden waren, ihren Ruhestand in Aktien des Unternehmens zu stecken) die Tasche in der Hand zu halten, als die Täuschung nicht mehr aufrechterhalten werden konnte und der Aktienkurs zusammenbrach.,

Diese Skandale wickelten sich ungefähr zur gleichen Zeit ab, als die Dotcom-Aktienkurse zusammenbrachen, und während keines dieser Internetunternehmen im Frühstadium Betrug in einem solchen Ausmaß wie Enron beging, glaubten viele Menschen, dass sie Berichte über ihr Verdienstpotenzial im Vorfeld des anfänglich lukrativen Börsengangs aufgeblasen hatten, was die Unternehmensgründer im Wesentlichen auf Kosten der Anleger bereicherte.

Das Sarbanes-Oxley Act hat eine schwere regulatorische Belastung auferlegt, um zu verhindern, dass diese Art von Missbrauch erneut auftritt., Das Gesetz zielt darauf ab, das Unternehmensverhalten zu verbessern, indem sichergestellt wird, dass Unternehmen genaue Daten über ihre eigenen Finanzen erstellen und aufbewahren und dass sie diese Daten Investoren und Aufsichtsbehörden in nahezu Echtzeit zur Verfügung stellen können. Für SIE bedeutet das, dass riesige Mengen an Unternehmensdaten akribisch genau und absolut sicher aufbewahrt werden müssen—sowohl vor internen als auch vor externen Bedrohungen-und kurzfristig für Wirtschaftsprüfer und Investoren verfügbar sein müssen.

Für wen gilt Sarbanes-Oxley?,

Ein paar Bestimmungen des Sarbanes-Oxley gelten für privat geführten Unternehmen—das Gesetz verbietet solche Unternehmen von der Zerstörung Datensätze zu behindern, eine Föderale Agentur der Untersuchung, zum Beispiel, oder von Vergeltungsmaßnahmen gegen Whistleblower. Im Großen und Ganzen gelten die Bestimmungen des Gesetzes, über das wir hier diskutieren werden, jedoch für Unternehmen, deren Aktien an öffentlichen Börsen gehandelt werden oder die einen Börsengang durchführen, um an die Börse zu gehen. Die Datentransparenz, die das Gesetz vorschreibt, soll Investoren oder potenzielle Investoren davor schützen, die Finanzen eines Unternehmens aufgrund von Manipulationen durch Insider falsch einzuschätzen.,

Sarbanes-Oxley Bestimmungen

Die Bestimmungen des Sarbanes-Oxley Act sind in nummerierte Abschnitte unterteilt. Werfen wir einen Blick auf die Bereiche, die in Bezug auf IT-und Datensicherheit am interessantesten sind:

  • Abschnitt 302: Öffentliche Unternehmen müssen regelmäßige Berichte bei der Security and Exchange Commission einreichen. Top-Führungskräfte müssen persönlich für die in diesen Berichten enthaltenen Informationen bürgen und sind für die Einrichtung interner Datenkontrollen verantwortlich.,
  • Abschnitt 404: Die Jahresfinanzberichte müssen einen Abschnitt über diese internen Kontrollen enthalten, in dem ihre Wirksamkeit bewertet wird; etwaige Mängel, die bei diesen Kontrollen festgestellt wurden, müssen offengelegt werden. Registrierte externe Prüfer müssen für die Bewertung der internen Kontrollen durch das Management bürgen.
  • Abschnitt 409: Wesentliche Änderungen der finanziellen Bedingungen oder des Betriebs der Gesellschaft müssen der Öffentlichkeit rechtzeitig bekannt gegeben werden.
  • Abschnitte 802 und 906: Dies sind die Abschnitte, die sich mit Strafen befassen., Wir werden später in dem Artikel auf die Details eingehen, aber sie verbieten das Ändern von Dokumenten, um eine Untersuchung zu behindern, und machen es auch illegal, dass jemand einen irreführenden oder betrügerischen Finanzbericht bescheinigt.

Von diesen Abschnitten gilt 404 als der komplexeste und belastendste. Es müssen nicht nur ausgefeilte technische Systeme eingerichtet werden, um die Integrität und den Schutz der Daten zu gewährleisten, sondern auch die Unternehmensleitung und externe Prüfer müssen die Wirksamkeit dieser Systeme regelmäßig bewerten und dokumentieren.,

Sarbanes-Oxley Anforderungen

Das sind viele Bestimmungen zu verdauen, und Sie müssen tief in die spezifischen Mandate graben, die sie auferlegen. Aber hier ist eine hochrangige Zusammenfassung dessen, was das Gesetz verlangt, die es wert ist, als 10.000-Fuß-Ansicht im Auge zu behalten:

Alle anwendbaren Unternehmen müssen einen Finanzbuchhaltungsrahmen schaffen, der Finanzberichte erstellen kann, die mit nachvollziehbaren Quelldaten leicht überprüfbar sind. Diese Quelldaten müssen intakt bleiben und dürfen nicht undokumentiert überarbeitet werden., Darüber hinaus müssen Revisionen von Finanz-oder Buchhaltungssoftware vollständig dokumentiert werden, was geändert wurde, warum, von wem und wann.

Hier erkennen Sie Elemente der CIA-Triade und ihrer Varianten. Insbesondere muss die Datenintegrität geschützt werden, Daten müssen denjenigen zur Verfügung stehen, die sie benötigen, und die Nichtabweisung muss durchgesetzt werden, um sicherzustellen, dass es möglich ist, zu wissen, wer Daten erstellt oder geändert hat.

Sarbanes-Oxley-Kontrollen

Als Kontrollen werden die Mittel bezeichnet, mit denen Sarbanes-Oxley-Anforderungen innerhalb einer Organisation implementiert werden., Eine Kontrolle in diesem Zusammenhang ist eine interne Regel, die Fehler oder Missstände in einem Zyklus der Finanzberichterstattung verhindern oder aufdecken soll.

Sarbanes-Oxley Mandate, die in einem Unternehmen implementiert werden können. Der Varonis-Blog enthält einige spezifische Beispiele für die Arten von Regeln, die im Rahmen eines Sarbanes-Oxley-Auditverfahrens untersucht werden:

  • Zugriff: Sie benötigen Regeln, die sowohl den physischen Zugriff auf Ihre Büros als auch auf Papierdateien und den elektronischen Zugriff auf Ihre Daten abdecken., Das Gesetz schreibt ein am wenigsten freizügiges Zugangsmodell vor, bei dem Mitarbeiter nur Zugang haben, der so umfangreich ist wie nötig, um ihre Arbeit zu erledigen, aber nicht umfangreicher.
  • Datensicherung: Finanzielle Aufzeichnungen müssen außerhalb des Standorts auf gesetzlich festgelegte Weise gesichert werden.
  • Sicherheit: Sie benötigen eine Reihe von Regeln, die belegen, dass Sie Ihre Daten vor Verletzungen geschützt haben, obwohl die Implementierung in vernünftigen Grenzen Ihrem Ermessen überlassen wird.,
  • Änderungsmanagement: Sie benötigen definierte Verfahren zum Hinzufügen oder Ändern der Datenbanken und Software, die Ihre Unternehmensfinanzen verwalten, sowie zum Hinzufügen neuer Benutzer zu Ihren Systemen.

Sie werden feststellen, dass diese Steuerelemente abstrakt beschrieben werden. Im Allgemeinen werden Steuerelemente in Bezug auf das, was sie tun (oder verhindern), beschrieben, und es liegt an IHR, herauszufinden, wie sie implementiert werden sollen., Beispielsweise können die Regeln für den elektronischen Zugang die Berufsbezeichnungen identifizieren, deren Inhaber die internen Finanzdaten eines Unternehmens ändern dürfen, aber es liegt an der IT-Abteilung des Unternehmens, sicherzustellen, dass die richtigen Personen über die richtigen Berechtigungen für die entsprechenden Systeme verfügen (oder daran gehindert werden).

Dies erfordert offensichtlich viel Arbeit und hat vielleicht nicht überraschend eine Reihe von Softwarepaketen erstellt, die vorgeschrieben wurden, um standardisierte Sarbanes-Oxley-Steuerelemente zu implementieren.,diese Mandate werden wie im Varonis Blog zusammengefasst wie folgt ausgeführt:

  1. CEOs und CFOs müssen Verantwortung für die Finanzberichterstattung und interne Kontrollen übernehmen
  2. Es muss ein interner Kontrollbericht erstellt werden, der die Kontrollen des Unternehmens ehrlich unter die Lupe nimmt
  3. Formale Datensicherheitsrichtlinien müssen ausgearbeitet und konsequent durchgesetzt werden, und eine Datensicherheitsstrategie muss entwickelt werden
  4. Alle Compliance-Schritte müssen aufgezeichnet und kontinuierlich dokumentiert werden
  5. /ol>

    All dies erfordert viel Arbeit seitens der Unternehmen, und viele suchen Hilfe dabei., Eine Organisation, die Ressourcen anbietet, ist das Komitee der Sponsorenorganisationen der Treadway Commission oder COSO. COSO wurde 1985 zur Bekämpfung von Unternehmensbetrug gegründet und verfügt seit Jahren über einen Rahmen für interne Kontrollen, den Unternehmen befolgen können, um die besten Betrugsbekämpfungspraktiken umzusetzen. Die jüngste Revision, die aus dem Jahr 2013 stammt, beschreibt speziell, wie Sie Ihnen helfen kann, die Sarbanes-Oxley-Compliance zu erreichen.,nce-Checkliste, die Ihnen einen schnellen Überblick über alles gibt, was Sie abdecken müssen:

    1. Verhindern von Datenmanipulationen
    2. Zeitleisten für Schlüsselaktivitäten aufzeichnen
    3. Erstellen Sie überprüfbare Steuerelemente, um den Zugriff zu verfolgen
    4. Testen, überprüfen und Offenlegen von Sicherheitsmaßnahmen für Prüfer
    5. Bericht über die Wirksamkeit von Sicherheitsmaßnahmen
    6. Sicherheitsverletzungen erkennen
    7. Sicherheitsverletzungen und Fehler von Sicherheitskontrollen für Prüfer offenlegen

    RSI Security hat einen tieferen Blick auf das, was Sie tun müssen, wenn ein Sarbanes-Oxley Compliance-Audit konfrontiert, die viele große Details hat.,

    Sarbanes-Oxley Strafen

    Sarbanes-Oxley Strafen können sehr ernst sein—und, was wichtig ist, sie gelten für Einzelpersonen in Machtpositionen bei Unternehmen direkt, nicht nur die Unternehmen als Institutionen. Während Unternehmensoffiziere, die sich fälschlicherweise für fehlerhafte Berichte abmelden, dafür bestraft werden können, ist die schlimmste Behandlung vorsätzlichem Betrug vorbehalten. Zum Beispiel kann ein CEO oder CFO, der wissentlich einen Bericht bescheinigt, der gegen die Tat verstößt, mit einer Geldstrafe von bis zu 5 Millionen US-Dollar belegt oder zu 20 Jahren Gefängnis verurteilt werden.,

    Sarbanes-Oxley Act: Fälle und Beispiele

    Es gibt definitiv Fälle, in denen die US-Bundesregierung die von Sarbanes-Oxley bereitgestellten Waffen einsetzt. Zum Beispiel wurden 2003, nicht lange nach Verabschiedung des Gesetzes, Mitarbeiter von Ernst & Young verhaftet, weil sie Dokumente zerstört hatten, die sich auf einen ihrer Kunden bezogen. im Jahr 2014 erhob die FEC Anklage gegen den CEO und CFO eines Computerunternehmens in Florida wegen irreführender Auditoren über den Stand ihrer internen Kontrollen.,

    Aber in der Praxis betrachten einige Sarbanes-Oxley als verpasste Gelegenheit, wenn es um die Verfolgung von Unternehmensbetrug geht. Selbst wenn Finanzberichte als betrügerisch erwiesen werden können, kann es schwierig sein zu beweisen, dass CEOs und CFOs von dem Betrug wussten, als sie sich in den Berichten abzeichneten—und wenn Staatsanwälte starke Beweise dafür haben, können sie die Beweise fast immer verwenden, um noch härtere Betrugsvorwürfe einzureichen, die nicht Teil der Sarbanes-Oxley-Optionssuite sind., Dennoch sagt Rechtsprofessor Peter Henning, dass das Gesetz einen positiven Effekt als Abschreckung hatte: Es ist erwiesen, dass “ Buchhaltungs-Spielereien nicht mehr toleriert werden.“Hoffentlich haben Sie dadurch das Gefühl, dass sich der Kampf um die Zertifizierung lohnt.

Share

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.