SOX-Compliance: Warum Sie das jetzt brauchen – und es sogar gut für Sie ist

Wer mit einer amerikanischen Übernahme konfrontiert ist, wird sich mit der „SOX-Compliance“ (der Einhaltung des Sarbanes-Oxley-Gesetzes aus dem Jahre 2002) beschäftigen müssen – einem US-Gesetz zur Vermeidung von Bilanzmanipulationen. Das ist zunächst einmal anstrengend: Sie müssen sich mit neuen Regelungen auseinandersetzen, und damit, wie der neue Eigentümer diese anwendet (da kann es große Unterschiede geben).

Doch wer SOX erst einmal implementiert hat, wird für seine Mühen reichlich belohnt. Denn mit der richtigen Strategie ergeben sich profitable Verbesserungen. Zum Beispiel:

• Jeder weiß genau, wer für welchen Prozess zuständig ist, es herrscht weniger „Prinzip Durchfragen“ – somit wird Zeit gespart (und auch Nerven)
• Bessere Transparenz einzelner Abläufe, was kostensparend wirkt
• Damit eine geringere Anfälligkeit für Betrug

Doch was bedeutet SOX eigentlich ganz konkret?

Der „Sarbanes-Oxley Act“ ist ein 2002 eingeführtes US-Gesetz, das Bilanzmanipulationen erschweren und das Vertrauen der Anleger stärken soll. Mit der SOX-Compliance wurden die Anforderungen an die Richtigkeit von veröffentlichten Finanzberichten erhöht.

Hauptaufgabe der SOX-Compliance ist die Klärung einer wichtigen Frage: Wie wirksam ist das interne Kontrollsystem des Unternehmens?

Wie wird die SOX-Compliance implementiert?

Wichtig ist zunächst, dass es sich hier nicht ausschließlich um ein Finanz-Thema handelt. SOX betrifft das gesamte Unternehmen mit allen Bereichen und deren Prozesse! Deshalb ist es wichtig, dass alle Abteilungen in die Implementierung eingebunden werden – und viel miteinander kommunizieren.

Dabei kann es durchaus vorkommen, dass plötzlich Bereiche ins Gespräch kommen, die vorher nicht miteinander geredet haben und nun feststellen: Das hätten wir schon viel früher tun sollen!

Wer SOX anwendet, kommt an regelmäßigen internen und externen Audits nicht vorbei. Sie sollen mögliche Schwachstellen aufdecken. Anschließend müssen Empfehlungen umgesetzt werden, um diese Schwachstellen zu beheben.

Werde ich als Interims-Managerin in ein Unternehmen gerufen, so konzentriere ich mich auf drei wesentliche Schritte. Sie sind essentiell für alle Firmen, die SOX einführen müssen.

Schritt 1: Control Self Assessment (CSA)

Bei diesem Schritt (zu Deutsch: Selbstbeurteilung der internen Kontrolle) werden Steuerungs- und Kontrollprozesse im Unternehmen evaluiert – und zwar durch die direkt betroffenen Mitarbeiter. Sie müssen sich kritisch fragen: Ist der Prozess transparent? Funktioniert die Steuerung von Prozessen, etwa wenn ein Mitarbeiter mal ausfällt?

Sie beginnen so, sich überhaupt erst einmal für das Thema zu interessieren, tauschen sich mit anderen Abteilungen aus und sehen erste Möglichkeiten, Abläufe zu optimieren.

Schritt 2: Segregation of duties (SOD)

Segregation of duties (zu Deutsch: Funktionstrennung) bedeutet, dass für bestimmte Aufgaben nicht ein- und dieselbe Person zuständig sein darf – sondern dass diese Aufgaben auf mehrere Personen oder Einheiten verteilt werden müssen.

Etwa in der IT: Hier betrifft die Funktionstrennung die Benutzerrechteverwaltung. Es darf beispielsweise nicht sein, dass ein Mitarbeiter die Möglichkeit hat, Lieferanten im IT-System anzulegen – und gleichzeitig Zahlungen zu veranlassen. Denn dann hätte er die Möglichkeit, Finanzmittel zu unterschlagen.

Aus solchen Gründen muss nach SOX bei den allermeisten Unternehmens-Prozessen unbedingt das 4-Augen-Prinzip eingehalten werden.

In diesem zweiten Schritt werden diese Prozesse unter die Lupe genommen: Wer hat welche Rechte? Und wo müssen Aufgaben auf mehr als eine Person verteilt werden, damit es gar nicht erst zu Betrug kommen kann?

Wichtig ist hierbei: Damit niemand das Gefühl hat, kritisch beäugt zu werden, müssen alle Maßnahmen im Bereich der „segregation of duties“ gemeinsam erarbeitet werden. Nur so wird dies von allen mitgetragen.

Schritt 3: Process Documentation (PD)

Im nächsten Schritt wird dokumentiert: Welche Prozesse gibt es im Unternehmen? Wer ist wofür verantwortlich?

Dazu gibt es von der Muttergesellschaft eigens ausgearbeitete Unterlagen, die jede Tochtergesellschaft ergänzen muss. Das ist deshalb wichtig, weil vieles Routine ist und „halt so läuft“ – aber wie genau eigentlich? Darüber wird sich jeder Mitarbeiter bewusst, wenn alles einmal schwarz auf weiß festgehalten wurde.

So können alle jederzeit nachsehen: Zu wem muss ich gehen, wenn ich Problem X habe? Wer kümmert sich im nächsten Schritt um Y?

Entscheidungswege werden so klar definiert – niemand muss sich erst „durchfragen“. So können Prozesse schneller und reibungsloser ablaufen.

Sie sehen: SOX zu implementieren, mag anstrengend erscheinen und Zeit kosten – aber die positiven Auswirkungen sind enorm.

• Es werden sich alle bewusster, wie wichtig Steuerungs- und Kontrollaktivitäten sind
• Die internen Abläufe und Prozesse können besser nachvollzogen und kontrolliert werden
• Missbrauch wird von Anfang an minimiert
• Es wird leichter, schnelle, effektive Lösungen für ein Problem zu finden

Haben Sie noch eine Frage zu SOX? Dann stellen Sie sie gern in den Kommentaren! Oder buchen Sie über diesen Link hier einen persönlichen Termin bei Judith Geiß.

Alle weiteren Links zum Thema SOX:

Podcast-Episode 55: SOX – was ist das und wofür? – Interview mit Janet Winkler:
https://thebridge-online.com/2021/10/04/sox-vorteile/

Podcast-Episode 58: SOX – einmal implementiert und dann ist es vorbei? – Gespräch mit Janet Winkler:

https://thebridge-online.com/2021/10/25/sox-implementieren/

Podcast-Episode 61: SOX – Fallstricke vermeiden und wie man SOX für sich und das Unternehmen sinnvoll einsetzen kann – Gespräch mit Janet Winkler:
https://thebridge-online.com/2021/11/15/sox-fallstricke/

Podcast-Episode 63: SOX – aus der Praxis für die Praxis – Coffee-talk mit Janet Winkler:
https://thebridge-online.com/2021/11/29/sox-digital/

the Bridge Blogbeitrag: Kennen Sie die 6 häufigsten Fallstricke bei der Einführung von SOX?
https://thebridge-online.com/2022/02/17/sox-einfuehrung/