Das SOX-Gesetz wurde 2002 verabschiedet, und seine ICFR-Bestimmungen traten 2003 in Kraft. Seitdem haben zahlreiche andere Länder ähnliche Gesetze erlassen, darunter:
- Kanada: Gesetzentwurf 198, allgemein bekannt als C-SOX
- China: Der Grundstandard für interne Control, auch bekannt als „China SOX“
- Japan: Das Gesetz über Finanzinstrumente und Börsen (J-SOX)
Die Europäische Union regelt die Rechnungslegung von Unternehmen durch mehrere Richtlinien, die jeder Mitgliedstaat anschließend in nationales Recht umsetzen muss. Die 8. EU-Gesellschaftsrichtlinie befasst sich mit den Aufgaben des Prüfungsausschusses und der internen Revision, einschließlich der Wirksamkeit der internen Kontrollen.
In einigen Ländern gibt es zwar kein spezifisches Gesetz, das die Beachtung des ICFR vorschreibt, doch bestehen andere Vorschriften oder Kodizes, die eine Verantwortung der Unternehmensleitung für das ICFR implizieren. So gibt es beispielsweise in Großbritannien kein „UK SOX“-Gesetz, doch der britische Corporate-Governance-Kodex macht die Unternehmensvorstände für control interne control , einschließlich des ICFR, verantwortlich.
Der Sarbanes-Oxley Act (SOX) verpflichtet börsennotierte Unternehmen, angemessene Kontrollmechanismen für die Finanzberichterstattung einzurichten (Abschnitt 404 des Gesetzes), damit die Unternehmensleitung bestätigen kann, dass der Jahresabschluss des Unternehmens ein den tatsächlichen Verhältnissen entsprechendes und zutreffendes Bild der finanziellen Lage vermittelt (Abschnitt 302 des Gesetzes).
Alle meldepflichtigen Unternehmen unterliegen Abschnitt 404(a), wonach die Unternehmensleitung die internen control Finanzberichterstattung (ICFR) des Unternehmens assess darüber Bericht erstatten muss. Große meldepflichtige Unternehmen unterliegen zudem Abschnitt 404(b), der eine Prüfung der ICFR durch eine Wirtschaftsprüfungsgesellschaft vorschreibt. Kleinere meldepflichtige Unternehmen sind von Abschnitt 404(b) ausgenommen.
Ein Unternehmen benötigt keine wirksamen internen Kontrollen zur Finanzberichterstattung (ICFR), um die Meldepflichten gegenüber der Securities and Exchange Commission zu erfüllen: Es kann angeben, dass seine ICFR unwirksam sind, in der Regel durch die Offenlegung einer oder mehrerer Schwachstellen in seinen internen Kontrollen. Es muss jedoch genaue Angaben zu den internen Kontrollen der Finanzberichterstattung machen.
Wenn beispielsweise die Geschäftsleitung gemäß Abschnitt 404(a) die Wirksamkeit der internen Kontrollen zur Finanzberichterstattung bestätigt, die Wirtschaftsprüfer jedoch bei der Erfüllung ihrer Aufgaben gemäß Abschnitt 404(b) Schwachstellen feststellen, sind die von den leitenden Führungskräften gemäß Abschnitt 302 des SOX abgegebenen Erklärungen zur Richtigkeit des Jahresabschlusses nicht mehr zuverlässig.
Ein unwirksames internes Kontrollsystem für die Finanzberichterstattung ist oft der Vorläufer einer Bilanzkorrektur. Im schlimmsten Fall können CEOs und CFOs gemäß Abschnitt 302 persönlich für falsche Angaben haftbar gemacht werden.
Die Rolle der Cybersicherheit im Rahmen der internen Kontrollen zur Verhinderung von Betrug
Cybersicherheit ist für die Einhaltung der ICFR- und SOX-Vorschriften von entscheidender Bedeutung, doch allzu oft wird die Bedrohung falsch eingeschätzt.
So stellen beispielsweise Zugriffskontrollen für Finanzsysteme eine potenzielle Schwachstelle dar; ebenso wie unzureichende Richtlinien zur Passwortzurücksetzung. Es gibt bereits interne control , die Unternehmen dabei unterstützen, in diesen Bereichen wirksame Kontrollen einzuführen, und Wirtschaftsprüfungsgesellschaften überprüfen und testen diese Kontrollen regelmäßig.
Diese Beispiele befassen sich jedoch nur mit der Cybersicherheit auf Anwendungsebene. Unternehmen, die den SOX-Vorschriften unterliegen, müssen auch Cybersicherheitsrisiken auf Infrastruktur- und Datenebene berücksichtigen.
Das heißt, ein Angriff ohne Authentifizierung, der auf eine Fehlkonfiguration oder Schwachstelle in Ihrem ERP-System abzielt, könnte es Hackern ermöglichen, zugrunde liegende Finanzdaten zu manipulieren, ohne Finanzanwendungen zu berühren oder einen Prüfpfad zu hinterlassen. Selbst bei strengen internen Kontrollen und Prüfungen auf Daten- und Infrastrukturebene können diese anderen Sicherheitslücken auf Anwendungsebene dazu führen, dass Finanzdaten weiterhin missbraucht werden können.
Daher wären Aussagen über ICFT nicht zutreffend, und das Unternehmen würde die SOX-Vorschriften nicht einhalten, wie Führungskräfte (und Wirtschaftsprüfer) fälschlicherweise annehmen könnten.
Zu ergreifende Maßnahmen
- Machen Sie sich die Natur dieser Sicherheitsbedrohung bewusst und weisen Sie die Zuständigkeit dafür zu. CISOs verstehen möglicherweise nicht die Feinheiten der SOX-Compliance, während interne Revisionsteams vielleicht nicht begreifen, wie eine schwache ERP-Sicherheit Risiken schafft, die sich control internen control entziehen. Lassen Sie das Problem nicht unbeachtet bleiben.
- Entwickeln Sie eine Sicherheitsstrategie für geschäftskritische Anwendungen, die ICFR-Aspekte berücksichtigt. Diese Strategie sollte sich unter anderem mit der Systemkonfiguration, der Protokollverwaltung, der Entwicklung benutzerdefinierter Anwendungen, Patches und der kontinuierlichen Überwachung befassen. Andernfalls bleibt Ihr ICFR anfällig.
- Finden Sie die richtigen Werkzeuge für diese Aufgabe. Sicherheits-, Finanz- und Revisionsteams müssen Schwachstellen identifizieren, die das interne Kontrollsystem gefährden, und diese Lücken anschließend schließen. Angesichts der Komplexität von ERP-Systemen, die geschäftskritische Anwendungen unterstützen, ist das keine leichte Aufgabe. Der Einsatz der richtigen Technologie ist entscheidend für den Erfolg.
Erfahren Sie, wie Onapsis Ihnen dabei helfen kann, Sicherheits- und Compliance-Risiken zu erkennen und Ihre Audit-Prozesse zu optimieren. https://onapsis.com/request-a-demo/