Denkanstöße

UK SOx ist auf dem Weg – Das sollten Sie wissen

12. Dezember 2022 Von Emile Steyn

Das Thema der bevorstehenden SOx in Großbritannien ist Governance-, Risiko- und Compliance-Praktikern wohlbekannt, aber wissen wir, in welchem Ausmaß sich dies auf Unternehmen auswirken wird, die SAP einsetzen? In diesem Artikel befassen wir uns eingehender damit, was UK SOx ist, wie es entstanden ist und welche Auswirkungen es auf Unternehmen haben wird, die SAP einsetzen. 

Das System, das erstmals im Rahmen der Untersuchungen von Kingman und Brydon vorgeschlagen wurde, um die interne Kontrollstruktur des Vereinigten Königreichs zu verbessern, wird wahrscheinlich weniger streng sein als der US-amerikanische Sarbanes-Oxley Act (SOx), der 2002 in Kraft trat. 

Kurz gesagt, SOx-Compliance ist eine Verordnung, die Unternehmen dazu zwingt, genaue Abschlüsse zu veröffentlichen und interne Kontrollen zum Schutz von Finanzinformationen einzurichten, mit dem primären Ziel, Fehlverhalten zu verhindern, das sich auf Investoren und die Öffentlichkeit auswirken würde. 

Wenn das System eingeführt wird, würde es hauptsächlich für börsennotierte Premium-Unternehmen gelten, aber die Vorschläge zielen auch darauf ab, die Definition von Unternehmen von öffentlichem Interesse (Public Interest Entities – PIEs) zu erweitern. Dazu gehören auch große Unternehmen in Privatbesitz. 

Die Anforderungen von UK SOx gelten für Geschäftsjahre, die im Dezember 2023 oder später enden. 

Was sind die wichtigsten Anforderungen? 

  • Veröffentlichung einer Erklärung zur Verantwortung des Direktors über die Wirksamkeit von Kontrollen. Die neuen Vorschriften werden von einer neu gegründeten Regulierungsbehörde, der Audit, Reporting and Governance Authority (ARGA), durchgesetzt, die den Financial Reporting Council (FRC) ersetzen wird. 
  • Die Direktoren sind verpflichtet, eine jährliche Überprüfung der Wirksamkeit der internen Kontrollen für die Finanzberichterstattung durchzuführen und in ihrem Jahresbericht über die Ergebnisse zu berichten. Dies wird ihre Erklärung zur Verantwortung des Direktors unterstützen. 
  • Die Direktoren müssen eine Prüfungs- und Prüfungsrichtlinie offenlegen – Eine Prüfungs- und Prüfungsrichtlinie (AAP) wird wahrscheinlich verwendet, um das für die internen Kontrollen der Finanzberichterstattung erforderliche Maß an Sicherheit zu bestimmen.  
  • Vorstände und Direktoren sind für die Überwachung des Risikomanagements und der internen Kontrollsysteme des Unternehmens gemäß dem britischen Corporate Governance Code verantwortlich. Dazu gehört die Notwendigkeit, eine jährliche Bewertung ihrer Wirksamkeit durchzuführen und einen Bericht über die Ergebnisse dieser Überprüfung zu erstellen. Gemäß den vorgeschlagenen Empfehlungen müssen die Direktoren Folgendes in ihre jährliche Überprüfung aufnehmen: 
    • Neue Angaben und Erkenntnisse zur Wirksamkeit interner Kontrollen 
    • Die Ergebnisse der jährlichen Überprüfung 
    • Eine Erklärung, aus der hervorgeht, ob sie der Ansicht sind, dass die Systeme wirksam funktioniert haben 

Direktoren sollen sich an Best Practices für die Abschlussprüfung orientieren  

BEIS wird nach Konsultationen eine neue Auditing, Reporting, and Governance Authority (ARGA) einrichten, die den Financial Reporting Council (FRC) ersetzen soll. In diesem Fall werden in den gemeinsamen Grundsätzen und Regeln Best Practices für die Prüfung festgelegt. Diese Grundsätze sollten die Direktoren leiten; Wie bei SOX 404-Audits in den Vereinigten Staaten sind sie jedoch nicht verpflichtet, die eigentlichen Tests und Berichte durchzuführen. Stattdessen verlassen sie sich darauf, dass das Management Bewertungssysteme entwickelt, die sich strikt an Best Practices halten.
 

Wie wird sich UK SOx auf Unternehmen auswirken, die SAP einsetzen? 

Kontrollen können in vielen verschiedenen Formen auftreten und werden verwendet, um sicherzustellen, dass das Risiko und die Falschdarstellung von Finanzdaten begrenzt wird. Es liegt in der Verantwortung des Managements, sicherzustellen, dass diese Kontrollen durchgeführt werden und das Risiko des Unternehmens gegenüber Betrug und falschen Darstellungen angemessen reduziert wird. 

UK SOx bietet den Rahmen für Organisationen, um auf Risikoaktivitäten und -entwicklungen zu reagieren. 

Interne Kontrollen können Minderungskontrollen umfassen, die verwendet werden, um die Richtigkeit und Vollständigkeit von Finanzdaten sicherzustellen, wie z. B.: 

  • Kontinuierliche Überprüfung der Anwendbarkeit und Effizienz von Kontrollen innerhalb des SAP-Umfelds. Die Effizienz von Steuerelementen kann sich aufgrund von Konfigurations- oder Geschäftsprozessänderungen ändern. 
  • Sicherstellen, dass der Zugriff auf Systeme kontrolliert und nur auf autorisiertes Personal beschränkt ist. 

Welche Kosten sind mit der SOx-Konformität verbunden

Viele Unternehmen sind bereits in den Vereinigten Staaten gelistet und erfüllen daher das SOx-Framework. SOx ist so tief im Prozess verwurzelt, dass es schwierig wäre, die beiden zu trennen und die damit verbundenen Kosten für die SOx-Konformität im Vereinigten Königreich abzuschätzen, selbst wenn die Kosten für die Erstellung des Prozesses zweifellos höher sind als die Kosten für seine Aufrechterhaltung, sobald er in Betrieb ist.  

Natürlich würde ein Delisting in den USA nicht alle diese Kosten eliminieren, da viele der Prozesse beibehalten würden. 

Schritte, die Unternehmen unternehmen können, um sich vorzubereiten

Schritte zur Vorbereitung auf die zusätzlichen Anforderungen könnten in etwa wie folgt aussehen: 

  1. Definieren Sie ein Richtlinien- und Verfahrensdokument für alle Prozesse 
  1. Identifizierung von Risiken, die für das Unternehmen relevant sind 
  1. Bestimmen Sie die angemessene Reaktion auf die identifizierten Risiken 
  1. Entwicklung von Kontrollen, die die Risiken, die zur Risikominderung identifiziert wurden, angemessen reduzieren 
  1. Erstellen und Testen von Steuerelementen 
  1. Überprüfung und Freigabe 

Unser Rat – handeln Sie jetzt! 

Angesichts eines langwierigen Prozesses zur Definition von Risiken, zur Dokumentation von Reaktionen, Richtlinien und Verfahren sowie zur Definition geeigneter Kontrollen empfehlen wir, die bestehenden Kontrollen Ihres Unternehmens frühzeitig zu überprüfen, um sicherzustellen, dass sie zur Verringerung der Risikoexposition angemessen sind.  

Viele Unternehmen haben Schwierigkeiten, bestimmte Kontrollen effektiv durchzuführen. Nehmen Sie als Beispiel den Prozess der Überprüfung des Benutzerzugriffs. Wenn dies manuell (in Tabellenkalkulationen) durchgeführt wird, wird dies in der Regel zu einer Herausforderung für die Geschäftsanwender, da ihnen nur begrenzte Informationen angezeigt werden, wie z. B.: 

  • Welche Rollen sind risikotragend? 
  • Hat der Endbenutzer einen der Transaktionscodes in den zu überprüfenden Rollen verwendet? 

Mit begrenzten Informationen führen die Geschäftsanwender ihre Überprüfung oft nur durch, um das Audit zu besänftigen – und die Kontrolle bringt dem Unternehmen nur einen minimalen Mehrwert. Die Implementierung der richtigen Lösungen, um den Geschäftsanwendern alle notwendigen Informationen zur Verfügung zu stellen, um schnelle und fundierte Entscheidungen zu treffen, sowie die Unterstützung durch einen vertrauenswürdigen Partner, könnte viel Zeit und Geld sparen. 


Soterion ist ein führender Anbieter von Governance-, Risiko- und Compliance-Software. Unsere GRC-Lösungssuite unterstützt Unternehmen dabei, ihre Risiken in SAP effektiv und effizient zu managen. Die Software von Soterion ist in nur wenigen Tagen einsatzbereit und bietet sehr schnell einen Gesamtüberblick über das Risiko des Unternehmens und führt Kontrollen durch, um dieses Risiko zu mindern. Sprechen Sie mit einem erfahrenen SAP-Sicherheitsberater, indem Sie [email protected] eine E-Mail senden, wenn Sie beraten möchten, wie wir Sie auf dem Weg zur SOx-Konformität in Großbritannien unterstützen können.   

Das könnte Sie interessieren