1 Einleitung
1.1 Problemstellung
1.2 Ziel der Arbeit und Vorgehen
2 Sarbanes-Oxley Compliance-Anforderungen
2.1 Der Sarbanes-Oxley Act - allgemein
2.1.1 Definition
2.1.2 Anforderungen an Unternehmen
2.1.3 Der PCAOB Prüfungsstandard
3 Governance Frameworks
3.1 COSO
3.1.1 Ziel und Entstehung
3.1.2 Konzept und Inhalt
3.1.3 Nutzen für Sarbanes-Oxley Compliance
3.2 COBIT
3.2.1 Ziel und Entstehung
3.2.2 Konzept und Inhalt
3.2.3 Nutzen für Sarbanes-Oxley Compliance
3.3 ITIL
3.3.1 Ziel und Entstehung
3.3.2 Konzept und Inhalt
3.3.3 Nutzen für Sarbanes-Oxley Compliance
3.4 CMMI
3.4.1 Ziel und Entstehung
3.4.2 Konzept und Inhalt
3.4.3 Nutzen für Sarbanes-Oxley Compliance
3.5 Weitere Frameworks
3.5.1 ISO 9000
3.5.2 Six Sigma
3.5.3 Nutzen für Sarbanes-Oxley Compliance
4 Anforderungen an Governance Frameworks zur Umsetzung von Sarbanes-Oxley Compliance-Anforderungen
4.1 Corporate Governance
4.1.1 Aufstellung durch eine Gruppe von Experten
4.1.2 Verfügbarkeit
4.1.3 Systematische Korrektheit
4.1.4 Messung eines internen Kontrollsystems
4.1.5 Vollständigkeit
4.1.6 Evaluation des internen Kontrollsystems der Finanzberichterstattung
4.2 IT Governance
4.2.1 Kontrollumfeld
4.2.2 Risikobewertung
4.2.3 Kontrollaktivitäten
4.2.4 Information und Kommunikation
4.2.5 Monitoring / Überwachung
4.3 Gestaltung und Dokumentation der IT-Prozesse
4.4 Einschätzung des Reifegrades der Organisation
5 Zusammenfassende Übersicht / Fazit
5.1 Übersicht über die verschiedenen Anforderungen
5.2 Sarbanes-Oxley Compliance und Governance-Frameworks
5.3 Ausblick
6 Literaturverzeichnis
Vor einigen Jahren haben Börsenskandale wie die der Unternehmen Enron und Worldcom das Vertrauen vieler Anleger in börsennotierte Unternehmen erschüttert.
Als Antwort darauf wurde der Sarbanes-Oxley Act erlassen, der das Vertrauen der Anleger in die Finanzberichterstattung von Unternehmen wiederherstellen soll. Das Gesetz enthält zahlreiche Regelungen, darunter Anforderungen an ein effektives internes Kontrollsystem der Finanzberichterstattung.
Die Maßnahmen mussten für US-amerikanische Unternehmen für Geschäftsjahre, die nach dem 15.11.2004 endeten, und für ausländische an US-Börsen notierte Unternehmen für Geschäftsjahre, die nach dem 15.07.2006 endeten bzw. noch enden, umgesetzt werden. (Für Unternehmen mit einer geringen Marktkapitalisierung von weniger als 75 Mio. US$ ist der Stichtag der 15.07.2007)[1]
Viele Unternehmen haben aus Zeit- und Ressourcenmangel zunächst in einem Kraftakt die geforderten Kontrollen manuell umgesetzt. In den nächsten Jahren wird es darum gehen, Sarbanes-Oxley Compliance sowie andere und neue Compliance-Anforderungen mit Hilfe eines nicht nur effektiven, sondern auch effizenten internen Kontrollsystems zu erfüllen.[2]
Um dieses Kontrollsystem und Hilfestellung für die Umsetzung im Unternehmen durch verschiedene Frameworks geht es in dieser Arbeit.
Im Rahmen dieser Arbeit soll untersucht werden, welche Governance-Frameworks Unterstützung für Compliance mit Sarbanes-Oxley liefern können.
Zunächst werden in Kapitel 2 der Sarbanes-Oxley Act und dessen Anforderungen vorgestellt. Die besondere Herausforderung für die Umsetzung im Unternehmen liegt hier in den Anforderungen der Section 404, die ein effektives internes Kontrollsystem der Finanzberichterstattung erfordern. Zur Unterstützung bei dieser Aufgabe stehen unterschiedliche Governance Frameworks mit jeweils unterschiedlichen Zielsetzungen bereit.
Im nächsten Kapitel 3 werden verschiedene Governance-Frameworks, die Unternehmen bei der Gestaltung ihres internen Kontrollsystems zur Sarbanes-Oxley Compliance helfen können, erklärt. Aufgrund ihrer Relevanz für Sarbanes-Oxley Compliance werden die vier Frameworks COSO, COBIT, ITIL und CMMI ausführlich dargestellt.
Das folgende Kapitel 4 enthält dann den Kern dieser Arbeit: Die vier im vorherigen Kapitel dargestellten Frameworks werden anhand von Anforderungen, die sich aus der Sarbanes-Oxley Compliance ergeben, untersucht und miteinander verglichen. Es wird dargestellt, welches Framework welche Aufgaben im Compliance-Prozess übernehmen kann, und wie sich die Frameworks gegenseitig ergänzen können.
In Kapitel 5 wird dann das Fazit gezogen, die gewonnenen Erkenntnisse werden zusammengefasst und in einer Übersicht dargestellt.
Der Sarbanes-Oxley Act wurde 2002 als Reaktion auf Finanzskandale in den USA durch den US-Kongress verabschiedet. Er soll Leitlinien für gute Unternehmensführung (Corporate Governance) verbindlich machen und somit den Schutz der Anleger stärken.
Das Gesetz gilt für alle Unternehmen, deren Wertpapiere öffentlich in den USA gehandelt werden, auch für ausländische Unternehmen und im Ausland ansässige Töchter von betroffenen Unternehmen.
Zum Teil sind Regelungen im Gesetz enthalten, zum Teil sollen sie durch die Securities and Exchange Commission (SEC) durch Final Rules (Rechtsverordnungen) konkretisiert werden.[3]
Das PCAOB (Public Company Accounting Oversight Board) ist eine Aufsichtsbehörde über die Rechnungslegung, bei der sich alle Wirtschaftsprüfer registrieren lassen müssen, die betroffene Unternehmen prüfen. Das PCAOB soll ergänzend zum SOA Bestimmungen zu einheitlichen Standards erlassen.[4]
Die einzelnen Sections sind
I. Public Company Accounting Oversight Board (PCAOB)
II. Auditor Independence
III. Corporate Responsibility
IV. Enhanced Financial Disclosure
V. Analyst Conflicts of Interest
VI. Commission Resources and Authority
VII. Studies and Reports
VIII. Corporate and Criminal Fraud Accountability
IX. White-Collar Crime Penalty Enhancements
X. Corporate Tax Returns
XI. Corporate Fraud Accountability[5] Neben Regelungen über Verantwortlichkeiten und Strafvorschriften ist die für Unternehmen aufwendigste Anforderung in "IV. Enhanced Financial Disclosure" enthalten: in Section 404 geht es um das interne Kontrollsystem der Finanzberichterstattung. Dieses Kontrollsystem wird im nächsten Abschnitt erklärt. Das interne Kontrollsystem nach Section 404
Der Prüfungsstandard 260 des IDW (Institut der Wirtschaftsprüfer in Deutschland) definiert das interne Kontrollsystem folgendermaßen:
"Das interne Kontrollsystem besteht aus Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem).
Das interne Überwachungssystem beinhaltet prozessintegrierte (organisatorische Sicherungsmaßnahmen, Kontrollen) und prozessunabhängige Überwachungsmaßnahmen, die vor allem von der Internen Revision durchgeführt werden."[6]
Etwas detaillierter ist die Definition des SEC (Securities and Exchange Act):
Das interne Kontrollsystem ist "...ein von CEO und CFO eingerichteter Prozess, der die Ordnungsmäßigkeit der Finanzberichterstattung und damit die Erstellung der Abschlüsse gemäß Rechnungslegungsvorschriften sicherstellt.
Dazu zählen alle Richtlinien und Verfahren, die gewährleisten, dass
- Unterlagen und Aufzeichnungen die Geschäftsvorfälle und die Vermögenswerte richtig, zutreffend und ausreichend abbilden,
- alle für die Erstellung der Finanzberichterstattung relevanten Geschäftsvorfälle erfasst sind,
- Zugriff auf Vermögenswerte des Unternehmens nur mit Genehmigung durch das Management möglich ist,
- der unrechtmäßige Erwerb, die unrechtmäßige Verwendung sowie Übertragung von Vermögensgegenständen mit einer möglicherweise wesentlichen Auswirkung auf die Finanzberichterstattung verhindert oder zeitnah aufgedeckt werden."[7]
Die Umsetzung der Sarbanes-Oxley Anforderungen erfordert die Dokumentation und Bewertung der Effektivität von allen Kontrollen im Unternehmen, die Einfluss auf die Finanzberichterstattung haben.
Das Management eines Unternehmens
- ist verantwortlich für die Einrichtung und Überwachung eines internen Kontrollsystems der Finanzberichterstattung
- muss dem Jahresabschluss eine Bewertung der Effektivität des internen Kontrollsystems der Finanzberichterstattung beifügen.[8]
Das PCAOB hat den Auditing Standard No. 2 veröffentlicht, der die Anforderungen an die Prüfung des internen Kontrollsystems der Finanzberichterstattung enthält.
Der Standard richtet sich an den Abschlussprüfer und stellt Anforderungen an die Prüfungen:
- der Finanzberichterstattung eines Unternehmens
- der Beurteilung der Effektivität des internen Kontrollsystems der Finanzberichterstattung durch das Management des Unternehmens[9]
Daher sind die Vorschriften des Auditing Standard No. 2 indirekt auch für Unternehmen bindend, die die enthaltenen Kriterien erfüllen müssen.
Es gibt viele verschiedene Frameworks, die Unternehmen zur Verbesserung ihrer Prozesse und Strukturen zur Verfügung stehen. Zur Compliance mit Sarbanes-Oxley kommen alle Frameworks in Frage, die bei der Einführung eines internen Kontrollsystems nach Section 404 des Sarbanes-Oxley Act Unterstützung leisten können.
Am häufigsten erwähnt werden folgende Frameworks / Modelle[10]:
Abbildung in dieser Leseprobe nicht enthalten
Im Folgenden wird jedes dieser Frameworks kurz vorgestellt und der jeweilige Nutzen für das interne Kontrollsystem der Finanzberichterstattung nach Section 404 Sarbanes-Oxley Act dargestellt.
Aufgrund ihrer besonderen Relevanz für Sarbanes-Oxley werden die die vier Frameworks COSO, COBIT, ITIL und CMMI ausführlicher erklärt, während ISO 9001, ISO 17799 und SixSigma nur kurz erwähnt werden.[11]
COSO bedeutet "Committee of Sponsoring Organisations of the Treadway Commission". Diese Kommission ist eine Initiative amerikanischer Wirtschaftsinstitute, die im Rahmen einer Studie Unzulänglichkeiten in internen Kontrollsystemen von Unternehmen feststellten und als Lösung das COSO-Framework als Basis für interne Kontrollsysteme entwickelten.[12]
Die COSO-Kommission hat unter anderem das "Internal Control - Integrated Framwork" veröffentlicht, welches zur Compliance mit Sarbanes-Oxley genutzt wird.
COSO definiert interne Kontrolle als einen Prozess, der von Vorstand, Management und Mitarbeitern durchgeführt wird. Dieser Prozess soll die Zielerreichung in den verschiedenen Unternehmensbereichen sicherstellen.[13]
Das Ziel des COSO-Frameworks ist ein effektives internes Kontrollsystem, welches die Qualität der Finanzberichterstattung sicherstellt.
Abbildung in dieser Leseprobe nicht enthalten
COSO unterscheidet fünf Komponenten des internen Kontrollsystems, die gemeinsam die Zielerreichung sichern:
- Control Environment (Kontrollumfeld)
Das Kontrollumfeld umfasst die Unternehmenskultur, ethische Werte und weitere Faktoren in der Beziehung zwischen Mitarbeitern, Management und Aufsichtsrat. Ein schlechtes Kontrollumfeld kann zu unerwünschten Verhaltensweisen ermutigen.
- Risk Assessment (Risikobeurteilung)
Eine Risikobeurteilung setzt die Definition von Zielen voraus. Risiken, die die Zielerreichung verhindern könnten, werden dann auf ihre Eintrittswahrscheinlichkeit und ihre möglichen Auswirkungen hin untersucht und beurteilt.
- Control Activities (Kontrollaktivitäten)
Es werden die Maßnahmen kontrolliert, die den vorher definierten Risiken begegnen sollen. Die Kontrollaktivitäten werden beschrieben durch Grundsätze (Aufgabe der Kontrolle) und Verfahren (Durchführung der Kontrolle).
- Information and Communication (Information und Kommunikation)
Funktionierende Informations- und Kommunikationswege sind Voraussetzung dafür, dass die Informationen des internen Kontrollsystems dem Management zur Verfügung stehen.
- Monitoring (Überwachung)
Das interne Kontrollsystem muss selbst überwacht werden, damit es kontinuierlich an wechselnde Rahmenbedingungen angepasst werden kann.[14]
Es werden drei verschiedene Zielkategorien unterteilt: Operations, Financial Reporting und Compliance. Zur Bewertung der Kontrolleffektivität muss analysiert werden, ob die Kontrollen die zuvor definierten Ziele erreichen können.
- Operations
Im Bereich der Geschäftstätigkeit soll das interne Kontrollsystem Effektivität und Effizienz der Prozesse gewährleisten. Nicht alle operationalen Kontrollen sind relevant für die Anforderungen des Sarbanes-Oxley Act und müssen hierfür nicht berücksichtigt werden.
- Financial Reporting
Die Geschäftsführung muss sich auf die Richtigkeit der rechnungsrelevanten Aussagen in Berichten verlassen können. Das interne Kontrollsystem soll diese Verlässlichkeit sicherstellen.
- Compliance
Die Compliance-Kontrollen sollen die Einhaltung von Gesetzen und Vorschriften sicherstellen. Die relevanten Gesetze und Vorschriften sind abhängig von Branche und Umfeld des Unternehmens. Die Compliance-Kontrollen gehen ebenfalls zum Teil über die Anforderungen des Sarbanes-Oxley Act hinaus.
Die Bewertung der Kontrolleffektivität erfolgt dann in zwei Schritten:
1. Design Effectiveness
Die Gestaltung der Kontrolle wird unabhängig von der tatsächlichen Ausführung bewertet.
2. Operating Effectiveness:
Es wird bewertet, inwieweit die Kontrolle die Ziele tatsächlich erreicht.[15]
Das COSO-Framework unterstützt Unternehmen beim Aufbau eines internen Kontrollsystems, welches die Anforderungen der Section 404 des Sarbanes-Oxley Act erfüllt. COSO nimmt hierbei eine ganzheitliche, übergreifende Perspektive ein.
Der Auditing Standard No. 2 des PCAOB bezieht sich auf COSO und empfiehlt dessen Verwendung zur Einführung des internen Kontrollsystems.
[...]
[1] Vgl. Menzies, Sarbanes-Oxley und Corporate Compliance, S. 17 f.
[2] Vgl. Worthen, Ben: How to dig out from under Sarbanes Oxley
[3] Vgl. zu diesem Abschnitt Menzies, Sarbanes-Oxley Act, S. 13
[4] Vgl. Menzies, Sarbanes-Oxley Act, S. 15 f.
[5] Vgl. Sarbanes-Oxley Act S. 1f.
[6] IDW German Auditing Standards, S. 280 (PS 260)
[7] Menzies: Sarbanes-Oxley Act, S. 45 f.
[8] Vgl. zu diesem Abschnitt: Sarbanes-Oxley Act Section 404
[9] Vgl. PCAOB Auditing Standard No. 2 S. 151
[10] Vgl. z.B. Lathi / Peterson: Sarbanes-Oxley IT Compliance, S. 34; Kamleiter, Jürgen: Business IT Alignment mit ITIL, COBIT, RUP; ITIG: Cobit Mapping; MKS: www.mks.com/solutions/compliance; Pink Elephant: IT Governance unraveled, S. 9; Mercury: www.mercury.com/us/solutions/governance/sox/process-control-frameworks/
[11] Der Nutzen für Sarbanes-Oxley Compliance wird jeweils im letzten Punkt des Unterkapitels dargestellt
[12] Vgl. Menzies, Sarbanes-Oxley Act, S. 74-80
[13] Vgl. COSO: www.coso.org/key.htm
[14] Vgl. zu diesem Abschnitt Menzies, Sarbanes-Oxley Act, S. 74-80
[15] Vgl. zu diesem Abschnitt Menzies, Sarbanes-Oxley Act, S. 91-100
