Post on 15-Aug-2019
1© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Anforderungen aus Sarbanes Oxley- Änderungen Audit Standard 5 –
- Europäische Regelungen -
Heilbronn, April 2008
2© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Agenda
1. Was ist der Sarbanes Oxley Act – was ist neu?
2. Beratungsansatz Sarbanes-Oxley 404
3© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
30. Juli 2002
29. August 2002
Okt. 2002 – Jan. 2003
Januar - Juli 2003
26. April 2003
22. Oktober 2003
19. April 2004
15. November 2004
15. Juli 2006
Präsident Bush unterzeichnet den SOX
SEC erlässt Anwendungsbestimmungen zur Umsetzung von SOX 302
SEC schlägt Anwendungsbestimmungen zur Implementierung verschiedener Bestimmungen des SOX
SEC veröffentlicht Anwendungsbestimmungen zur Umsetzung der zentralen Bestimmungen des SOX
Gründung des Public Company Accounting Oversight Board (PCAOB)
Registrierungszeitpunkt für alle US-WP-Gesellschaften beim PCAOB
Registrierungszeitpunkt für ausländische WP-Gesellschaften beim PCAOB
Erstmalige Anwendbarkeit SOX 404 auf US-Unternehmen
Erstmalige Anwendbarkeit SOX 404 auf ausländische Unternehmen
Chronologie des Sarbanes-Oxley Act
4© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Securities Act(1933)
Securities Act(1934)
SOX (2002)
Ziel: Wiederherstellung des Vertrauens der Investoren durch neue Regelungen zur Offenlegung und Corporate Governance
1. Disclosure Kontrollen und Interne Kontrollen2. Audit Komitee3. Public Accounting Oversight Board 4. Prüfungsqualität und Unabhängigkeit
Fokus:
Ziel: Ziel:
Fokus:
Fokus:
Schutz der Investoren durch Registrierung von Wertpapieren (FK/EK) sowie Festlegung von Mindestinformationsanforderungen bei der Emission von Wertpapieren
1. Definition der Wertpapiere, die bei der SEC registriert werden müssen
2. Definition der Prospekt-information
3. Definition der SEC Emissionsinformationen
Schutz der Investoren durch Registrierung der Wertpapieremittenten und periodische Berichterstattung
1. Definition relevanter Emittenten sowie der Berichterstattung (10-K, 10-Q, 8-K, etc.)
2. Anti-Fraud-Bestimmungen für Käufer und Verkäufer von Wertpapieren (Insidergeschäfte)
3. Regelungen zur Übertragung von Stimmrechten
4. Offenlegungspflichten bei Aktienübernahmen
SOX und US-Kapitalmarktgesetze
5© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Disclosure Kontrollen und Interne Kontrollen
• Regelungen zum Bereich der Internen Kontrollen im Rahmen des Financial Reportings
• Regelungen zu Disclosure Kontrollen
• Weitere Regelungen
Audit Committee
• Unabhängigkeit und Qualifikation der Mitglieder des Revisionskomitees
• Durchführung der Arbeit des Revisionskomitees
• Verantwortlichkeiten des Audit Komitees
PCAOB
• Aufgabe des PCAOB
• Verantwortlichkeiten des PCAOB
• Pflichten der beim PCAOB registrierten WP-Gesellschaften
Prüfungsqualität und Unabhängigkeit
• Verbot bestimmter Nicht-Prüfungs-leistungen
• Regelungen zur Sicherstellung der Prüfungsqualität
• Prüferrotation und weitere Bestimmungen
SOX aus der Sicht des Unternehmens SOX aus der Sicht des WP
Inst
itu
tio
nen
Reg
eln
/Ver
antw
ort
lich
keit
Die vier Eckpunkte des SOX
6© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Anforderung Auswirkung
103 Audit Record Retention and Security201 Monitoring and Pre-Approval of Non-Audit
Services301 Audit Committee Monitoring and Complaint/Issue
Process306 Monitoring and Prevention of Insider Trading 401 Financial Reporting Disclosure402 Monitoring and Prevention of Personal Loans to
Executives
403 >10% Ownership Disclosures Within Two Business Days
406 Code of Ethics Creation and Disclosure407 Disclosure of Financial Expertise on the Audit
Committee408 Facilitation of SEC Reviews501 Security Analyst Monitoring and Disclosure806 Whistle Blower Communications and Response906 Certifications by CEO and CFO subject to criminal
penalties1102 Record Retention and Security
Andere verpflichtende Anforderungen:
CEO and CFO Certification of Periodic SEC Filings302
404
409
802 Retention and Protection of Audit Documents and Related Records
Implementierung einer digitalen Archivierung von Aufzeichnungen, inkl. Schriftverkehr und Emails.
Sek
tione
n(S
ectio
ns)
Verletzungen der Sorgfaltspflicht, die zurStrafverfolgung von leitenden Angestellten führenkönnen, müssen identifiziert und beseitigt werden.
CEO & CFO Certification of Internal Controls With Auditor Attestation
Erfordert permanente Dokumentation, Evaluierung, Test und Verbesserung von Kontrollen des externenFinancial Reportings.
Rapid and Current Basis Disclosureof Financial and Operating Events
Systematische und permanente Überwachung, Prävention und Offenlegung von materiellenVeränderungen.
Sarbanes-Oxley - Überblick
7© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Sektion 302 fordert vom CEO und CFO der Gesellschaft, quartalsweise sowie jährlich zu bestätigen, dass sie:
� hinsichtlich aller wesentlichen Sachverhalte keine falschen Aussagen getroffen haben oder einen wesentlichen Sachverhalt nicht erwähnt haben
� die im Abschluss sowie in sonstigen veröffentlichten Unterlagen enthaltenen Angaben in allen wesentlichen Aspekten richtig dargestellt haben
� für die Prozesse und Kontrollen hinsichtlich des Zustandekommens der Angaben verantwortlich sind
� die Kontrollverfahren so aufgebaut haben, dass ihnen alle wesentlichen Informationen bekannt geworden sind
� die Beurteilung der Wirksamkeit der Disclosure Kontrollen am Ende der jeweiligen Periode durchgeführt haben
� gegenüber dem Audit Komitee sowie dem WP alle Fälle wesentlicher Kontroll-defizite sowie Betrugsfälle (Unterschlagungen etc.) dargelegt haben
� in den zu veröffentlichenden Unterlagen die wesentlichen Änderungen in den internen Kontrollverfahren beschrieben haben
Gültig ab:
29. August 2002
SOX 302 – Disclosure Kontrollen
Disclosure Kontrollen und Interne Kontrollen
• Regelungen zum Bereich der internen Kontrollen sowie der Disclosure Kontrollen (d.h. Kontrollen hinsichtlich des Zustande -kommens aller gemäß den SEC -Regeln notwendigen Veröffentlichungen)
• Sonstige Regelungen
Audit Committee
• Regelungen zur Unabhängigkeit und Qualifikation der Mitglieder des A uditCommittee
• Regelungen zur Durchführung der Arbeit des Audit Committee
• Verantwortlichkeiten des Audit C ommittee
Public Accounting Oversight Board
• Zweck des PCAOB
• Verantwortlichkeiten des PCAOB
• Pflichten der beim PCAOB registrierten Wirtschaftsprüfungsgesellschaften
Prüfungsqualität und Unabhängigkeit
• Verbot, bestimmte Nicht -Prüfungs -leistungen zu erbringen
• Regelungen zur Sicherstellung der Prüfungsqualität
• Neue Prüfungsanforderungen innerhalb des SOX
SOX aus der Sicht des Unternehmens SOX aus der Sicht des WP
IInst
itu
tio
nen
Reg
eln
/Ver
antw
ort
lich
keit Disclosure Kontrollen und Interne
Kontrollen• Regelungen zum Bereich der internen
Kontrollen sowie der Disclosure Kontrollen (d.h. Kontrollen hinsichtlich des Zustande -kommens aller gemäß den SEC -Regeln notwendigen Veröffentlichungen)
• Sonstige Regelungen
Audit Committee
• Regelungen zur Unabhängigkeit und Qualifikation der Mitglieder des A uditCommittee
• Regelungen zur Durchführung der Arbeit des Audit Committee
• Verantwortlichkeiten des Audit C ommittee
Public Accounting Oversight Board
• Zweck des PCAOB
• Verantwortlichkeiten des PCAOB
• Pflichten der beim PCAOB registrierten Wirtschaftsprüfungsgesellschaften
Prüfungsqualität und Unabhängigkeit
• Verbot, bestimmte Nicht -Prüfungs -leistungen zu erbringen
• Regelungen zur Sicherstellung der Prüfungsqualität
• Neue Prüfungsanforderungen innerhalb des SOX
SOX aus der Sicht des Unternehmens SOX aus der Sicht des WP
IInst
itu
tio
nen
Reg
eln
/Ver
antw
ort
lich
keit
8© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Jeder Financial Report muss einen Bericht über die vorhandenen Internen Kontrollen mit folgenden Punkten enthalten:
� Erklärung über die Verantwortung des Managements hinsichtlich der Einrichtung und Aufrechterhaltung angemessener interner Kontrollstrukturen und -aktivitäten für das Financial Reporting
� Erklärung zu den Ergebnissen der vom Management durchgeführten Wirksamkeitsprüfung
� WP-Bericht über die Prüfung der Erklärungen des Managements
Ziel der Sektion 404 ist die Verpflichtung der Unternehmen, Prozesse zu implementieren, die folgende zentralen Elemente abdecken:
� angemessene Genehmigungsverfahren für Geschäftsvorfälle
� Schutz des Gesellschaftsvermögens gegen unerlaubte Vermögensschädigungen
� Korrekte Erfassung der Geschäftsvorfälle der Gesellschaft und Berichterstattung in Übereinstimmung mit den geltenden Rechnungslegungsvorschriften
Gültig ab:
US-Unternehmen:
15. November 2004
US-Kleinunternehmen /Nicht-US-Unternehmen:
15. Juli 2006
SOX 404 –Kontrollen Financial Reporting
Disclosure Kontrollen und Interne Kontrollen
• Regelungen zum Bereich der internen Kontrollen sowie der Disclosure Kontrollen (d.h. Kontrollen hinsichtlich des Zustande -kommens aller gemäß den SEC -Regeln notwendigen Veröffentlichungen)
• Sonstige Regelungen
Audit Committee
• Regelungen zur Unabhängigkeit und Qualifikation der Mitglieder des A uditC ommittee
• Regelungen zur Durchführung der Arbeit des Audit Committee
• Verantwortlichkeiten des Audit Committee
Public Accounting Oversight Board
• Zweck des PCAOB
• Verantwortlichkeiten des PCAOB
• Pflichten der beim PCAOB registrierten Wirtschaftsprüfungsgesellschaften
Prüfungsqualität und Unabhängigkeit
• Verbot, bestimmte Nicht -Prüfungs -leistungen zu erbringen
• Regelungen zur Sicherstellung der Prüfungsqualität
• Neue Prüfungsanforderungen innerhalb des SOX
SOX aus der Sicht des Unternehmens SOX aus der Sicht des WP
IInst
itu
tio
nen
Reg
eln
/Ver
antw
ort
lich
keit Disclosure Kontrollen und Interne
Kontrollen• Regelungen zum Bereich der internen
Kontrollen sowie der Disclosure Kontrollen (d.h. Kontrollen hinsichtlich des Zustande -kommens aller gemäß den SEC -Regeln notwendigen Veröffentlichungen)
• Sonstige Regelungen
Audit Committee
• Regelungen zur Unabhängigkeit und Qualifikation der Mitglieder des A uditC ommittee
• Regelungen zur Durchführung der Arbeit des Audit Committee
• Verantwortlichkeiten des Audit Committee
Public Accounting Oversight Board
• Zweck des PCAOB
• Verantwortlichkeiten des PCAOB
• Pflichten der beim PCAOB registrierten Wirtschaftsprüfungsgesellschaften
Prüfungsqualität und Unabhängigkeit
• Verbot, bestimmte Nicht -Prüfungs -leistungen zu erbringen
• Regelungen zur Sicherstellung der Prüfungsqualität
• Neue Prüfungsanforderungen innerhalb des SOX
SOX aus der Sicht des Unternehmens SOX aus der Sicht des WP
IInst
itu
tio
nen
Reg
eln
/Ver
antw
ort
lich
keit
9© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Anforderungen aus SOX 404 Alle Kontrollen, die im Zusammenhang mit der Erstellung des Financial Reporting dazu beitragen, ein den tatsächlichen Verhältnissen entsprechendes Bild des Unternehmens im Einklang mit US-GAAP zu vermitteln
Anforderungen aus SOX 302
Kontrollen, die sicherstellen, dass Reportinginhalte in Übereinstimmung mit SEC -Vorschriften erfasst, verarbeitet und berichtet werden, um somit ein reales Bild der Unternehmenslage zu liefern
Disclosure Controls
Laws and Regulations
Operations
Financial Controls
Zusammenspiel von SOX 302 und 404
COSO FrameworkInterne Kontrollen zurSicherstellung:
• der Zuverlässigkeit des Financial Reporting
• der Effektivität und Effizienz der betrieblichen Prozesse
• der Übereinstimmung mit geltenden Gesetzen und Vorschriften
10© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Der Kontrollrahmen: COSO
Die Verpflichtung auf Rahmenvorgaben für das Interne Kontrollsystem ist ein neuer Aspekt
Prozess zur Sicherstellung der zeitnahen Identifikation
und Kommunikation von relevanten Informationen –
inkl. Reporting System, Kommunikation,
Whistleblower Prozess.
Beurteilung von internen und externen Faktoren, die
die Performance der Organisation beeinflussen.
Prozess zur Feststellung der hinreichenden Ausgestaltung und Durchführung der Internen Kontrollen, inkl. Governance, Monitoring, IT Audits.
Richtlinien und Methoden zur Sicherstellung eines zeitnahen Risikomanagements – inkl. Anwendung, Security, Infrastruktur & Integritätskontrollen.
Das Kontrollleitbild einer Organisation “tone at the top”beinhaltet ‘code of ethics’, Richtlinien, Verantwortung, Organisationsstruktur.
11© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Beispiel: Bestellung – Buchung – ZahlungProcess / Entity Level Controls
Bestellungsmenge=
Liefermenge
Wareneingang=
Rechnung
Buchungs-erfassung
Rech-nungs-prüfung
Waren-eingang
Bestell-über-wachung
BestellungAuftrags-erteilung
Bestellan-forderung
Ange-bots-prüfung
Bestellung
Zahlungs-vorschlag
Zahlungs-ausgang
Buchung=
Rechnung
Buchung =Rechnung =
Zahlung
Lieferschein Rechnung Buchungs-beleg
Zahlungs-liste
Zahlungs-beleg
Angebot
Lieferanten
Bestellartikel KonditionenFirmen- /
AdressdatenBankverbindung
Lieferanten-bewertung
Kontrolle Stamm-datenänderung
Lieferant, Artikel freigegeben
Konditioneneingehalten
Anschrift / Firmakorrekt
Bankverbindungkorrekt
Stammdaten-kontrollen
Prozess-kontrollen
Unternehmens-kontrollen
Abteilung/Kosten-stellen
Budgetüber- / -unterschreitung
Warengruppe
Abweichung vom Vorjahr / Budget
Lieferant
Abweichung vom Vorjahr / Budget
Lieferant / Warengruppe
Dominanz
12© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
ZusammenfassungMaßnahmen für effiziente Kontrollsysteme
• Verwendung eines ‚Control Frameworks‘ als Benchmark / Leitfaden schafft Struktur, Orientierung und Transparenz
• Konsequente Ausrichtung des internen Kontrollsystems an Risiken in Prozessen
• Verwendung von Kontrollen auf Unternehmensebene wo dies durch die Risikosituation und / oder die Zuverlässigkeit von Prozessen möglich ist
• Verwendung von präventiven Kontrollen erspart Nacharbeit
• Umsetzung von Kontrollen in der IT (Berechtigungen / Customizing) bringt Zuverlässigkeit und Aufwandsreduzierung – Achtung: keine ‚Automated Controls‘um jeden Preis !
• Einsatz von Datenanalysen mittels Tool bringt zusätzlich Kontrollsicherheit und unterstützt die Fokussierung weiterer Prüfungshandlungen
• Unterstützung der Revision im Monitoring durch automatisiertes Monitoring undalternative Methoden (Self Assessment) schafft höhere Präsenz von Kontrollen und verringert den Aufwand
13© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Häufige Erwartungshaltung in deutschen UnternehmenDas vorhandene Risikomanagement erfüllt die SOX Anforderungen
AnsatzZu Projektbeginn wird das Risk Management einem Compliance Check unterzogen
Lessons LearnedBestehende Risikomanagementsysteme erfüllen nicht die SOX-Anforderungen
Am häufigsten fehlen in deutschen Unternehmen:
� Eine Definition der "Significant Controls"
� Definition und Anwendung eines zugelassenen Standards (z.B. COSO)
� Vorkehrungen / Möglichkeiten zur jährlichen Überprüfung aller "Significant Controls"
� Vollständige Dokumentation von Kontrollzielen und Kontrollaktivitäten für die betroffenen Prozesse
Deloitte-Guidance: Ist-Analyse
14© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Agenda
1. Was ist der Sarbanes Oxley Act – was ist neu?
2. Beratungsansatz Sarbanes-Oxley 404
15© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
CEO/CFO
Erklärung
DisclosureKomitee
WP Audit
Komitee
Durchsicht Compliance -Reports
Diskussion Disclosure-Themen
Prüfung Interne Überwachung
Diskussion Kontrollstandards
Unternehmenseinheiten
Zusammenführung der Berichterstattung
Koordination des Self-Assessment
Zuordnung Kontrolle/Verantwortlichkeit pro Prozess
Kontrollverantwortliche pro Prozess
Durchführung des Self-Assessment
Berichterstattung über Self-Assessment
Report on Self-assessment (standardized)
Anstoßen von Diskussionen zu Handlungsbedarfen und zur Weiterentwicklung des Control Designs
Sta
nd
ard
Set
tin
g:
To
p d
ow
n
Sel
f-A
sses
smen
t: B
ott
om
up
• Definition der internen Kontroll-umgebung/desKontrollkonzeptes
• Auswahl relevanter Unternehmens-einheiten
• Definition der wesentlichen Prozesse
• Definition von Referenzprozessen und -kontrollen
• Festlegung des Self-Assessment-Prozesses
• Zusammenführender Ergebnisse des Self-Assessment und regelmäßige Berichterstattung
• Durchführung des Self-Assessment
• Übernahme des "Top-down-Ansatzes" und ggf. Anpassung an spezifische Gegebenheiten
Sarbanes Oxley Readyness Projekt
Top Down / Bottom Up Approach
© 2007 IIR Deutschland GmbH Autor: Andreas Herzig
Gesetzliche Grundlagen und Prüfungsverfahren
Eine Herausforderung für multinationale Unternehmen: Deutsche / Europäische Corporate Governance
und Sarbanes Oxley
17© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Agenda
1. Corporate Governance in Europa – Überblick
2. Möglichkeiten proaktiven Handelns
3. Erfolgsfaktoren bei der Umsetzung
4. Tools
18© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Corporate Governance – was ist das?
“Corporate Governance bezieht sich auf die internen Instrumente mit denenUnternehmen gesteuert und überwacht werden. Obwohl Regierungen einezentrale Rolle in der Schaffung des gesetzlichen, institutionellen und regulatorischen Rahmens spielen, in dem indi-viduelle Corporate Governance Systeme der Unternehmen entwickelt werden, liegt die Hauptverantwortung im privaten Sektor” (OECD)
“Corporate Governance beschreibt des gesetzliche und faktische regulatorischeRahmenwerk zur Steuerung und Überwachung eines Unternehmens” (Germany)
“Corporate Governance ist das System mittels dessen Unternehmen gesteuertund überwacht werden” (United Kingdom)
“Ein Verhaltenskodex für die mit dem Unternehmen in Zusammen-hang stehenden Personen – insbesondere Führungskräfte, Aufsichts-ratmitglieder und Investoren – bestehend aus einem Sortiment von Regeln für einsolides Management und die korrekte Überwachung sowie für die Teilung von Pflichten, Verantwortlichkeiten und Befugnissen, die auf ein ausgewogenesGleichgewicht des Einflusses aller beteiligten Personen einwirken”(The Netherlands)
19© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Elemente der Corporate Governance
Corporate Governance
• Unabhängigkeit
• Haftung
• Entlohnung
• Schutz
• Rechte
• Beteiligung
• Unabhängigkeit
• Haftung
• Verantwortung
• Unabhängigkeit
Abschlussprüfer Überwachungsorgane
Top ManagementAnteilseigner
• Interne Kontrollen und Risikomanage-ment
• Transparenz und Verfügbarkeit rele-vanter Informationen
• Zuordnung von Befugnissen
Organisatorische Aspekte
20© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Je weiter der räumliche Fokus einer Corporate Gover-nance Initiative, desto unbestimmter sind die Vorgaben
Globale / InternationaleCorporate Governance Initiativen
EuropäischeCorporate Governance Initiativen
LänderspezifischeCorporate Governance Initiativen
Internationale CG Initiativen geben generelle Richtlinien im Sinne eines Rahmens für länderspezifische Regelungen vor.
Europäische CG Initiativen zielen auf:• Angebot einer gemeinsamen Informa-
tionsplattform für die EU-Mitgliedsstaaten • Gegengewicht zu US-Initiativen• Herstellung von Kompatibilität zwischen
den CG Codes der Mitgliedsstaaten
Länderspezifische CG Initiativenzielen auf:• Normen und Regeln für die beteiligten
Gruppen (Management, AR, Prüfer,…)• Verbesserung der nationalen
Kapitalmärkte
Herausgeber / Verbindlichkeit der Codes
21© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Gesetzliche Entwicklungen Corporate Governance in Deutschland hat diverse Quellen
• Corporate Governance Kodex (Cromme-Kommission)
• Flankierende gesetzgeberische Maßnahmen
− TransPuG (z.B. §161 AktG – Erklärung zum Corporate Governance Kodex)[Gesetz zur weiteren Reform des Aktien- und Bilanzrechts, zu Transparenz und Publizität]
− BilKoG (Enforcement-Gesetz, Deutsche Prüfstelle für Rechnungslegung, BaFin)[Gesetz zur Kontrolle von Unternehmensabschlüssen]
− BilReG (Mod. Bilanzierungsrecht, Lagebericht, Berichterstattung WP, Unabhängigkeit)[Gesetz zur Einführung internationaler Rechnungslegungsstandards und zur Sicherung der Qualität der Abschlussprüfung]
− UMAG (Erleichterte Klagen g. Unternehmensorgane / Erschwerung von Missbrauch)[Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts]
− TUG (Meldepflichten bei Anteilserwerb, Bilanzeid, direkte Strafandrohung für Vorstand)
− [Transparenzrichtlinien-Umsetzungsgesetz]
− ….
• Rechtsprechung
22© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
EU-Regelungen (Zusammenfassung)
8. EU Richtlinie (Umsetzung bis 29.6.2008)
Es handelt sich um die sogen. „Abschlussprüferrichtlinie“
Fokussierung auf Harmonisierung und Qualitätssicherung der Abschlussprüfung
Art. 41:Zu den Aufgaben des Prüfungsausschusses gehört die Überwachung der Wirksamkeit des internen KontrollsystemsDer Abschlussprüfer berichtet dem Prüfungsausschuss über wesentliche Schwächen des internen Kontrollsystem im Rechnungslegungsprozess
Änderungen der 4./7. EU Richtlinie (Umsetzung bis 5.9.2008)
Bestimmte Unternehmen (börsennotiert am geregelten Markt gemäß EU Definition) nehmen im Lagebericht eine Beschreibung der wichtigsten Merkmale des internen Kontroll- und des Risikomanagementsystems der Gesellschaft im Hinblick auf den Rechnungslegungsprozess auf
23© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Gesetzliche Grundlagen Fokus auf: 8. EU-Richtlinie / Artikel 41
� Artikel 41 der Richtlinie 2006/43/EG vom 17. Mai 2006 überAbschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen
- Jedes Unternehmen von öffentlichem Interesse hat einen Prüfungsausschuss.- …, besteht die Aufgabe des Prüfungsausschusses unter anderem darin,
- den Rechnungslegungsprozess zu überwachen;- die Wirksamkeit des internen Kontrollsystems, gegebenenfalls des
internen Revisionssystems, und des Risikomanagementsystems desUnternehmens zu überwachen;
- die Abschlussprüfung des Jahres- und des konsolidierten Abschlusses zu überwachen;
- die Unabhängigkeit des Abschlussprüfers …, insbesondere die von diesen für das geprüfte Unternehmen erbrachten zusätzlichen Leistungen, zu überprüfen und zu überwachen
- Abschlussprüfer … berichten dem Prüfungsausschuss über die wichtigsten bei der Abschlussprüfung gewonnenen Erkenntnisse, insbes. über wesentliche Schwächen bei der internen Kontrolle des Rechnungslegungsprozesses.
24© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Regelungen für die AbschlussprüfungAnforderungen der Wirtschaftsprüfer
• Stärkerer Fokus auf das interne Kontrollsystem
- Identifikation von Risikobereichen für den Jahresabschluss- Identifizieren wichtiger Kontrollen- Überprüfung, ob durch die Kontrollen die richtigen Risiken adressiert sind- Überprüfung der Kontrollen auf Funktionsfähigkeit- Berücksichtigung von automatischen und organisatorischen Kontrollen- Prüfung der General Computer Controls- Berücksichtigtung der COSO-Ebenen in der Prüfung
• Kritische Durchsicht des Buchungsstoffes – Journal Entry Testing- Identifizieren kritischer Bereiche- Datenabzug aus dem Buchführungsystem- Durchführen von Standardtests und individuellen Tests- Übergabe von Verdachtsfällen an Revision, Management oder Aufsichtsgremien
• Kritisches Hinterfragen der Einstellung des Managements zu Fraud (z.B. Management Override) sowie der eingeführten Maßnahmen zur Fraud-Prophylaxe
25© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Kontrollsystem/RisikomanagementElemente des Regelsystems
Sec. 404 (b) SOA; AS No. 2 des
PCAOB
AS No. 2 des PCAOB, Tz. 24 f. (indirekt);
Art. 41 II rev. 8. EU-RiLi
Sec. 404 (a) (1) SOA(indirekte Feststellg.)
Internal Controlover Financial Reporting (ICFR)
n.a.- Allg. Überwachung
- Berichtsempfänger
Principal executive & financial officers gem.
Sec. 302 (a) SOA
DisclosureControls and Procedures
Kein Prüfungsgegen-stand; Teil der Prü-fungshandlungen,
soweit Rele-bezogen
siehe ebd.; Ziff. 5.3.2 DCGK (Kenntnis „inter-ner Kontrollverfahren“); Art. 41 II rev. 8. EU-RiLi
Allg. Leitungspflicht gem. § 76 I AktG; Ziff. 4.1.4 DCGK
Risikomanage-ment: Internes Kontrollsystem
Begrenzte Verpflichtung nach
§ 317 IV HGB
Allg Überwachungs-pflicht nach § 111 I
AktG; Ziff. 5.3.2 DCGK („Risikomanagement“)
Verpflichtung gem. § 91 II AktG;
Ziff. 4.1.4 DCGK
Risikomanage-ment: Risikofrüh-erkennungs-system
AbschlussprüferAufsichtsrat,
Audit CommitteeVorstand
26© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Komplexe Organisationen in multinationalen Unternehmen erschweren die Zuordnungvon Verantwortung für CG
Matrix: Managementverantwortung vs. rechtliche Verantwortung• Aufgrund der Trennung
von rechtlicher und faktischer Verantwor-tung ist CG oft nicht im Fokus von Bereichen oder Geschäftseinheiten
• Ein sog. Compliance System ermöglicht es, den jeweils Verant-wortlichen die relevan-ten Informationen zur Verfügung zu stellen.
• Das Compliance System integriert externe Anforderungen und die interne Phi-losophie zur Unterneh-mensüberwachung
Legal Entity A
Business Unit 3
USAUSA
Business Unit 1 X
Headquarters X X X
Business Unit 2 X
Business Unit 5 XX
Business Unit 4 XX
EUEU
The NetherlandsThe Netherlands FranceFrance GermanyGermany SpainSpain
Managerial view:
Legal view:
X
Legal Entity B Legal Entity C Legal Entity D
CG in multinationalen Unternehmen
27© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Internationale Entwicklungen
• Japan SOX (under discussion):– Control Framework verpflichtend– Abdeckung Prozesse des Finanzberichtswesens– jährlicher Bericht des Managements zu internen Kontrollen– Prüfung durch Abschlußprüfer– Strafen bis zu 10 Jahren Gefägnis / 10 Mill Yen bei nicht
compliance – Gültigkeit ab 31. März 2009 (31. März 2008 freiwillig)
• Korea SOX: – wie J-SOX, jedoch geringere Strafandrohung– Best Practice Standards auf COSO-Basis entwickelt– schrittweises Inkrafttreten seit 2004 – 2007
• Indien SOX:– umfassende Regelungen zu Top Management und
Aufsichtsgremien (z.B. Audit Committee)– Bericht des Managements über das interne Kontrollsystem,
Zertifizierung durch Abschlußprüfer
Beispiele für länderspezifische Entwicklungen außerhalb der EU (1/2)
28© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Internationale Entwicklungen
• US SOX:
– Fokus auf Section 802 – Archivierung relevanter Unterlagen
(auch Emails!!)
– Neuer Prüfungsleitfaden der SEC (Entwurf):
• Stärkere Risikofokussierung von Kontrollen
• Stärkerer Einbezug von Entity-Level Controls
• General Computer Controls nur bei Relevanz für Financial
Reporting
• Permanentes Monitoring von Kontrollen als
Funktionsnachweis von Kontrollen zulässig
• Abdeckung von Niederlassungen / dezentralen Einheiten
durch zentrale Kontrollen
• Prüfung des Funktionierens von Kontrollen durch den
Abschlußprüfer – keine Prüfung des Management-Testings
durch den AP
Beispiele für länderspezifische Entwicklungen außerhalb der EU (2/2)
29© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Agenda
1. Corporate Governance in Europa – Überblick
2. Möglichkeiten proaktiven Handelns
3. Erfolgsfaktoren bei der Umsetzung
4. Tools
30© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Anforderungen der EU Änderungen 4 / 7 / 8 Richtlinie
International Standards auf Audit (ISA)Prüfungsanforderungen für testierte Prüfungen
erforderliche Verbesserung der Transparenzfür institutionelle Anleger und Rating-Agenturen
erweiterterte Haftungnach deutschem Recht, Bilanzeid
(UMAG, KapInHag, TUG usw.)
erforderliche Standardisierungvon Finanzinformationen
(Value-Reporting, Performance-Reporting)
Gesetzliche Maßnahmenzur Verbesserung der
Corporate Governance in den einzelnen Ländern
Entwicklung nationaler und internationaler Kodizesals Best Practice
für die Corporate Governance(z. B. Sarbanes Oxley)
Corporate Governance AnforderungenHandlungsbedarf
Company
FCPAForeign Corrupt Practices Act
31© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Die Verwendung eines ‘Control-Frameworks’ sorgt fürStruktur und Transparenz
Operat
ions
Finan
cial
Reporti
ng
Complia
nce
Monitoring
Information &Communication
Control Activities
Risk Assessment
Control Environment
Ac
tivi
ty /
Un
it n
Ac
tivi
ty /
Un
it 2
Act
ivit
y / U
nit
1
Categ
ories
Components
Act
ivit
ies
/ Un
it
COSO-Modell
Verbesserte Transparenz und
Zuverlässigkeit wegen
• des Kontrollrahmens
• der Überwachung
• Information and Kommunikation
Voraussetzungen:
• Die meisten Anforderungen beziehen sich auf COSO oder entsprechen COSO.
• Entsprechende Fachkenntnisse sind vorhanden.
• Entsprechende Unterlagen sind vorhanden.
Anforderungen der EU Änderungen 4 / 7 / 8 Richtlinie
International Standards auf Audit (ISA)Prüfungsanforderungen für testierte Prüfungen
erforderliche Verbesserung der Transparenzfür institutionelle Anleger und Rating-Agenturen
erweiterterte Haftungnach deutschem Recht, Bilanzeid
(UMAG, KapInHag, TUG usw.)
erforderliche Standardisierungvon Finanzinformationen
(Value-Reporting, Performance-Reporting)
Gesetzliche Maßnahmenzur Verbesserung der
Corporate Governance in den einzelnen Ländern
Entwicklung nationaler und internationaler Kodizesals Best Practice
für die Corporate Governance(z. B. Sarbanes Oxley)
Company
FCPAForeign Corrupt Practices Act
32© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Welches Framework?Dimensionen von COSO
COSO I - Würfel
COSO II - Würfel• Strategic – high-level goals, aligned with and
supporting its mission
• Operations – effective and efficient use of its resources
• Reporting – reliability of reporting
• Compliance – compliance with applicable laws and regulations
Operat
ions
Finan
cial
Reporti
ng
Complia
nce
Monitoring
Information &Communication
Control Activities
Risk Assessment
Control Environment
Act
ivit
y / U
nit
n
Act
ivit
y / U
nit
2A
ctiv
ity
/ Un
it 1
Categ
ories
Components
Act
ivit
ies
/ Un
it
33© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Kontrollsystem/RisikomanagementDefinition des Sollobjekts
34© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Bestellungsmenge=
Liefermenge
Wareneingang=
Rechnung
Buchungs-erfassung
Rech-nungs-prüfung
Waren-eingang
Bestell-über-wachung
BestellungAuftrags-erteilung
Bestellan-forderung
Ange-bots-prüfung
Bestellung
Zahlungs-vorschlag
Zahlungs-ausgang
Buchung=
Rechnung
Buchung =Rechnung =
Zahlung
Lieferschein Rechnung Buchungs-beleg
Zahlungs-liste
Zahlungs-beleg
Angebot
Beispiel: Bestellung – Buchung - Zahlung
Lieferanten
Bestellartikel KonditionenFirmen- /
AdressdatenBankverbindung
Lieferanten-bewertung
Kontrolle Stamm-datenänderung
Lieferant, Artikel freigegeben
Konditioneneingehalten
Anschrift / Firmakorrekt
Bankverbindungkorrekt
Stammdaten-kontrollen
Prozess-kontrollen
Unternehmens-kontrollen
Abteilung/Kosten-stellen
Budgetüber- / -unterschreitung
Warengruppe
Abweichung vom Vorjahr / Budget
Lieferant
Abweichung vom Vorjahr / Budget
Lieferant / Warengruppe
Dominanz
nachgelagerteKontrollen
Auftragssplitting Daueraufträge Manuel. Zahlungen Fragw. Lieferanten
IT Application Controls / IT General Controls
35© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Ermittlungfehlerhafte
Teile / Ausschuss
Lieferung = Ausschuss
+ Einbau
Erstellen Gutschrift
SammlungTeileverw. (Mengen)
EinbauTeileprü-fung
LieferungFeinpla-nung Abrufe
Buchungs-erfassung
Zahlungs-ausgang
Gutschrift= Menge* Preis
Gutschrift =Buchung =
Zahlung
Beispiel: Planung – Abruf – Gutschrift
Lieferanten
Firmen- / Adressdaten
BankverbindungLieferanten-bewertung
Kontrolle Stamm-datenänderung
Stammdaten-kontrollen
Unternehmens-kontrollen
Bauteil/Baugruppe
Verbrauch gem. Stückliste / TVNW
RahmenvertragAnwendung
(Gleitklauseln, MTZ* etc.)
Lieferant
Abweichung vom Vorjahr / Budget
Planabweichungen
Mengenabwei-chung zum Plan
Produktionspro-grammplanung
Stückliste / Teile-verwendungs-
nachweis
MengenplanungRahmenvertrag
für Serie
Kontrolle Stamm-datenänderung
Prozess-kontrollen
*Materialteuerungszuschlag
IT Application Controls / IT General Controls
36© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
UmsetzungsbeispielKontrollen im Einkaufsprozess
• In der ersten Phase erfolgt die Auswahl der Relevanten Prozesse (z.B. Beschaffung) und die zugehörigen Geschäftsprozesse innerhalb dieser Prozesse.
• Die Auswahl erfolgt zunächst exemplarisch für den Aufbau eines Referenzmandanten für eine Legal Entity.
• Nach erfolgreicher Implementierung eines IT-gestützten IKS einer LE erfolgt das Rollout und individuelle Anpassungen auf weitere Legal Entities.
Einkauf
Kreditoren
Auszahlungen
Stammdatenpflege Beschaffung
Beschaffung Produktion Absatz Service
Informationstechnologie
Finanzmanagement
Lohn und Gehalt
Geschäfts-prozesse
Prozesse
I II III IV V
37© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Auswahl Key-Controls
. . .. . .. . .. . .
. . .. . .. . .
. . .. . .
JaIn SAP R/3 können die Eingaben zu Stammdaten fürdie Erstellung von Bedarfsanforderungensystemseitigen Ordnungsmäßigkeitskontrollen(Vollständigkeit der Pflichtfelder, Richtigkeit in Bezugauf gespeicherte Vorgabewerte etc.) unterzogenwerden.
NeinDas Management verfolgt Übersichten zurAnlieferung von Waren, die aufgrund von fehlendenoder nicht übereinstimmenden Bestellungenzurückgesendet werden.
Bestellungenwerden richtigeingegeben.
. . .. . .
JaNur berechtigte Mitarbeiter dürfen die Stammdatenfür Bestellungen (Bestellanforderungen) und langfristige Rahmenverträge einrichten und ändern.
JaDas Management reviewt Aufstellungen mit Angabenüber Preisabweichungen und Bestellkonditionen.
NeinBestellungen werden vor der Versendung an den Lieferanten durch das Management durchgesehenund genehmigt.
JaDas Management muss alle Bestellungengenehmigen, wobei Sondergenehmigungen fürunübliche Anschaffungen (z.B. langfristige Verträge) erforderlich sind.
Bestellungenerfolgen nur fürgenehmigteAusgaben.
EinkaufBeschaf-fung
Key-ControlKontrollmaßnahmeKontrollzielGeschäftsprozessProzess
• In der Phase 2 erfolgt die Identifizierung relevanter Kontrollmaßnahmen in den Geschäftsprozessen.
• Die Identifizierung der Key-Controls ist wesentlicher Bestandteil dieser Phase.
I II III IV V
38© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Kategorisierung der Key-Controls
Meist wird ein Zusammenspiel von organisatorisch und DV-technisch realisierten Kontrollen
gefordert:
• DV-technische Kontrollen sind zuverlässiger und weniger arbeitsintensiv - sie steigern somit die Effizienz und erhöhen die Kontrollsicherheit
• Nicht alle Kontrollen können ausschließlich DV-technisch abgedeckt werden – bei der Erwägung einer DV-technischen Kontrolle ist auch der Aufwand für den später erforderlichen Nachweis der Funktionalität der Kontrolle zu berücksichtigen
• Ergänzung durch organisatorische Kontrollen sichert die Effektivität des IKS
. . .. . .. . .
dv-technischJaIn SAP R/3 können die Eingaben zu Stammdaten für die Erstellung von Bedarfsanforderungen systemseitigen Ordnungsmäßigkeitskontrollen(Vollständigkeit der Pflichtfelder, Richtigkeit in Bezug auf gespeicherteVorgabewerte etc.) unterzogen werden.
dv-technischJaNur berechtigte Mitarbeiter dürfen die Stammdaten für Bestellungen(Bestellanforderungen) und langfristige Rahmenverträge einrichten und ändern.
organisatorischJaDas Management reviewt Aufstellungen mit Angaben überPreisabweichungen und Bestellkonditionen.
dv-technischJaDas Management muss alle Bestellungen genehmigen, wobeiSondergenehmigungen für unübliche Anschaffungen (z.B. langfristigeVerträge) erforderlich sind.
Kategorisierung derRealisierung
Key-ControlKontrollmaßnahme
I II III IV V
39© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Vorbereitung der IT Umsetzung
. . .. . .. . .. . .. . .. . .. . .. . .. . .
etc.Prüfbar imSystem (z.B. Transaktion “SPRO”) mittelsDefinition relevanterVorgabe-werte
PrüfbarmittelsDefinition relevanterMussfelder(Tabelle“T162” und Tabelle“T004F”)
Nicht relevantMandant, Buchungskreis, Werk, etc.
MMSAP System X von Legal Entity Y
dv-technisch realisierteKey-Control
In SAP R/3 können die Eingaben zu Stammdatenfür die Erstellung von BedarfsanforderungensystemseitigenOrdnungsmäßigkeitskontrollen (Vollständigkeit derPflichtfelder, Richtigkeit in Bezug auf gespeicherteVorgabewerte etc.) unterzogen werden.
n.a.
n.a.n.a.Prüfbar überBerechtigungskonzept(Transaktion“ME21” und “ME22”)
Mandant, Buchungskreis, Werk, etc.
MMSAP System X von Legal Entity Y
dv-technisch realisierteKey-Control
Nur berechtigte Mitarbeiterdürfen die Stammdaten fürBestellungen(Bestellanforderungen) und langfristigeRahmenverträgeeinrichten und ändern.
n.a.
n.a.n.a.Prüfbar überBerechtigungskonzept(Transaktion“ME28”)
Mandant, Buchungskreis, Werk, etc.
MMSAP System X von Legal Entity Y
dv-technisch realisierteKey-Control
Das Management muss alle Bestellungengenehmigen, wobeiSondergenehmigungen fürunübliche Anschaffungen(z.B. langfristige Verträge) erforderlich sind.
etc.
DefinierteVorgabe-werte
Muss-/Kannfelder
CustomizingBerechtigungs-konzept
PrüfbarkeitRelevanteOrganisations-einheitenin SAP R/3
Relevantes Modul
RelevantesSystem
Kontroll-art
Kontrollmaßnahme
• Bereits bei der Definition der Kontrollmaßnahmen muss die Ausgestaltung der zugehörigen Testfälle sowie die Prüfbarkeit der Kontrollen geplant werden.
I II III IV V
40© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Beispiel: Berechtigungskonzept
Die Freigabe von Bestellungen ist Systemseitig auf einzelne Mitarbeiter limitiert.
PO#06Verlust oder ineffektiver Gebrauch von Gesellschafts-Vermögen durch unautorisierte Einkäufe.
Nur autorisierte Personen können Bestellungen genehmigen
Die Durchführung von Bestellungen ist auf ausgewählte Mitarbeiter limitiert.
PO#05
Verlust oder ineffektiver Gebrauch von Gesellschafts-Vermögen durch unautorisierte Einkäufe.
Nur autorisierte Mitarbeiter können Bestellungen durchführen
Einkauf
Kontroll-AktivitätKontroll-Nr.
Kontroll-RisikoKontroll-ZielTeil Prozess
DV-technisch geregeltes IKS in SAP R/3
z.B.:
ME21: Bestellung hinzufügen
ME22: Bestellung ändern
ME28: Bestellung freigeben
Leiter EinkaufPO#06
ME28: Bestellung freigeben
z.B.:
ME21: Bestellung hinzufügen
ME22: Bestellung ändern
Mitarbeiter EinkaufPO#05
Und Ausschluss TransaktionenÜber Vergabe von SAP Transaktionen
Organisatorisch
geregeltes IKS
Kontroll-Nr.
Effiziente Prüfung der Einhaltung v. Funktionstren-nungen ist tool-gestützt möglich:
"(ME21 v ME22) ME28"
>
…
⇒ Transparenz und Nachvollziehbarkeit⇒ Ermöglicht effiziente Prüfung
I II III IV V
41© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Beispiel: Customizing
Eingaben von Stammdaten werden Vollständigkeitskontrollen der Pflichtfelder unterzogen.
PO#07Bestellungen werden nicht ordnungsgemäßausgefüllt.
Bestellformulare werden vollständig ausgefüllt.
Einkauf
Kontroll-AktivitätKontroll-Nr.
Kontroll-RisikoKontroll-ZielTeil Prozess
Toolgestützte Prüfung des Customizing.
…
⇒ Transparenz und Nachvollziehbarkeit⇒ Ermöglicht effiziente Prüfung
Artikelnummer
Bestellmenge
z.B.: Tabelle T162Mitarbeiter EinkaufPO#07
Definition Mussfeldergeregeltes IKS
DV-technisch geregeltes IKS in SAP R/3
Organisatorisch Kontroll-Nr.
I II III IV V
42© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Zusammenfassung: IT-KontrollenAutomatisierte Kontrollen erhöhen die Zweckmäßigkeit automatischer Überwachungssysteme.
• Manuelle Freigaben
• Abgleichungen
• Manuelles Berichtswesen
• Papier – basierte Kontrollen
Manuell
• Kontrolle Transaktionen
• Stammdatenüberwachung
• Überwachung Zugangskontrollen
• Überwachung SOD
• Überwachung von Anwendungs-/ anpassbare Kontrollen
• Manuelle Prozess- und Kontrollüberwachung
• Überwachung allgemeine IT Kontrollen
• Risikoeinschätzung
• Auswertung von Stichproben
• Zugangskontrollen
• Funktionstrennung („SOD“)
• Anwendungs-/ anpassbare Kontrollen
• Allgemeine IT Kontrollen
Automatisch Überwachung/SicherungManuelle Kontrollen Automatische Kontrollen/ Sicherung
Überwachungssoftware kann in verschiedenen Anwendungsbereichen eingesetzt werden:
• Als ‚wichtige‘ Kontrolle um Kontrollziele zu ereichen, oder
• um die Effektivität von bestehenden ‚wichtigen‘ Kontrollen zu überwachen (vor- & nachgelagert)
43© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Best Practice: Sarbanes Oxley und IT
Beispiel: Kontrollbereiche im SAP-UmfeldA
nw
end
un
gs-
abh
äng
iges
IKS
An
wen
du
ng
s-u
nab
hän
gig
esIK
S
IT-gestützte Geschäftsprozesse
IT-Anwendung (SAP)
• Customizing• ABAP-Programme• Zugewiesene Berechtigungsprofile
Hardware
Datenbank
Betriebssystem
SAP Basis-system
Kommunikation
IT-Infrastruktur• Anbindung & Service Level
Agreements• Audit & LogIn auf Netzwerkebene• Change-Managementverfahren
• Physisches Netzwerk
• UNIX
• TCP/IP• Firewall• Schnittstellen intern / extern
• Oracle• Rechnungslegungsrelevante Daten
• SAP Hierarchie• Basistabellen• Benutzer-/
Berechtigungsverwaltung
• Datenfluss• Schnittstellen• Sonder-User
• Physische Server• Physischer
Datenspeicher
Verantwortung IKS Ziele
Wir
tsch
aftl
ich
keit
/ V
erm
ög
enss
ich
eru
ng
Sic
her
hei
t
Ord
nu
ng
smäß
igke
itSAP CompetenceCenter
System-Spezialisten
Infrastruktur-Spezialisten
Fachbereiche
• Zugriffsberechtigungen
An
wen
du
ng
s-ab
hän
gig
esIK
SA
nw
end
un
gs-
un
abh
äng
iges
IKS
IT-gestützte Geschäftsprozesse
IT-Anwendung (SAP)
• Customizing• ABAP-Programme• Zugewiesene Berechtigungsprofile
Hardware
Datenbank
Betriebssystem
SAP Basis-system
Kommunikation
IT-Infrastruktur• Anbindung & Service Level
Agreements• Audit & LogIn auf Netzwerkebene• Change-Managementverfahren
• Physisches Netzwerk
• UNIX
• TCP/IP• Firewall• Schnittstellen intern / extern
• Oracle• Rechnungslegungsrelevante Daten
• SAP Hierarchie• Basistabellen• Benutzer-/
Berechtigungsverwaltung
• Datenfluss• Schnittstellen• Sonder-User
• Physische Server• Physischer
Datenspeicher
Verantwortung IKS Ziele
Wir
tsch
aftl
ich
keit
/ V
erm
ög
enss
ich
eru
ng
Sic
her
hei
t
Ord
nu
ng
smäß
igke
itSAP CompetenceCenter
System-Spezialisten
Infrastruktur-Spezialisten
Fachbereiche
• Zugriffsberechtigungen
44© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Agenda
1. Corporate Governance in Europa – Überblick
2. Möglichkeiten proaktiven Handelns
3. Erfolgsfaktoren bei der Umsetzung
4. Tools
45© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Herausforderung Corporate Governance
• Wachstum durch Akquisitionen• Führt häufig zu einem Nebeneinander nicht aufeinander abgestimmter
Prozesse und Systeme• Bringt unterschiedliche Unternehmenskulturen zusammen
• Heterogenes Portfolio• Wettbewerbsumfeld der Geschäftsbereiche ist sehr unterschiedlich • Unterschiedliche Businessmodelle führen zu unterschiedlichen Prozess-,
Kontroll- und Risikostrukturen• Komplexe konzerninterne Liefer- und Leistungsverflechtungen
• Dezentrale Strukturen• Konflikt zwischen dezentraler unternehmerischer Freiheit/ Verantwortung
und zentraler Standardisierung/ Kontrolle• Anhaltender Ergebnisdruck
• Kommunikation von Fehlentwicklungen / Risiken erfolgt erst, wenn sie sich nicht mehr verbergen lassen
für multinationale Unternehmen
46© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Compliance Organisation Eindeutige Zuständigkeiten und Verantwortungen
Day to day management& risk control
Risikomanagement-Funktionen und Stabstellen
Interne Revision
• Festlegung der Grundsätze, Methoden und Strategien
• Definition der internen Kontroll- und Überwachungs-verfahren(Richtlinien, Regeln, Limitsysteme)
• Risiko-Controlling und Reporting etc.
• Hauptverantwortung für das operative Risikomanagement
• Einhaltung der Prozess-und Kontrollstandards
• Anwendung der Kontrollverfahren und -instrumente
• KPI-Monitoring und pro-aktives Reporting
„1st line of defense“
• Prozessunabhängige Überwachungsfunktion
• die Interne Revision agiert unabhängig von den Funktionsbereichen und berichtet direkt an das Management und den Prüfungsausschuss
„2nd line of defense“ „3rd line of defense“
Konzeption des IKS
AusführungEinhaltung
Prüfung An-gemessenheit
Ausrichtung der Int. Revison
Präventive und detektiveCompliance- und Fraud-Kontrollen als Teil des
IKS
- Zentraler Risikoausschuss- Compliance Officer- Compliance Organisation- Compliance Reporting
- Compliance Audit- Forensik Audit
neu neu neu
47© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Compliance Organisation Einbindung in Unternehmensorganisation
2nd line of defence / Risk policies,
methodologies & oversight
1st line of defence /Day to day management
& risk control
3rd line of defence /Independent assurance
Spezialisten und Stabsstellen für:
• Risikomanagement• Compliance & Fraud
• Risikostrategie / Methodik• Risikoreporting• Unternehmensweite Sicht• Beratung des Vorstands
Risiko Ausschuss
Geschäfteinheiten &Funktionen
Interne RevisionRisiko Management-Funktion
und Assurance Provider
Vorstand Prüfungsausschuss
• Geschäftssteuerung (KPI)• Einhaltung der verein-
barten Kontrollstandards, Limite, Freigabeverfahren
• Früherkennung und Ad-hoc-Reporting
• Self Assessments & Testing der Kontrollen
Überwachung der Angemessenheit und Einhaltung im Rahmen von:
• Financial Audit• Operational Audit• Compliance Audit• Forensik Audit
48© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Integration von Kontrollsystem und RisikomanagementElemente der internen Überwachung
ProzessunabhängigeÜberwachung
durch IR
Planung/Controlling
Internes Kontrollsystem(IKS)
Risikomanagement im Unternehmen
Enterprise Risk Management(ERM)
§ 91 Abs. 2 AktG
Bestandteile eines Risikomanagementsystems im Überblick
49© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Integration von Kontrollsystem und RisikomanagementElemente der internen Überwachung
Die Integration der Teilsystem stellt eine Herausforderung für viele Unternehmen dar
50© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Integration von Kontrollsystem und RisikomanagementElemente der internen Überwachung
Sofern die Teilsysteme bisher nicht integriert sind, muss eine Mindest-Information und Koordination sichergestellt werden
51© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Integration von Kontrollsystem und RisikomanagementElemente der internen Überwachung
Integration der Ergebnisse der Internen Revision und dem Self Assessment aus dem IKS in das ERM
52© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
Integration von Kontrollsystem und RisikomanagementElemente der internen Überwachung
Modell einer möglichen Integration der Teilsysteme IKS und ERM
53© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
• Bestimmte Ausprägungen einzelner Faktoren fördern nach unserer Erfahrung die Verlässlichkeit und Effizienz des Risikomanagements entscheidend – eine Feinjustierung muss stets individuell auf das Unternehmen angepasst werden.
• Integration in strategische Planung
• Zentrale vs. dezentrale Zuordnung der Verantwortung für das Management von Risiken und Chancen
• Zentrale vs. dezentrale Zuordnung der Verantwortung für das Risikomanagement
• Verwendung abgeleiteter Kennzahlen als Frühwarnindikatoren
Soll Ist
Ist Soll
Ist Soll
Ist Soll
Vollständige Integration
Keine Integration
Zentrale Verantwortung
Dezentrale Verantwortung
Zentrale Verantwortung
Dezentrale Verantwortung
Ausschließliche Verwendung abge-leiteter Kennzahlen
Keine Ver-wendung abge-
leiteter Kennzahlen
Typische Potentiale ‘Risikomanagement‘
54© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte
• Formelle vs. Informelle Kommunikationsstrukturen
• Formelle vs. Informelle Berichtswege
• Integration in bestehende Controlling-/ Berichtssysteme
• Fehlende Unterstützung durch spezielle Software
SollIst
SollIst
SollIst
SollIst
InformellFormell
Formell Informell
Keine Integration
Vollständige Integration
Umfass-ende
Software-unter-stützung
Keine Software
Unterstützung
Typische Potentiale ‘Risikomanagement‘
55© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Agenda
1. Corporate Governance in Europa – Überblick
2. Möglichkeiten proaktiven Handelns
3. Erfolgsfaktoren bei der Umsetzung
4. Tools
56© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Aktuelle Situation
• Die meisten Unternehmen müssen noch zukunftsfähige Technologien implementieren um den Anforderungen an Governance, Risikomanagement und Compliance zu erfüllen
– Im ersten Jahr konzentrierten sich die Organisationen primär darauf, den Anforderungen der Sec. 404 zu entsprechen
– Im zweiten Jahr wurde der Schwerpunkt darauf gelegt, den Prozess und die Dokumentation zu verfeinern
• Der Schwerpunkt sollte jetzt auf der Technologie liegen, die Governance, Risikomanagement und Compliance automatisiert
– Die Heldentaten kleiner Projektteams werden jetzt in die Alltagstätigkeiten der Organisation integriert.
– Die anhaltenden Kosten für die Compliance zu minimieren hat Priorität– Mehrfache Bemühungen in den verschiedenen Bereichen der Compliance, die
Fähigkeit die Compliance zu seinem Vorteil zu nutzen, Bemühungen quer über verschiedene gesetzliche Anforderungen
57© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
404 Anbieter-Landschaft
• Die Anbieter-Landschaft entwickelt sich, jedoch steht sie erst am Anfang
– Große Software-Anbieter (z.B. SAP, Oracle, IBM) hatten weniger Zugkraft als erwartet.
– SAP hat vor kurzem Virsa aufgekauft und einen Governance, Risk & Compliance Geschäftsbereich (GRC) gegründet.
– Spezialisierte Anbieter (z.B. Paisley, OpenPages) verfügen über die größte Marktpenetration.
– Anbieter versuchen ihre Angebote zu differenzieren, indem sie den Fokus über 404 Compliance hinaus erweitern
58© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Die Entwicklung der Compliance: Wo stehen Sie heute?
Da Unternehmen ihre Compliance fort entwickeln, werden manuell-intensive, weniger zuverlässige und ineffiziente Kontrollen in technologie-basierende (Automatisierung & Überwachung), kosteneffiziente und zuverlässige Kontrollen, die eine nachhaltige Compliance ermöglichen, weiterentwickelt.
–Risiko basierender Ansatz
–Rationalisierte Kontrollen
–Management-Plattform
–Manuell-intensive Testverfahren
–Umfangreiche Stichprobengröße
– Ansatz nicht an Risiken ausgerichtet
–Überflüssige Kontrollen
–Manuell ausgerichtete Geschäfts- und IT Prozesse und Kontrollen
– Ineffiziente Tests
– “Reaktiver” Ansatz, auf dessen Grundlage Kontrollsachverhalte identifiziert und gehandhabt werden
–Umsetzung anwendungsbasierte Geschäfts- ,IT- und Prozesskontrollen
– Kontrollen bzgl. Zugriffsrechte der User & Aufgabentrennung Kontrollen
– Effiziente Kontrollanwendung
– Effiziente Prüfkontrollen
– Verschiedene automatische Prüfungsfunktionen
–Reduzierte Stichprobengröße
– Laufende Überwachung von Kontrollen
– Effiziente Kontrollanwendung
– “Proaktiver” Ansatz bei der Bestimmung und Handhabung von Kontrollangelegenheiten
–Nachweisbare Kontrolleffektivität
–Nachhaltige Compliance Prozesse
–ROI / Geschäftswert
Technologie-gestützte Prozesse und KontrollenManuell Prozesse und Kontrollen
Wo steht Ihr Compliance-Programm heute?
manuellStart überwachtautomatisiert
Viele Compliance-Umgebungen bestehen aus manuellen sowie automatisierten Kontrollen, jedoch werden automatisierte
Kontrollen nicht zu hundert Prozent genutzt.
59© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Der Standpunkt von Deloitte: Compliancekonsolidierung
Das Compliance Framework stellt die Beziehungen zwischen den Technologiekomponenten der Compliance-Landschaft dar, die ein nachhaltiges Compliance-Programm ermöglichen.
Compliance Framework
Unternehmensspezifische Geschäftsanforderungen (z.B. Industrie, Organisation, Struktur), Compliance-Anforderungen (z.B. SOX, HIPAA, Basel II, FDA), und Infrastruktur-Landschaften (z.B. ERP Systeme, Altsysteme, IT Infrastruktur) werden alle in die Betrachtung der automatisierten und überwachenden Kontrolltechnologie mit einbezogen.
Technologie Infrastruktur
integriertes Compliance Dashboard
Compliance Management Überprüfung von Kontrollen
Überwachung von Kontrollen
automatisierte Kontrollen
manuelle Kontrollen
60© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Compliance Management
Compliance Management
• Risiko und Kontrollbewertung
• Einschätzung der Gestaltung und operativen Wirksamkeit von Kontrollen
• Identifizierung von Sachverhalten
• Planung von Szenarien und Sensitivitätsanalyse bzgl. Zugriff durch User und Benutzerrechten
Bewertung
Axentis, Aris, Certus, IBM,
Movaris, OpenPages, OpenText,
Oracle/ PeopleSoft,
Paisley, Qumas,
SAP/Virsa, Stellent
Beispiel Anbieter
• Bericht aufgegliedert nach Prozessen, Geschäftseinheiten oder Positionen nach Jahresabschluss
• Statusberichte, Berichterstattung über Mängel
• Überblick
• Bericht über Sachverhalt
Bericht
• Dokumentation der Ergebnisse der Kontrollen
• Identifizierung von SachverhaltenPrüfung
• Dokumentation der Prozesse, Risiken und Kontrollen für jeden Prozess
• Bestimmung und Dokumentation der zugehörigen Grundsätze, Verfahren und Systemdokumentationen
• Musterprüfungspläne für entsprechende Kontrollen
• Erstellung von Dokumentation und Nachvollziehbarkeit
Dokumentation
FunktionTätigkeit
• Diese Technologien ermöglichen einen Risikomanagementprozess, da sie grundlegende Tools bereitstellen, mit deren Hilfe Risiken beurteilt, Risiken und Kontrollen dokumentiert, Maßnahmen nachvollzogen, Testverfahren gehandhabt, Reporting und Berichterstattung laufend verbessert werden können.
• Diese Technologien können in eine einheitliche Lösung integriert werden, mit deren Hilfe viele Risiko- und Compliance-Initiativen gehandhabt werden können.
61© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Automatisierte Kontrollen
Approva, Computer Associates, Courion, HP, IBM, Novell, Oracle/PeopleSoft, SAP/Virsa, Sun Microsystems
� Managen des Benutzerzugriffs und der Benutzerrechte
Zugriffskontrolle
Approva, Applimation, Logical Apps, Oracle, Oversight, SAP/Virsa
� Verhindern, durchsetzen und managen von Aufgabentrennungen
Aufgabentrennung
Cisco, IBM, HP, Microsoft, Novell, Sun Microsystems
� Systemkommunikation und operative Kontrollen umsetzen
� Operative Systeme und Netzwerkkonfigurationskontrollen umsetzen
Allgemeine IT
Kontrollen
Appian, Compliancy Software, Fujitsu, HP, Movaris, Webmethods
Approva, Oversight,
Oracle, SAP/Virsa
Bsp. Anbieter
� Automatisierung manueller Prozesse zu denen Abstimmung, Finanzabschluss und Compliance-Zertifizierung zählen
� Kontrollen werden automatisch in zuverlässige „manuelle“ Prozesse eingebunden
Automatisierte
manuelle
Prozesse
� Umsetzung betrieblicher Regelungen (z.B. Freigabe Toleranzgrenzen, Zahlungsbedingungen etc.)
� Umsetzung der Datenqualität (z.B. Überprüfung editierter Daten, Datenüberprüfungsverfahren bei der Datenerfassung)
Anwendung /
konfigurierbare
Kontrollen
FunktionAktion
Automatisierte Kontrollen
• Automatisierte Kontrollen sind technologiegestützt, konfigurierbar, und benötigen weniger oder keinen manuellen Eingriff um zu funktionieren.
• Sie sind spezialisierte Kontrollen, die die Industrie und gesetzliche Anforderungen unterstützen.
62© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Ständige Überwachung
Courion, IBM, Oracle, SAP/Virsa, Sun Microsystems
� Überwacht Änderungen bei Zugriffsrechten und Benutzerrollen
Überwachen derZugangs-
kontrollen
IBM, Oracle, SAP, SAS
• Stammdaten werden zeitgleich überwacht
• Automatische Benachrichtigung bei festgestellten Änderungen
Überwachen der
Stammdaten
Approva, Applimation, Logical Apps, Oracle, Oversight, SAP/Virsa
ACL, Approva, Cendura,
Compliancy Software,
SAP/Virsa, Webmethods
Beispiel Anbieter
� Überwacht zeitgleich Änderungen der Zugriffsrechte hinsichtlich SOD-Konflikten.
� Kontrollinhaber werden automatisch benachrichtigt, wenn Konflikte festgestellt oder ausgeführt werden.
Überwachen der
Aufgaben-
trennung
• Überwachen der Geschäftsvorfälle
• Identifizierung von Kontrollmängeln, Fehlern, Betrug und ungewöhnlichen Vorgängen (z.B. Transaktionen und Änderungen die gegen risikobezogene Geschäftsvorgaben verstoßen)
• Kontroll/Prozessinhaber werden zeitgleich benachrichtigt.
Überwachen der
Geschäfts-
vorfälle
FunktionAktion
dauerhafte Überwachung
• Die Lösungen zur ständigen Überwachung ist technologie-gestützt. Sie deckt Mängel auf und wird dazu verwendet Kontrollen, Geschäftsvorfälle und Konfigurationen aktiv zu überwachen.
• Diese Lösungen enthalten idealerweise Funktionen die diejenigen benachrichtigen, die den gefundenen Fehler machten.
63© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Ständige Überwachung (Fort.)
Active Reasoning, BMC, Cendura, Computer Associates, HP, IBM, Mercury, NetIQ, nLayers, Novell, Relicore, Symantec,
Tideway, SAP/Virsa, Approva
• Zeitgleiches Überwachen von Änderungen von konfigurierbaren Kontrollen und Anwendungen
• Bei Unstimmigkeiten werden Kontrollinhaber sofort benachrichtigt
Konfigurierbare
Kontrollüber-
wachung
Cisco, IBM, HP, Microsoft, Novell, Sun Microsystems
• Überwachen der Durchführung und Änderungen der IT-Kontrollen wie z. B. Netzwerk und Systemkonfigurationen
• Überwachen der Änderungen der Zugriffs- und Sicherheitskontrollen
• Sofortige Warnung bei Unstimmigkeiten und Kontrollmängeln
Allgemeine IT-
Kontrollen
Appian, Compliancy Software, Computer Associates, Fujitsu, HP, Movaris,
Webmethods
Beispiel Anbieter
• Überwachen der Durchführung von manuellen Kontrollprozessen, wie z. B. Abgleich, Jahresabschluss und Compliance-Zertifizierungen
• Manuelle Kontrollprozesse werden als Nachweis für Prüfversuche aufgezeichnet
Manuelle
Prozessüber-
wachung
FunktionAktion
Ständige Überwachung
64© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Compliance Entwicklung: Ein Zeitplan
Die Technologie für die Compliance-Strategie legt den Grundstein für den Entwicklungs-Zeitplan für die Compliance-Kontrollen. Die Technologie ist ein wichtiger Bestandteil im Entwicklungsprozess der Kontrollen.
Konfigurierung automatischer
Anwendungskon-trollen
Implementieren eines
Compliance-Management-
tools
Überwachen von
Stammdaten-änderungen
Überwachen von Konfiguration von
Kontrollen und System-Setups
Rationalisierte Kontrollen, über
gesetzliche Anforderungen
hinaus
veranschaulichtes Beispiel
manuell überwachte Kontrollen
Überwachen von Geschäftsvor-
fällen
Kontrollstandardisier-ung innerhalb oder über Standorte und Geschäftseinheiten
hinaus
automatisch
Implementierung von
Zugriffsrechten & Berechtigungen (Identifizierung &
Zugriffs-Management)
Automatisierung manueller
Kontrollen & Prozessen
Definieren und implementieren automatischer
Kontrollen bzgl. SOD
Überwachen von
Verstößen gegen SOD
Implemen-tieren von
Datenschutz-Kontrollen
Beachten Sie: Die Strategie und der Zeitplan können für jedes Unternehmen unterschiedlich sein und hängt von dem Tätigkeitsfeld, der Compliance, der Technologie sowie den Anforderungen ab.
65© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Ein Ansatz zur Entwicklung von Compliance-Kontrollen
Unternehmen können den folgenden Ansatz nutzen, um technologie-gestützte Kontrollressourcen wirksam einzusetzen:
– Verwendung eines risikobezogenen Top-Down-Ansatzes um das Umfeld zu abzugrenzen
– Integrierung mehrerer Compliance Anforderungen in Betracht ziehen
– Schaffung eines Maßstabs bestehender Kontrollen der Geschäftseinheiten und/oder Standorte
– Identifizierung von uneffizienten und weniger effektiven Kontrollen
– Bestandsaufnahme der bereits vorhandenen Technologielandschaft
– Beurteilung bestehender Technologien für Automatisierungs-und Überwachungsressourcen
– Identifizierung von Technologie-Lösungen für ineffiziente und weniger effektive Kontrollen
– Nach Priorität entwickelte technologie-gestützte Kontroll-lösungen*
– Entwurf technologie-gestützter Kontrollen für Geschäfts-und IT-Prozesse, einschließlich:
–automatisierter Kontrollen
–Kontrollüberwachung
– Implementierung von technologie-gestützten Kontrollen
– Entwicklung von risikobezogenen Prüfplänen, die Technologieressourcen wirksam einsetzen
– Anwendung von aktualisierten Schulungen und Kommunikationen
– Aktualisierte Vorgänge als Unterstützung neuer Technologie
*Die Technologie für Compliance-Strategie ist die Basis für den Entwicklungs-Zeitplan der Compliance-Kontrollen.
Beurteilung vorhandener Kontroll-& Technologieumgebungen
Entwicklung einer Compliance-Strategie-Technologie*
Entwurf und Implementierung von Technologie-gestützten Kontrollen
Entwicklung einer Strategie um technologie-gestützte Kontrollen wirksam einzusetzen, mit ein-bezogen werden muss Folgendes:
© 2007 IIR Deutschland GmbH Autor: Andreas Herzig
Gesetzliche Grundlagen und Prüfungsverfahren
Prüfungs- und Aufsichtsbehörden für Sarbanes Oxley
67© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Agenda
1. Wichtige Institutionen für Sarbanes Oxley
2. Erwartungen des Abschlussprüfers / wiederkehrende Arbeiten
68© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
• Veröffentlichung von Vorschlägen zur Umsetzung und (nach Ablauf der Kommentarfrist) Veröffentlichung von Vorschriften
• Vorschriften für Unternehmen und Auditoren (z.B. Sek.404 "Management Assessment of Internal Controls")
• Bestimmung von PCAOB Mitgliedern, Bestätigung aller PCAOB Vorschriften
Sarbanes-Oxley Act
Anforderungen für die Umsetzung
Securities and Exchange Commission
(SEC)
Public Company Accounting
Oversight Board (PCAOB)
• Untersuchung und Registrierung von Prüfungsgesellschaften
• Erstellung von Standards für die Prüfung von Aktiengesellschaften
• Vorschriften für Unternehmen und Auditoren (z.B. Sek.404 "Management Assessment of Internal Controls")
• Überprüfung registrierter Prüfungsgesell-schaften bzgl. Regelverstößen
Wichtige Institutionen für SOX
69© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Agenda
1. Wichtige Institutionen für Sarbanes Oxley
2. Erwartungen des Abschlussprüfers / wiederkehrende Arbeiten
70© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
• Der Abschlußprüfer hat zu bestätigen (wen möglich), dass angemesseneKontrollen für das Financial Reporting vorhanden sind und diese funktionieren.
• Der Abschlußprüfer hat zu bestätigen, dass das Unternehmen seine Kontrollengetestet und bei Feststellung von Schwachstellen Gegenmaßnahmen eingeleitethat.
• Der Abschlußprüfer wird folgende Schritte durchführen
� "Walkthrough Test" von Prozessen und Kontrollen (einschl. Dokumentation)
�Nachvollziehen der Tests des Unternehmens (inkl. einer Prüfung der Testdokumentation des Unternehmens)
�Durchführung eigener Tests
• IT-Anwendungen werden auf Prozessebene berücksichtigt – als wichtige Ergänzung hierzu ist eine Prüfung der sog. General Computer Controls (GCC) erforderlich
• Überprüfung der Kontrollen auf Entitätsebene und in ausgelagerten Einheiten / Prozessen (z.B. Rechenzentrumsbetrieb).
• Überprüfung des Kontrollumfeldes ("tone from the top").
Wichtige Aufgaben im Rahmen von SOX-Prüfungen
Erwartungen des Abschlußprüfers
71© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
� Alle weiteren routinemäßigen und nicht routinemäßigen Kontrollen ohne
signifikantes Risiko.Category 3
� Kontrollen mit durchdringendem Einfluss auf den Jahresabschluss, inkl.:
� Allgemeinen IT-Kontrollen.
� Andere COSO Komponenten auf Entitätsebene.
� Kontrollen des Financial Reporting am Ende der Abrechnungsperiode, inkl.:
� Maßnahmen zur Erfassung von Transaktionen im Hauptbuch.
� Maßnahmen zur Initiierung, Freigabe, Aufzeichnung und Verarbeitung von
Journalentitäten.
� Maßnahmen zur Aufzeichnung von wiederkehrenden und einmaligen
Anpassungen des Jahresabschlusses.
Category 2
� Kontrollen über die Kontrollumgebung.
� Durchführung von "Walkthroughs".
� Bereiche mit hohem Maß an Subjektivität oder spezifischem Risiko.
Category 1
Schritt 1 – Kategorisierung der Kontrollen
Test von Kontrollen durch den Prüfer
72© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
� Verwendung der Testergebnisse Dritter durch den Auditor –Kompetenz und Objektivitätsgrad
� Niedrig (z.B. verantwortliche Person zur Durchführung derKontrollaktivität bzw. des Self-Assessment). Der Auditor kann die Testergebnisse Dritter, die als "niedrig" eingestuft wurde, nichtweiterverwenden.
� Minimum (z.B. Mitarbeiter, die nicht direkt für eine Kontrollaktivitätverantwortlich sind, jedoch zum Compliance-Beauftragten innerhalbder Geschäftseinheiten und darüber hinaus ernannt wurden).
� Mittelmäßig (e.g. kompetente Interne Auditoren, Dritte und beauftragtes bereichsexternes Personal, das auf Anweisung des Managements arbeitet).
� Hoch (e.g. hoch kompetente Interne Auditoren oder Dritte, die direkt zum Audit Komitee berichten).
Schritt 2 – Kategorisierung der Tester
Test von Kontrollen durch den Prüfer
73© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Der Auditor solltemindestens 20% der durch
Dritte getesteten CAs erneuttesten.
Der Auditor solltemindestens 40% der
durch Dritte getestetenCAs erneut testen.
Der Auditor solltemindestens 60% der
durch Dritte getestetenCAs erneut testen.
Verwendung derTestergebnisse Dritter durch
den Auditor
100% unabhängiges Testen durch Auditoren
100% unabhängiges Testen durch Auditoren
MINIMUM MITTELMÄßIG HIGH
KOMPETENZ UND OBJEKTIVITÄTSGRAD
NATURE
OF
CONTROLS
KATEGORIE 1
kATEGORIE 2
KATEGORIE 3
Test von Kontrollen durch den Prüfer
Schritt 3 – Ableiten der Strategie zur Verwendung der Testergebnisse Dritter
74© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Zeitraum:1 Jahr
Anpassung Doku-mentation Prozesse
/ Kontrollen
Tests mitAbdeckung 365
Tage p.a.
VorbereitungMusterformulare
Tests durchfüh-ren (SOX/ IKS)
Archivierung der Testdokumen-tation
(1) Internes Kontrollsystem (IKS)
Änderungen in Prozessen / IT?
Dokumentationder Tests
Planung derTests
Änderungen des IKS (1) ���� SOX?
SOX – wiederkehrende Aufgaben
75© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
SOX – Dokumentationsbeispiele (1/3)
Kontroll- und Testdokumentation:
Sub-Process: Vendor Master
Assertions Frequency Control Category
Control Method
Control Significance
Test Type Test Scope and Results / Conclusions Testing Ref
Control Gap Identified
Corrective Action Plan
Target Date
(2) ContinuousWeeklyMonthly
QuarterlyAs needed
Preventive/ Detective
Automated/ Manual
Primary/ secondary
Observation, Examination, Reperformance
Number Transaction (Process/Activity)
Risk Control Activity C A V R CO, EO, RO, VA, PD
C/W/M/Q/A P/D A/M P/S O/E/R
1.1.1. Vendor Master Maintenance
Unauthorized access to vendor master records
Access to create/change vendor master data is properly restricted.
X EO C P A P E Review access to create/change vendor master data (FK01, FK02).Access is restricted to the following profiles:- MD Administrator (F:IMD_U*)- Vendor Administrator (F:PMD_U*)- Vendor Administrator (Crit) (F:EMD_U*)
1.1.2. Vendor Master Maintenance
Unauthorized access to vendor master records
Access to block/unblock vendors is properly restricted.
X EO C P A P E Review access to block/unblock vendors (FK05, FK06).Access is restricted to the following profiles:- MD Administrator (F:IMD_U*)- Vendor Administrator (F:PMD_U*)- Vendor Administrator (Crit) (F:EMD_U*)
Control Type
(1)
76© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
SOX – Dokumentationsbeispiele (2/3)
Control Grid:
Section: Information Technology Process Location:Subsection: Infrastructure and Applications Development Prepared By: Date:
Key Statement Elements: Reviewed By: Date:
Any changesControl Technique How expected prior
Control Objective Financial Statement Risk Documented Control (Automated or Manual) COSO Component Control Owner Frequency Evidenced to 12/31/04New application systems are developed consistent with management's intentions.
ITI # 1 Projects are prioritized and assigned to ensure that limited information resources are utilized properly and support the corporate business objectives
Manual Control Activity Director, Applications Development
as needed Files Maintained
No
ITI # 2 A formal methodology or process is used to guide the acquisition, development or maintenance of hardware, application systems, network and communication software and systems software.
Manual Control Activity Director, Applications Development
as needed Files Maintained
No
New application systems are appropriately implemented and function consistent with management's intentions.
System functionality will allow invalid entries into the corporate financial statements.
ITI # 3 New System Implementation - Measures are in place to ensure appropriate management of new system implementations. (e.g. Proper coordination and support with MIS, adequate evaluation of system requirements and specifications, timely implementation, extensive testing to ensure adequate system functionality, data integrity around system conversion, training provided on new system use, etc.)
Manual Control Activity Director, Applications Development
as needed Files Maintained, User Sponsor Acceptance
No
When new application systems are implemented, existing data that is converted to the new system is complete, accurate, and valid.
ITI # 4 Management approves the results of the conversion of data (e.g., balancing and reconciliation activities) from the old application system or data structure to the new application system or data structure and monitors that the conversion is performed in accordance with established conversion policies and procedures.
Manual Control Activity Director, Applications Development
as needed Files Maintained
No
Modifications to existing application systems are appropriately implemented and the modified application systems function consistent with management's intentions.
Changes will cause system or functionality failure.
ITI # 5 Requests for changes to application systems, in the production environment are documented and approved by management. Management monitors implementation of all such changes.
Manual Control Activity Director, Applications Development
as needed Files Maintained, Release Control Board Approval
No
77© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
SOX – Dokumentationsbeispiele (3/3)
Narrative / Flowchart:
3.2 System Application Changes
3.2.1 XXX XXX AG
A change control process is used to restrict and approve changes to production systems. The change control process informs represented organizations of planned implementations or changes, providing the means for communications and coordination, and directing efforts toward minimizing potential negative impact of the change. (Control Point – ITI#2&5) This section outlines procedures for how to manage the progression of changes among the Development, Quality Assurance and Production SAP R/3 systems. Note that the same procedures apply regardless of whether the change is originating from the development environment (D22->C22) or the production support environment (V22->Q22). The overall flow is summarized in the following flowchart:
The remainder of this section provides some detail for each of these processes.
1Team leads create ChangeRequests and assign Tasks
to team members.(Workbench/Customizing)
2Team members execute the
work associated with theassigned Tasks in the
Configuration Client (103).
3Team members use
transaction SCC1 to copythe changes to the Unit
Test Client (003).
5When testing is complete,team members release the
Tasks.
4Were changes tested
successfully?
6Team leads confirm that all
Tasks are released andSCC1 the request to theUnit Test Client for final
check.
7Were changes tested
successfully?
8Team leads release the
Change Request to the QAsystem when a planned/coordinated test slot is
available.
9QA team completesintegration testing.
10Were changes tested
successfully?
11Team leads (request
owners) use STMS_QA toapprove the request as
“owner”.
12Change Control Boardreviews and approves
“owner” approvedtransports using STMS_QA.
14Transports which have
been approved by the CCBare imported to theproduction system.
13Were changes
approved by CCB?
2
2
2
2
2N
Y
N
N
N
Y
Y
Y
78© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
SOX – Testplan-Beispiel
WP # Control Objectives Documented Control Test Performed By
ITI #5 Modifications to existing application systems are appropriately implemented and the modified application systems function consistent with management's intentions.
Requests for changes to application systems, in the production environment are documented and approved by management. Management monitors implementation of all such changes.
Estimated Time: 8 hours Actual Time: 10 hour
1. Obtain list of all system updates and changes 2. Select a judgmental sample of projects (sample size to be dependent on project size, total
population of projects) 3. Inspect for evidence of all requests being documented. 4. Inspect for evidence of system changes being reviewed, tested and approved by
management. 5. Inspect for management monitoring controls. 6. Document findings in template # 3.
WP # Control Objectives Documented Control Test Performed By
ITI #6 The data structure, as defined in the database management system (or its equivalent) is appropriately implemented and functions consistent with management's intentions.
New data structures and modifications to data structures are tested in accordance with test plans that include, as appropriate, interface testing, parallel testing, capacity testing, and user acceptance testing.
Estimated Time: 4 hour Actual Time: 0
1. Obtain a list of all new data structure implementations. 2. Select a sample of implementations to test 3. Inspect implementation documentation to corroborate that test plans were developed and
testing was performed. All testing exceptions were followed up on. 4. Inspect for evidence of user acceptance testing. 5. Document findings in template # 3
79© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Top 5 – die wichtigsten IT Kontrollbereiche
• Sicherheit– Anwendungen und IT-Plattformen / Infrastruktur– Fokussiert auf Anwendungen, die Einfluss auf das Financial Reporting oder angrenzende Systeme
haben – Sichere Betriebssysteme, Datenbanken, Netzwerke, Firewalls und Kommunikations-
einrichtungen werden benötigt– Auditoren werden hinsichtlich umfangreicher Zugriffsrechte, fehlender Funktionstrennungen und
Eignung des Verfahrens zur Berechtigungsvergabe prüfen; die wichtigsten Prozesse und Kontrollen werden während der Prüfung getestet
• Change Management– Ausreichende Kontrollen und Freigabeverfahren müssen vorhanden sein, um den ausschließlichen
Einsatz genehmigter Software in der Produktion sicherzustellen. – Technische Vorkehrungen müssen den Zugriff von Entwicklern auf die Produktionsumgebung
einschränken und überwachen
• Notfallplanung– Fokus auf regelmäßige Datensicherungen und Vorkehrungen zum Wiederanlauf
• IT Governance– Sind klare Grundsätze und Richtlinien vorhanden, werden diese geschult / überwacht?– Sind Funktionstrennungen vorgeschrieben und auch realisiert? – Stimmt der s.g. “tone at the top” innerhalb der IT?
• Entwicklung und Implementierung– Sind Entwicklungs- und Dokumentationsrichtlinien im Einsatz und werden diese überwacht?– Sind Tests, Testverfahren und deren Dokumentation Bestandteil der Entwicklungsrichtlinien?– Sind Verfahren für Notfall-Änderungen / direkte Datenbankzugriffe etabliert, die eine ausreichende
Kontrolle und Dokumentation sicherstellen?
80© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte
Häufige Kontroll-Lücken in der IT
• Kontrollen im Change Management nicht ausreichend (speziell in verteilten Umgebungen) • Sicherheitspolitik und daraus abgeleitete Richtlinien sind nicht (ausreichend) verfügbar. • Organisatorische Sicherheitskonzepte, Rollen und Verantwortlichkeiten sind nicht ausreichend
dokumentiert. • Die Sicherheitsadministration ist nicht ausreichend geregelt bzw. überwacht
– Nicht ausreichende Kontrollen, wenn ein Mitarbeiter das Unternehmen verlässt oder innerhalb des Unternehmens wechselt (z.B. auch Berater, Zeitmitarbeiter)
– Keine adäquaten Genehmigungsverfahren von Änderungen– Zugriffsberechtigungen werden nicht regelmäßig überprüft
• Umfangreiche Zugriffsberechtigungen auf Systeme– Zugriffsberechtigungen zu Betriebssystemen, Datenbanken, systemnaher Software– Keine ausreichende Funktionstrennung– Anwendungsentwickler und DB-Administratoren haben Zugriff auf die Produktion
• Keine sichere Infrastruktur (Netzwerke, Betriebssysteme, Datenbanken) • IT-Kontrollen und Geschäftsprozesse sind nicht integriert (z.B. Berechtigungsvergabe, Test- /
Freigabeverfahren, Datenübernahme / -konversion, Notfallmaßnahmen etc. ) • Keine regelmäßige Überprüfung von Kontrollen (Funktionsfähigkeit, Verlässlichkeit)• Keine Risikobetrachtung (IT- und Prozessrisiken)• Kein Kontrollstandard
Am häufigsten sind die Bereiche Sicherheit und Change Management betroffen