Anforderungen aus Sarbanes Oxley - isc-hhn.de · gegenüber dem Audit Komitee sowie dem WP alle...

1© 2008 Deloitte & Touche GmbH Autor: Andreas Herzig, Deloitte

Anforderungen aus Sarbanes Oxley- Änderungen Audit Standard 5 –

- Europäische Regelungen -

Heilbronn, April 2008


Agenda

1. Was ist der Sarbanes Oxley Act – was ist neu?

2. Beratungsansatz Sarbanes-Oxley 404


30. Juli 2002

29. August 2002

Okt. 2002 – Jan. 2003

Januar - Juli 2003

26. April 2003

22. Oktober 2003

19. April 2004

15. November 2004

15. Juli 2006

Präsident Bush unterzeichnet den SOX

SEC erlässt Anwendungsbestimmungen zur Umsetzung von SOX 302

SEC schlägt Anwendungsbestimmungen zur Implementierung verschiedener Bestimmungen des SOX

SEC veröffentlicht Anwendungsbestimmungen zur Umsetzung der zentralen Bestimmungen des SOX

Gründung des Public Company Accounting Oversight Board (PCAOB)

Registrierungszeitpunkt für alle US-WP-Gesellschaften beim PCAOB

Registrierungszeitpunkt für ausländische WP-Gesellschaften beim PCAOB

Erstmalige Anwendbarkeit SOX 404 auf US-Unternehmen

Erstmalige Anwendbarkeit SOX 404 auf ausländische Unternehmen

Chronologie des Sarbanes-Oxley Act


Securities Act(1933)

Securities Act(1934)

SOX (2002)

Ziel: Wiederherstellung des Vertrauens der Investoren durch neue Regelungen zur Offenlegung und Corporate Governance

1. Disclosure Kontrollen und Interne Kontrollen2. Audit Komitee3. Public Accounting Oversight Board 4. Prüfungsqualität und Unabhängigkeit

Fokus:

Ziel: Ziel:

Fokus:

Fokus:

Schutz der Investoren durch Registrierung von Wertpapieren (FK/EK) sowie Festlegung von Mindestinformationsanforderungen bei der Emission von Wertpapieren

1. Definition der Wertpapiere, die bei der SEC registriert werden müssen

2. Definition der Prospekt-information

3. Definition der SEC Emissionsinformationen

Schutz der Investoren durch Registrierung der Wertpapieremittenten und periodische Berichterstattung

1. Definition relevanter Emittenten sowie der Berichterstattung (10-K, 10-Q, 8-K, etc.)

2. Anti-Fraud-Bestimmungen für Käufer und Verkäufer von Wertpapieren (Insidergeschäfte)

3. Regelungen zur Übertragung von Stimmrechten

4. Offenlegungspflichten bei Aktienübernahmen

SOX und US-Kapitalmarktgesetze


Disclosure Kontrollen und Interne Kontrollen

• Regelungen zum Bereich der Internen Kontrollen im Rahmen des Financial Reportings

• Regelungen zu Disclosure Kontrollen

• Weitere Regelungen

Audit Committee

• Unabhängigkeit und Qualifikation der Mitglieder des Revisionskomitees

• Durchführung der Arbeit des Revisionskomitees

• Verantwortlichkeiten des Audit Komitees

PCAOB

• Aufgabe des PCAOB

• Verantwortlichkeiten des PCAOB

• Pflichten der beim PCAOB registrierten WP-Gesellschaften

Prüfungsqualität und Unabhängigkeit

• Verbot bestimmter Nicht-Prüfungs-leistungen

• Regelungen zur Sicherstellung der Prüfungsqualität

• Prüferrotation und weitere Bestimmungen

SOX aus der Sicht des Unternehmens SOX aus der Sicht des WP

Inst

itu

tio

nen

Reg

eln

/Ver

antw

ort

lich

keit

Die vier Eckpunkte des SOX


Anforderung Auswirkung

103 Audit Record Retention and Security201 Monitoring and Pre-Approval of Non-Audit

Services301 Audit Committee Monitoring and Complaint/Issue

Process306 Monitoring and Prevention of Insider Trading 401 Financial Reporting Disclosure402 Monitoring and Prevention of Personal Loans to

Executives

403 >10% Ownership Disclosures Within Two Business Days

406 Code of Ethics Creation and Disclosure407 Disclosure of Financial Expertise on the Audit

Committee408 Facilitation of SEC Reviews501 Security Analyst Monitoring and Disclosure806 Whistle Blower Communications and Response906 Certifications by CEO and CFO subject to criminal

penalties1102 Record Retention and Security

Andere verpflichtende Anforderungen:

CEO and CFO Certification of Periodic SEC Filings302

404

409

802 Retention and Protection of Audit Documents and Related Records

Implementierung einer digitalen Archivierung von Aufzeichnungen, inkl. Schriftverkehr und Emails.

Sek

tione

n(S

ectio

ns)

Verletzungen der Sorgfaltspflicht, die zurStrafverfolgung von leitenden Angestellten führenkönnen, müssen identifiziert und beseitigt werden.

CEO & CFO Certification of Internal Controls With Auditor Attestation

Erfordert permanente Dokumentation, Evaluierung, Test und Verbesserung von Kontrollen des externenFinancial Reportings.

Rapid and Current Basis Disclosureof Financial and Operating Events

Systematische und permanente Überwachung, Prävention und Offenlegung von materiellenVeränderungen.

Sarbanes-Oxley - Überblick


Sektion 302 fordert vom CEO und CFO der Gesellschaft, quartalsweise sowie jährlich zu bestätigen, dass sie:

� hinsichtlich aller wesentlichen Sachverhalte keine falschen Aussagen getroffen haben oder einen wesentlichen Sachverhalt nicht erwähnt haben

� die im Abschluss sowie in sonstigen veröffentlichten Unterlagen enthaltenen Angaben in allen wesentlichen Aspekten richtig dargestellt haben

� für die Prozesse und Kontrollen hinsichtlich des Zustandekommens der Angaben verantwortlich sind

� die Kontrollverfahren so aufgebaut haben, dass ihnen alle wesentlichen Informationen bekannt geworden sind

� die Beurteilung der Wirksamkeit der Disclosure Kontrollen am Ende der jeweiligen Periode durchgeführt haben

� gegenüber dem Audit Komitee sowie dem WP alle Fälle wesentlicher Kontroll-defizite sowie Betrugsfälle (Unterschlagungen etc.) dargelegt haben

� in den zu veröffentlichenden Unterlagen die wesentlichen Änderungen in den internen Kontrollverfahren beschrieben haben

Gültig ab:

29. August 2002

SOX 302 – Disclosure Kontrollen


• Regelungen zum Bereich der internen Kontrollen sowie der Disclosure Kontrollen (d.h. Kontrollen hinsichtlich des Zustande -kommens aller gemäß den SEC -Regeln notwendigen Veröffentlichungen)

• Sonstige Regelungen

Audit Committee

• Regelungen zur Unabhängigkeit und Qualifikation der Mitglieder des A uditCommittee

• Regelungen zur Durchführung der Arbeit des Audit Committee

• Verantwortlichkeiten des Audit C ommittee

Public Accounting Oversight Board

• Zweck des PCAOB


• Pflichten der beim PCAOB registrierten Wirtschaftsprüfungsgesellschaften


• Verbot, bestimmte Nicht -Prüfungs -leistungen zu erbringen


• Neue Prüfungsanforderungen innerhalb des SOX


IInst

itu

tio

nen

Reg

eln

/Ver

antw

ort

lich

keit Disclosure Kontrollen und Interne

Kontrollen• Regelungen zum Bereich der internen

Kontrollen sowie der Disclosure Kontrollen (d.h. Kontrollen hinsichtlich des Zustande -kommens aller gemäß den SEC -Regeln notwendigen Veröffentlichungen)


Audit Committee

• Regelungen zur Unabhängigkeit und Qualifikation der Mitglieder des A uditCommittee


• Verantwortlichkeiten des Audit C ommittee


• Zweck des PCAOB








IInst

itu

tio

nen

Reg

eln

/Ver

antw

ort

lich

keit


Jeder Financial Report muss einen Bericht über die vorhandenen Internen Kontrollen mit folgenden Punkten enthalten:

� Erklärung über die Verantwortung des Managements hinsichtlich der Einrichtung und Aufrechterhaltung angemessener interner Kontrollstrukturen und -aktivitäten für das Financial Reporting

� Erklärung zu den Ergebnissen der vom Management durchgeführten Wirksamkeitsprüfung

� WP-Bericht über die Prüfung der Erklärungen des Managements

Ziel der Sektion 404 ist die Verpflichtung der Unternehmen, Prozesse zu implementieren, die folgende zentralen Elemente abdecken:

� angemessene Genehmigungsverfahren für Geschäftsvorfälle

� Schutz des Gesellschaftsvermögens gegen unerlaubte Vermögensschädigungen

� Korrekte Erfassung der Geschäftsvorfälle der Gesellschaft und Berichterstattung in Übereinstimmung mit den geltenden Rechnungslegungsvorschriften

Gültig ab:

US-Unternehmen:

15. November 2004

US-Kleinunternehmen /Nicht-US-Unternehmen:

15. Juli 2006

SOX 404 –Kontrollen Financial Reporting


• Regelungen zum Bereich der internen Kontrollen sowie der Disclosure Kontrollen (d.h. Kontrollen hinsichtlich des Zustande -kommens aller gemäß den SEC -Regeln notwendigen Veröffentlichungen)


Audit Committee

• Regelungen zur Unabhängigkeit und Qualifikation der Mitglieder des A uditC ommittee


• Verantwortlichkeiten des Audit Committee


• Zweck des PCAOB








IInst

itu

tio

nen

Reg

eln

/Ver

antw

ort

lich

keit Disclosure Kontrollen und Interne

Kontrollen• Regelungen zum Bereich der internen

Kontrollen sowie der Disclosure Kontrollen (d.h. Kontrollen hinsichtlich des Zustande -kommens aller gemäß den SEC -Regeln notwendigen Veröffentlichungen)


Audit Committee

• Regelungen zur Unabhängigkeit und Qualifikation der Mitglieder des A uditC ommittee


• Verantwortlichkeiten des Audit Committee


• Zweck des PCAOB








IInst

itu

tio

nen

Reg

eln

/Ver

antw

ort

lich

keit


Anforderungen aus SOX 404 Alle Kontrollen, die im Zusammenhang mit der Erstellung des Financial Reporting dazu beitragen, ein den tatsächlichen Verhältnissen entsprechendes Bild des Unternehmens im Einklang mit US-GAAP zu vermitteln

Anforderungen aus SOX 302

Kontrollen, die sicherstellen, dass Reportinginhalte in Übereinstimmung mit SEC -Vorschriften erfasst, verarbeitet und berichtet werden, um somit ein reales Bild der Unternehmenslage zu liefern

Disclosure Controls

Laws and Regulations

Operations

Financial Controls

Zusammenspiel von SOX 302 und 404

COSO FrameworkInterne Kontrollen zurSicherstellung:

• der Zuverlässigkeit des Financial Reporting

• der Effektivität und Effizienz der betrieblichen Prozesse

• der Übereinstimmung mit geltenden Gesetzen und Vorschriften


Der Kontrollrahmen: COSO

Die Verpflichtung auf Rahmenvorgaben für das Interne Kontrollsystem ist ein neuer Aspekt

Prozess zur Sicherstellung der zeitnahen Identifikation

und Kommunikation von relevanten Informationen –

inkl. Reporting System, Kommunikation,

Whistleblower Prozess.

Beurteilung von internen und externen Faktoren, die

die Performance der Organisation beeinflussen.

Prozess zur Feststellung der hinreichenden Ausgestaltung und Durchführung der Internen Kontrollen, inkl. Governance, Monitoring, IT Audits.

Richtlinien und Methoden zur Sicherstellung eines zeitnahen Risikomanagements – inkl. Anwendung, Security, Infrastruktur & Integritätskontrollen.

Das Kontrollleitbild einer Organisation “tone at the top”beinhaltet ‘code of ethics’, Richtlinien, Verantwortung, Organisationsstruktur.


Beispiel: Bestellung – Buchung – ZahlungProcess / Entity Level Controls

Bestellungsmenge=

Liefermenge

Wareneingang=

Rechnung

Buchungs-erfassung

Rech-nungs-prüfung

Waren-eingang

Bestell-über-wachung

BestellungAuftrags-erteilung

Bestellan-forderung

Ange-bots-prüfung

Bestellung

Zahlungs-vorschlag

Zahlungs-ausgang

Buchung=

Rechnung

Buchung =Rechnung =

Zahlung

Lieferschein Rechnung Buchungs-beleg

Zahlungs-liste

Zahlungs-beleg

Angebot

Lieferanten

Bestellartikel KonditionenFirmen- /

AdressdatenBankverbindung

Lieferanten-bewertung

Kontrolle Stamm-datenänderung

Lieferant, Artikel freigegeben

Konditioneneingehalten

Anschrift / Firmakorrekt

Bankverbindungkorrekt

Stammdaten-kontrollen

Prozess-kontrollen

Unternehmens-kontrollen

Abteilung/Kosten-stellen

Budgetüber- / -unterschreitung

Warengruppe

Abweichung vom Vorjahr / Budget

Lieferant


Lieferant / Warengruppe

Dominanz


ZusammenfassungMaßnahmen für effiziente Kontrollsysteme

• Verwendung eines ‚Control Frameworks‘ als Benchmark / Leitfaden schafft Struktur, Orientierung und Transparenz

• Konsequente Ausrichtung des internen Kontrollsystems an Risiken in Prozessen

• Verwendung von Kontrollen auf Unternehmensebene wo dies durch die Risikosituation und / oder die Zuverlässigkeit von Prozessen möglich ist

• Verwendung von präventiven Kontrollen erspart Nacharbeit

• Umsetzung von Kontrollen in der IT (Berechtigungen / Customizing) bringt Zuverlässigkeit und Aufwandsreduzierung – Achtung: keine ‚Automated Controls‘um jeden Preis !

• Einsatz von Datenanalysen mittels Tool bringt zusätzlich Kontrollsicherheit und unterstützt die Fokussierung weiterer Prüfungshandlungen

• Unterstützung der Revision im Monitoring durch automatisiertes Monitoring undalternative Methoden (Self Assessment) schafft höhere Präsenz von Kontrollen und verringert den Aufwand


Häufige Erwartungshaltung in deutschen UnternehmenDas vorhandene Risikomanagement erfüllt die SOX Anforderungen

AnsatzZu Projektbeginn wird das Risk Management einem Compliance Check unterzogen

Lessons LearnedBestehende Risikomanagementsysteme erfüllen nicht die SOX-Anforderungen

Am häufigsten fehlen in deutschen Unternehmen:

� Eine Definition der "Significant Controls"

� Definition und Anwendung eines zugelassenen Standards (z.B. COSO)

� Vorkehrungen / Möglichkeiten zur jährlichen Überprüfung aller "Significant Controls"

� Vollständige Dokumentation von Kontrollzielen und Kontrollaktivitäten für die betroffenen Prozesse

Deloitte-Guidance: Ist-Analyse


Agenda

1. Was ist der Sarbanes Oxley Act – was ist neu?

2. Beratungsansatz Sarbanes-Oxley 404


CEO/CFO

Erklärung

DisclosureKomitee

WP Audit

Komitee

Durchsicht Compliance -Reports

Diskussion Disclosure-Themen

Prüfung Interne Überwachung

Diskussion Kontrollstandards

Unternehmenseinheiten

Zusammenführung der Berichterstattung

Koordination des Self-Assessment

Zuordnung Kontrolle/Verantwortlichkeit pro Prozess

Kontrollverantwortliche pro Prozess

Durchführung des Self-Assessment

Berichterstattung über Self-Assessment

Report on Self-assessment (standardized)

Anstoßen von Diskussionen zu Handlungsbedarfen und zur Weiterentwicklung des Control Designs

Sta

nd

ard

Set

tin

g:

To

p d

ow

n

Sel

f-A

sses

smen

t: B

ott

om

up

• Definition der internen Kontroll-umgebung/desKontrollkonzeptes

• Auswahl relevanter Unternehmens-einheiten

• Definition der wesentlichen Prozesse

• Definition von Referenzprozessen und -kontrollen

• Festlegung des Self-Assessment-Prozesses

• Zusammenführender Ergebnisse des Self-Assessment und regelmäßige Berichterstattung

• Durchführung des Self-Assessment

• Übernahme des "Top-down-Ansatzes" und ggf. Anpassung an spezifische Gegebenheiten

Sarbanes Oxley Readyness Projekt

Top Down / Bottom Up Approach

© 2007 IIR Deutschland GmbH Autor: Andreas Herzig

Gesetzliche Grundlagen und Prüfungsverfahren

Eine Herausforderung für multinationale Unternehmen: Deutsche / Europäische Corporate Governance

und Sarbanes Oxley


Agenda

1. Corporate Governance in Europa – Überblick

2. Möglichkeiten proaktiven Handelns

3. Erfolgsfaktoren bei der Umsetzung

4. Tools


Corporate Governance – was ist das?

“Corporate Governance bezieht sich auf die internen Instrumente mit denenUnternehmen gesteuert und überwacht werden. Obwohl Regierungen einezentrale Rolle in der Schaffung des gesetzlichen, institutionellen und regulatorischen Rahmens spielen, in dem indi-viduelle Corporate Governance Systeme der Unternehmen entwickelt werden, liegt die Hauptverantwortung im privaten Sektor” (OECD)

“Corporate Governance beschreibt des gesetzliche und faktische regulatorischeRahmenwerk zur Steuerung und Überwachung eines Unternehmens” (Germany)

“Corporate Governance ist das System mittels dessen Unternehmen gesteuertund überwacht werden” (United Kingdom)

“Ein Verhaltenskodex für die mit dem Unternehmen in Zusammen-hang stehenden Personen – insbesondere Führungskräfte, Aufsichts-ratmitglieder und Investoren – bestehend aus einem Sortiment von Regeln für einsolides Management und die korrekte Überwachung sowie für die Teilung von Pflichten, Verantwortlichkeiten und Befugnissen, die auf ein ausgewogenesGleichgewicht des Einflusses aller beteiligten Personen einwirken”(The Netherlands)


Elemente der Corporate Governance

Corporate Governance

• Unabhängigkeit

• Haftung

• Entlohnung

• Schutz

• Rechte

• Beteiligung

• Unabhängigkeit

• Haftung

• Verantwortung

• Unabhängigkeit

Abschlussprüfer Überwachungsorgane

Top ManagementAnteilseigner

• Interne Kontrollen und Risikomanage-ment

• Transparenz und Verfügbarkeit rele-vanter Informationen

• Zuordnung von Befugnissen

Organisatorische Aspekte


Je weiter der räumliche Fokus einer Corporate Gover-nance Initiative, desto unbestimmter sind die Vorgaben

Globale / InternationaleCorporate Governance Initiativen

EuropäischeCorporate Governance Initiativen

LänderspezifischeCorporate Governance Initiativen

Internationale CG Initiativen geben generelle Richtlinien im Sinne eines Rahmens für länderspezifische Regelungen vor.

Europäische CG Initiativen zielen auf:• Angebot einer gemeinsamen Informa-

tionsplattform für die EU-Mitgliedsstaaten • Gegengewicht zu US-Initiativen• Herstellung von Kompatibilität zwischen

den CG Codes der Mitgliedsstaaten

Länderspezifische CG Initiativenzielen auf:• Normen und Regeln für die beteiligten

Gruppen (Management, AR, Prüfer,…)• Verbesserung der nationalen

Kapitalmärkte

Herausgeber / Verbindlichkeit der Codes


Gesetzliche Entwicklungen Corporate Governance in Deutschland hat diverse Quellen

• Corporate Governance Kodex (Cromme-Kommission)

• Flankierende gesetzgeberische Maßnahmen

− TransPuG (z.B. §161 AktG – Erklärung zum Corporate Governance Kodex)[Gesetz zur weiteren Reform des Aktien- und Bilanzrechts, zu Transparenz und Publizität]

− BilKoG (Enforcement-Gesetz, Deutsche Prüfstelle für Rechnungslegung, BaFin)[Gesetz zur Kontrolle von Unternehmensabschlüssen]

− BilReG (Mod. Bilanzierungsrecht, Lagebericht, Berichterstattung WP, Unabhängigkeit)[Gesetz zur Einführung internationaler Rechnungslegungsstandards und zur Sicherung der Qualität der Abschlussprüfung]

− UMAG (Erleichterte Klagen g. Unternehmensorgane / Erschwerung von Missbrauch)[Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts]

− TUG (Meldepflichten bei Anteilserwerb, Bilanzeid, direkte Strafandrohung für Vorstand)

− [Transparenzrichtlinien-Umsetzungsgesetz]

− ….

• Rechtsprechung


EU-Regelungen (Zusammenfassung)

8. EU Richtlinie (Umsetzung bis 29.6.2008)

Es handelt sich um die sogen. „Abschlussprüferrichtlinie“

Fokussierung auf Harmonisierung und Qualitätssicherung der Abschlussprüfung

Art. 41:Zu den Aufgaben des Prüfungsausschusses gehört die Überwachung der Wirksamkeit des internen KontrollsystemsDer Abschlussprüfer berichtet dem Prüfungsausschuss über wesentliche Schwächen des internen Kontrollsystem im Rechnungslegungsprozess

Änderungen der 4./7. EU Richtlinie (Umsetzung bis 5.9.2008)

Bestimmte Unternehmen (börsennotiert am geregelten Markt gemäß EU Definition) nehmen im Lagebericht eine Beschreibung der wichtigsten Merkmale des internen Kontroll- und des Risikomanagementsystems der Gesellschaft im Hinblick auf den Rechnungslegungsprozess auf


Gesetzliche Grundlagen Fokus auf: 8. EU-Richtlinie / Artikel 41

� Artikel 41 der Richtlinie 2006/43/EG vom 17. Mai 2006 überAbschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen

- Jedes Unternehmen von öffentlichem Interesse hat einen Prüfungsausschuss.- …, besteht die Aufgabe des Prüfungsausschusses unter anderem darin,

- den Rechnungslegungsprozess zu überwachen;- die Wirksamkeit des internen Kontrollsystems, gegebenenfalls des

internen Revisionssystems, und des Risikomanagementsystems desUnternehmens zu überwachen;

- die Abschlussprüfung des Jahres- und des konsolidierten Abschlusses zu überwachen;

- die Unabhängigkeit des Abschlussprüfers …, insbesondere die von diesen für das geprüfte Unternehmen erbrachten zusätzlichen Leistungen, zu überprüfen und zu überwachen

- Abschlussprüfer … berichten dem Prüfungsausschuss über die wichtigsten bei der Abschlussprüfung gewonnenen Erkenntnisse, insbes. über wesentliche Schwächen bei der internen Kontrolle des Rechnungslegungsprozesses.


Regelungen für die AbschlussprüfungAnforderungen der Wirtschaftsprüfer

• Stärkerer Fokus auf das interne Kontrollsystem

- Identifikation von Risikobereichen für den Jahresabschluss- Identifizieren wichtiger Kontrollen- Überprüfung, ob durch die Kontrollen die richtigen Risiken adressiert sind- Überprüfung der Kontrollen auf Funktionsfähigkeit- Berücksichtigung von automatischen und organisatorischen Kontrollen- Prüfung der General Computer Controls- Berücksichtigtung der COSO-Ebenen in der Prüfung

• Kritische Durchsicht des Buchungsstoffes – Journal Entry Testing- Identifizieren kritischer Bereiche- Datenabzug aus dem Buchführungsystem- Durchführen von Standardtests und individuellen Tests- Übergabe von Verdachtsfällen an Revision, Management oder Aufsichtsgremien

• Kritisches Hinterfragen der Einstellung des Managements zu Fraud (z.B. Management Override) sowie der eingeführten Maßnahmen zur Fraud-Prophylaxe


Kontrollsystem/RisikomanagementElemente des Regelsystems

Sec. 404 (b) SOA; AS No. 2 des

PCAOB

AS No. 2 des PCAOB, Tz. 24 f. (indirekt);

Art. 41 II rev. 8. EU-RiLi

Sec. 404 (a) (1) SOA(indirekte Feststellg.)

Internal Controlover Financial Reporting (ICFR)

n.a.- Allg. Überwachung

- Berichtsempfänger

Principal executive & financial officers gem.

Sec. 302 (a) SOA

DisclosureControls and Procedures

Kein Prüfungsgegen-stand; Teil der Prü-fungshandlungen,

soweit Rele-bezogen

siehe ebd.; Ziff. 5.3.2 DCGK (Kenntnis „inter-ner Kontrollverfahren“); Art. 41 II rev. 8. EU-RiLi

Allg. Leitungspflicht gem. § 76 I AktG; Ziff. 4.1.4 DCGK

Risikomanage-ment: Internes Kontrollsystem

Begrenzte Verpflichtung nach

§ 317 IV HGB

Allg Überwachungs-pflicht nach § 111 I

AktG; Ziff. 5.3.2 DCGK („Risikomanagement“)

Verpflichtung gem. § 91 II AktG;

Ziff. 4.1.4 DCGK

Risikomanage-ment: Risikofrüh-erkennungs-system

AbschlussprüferAufsichtsrat,

Audit CommitteeVorstand


Komplexe Organisationen in multinationalen Unternehmen erschweren die Zuordnungvon Verantwortung für CG

Matrix: Managementverantwortung vs. rechtliche Verantwortung• Aufgrund der Trennung

von rechtlicher und faktischer Verantwor-tung ist CG oft nicht im Fokus von Bereichen oder Geschäftseinheiten

• Ein sog. Compliance System ermöglicht es, den jeweils Verant-wortlichen die relevan-ten Informationen zur Verfügung zu stellen.

• Das Compliance System integriert externe Anforderungen und die interne Phi-losophie zur Unterneh-mensüberwachung

Legal Entity A

Business Unit 3

USAUSA

Business Unit 1 X

Headquarters X X X

Business Unit 2 X

Business Unit 5 XX

Business Unit 4 XX

EUEU

The NetherlandsThe Netherlands FranceFrance GermanyGermany SpainSpain

Managerial view:

Legal view:

X

Legal Entity B Legal Entity C Legal Entity D

CG in multinationalen Unternehmen


Internationale Entwicklungen

• Japan SOX (under discussion):– Control Framework verpflichtend– Abdeckung Prozesse des Finanzberichtswesens– jährlicher Bericht des Managements zu internen Kontrollen– Prüfung durch Abschlußprüfer– Strafen bis zu 10 Jahren Gefägnis / 10 Mill Yen bei nicht

compliance – Gültigkeit ab 31. März 2009 (31. März 2008 freiwillig)

• Korea SOX: – wie J-SOX, jedoch geringere Strafandrohung– Best Practice Standards auf COSO-Basis entwickelt– schrittweises Inkrafttreten seit 2004 – 2007

• Indien SOX:– umfassende Regelungen zu Top Management und

Aufsichtsgremien (z.B. Audit Committee)– Bericht des Managements über das interne Kontrollsystem,

Zertifizierung durch Abschlußprüfer

Beispiele für länderspezifische Entwicklungen außerhalb der EU (1/2)


Internationale Entwicklungen

• US SOX:

– Fokus auf Section 802 – Archivierung relevanter Unterlagen

(auch Emails!!)

– Neuer Prüfungsleitfaden der SEC (Entwurf):

• Stärkere Risikofokussierung von Kontrollen

• Stärkerer Einbezug von Entity-Level Controls

• General Computer Controls nur bei Relevanz für Financial

Reporting

• Permanentes Monitoring von Kontrollen als

Funktionsnachweis von Kontrollen zulässig

• Abdeckung von Niederlassungen / dezentralen Einheiten

durch zentrale Kontrollen

• Prüfung des Funktionierens von Kontrollen durch den

Abschlußprüfer – keine Prüfung des Management-Testings

durch den AP

Beispiele für länderspezifische Entwicklungen außerhalb der EU (2/2)


Agenda




4. Tools


Anforderungen der EU Änderungen 4 / 7 / 8 Richtlinie

International Standards auf Audit (ISA)Prüfungsanforderungen für testierte Prüfungen

erforderliche Verbesserung der Transparenzfür institutionelle Anleger und Rating-Agenturen

erweiterterte Haftungnach deutschem Recht, Bilanzeid

(UMAG, KapInHag, TUG usw.)

erforderliche Standardisierungvon Finanzinformationen

(Value-Reporting, Performance-Reporting)

Gesetzliche Maßnahmenzur Verbesserung der

Corporate Governance in den einzelnen Ländern

Entwicklung nationaler und internationaler Kodizesals Best Practice

für die Corporate Governance(z. B. Sarbanes Oxley)

Corporate Governance AnforderungenHandlungsbedarf

Company

FCPAForeign Corrupt Practices Act


Die Verwendung eines ‘Control-Frameworks’ sorgt fürStruktur und Transparenz

Operat

ions

Finan

cial

Reporti

ng

Complia

nce

Monitoring

Information &Communication

Control Activities

Risk Assessment

Control Environment

Ac

tivi

ty /

Un

it n

Ac

tivi

ty /

Un

it 2

Act

ivit

y / U

nit

1

Categ

ories

Components

Act

ivit

ies

/ Un

it

COSO-Modell

Verbesserte Transparenz und

Zuverlässigkeit wegen

• des Kontrollrahmens

• der Überwachung

• Information and Kommunikation

Voraussetzungen:

• Die meisten Anforderungen beziehen sich auf COSO oder entsprechen COSO.

• Entsprechende Fachkenntnisse sind vorhanden.

• Entsprechende Unterlagen sind vorhanden.

Anforderungen der EU Änderungen 4 / 7 / 8 Richtlinie

International Standards auf Audit (ISA)Prüfungsanforderungen für testierte Prüfungen

erforderliche Verbesserung der Transparenzfür institutionelle Anleger und Rating-Agenturen

erweiterterte Haftungnach deutschem Recht, Bilanzeid

(UMAG, KapInHag, TUG usw.)

erforderliche Standardisierungvon Finanzinformationen

(Value-Reporting, Performance-Reporting)

Gesetzliche Maßnahmenzur Verbesserung der

Corporate Governance in den einzelnen Ländern

Entwicklung nationaler und internationaler Kodizesals Best Practice

für die Corporate Governance(z. B. Sarbanes Oxley)

Company

FCPAForeign Corrupt Practices Act


Welches Framework?Dimensionen von COSO

COSO I - Würfel

COSO II - Würfel• Strategic – high-level goals, aligned with and

supporting its mission

• Operations – effective and efficient use of its resources

• Reporting – reliability of reporting

• Compliance – compliance with applicable laws and regulations

Operat

ions

Finan

cial

Reporti

ng

Complia

nce

Monitoring

Information &Communication

Control Activities

Risk Assessment

Control Environment

Act

ivit

y / U

nit

n

Act

ivit

y / U

nit

2A

ctiv

ity

/ Un

it 1

Categ

ories

Components

Act

ivit

ies

/ Un

it


Kontrollsystem/RisikomanagementDefinition des Sollobjekts


Bestellungsmenge=

Liefermenge

Wareneingang=

Rechnung

Buchungs-erfassung

Rech-nungs-prüfung

Waren-eingang

Bestell-über-wachung

BestellungAuftrags-erteilung

Bestellan-forderung

Ange-bots-prüfung

Bestellung

Zahlungs-vorschlag

Zahlungs-ausgang

Buchung=

Rechnung

Buchung =Rechnung =

Zahlung

Lieferschein Rechnung Buchungs-beleg

Zahlungs-liste

Zahlungs-beleg

Angebot

Beispiel: Bestellung – Buchung - Zahlung

Lieferanten

Bestellartikel KonditionenFirmen- /

AdressdatenBankverbindung

Lieferanten-bewertung


Lieferant, Artikel freigegeben

Konditioneneingehalten

Anschrift / Firmakorrekt

Bankverbindungkorrekt


Prozess-kontrollen


Abteilung/Kosten-stellen

Budgetüber- / -unterschreitung

Warengruppe


Lieferant


Lieferant / Warengruppe

Dominanz

nachgelagerteKontrollen

Auftragssplitting Daueraufträge Manuel. Zahlungen Fragw. Lieferanten

IT Application Controls / IT General Controls


Ermittlungfehlerhafte

Teile / Ausschuss

Lieferung = Ausschuss

+ Einbau

Erstellen Gutschrift

SammlungTeileverw. (Mengen)

EinbauTeileprü-fung

LieferungFeinpla-nung Abrufe

Buchungs-erfassung

Zahlungs-ausgang

Gutschrift= Menge* Preis

Gutschrift =Buchung =

Zahlung

Beispiel: Planung – Abruf – Gutschrift

Lieferanten

Firmen- / Adressdaten

BankverbindungLieferanten-bewertung




Bauteil/Baugruppe

Verbrauch gem. Stückliste / TVNW

RahmenvertragAnwendung

(Gleitklauseln, MTZ* etc.)

Lieferant


Planabweichungen

Mengenabwei-chung zum Plan

Produktionspro-grammplanung

Stückliste / Teile-verwendungs-

nachweis

MengenplanungRahmenvertrag

für Serie


Prozess-kontrollen

*Materialteuerungszuschlag

IT Application Controls / IT General Controls


UmsetzungsbeispielKontrollen im Einkaufsprozess

• In der ersten Phase erfolgt die Auswahl der Relevanten Prozesse (z.B. Beschaffung) und die zugehörigen Geschäftsprozesse innerhalb dieser Prozesse.

• Die Auswahl erfolgt zunächst exemplarisch für den Aufbau eines Referenzmandanten für eine Legal Entity.

• Nach erfolgreicher Implementierung eines IT-gestützten IKS einer LE erfolgt das Rollout und individuelle Anpassungen auf weitere Legal Entities.

Einkauf

Kreditoren

Auszahlungen

Stammdatenpflege Beschaffung

Beschaffung Produktion Absatz Service

Informationstechnologie

Finanzmanagement

Lohn und Gehalt

Geschäfts-prozesse

Prozesse

I II III IV V


Auswahl Key-Controls

. . .. . .. . .. . .

. . .. . .. . .

. . .. . .

JaIn SAP R/3 können die Eingaben zu Stammdaten fürdie Erstellung von Bedarfsanforderungensystemseitigen Ordnungsmäßigkeitskontrollen(Vollständigkeit der Pflichtfelder, Richtigkeit in Bezugauf gespeicherte Vorgabewerte etc.) unterzogenwerden.

NeinDas Management verfolgt Übersichten zurAnlieferung von Waren, die aufgrund von fehlendenoder nicht übereinstimmenden Bestellungenzurückgesendet werden.

Bestellungenwerden richtigeingegeben.

. . .. . .

JaNur berechtigte Mitarbeiter dürfen die Stammdatenfür Bestellungen (Bestellanforderungen) und langfristige Rahmenverträge einrichten und ändern.

JaDas Management reviewt Aufstellungen mit Angabenüber Preisabweichungen und Bestellkonditionen.

NeinBestellungen werden vor der Versendung an den Lieferanten durch das Management durchgesehenund genehmigt.

JaDas Management muss alle Bestellungengenehmigen, wobei Sondergenehmigungen fürunübliche Anschaffungen (z.B. langfristige Verträge) erforderlich sind.

Bestellungenerfolgen nur fürgenehmigteAusgaben.

EinkaufBeschaf-fung

Key-ControlKontrollmaßnahmeKontrollzielGeschäftsprozessProzess

• In der Phase 2 erfolgt die Identifizierung relevanter Kontrollmaßnahmen in den Geschäftsprozessen.

• Die Identifizierung der Key-Controls ist wesentlicher Bestandteil dieser Phase.

I II III IV V


Kategorisierung der Key-Controls

Meist wird ein Zusammenspiel von organisatorisch und DV-technisch realisierten Kontrollen

gefordert:

• DV-technische Kontrollen sind zuverlässiger und weniger arbeitsintensiv - sie steigern somit die Effizienz und erhöhen die Kontrollsicherheit

• Nicht alle Kontrollen können ausschließlich DV-technisch abgedeckt werden – bei der Erwägung einer DV-technischen Kontrolle ist auch der Aufwand für den später erforderlichen Nachweis der Funktionalität der Kontrolle zu berücksichtigen

• Ergänzung durch organisatorische Kontrollen sichert die Effektivität des IKS

. . .. . .. . .

dv-technischJaIn SAP R/3 können die Eingaben zu Stammdaten für die Erstellung von Bedarfsanforderungen systemseitigen Ordnungsmäßigkeitskontrollen(Vollständigkeit der Pflichtfelder, Richtigkeit in Bezug auf gespeicherteVorgabewerte etc.) unterzogen werden.

dv-technischJaNur berechtigte Mitarbeiter dürfen die Stammdaten für Bestellungen(Bestellanforderungen) und langfristige Rahmenverträge einrichten und ändern.

organisatorischJaDas Management reviewt Aufstellungen mit Angaben überPreisabweichungen und Bestellkonditionen.

dv-technischJaDas Management muss alle Bestellungen genehmigen, wobeiSondergenehmigungen für unübliche Anschaffungen (z.B. langfristigeVerträge) erforderlich sind.

Kategorisierung derRealisierung

Key-ControlKontrollmaßnahme

I II III IV V


Vorbereitung der IT Umsetzung

. . .. . .. . .. . .. . .. . .. . .. . .. . .

etc.Prüfbar imSystem (z.B. Transaktion “SPRO”) mittelsDefinition relevanterVorgabe-werte

PrüfbarmittelsDefinition relevanterMussfelder(Tabelle“T162” und Tabelle“T004F”)

Nicht relevantMandant, Buchungskreis, Werk, etc.

MMSAP System X von Legal Entity Y

dv-technisch realisierteKey-Control

In SAP R/3 können die Eingaben zu Stammdatenfür die Erstellung von BedarfsanforderungensystemseitigenOrdnungsmäßigkeitskontrollen (Vollständigkeit derPflichtfelder, Richtigkeit in Bezug auf gespeicherteVorgabewerte etc.) unterzogen werden.

n.a.

n.a.n.a.Prüfbar überBerechtigungskonzept(Transaktion“ME21” und “ME22”)

Mandant, Buchungskreis, Werk, etc.



Nur berechtigte Mitarbeiterdürfen die Stammdaten fürBestellungen(Bestellanforderungen) und langfristigeRahmenverträgeeinrichten und ändern.

n.a.

n.a.n.a.Prüfbar überBerechtigungskonzept(Transaktion“ME28”)

Mandant, Buchungskreis, Werk, etc.



Das Management muss alle Bestellungengenehmigen, wobeiSondergenehmigungen fürunübliche Anschaffungen(z.B. langfristige Verträge) erforderlich sind.

etc.

DefinierteVorgabe-werte

Muss-/Kannfelder

CustomizingBerechtigungs-konzept

PrüfbarkeitRelevanteOrganisations-einheitenin SAP R/3

Relevantes Modul

RelevantesSystem

Kontroll-art

Kontrollmaßnahme

• Bereits bei der Definition der Kontrollmaßnahmen muss die Ausgestaltung der zugehörigen Testfälle sowie die Prüfbarkeit der Kontrollen geplant werden.

I II III IV V


Beispiel: Berechtigungskonzept

Die Freigabe von Bestellungen ist Systemseitig auf einzelne Mitarbeiter limitiert.

PO#06Verlust oder ineffektiver Gebrauch von Gesellschafts-Vermögen durch unautorisierte Einkäufe.

Nur autorisierte Personen können Bestellungen genehmigen

Die Durchführung von Bestellungen ist auf ausgewählte Mitarbeiter limitiert.

PO#05

Verlust oder ineffektiver Gebrauch von Gesellschafts-Vermögen durch unautorisierte Einkäufe.

Nur autorisierte Mitarbeiter können Bestellungen durchführen

Einkauf

Kontroll-AktivitätKontroll-Nr.

Kontroll-RisikoKontroll-ZielTeil Prozess

DV-technisch geregeltes IKS in SAP R/3

z.B.:

ME21: Bestellung hinzufügen

ME22: Bestellung ändern

ME28: Bestellung freigeben

Leiter EinkaufPO#06

ME28: Bestellung freigeben

z.B.:

ME21: Bestellung hinzufügen

ME22: Bestellung ändern

Mitarbeiter EinkaufPO#05

Und Ausschluss TransaktionenÜber Vergabe von SAP Transaktionen

Organisatorisch

geregeltes IKS

Kontroll-Nr.

Effiziente Prüfung der Einhaltung v. Funktionstren-nungen ist tool-gestützt möglich:

"(ME21 v ME22) ME28"

>

…

⇒ Transparenz und Nachvollziehbarkeit⇒ Ermöglicht effiziente Prüfung

I II III IV V


Beispiel: Customizing

Eingaben von Stammdaten werden Vollständigkeitskontrollen der Pflichtfelder unterzogen.

PO#07Bestellungen werden nicht ordnungsgemäßausgefüllt.

Bestellformulare werden vollständig ausgefüllt.

Einkauf

Kontroll-AktivitätKontroll-Nr.

Kontroll-RisikoKontroll-ZielTeil Prozess

Toolgestützte Prüfung des Customizing.

…

⇒ Transparenz und Nachvollziehbarkeit⇒ Ermöglicht effiziente Prüfung

Artikelnummer

Bestellmenge

z.B.: Tabelle T162Mitarbeiter EinkaufPO#07

Definition Mussfeldergeregeltes IKS

DV-technisch geregeltes IKS in SAP R/3

Organisatorisch Kontroll-Nr.

I II III IV V


Zusammenfassung: IT-KontrollenAutomatisierte Kontrollen erhöhen die Zweckmäßigkeit automatischer Überwachungssysteme.

• Manuelle Freigaben

• Abgleichungen

• Manuelles Berichtswesen

• Papier – basierte Kontrollen

Manuell

• Kontrolle Transaktionen

• Stammdatenüberwachung

• Überwachung Zugangskontrollen

• Überwachung SOD

• Überwachung von Anwendungs-/ anpassbare Kontrollen

• Manuelle Prozess- und Kontrollüberwachung

• Überwachung allgemeine IT Kontrollen

• Risikoeinschätzung

• Auswertung von Stichproben

• Zugangskontrollen

• Funktionstrennung („SOD“)

• Anwendungs-/ anpassbare Kontrollen

• Allgemeine IT Kontrollen

Automatisch Überwachung/SicherungManuelle Kontrollen Automatische Kontrollen/ Sicherung

Überwachungssoftware kann in verschiedenen Anwendungsbereichen eingesetzt werden:

• Als ‚wichtige‘ Kontrolle um Kontrollziele zu ereichen, oder

• um die Effektivität von bestehenden ‚wichtigen‘ Kontrollen zu überwachen (vor- & nachgelagert)


Best Practice: Sarbanes Oxley und IT

Beispiel: Kontrollbereiche im SAP-UmfeldA

nw

end

un

gs-

abh

äng

iges

IKS

An

wen

du

ng

s-u

nab

hän

gig

esIK

S

IT-gestützte Geschäftsprozesse

IT-Anwendung (SAP)

• Customizing• ABAP-Programme• Zugewiesene Berechtigungsprofile

Hardware

Datenbank

Betriebssystem

SAP Basis-system

Kommunikation

IT-Infrastruktur• Anbindung & Service Level

Agreements• Audit & LogIn auf Netzwerkebene• Change-Managementverfahren

• Physisches Netzwerk

• UNIX

• TCP/IP• Firewall• Schnittstellen intern / extern

• Oracle• Rechnungslegungsrelevante Daten

• SAP Hierarchie• Basistabellen• Benutzer-/

Berechtigungsverwaltung

• Datenfluss• Schnittstellen• Sonder-User

• Physische Server• Physischer

Datenspeicher

Verantwortung IKS Ziele

Wir

tsch

aftl

ich

keit

/ V

erm

ög

enss

ich

eru

ng

Sic

her

hei

t

Ord

nu

ng

smäß

igke

itSAP CompetenceCenter

System-Spezialisten

Infrastruktur-Spezialisten

Fachbereiche

• Zugriffsberechtigungen

An

wen

du

ng

s-ab

hän

gig

esIK

SA

nw

end

un

gs-

un

abh

äng

iges

IKS

IT-gestützte Geschäftsprozesse

IT-Anwendung (SAP)

• Customizing• ABAP-Programme• Zugewiesene Berechtigungsprofile

Hardware

Datenbank

Betriebssystem

SAP Basis-system

Kommunikation

IT-Infrastruktur• Anbindung & Service Level

Agreements• Audit & LogIn auf Netzwerkebene• Change-Managementverfahren

• Physisches Netzwerk

• UNIX

• TCP/IP• Firewall• Schnittstellen intern / extern

• Oracle• Rechnungslegungsrelevante Daten

• SAP Hierarchie• Basistabellen• Benutzer-/

Berechtigungsverwaltung

• Datenfluss• Schnittstellen• Sonder-User

• Physische Server• Physischer

Datenspeicher

Verantwortung IKS Ziele

Wir

tsch

aftl

ich

keit

/ V

erm

ög

enss

ich

eru

ng

Sic

her

hei

t

Ord

nu

ng

smäß

igke

itSAP CompetenceCenter

System-Spezialisten

Infrastruktur-Spezialisten

Fachbereiche

• Zugriffsberechtigungen


Agenda




4. Tools


Herausforderung Corporate Governance

• Wachstum durch Akquisitionen• Führt häufig zu einem Nebeneinander nicht aufeinander abgestimmter

Prozesse und Systeme• Bringt unterschiedliche Unternehmenskulturen zusammen

• Heterogenes Portfolio• Wettbewerbsumfeld der Geschäftsbereiche ist sehr unterschiedlich • Unterschiedliche Businessmodelle führen zu unterschiedlichen Prozess-,

Kontroll- und Risikostrukturen• Komplexe konzerninterne Liefer- und Leistungsverflechtungen

• Dezentrale Strukturen• Konflikt zwischen dezentraler unternehmerischer Freiheit/ Verantwortung

und zentraler Standardisierung/ Kontrolle• Anhaltender Ergebnisdruck

• Kommunikation von Fehlentwicklungen / Risiken erfolgt erst, wenn sie sich nicht mehr verbergen lassen

für multinationale Unternehmen


Compliance Organisation Eindeutige Zuständigkeiten und Verantwortungen

Day to day management& risk control

Risikomanagement-Funktionen und Stabstellen

Interne Revision

• Festlegung der Grundsätze, Methoden und Strategien

• Definition der internen Kontroll- und Überwachungs-verfahren(Richtlinien, Regeln, Limitsysteme)

• Risiko-Controlling und Reporting etc.

• Hauptverantwortung für das operative Risikomanagement

• Einhaltung der Prozess-und Kontrollstandards

• Anwendung der Kontrollverfahren und -instrumente

• KPI-Monitoring und pro-aktives Reporting

„1st line of defense“

• Prozessunabhängige Überwachungsfunktion

• die Interne Revision agiert unabhängig von den Funktionsbereichen und berichtet direkt an das Management und den Prüfungsausschuss

„2nd line of defense“ „3rd line of defense“

Konzeption des IKS

AusführungEinhaltung

Prüfung An-gemessenheit

Ausrichtung der Int. Revison

Präventive und detektiveCompliance- und Fraud-Kontrollen als Teil des

IKS

- Zentraler Risikoausschuss- Compliance Officer- Compliance Organisation- Compliance Reporting

- Compliance Audit- Forensik Audit

neu neu neu


Compliance Organisation Einbindung in Unternehmensorganisation

2nd line of defence / Risk policies,

methodologies & oversight

1st line of defence /Day to day management

& risk control

3rd line of defence /Independent assurance

Spezialisten und Stabsstellen für:

• Risikomanagement• Compliance & Fraud

• Risikostrategie / Methodik• Risikoreporting• Unternehmensweite Sicht• Beratung des Vorstands

Risiko Ausschuss

Geschäfteinheiten &Funktionen

Interne RevisionRisiko Management-Funktion

und Assurance Provider

Vorstand Prüfungsausschuss

• Geschäftssteuerung (KPI)• Einhaltung der verein-

barten Kontrollstandards, Limite, Freigabeverfahren

• Früherkennung und Ad-hoc-Reporting

• Self Assessments & Testing der Kontrollen

Überwachung der Angemessenheit und Einhaltung im Rahmen von:

• Financial Audit• Operational Audit• Compliance Audit• Forensik Audit


Integration von Kontrollsystem und RisikomanagementElemente der internen Überwachung

ProzessunabhängigeÜberwachung

durch IR

Planung/Controlling

Internes Kontrollsystem(IKS)

Risikomanagement im Unternehmen

Enterprise Risk Management(ERM)

§ 91 Abs. 2 AktG

Bestandteile eines Risikomanagementsystems im Überblick



Die Integration der Teilsystem stellt eine Herausforderung für viele Unternehmen dar



Sofern die Teilsysteme bisher nicht integriert sind, muss eine Mindest-Information und Koordination sichergestellt werden



Integration der Ergebnisse der Internen Revision und dem Self Assessment aus dem IKS in das ERM



Modell einer möglichen Integration der Teilsysteme IKS und ERM


• Bestimmte Ausprägungen einzelner Faktoren fördern nach unserer Erfahrung die Verlässlichkeit und Effizienz des Risikomanagements entscheidend – eine Feinjustierung muss stets individuell auf das Unternehmen angepasst werden.

• Integration in strategische Planung

• Zentrale vs. dezentrale Zuordnung der Verantwortung für das Management von Risiken und Chancen

• Zentrale vs. dezentrale Zuordnung der Verantwortung für das Risikomanagement

• Verwendung abgeleiteter Kennzahlen als Frühwarnindikatoren

Soll Ist

Ist Soll

Ist Soll

Ist Soll

Vollständige Integration

Keine Integration

Zentrale Verantwortung

Dezentrale Verantwortung

Zentrale Verantwortung

Dezentrale Verantwortung

Ausschließliche Verwendung abge-leiteter Kennzahlen

Keine Ver-wendung abge-

leiteter Kennzahlen

Typische Potentiale ‘Risikomanagement‘


• Formelle vs. Informelle Kommunikationsstrukturen

• Formelle vs. Informelle Berichtswege

• Integration in bestehende Controlling-/ Berichtssysteme

• Fehlende Unterstützung durch spezielle Software

SollIst

SollIst

SollIst

SollIst

InformellFormell

Formell Informell

Keine Integration

Vollständige Integration

Umfass-ende

Software-unter-stützung

Keine Software

Unterstützung

Typische Potentiale ‘Risikomanagement‘

55© 2007 IIR Deutschland GmbH Autor: Andreas Herzig, Deloitte

Agenda




4. Tools


Aktuelle Situation

• Die meisten Unternehmen müssen noch zukunftsfähige Technologien implementieren um den Anforderungen an Governance, Risikomanagement und Compliance zu erfüllen

– Im ersten Jahr konzentrierten sich die Organisationen primär darauf, den Anforderungen der Sec. 404 zu entsprechen

– Im zweiten Jahr wurde der Schwerpunkt darauf gelegt, den Prozess und die Dokumentation zu verfeinern

• Der Schwerpunkt sollte jetzt auf der Technologie liegen, die Governance, Risikomanagement und Compliance automatisiert

– Die Heldentaten kleiner Projektteams werden jetzt in die Alltagstätigkeiten der Organisation integriert.

– Die anhaltenden Kosten für die Compliance zu minimieren hat Priorität– Mehrfache Bemühungen in den verschiedenen Bereichen der Compliance, die

Fähigkeit die Compliance zu seinem Vorteil zu nutzen, Bemühungen quer über verschiedene gesetzliche Anforderungen


404 Anbieter-Landschaft

• Die Anbieter-Landschaft entwickelt sich, jedoch steht sie erst am Anfang

– Große Software-Anbieter (z.B. SAP, Oracle, IBM) hatten weniger Zugkraft als erwartet.

– SAP hat vor kurzem Virsa aufgekauft und einen Governance, Risk & Compliance Geschäftsbereich (GRC) gegründet.

– Spezialisierte Anbieter (z.B. Paisley, OpenPages) verfügen über die größte Marktpenetration.

– Anbieter versuchen ihre Angebote zu differenzieren, indem sie den Fokus über 404 Compliance hinaus erweitern


Die Entwicklung der Compliance: Wo stehen Sie heute?

Da Unternehmen ihre Compliance fort entwickeln, werden manuell-intensive, weniger zuverlässige und ineffiziente Kontrollen in technologie-basierende (Automatisierung & Überwachung), kosteneffiziente und zuverlässige Kontrollen, die eine nachhaltige Compliance ermöglichen, weiterentwickelt.

–Risiko basierender Ansatz

–Rationalisierte Kontrollen

–Management-Plattform

–Manuell-intensive Testverfahren

–Umfangreiche Stichprobengröße

– Ansatz nicht an Risiken ausgerichtet

–Überflüssige Kontrollen

–Manuell ausgerichtete Geschäfts- und IT Prozesse und Kontrollen

– Ineffiziente Tests

– “Reaktiver” Ansatz, auf dessen Grundlage Kontrollsachverhalte identifiziert und gehandhabt werden

–Umsetzung anwendungsbasierte Geschäfts- ,IT- und Prozesskontrollen

– Kontrollen bzgl. Zugriffsrechte der User & Aufgabentrennung Kontrollen

– Effiziente Kontrollanwendung

– Effiziente Prüfkontrollen

– Verschiedene automatische Prüfungsfunktionen

–Reduzierte Stichprobengröße

– Laufende Überwachung von Kontrollen

– Effiziente Kontrollanwendung

– “Proaktiver” Ansatz bei der Bestimmung und Handhabung von Kontrollangelegenheiten

–Nachweisbare Kontrolleffektivität

–Nachhaltige Compliance Prozesse

–ROI / Geschäftswert

Technologie-gestützte Prozesse und KontrollenManuell Prozesse und Kontrollen

Wo steht Ihr Compliance-Programm heute?

manuellStart überwachtautomatisiert

Viele Compliance-Umgebungen bestehen aus manuellen sowie automatisierten Kontrollen, jedoch werden automatisierte

Kontrollen nicht zu hundert Prozent genutzt.


Der Standpunkt von Deloitte: Compliancekonsolidierung

Das Compliance Framework stellt die Beziehungen zwischen den Technologiekomponenten der Compliance-Landschaft dar, die ein nachhaltiges Compliance-Programm ermöglichen.

Compliance Framework

Unternehmensspezifische Geschäftsanforderungen (z.B. Industrie, Organisation, Struktur), Compliance-Anforderungen (z.B. SOX, HIPAA, Basel II, FDA), und Infrastruktur-Landschaften (z.B. ERP Systeme, Altsysteme, IT Infrastruktur) werden alle in die Betrachtung der automatisierten und überwachenden Kontrolltechnologie mit einbezogen.

Technologie Infrastruktur

integriertes Compliance Dashboard

Compliance Management Überprüfung von Kontrollen

Überwachung von Kontrollen

automatisierte Kontrollen

manuelle Kontrollen


Compliance Management

Compliance Management

• Risiko und Kontrollbewertung

• Einschätzung der Gestaltung und operativen Wirksamkeit von Kontrollen

• Identifizierung von Sachverhalten

• Planung von Szenarien und Sensitivitätsanalyse bzgl. Zugriff durch User und Benutzerrechten

Bewertung

Axentis, Aris, Certus, IBM,

Movaris, OpenPages, OpenText,

Oracle/ PeopleSoft,

Paisley, Qumas,

SAP/Virsa, Stellent

Beispiel Anbieter

• Bericht aufgegliedert nach Prozessen, Geschäftseinheiten oder Positionen nach Jahresabschluss

• Statusberichte, Berichterstattung über Mängel

• Überblick

• Bericht über Sachverhalt

Bericht

• Dokumentation der Ergebnisse der Kontrollen

• Identifizierung von SachverhaltenPrüfung

• Dokumentation der Prozesse, Risiken und Kontrollen für jeden Prozess

• Bestimmung und Dokumentation der zugehörigen Grundsätze, Verfahren und Systemdokumentationen

• Musterprüfungspläne für entsprechende Kontrollen

• Erstellung von Dokumentation und Nachvollziehbarkeit

Dokumentation

FunktionTätigkeit

• Diese Technologien ermöglichen einen Risikomanagementprozess, da sie grundlegende Tools bereitstellen, mit deren Hilfe Risiken beurteilt, Risiken und Kontrollen dokumentiert, Maßnahmen nachvollzogen, Testverfahren gehandhabt, Reporting und Berichterstattung laufend verbessert werden können.

• Diese Technologien können in eine einheitliche Lösung integriert werden, mit deren Hilfe viele Risiko- und Compliance-Initiativen gehandhabt werden können.


Automatisierte Kontrollen

Approva, Computer Associates, Courion, HP, IBM, Novell, Oracle/PeopleSoft, SAP/Virsa, Sun Microsystems

� Managen des Benutzerzugriffs und der Benutzerrechte

Zugriffskontrolle

Approva, Applimation, Logical Apps, Oracle, Oversight, SAP/Virsa

� Verhindern, durchsetzen und managen von Aufgabentrennungen

Aufgabentrennung

Cisco, IBM, HP, Microsoft, Novell, Sun Microsystems

� Systemkommunikation und operative Kontrollen umsetzen

� Operative Systeme und Netzwerkkonfigurationskontrollen umsetzen

Allgemeine IT

Kontrollen

Appian, Compliancy Software, Fujitsu, HP, Movaris, Webmethods

Approva, Oversight,

Oracle, SAP/Virsa

Bsp. Anbieter

� Automatisierung manueller Prozesse zu denen Abstimmung, Finanzabschluss und Compliance-Zertifizierung zählen

� Kontrollen werden automatisch in zuverlässige „manuelle“ Prozesse eingebunden

Automatisierte

manuelle

Prozesse

� Umsetzung betrieblicher Regelungen (z.B. Freigabe Toleranzgrenzen, Zahlungsbedingungen etc.)

� Umsetzung der Datenqualität (z.B. Überprüfung editierter Daten, Datenüberprüfungsverfahren bei der Datenerfassung)

Anwendung /

konfigurierbare

Kontrollen

FunktionAktion

Automatisierte Kontrollen

• Automatisierte Kontrollen sind technologiegestützt, konfigurierbar, und benötigen weniger oder keinen manuellen Eingriff um zu funktionieren.

• Sie sind spezialisierte Kontrollen, die die Industrie und gesetzliche Anforderungen unterstützen.


Ständige Überwachung

Courion, IBM, Oracle, SAP/Virsa, Sun Microsystems

� Überwacht Änderungen bei Zugriffsrechten und Benutzerrollen

Überwachen derZugangs-

kontrollen

IBM, Oracle, SAP, SAS

• Stammdaten werden zeitgleich überwacht

• Automatische Benachrichtigung bei festgestellten Änderungen

Überwachen der

Stammdaten

Approva, Applimation, Logical Apps, Oracle, Oversight, SAP/Virsa

ACL, Approva, Cendura,

Compliancy Software,

SAP/Virsa, Webmethods

Beispiel Anbieter

� Überwacht zeitgleich Änderungen der Zugriffsrechte hinsichtlich SOD-Konflikten.

� Kontrollinhaber werden automatisch benachrichtigt, wenn Konflikte festgestellt oder ausgeführt werden.

Überwachen der

Aufgaben-

trennung

• Überwachen der Geschäftsvorfälle

• Identifizierung von Kontrollmängeln, Fehlern, Betrug und ungewöhnlichen Vorgängen (z.B. Transaktionen und Änderungen die gegen risikobezogene Geschäftsvorgaben verstoßen)

• Kontroll/Prozessinhaber werden zeitgleich benachrichtigt.

Überwachen der

Geschäfts-

vorfälle

FunktionAktion

dauerhafte Überwachung

• Die Lösungen zur ständigen Überwachung ist technologie-gestützt. Sie deckt Mängel auf und wird dazu verwendet Kontrollen, Geschäftsvorfälle und Konfigurationen aktiv zu überwachen.

• Diese Lösungen enthalten idealerweise Funktionen die diejenigen benachrichtigen, die den gefundenen Fehler machten.


Ständige Überwachung (Fort.)

Active Reasoning, BMC, Cendura, Computer Associates, HP, IBM, Mercury, NetIQ, nLayers, Novell, Relicore, Symantec,

Tideway, SAP/Virsa, Approva

• Zeitgleiches Überwachen von Änderungen von konfigurierbaren Kontrollen und Anwendungen

• Bei Unstimmigkeiten werden Kontrollinhaber sofort benachrichtigt

Konfigurierbare

Kontrollüber-

wachung

Cisco, IBM, HP, Microsoft, Novell, Sun Microsystems

• Überwachen der Durchführung und Änderungen der IT-Kontrollen wie z. B. Netzwerk und Systemkonfigurationen

• Überwachen der Änderungen der Zugriffs- und Sicherheitskontrollen

• Sofortige Warnung bei Unstimmigkeiten und Kontrollmängeln

Allgemeine IT-

Kontrollen

Appian, Compliancy Software, Computer Associates, Fujitsu, HP, Movaris,

Webmethods

Beispiel Anbieter

• Überwachen der Durchführung von manuellen Kontrollprozessen, wie z. B. Abgleich, Jahresabschluss und Compliance-Zertifizierungen

• Manuelle Kontrollprozesse werden als Nachweis für Prüfversuche aufgezeichnet

Manuelle

Prozessüber-

wachung

FunktionAktion

Ständige Überwachung


Compliance Entwicklung: Ein Zeitplan

Die Technologie für die Compliance-Strategie legt den Grundstein für den Entwicklungs-Zeitplan für die Compliance-Kontrollen. Die Technologie ist ein wichtiger Bestandteil im Entwicklungsprozess der Kontrollen.

Konfigurierung automatischer

Anwendungskon-trollen

Implementieren eines

Compliance-Management-

tools

Überwachen von

Stammdaten-änderungen

Überwachen von Konfiguration von

Kontrollen und System-Setups

Rationalisierte Kontrollen, über

gesetzliche Anforderungen

hinaus

veranschaulichtes Beispiel

manuell überwachte Kontrollen

Überwachen von Geschäftsvor-

fällen

Kontrollstandardisier-ung innerhalb oder über Standorte und Geschäftseinheiten

hinaus

automatisch

Implementierung von

Zugriffsrechten & Berechtigungen (Identifizierung &

Zugriffs-Management)

Automatisierung manueller

Kontrollen & Prozessen

Definieren und implementieren automatischer

Kontrollen bzgl. SOD

Überwachen von

Verstößen gegen SOD

Implemen-tieren von

Datenschutz-Kontrollen

Beachten Sie: Die Strategie und der Zeitplan können für jedes Unternehmen unterschiedlich sein und hängt von dem Tätigkeitsfeld, der Compliance, der Technologie sowie den Anforderungen ab.


Ein Ansatz zur Entwicklung von Compliance-Kontrollen

Unternehmen können den folgenden Ansatz nutzen, um technologie-gestützte Kontrollressourcen wirksam einzusetzen:

– Verwendung eines risikobezogenen Top-Down-Ansatzes um das Umfeld zu abzugrenzen

– Integrierung mehrerer Compliance Anforderungen in Betracht ziehen

– Schaffung eines Maßstabs bestehender Kontrollen der Geschäftseinheiten und/oder Standorte

– Identifizierung von uneffizienten und weniger effektiven Kontrollen

– Bestandsaufnahme der bereits vorhandenen Technologielandschaft

– Beurteilung bestehender Technologien für Automatisierungs-und Überwachungsressourcen

– Identifizierung von Technologie-Lösungen für ineffiziente und weniger effektive Kontrollen

– Nach Priorität entwickelte technologie-gestützte Kontroll-lösungen*

– Entwurf technologie-gestützter Kontrollen für Geschäfts-und IT-Prozesse, einschließlich:

–automatisierter Kontrollen

–Kontrollüberwachung

– Implementierung von technologie-gestützten Kontrollen

– Entwicklung von risikobezogenen Prüfplänen, die Technologieressourcen wirksam einsetzen

– Anwendung von aktualisierten Schulungen und Kommunikationen

– Aktualisierte Vorgänge als Unterstützung neuer Technologie

*Die Technologie für Compliance-Strategie ist die Basis für den Entwicklungs-Zeitplan der Compliance-Kontrollen.

Beurteilung vorhandener Kontroll-& Technologieumgebungen

Entwicklung einer Compliance-Strategie-Technologie*

Entwurf und Implementierung von Technologie-gestützten Kontrollen

Entwicklung einer Strategie um technologie-gestützte Kontrollen wirksam einzusetzen, mit ein-bezogen werden muss Folgendes:

© 2007 IIR Deutschland GmbH Autor: Andreas Herzig

Gesetzliche Grundlagen und Prüfungsverfahren

Prüfungs- und Aufsichtsbehörden für Sarbanes Oxley


Agenda

1. Wichtige Institutionen für Sarbanes Oxley

2. Erwartungen des Abschlussprüfers / wiederkehrende Arbeiten


• Veröffentlichung von Vorschlägen zur Umsetzung und (nach Ablauf der Kommentarfrist) Veröffentlichung von Vorschriften

• Vorschriften für Unternehmen und Auditoren (z.B. Sek.404 "Management Assessment of Internal Controls")

• Bestimmung von PCAOB Mitgliedern, Bestätigung aller PCAOB Vorschriften

Sarbanes-Oxley Act

Anforderungen für die Umsetzung

Securities and Exchange Commission

(SEC)

Public Company Accounting

Oversight Board (PCAOB)

• Untersuchung und Registrierung von Prüfungsgesellschaften

• Erstellung von Standards für die Prüfung von Aktiengesellschaften

• Vorschriften für Unternehmen und Auditoren (z.B. Sek.404 "Management Assessment of Internal Controls")

• Überprüfung registrierter Prüfungsgesell-schaften bzgl. Regelverstößen

Wichtige Institutionen für SOX


Agenda

1. Wichtige Institutionen für Sarbanes Oxley

2. Erwartungen des Abschlussprüfers / wiederkehrende Arbeiten


• Der Abschlußprüfer hat zu bestätigen (wen möglich), dass angemesseneKontrollen für das Financial Reporting vorhanden sind und diese funktionieren.

• Der Abschlußprüfer hat zu bestätigen, dass das Unternehmen seine Kontrollengetestet und bei Feststellung von Schwachstellen Gegenmaßnahmen eingeleitethat.

• Der Abschlußprüfer wird folgende Schritte durchführen

� "Walkthrough Test" von Prozessen und Kontrollen (einschl. Dokumentation)

�Nachvollziehen der Tests des Unternehmens (inkl. einer Prüfung der Testdokumentation des Unternehmens)

�Durchführung eigener Tests

• IT-Anwendungen werden auf Prozessebene berücksichtigt – als wichtige Ergänzung hierzu ist eine Prüfung der sog. General Computer Controls (GCC) erforderlich

• Überprüfung der Kontrollen auf Entitätsebene und in ausgelagerten Einheiten / Prozessen (z.B. Rechenzentrumsbetrieb).

• Überprüfung des Kontrollumfeldes ("tone from the top").

Wichtige Aufgaben im Rahmen von SOX-Prüfungen

Erwartungen des Abschlußprüfers


� Alle weiteren routinemäßigen und nicht routinemäßigen Kontrollen ohne

signifikantes Risiko.Category 3

� Kontrollen mit durchdringendem Einfluss auf den Jahresabschluss, inkl.:

� Allgemeinen IT-Kontrollen.

� Andere COSO Komponenten auf Entitätsebene.

� Kontrollen des Financial Reporting am Ende der Abrechnungsperiode, inkl.:

� Maßnahmen zur Erfassung von Transaktionen im Hauptbuch.

� Maßnahmen zur Initiierung, Freigabe, Aufzeichnung und Verarbeitung von

Journalentitäten.

� Maßnahmen zur Aufzeichnung von wiederkehrenden und einmaligen

Anpassungen des Jahresabschlusses.

Category 2

� Kontrollen über die Kontrollumgebung.

� Durchführung von "Walkthroughs".

� Bereiche mit hohem Maß an Subjektivität oder spezifischem Risiko.

Category 1

Schritt 1 – Kategorisierung der Kontrollen

Test von Kontrollen durch den Prüfer


� Verwendung der Testergebnisse Dritter durch den Auditor –Kompetenz und Objektivitätsgrad

� Niedrig (z.B. verantwortliche Person zur Durchführung derKontrollaktivität bzw. des Self-Assessment). Der Auditor kann die Testergebnisse Dritter, die als "niedrig" eingestuft wurde, nichtweiterverwenden.

� Minimum (z.B. Mitarbeiter, die nicht direkt für eine Kontrollaktivitätverantwortlich sind, jedoch zum Compliance-Beauftragten innerhalbder Geschäftseinheiten und darüber hinaus ernannt wurden).

� Mittelmäßig (e.g. kompetente Interne Auditoren, Dritte und beauftragtes bereichsexternes Personal, das auf Anweisung des Managements arbeitet).

� Hoch (e.g. hoch kompetente Interne Auditoren oder Dritte, die direkt zum Audit Komitee berichten).

Schritt 2 – Kategorisierung der Tester



Der Auditor solltemindestens 20% der durch

Dritte getesteten CAs erneuttesten.

Der Auditor solltemindestens 40% der

durch Dritte getestetenCAs erneut testen.

Der Auditor solltemindestens 60% der

durch Dritte getestetenCAs erneut testen.

Verwendung derTestergebnisse Dritter durch

den Auditor

100% unabhängiges Testen durch Auditoren

100% unabhängiges Testen durch Auditoren

MINIMUM MITTELMÄßIG HIGH

KOMPETENZ UND OBJEKTIVITÄTSGRAD

NATURE

OF

CONTROLS

KATEGORIE 1

kATEGORIE 2

KATEGORIE 3


Schritt 3 – Ableiten der Strategie zur Verwendung der Testergebnisse Dritter


Zeitraum:1 Jahr

Anpassung Doku-mentation Prozesse

/ Kontrollen

Tests mitAbdeckung 365

Tage p.a.

VorbereitungMusterformulare

Tests durchfüh-ren (SOX/ IKS)

Archivierung der Testdokumen-tation

(1) Internes Kontrollsystem (IKS)

Änderungen in Prozessen / IT?

Dokumentationder Tests

Planung derTests

Änderungen des IKS (1) �� SOX?

SOX – wiederkehrende Aufgaben


SOX – Dokumentationsbeispiele (1/3)

Kontroll- und Testdokumentation:

Sub-Process: Vendor Master

Assertions Frequency Control Category

Control Method

Control Significance

Test Type Test Scope and Results / Conclusions Testing Ref

Control Gap Identified

Corrective Action Plan

Target Date

(2) ContinuousWeeklyMonthly

QuarterlyAs needed

Preventive/ Detective

Automated/ Manual

Primary/ secondary

Observation, Examination, Reperformance

Number Transaction (Process/Activity)

Risk Control Activity C A V R CO, EO, RO, VA, PD

C/W/M/Q/A P/D A/M P/S O/E/R

1.1.1. Vendor Master Maintenance

Unauthorized access to vendor master records

Access to create/change vendor master data is properly restricted.

X EO C P A P E Review access to create/change vendor master data (FK01, FK02).Access is restricted to the following profiles:- MD Administrator (F:IMD_U*)- Vendor Administrator (F:PMD_U*)- Vendor Administrator (Crit) (F:EMD_U*)

1.1.2. Vendor Master Maintenance

Unauthorized access to vendor master records

Access to block/unblock vendors is properly restricted.

X EO C P A P E Review access to block/unblock vendors (FK05, FK06).Access is restricted to the following profiles:- MD Administrator (F:IMD_U*)- Vendor Administrator (F:PMD_U*)- Vendor Administrator (Crit) (F:EMD_U*)

Control Type

(1)



Control Grid:

Section: Information Technology Process Location:Subsection: Infrastructure and Applications Development Prepared By: Date:

Key Statement Elements: Reviewed By: Date:

Any changesControl Technique How expected prior

Control Objective Financial Statement Risk Documented Control (Automated or Manual) COSO Component Control Owner Frequency Evidenced to 12/31/04New application systems are developed consistent with management's intentions.

ITI # 1 Projects are prioritized and assigned to ensure that limited information resources are utilized properly and support the corporate business objectives

Manual Control Activity Director, Applications Development

as needed Files Maintained

No

ITI # 2 A formal methodology or process is used to guide the acquisition, development or maintenance of hardware, application systems, network and communication software and systems software.



No

New application systems are appropriately implemented and function consistent with management's intentions.

System functionality will allow invalid entries into the corporate financial statements.

ITI # 3 New System Implementation - Measures are in place to ensure appropriate management of new system implementations. (e.g. Proper coordination and support with MIS, adequate evaluation of system requirements and specifications, timely implementation, extensive testing to ensure adequate system functionality, data integrity around system conversion, training provided on new system use, etc.)


as needed Files Maintained, User Sponsor Acceptance

No

When new application systems are implemented, existing data that is converted to the new system is complete, accurate, and valid.

ITI # 4 Management approves the results of the conversion of data (e.g., balancing and reconciliation activities) from the old application system or data structure to the new application system or data structure and monitors that the conversion is performed in accordance with established conversion policies and procedures.



No

Modifications to existing application systems are appropriately implemented and the modified application systems function consistent with management's intentions.

Changes will cause system or functionality failure.

ITI # 5 Requests for changes to application systems, in the production environment are documented and approved by management. Management monitors implementation of all such changes.


as needed Files Maintained, Release Control Board Approval

No



Narrative / Flowchart:

3.2 System Application Changes

3.2.1 XXX XXX AG

A change control process is used to restrict and approve changes to production systems. The change control process informs represented organizations of planned implementations or changes, providing the means for communications and coordination, and directing efforts toward minimizing potential negative impact of the change. (Control Point – ITI#2&5) This section outlines procedures for how to manage the progression of changes among the Development, Quality Assurance and Production SAP R/3 systems. Note that the same procedures apply regardless of whether the change is originating from the development environment (D22->C22) or the production support environment (V22->Q22). The overall flow is summarized in the following flowchart:

The remainder of this section provides some detail for each of these processes.

1Team leads create ChangeRequests and assign Tasks

to team members.(Workbench/Customizing)

2Team members execute the

work associated with theassigned Tasks in the

Configuration Client (103).

3Team members use

transaction SCC1 to copythe changes to the Unit

Test Client (003).

5When testing is complete,team members release the

Tasks.

4Were changes tested

successfully?

6Team leads confirm that all

Tasks are released andSCC1 the request to theUnit Test Client for final

check.


successfully?

8Team leads release the

Change Request to the QAsystem when a planned/coordinated test slot is

available.

9QA team completesintegration testing.


successfully?

11Team leads (request

owners) use STMS_QA toapprove the request as

“owner”.

12Change Control Boardreviews and approves

“owner” approvedtransports using STMS_QA.

14Transports which have

been approved by the CCBare imported to theproduction system.

13Were changes

approved by CCB?

2

2

2

2

2N

Y

N

N

N

Y

Y

Y


SOX – Testplan-Beispiel

WP # Control Objectives Documented Control Test Performed By

ITI #5 Modifications to existing application systems are appropriately implemented and the modified application systems function consistent with management's intentions.

Requests for changes to application systems, in the production environment are documented and approved by management. Management monitors implementation of all such changes.

Estimated Time: 8 hours Actual Time: 10 hour

1. Obtain list of all system updates and changes 2. Select a judgmental sample of projects (sample size to be dependent on project size, total

population of projects) 3. Inspect for evidence of all requests being documented. 4. Inspect for evidence of system changes being reviewed, tested and approved by

management. 5. Inspect for management monitoring controls. 6. Document findings in template # 3.

WP # Control Objectives Documented Control Test Performed By

ITI #6 The data structure, as defined in the database management system (or its equivalent) is appropriately implemented and functions consistent with management's intentions.

New data structures and modifications to data structures are tested in accordance with test plans that include, as appropriate, interface testing, parallel testing, capacity testing, and user acceptance testing.

Estimated Time: 4 hour Actual Time: 0

1. Obtain a list of all new data structure implementations. 2. Select a sample of implementations to test 3. Inspect implementation documentation to corroborate that test plans were developed and

testing was performed. All testing exceptions were followed up on. 4. Inspect for evidence of user acceptance testing. 5. Document findings in template # 3


Top 5 – die wichtigsten IT Kontrollbereiche

• Sicherheit– Anwendungen und IT-Plattformen / Infrastruktur– Fokussiert auf Anwendungen, die Einfluss auf das Financial Reporting oder angrenzende Systeme

haben – Sichere Betriebssysteme, Datenbanken, Netzwerke, Firewalls und Kommunikations-

einrichtungen werden benötigt– Auditoren werden hinsichtlich umfangreicher Zugriffsrechte, fehlender Funktionstrennungen und

Eignung des Verfahrens zur Berechtigungsvergabe prüfen; die wichtigsten Prozesse und Kontrollen werden während der Prüfung getestet

• Change Management– Ausreichende Kontrollen und Freigabeverfahren müssen vorhanden sein, um den ausschließlichen

Einsatz genehmigter Software in der Produktion sicherzustellen. – Technische Vorkehrungen müssen den Zugriff von Entwicklern auf die Produktionsumgebung

einschränken und überwachen

• Notfallplanung– Fokus auf regelmäßige Datensicherungen und Vorkehrungen zum Wiederanlauf

• IT Governance– Sind klare Grundsätze und Richtlinien vorhanden, werden diese geschult / überwacht?– Sind Funktionstrennungen vorgeschrieben und auch realisiert? – Stimmt der s.g. “tone at the top” innerhalb der IT?

• Entwicklung und Implementierung– Sind Entwicklungs- und Dokumentationsrichtlinien im Einsatz und werden diese überwacht?– Sind Tests, Testverfahren und deren Dokumentation Bestandteil der Entwicklungsrichtlinien?– Sind Verfahren für Notfall-Änderungen / direkte Datenbankzugriffe etabliert, die eine ausreichende

Kontrolle und Dokumentation sicherstellen?


Häufige Kontroll-Lücken in der IT

• Kontrollen im Change Management nicht ausreichend (speziell in verteilten Umgebungen) • Sicherheitspolitik und daraus abgeleitete Richtlinien sind nicht (ausreichend) verfügbar. • Organisatorische Sicherheitskonzepte, Rollen und Verantwortlichkeiten sind nicht ausreichend

dokumentiert. • Die Sicherheitsadministration ist nicht ausreichend geregelt bzw. überwacht

– Nicht ausreichende Kontrollen, wenn ein Mitarbeiter das Unternehmen verlässt oder innerhalb des Unternehmens wechselt (z.B. auch Berater, Zeitmitarbeiter)

– Keine adäquaten Genehmigungsverfahren von Änderungen– Zugriffsberechtigungen werden nicht regelmäßig überprüft

• Umfangreiche Zugriffsberechtigungen auf Systeme– Zugriffsberechtigungen zu Betriebssystemen, Datenbanken, systemnaher Software– Keine ausreichende Funktionstrennung– Anwendungsentwickler und DB-Administratoren haben Zugriff auf die Produktion

• Keine sichere Infrastruktur (Netzwerke, Betriebssysteme, Datenbanken) • IT-Kontrollen und Geschäftsprozesse sind nicht integriert (z.B. Berechtigungsvergabe, Test- /

Freigabeverfahren, Datenübernahme / -konversion, Notfallmaßnahmen etc. ) • Keine regelmäßige Überprüfung von Kontrollen (Funktionsfähigkeit, Verlässlichkeit)• Keine Risikobetrachtung (IT- und Prozessrisiken)• Kein Kontrollstandard

Am häufigsten sind die Bereiche Sicherheit und Change Management betroffen

Anforderungen aus Sarbanes Oxley - isc-hhn.de · gegenüber dem Audit Komitee sowie dem WP alle...

Documents

Transcript of Anforderungen aus Sarbanes Oxley - isc-hhn.de · gegenüber dem Audit Komitee sowie dem WP alle...