37RISKNEWS 06/04

Autorin

Dr. JuttaJessenberger

studierte Statistik an derUniversität Dortmund undder University of Sheffield(UK). Nach einer Tätigkeitbei der Mars GmbH pro-movierte sie an der Univer-sität Dortmund und durch-lief danach verschiedeneManagement-Positionen beiAC Nielsen, Hamburg undbei der OnVista AG, Köln,wo sie zuletzt als DirectorContent Services tätig war.Derzeit ist sie Prokuristinbei der Xerox GmbH undBlack Belt im Xerox LeanSix Sigma Programm sowieverantwortlich für dasDeployment dieser Strate-gie in Deutschland.

Autor

GundolfZimmermann

studierte Wirtschafts-wissenschaften an derRuhr-Universität Bochum.Nach Tätigkeiten bei derArthur Andersen GmbHund der Merckle/ratiopharmGmbH war er zuletzt TaxManager bei der Wal-MartGermany GmbH & Co KG.Derzeit ist er als Prokuristund Chief Accountant derXerox GmbH verantwortlichfür die Bereiche Rechnungs-wesen und Steuern.

FACHBEITRAG

Ausgangslage

Die Xerox Corporation unterliegt als US-amerika-nisches Unternehmen mit Stammsitz in Stam-ford, Connecticut, und Notierung an der NewYork Stock Exchange (NYSE) sowie der ChicagoStock Exchange (CHX) strengeren Kontrollvor-schriften als Unternehmen mit Stammsitz im au-ßer-amerikanischen Ausland. Insbesondere mussdie Xerox Corporation für die Erfüllung desSarbanes-Oxley-Acts schon zum 31.12.2004 einerfolgreiches Testat nachweisen. Damit warenfür die Xerox Corporation mit der Verabschie-dung des SOA eine Reihe von Aufgaben klar, diezur Erfüllung der Anforderungen durchgeführtwerden mussten: die Bestandsaufnahme der Un-ternehmensprozesse, die Identifikation der not-wendigen Schritte zur Erlangung des SOA-Tes-tats sowie die Umsetzung der identifiziertenAktionen und Maßnahmen.

Gleichzeitig müssen die Anforderungen desSOA konzernweit erfüllt sein – dies erfordertauch eine entsprechende Transparenz der Fi-nanzberichterstattung bei direkten und mittelba-ren Tochterunternehmen. Aus diesem Grund

war und ist von vornherein der weltweite Um-fang des Projekts gegeben. Die Projektstrukturerstreckt sich über drei Projektebenen – welt-weit, regional (Asien, Amerika und Europa) undlokal (Ländergesellschaften). Als oberstes Auf-sichtsgremium fungiert das Steering Committee,dem Mitglieder der Unternehmensleitung sowieVertreter der testierenden Wirtschaftsprüfungs-gesellschaft (eine der „Big Four“) angehören. DasAudit Committee fungiert als Überwachungsgre-mium des Steering Committees und ist in seinerFunktion durch den SOA vorgeschrieben.

Wichtig zum Verständnis der hier beschriebe-nen Vorgehensweise ist die Unterscheidung derzwei mit dem Sarbanes-Oxley Act verbundenenAspekte: SOA-Projekt und SOA-Prozess. DasSOA-Projekt beschreibt den einmaligen An-fangsaufwand zur Einführung des internen Kon-trollsystems mit dem initialen Aufsetzen der Do-kumentation und Vorgaben. Das dort erarbeiteteRegelwerk bildet dann die Grundlage zur regel-mäßigen nachfolgenden Durchführung des SOA-Prozesses mit seinem wiederkehrenden ZyklusProzesses von Dokumentation, Überprüfung undAudit.

Den Stein insRollen bringenSarbanes-Oxley bei der Xerox GmbH Deutschland

Die beiden Ziele des im Juli 2002 vom amerikanischen Kongress verabschiede-ten Sarbanes-Oxley-Acts (SOA) – Sicherstellung korrekter Veröffentlichungen(Section 302) sowie Vorhandensein und Testat eines internen Kontrollsystems(Section 404) – haben auf die Xerox GmbH als (mittelbare) Tochter eines US-amerikanischen Unternehmens beträchtliche Auswirkungen. Der vorliegendeBeitrag stellt das bei der Xerox GmbH durchgeführte Projekt zur Einführung desinternen Kontrollsystems nach Section 404 vor. Dabei werden die Herausforde-rungen beschrieben, die sich durch die anfängliche Unsicherheit in Bezug aufden notwendigen Dokumentationsumfang, die Xerox-Konzernstruktur sowie dieknappen Zeitvorgaben ergaben sowie die gefundenen Lösungswege dargestellt.Den Abschluss bildet ein Ausblick auf den in der Zukunft notwendigen Prozesszur Erfüllung der SOA-Kriterien, seine Auswirkung auf das operative Geschäftund seine Wirksamkeit in Bezug auf das Risikomanagement.

38 RISKNEWS 06/04

Die einzelnen Teilprojekte werden zentral über-wacht von der amerikanischen Projektleitungmit direkter Berichtslinie an das Steering Com-mittee, sowie einer europäischen und jeweils ei-ner Projektleitung in den einzelnen Länderge-sellschaften. Das SOA-Projekt wurde zusätzlichin der Anfangsphase durch Repräsentanten derWirtschaftsprüfer auf diesen drei Ebenen beglei-tet. Die Einbeziehung der Wirtschaftsprüfer zumStart war unerlässlich, da der SOA keine konkre-te Anweisung für die Unternehmen enthält, wieer zu erfüllen ist. Stattdessen ist eine Ableitungder Anforderungen nur aus den Vorgaben für dieWirtschaftsprüfungsgesellschaften möglich, dievom PCAOB (Public Company Accounting Over-sight Board) in der Umsetzungsphase des SOAnach und nach erarbeitet wurden und werden.Auf diese Weise stellte Xerox sicher, dass diedurchgeführten Aktionen jederzeit in Art undUmfang dem Projektziel entsprachen.

Weiterhin stehen – ebenfalls über alle drei Pro-jektebenen – Mitarbeiter der ausgegliederteninternen Firmenrevision in den Projektteamsunterstützend zur Verfügung. Der Informations-austausch und die Projektkoordination auf euro-päischer Ebene werden durch wöchentlicheTelefonkonferenzen sowie ein web-basiertes,weltweit eingesetztes EDV-Programm zur Doku-mentation des Projektfortschritts gesichert.

Die deutsche (lokale) Beteiligung am weltweitgesteuerten Sarbanes-Oxley-Projekt der XeroxCorporation wurde mit einer Tagung im März2003 in der europäischen Konzernzentrale inLondon initiiert.

Phasen der Projektarbeit

Die Anforderung des SOA an eine funktionierendeund zutreffende Finanzberichterstattung ist dieDokumentation und der Nachweis der Überwa-chung der Prozesse, die Einfluss auf die Kontender Bilanz und Gewinn-/Verlustrechnung haben.

Für den Projektplan und den nachfolgenden SOA-Prozess identifizierte das Projektteam fünf Schrit-te: Scoping, Mapping, Documenting, Testing undAuditing. Dabei ist zu beachten, dass die erstenvier Schritte (Scoping bis Testing) intern im Un-ternehmen, der fünfte hingegen von den externenWirtschaftsprüfern durchgeführt wird.

Im SOA-Projekt erfordern Scoping, Mapping undDocumenting vor allem Einmalaufwand und bil-den die Grundlage für das erstmalige Testingund Auditing. Während des SOA-Prozesses wer-den dann alle diese Phasen zyklisch durchlau-

fen, wobei Scoping, Mapping und Documentingerwartungsgemäß weniger Umfang haben wer-den als in der Startphase und sich auf einen Re-view und eventuell notwendige Anpassungenbeschränken können.

Scoping beinhaltet die Erfassung aller wesentli-chen Konten, wobei in Abstimmung mit demKonzern und den Wirtschaftsprüfern eine We-sentlichkeitsgrenze („materiality“) von 5 MillionenUS-Dollar festgelegt wurde.

Im darauf folgenden Mapping werden alle Pro-zesse, die so genannten Zyklen, identifiziert, dieEinfluss auf die im Scoping definierten Kontenhaben. Unter den elf identifizierten wichtigenZyklen befinden sich unter anderem der Um-satz-Prozess (revenue cycle), Buchhaltungs-Pro-zess (accounting cycle), Unternehmensbesteu-erungs-Prozess (tax cycle) und der Leasing-Prozess (leasing cycle).

Diese werden dann im Documenting zunächstmit Hilfe von Flussdiagrammen beschrieben. Infast klassischer Qualitätssicherungsmethodik ei-ner Fehler-Möglichkeits- und Einfluss-Analyse(FMEA) werden dann die Risiken (so genannteWCGW's – „What can go wrong?“) und Kontrol-len (Controls) bestimmt und die Wahrscheinlich-keit für die Entdeckung eines unerwünschtenZustandes festgestellt. Für jeden Prozessschrittwerden bei dieser Vorgehensweise alle poten-ziellen Risiken und die dazu existierenden Über-wachungsmaßnahmen eingehend beschriebenund detailliert bewertet (Risk/Control Ratings).Im Verlauf der Dokumentation wurden für die be-stehenden elf Zyklen insgesamt über 200 KeyControls und zusätzliche Supporting Controls be-schrieben.

Als Grundlage für die Risiko-Bewertung dienendie so genannten Assertions. Hiermit werdendiejenigen Eigenschaften bezeichnet, die demAnteilseigner mit der Unterschrift unter die Fi-nanzberichterstattung bestätigt werden, wiebeispielsweise Existence (Existenz der Vermö-gensgegenstände/Verbindlichkeiten), Complete-ness (Vollständigkeit der berichteten Transaktio-nen) etc. Für jeden Prozess-Schritt werden dasRisiko einer Verletzung der Assertions und dieWahrscheinlichkeit des Auftretens dieses Risi-kos bestimmt.

Risk Ratings werden dabei aufgrund ihrer Be-deutung und der Wahrscheinlichkeit ihres Auf-tretens unterschieden. Ein Risiko mit „kritischer“Einstufung ist beispielsweise als Risiko von über20 Millionen US-Dollar definiert, die Wahrschein-

RISKNEWS 06/04 39

FACHBEITRAG

lichkeit seines Eintretens möglicherweise mit„remote“, das heißt mit weniger als 5 Prozent.Die Wahrscheinlichkeiten werden dabei sowohlohne also auch unter Einbeziehung der beste-henden Überwachungsmethodik bestimmt (in-herent beziehungsweise residual risk).

Die Controls werden hinsichtlich der Arten vonKontrollen beschrieben – vorbeugend, entde-ckend, manuell, automatisch und computerge-stützt. Gleichzeitig wird für jede Kontrolle ihreWichtigkeit („key control“, „supporting control“)und die Frequenz der durchzuführenden Testsangegeben.

Das Control Rating wird bezüglich der Effekti-vität vergeben – beispielsweise bedeutet derWert „optimized“, dass diese Überwachungsme-thode mit Echtzeit-Monitoring durch das Ma-nagement in die interne Revision aufgenommenist. Sie unterliegt ebenfalls dem Prozess der kon-tinuierlichen Verbesserung. Jede Kontrolle wirdim Testing vor der externen Bewertung in derControl Conclusion als effektiv oder ineffektiv(oder nicht untersucht) bewertet. Eine zusätzli-che Klasse von Überwachungsmaßnahmen sinddie Monitoring Controls, die ihrerseits die Keyoder Supporting Controls überwachen, etwadurch ein Management Review oder institutio-nalisierte interne Kontrollen.

Das „Final Risk Assessment“ schließlich gibt an,ob bezüglich der beschriebenen Risiken effektiveÜberwachungsmethodiken bestehen. Wie bei derControl Conclusion gibt es dort nur zwei mög-liche Bewertungen: (Risk) Mitigated oder Un-mitigated. Weiterhin existiert ein weiterer Ab-schnitt „Information & Communication“, in demjede Art von Information bezüglich des Prozessesoder der Kontrollen festgehalten wird. Er umfasstbeispielsweise Arbeitsanweisungen, interne Vor-gaben, Schulungen oder Bekanntmachungen.

Im Schritt Testing werden zunächst die notwen-digen Testpläne definiert beziehungsweise do-kumentiert; dann werden die in der Dokumenta-tionsphase beschriebenen Kontrollen in internenTests auf Design und Effektivität überprüft undzuletzt beim Auditing extern von den Wirt-schaftsprüfern abgenommen.

Umsetzung des SOA in Deutschland –Lessons Learned

Die Xerox GmbH in Deutschland ist ein Ver-triebs- und Serviceunternehmen. Die wesentli-chen Unternehmensprozesse sind der Vertriebs-prozess mit der Pflege der Kundenkontakte,

Erstellung und Versand des Angebots und Ver-tragsabschluss beziehungsweise der Service-prozess zur Sicherstellung der gewünschtenKundenqualitat. Unmittelbar darauf folgen dieadministrativen Prozesse – Vertragsprüfung, Ver-tragseingabe, Maschinen- oder Servicelieferung,Rechnungserstellung und Verbuchung der ein-gehenden Beträge auf den Konten. Alle dieseProzesse sind – ebenso wie die in der Buchhal-tung ablaufenden Aufgaben – wichtig im Sinnevon Sarbanes-Oxley. Unterstützend wirken dieProzesse in der Finanzplanung, im Personalbe-reich sowie der Infrastruktur (Einkauf, FacilityManagement, IT), ebenfalls mit Auswirkungenauf SOA-relevante Konten.

Damit haben fast alle Prozesse innerhalb des Un-ternehmens Einfluss auf ein Berichtskonto – seies die Angebotserstellung, Vertragsabschlussund -eingabe oder die Verbuchung einer Ser-vicerechnung – und die Aufgabe der Erlangungdes SOA-Testats ist gleichbedeutend mit einerDokumentation aller Unternehmensprozesse undder sie betreffenden Überwachungs- und Kon-trollmechanismen.

Bei der Umsetzung des SOA-Projekts in Deutsch-land konnten zwei große Vorteile genutzt wer-den: einerseits das Vorhandensein eines bereitsexistierenden, gut geführten und stringent ge-lebten internen Kontrollsystems durch den welt-weit gesteuerten Internal Controls ManagementProcess (ICMP) und andererseits das in Deutsch-land vorhandene vollständig integrierte Buch-haltungs-System.

Der ICMP-Prozess deckt alle relevanten Unter-nehmensprozesse ab im Hinblick auf deren Exis-tenz und Effizienz mit dem Ziel einer Effizienz-steigerung. Im Gegensatz zum SOA fokussiertsich dieser Prozess damit nicht auf die Finanz-berichterstattung. Dennoch ist er für das SOA-Projekt hilfreich zur Identifikation bestehenderProzesse mit möglichem Einfluss auf die Be-richtskonten. Der zweite positive Aspekt lag undliegt in der mit ihm verbundenen Kultur einesinternen Kontrollsystems. Durch den ICMP-Pro-zess und seine bekannte Wichtigkeit quer durchdas Unternehmen war die Bedeutung und derInhalt des SOA-Prozesses bei der Xerox GmbHdeutlich leichter zu vermitteln als in einem Un-ternehmen ohne ein derartiges System.

Der zweite Vorteil war die Existenz eines voll-ständig integrierten Buchhaltungs-Systems, mitdessen Hilfe alle Vorgänge in der deutschenXerox-Gesellschaft abgebildet und unterstütztwerden. Insbesondere war bei den System-Be-

40 RISKNEWS 06/04

ratern (den so genannten „Business System Con-sultants“), die für die im System abgebildetenProzesse verantwortlich sind, die notwendigeExpertise und das Wissen über die internen Ge-schäftsabläufe im Detail vorhanden. Diese Busi-ness System Consultants waren demzufolgeauch für einen großen Teil der Dokumentation –in Absprache mit den Fachverantwortlichen –zuständig. Auf diese Weise wurden die Fachver-antwortlichen im Tagesgeschäft entlastet, wo-bei gleichzeitig der notwendige Detailgrad si-chergestellt werden konnte.

Als ausgesprochen schwierig zum Projektstarterwies sich das Fehlen detaillierter Anleitungenzu Art und Tiefe der geforderten Dokumentation,so dass anfangs eine gewisse Unsicherheit überInhalt und Umfang bestand. Die einzige Möglich-keit für die Bestimmung einer solchen Anleitungboten die Anweisungen für die Wirtschaftsprü-fer, auf deren Grundlage das Vorgehen für dieErfüllung des SOA indirekt abgeleitet werdenkonnte.

Xerox entschied sich aufgrund des Zeitmangelsgegen ein weiteres Abwarten der Klärung undfür die Entwicklung eines eigenen Standards zureinheitlichen Dokumentation, verbunden mitAnleitungen zu Inhalt und Detailgrad. In dieserAnfangsphase war die Einbeziehung der Wirt-schaftsprüfer von besonderer Bedeutung, umauch aus ihrer Sicht die Übereinstimmung mitden Anforderungen zu gewährleisten und nichtim Nachhinein nachbessern zu müssen. Trotz-dem mussten selbstverständlich aufgrund derim Projekt gemachten Erfahrungen im weiterenVerlauf Anpassungen vorgenommen werden.Beispielsweise erwies sich die Bestimmung derWesentlichkeitsgrenze als nicht einfach – hierwurde dann in Abstimmung mit der Wirtschafts-prüfung unter Berücksichtigung der Anzahl derKonten pragmatisch die Grenze von 5 MillionenUS-Dollar definiert. Alle Prozesse (Zyklen), dieEinfluss auf diese Konten nehmen/nahmen, wur-den dann in der eigentlichen Dokumentation(wie oben bereits erwähnt) beschrieben.

Die beschriebene Vorgehensweise der Defini-tion, Ergänzung und Änderung der Vorgabenführte dann letztendlich dazu, dass die Doku-mentation der Xerox GmbH sogar als Benchmarkauch für die anderen Ländergesellschaften he-rangezogen wurde.

Ausschlaggebend war vor allem die stringenteProjektleitung mit regelmäßigen Meetings undReviews zur Überprüfung des Fortschritts, aberauch der Qualität der Dokumentation, so dass

man einen einheitlichen Standard für alle Pro-zesse vorweisen konnte und kann.

Um bei der Prüfung zur Erlangung des eigentli-chen Testats vorbereitet zu sein, führte die Pro-jektleitung im August/September außerdem ei-nen so genannten „Dry Run“ durch, also eineSimulation des Testings mit (internen) Prüfernunter realistischen Bedingungen, um den Zwi-schenstand des Projektes zu bestimmen sowiedie eventuell noch auftretenden Probleme undHerausforderungen priorisieren und in der Zeitbis zum Jahresende beheben zu können. Der ak-tuelle Status ist, dass es keine „ineffective“ ge-testeten Kontrollen mehr gibt.

Eines der wichtigen Ergebnisse dieses Dry Runwar, dass eine Reihe von Key Controls gestri-chen werden konnte und in Zukunft nicht mehrgetestet werden muss. Alleine für dieses Ergeb-nis mit der verbundenen Kostenreduktion hatsich der zusätzliche Aufwand des Dry Runs be-zahlt gemacht.

Aus Sicht der Projektleitung gab es für das SOA-Projekt drei Erfolgsfaktoren – zunächst die strin-gente Projektleitung, bei der zu jeder Zeit dieAusrichtung an denselben Zielen mit denselbenGrundlagen gewährleistet war, sowie die Ein-beziehung der notwendigen Ressourcen mitfachlichen und technischen Spezialisten (denFachverantwortlichen und den Business Sys-tems Consultants). Als besonders hilfreich in derAnfangsphase hat sich darüber hinaus die Ein-beziehung der Wirtschaftsprüfer und der inter-nen Revision erwiesen. Beide Partner konntenaufgrund ihrer Erfahrungen mit anderen Unter-nehmen andere Sichtweisen auf die Problematikbieten. Xerox gab die enge Zusammenarbeit mitden Prüfern größere Sicherheit, auf dem richti-gen Weg zum Ziel, der Erlangung des SOA-Testats, zu sein.

Diskussion und Ausblick

Eine der wesentlichen Erkenntnisse aus demSOA-Projekt war, dass entgegen der eigentli-chen Zielsetzung dieses Gesetz für sich genom-men nicht ausreicht, um die Risiken eines Unter-nehmens umfassend abzudecken. Bei einemVergleich mit dem bereits existierenden inter-nen Kontrollsystem ICMP ergab sich, dass unge-fähr 50 Prozent der bereits durch ICMP abge-deckten Prozesse und Risiken nicht durch denSOA erfasst werden. Aus diesem Grund ent-schied Xerox, das bestehende interne Kontroll-system beizubehalten und nur die relevantenTeile aus diesem System durch SOA-konforme

FACHBEITRAG

Vorgehensweisen zu ersetzen und zertifizierenzu lassen.

Ohne den Sarbanes-Oxley-Act hätte Xerox mitSicherheit nicht den Aufwand betrieben, nur dendie Finanzberichterstattung betreffenden Teildes bestehenden Systems in dem jetzt verwen-deten Detailgrad zu dokumentieren und zu tes-ten. Ein Unternehmen hat zuerst und allererstdie Aufgabe, profitabel zu sein, den Aktienkurszu maximieren und auf diese Weise positiv aufAnteilseigner, Mitarbeiter und Umwelt einzuwir-ken. Dass dazu ein korrektes Finanz-Reportinggehört, ist selbstverständlich und bereits viel-fach durch lokale und internationale Gesetze ge-regelt. Die prominenten Beispiele, deren Zusam-menbruch der Anlass für den Erlass des SOA war– Enron, WorldCom etc. – hätten jedoch schonmit den bestehenden gesetzlichen Grundlagenentdeckt werden können und müssen. Inwieweitder Sarbanes-Oxley-Act nun vorsätzlich falscheBerichterstattung verhindert, bleibt abzuwarten.

Aus Unternehmenssicht werden durch den SOAzunächst einmal Kosten durch Dokumentationund Berichterstattung verursacht. Kosten, diezusätzlich zu den bereits bestehenden Repor-ting-Pflichten aufzubringen sind.

Zur Unternehmenssteuerung sind die erhobenenProzesse, Risiken und Kontrollen nur einge-schränkt zu verwenden, da sich der SOA vorallem auf das Vorhandensein eines internen Kon-trollsystems konzentriert. Die eigentlichen Ge-schäftsergebnisse stehen in diesem Zusammen-hang nicht im Fokus. In dieser Beziehung ist derSOA sogar fast vergleichbar mit der DIN ISO

9000ff., in der ganz ähnlich zwar das Vorhanden-sein eines Qualitätsmanagementsystems undder dazugehörigen kontinuierlichen Verbesse-rung und Anpassung bestätigt wird, die eigent-lichen Resultate aber nicht zertifiziert werden.Bei beiden Systemen wird dann postuliert, dassdas Vorhandensein der Systematik auch die Zu-verlässigkeit der Resultate zwingend nach sichzieht. Nichtsdestoweniger kann der SOA einemUnternehmen bei der Verbesserung seiner Pro-zesse helfen und auch bei Xerox sind auf dieseWeise in der Tat ein paar kleinere Prozesslückengeschlossen worden.

Der nächste große Schritt im Sinne des SOA fürdie Xerox GmbH und die Xerox Corporation istnun die Erlangung des Testats zum Jahresende.Aus der Erkenntnis heraus, dass die Erlangungdes SOA-Testats nicht für ein umfassendes Risi-komanagement ausreicht, arbeitet das Projekt-team außerdem gleichzeitig an der Entwicklungeines unternehmensübergreifenden Risikoma-nagement-Prozesses im Sinne des KonTraG. Die-ser wird sowohl den SOA-Prozess als auch denüberarbeiteten ICMP-Prozess beinhalten. Darü-ber hinaus wird das neue umfassende Risikoma-nagement-System andere Risiken überprüfenund steuern wie beispielsweise Budgetüber-schreitungen, Rechtsfälle, Umstrukturierungen,Kunden-/Lieferantenrisiken oder IT-Risiken. Mitder Integration der nach US-amerikanischemund deutschem Recht geforderten Risikoma-nagement-Systeme hat die deutsche Geschäfts-leitung eine sehr gute Ausgangslage geschaffenfür eine optimale Steuerung etwa auftretenderRisiken.