Section 404 des Sarbanes-Oxley Act – Eine Untersuchung ihrer Auswirkungen auf Rechnungslegung,

Abschlussprüfung und den Kapitalmarkt

D I S S E R T A T I O N der Universität St. Gallen,

Hochschule für Wirtschafts-, Rechts- und Sozialwissenschaften (HSG)

zur Erlangung der Würde eines Doktors der Wirtschaftswissenschaften

vorgelegt von

Philipp Starke

aus

Deutschland

Genehmigt auf Antrag der Herren

Prof.Dr. Peter Leibfried

und

Dr. Dirk Schäfer

Dissertation Nr. 3245

(Difo-Druck Bamberg)

Die Universität St. Gallen, Hochschule für Wirtschafts-, Rechts- und Sozialwissen-schaften (HSG), gestattet hiermit die Drucklegung der vorliegenden Dissertation, ohne damit zu den darin ausgesprochenen Anschauungen Stellung zu nehmen.

St. Gallen, den 12. Juni 2006

Der Rektor:

Prof. Ernst Mohr, PhD

Vorwort Danken möchte ich an erster Stelle meinen Doktorvätern, Prof.Dr. Peter Leibfried und Dr. Dirk Schäfer, für die wohlwollende Betreuung dieser Arbeit, die von steter Ge-sprächsbereitschaft und der Vermittlung wertvoller Anregungen geprägt war.

Während eines Grossteils des Doktorstudiums arbeitete ich auf Teilzeitbasis in der Finanzabteilung der Novartis Tiergesundheit AG, Basel. Als einziges Schweizer Un-ternehmen setzte die Novartis AG die Bestimmungen der Section 404 bereits zum Ge-schäftsjahresende 2004 um. Innerhalb der Novartis Tiergesundheit war ich mit dem Implementierungsprojekt betraut und konnte auf diese Weise überaus nützliche Einbli-cke in die Bedeutung der Section 404 für die Praxis gewinnen. Meinen damaligen Vorgesetzten, Tobias Hestler und Udo Schneider, danke ich an dieser Stelle für das in mich gesetzte Vertrauen und die mir zur Erstellung der vorliegenden Arbeit zugestan-denen Freiräume.

Besonderer Dank gilt sodann den zahlreichen Personen, die an der empirischen Befra-gung teilnahmen. Ihre offenen und ausführlichen Schilderungen enthielten wichtige Auskünfte über Umsetzung und Auswirkungen der Section 404 und waren somit von grundlegender Bedeutung für das Gelingen dieser Arbeit.

Schliesslich danke ich meinen Eltern, die mich während all den Jahren meiner Ausbil-dungen geduldig und grosszügig unterstützt haben, meinen Brüdern David und Johannes, die mir mit guten Ratschlägen und aufmunterndem Zuspruch zur Seite stan-den, sowie Daniela, die mich liebe- und aufopferungsvoll beim Verfassen der Disserta-tion begleitet hat.

Die Dissertation wurde im Dezember 2005 beendet. Literatur und Standardsetzung wurden bis Ende November 2005 berücksichtigt.

Allschwil, im September 2006 Philipp Starke

Zusammenfassung Am 30. Juli 2002 verabschiedete der US-Kongress den Sarbanes-Oxley Act of 2002. Dessen Erarbeitung vorausgegangen war eine Serie spektakulärer Bilanzskandale, in deren Folge das Vertrauen der Anleger massgeblich erschüttert wurde. Erklärtes Ziel des SOA war folglich die Verbesserung des Investorschutzes. Section 404, „Manage-ment assessment of internal controls“, gilt als eine der Kernbestimmungen. Ihr zufolge ist die Geschäftsleitung für die Einrichtung und Pflege angemessener „Internal Control over Financial Reporting“ verantwortlich, zu deren Wirksamkeit sie sich im Jahresbe-richt zu äussern hat; dem Abschlussprüfer obliegt es, die von der Geschäftsleitung vorgenommene Beurteilung zu prüfen und darüber zu berichten. An der SEC und dem PCAOB lag es, Ausführungsregelungen für Unternehmen und Prüfgesellschaften zu erlassen. Seit Anfang 2005 veröffentlichen Unternehmen, die an US-Börsen notiert sind, die geforderten Berichte.

Ziel dieser Arbeit ist, ausgehend von der spezifischen Zielsetzung des Gesetzgebers die Auswirkungen der Section 404 auf Rechnungslegung, Abschlussprüfung und den Kapitalmarkt zu bestimmen. Dabei wird eine dreigliedrige Vorgehensweise verfolgt: Zunächst wird die grundsätzliche Eignung des Berichts- bzw. Prüferfordernisses, wie es Section 404 vorschreibt, in bezug auf die konkreten Ziele untersucht. Um zu verste-hen, inwiefern die Detailregelungen zur Zielerreichung beitragen können, werden an-schliessend die Bestimmungen der SEC und des PCAOB beurteilt. Um die Auswir-kungen von Section 404 in der Praxis zu ermitteln, wurde sodann eine empirische Stu-die durchgeführt. Diese war auf die Schweiz beschränkt und bezog Unternehmen, Prü-fer sowie Vertreter des Kapitalmarkts ein.

Den in der Praxis gewonnenen Ergebnissen zufolge stellen sich die vom Gesetzgeber bei der Formulierung von Section 404 erhofften Auswirkungen auf Rechnungslegung, Abschlussprüfung und den Kapitalmarkt gar nicht bzw. nur in geringem Ausmass ein. Dies kann zum einen mit der Natur des Berichtsgegenstands, „Internal Control over Financial Reporting“, begründet werden, zum anderen mit der von Unternehmen und Prüfgesellschaften bei der Erfüllung der Vorschriften befolgten Vorgehensweise.

I

Inhaltsübersicht 1 Einleitung............................................................................................................ 1 1.1 Hintergrund.................................................................................................... 1 1.2 Zielsetzung .................................................................................................... 3 1.3 Aufbau ........................................................................................................... 4 2 Section 404 .......................................................................................................... 7 2.1 Die Entstehung von Section 404 ................................................................... 7 2.2 Die mit Section 404 verbundenen Ziele ...................................................... 23 2.3 Beurteilung von Section 404 ....................................................................... 27 2.4 Zusammenfassung ....................................................................................... 77 3 Die Ausführungsregeln zu Section 404 .......................................................... 79 3.1 Die Ausführungsregelungen zu Section 404(a) .......................................... 79 3.2 Die Ausführungsregelungen zu Section 404(b) .......................................... 83 3.3 Beurteilung der Ausführungsregeln ............................................................ 96 3.4 Andere Bestimmungen des Sarbanes-Oxley Act ...................................... 100 3.5 Zusammenfassung ..................................................................................... 108 4 Auswirkungen von Section 404 in der Praxis.............................................. 109 4.1 Methodik.................................................................................................... 109 4.2 Ergebnisse.................................................................................................. 128 4.3 Übertragbarkeit der Ergebnisse ................................................................. 205 4.4 Zusammenfassung ..................................................................................... 209 5 Ergebnisse und Ausblick ............................................................................... 213

III

Inhaltsverzeichnis Abkürzungsverzeichnis .............................................................................................. IX

Abbildungsverzeichnis.............................................................................................XIII

Tabellenverzeichnis..................................................................................................XIII

1 Einleitung............................................................................................................ 1

1.1 Hintergrund .......................................................................................................... 1

1.2 Zielsetzung........................................................................................................... 3

1.3 Aufbau.................................................................................................................. 4

2 Section 404 .......................................................................................................... 7

2.1 Die Entstehung von Section 404.......................................................................... 7

2.1.1 Normative Rahmenbedingungen vor der Gesetzgebung ............................ 7

2.1.1.1 Vorschriften für Unternehmen .......................................................... 7

2.1.1.2 Prüfstandards ..................................................................................... 9

2.1.2 Verlauf der Gesetzgebung......................................................................... 12

2.1.3 Empfehlungen im Rahmen der Anhörungen............................................. 17

2.1.4 Der Inhalt von Section 404 ....................................................................... 22

2.2 Die mit Section 404 verbundenen Ziele ............................................................ 23

2.3 Beurteilung von Section 404.............................................................................. 27

2.3.1 Section 36 des Federal Deposit Insurance Act.......................................... 28

2.3.2 Debatte über eine Berichterstattung .......................................................... 31

2.3.3 Erkenntnisse zum Zusammenhang zwischen der Wirksamkeit von ICoFR und der Zuverlässigkeit der Rechnungslegung ............................. 37

2.3.3.1 Überwachungstheoretischer Ansatz und Internal Control .............. 37

2.3.3.1.1 Grundlagen der Überwachungstheorie........................................ 38

2.3.3.1.2 Wirkungen der Überwachung ..................................................... 40

2.3.3.1.3 Das Internal Control-Framework des COSO.............................. 41

2.3.3.1.4 Bedeutung für das finanzielle Rechnungswesen......................... 44

2.3.3.2 Ausgewählte empirische Ergebnisse............................................... 46

2.3.3.2.1 Studien über die Ursachen von Fehlaussagen............................. 46

2.3.3.2.2 Studien über die Ursachen von Abschlusskorrekturen ............... 48

2.3.3.2.3 Beispiel: Enron............................................................................ 49

2.3.3.2.4 Die Studie von McMullen et al. (1996) ...................................... 51

IV

2.3.3.3 Zusammenfassung........................................................................... 52

2.3.4 Erkenntnisse zum Zusammenhang zwischen einer Prüfung von ICoFR und der Qualität der Abschlussprüfung......................................... 53

2.3.4.1 Der risikoorientierte Prüfansatz ...................................................... 53

2.3.4.1.1 Grundlagen.................................................................................. 54

2.3.4.1.2 Betrachtung von ICoFR .............................................................. 56

2.3.4.1.3 Grenzen ....................................................................................... 57

2.3.4.2 Ausgewählte empirische Ergebnisse............................................... 59

2.3.4.2.1 Studien über die Beurteilung von ICoFR.................................... 60

2.3.4.2.2 Studien zum Einfluss des Kontrollrisikos auf die Prüfungshandlungen.................................................................... 61

2.3.4.2.3 Beispiel: WorldCom.................................................................... 62

2.3.4.3 Zusammenfassung........................................................................... 63

2.3.5 Erkenntnisse zum Zusammenhang zwischen einer Berichterstattung über ICoFR und dem Anlegervertrauen ....................... 64

2.3.5.1 Prinzipal-Agenten-Theorie.............................................................. 64

2.3.5.1.1 Grundlagen.................................................................................. 64

2.3.5.1.2 Funktionen von Rechnungslegung und Abschlussprüfung......... 66

2.3.5.1.3 Implikationen für eine Berichterstattung über ICoFR ................ 67

2.3.5.2 Ausgewählte empirische Ergebnisse............................................... 68

2.3.5.2.1 Studien zur Nachfrage nach einer Berichterstattung................... 69

2.3.5.2.2 Studien zur Berichtsinterpretation .............................................. 72

2.3.5.3 Zusammenfassung........................................................................... 76

2.4 Zusammenfassung.............................................................................................. 77

3 Die Ausführungsregeln zu Section 404 .......................................................... 79

3.1 Die Ausführungsregelungen zu Section 404(a) ................................................. 79

3.1.1 Definition des Berichtsgegenstands .......................................................... 80

3.1.2 Beurteilung von ICoFR durch das Management....................................... 80

3.1.3 Berichterstattung des Managements ......................................................... 82

3.1.4 Geltungsbereich und Fristen ..................................................................... 83

3.2 Die Ausführungsregelungen zu Section 404(b)................................................. 83

3.2.1 Meinung über die Darlegungen des Managements................................... 86

3.2.2 Meinung über die Wirksamkeit von ICoFR.............................................. 87

3.2.2.1 Erlangung eines Verständnisses über ICoFR.................................. 87

V

3.2.2.2 Prüfung der konzeptionellen Wirksamkeit...................................... 91

3.2.2.3 Prüfung der operativen Wirksamkeit .............................................. 91

3.2.2.4 Urteilsbildung.................................................................................. 92

3.2.3 Abstimmung mit der Abschlussprüfung ................................................... 92

3.2.4 Berichterstattung des Prüfers .................................................................... 94

3.3 Beurteilung der Ausführungsregeln................................................................... 96

3.3.1 Auswirkungen auf die Rechnungslegung.................................................. 97

3.3.2 Auswirkungen auf die Abschlussprüfung ................................................. 98

3.3.3 Auswirkungen auf den Kapitalmarkt ........................................................ 99

3.4 Andere Bestimmungen des Sarbanes-Oxley Act............................................. 100

3.4.1 Bestimmungen mit inhaltlichem Bezug zu Section 404 ......................... 100

3.4.1.1 Section 301: Unabhängigkeit des Prüfungsausschusses ............... 100

3.4.1.2 Section 302: Beglaubigung der Berichterstattung......................... 101

3.4.1.3 Section 304: Rückerstattung von Boni und Abfindungen............. 104

3.4.1.4 Section 406: Ethikkodex für Finanzmanager ................................ 104

3.4.2 Sanktionen bei Schlechterfüllung von Section 404 ................................ 105

3.4.2.1 Sections 104 und 105: Überwachung der Prüfgesellschaften ....... 105

3.4.2.2 Section 906: Strafrechtliche Sanktionen für das Management .................................................................................. 106

3.5 Zusammenfassung............................................................................................ 108

4 Auswirkungen von Section 404 in der Praxis.............................................. 109

4.1 Methodik .......................................................................................................... 109

4.1.1 Zielsetzung .............................................................................................. 109

4.1.2 Fragestellungen ....................................................................................... 109

4.1.3 Bisheriger Erkenntnisstand ..................................................................... 111

4.1.3.1 Zu den Auswirkungen der Umsetzung auf ICoFR........................ 111

4.1.3.2 Zu den Kosten der Umsetzung ...................................................... 113

4.1.3.3 Zum Nutzen einer ICoFR-Prüfung................................................ 115

4.1.3.4 Zum Einfluss auf die Rechnungslegung........................................ 117

4.1.3.5 Zu den Reaktionen des Kapitalmarkts .......................................... 119

4.1.3.6 Zusammenfassung......................................................................... 123

4.1.4 Konzeption und Vorgehen der Untersuchung......................................... 123

4.1.4.1 Auswahl der Untersuchungssubjekte ............................................ 124

VI

4.1.4.2 Vorgehen ....................................................................................... 127

4.1.4.3 Schwächen im Untersuchungskonzept.......................................... 128

4.2 Ergebnisse ........................................................................................................ 128

4.2.1 Zu den Auswirkungen von Section 404(a) auf die Wirksamkeit von ICoFR............................................................................................... 129

4.2.1.1 Vorbemerkungen und Spezifizierung der Fragestellung............... 129

4.2.1.2 Antworten der Befragten ............................................................... 132

4.2.1.2.1 In bezug auf die Definition des Projektumfangs....................... 132

4.2.1.2.1.1 Auswahl des Rahmenkonzepts........................................... 132

4.2.1.2.1.2 Bestimmung wichtiger Unternehmensprozesse ................. 133

4.2.1.2.1.3 Bestimmung relevanter Transaktionskontrollen ................ 134

4.2.1.2.1.4 Bestimmung von „company-level controls“ ...................... 136

4.2.1.2.1.5 Auswahl von Unternehmenseinheiten ............................... 136

4.2.1.2.2 In bezug auf die Sicherstellung der Wirksamkeit von ICoFR........................................................................................ 140

4.2.1.2.2.1 Einrichtung......................................................................... 140

4.2.1.2.2.2 Dokumentierung................................................................. 141

4.2.1.2.2.3 Sicherstellung der konzeptionellen Wirksamkeit .............. 142

4.2.1.2.2.4 Sicherstellung der operativen Wirksamkeit ....................... 144

4.2.1.2.2.5 Auswertung der festgestellten Kontrollschwächen............ 146

4.2.1.2.3 In bezug auf die Änderungen in ICoFR.................................... 147

4.2.1.2.3.1 Company-level controls ..................................................... 147

4.2.1.2.3.2 Transaktionskontrollen....................................................... 148

4.2.1.2.4 In bezug auf Kosten und Nutzen der Implementierung ............ 149

4.2.1.2.4.1 Kosten der erstmaligen Umsetzung und Schätzungen der Folgekosten .................................................................. 149

4.2.1.2.4.2 Positive und negative Effekte der Implementierung im Unternehmen................................................................. 151

4.2.1.3 Zusammenfassung......................................................................... 153

4.2.2 Zu den Auswirkungen von Section 404(a) auf die Zuverlässigkeit der Rechnungslegung .............................................................................. 156

4.2.2.1 Vorbemerkungen und Spezifizierung der Fragestellung............... 156

4.2.2.2 Antworten der Befragten ............................................................... 159

4.2.2.2.1 In bezug auf die Zuverlässigkeit von Rechnungslegungsinformationen.............................................. 159

VII

4.2.2.2.1.1 Nachweisbarkeit ................................................................. 160

4.2.2.2.1.2 Validität.............................................................................. 161

4.2.2.2.1.3 Neutralität........................................................................... 163

4.2.2.2.2 In bezug auf das Risiko deliktischer Rechnungslegung ........... 163

4.2.2.3 Zusammenfassung......................................................................... 166

4.2.3 Zu den Auswirkungen von Section 404(b) auf die Wirksamkeit von ICoFR............................................................................................... 167

4.2.3.1 Vorbemerkungen und Spezifizierung der Fragestellung............... 168

4.2.3.2 Antworten der Befragten ............................................................... 169

4.2.3.2.1 In bezug auf die Eignung des Prüfers ....................................... 169

4.2.3.2.1.1 Kompetenz ......................................................................... 169

4.2.3.2.1.2 Unabhängigkeit .................................................................. 172

4.2.3.2.2 In bezug auf die Kapazitäten..................................................... 172

4.2.3.2.3 In bezug auf die Effektivität der Prüfungshandlungen ............. 173

4.2.3.2.3.1 Beurteilung der Darlegungen des Managements ............... 173

4.2.3.2.3.2 Beurteilung der „company-level controls“ ........................ 174

4.2.3.2.3.3 Prüfung der konzeptionellen Wirksamkeit ........................ 175

4.2.3.2.3.4 Prüfung der operativen Wirksamkeit ................................. 177

4.2.3.2.3.5 Auswertung der festgestellten Kontrollschwächen............ 178

4.2.3.2.3.6 Zusätzliche Sicherheit infolge zweifacher Meinungsbildung................................................................ 179

4.2.3.2.4 In bezug auf die Effizienz der Prüfungshandlungen................. 179

4.2.3.2.4.1 „Coverage-based approach“............................................... 179

4.2.3.2.4.2 Synergien mit der Abschlussprüfung................................. 181

4.2.3.3 Zusammenfassung......................................................................... 182

4.2.4 Zu den Auswirkungen der ICoFR-Prüfung auf die Qualität der Abschlussprüfung.................................................................................... 183

4.2.4.1 Vorbemerkungen und Spezifizierung der Fragestellung............... 184

4.2.4.2 Antworten der Befragten ............................................................... 185

4.2.4.2.1 In bezug auf Planung und Durchführung der Abschlussprüfung...................................................................... 185

4.2.4.2.2 In bezug auf die Wirksamkeit der Abschlussprüfung............... 187

4.2.4.3 Zusammenfassung......................................................................... 188

4.2.5 Zu den Auswirkungen der ICoFR-Berichterstattung auf den Kapitalmarkt............................................................................................ 189

VIII

4.2.5.1 Vorbemerkungen und Spezifizierung der Fragestellung............... 189

4.2.5.2 Antworten der Befragten ............................................................... 190

4.2.5.2.1 In bezug auf den Bedarf nach Sicherheit über die Zuverlässigkeit der Rechnungslegung ...................................... 190

4.2.5.2.1.1 Berücksichtigung des Abschlussprüfungsberichts............. 190

4.2.5.2.1.2 Bewertung der Corporate Governance............................... 191

4.2.5.2.1.3 Als nützlich erachtete Vorschriften.................................... 192

4.2.5.2.2 In bezug auf die Verständlichkeit der Berichterstattung........... 193

4.2.5.2.2.1 Hintergrundwissen ............................................................. 193

4.2.5.2.2.2 Materielle Klarheit ............................................................. 193

4.2.5.2.3 In bezug auf die Wesentlichkeit der Berichterstattung ............. 195

4.2.5.2.3.1 Beurteilung der Relevanz uneingeschränkter Berichte...... 195

4.2.5.2.3.2 Beurteilung der Relevanz eingeschränkter Berichte.......... 196

4.2.5.2.3.3 Zukünftige Berücksichtigung der ICoFR-Berichterstattung ................................................................ 198

4.2.5.3 Zusammenfassung......................................................................... 199

4.2.6 Die langfristigen Erwartungen der Befragten ......................................... 201

4.2.6.1 In bezug auf die positiven Auswirkungen von Section 404.......... 202

4.2.6.2 In bezug auf das Kosten-Nutzen-Verhältnis ................................. 204

4.3 Übertragbarkeit der Ergebnisse........................................................................ 205

4.4 Zusammenfassung............................................................................................ 209

5 Ergebnisse und Ausblick ............................................................................... 213

Anhang ....................................................................................................................... 219

Literaturverzeichnis ................................................................................................. 237

IX

Abkürzungsverzeichnis Abb. Abbildung Abs. Absatz AICPA American Institute of Certified Public Accountants AIMR Association for Investment Management and Research Anm. Anmerkung ARIC Auditor Report on ICoFR ASB Auditing Standards Board (USA) Art. Artikel AktG Aktiengesetz (Deutschland) Aufl. Auflage BankV Verordnung über die Banken und Sparkassen vom 17. Mai 1972,

Stand vom 8. Juni 2004 [SR 952.02] bearb. bearbeitet bspw. beispielsweise bzw. beziehungsweise ca. circa CEO Chief Executive Officer CFO Chief Financial Officer CFR Code of Federal Regulation (USA), 2005 edition CHF Schweizer Franken Corp. Corporation COSO Committee of the Sponsoring Organizations of the Treadway Com-

mission d.h. das heisst DCF Discounted Cash Flow DCP Disclosure Controls and Procedures Diss. Dissertation ebd. ebenda EBIT Earning before interest and tax erg. ergänzt erw. erweitert

X

et al. et alii etc. et cetera EU Europäische Union EUR Euro f., ff. und folgende, und fortfolgende FASB Financial Accounting Standards Board (USA) FCPA Foreign Corrupt Practices Act, 1977 (USA) FDIA Federal Deposit Insurance Act, 1950 (USA) FDIC Federal Deposit Insurance Corporation (USA) FDICIA Federal Deposit Insurance Company Improvement Act, 1991 (USA) FEI Financial Executives Institute Fn Fussnote(n) GAAP Generally Accepted Accounting Principles GAAS Generally Accepted Auditing Standards GAO US General Accounting Office GPO US Government Printing Office GzA Grundsätze zur Abschlussprüfung Habil. Habilitation HGB Handelsgesetzbuch (Deutschland) vom 10. Mai 1897 Hrsg. Herausgeber(in) HR Human Resources IAS International Accounting Standards IASB International Accounting Standards Board ICAEW Institute of Chartered Accountants in England and Wales ICoFR Internal Control over Financial Reporting IIA The Institute of Internal Auditors Inc. Incorporated IT Informationstechnologie LLP Limited Liability Partnership KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich vom

27. April 1998 (Deutschland) Mio. Million Mrd. Milliarde

XI

MRIC Management Report on ICoFR NCFFR National Commission on Fraudulent Financial Reporting (The

Treadway Commission) NYSE New York Stock Exchange No. Nummer Nr. Nummer OR Bundesgesetz betreffend die Ergänzung des Schweizerischen Zivil-

gesetzbuches, Fünfter Teil: Obligationenrecht, Stand vom 29. No-vember 2005 [SR 220]

o.V. ohne Verfasser para. paragraph PCAOB Public Company Accounting Oversight Board (USA) POB Public Oversight Board (USA) PS Schweizerischer Prüfstandard RLCG Corporate Governance-Richtlinie der SWX, Stand vom 1. August

2004 S. Satz, Seite S.A. Société anonyme SAP Statement on Auditing Procedures (USA) SAS Statement on Auditing Standards (USA) SEA Securities Exchange Act, 1934 (USA) SEC US Securities Exchange Commission SFAS Statement on Financial Accounting Standards (USA) SOA Sarbanes-Oxley Act, 2002 (USA) sog. sogenannt(e) Sp. Spalte SR Systematische Sammlung des Bundesrechts SSAE Statement on Standards for Attestation Engagements (USA) SWX Swiss Exchange Tab. Tabelle u.a. unter anderem Univ. Universität unveränd. unverändert US(A) United States (of America)

XII

USC United States Code, 2000 edition USD US-Dollar usw. und so weiter v. von/vom v.a. vor allem vgl. vergleiche vollst. vollständig Vol. Volume z.B. zum Beispiel Ziff. Ziffer zit. zitiert Zugl. Zugelassen

XIII

Abbildungsverzeichnis Abb. 1: Mit Section 404 verfolgte Ziele des Gesetzgebers...................................... 26 Abb. 2: Der Überwachungsprozess .......................................................................... 39 Abb. 3: Ziele und Komponenten im Internal Control-Ansatz.................................. 44 Abb. 4: Komponenten des Prüfungsrisikos.............................................................. 55 Abb. 5: Zusammenhänge zwischen Managementbericht und Prüfmeinungen........ 85 Abb. 6: Schritte zur Identifizierung von zu testenden Kontrollen ........................... 89 Abb. 7: Beziehungen zwischen Abschlussprüfung und ICoFR-Prüfung................. 93 Abb. 8: Konzeption der Forschungsfragen............................................................. 110 Abb. 9: Ausmass der vermuteten positiven Auswirkungen von Section 404 ........ 204 Abb. 10: Vermutetes langfristiges Kosten-Nutzen-Verhältnis von Section 404...... 205

Tabellenverzeichnis Tab. 1: Übersicht über die Entstehung des SOA ..................................................... 13 Tab. 2: Empfohlene Regelungen in bezug auf ICoFR............................................. 21 Tab. 3: Unterschiede zwischen Section 36 des FDIA und Section 404 des

SOA ............................................................................................................. 31 Tab. 4: Überblick über in der Vergangenheit gemachte Empfehlungen ................. 34 Tab. 5: Häufigkeit der Ursachen von Fehlaussagen gemäss

unterschiedlichen Studien............................................................................ 47 Tab. 6: Ergebnisse zur Nachfrage nach einer Berichterstattung über ICoFR ......... 72 Tab. 7: Ergebnisse zur Interpretation von ICoFR-Berichten................................... 75 Tab. 8: Berichtsszenarien......................................................................................... 95 Tab. 9: Mit der Umsetzung der Detailregeln verbundene Kosten......................... 113 Tab. 10: Studien über den Zusammenhang von ICoFR und

Rechnungslegung ...................................................................................... 119 Tab. 11: Studien über die Reaktionen des Kapitalmarkts auf die

Verabschiedung des SOA und die neuen Offenlegungspflichten ............. 122 Tab. 12: Untersuchungssubjekte.............................................................................. 127 Tab. 13: Kontrollkategorien und Unternehmensebenen.......................................... 139

1. Kapitel: Einleitung

1

1 Einleitung 1.1 Hintergrund Am 30. Juli 2002 verabschiedete der US-Kongress den Sarbanes-Oxley Act of 2002 (SOA).1 Dessen Erarbeitung vorausgegangen war eine Serie spektakulärer Zusam-menbrüche grosser börsenkotierter Unternehmen2, in deren Folge das Vertrauen der Anleger massgeblich erschüttert wurde.3 Erklärtes Ziel der Autoren des SOA war folg-lich die Verbesserung des Investorschutzes.4 Untergliedert in elf Abschnitte enthält er Bestimmungen u.a. für Geschäftsleitungen, Verwaltungsräte, Prüfungsausschüsse und Prüfgesellschaften sämtlicher an US-Börsen notierten Publikumsgesellschaften. Die Vorschriften reichen von der Schaffung eines Aufsichtsorgans für Prüfgesellschaften über den Ausweis zusätzlicher finanzieller Informationen bis hin zu verschärften Stra-fen für deliktische Handlungen. Der SOA wurde von mancher Seite als wichtigster Eingriff in die Finanzberichterstattung seit den Securities Acts von 1933 und 1934 be-zeichnet.5

Section 404, „Management assessment of internal controls“, wird als eine der Kernbe-stimmungen des SOA betrachtet.6 Ihr gilt der Fokus dieser Arbeit. Section 404(a) zu-folge ist die Geschäftsleitung7 für die Einrichtung und Pflege funktionsfähiger „Inter-nal Control over Financial Reporting“ (ICoFR) verantwortlich, deren Wirksamkeit sie anlässlich der jährlichen Berichterstattung zu bewerten und in Form eines eigenständi-gen Berichts offenzulegen hat; dem Abschlussprüfer obliegt es laut Section 404(b), die von der Geschäftsleitung vorgenommene Beurteilung zu prüfen und darüber zu berich-ten. Mit der Konkretisierung der grob formulierten Regelungen des Gesetzestextes wurden die Securities and Exchange Commission (SEC) sowie das durch den SOA

1 Vgl. US Congress (2002). 2 Ausschlaggebend für die Gesetzeserarbeitung waren die Skandale um Enron und Global Crossing. Siehe

hierzu Abschnitt 2.1.2. 3 Vgl. z.B. UBS/Gallup (2002), demzufolge 79% aller befragten Investoren im Februar 2002 angaben, dass

der Zusammenbruch von Enron dem Investitionsklima in den USA schade, und ein Drittel erklärte, fortan weniger in Aktien investieren zu wollen.

4 Vgl. den offiziellen Titel des SOA: „An Act to protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes.”

5 So Präsident G.W. Bush bei der Unterzeichnung des SOA; vgl. US Senate (2003 b), S. 1653; siehe kri-tisch hierzu z.B. Cunningham (2002).

6 Vgl. z.B. M.G. Oxley in US House of Representatives (2005), S. 2. 7 Die Bezeichnungen „Geschäftsleitung“ und „Management“ werden fortan synonym verwendet.

1. Kapitel: Einleitung

2

neu geschaffene Public Company Accounting Oversight Board (PCAOB) betraut. Die von ihnen erlassenen Ausführungsbestimmungen gelten für über 13’000 Unternehmen weltweit8 und mussten von den meisten erstmalig für Geschäftsjahre, die nach dem 15. November 2004 enden, umgesetzt werden.

So einig sich Betroffene und Beobachter seit Inkrafttreten dieser Ausführungsregelun-gen darin sind, dass Section 404 von allen Bestimmungen des SOA den für Unterneh-men grössten Implementierungsaufwand darstelle9, so uneinig ist man sich in der Be-urteilung ihrer Auswirkungen: Angeführt wird das Lager der Fürsprecher von den grossen Prüfgesellschaften, die u.a. effizientere Unternehmensprozesse, wirksamere Massnahmen zur Verhinderung deliktischer Handlungen, zuverlässigere Rechnungsle-gung sowie steigendes Anlegervertrauen als Ergebnisse in Aussicht stellen.10 Ähnlich zuversichtlich äussern sich Vertreter der SEC und des PCAOB.11 In Erwartung derlei Nutzen befolgen einige Unternehmen gar freiwillig die Bestimmungen der Section 404.12 Auf der anderen Seite mehren sich Stimmen, die vor übertriebenen Erwartungen warnen und bezweifeln, dass mit Section 404 das verlorengegangene Vertrauen der Anleger zurückgewonnen werden könne.13 Die Fragwürdigkeit des Nutzens in Verbin-dung mit der kraft- und geldaufwendigen Wirklichkeit der Implementierung veranlass-te in der Zwischenzeit verschiedene europäische Unternehmen, die Vorteile einer Zweitnotierung an der New York Stock Exchange (NYSE) kritisch zu überdenken,14 vereinzelte US-Publikumsgesellschaften erwogen gar die Umwandlung in eine Privat-gesellschaft15, bisherige Privatunternehmen verzichteten auf einen Börsengang16.

Die Bestimmungen der Section 404 dürften dazu beigetragen haben, dass das Thema ICoFR auch ausserhalb der USA eine bislang unbekannte Bedeutung erlangt hat.17

8 Vgl. SEC (2003 c), S. 36654 ff. 9 Vgl. z.B. Menzies (2004), S. 21. 10 Vgl. z.B. PWC (2004 a) S. 1 und Deloitte & Touche et al. (2004 a), S. 1. 11 Vgl. z.B. W. Donaldson, Chairman der SEC, und W. McDonough, Chairman des PCAOB, in US House

of Representatives (2005), S. 53 bzw. S. 65 ff. 12 In der Schweiz bspw. die SBB; vgl. Bigler (2004). 13 Vgl. z.B. FEI (2004), S. 6 ff. 14 Vgl. z.B. Kuls (2005) und Deutsches Aktieninstitut (2005), S. 41 ff. 15 Vgl. z.B. Engel et al. (2004). 16 Vgl. z.B. Bentley (2004). 17 Vgl. z.B. Meyer/Widmer (2005), S. 781, und Ruud/Jenal (2005), S. 1045.

1. Kapitel: Einleitung

3

Verschiedene jüngere regulatorische Eingriffe18 in die Abschlussprüfung oder in die Überwachung von Unternehmen bezeugen diese Entwicklung. Das Verabschieden weiterer gesetzlicher Massnahmen im Bereich von ICoFR wird mitunter von andern-orts gemachten Erfahrungen abhängig gemacht.19

1.2 Zielsetzung Vor dem so skizzierten Hintergrund besteht die Zielsetzung dieser Arbeit darin, ausge-hend von den Absichten des Gesetzgebers20 die Auswirkungen von Section 404 zu untersuchen. Der Blickpunkt gilt dabei den Auswirkungen auf die Rechnungslegung, die Abschlussprüfung und den Kapitalmarkt. Diese Ausrichtung ergibt sich aus den Grundzügen der Gesetzgebung: So wird mit dem Regelungsgegenstand, „Internal Control over Financial Reporting“, auf die Rechnungslegung abgezielt; hat die Ver-pflichtung des Abschlussprüfers Implikationen für die Abschlussprüfung; sowie wird der Kapitalmarkt tangiert, weil Investoren die erklärten Nutzniesser des SOA sind.21

Die in dieser Arbeit gewonnenen Erkenntnisse mögen zur gegenwärtig geführten Dis-kussion über Nutzen und Notwendigkeit einer Berichterstattung über ICoFR beitragen.

18 In der Schweiz etwa muss die Revisionsstelle mit Inkrafttreten des revidierten Obligationenrechts prüfen,

ob ein „internes Kontrollsystem“ existiert, vgl. Art. 728a (neu) Abs. 1 Ziff. 3 OR, zit. in Meyer/Widmer (2005), S. 1045. Vom Nationalrat abgelehnt wurde der ursprüngliche Entwurf, der die Revisionsstelle verpflichtet hätte, sich von der Funktionstüchtigkeit des internen Kontrollsystems zu überzeugen; vgl. KPMG/Universität Zürich (2005), S. 66.

Die vom Europäischen Parlament angenommene Richtlinie über die Abschlussprüfung zählt zu den Auf-gaben des Prüfungsausschusses die Überwachung des Rechnungslegungsprozesses und der Wirksamkeit der internen Kontrolle; zudem hat der Abschlussprüfer den Prüfungsausschuss über wesentliche Schwä-chen bei der internen Kontrolle des Rechnungslegungsprozesses zu informieren; vgl. Art. 39 in EU (2004). Siehe zur Reform des EU-Gesellschaftsrechts z.B. Maul (2003).

19 Vgl. z.B. Europäisches Corporate Governance Forum (2005). 20 In den USA werden Gesetzesentwürfe entweder von Abgeordneten des Repräsentantenhauses oder von

Senatoren eingebracht. Wie in Abschnitt 2.1.2 zu zeigen sein wird, geht Section 404 auf einen Vorschlag von Mitgliedern des Senats zurück. Damit eine Gesetzesvorlage zu geltendem Recht wird, bedarf sie der Zustimmung beider Kammern.

21 Konkret sind es die individuellen Investoren, die in den Genuss verbesserten Anlegerschutzes kommen sollen. Vgl. z.B. R. Byrd vor der abschliessenden Senatsabstimmung: “We are talking about the Ameri-can public, those people out there, Republicans and Democrats and Independents, in the Alleghenies, along the eastern coast, on the storm-beaten coast of Maine, the fishermen on the mighty deep, the people in the Plains and the Rockies and beyond. These are the people, north and south, the public. We are talk-ing about the American public having lost, by some estimates, tens of billions of dollars of invested sav-ings in companies that issued false – and they knew they were issuing false – financial reports. Tens of thousands of workers who have to wash the grime from their hands and their faces, workers in the fields, in the mines, in the shipyards, those are the people we are talking about, the public, tens of thousands of workers who have lost their jobs.“ US Senate (2003 b), S. 1362.

1. Kapitel: Einleitung

4

1.3 Aufbau Bei einer Untersuchung der Auswirkungen von Section 404 gilt es zu bedenken, dass der Gesetzgeber mit Section 404 lediglich das Konzept einer Berichterstattung über bzw. Prüfung von ICoFR22 definierte. Von ihm festgeschrieben wurde, dass das Ma-nagement sich öffentlich zu seiner Verantwortung für die Einrichtung angemessener ICoFR zu bekennen und darüber hinaus die Ergebnisse seiner Bewertung derselben darzulegen habe, sowie dass der externe Prüfer im Rahmen der Abschlussprüfung eine Durchsicht ebendieses Managementberichts vorzunehmen und darüber ein Urteil ab-zugeben habe. Die Präzisierung dieser Bestimmungen in Form von Detailregelungen wurde an die SEC bzw. das PCAOB delegiert. Deren Ausführungsbestimmungen ent-halten verbindliche Richtlinien, die von Unternehmen und Prüfgesellschaften bei der Erfüllung ihrer Berichts- bzw. Prüferfordernisse zu befolgen sind.

Vergleicht man nun die tatsächlichen, in der Praxis feststellbaren Auswirkungen von Section 404 mit den vom Gesetzgeber gewollten Auswirkungen auf Rechnungslegung, Abschlussprüfung und den Kapitalmarkt, sind diese „Entwicklungsstufen“ zu berück-sichtigen. Eine beobachtete Abweichung zwischen „Ist“ und „Soll“ könnte folglich auf verschiedene Faktoren zurückgeführt werden:

• die grundsätzliche Eignung der von Section 404 vorgesehenen ICoFR-Berichterstattung bzw. -Prüfung in bezug auf die fraglichen Ziele;

• das Ausmass, in welchem die Detailregelungen die (grundsätzlich mögliche) Er-reichung der Ziele unterstützen;

• die Umsetzung der Detailregeln durch Unternehmen und Prüfgesellschaften in der Praxis.

Dies berücksichtigend wird eine differenzierte Untersuchung dieser drei Faktoren vor-genommen. Zu beurteilen also sind das grundsätzliche Vorhaben des Gesetzgebers in Gestalt von Section 404 bzw. die präzisierenden Detailregelungen vor dem Hinter-

22 Die Bezeichnung „Internal Control over Financial Reporting“ (ICoFR) wurde nicht im Gesetzestext ver-

wendet, sondern erst durch die SEC bei der Formulierung der Detailregeln definiert. Sie wird nachfolgend durchgehend für interne Überwachungssysteme verwendet, die das Ziel einer ordnungsgemässen Buch-führung und Rechnungslegung unterstützen. In Anlehnung an das COSO-Framework (siehe Abschnitt 2.3.3.1.3) wird stattdessen von „Internal Control“ gesprochen, wenn es nicht nur um die Ordnungsmäs-sigkeit der Rechnungslegung geht, sondern darüber hinaus auch um Effizienz und Zweckdienlichkeit ope-rativer Prozesse sowie um die Erfüllung gesetzlicher Vorschriften.

1. Kapitel: Einleitung

5

grund der konkreten Zielsetzung. Denn nur dann ist es möglich, die in der Praxis beo-bachteten Auswirkungen auf Rechnungslegung, Abschlussprüfung und den Kapital-markt erklären zu können. Der nachstehend beschriebene Aufbau der Arbeit spiegelt diese Überlegungen wider.

In Kapitel 2 wird zunächst die Entstehungsgeschichte der Section 404 skizziert, wobei auf die hierfür relevanten Passagen im Gesetzgebungsverfahren eingegangen wird. Im Anschluss hieran erfolgt die Benennung und Erörterung der mit Section 404 verbun-denen Ziele, wie sie dem Gesetzgeber in bezug auf Rechnungslegung, Abschlussprü-fung und den Kapitalmarkt vorgeschwebt haben dürften. Unter Hinzuziehung von the-oretischen und empirischen Erkenntnissen aus der Literatur wird dann die von Section 404 vorgesehene ICoFR-Berichterstattung bzw. -Prüfung hinsichtlich der zu erwarten-den Zielunterstützung beurteilt.

Kapitel 3 verschafft einen Überblick über die Detailregelungen, die von der SEC bzw. dem PCAOB erlassen wurden, und bewertet diese ebenfalls unter dem Aspekt der Zielunterstützung. Zusätzlich werden im dritten Kapitel solche Bestimmungen des SOA vorgestellt, die einen Bezug zur Section 404 aufweisen; u.a. handelt es sich um solche, die Sanktionen bei Schlechterfüllung beinhalten.

Das vierte Kapitel enthält die Ergebnisse einer empirischen Studie, die bei Schweizer Unternehmen, Prüfgesellschaften und Kapitalmarktvertretern zwecks Bestimmung der Auswirkungen von Section 404 in der Praxis durchgeführt wurde. Mit der Aufnahme der Praxisergebnisse wird der letzte Schritt der Untersuchung vollzogen. Die Frage, wie die Resultate im Lichte der in den vorigen Kapiteln gewonnenen Erkenntnisse zu beurteilen sind und welche Implikationen sich hieraus ergeben, wird im letzten, dem fünften Kapitel behandelt.

2. Kapitel: Section 404

7

2 Section 404 Kapitel 2 widmet sich den mit Section 404 verbundenen Zielen sowie den in der Lite-ratur vorhandenen Erkenntnissen zu einer Berichterstattung bzw. Prüfung über ICoFR: In Abschnitt 2.1 wird zunächst die Entstehung von Section 404 aufgezeigt; anschlies-send erörtert Abschnitt 2.2 die Ziele, die dem Gesetzgeber bei der Formulierung der Section 404 vorschwebten; Abschnitt 2.3 enthält sodann eine Beurteilung der Vorga-ben von Section 404 hinsichtlich der zu erwartenden Zielunterstützung, wobei auf Er-kenntnisse aus Theorie und Praxis zurückgegriffen wird; Abschnitt 2.4 schliesst mit einer Zusammenfassung des Kapitels.

2.1 Die Entstehung von Section 404 Bevor ein kurzer Überblick über den Verlauf der Gesetzgebung gegeben wird (Abschnitt 2.1.2), sind die vor Beginn der Gesetzgebung geltenden normativen Rahmenbedingungen zu beschreiben (Abschnitt 2.1.1). Wie zu zeigen sein wird, ist die Aufnahme von Section 404 in den SOA auf verschiedene, anlässlich von Anhörungen vor dem Gesetzgeber gemachte Empfehlungen zurückzuführen. Diese, denen Hinwei-se auf die Motivation des Gesetzgebers entnommen werden können, werden in Ab-schnitt 2.1.3 betrachtet. Mit dem Wortlaut von Section 404 führt Abschnitt 2.1.4 schliesslich das Ergebnis der gesetzgeberischen Aktivitäten auf.

2.1.1 Normative Rahmenbedingungen vor der Gesetzgebung Vorgestellt werden die vor der Verabschiedung des SOA bestehenden, sich auf ICoFR beziehenden Rahmenbedingungen, die einerseits für Unternehmen, anderseits für den Berufsstand Gültigkeit hatten. Dabei werden ausschliesslich die in den USA geltenden Normen berücksichtigt. Zu betrachten sind auch die in der Vergangenheit unternom-menen Anläufe auf eine obligatorische Berichterstattung über ICoFR, auf die im wei-teren Verlaufe dieses Kapitels noch einmal zurückgegriffen wird.

2.1.1.1 Vorschriften für Unternehmen Seitdem die Thematisierung von ICoFR Ende der 1940er Jahre an Intensität gewonnen hat,23 wurde der Gesetzgeber zweimal aktiv: 1977 mit der Verabschiedung des Foreign Corrupt Practice Act (FCPA) und 1991 mit dem Erlass des Federal Deposit Insurance

23 Vgl. für einen historischen Überblick Root (1998), S. 51 ff.

2. Kapitel: Section 404

8

Corporation Improvement Act (FDICIA)24. Der FCPA, Reaktion auf das Bekanntwer-den massiver Vorfälle von Korruption und Betrug in zahlreichen Unternehmen, be-stimmte u.a., dass sämtliche bei der SEC registrierten Unternehmen

“[…] devise and maintain a system of internal accounting controls sufficient to provide reasonable assurance that

(1) transactions are executed in accordance with management’s general or specific authorizations, (2) transactions are recorded as necessary to permit preparation of financial state-ments in conformity with GAAP or any other criteria applicable to such statements and to maintain accountability of assets, (3) access to assets is permitted only in accordance with management’s general or specific authorization, and (4) the recorded accountability for assets is compared with the existing assets at rea-sonable intervals and appropriate action is taken with respect to any differences.”25

Der FCPA enthielt keine Bestimmung, die von den Unternehmen eine regelmässige Berichterstattung über die Effektivität ihrer ICoFR verlangt hätte. Die Empfehlungen der Cohen Commission26 aufgreifend, begab sich die SEC 1979 erstmals daran, dieses (vermeintliche) Versäumnis zu beheben und schlug Regelungen über eine entspre-chende Berichterstattung vor.27 Die im Rahmen der Vernehmlassung eingegangenen Einwände – gewarnt wurde vor allem vor den erheblichen Umsetzungskosten, dem erhöhten Haftungsrisiko, das Unternehmen entstünde, sowie einer fragwürdigen Aus-sagekraft der Berichte28 – bewogen die SEC allerdings, von den vorgesehenen Be-stimmungen vorerst abzurücken und den Markt Initiativen zur Selbstregulierung auf-nehmen zu lassen. Ihre 1988 als Antwort auf die Empfehlungen der Treadway Com-mission29 erlassenen Vorschläge sahen dann vor, dass das Management registrierter Unternehmen zukünftig drei Auskünfte in den Jahresberichten zu machen hätte: ers-tens, die Ergebnisse seiner Beurteilung von ICoFR bezüglich deren Wirksamkeit; zweitens, die von ihm eingeleiteten Massnahmen als Erwiderung auf von internen oder externen Prüfern ausgesprochenen Empfehlungen bezüglich ICoFR; drittens, die An-

24 Die entsprechenden Passagen des FDICIA werden in Abschnitt 2.3.1 ausführlich behandelt. 25 Vgl. USC, Title 15, Section 78m(b)(2)(B); vgl. auch Root (1998), S. 70 ff. 26 Siehe Abschnitt 2.3.2. 27 Vgl. SEC (1979). 28 Vgl. GAO (1996 a), S. 72; Root (1998), S. 70 ff.; Wallace (1981); Mautz/Kell (1980), S. 328 ff. 29 Siehe Abschnitt 2.3.2.

2. Kapitel: Section 404

9

erkennung seiner Verantwortung für die Erstellung der Abschlüsse sowie für den Un-terhalt von ICoFR.30 Wenngleich einzelne Elemente dieser Vorlage bei vielen Kom-mentatoren durchaus auf Anklang stiessen – etwa die zu bestätigende Verantwortung des Managements für ICoFR –, sprach sich doch die Mehrheit gegen die Verwirkli-chung des Vorschlags aus. Kritisiert wurde v.a. das Fehlen konsistenter Kriterien, ohne die weder Unternehmen noch Prüfer in der Lage seien, die Funktionsfähigkeit von ICoFR zuverlässig zu bewerten.31 Wie schon 1979 beschloss die SEC, ihre Vorschläge nicht weiter zu verfolgen. Bei späteren Initiativen begründete sie dann ihre ablehnende Haltung mit Verweis auf jene Erfahrungen.32 – Einzig im Falle eines Prüferwechsels waren in den Geschäftsberichten einige (wenige) Aussagen zu ICoFR zu machen.33 Ein entsprechendes Erfordernis stellte die SEC 1988, kurz nach der Rücknahme ihres Vorschlags über eine regelmässige ICoFR-Berichterstattung, auf.34

Die seit Anfang der 1990er Jahre zunehmende Berichterstattung von Unternehmen war folglich freiwillig. Verschiedene Untersuchungen35 zeigten indes, dass diese Manage-mentberichte höchst uneinheitlich gestaltet und folglich kaum vergleichbar waren. Als unbefriedigend wurde v.a. die zu beobachtende Tendenz beurteilt, dass sich das Mana-gement in seinen Ausführungen gewöhnlich auf Beschreibungen von ICoFR be-schränkte, eine klare Stellungnahme zu deren Wirksamkeit jedoch vermied.36

2.1.1.2 Prüfstandards Schon vor der Verabschiedung des SOA bestanden Prüfstandards, die vorgaben, wie eine Beurteilung von ICoFR zu erfolgen hat. Ein generelles Prüferfordernis hingegen bestand zu keinem Zeitpunkt: Nachdem der Berufsstand schon Ende der 1940er Jahre einen ersten, richtungweisenden Beitrag zum Thema ICoFR schuf und darin eine über

30 Vgl. SEC (1988 a) und Solomon/Cooper (1990), S. 61. 31 Vgl. Solomon/Cooper (1990), S. 61. Siehe auch die Position des FEI in FEI (1999), S. 3 ff. 32 Vgl. GAO (1996 b), S. 171. 33 Konkret war mitzuteilen, ob der scheidende Abschlussprüfer das Unternehmen darüber informiert habe,

dass die ICoFR von unzureichender Qualität sei; vgl. US CFR Title 17, Section 229.304(a)(1)(v)(A) in Verbindung mit Section 229.304(a)(1)(iv)(A).

34 Vgl. SEC (1988 b). 35 Vgl. Willis/Lightle (2000) und Raghunandan/Rama (1994). 36 Laut Raghunandan/Rama (1994), S. 55, haben sich lediglich sechs (von 80 untersuchten) Unternehmen in

ihren Managementberichten zur Funktionsfähigkeit von ICoFR geäussert. – Siehe auch COSO (1992 b), S. 14: „A statement on management’s responsibilities or the design of the internal controls system is much less substantive than reporting on effectiveness, and might mislead readers who do not recognize the subtle distinction in wording.”, zit. in Raghunandan/Rama (1994), S. 54.

2. Kapitel: Section 404

10

mehrere Jahrzehnte hinweg anerkannte Definition37 festschrieb, galt es in der Folgezeit zunächst, möglichst eindeutig das Ausmass zu definieren, in welchem ICoFR im Rah-men der Abschlussprüfung zu berücksichtigen sei.38 Die diesbezüglichen Standards39 forderten den Abschlussprüfer auf, sich im Vorfeld der Prüfung zwecks Planung der-selben ein hinreichendes Wissen über ICoFR anzueignen, was zweierlei umfasse: Kenntnis des Designs von für die Abschlussprüfung relevanter ICoFR sowie Verge-wisserung, dass diese auch tatsächlich in Kraft gesetzt wurde.40 Seit jeher nicht vorge-schrieben wurde die umfassende Untersuchung der Wirksamkeit von ICoFR zu Pla-nungszwecken. Sollte der Abschlussprüfer bei der Erlangung eines Verständnisses über ICoFR jedoch zum Schluss kommen, sich in bestimmten Prüfgebieten auf beste-hende ICoFR verlassen zu wollen, dann hatte er fragliche ICoFR auf deren Funktions-tüchtigkeit zu überprüfen.41 Die alleinige Befolgung jener Standards befähigte den Prüfer noch nicht, ein umfassendes und fundiertes Urteil über die Wirksamkeit von ICoFR abzugeben.

Ob und inwiefern der Prüfer über ICoFR seiner Mandanten zu berichten habe, kam sehr viel später zur Diskussion als die Frage nach ihrer Beurteilung im Kontext der Abschlussprüfung.42 Erst 1971 nahm man sich dieser Thematik an, um dem damals wahrgenommenen Bedarf nach einer entsprechenden Berichterstattung Rechnung zu tragen. Der ursprüngliche, 1973 vorgebrachte Standard SAP No. 49, „Reports on In-ternal Control“, und seine Folgestandards43 sahen nichts weiteres vor, als dass der Ab-schlussprüfer die Erkenntnisse, die er in bezug auf ICoFR im Rahmen der Abschluss-prüfung gewonnen hat, zusammenfasse und in einem separaten Bericht publiziere. Ge-nerell wurde das Berichten über ICoFR losgelöst von der Abschlussprüfung als Son-

37 Vgl. American Institute of Accountants (1949), S. 6. Das American Institute of Accountants ist die Vor-

gängerorganisation des AICPA. 38 Der 1949 verabschiedete „Second Standard of Field Work“ schreibt vor, dass eine gründliche Untersu-

chung und Auswertung der bestehenden ICoFR Ausgangspunkt für die Bestimmung des Prüfungsumfan-ges sein muss. Zit. in AICPA (1972), para. 1.

39 Vgl. AICPA (1958), AICPA (1972), AICPA (1988), AICPA (1995). Vgl. Heier et al. (2003). 40 Vgl. z.B. AICPA (1995), para. 25. 41 Vgl. z.B. ebd., para. 25 und para. 62–83. 42 Vgl. z.B. AICPA (1958), para. 1: “No attempt is made in this statement to consider the scope of the re-

views of internal control by the independent auditor for other purposes, such as special engagements […]”

43 Vgl. AICPA (1980) und AICPA (1993).

2. Kapitel: Section 404

11

derfall behandelt.44 Grund hierfür dürfte eine gewisse Skepsis des Berufsstands gewe-sen sein, wie diese den Inhalten der entsprechenden Standards zu entnehmen ist: So wird dort ausführlich auf das Konzept der angemessenen Sicherheit eingegangen, wer-den die inhärenten Mängel von ICoFR dargelegt sowie wird auf die wechselhafte Na-tur des Berichtsgegenstandes und die beschränkte Aufdeckungskraft der durchgeführ-ten Prüfungshandlungen hingewiesen.45 Die Bedenken, die offensichtlich gegen I-CoFR-Berichte gehegt wurden, kommen auch darin zum Ausdruck, dass man in ihnen keinen rechten Nutzen für die interessierte Öffentlichkeit erkennen konnte46 und folg-lich dem Prüfer explizit davon abriet, den Prüfbericht anderen Personen als dem Prü-fungsausschuss oder Aufsichtsbehörden zukommen zu lassen.47 Dass der Berufsstand selbst nicht sonderlich von dem Instrument einer ICoFR-Berichterstattung überzeugt war, könnte erklären, dass von SAP No. 49 nur selten Gebrauch gemacht wurde.48

Darüber hinaus existierte lange Zeit – auch mangels eines konsistenten Rahmenwerks – keine verbindliche Anleitung zum Bewerten von ICoFR.49 Erst nach Veröffentli-chung des COSO-Frameworks50 wurde mit SSAE No. 2, „Reporting on an Entity’s Internal Control Over Financial Reporting“, ein solcher Standard etabliert. Er bildet die Basis des 2001 publizierten und noch immer geltenden SSAE No. 10, „Re porting on an Entity’s Internal Control Over Financial Reporting“51, dessen Inhalte sich deutlich von den frühen Bestimmungen des „Urstandards“ SAP No. 49 abheben: Zum einen wird die darin beschriebene Prüfarbeit als gänzlich losgelöst von den im Zusammenhang mit der Abschlussprüfung zu erbringenden Prüfungshandlungen dar-

44 Vgl. z.B. AICPA (1971), para. 1: “Independent auditors are sometimes requested to furnish reports on

their evaluation of internal control for use by management, regulatory agencies, other independent audi-tors, or the general public.”

45 Vgl. AICPA (1971), para. 6 ff. 46 Vgl. AICPA (1971), para 16: „Consequently, it is evident that reports on internal accounting control can

serve a useful purpose for management, regulatory agencies, and other independent auditors. […] In con-trast, the usefulness of reports on internal accounting control to the general public is questionable.”

47 Vgl. AICPA (1971 a), para. 24 ff. Vgl. AICPA (1993), para. 40: “Because of the potential for misinterpretations of the limited degree of

assurance associated with the auditor issuing a written report representing that no reportable conditions were noted during the examination, the auditor should not issue such representation.”

48 Vgl. Carmichael et al. (1995), S. 151. 49 Vgl. Mautz/Kell (1980), S. 324 f. 50 Siehe Abschnitt 2.3.3.1.3. 51 Während der vom PCAOB erlassende Prüfstandard die Prüfarbeit in Verbindung mit Section 404(b) des

SOA regelt (siehe Abschnitt 3.2), kann SSAE No. 10 für alle anderen Berichtsaufgaben hinzugezogen werden; vgl. PCAOB (2004 a), Appendix E, para. 129.

2. Kapitel: Section 404

12

gestellt,52 zum anderen wird ein von der Geschäftsleitung vorzulegender ICoFR-Bericht als Bedingung für einen solchen Prüfauftrag definiert.53 Sodann enthält SSAE No. 10 eine konsistente Arbeitsanleitung, die sich aus der Einbindung des COSO-Frameworks ergibt.54 Am Prüfer liegt es zu entscheiden, entweder den besagten Ma-nagementbericht daraufhin zu prüfen, ob dieser ein den tatsächlichen Verhältnissen entsprechendes Bild aufzeigt, oder die Wirksamkeit von ICoFR direkt zu prüfen.55 Mit seinen Vorgängerstandards hat SSAE No. 10 gemein, dass auch er dem Prüfer explizit davon abrät, seine Ergebnisse zu veröffentlichen.56 Insbesondere die Furcht vor haf-tungsrechtlichen Konsequenzen dürften ausschlaggebend hierfür gewesen sein.57

2.1.2 Verlauf der Gesetzgebung Als ausschlaggebend dafür, dass der Gesetzgeber überhaupt Aktivitäten zwecks Ver-besserung der Rechnungslegung aufnahm und schliesslich den SOA in dessen endgül-tigen Form verabschiedete, gelten die Bilanzskandale um Enron, Global Crossing und WorldCom,58 die zwischen November 2001 und Juli 2002 aufgedeckt wurden und die neben einem erheblichen Vermögens- einen spürbaren Vertrauensverlust an den Kapi-talmärkten bewirkten.59 Tab. 1 enthält die wichtigsten Eckpunkte in der Gesetzeshisto-rie des SOA, die – verglichen mit anderen Gesetzgebungsverfahren – übrigens von

52 Vgl. AICPA (2001), para. 1 und para. 78–81. 53 Vgl. ebd., para. 5. 54 Vgl. ebd., para. 13. 55 Vgl. ebd., para. 16. Hierin unterscheidet sich SSAE No. 10 von SSAE No. 2, der als Ziel ausschliesslich

die Bildung eines Urteil über die „management’s written assertion“ vorgab. 56 Vgl. ebd., para. 41. 57 Vgl. GAO (1996 a), S. 66. 58 Das House Committee on Financial Services führte als Reaktion auf die Zusammenbrüche von Enron und

Global Crossing Anhörungen durch, deren Erkenntnisse in die Gesetzgebung einflossen; dem WorldCom-Skandal wird aufgrund seiner Dimension zugestanden, das Abstimmungsverhalten im Senat entscheidend beeinflusst zu haben; siehe die folgenden Ausführungen.

Siehe ausführlich für diese Skandale die folgenden Accounting and Auditing Enforcement Releases (AAER) bzw. Litigation Releases (LR) der SEC: AAER No. 1640 und LR No. 17762 (Enron); AAER No. 1585, LR Nos. 17588 und 17829 (WorldCom); AAER No. 2231 (Global Crossing); abrufbar unter http://www.sec.gov/litigation/admin.shtml und http://www.sec.gov/litigation/litreleases.shtml.

Coffee (2003) untersucht die Ursachen dafür, dass in den Jahren 2001 und 2002 unerwartet und in hoher Konzentration spektakuläre Rechnungslegungsskandale über die Kapitalmärkte hereinbrachen. Eine zent-rale Rolle in seiner Argumentation kommt dem im letzten Jahrzehnt aufgekommenen Trend hin zu akti-enbasierten Managementvergütungen zu.

59 Vgl. z.B. zur Entwicklung des Aktienkurses von Enron z.B. GAO (2003), S. 148. Vgl. zum Vertrauens-schwund unter Investoren z.B. UBS/Gallup (2002).

2. Kapitel: Section 404

13

sehr kurzer Dauer60 war: Zwischen Einbringung der Gesetzesvorlage und Inkraftset-zung lagen gerade einmal fünf Monate. – Die darin aufgeführten Ereignisse werden im folgenden kurz erörtert.

Datum Handelnde Ereignis

12. Dez 2001 – 5. Feb 2002

House Committee on Financial Services61

Anhörungen zum Zusammenbruch von Enron

12. Feb – 21. Mrz 2002

Senate Committee on Banking, Housing and Urban Affairs62

Anhörungen zu „Accounting Reform and Investor Protection“

14. Feb 2002 M.G. Oxley; Repräsentantenhaus

Einbringung der Gesetzesvorlage H.R. 3763;Weiterleitung von H.R. 3763 an das House Committee on Financial Services

13. Mrz – 9. Apr 2002

House Committee on Financial Services

Anhörungen zu H.R. 3763

11. Apr – 16. Apr 2002

House Committee on Financial Services

Erörterung, Anpassung und Verabschiedung von H.R. 3763

24. Apr 2002 Repräsentantenhaus Debattierung und Verabschiedung von H.R. 3763, Weiterleitung an den Senat

25. Apr 2002 Senat Weiterleitung von H.R. 3763 an das Senate Committee on Banking, Housing and Urban Affairs

25. Apr – 18. Jun 2002

Senate Committee on Banking, Housing and Urban Affairs

Erörterung, Anpassung und Verabschiedung von S. 2673 als Gegenentwurf zu H.R. 3763

8. Jul – 15. Jul 2002

Senat Debattierung und Verabschiedung von S. 2673; Weiterleitung an das Repräsentan-tenhaus

17. Jul 2002 Repräsentantenhaus Ablehnung der Anpassungen des Senats

19. Jul 2002 Vertreter beider Kammern Konferenz mit Kompromisslösung

30. Jul 2002 Präsident G.W. Bush Unterzeichnung des SOA

Tab. 1: Übersicht über die Entstehung des SOA63

Noch im Dezember 2001 begannen im House Committee on Financial Services (Hou-se Committee) Anhörungen64 zum Kollaps von Enron. Deren Ziel war es zunächst, die

60 Bspw. gingen der Unterzeichnung des FCPA über eineinhalb Jahre gesetzgeberische Tätigkeiten voraus;

vgl. Siedel (1980). 61 Ständiger Ausschuss des Repräsentantenhauses, präsidiert von M.G. Oxley. 62 Ständiger Ausschuss des Senats, präsidiert von P.S. Sarbanes. 63 Vgl. http://thomas.loc.gov/cgi-bin/bdquery/z?d107:HR03763:@@@X und http://thomas.loc.gov/cgi-

bin/bdquery/z?d107:S2673:@@@X für die Aktivitäten im Repräsentantenhaus bzw. im Senat. 64 Vgl. US House of Representatives (2001 a) und (2001 b).

2. Kapitel: Section 404

14

das Debakel begünstigenden bzw. verursachenden Umstände und Faktoren sorgfältig zu analysieren. Von einer generellen Vertrauenskrise auf den Finanzmärkten, die zu beheben wäre, war zu jenem Zeitpunkt ebensowenig die Rede wie von dringend erfor-derlichen Reformen.65 Gleichwohl stand im House Committee die Wiedergewinnung des Anlegervertrauens im Vordergrund,66 und nur wenige Tage nach der letzten Anhö-rung zum Enron-Kollaps, am 14. Februar 2002, reichte M.G. Oxley, republikanischer Abgeordneter, eine Gesetzesvorlage (H.R. 3763)67 zur Verbesserung des Investor-schutzes in das Repräsentantenhaus ein, mit deren Prüfung das von ihm selbst geleitete House Committee betraut wurde.68 M.G. Oxley und seine Gefolgsleute waren der Ü-berzeugung, dass die Vorfälle um Enron keineswegs als stellvertretend für die gesamte US-amerikanische Unternehmenswelt angesehen werden dürften,69 und plädierten folglich für eine Beibehaltung der marktwirtschaftlichen Korrekturmechanismen.70 Ihren Entwurf priesen sie als umsichtige Antwort auf die identifizierten Probleme, die lediglich behutsame Eingriffe in die Aufsicht der Kapitalmärkte vorsehe.71 Aussenste-hende hingegen kritisierten ihn als „toothless“ und „business-friendly“.72 Nur zwei Wochen später legte der demokratische Abgeordnete J.J. LaFalce, ebenfalls dem Hou-

65 Vgl. M.G. Oxley in US House of Representatives (2001 a), S. 73: “Thankfully, at this point there does not

seem to be a systemic threat to the financial markets as a result of Enron’s collapse […]” 66 Vgl. M.G. Oxley in US House of Representatives (2001 b), S. 17: “We on this subcommittee are working

[…] to restore investor confidence in accounting regulators and in rules governing our markets […]” 67 „The Corporate and Auditing Accountability, Responsibility And Transparency Act of 2002. A bill to

protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities law and for other purposes.” Jain/Rezaee (2005), S. 45, sprechen von über 30 Gesetzesvorlagen, die zwischen dem 14. Februar und dem 25. Juni 2002 eingereicht wurden.

Von Abgeordneten eingebrachten Gesetzesvorlagen wird das Kürzel „H.R.“ (für House of Representati-ves) und eine fortlaufende Nummer zugewiesen; von Senatoren eingebrachte Gesetzesvorlagen haben das Kürzel „S.“ und eine fortlaufende Nummer. In der Mehrheit handelt es sich um sogenannte „bills“, die entweder die Allgemeinheit („public bill“) oder nur bestimmte Individuen bzw. Gruppierungen („private bill“) betreffen. Vgl. US House of Representatives (2003), IV.

68 Nach Eingang der Gesetzesvorlage wird diese vom Sprecher des Repräsentantenhauses an den für das jeweilige Themengebiet zuständigen Ausschuss („Committee“) weitergeleitet.

69 Vgl. z.B. R.H. Baker in US House of Representatives (2002 b), S. 4: “And the problems we are address-ing today, I do not believe are systemic or a condemnation of the business free-enterprise system in the United States.” R.H. Baker war einer der Koautoren von H.R. 3763.

70 Vgl. M.G. Oxley in US House of Representatives (2002 b), S. 2: “Discussing the implications of the En-ron collapse, Chairman Greenspan noted that it has already sparked a very significant shift toward more corporate transparency and more responsible corporate governance practices. While it does not in my view obviate the need for Government action, the market’s self-correcting mechanism certainly does un-derscore the danger of overreacting to the Enron matter.”

71 Vgl. M.G. Oxley in US House of Representatives (2002 b), S. 1: “Our legislation, […], addresses these fundamental issues by strengthening our markets in a very careful way. We avoided the temptation some apparently feel to blanket market participants in a sea of red tape.”

72 Vgl. Zhang (2005), S. 5 und S. 19 sowie die dort aufgeführte Literatur.

2. Kapitel: Section 404

15

se Committee angehörend, ein eigenes Gesetz mit gleichem Ziel vor.73 Bei den an-schliessend durchgeführten Anhörungen74 zu den beiden Gesetzesvorlagen stellte sich heraus, dass der Entwurf von J.J. LaFalce im Vergleich zu demjenigen des Vorsitzen-den als das in wesentlichen Punkten umfassendere und wirkungsvollere Werk angese-hen wurde.75 Gleichwohl konnte J.J. LaFalce im republikanisch dominierten House Committee seine Vorschläge nicht gegen den Entwurf von M.G. Oxley durchsetzen.76 Das Repräsentantenhaus nahm die Vorlage am 24. April 2002 mit deutlicher Mehrheit an77 und leitete sie an den Senat weiter.78

Lange bevor das Senate Committee on Banking, Housing and Urban Affairs (Senate Committee) am 25. April 2002 mit der Prüfung des aus dem Repräsentantenhaus ein-gegangenen Gesetzesentwurfes beauftragt wurde, hatte es – ebenfalls veranlasst durch die besagten Finanzskandale – unter Leitung von Senator P.S. Sarbanes eine Vielzahl von Anhörungen79 mit Vertretern verschiedener Interessengruppen organisiert. Die dabei gewonnenen Erkenntnisse flossen in einen eigenen Gesetzesentwurf ein, den „Public Company Accounting Reform and Investor Protection Act of 2002“ (S. 2673)80, für dessen Annahme sich das Senate Committee am 18. Juni 2002 aus-sprach81 und dem Senat zur Billigung übermittelte. Aufgrund der Schärfe seiner Be-

73 Gemeint ist der “Comprehensive Investor Protection Act of 2002” (H.R. 3818); vgl. US House of Repre-

sentatives (2002 a). 74 Vgl. US House of Representatives (2002 b). 75 Vgl. L.E. Turner und D.A. Silvers in US House of Representatives (2002 b), S. 51 ff. und S. 141 ff. Nicht

überraschend folgte die Kritik externer Beobachter, die dem finalen Entwurf von H.R. 3763. bescheinig-ten, viele Probleme gar nicht, andere hingegen nur halbherzig aufgegriffen zu haben; vgl. z.B. den Artikel der Washington Post, zit. in US Congressional Record (2002), H1548. (Das der Seitenzahl vorangestellte „H“ steht für House of Representatives und besagt, dass es sich um die Aufzeichnung einer Sitzung des Repräsentantenhauses handelt.)

76 Im Anschluss an die Anhörungen kommt die Arbeitsgruppe zu einer sogenannten „Mark-up Session“ zusammen, in welcher die Gesetzesvorlage erörtert und eventuelle Änderungen oder Ergänzungen disku-tiert werden. Abschliessend ist darüber abzustimmen, ob die Vorlage dem Repräsentantenhaus mit einer positiven oder einer negativen Empfehlung zugeleitet werden soll und ob sie mit Änderungen zu versehen ist. Vgl. US House of Representatives (2003), VI und VII.

77 Die Vorlage wurde mit 49 zu 12 Stimmen angenommen; vgl. US House of Representatives (2002 c), S. 20. Vgl. für die verabschiedete Vorlage US Senate (2003 b), S. 2257 ff.

78 Damit eine Gesetzesvorlage zu geltendem Recht wird, bedarf sie notwendigerweise der Zustimmung beider Kammern. Das anschliessende Verfahren gleicht dem aus dem Repräsentantenhaus bekannten: Der Senatspräsident benennt den zuständigen Ausschuss, welcher die Vorlage erörtert, Änderungen erwägt, eine Abstimmung durchführt, einen umfassenden Untersuchungsbericht erstellt und diesen schliesslich dem Senat zukommen lässt. Vgl. US House of Representatives (2003), XIII und XIV.

79 Vgl. US Senate (2003 a). 80 Vgl. US Senate (2003 b), S. 1953 ff. 81 Vgl. Senate Report No. 107-205 in US Senate (2003 b), S. 1883 ff.

2. Kapitel: Section 404

16

stimmungen schien dieser Entwurf allerdings vorerst nicht dazu angetan zu sein, in Gesetzesform gegossen zu werden.82 Erst das Bekanntwerden des WorldCom-Skandals am 25. Juni 2002 schien zu einem grundlegenden Sinneswandel geführt zu haben,83 so dass die Vorlage schon kurze Zeit später, am 15. Juli 2002, nach diversen Anpassungen ohne Gegenstimme vom Senat gutgeheissen wurde.84 Der Senat strich daraufhin den kompletten Gesetzestext von H.R. 3763, ersetzte ihn durch den Inhalt von S. 2673 und sandte H.R. 3763 in solcher Form zurück an das Repräsentantenhaus.

Weil das Repräsentantenhaus seine Zustimmung zu den Änderungen des Senats ver-weigerte, wurde eine Konferenz85 zwischen Vertretern beider Kammern – angeführt von M.G. Oxley bzw. P.S. Sarbanes – einberufen. Das Ergebnis dieser Zusammen-kunft ist der SOA, der am 25. Juli 2002 von beiden Kammern mit grosser Mehrheit86 angenommen und am 30. Juli 2002 von Präsident G.W. Bush unterzeichnet wurde. Der heutige Gesetzesname spiegelt also den Kompromiss wider, der am 19. Juli zwischen den Delegationen der beiden Kammern erzielt wurde. Der finale Text gilt allerdings als politisches Produkt: So seien sowohl Republikaner als auch Demokraten in erster Linie von dem Ansinnen geleitet gewesen, wenige Monate vor den bevorstehenden Kongresswahlen entschiedenes Durchgreifen gegen die Empörung und Verunsiche-rung auslösenden Bilanzskandale zu demonstrieren.87

82 Vgl. Zhang (2005), S. 5 und die dort aufgeführte Literatur. 83 Vgl. ebd., S. 5 und die dort aufgeführte Literatur. 84 Vgl. US Congressional Record (2002), S 6779. (Das der Seitenzahl vorangestellte „S“ steht für „Senate“

und besagt, dass es sich um die Aufzeichnung einer Senatssitzung handelt.) 85 Verändert der Senat die Vorlage des Repräsentantenhauses substantiell („amendment in the nature of a

substitute“) und lehnt das Repräsentantenhaus die vom Senat vorgenommenen Anpassungen ab, wird eine Konferenz zwischen Vertretern der beiden Kammern einberufen, um gemeinsam zu einer Lösung zu ge-langen. Der Kompromiss ist in einem „Conference Report“ zu beschreiben, der von den beiden Kammern zu genehmigen ist. Wichtige Gesetze kommen in der Regel erst über eine solche Konferenz zustande. Vgl. US House of Representatives (2003), XV.

86 Im Repräsentantenhaus stimmten 423 Abgeordnete für das Gesetz, 3 dagegen; im Senat gab es keine Gegenstimme. Vgl. US Congressional Record (2002), H 5480 bzw. S 7365.

87 Vgl. zu der Einstimmigkeit im Senat Melloan, zit. in Zhang (2005), S. 20: „[…] the unanimous passage of several proposals in the Senate were scary, as they signaled that most of the members did not care much about the contents of the bill; rather, they only wanted to show in the November election that they voted the ‘right’ way.“ Vgl. auch Perino (2002), S. 3: “[…] an election year is a poor time to overhaul a compli-cated area like securities regulation. Politicians with their eyes on November ballots may opt for easy fixes that look good in 30-second television commercials rather than taking the time to analyze the merits of proposed policy changes, a fact that one Congressman candidly acknowledged. Much of the Act sim-ply follows headlines from Enron and other corporate scandals, with little appreciation for whether those headlines highlight systemic problems that need legislative attention. Many other provisions, particularly the vaunted criminal provisions, represent little more than political grandstanding and are unlikely to have any real deterrent effect. And, in the effort to show that it was doing something, Congress seemingly ig-nored the efforts that the SEC, the self-regulatory organizations, and others had already undertaken.”

2. Kapitel: Section 404

17

Ein Vergleich des finalen Wortlautes des SOA mit dem vom Senat zuvor verabschie-deten S. 2673 offenbart, dass sich die Gruppe um P.S. Sarbanes weitgehend gegenüber M.G. Oxley und dessen Mitstreitern behaupten konnte: Von den insgesamt 65 Sections des SOA stimmen die meisten – darunter auch die hier interessierende Section 404 – mit den vom Senat im Vorfeld der „conference on the disagreeing votes“ verabschie-deten Regelungen überein.88 Bezüglich Section 404 ist zu bemerken, dass die vom House Committee erstellte Vorlage zu keinem Zeitpunkt Bestimmungen enthielt, die Section 404 in irgendeiner Form ähnlich gewesen wären.89 Aus diesem Grund be-schränken sich die nachfolgenden Ausführungen auf das Geschehen im Senate Com-mittee.

2.1.3 Empfehlungen im Rahmen der Anhörungen Während der Anhörungen im Senate Committee standen andere Themen als die Be-richterstattung über ICoFR im Vordergrund – so etwa die Unabhängigkeit der Wirt-schaftsprüfer, die Interessenkonflikte von Analysten, die Höhe der Managementvergü-tungen oder die Aufsicht über die Prüfgesellschaften.90 Eine obligatorische Berichter-stattung über die Wirksamkeit von ICoFR, wie diese von Section 404 als Bestandteil des Jahresberichts vorgeschrieben ist, wurde explizit kaum je angesprochen. Von den insgesamt 39 vorgeladenen Zeugen äusserten sich lediglich fünf zu ICoFR im weites-ten Sinne.91 Dass ICoFR den Vorgeladenen eine weitgehend unbekannte Thematik war und deswegen nur so selten angesprochen wurde, kann dabei ausgeschlossen werden.92 Vielmehr muss davon ausgegangen werden, dass die Aussagenden entweder keine eindeutige Meinung hierzu hatten93 oder aber dass sie diesem Thema generell eine zu unbedeutende Rolle beimassen, um es in ihre Ausführungen einfliessen zu lassen. Für diese Vermutung spricht nicht nur, dass ICoFR auch in den fünf, im folgenden zu be-

88 Vgl. US Congressional Record (2002), S 6779, und US House of Representatives (2002 d). Üblicherweise einigt man sich in einer solchen Konferenz auf die Version des Senates oder – falls nötig –

auf gewisse, nicht substantielle Änderungen; vgl. US House of Representatives (2003), XV. 89 Allerdings nahmen im Rahmen der Anhörungen zu H.R. 3763 einige der Vorgeladenen expliziten Bezug

auf ICoFR. Dabei handelte es sich um B.C. Melancon, L.E. Turner, D.M. Walker; siehe US House of Re-presentatives (2002 b).

90 Vgl. US Senate (2003 a). 91 Die Vorgeladenen verwendeten andere Begriffe als „Internal Control over Financial Reporting“, die aber

weitgehend das Gleiche meinten. 92 Gegen eine solche Annahme sprechen sowohl die zeitliche Nähe zum Enron-Bankrott, der ja durch feh-

lende bzw. mangelhafte Kontrollen begünstigt wurde, als auch die Tatsache, dass das den Anhörungen beiwohnende Publikum aus Fachleuten bestand.

93 Siehe zur Debatte über eine Berichterstattung auch Abschnitt 2.3.2.

2. Kapitel: Section 404

18

trachtenden Beiträgen eine eher nebensächliche Bedeutung zugewiesen wurde, son-dern auch, dass ICoFR zu keinem Zeitpunkt Gegenstand einer nennenswerten Diskus-sion im Rahmen der Anhörungen war. – Die Vorgeladenen, die sich zu ICoFR äusser-ten, waren:

• S.F. O’Malley, Chairman des 2000 „Public Oversight Board Panel on Audit Ef-fectiveness“ („Panel on Audit Effectiveness“)94

• D.M. Walker, Comptroller General des GAO95;

• L.E. Turner, ehemaliger Chief Accountant der SEC;

• C.A. Bowsher, Chairman des Public Oversight Board (POB)96;

• T.A. Bowman, Präsident der „Association for Investment Management and Re-search” (AIMR)97.

Wie den verschiedenen Redeausschnitten zu entnehmen ist, bestand weitgehende Ei-nigkeit darüber, dass ICoFR deutlich mehr Aufmerksamkeit erfordere – seitens des Managements, das sich zu seiner Verantwortung für die Einrichtung und Pflege wirk-samer ICoFR zu bekennen habe, und bzw. oder seitens des externen Prüfers, der ICoFR stärker bei der Abschlussprüfung berücksichtigen müsse. Unterschiede bestan-den teilweise hinsichtlich der Normsetzung98, in erster Linie aber hinsichtlich der kon-kreten Inhalte, welche die erforderlichen Bestimmungen aufzuweisen hätten:

Bezug nehmend auf die eineinhalb Jahre zuvor vom „Panel on Audit Effectiveness“ ausgesprochenen Empfehlungen zur Verbesserung der Prüfqualität forderte S.F. O’Malley eine intensivere Auseinandersetzung des Prüfers mit ICoFR als dies zum

94 Auf Aufforderung der SEC hin rief das POB 1998 das „Panel on Audit Effectiveness“ ins Leben, damit

dieses das Prüfmodell in seiner damaligen Form untersuche und diesbezügliche Verbesserungsvorschläge mache.

95 Das GAO ist eine staatliche Behörde, die den Kongress als „investigativer Arm“ bei dessen Entschei-dungsfindung, v.a. in Zusammenhang mit Gesetzesplanungen, berät.

96 Das POB wurde 1977 vom AICPA zur Überwachung des sogenannten „Peer Review Program“ geschaf-fen. V.a. aufgrund seiner finanziellen Abhängigkeit vom AICPA gilt es als nicht unabhängig. Vgl. hierzu z.B. A. Levitt, R.C. Breeden, C.A. Bowsher in US Senate (2003 a), S. 56 ff., S. 58 ff. und S. 939 ff.

97 Die AIMR ist die US-amerikanische Vereinigung der Finanzanalysten. 98 Einige sahen die SEC in der Verantwortung (vgl. den Vorschlag von C.A. Bowsher), andere den Gesetz-

geber (vgl. den Vorschlag von D.M. Walker).

2. Kapitel: Section 404

19

damaligen Zeitpunkt in den einschlägigen Standards vorgesehen war.99 Solide Kennt-nisse über ICoFR und insbesondere das Wissen um fehler- und deliktanfällige Elemen-te im Berichterstattungsprozess seien Voraussetzung für Planung und Durchführung einer effektiven Abschlussprüfung. Aus diesem Grunde seien die gegenwärtigen Prüf-standards um entsprechende Vorschriften zu ergänzen. In Übereinstimmung mit der damaligen Haltung des „Panel on Audit Effectiveness“ sprach sich S.F. O’Malley nicht für eine Berichterstattung durch den Prüfer aus.100

Weiter gingen die Vorschläge von D.M. Walker: Im Streben nach einer verbesserten Berichterstattung hielt auch er eine gründlichere Betrachtung von ICoFR durch den Abschlussprüfer vorab für unerlässlich, da dadurch deliktische Rechnungslegung ver-hindert bzw. einfacher erkannt werden könne.101 Über eine entsprechende Ergänzung der bestehenden Prüfstandards hinaus verlangte er – sich auf das GAO berufend102 – eine explizite Verpflichtung des Prüfers zu einer Berichterstattung über ICoFR. Der Grund hierfür ist nicht offensichtlich – möglicherweise verbirgt sich dahinter die An-sicht, dass erst der Zwang zu einem öffentlichen Urteil Gewähr für eine sorgfältige Betrachtung von ICoFR leiste.

99 US Senate (2003 a), S. 719 f.: “The Panel recommended that auditing standards ‘require auditors to pos-

sess a far deeper understanding of the entity’s business processes, risks, and controls’ than is currently called for under GAAS. This is particularly important, given that today’s businesses are far more com-plex, often technology-based, and global in scope than ever before. In order to plan and conduct an effec-tive audit, an auditor must have a full understanding of an issuer’s business and internal controls, particu-larly its information systems. An understanding of the internal controls of an issuer helps an auditor to de-termine how an issuer’s financial reporting might go awry. The Panel found that, although auditors gen-erally investigate issuers’ internal controls, auditors do so with neither the necessary depth nor the requi-site specificity of guidance from the ASB. The Panel therefore recommended that the ASB provide more specific guidance on the required depth of auditor knowledge and understanding about internal controls, as well as the nature and extent of testing of controls.”

100 Vgl. Panel on Audit Effectiveness (2000), para. 2.87. 101 US Senate (2003 a), S. 560: “We have long believed that expanding auditors’ responsibilities to report on

the effectiveness of internal control over financial reporting would assist auditors in assessing risks for the opportunity of fraudulent financial reporting or misappropriation of business assets. Currently, the auditor’s report on a public company’s financial statements does not address internal control […], and auditors are not required to assess the overall effectiveness of internal control or search for control defi-ciencies. The important issues of the auditor’s responsibility for detecting and reporting fraud and for re-porting on internal control overlap since effective internal control is the major line of defense in prevent-ing and detecting fraud. […] The auditor would be more successful in preventing and detecting fraud if auditors were required to accept more responsibility for reporting on the effectiveness of internal control.”

102 GAO (1996 a) sprach sich für eine Berichterstattung über ICoFR durch den Abschlussprüfer aus, konnte aber keine Belege für das (behauptete) Interesse der Rechnungslegungsadressaten an Informationen über ICoFR bzw. für den behaupteten Zusammenhang zwischen einer Berichterstattung über ICoFR und einer Reduktion der Erwartungslücke vorbringen; siehe Abschnitt 2.3.2.

2. Kapitel: Section 404

20

Auch T.A. Bowman schloss sich der Forderung an, dass der externe Prüfer die Wirk-samkeit von ICoFR zu prüfen und darüber zu berichten habe. Letzteres begründete er damit, dass ein solcher Bericht Anlegern die Gewissheit vermittele, dass die in den Unternehmensabschlüssen enthaltenen Informationen zuverlässig und glaubwürdig seien.103

Unabhängige Prüfung und Berichterstattung über ICoFR nannte C.A. Bowsher im Zu-sammenhang mit Reformen, die zur Verbesserung der Qualität der Abschlussprüfung sowie zur Wiederherstellung des Vertrauens der Öffentlichkeit in den Berufsstand er-forderlich seien. Wohl um Unternehmen für die Notwendigkeit wirksamer ICoFR zu sensibilisieren, plädierte er dafür, dass das Management die Wirksamkeit von ICoFR gegenüber der SEC schriftlich erklären und vom Prüfer bestätigen lassen müsse.104

In Anlehnung an die Ergebnisse des „Panel on Audit Effectiveness“ und unter Hinweis auf die mangelnde Überwachungstätigkeit des Prüfungsausschusses im Fall von En-ron, forderte L.E. Turner, dass der Prüfungsausschuss eine aktivere Rolle in bezug auf ICoFR einnehmen müsse. Hierin unterschied er sich von den anderen vier Befürwor-

103 US Senate (2003 a), S. 1046: “[…] users of financial statements must have assurance that the information

is reliable and credible. Such assurance begins with management, which must establish a strong internal control system to facilitate reliable financial reporting and assist the company in complying with applica-ble laws and regulations. But high quality internal controls will not guarantee a company’s success, reli-able financial reporting, or compliance with laws and regulations. […] The chief executive officer, there-fore, must accept ‘ownership’ of the system and set a tone that strengthens the integrity and ethics of the control environment. […] Unfortunately, although internal controls are the first line of defense against fraudulent or misleading financial statements, the auditor does not generally focus on their adequacy. Therefore, one of our recommendations is that auditors be required to test and report on the effectiveness of internal controls as part of their audit responsibilities. An assurance about internal controls should be reported publicly as part of the audit opinion. We also believe that required audit procedures must be im-proved to ensure the auditor has a greater ability to detect fraud.” – Die Wortwahl (“first line of defense”) legt nahe, dass auch T.A. Bowman sich auf GAO (1996 a) bezieht; siehe Abschnitt 2.3.2.

104 US Senate (2003 a), S. 943: “Management of public companies should be required to prepare an annual statement of compliance with internal controls to be filed with the SEC. The corporation’s chief financial officer and chief executive officer should sign this attestation and the auditor should review it. An audi-tor’s review and report on the effectiveness of internal controls would – as the General Accounting Office found in a 1996 report – improve the auditor’s ability to provide more relevant and timely assurance on the quality of data beyond that contained in traditional financial statements and disclosures. Both the POB and the AICPA supported the recommendation when the GAO made it, but the SEC did not adopt it.”

Unklar ist, warum C.A. Bowsher die Empfehlungen des GAO aus dem Jahr 1996 heranzog, obwohl doch das „Panel on Audit Effectiveness“, das von ihm als Vorsitzendem des POB eingesetzt wurde, vier Jahre später eine Berichterstattung über ICoFR nicht empfehlen mochte, sondern lediglich ein stärkeres Enga-gement des Prüfungsausschusses in bezug auf ICoFR als notwendig erachtete. Vgl. Panel on Audit Effec-tiveness (2000), para. 2.87.

Der Hinweis darauf, dass die SEC bislang eine ablehnende Haltung gegenüber einer obligatorischen Be-richterstattung über ICoFR eingenommen habe, dürfte ausschlaggebend dafür gewesen sein, dass das Se-nate Committee die SEC in Section 404(a) explizit mit der Ausarbeitung entsprechender Detailregelungen beauftragte. Siehe Abschnitt 2.1.4.

2. Kapitel: Section 404

21

tern einer Regelung über ICoFR. Konkret solle der Prüfungsausschuss das Manage-ment dazu anhalten, seine Verantwortung für die Einrichtung wirksamer ICoFR un-missverständlich in einem Bericht kundzutun. Dass dieser Bericht vom unabhängigen Prüfer durchzusehen und dann dem Geschäftsbericht beizulegen sei, rechtfertigte L.E. Turner – ähnlich wie T.A. Bowman – mit dem Verlangen der Anleger nach einer Ver-sicherung bezüglich der Existenz von Kontrollen, welche die Übereinstimmung der Unternehmensabschlüsse mit geltenden Rechnungslegungsstandards garantieren.105

Vorgeladener Empfehlungen Begründungen

S.F. O’Malley Verpflichtung des Prüfers, sich ein gründlicheres Verständnis über Ge-schäftstätigkeit und ICoFR der Man-danten anzueignen.

Generelle Verbesserung der Qualität der Abschlussprüfung.

D.M. Walker Verpflichtung des Prüfers zu Prüfung und Berichterstattung über ICoFR.

Bessere Aufdeckung von betrügeri-scher Rechnungslegung.

T.A. Bowman Verpflichtung des Prüfers zu Prüfung und Berichterstattung über ICoFR.

Bessere Aufdeckung von betrügeri-scher Rechnungslegung; Offenlegung von für Anleger relevanten Informati-onen.

C.A. Bowsher Verpflichtung von Management und Prüfer zu Berichterstattung über ICoFR.

Generelle Verbesserung der Qualität der Abschlussprüfung; Offenlegung von für Anleger relevanten Informati-onen.

L.E. Turner Verpflichtung des Managements, dem Prüfungsausschuss seine Verantwor-tung für ICoFR zu erklären; Prüfung und Berichterstattung von ICoFR durch den Prüfer.

Intensivere Überwachung durch den Prüfungsausschuss; Offenlegung von für Anleger relevanten Informationen.

Tab. 2: Empfohlene Regelungen in bezug auf ICoFR

Tab. 2 stellt die verschiedenen Empfehlungen zusammengefasst einander gegenüber. Ihr kann entnommen werden, dass sehr unterschiedliche Erwartungen darüber bestan-den, was mit einer Berichterstattung über ICoFR erreicht werden könne.

105 US Senate (2003 a), S. 249: “The audit committee […] should require the CEO and CFO to provide to the

audit committee a report by management that clearly states management’s responsibility for establishing, maintaining and ensuring an effective system of internal accounting controls exists. […] The report on in-ternal controls should be audited by the independent auditor and provided to investors in the annual re-port. The investors have a right to know whether adequate controls exist to ensure that the financial statements and disclosures comply with Generally Accepted Accounting Standards. If the executives are nervous about signing such a report, I suggest investors should be nervous about the numbers.”

2. Kapitel: Section 404

22

2.1.4 Der Inhalt von Section 404 Wenngleich also die Vorschläge hinsichtlich einer Berichterstattung über ICoFR zah-lenmässig eher spärlich ausfielen, wurden sie doch von Anfang an durch das Senate Committee berücksichtigt.106 Schon die am 25. Juni 2002 dem Senat zugeleitete Ge-setzesvorlage zum „Public Company Accounting Reform and Investor Protection Act of 2002“ wies entsprechende Empfehlungen auf, enthalten in Section 404, „Manage-ment Assessment of Internal Controls“.107 Dass diese Section 404 zu keinem Zeitpunkt während der insgesamt sieben nachfolgenden Senatsdebatten108 diskutiert und später auch nicht von der „conference on the disagreeing votes“ verändert wurde, bestätigt den bereits zuvor geäusserten Verdacht, dass dieser Bestimmung nur wenig Bedeutung beigemessen wurde. Der ursprüngliche Wortlaut von Section 404 ist identisch mit demjenigen des SOA:

“(a) RULES REQUIRED. – The Commission [Anm.: gemeint ist die SEC] shall pre-scribe rules requiring each annual report required by section 13 of the Securities Ex-change Act of 1934 (15 U.S.C. 78m) to contain an internal control report, which shall –

(1) state the responsibility of management for establishing and maintaining an ade-quate internal control structure and procedures for financial reporting; and (2) contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for fi-nancial reporting.

(b) INTERNAL CONTROL EVALUATION AND REPORTING. – With respect to the internal control assessment required by subsection (a), each registered public accounting firm that prepares or issues the audit report for the issuer shall attest to, and report on, the assessment made by the management of the issuer. An attestation made under this subsection shall be made in accordance with standards for attestation engagements is-sued or adopted by the Board [Anm.: gemeint ist das PCAOB]. Any such attestation shall not be the subject of a separate engagement.”

Die Bestimmungen von Section 404 betreffen sowohl Unternehmen als auch Prüfge-sellschaften. Aufgrund von Section 404(a)(1) wird zunächst die Verantwortung für ICoFR unmissverständlich in den Aufgabenbereich der Geschäftsleitung gelegt. Diese bestand zwar bereits zuvor aufgrund der einschlägigen Bestimmungen des FCPA, nur

106 Wie in Abschnitt 2.2 zu zeigen sein wird, orientierte man sich an den Empfehlungen von C.A. Bowsher. 107 Vgl. US Senate (2003 b), S. 2047 f. 108 Vgl. ebd., S. 1171 ff.

2. Kapitel: Section 404

23

enthielten jene kein Erfordernis, über ICoFR zu berichten.109 Aus Sicht der Geschäfts-leitung handelt es sich hierbei um nicht mehr als eine Bekräftigung eigentlich selbst-verständlicher Managementaufgaben, ergänzt um eine entsprechende Offenlegung und verschärft durch die strafrechtlichen Bestimmungen des SOA110. Der externe Prüfer wird erstmalig in die Pflicht genommen, eine umfassende Beurteilung von ICoFR vor-zunehmen und hierüber zu berichten. – Welche konkreten Ziele das Senate Committee mit diesen Erfordernissen verband, wird im nachstehenden Abschnitt erörtert.

2.2 Die mit Section 404 verbundenen Ziele Weil, wie festgestellt wurde, die ursprüngliche, in S. 2673 enthaltene Version von Sec-tion 404 keinerlei Anpassungen mehr erfuhr, kann für die Beantwortung der Frage, welche Ziele der Gesetzgeber mit der Formulierung von Section 404 verband, ledig-lich auf den Begleitbericht („Committee Report“)111 des Senate Committee zurückge-griffen werden. Tatsächlich ist dieses Dokument, das dem Senat zur Orientierung über die Gesetzesvorlage zugestellt wurde, mangels anderweitiger Erläuterungen – etwa einer Kommentierung der zwischen den beiden Kammern ausgehandelten Kompro-misslösung – die einzige Quelle, die diesbezügliche Aussagen zuliesse. Hierin heisst es einleitend zu Title IV, „Enhanced Financial Disclosures“:

„The Committee heard testimony about the imperative necessity for investors to have accurate and full financial information available on a timely basis in order to make ap-propriate investment decisions. The Committee has identified certain key disclosures that require legislative action.” 112

Bei der Besprechung von Section 404 werden dann die bereits im vorangegangenen Abschnitt behandelten Empfehlungen von Bowsher zitiert.113 Weiter heisst es:

“In order to enhance the quality of reporting and increase investor confidence, the bill [Anm.: gemeint ist S. 2673] requires that annual reports filed with the SEC must be ac-companied by a statement by the management of its responsibility for creating and maintaining adequate internal controls. Management must also present its assessment of

109 Vgl. USC, Title 15, Section 78 m(b)2(B). Siehe Abschnitt 2.1.1.1. 110 Siehe Abschnitt 3.4.2.2. 111 Vgl. US Senate (2003 b), S. 1883 ff. Beschliesst der Ausschuss, die von ihm erarbeitete Gesetzesvorlage

dem Senat zwecks Beschlussfassung zuzuleiten, hat er in einem „Committee Report“ die einzelnen Ge-setzesabschnitte detailliert zu erörtern. „Committee Reports“ gelten generell als wertvolle Hilfsmittel für die Rekonstruktion der Gesetzeshistorie; vgl. US House of Representatives (2003), VII.

112 Vgl. US Senate (2003 b), S. 1910. 113 Siehe Fn 104.

2. Kapitel: Section 404

24

the effectiveness of those controls. A similar requirement was enacted in 1991 and has been imposed on depository institutions through Section 36 of the Federal Deposit In-surance Act [Anm.: siehe Abschnitt 2.3.1]. In addition, the company’s auditor must re-port on and attest to management’s assessment of the company’s internal controls. In requiring the registered public accounting firm preparing the audit report to attest to and report on management’s assessment of internal controls, the Committee does not intend that the auditor’s evaluation be the subject of a separate engagement or the basis for in-creased charges or fees. High quality audits typically incorporate extensive internal con-trol testing. The Committee intends that the auditor’s assessment of the issuer’s system of internal controls should be considered to be a core responsibility of the auditor and an integral part of the audit report.”114

Die in den Anhörungen von verschiedener Seite betonte Unerlässlichkeit vollständiger, korrekter und rechtzeitig verfügbarer Rechnungslegungsinformationen für das Treffen von Investitionsentscheiden veranlasste das Senate Committee also zum Ergreifen le-gislativer Massnahmen zwecks Verbesserung der finanziellen Berichterstattung. Kon-kret bestimmte es sogenannte „key financial disclosures“, die fortan von Unternehmen erbracht werden müssen. Das „Management Assessment of Internal Control“ der Sec-tion 404 ist nur eines dieser Erfordernisse, die unter Title IV des SOA aufgeführt sind. Andere Regelungen betreffen den Ausweis von Ausserbilanzgeschäften (Section 401), die Veröffentlichung von Transaktionen mit nahestehenden Personen (Section 403), die Bekanntgabe, ob ein Ethikkodex für das Finanzmanagement besteht (Section 406), und die Erklärung, dass mindestens ein Mitglied des Prüfungsausschusses die Qualifi-kation eines „Financial Expert“ aufweist (Section 407).

Mit Section 404 im speziellen sollten erklärtermassen die Zuverlässigkeit115 der Fi-nanzberichterstattung116 verbessert und das Anlegervertrauen erhöht werden; als Ne-

114 US Senate (2003 b), S. 1913. 115 In der US-amerikanischen Rechnungslegungstheorie wird seit SFAC No. 2, „Qualitative Characteristics

of Accounting Information“, die Qualität der finanziellen Berichterstattung mittels deren Funktion, den Kapitalgebern eines Unternehmens entscheidungsnützliche Informationen bereitzustellen, definiert. Folgt man den vom FASB aufgestellten Kriterien, dann müssen finanzielle Informationen, um als entschei-dungsnützlich zu gelten, relevant und zuverlässig sein; vgl. FASB (1980), para. 46–57 und para. 58–110. Da die dem SOA vorausgegangenen Rechnungslegungsskandale im wesentlichen auf Manipulationen zu-rückzuführen waren und Anleger sich um die Glaubwürdigkeit von Unternehmenszahlen zu sorgen be-gannen, ist davon auszugehen, dass der Gesetzgeber mit Section 404 auf die Zuverlässigkeit der Finanz-berichterstattung im besonderen abzielte und weniger eine Verbesserung der Berichterstattungsqualität im allgemeinen verfolgte. Im folgenden soll daher der Begriff „Qualität“, wie er in der Gesetzesbegründung verwendet wird („quality“), durch den präziseren der „Zuverlässigkeit“ ersetzt werden.

116 Die Rede in der Gesetzesbegründung ist von „reporting“. Dass es aber konkret um die Finanzberichter-stattung und nicht um die Unternehmensberichterstattung im allgemeinen geht, zeigt erst der Wortlaut

2. Kapitel: Section 404

25

benbedingung formulierte der Gesetzgeber weitgehende Kostenneutralität, womit er deutlich machte, dass er die umfängliche Betrachtung von ICoFR als selbstverständli-chen Bestandteil einer qualitativ hochstehenden Abschlussprüfung erachtete. Ohne dass das Senate Committee präzisiert hätte, auf welchem Wege diese Ziele erreicht werden können, ist – unter Berücksichtigung der in Abschnitt 2.1.1 beschriebenen Ausgangslage und der in Abschnitt 2.1.3 wiedergegebenen Zeugenaussagen – von Zu-sammenhängen auszugehen, wie sie Abb. 1 darstellt:

• Indem das Management verpflichtet wird, seine Verantwortung für ICoFR in ei-nem Bericht zu erklären und darüber hinaus regelmässige Bewertungen der ICoFR vorzunehmen, deren Ergebnisse ebenfalls im Managementbericht aus-zuweisen sind, wird sich zunächst eine Verbesserung der Wirksamkeit dieser Kontrollen einstellen, da anzunehmen ist, dass das Management seine Verant-wortung für die Einrichtung und Pflege effektiver ICoFR ernst nimmt und dies auch nach aussen – nämlich in Form eines positiven Ergebnisses – kundtun will. Aufgrund des Offenlegungserfordernisses träte also ein disziplinierender Effekt auf die Unternehmen ein, den die geltenden Bestimmungen des FCPA117 nicht bzw. nur in schwächerem Ausmass zu erzielen imstande waren. (Vgl. Pfeil 1)

• In der Natur der Sache liegt es, dass wirksamere ICoFR zu einer verbesserten Zuverlässigkeit ebendieser führen.118 Diesbezüglich ist folgende Ergänzung vor-zunehmen: Allgemein anerkannt ist die Unmöglichkeit, absolute Sicherheit über die Zuverlässigkeit der Rechnungslegung zu erlangen.119 Der Gesetzgeber wird sich dieser Einschränkung bewusst gewesen sein. Gerade aufgrund der Vorge-schichte des Gesetzes und der in den Anhörungen mehrfach zum Ausdruck ge-brachten Gleichstellung von ICoFR mit der „first line of defense against fraudu-lent or misleading financial statements“120 kann aber davon ausgegangen wer-den, dass er mit Section 404 die konkrete Absicht verband, einen wesentlichen Beitrag zur Verhinderung deliktischer Handlungen zu leisten. (Vgl. Pfeil 2)

von Section 404(a), wo eben von „adequate internal control structure and procedures for financial repor-ting“ gesprochen wird.

117 Siehe Abschnitt 2.1.1.1. 118 Siehe zum Zusammenhang zwischen ICoFR und Rechnungslegung Abschnitt 2.3.3. 119 Siehe für das Konzept der angemessenen Sicherheit Abschnitt 2.3.3.1.3. 120 Vgl. T.A. Bowman und D.M. Walker in Fn 101 bzw. 103.

2. Kapitel: Section 404

26

Abb. 1: Mit Section 404 verfolgte Ziele des Gesetzgebers

• Das Erfordernis, einen Prüfbericht über ICoFR anzufertigen, wird den Prüfer dazu veranlassen, sich intensiver als zuvor mit ICoFR auseinanderzusetzen. An-nahmegemäss führt dies zu einer Verbesserung der Qualität der Abschlussprü-fung, da diese effektiver durchgeführt werden kann.121 (Vgl. Pfeil 3)

• Die Verbesserung der Prüfqualität wiederum wirkt sich positiv auf die Zuverläs-sigkeit der Rechnungslegung aus, da mehr Fehlaussagen, v.a. aber auch delikti-sche Handlungen, durch den Prüfer aufgedeckt werden. Das erklärte Ziel einer erhöhten Zuverlässigkeit der Rechnungslegung wird somit auf zwei Wegen er-reicht: über wirksamere ICoFR bzw. über eine effektivere Abschlussprüfung. In jedem Fall – handelt es sich nun um eine regelrechte Prüfung („audit“) oder le-diglich um eine Durchsicht („review) – kann der Grad der Zusicherung nicht ab-solut sein.122 (Vgl. Pfeil 4)

• Darüber hinaus ist davon auszugehen, dass der Prüfer bei seiner Beurteilung von ICoFR auf Schwachstellen stossen wird, zu deren Behebung er das Management auffordern wird – aus dieser Fehleraufdeckungskraft der Prüfung resultiert dann

121 Vgl. T.A. Bowman, S.F. O’Malley und D.M. Walker in Fn 99, 101, 103. 122 Vgl. zu den Sicherheitsgraden unterschiedlicher Prüfungsdienstleistungen z.B. IAASB (2004), ISA No.

120, para. 4 ff.

Bessere Qualität der Abschlussprüfung

ICoFR-Management-

bericht

Wirksamere ICoFR

Section 404(a)

ICoFR-Prüfbericht

Höhere Zuverlässigkeit der Abschlüsse

Section 404(b)

Höheres Vertrauen der Anleger

Vorschrift

Berichts-erfordernis

Wirkung

Ziel 1

Ziel 2

(1)

(2)

(3)

(4)

(5)

(7)

(6) (6)

2. Kapitel: Section 404

27

ein positiver Effekt auf die Wirksamkeit von ICoFR. Ebenfalls positiv auf die Gestaltung und Überwachung von ICoFR dürfte sich das Wissen des Manage-ments um die vom unabhängigen Jahresabschlussprüfer durchzuführende Über-prüfung der eigenen Arbeit niederschlagen – in diesem Fall kommt der Betrach-tung von ICoFR durch den Abschlussprüfer eine fehlerprophylaktische Wirkung zu.123 (Vgl. zu beiden Effekten Pfeil 5)

• Ein unmittelbarer und sofortiger Effekt auf das Anlegervertrauen dürfte sich in-folge der vom Management bzw. vom Prüfer einzureichenden Berichte einstel-len, wenn nämlich Anleger aufgrund der vom Management zu erklärenden Ver-antwortung für ICoFR und bzw. oder der unabhängigen Prüfmeinung über deren Wirksamkeit zusätzliches Vertrauen in die Rechnungslegung von Unternehmen fassen. Dieser Effekt setzt eine Nachfrage seitens der Anleger nach derlei Be-richten voraus. (Vgl. Pfeil 6)

• Ein nicht umgehend eintretender Effekt auf das Anlegervertrauen wäre schliess-lich zu beobachten, wenn sich die verbesserte Zuverlässigkeit der Rechnungsle-gung als Folge der von Management und Abschlussprüfer geleisteten Arbeiten bemerkbar macht, etwa dadurch, dass die Anzahl von Betrugsfällen oder von rückwirkenden Abschlusskorrekturen spürbar zurückgeht, und deswegen Anle-ger – ungeachtet der Berichterstattung über ICoFR – in verstärktem Masse den Abschlüssen vertrauen. Dieser Effekt kommt auch ohne eine Nachfrage nach Berichten über ICoFR zustande. (Vgl. Pfeil 7)

2.3 Beurteilung von Section 404 Nachdem die Ziele des Gesetzgebers in Verbindung mit Section 404 benannt wurden, ist nun zu beurteilen, inwieweit diese Ziele aufgrund von Section 404 erreicht werden können – mit anderen Worten: wie effektiv die Gesetzgebung hinsichtlich der Zielset-zung wohl ist. Erste Hinweise hierauf verspricht eine Untersuchung derjenigen Vor-schrift, auf die das Senate Committee in seinem den Gesetzesentwurf erläuternden Be-richt124 explizit Bezug nahm: die Section 36 des Federal Deposit Insurance Act (Ab-schnitt 2.3.1). Zur weiteren Aufhellung möge sodann eine kurze Betrachtung der De-

123 Vgl. Ruhnke (2003), S. 260 ff., der einen fehleraufdeckenden sowie einen fehlerprophylaktischen Nutzen

der Abschlussprüfung anerkennt. 124 Vgl. US Senate (2003 b), S. 1883 ff.

2. Kapitel: Section 404

28

batte über eine obligatorische ICoFR-Berichterstattung beitragen, auf die bei den An-hörungen vor dem Senate Committee vereinzelt Bezug genommen wurde.125 (Ab-schnitt 2.3.2) Schliesslich werden die in Abb. 1 angenommenen Wirkungszusammen-hänge anhand der vorhandenen wissenschaftlichen Literatur hinsichtlich ihrer Plausibi-lität beurteilt (Abschnitte 2.3.3–2.3.5).

2.3.1 Section 36 des Federal Deposit Insurance Act Dass Section 36, „Early Identification of Needed Improvements in Financial Manage-ment“, des Federal Deposit Insurance Act (FDIA) Vorbild für die Section 404 des SOA war, geht nicht nur aus ihrer expliziten Erwähnung im „Committee Report“ her-vor, sondern auch aus ihrem Wortlaut, der stellenweise identisch mit demjenigen von Section 404 ist:126

“Each insured depository institution [Anm.: hierbei handelt es sich um Banken und Sparkassen, deren Einlagen durch die Federal Deposit Insurance Corporation (FDIC) versichert sind127] shall prepare

(1) annual financial statements in accordance with generally accepted accounting prin-ciples […]; and (2) a report signed by the chief executive officer and the chief accounting or financial officer […] which contains (A) a statement of the management’s responsibilities for (i) preparing financial statements; (ii) establishing and maintaining an adequate internal control structure and procedures for financial reporting; and (iii) complying with the laws and regulations relating to safety and soundness […]; and (B) an assessment, as of the end of the institution’s most recent fiscal year, of (i) the effectiveness of such internal control structure and procedures; and (ii) the institution’s compliance with the laws and regulations relating to safety and soundness […]”

Section 36 des FDIA enthält Section 112 des 1991 verabschiedeten Federal Depository Insurance Corporation Improvement Act (FDICIA). Dessen Verabschiedung ging eine seit Mitte der 1980er Jahre in den USA rasant wachsende Serie von Bankenzusammen-brüchen voraus: Von den insgesamt 1’085 in der Zehnjahresperiode von 1980 bis 1989

125 Vgl. z.B. C.A. Bowsher in Fn 104. 126 Vgl. USC, Title 12, Section 1831m(b). Die Aufgaben des Prüfers im Zusammenhang mit der Bestätigung

des Managementberichts sind in Section 1831m(c) geregelt. 127 Vgl. USC, Title 12, Section 1813(c).

2. Kapitel: Section 404

29

gemeldeten Bankrotten entfielen allein 184 auf das Jahr 1987, was 1.3% der zum Jah-resende 1987 registrierten Banken entsprach,128 und weitere 427 auf die beiden Jahre 1988 und 1989.129 Diese Entwicklung, aufgrund welcher der FDIC zunehmende Kos-ten entstanden,130 nahm das GAO 1989 zum Anlass, eine umfassende Untersuchung der den Bankenzusammenbrüchen zugrundeliegenden Ursachen einzuleiten. Nachste-hend sind die wichtigsten Ergebnisse seiner Analyse von insgesamt 184 Bankrottfällen aufgeführt:

• In fast allen Fällen lagen eine oder mehrere Schwachstellen in Internal Control vor, die wesentlich zum Zusammenbruch beitrugen und deren Verhinderung bzw. Behebung Aufgabe des Managements gewesen wäre.131

• Zu den am häufigsten vorgefundenen Kontrollschwächen zählten solche, die operativen Prozessen zugeordnet werden können132 – etwa: fehlende Richtlinien zur Vergabe von Darlehen, mangelhafte Verfahren der Darlehensverwaltung, unzureichende Methoden zur Analyse der Kreditwürdigkeit. Oftmals beanstan-det wurden auch Schwachstellen im Kontrollumfeld, wie bspw. die Vernachläs-sigung des Überwachungsauftrags durch den Verwaltungsrat oder die Gegen-wart einer dominanten Persönlichkeit.133

• Weil bei jeder dritten der untersuchten Banken deliktische Handlungen festge-stellt werden konnten, schloss das GAO, dass solcherart Kontrollschwächen die Banken anfälliger für deliktische Handlungen werden liessen.134 Gleichzeitig wurde festgestellt, dass derlei Vorfälle nur in sehr wenigen Fällen entscheiden-den Anteil am Zusammenbruch hatten.135

• Der Tatsache, dass – ermöglicht durch ein damals noch fehlendes generelles Prüfungserfordernis – bei lediglich einem Drittel der untersuchten Banken eine

128 Vgl. GAO (1989), S. 10. 129 Vgl. GAO (1991), S. 14. 130 Alleine die 1987 anfallenden Kosten wurden auf 1.8 Mrd. USD geschätzt; vgl. GAO (1989), S. 2. Infolge

der Bankenzusammenbrüche der Jahre 1988 und 1989 entstanden bereits Kosten von über 11 Mrd. USD, von denen wiederum 7.5 Mrd. USD auf vier grosse Banken entfielen; vgl. GAO (1991), S. 14 und S. 47.

131 Vgl. GAO (1989), S. 2. 132 Vgl. ebd., S. 60. 133 Vgl. GAO (1991), S. 35–41. 134 Vgl. GAO (1989), S. 4 und S. 25 ff. 135 Vgl. ebd., S. 27.

2. Kapitel: Section 404

30

unabhängige Prüfung des Jahresabschlusses vorgenommen worden war, ent-nahm das GAO zudem, dass die ausbleibende Einbindung des externen Prüfers in direktem Zusammenhang mit den Kontrollschwächen stehe.136

Angesichts der offenkundigen Zusammenhänge zwischen dem Vorliegen von Schwachstellen in Internal Control und der Existenzgefährdung einer Bank folgerte das GAO, dass Massnahmen zur Stärkung von Internal Control unternommen werden müssten, um den besagten Trend zu stoppen. Dabei war der Fokus auf eine effektivere Überwachung von Prozessen der Geschäftstätigkeit gerichtet. Insbesondere müsse das Management verstärkt in die Pflicht genommen und für die Bedeutung von Internal Control sensibilisiert werden. Als ein hierfür geeignetes Mittel erachtete das GAO ei-nen jährlich vom Management zu erstellenden, den Aufsichtsbehörden zu übermitteln-den Bericht. In diesem habe es seine Verantwortung für die Erstellung der Abschlüsse, für die Einrichtung und Pflege geeigneter Internal Control sowie für die Befolgung relevanter Vorschriften und Gesetze zu erklären sowie die Ergebnisse seiner Beurtei-lung hinsichtlich der Wirksamkeit von Internal Control und der Gesetzeseinhaltung darzulegen.137 Auch sah es das GAO als notwendig an, den externen Prüfer zur Unter-stützung bei der Aufdeckung und Korrektur unwirksamer Internal Control einzubin-den. Dieser sollte dabei nicht nur das Management vor Ort, sondern insbesondere auch die Bankaufsichtsbehörden unterstützen. Der den verschiedenen Aufsichtsorganen zu übermittelnde Prüfbericht war folglich in erster Linie als ein der effektiven Überwa-chung förderliches Instrument gedacht.138 Das GAO schlug also vor, Banken zur Er-stellung von Jahresabschlüssen zu verpflichten und diese von einem unabhängigen Prüfer prüfen zu lassen, der gleichzeitig auch den Managementbericht durchzusehen habe.139 Wie aus dem eingangs zitierten Wortlaut der Section 36 des FDIA hervorgeht, liess sich der Gesetzgeber ganz offensichtlich von diesen Empfehlungen leiten.

Den obigen Ausführungen kann entnommen werden, dass sich Hintergründe und Ziel-setzung von Section 36 des FDIA wesentlich von jenen der Section 404 des SOA un-terschieden (vgl. Tab. 3).

136 Vgl. GAO (1989), S. 40 ff. 137 Dabei orientierte sich das GAO an dem ein Jahr zuvor von der SEC vorgebrachten Regelungsentwurf

über einen „Report on Management’s Responsibilities“; vgl. ebd., S. 47 ff. und S. 56 f. Siehe Abschnitt 2.1.1.1.

138 Vgl. GAO (1989), S. 50 f. 139 Vgl. GAO (1989), S. 56 f.

2. Kapitel: Section 404

31

Section 36 des FDIA Section 404 des SOA

Anlass Stetig wachsende Anzahl von Ban-kenzusammenbrüchen, die vorwie-gend auf verbreitete Schwächen in Kontrollen über operative Prozesse zurückzuführen sind.

Spektakuläre Bilanzfälschungsskan-dale, verantwortet von Geschäftslei-tungsmitgliedern, erschüttern Anle-gervertrauen in die Rechnungslegung von Unternehmen.

Zweck der Ver-pflichtung von Management und Prüfer

Verbesserung von Prozessen der Ge-schäftstätigkeit und Sicherstellung der Einhaltung von Gesetzen und Vor-schriften, um Zusammenbrüche zu verhindern.

Verbesserung der Wirksamkeit von ICoFR, um Zuverlässigkeit der Rech-nungslegung zu erhöhen.

Zweck der Be-richterstattung

Unterstützung der Aufsichtsbehörden bei der Überwachung von Banken.

Wiederherstellung von Anlegerver-trauen.

Tab. 3: Unterschiede zwischen Section 36 FDIA und Section 404 SOA

Weil nichts darauf hindeutet, dass Section 36 des FDIA zur Verbesserung der Rech-nungslegung bzw. zur Steigerung des Anlegervertrauens hätte dienlich sein sollen, ist es vertretbar anzunehmen, dass derlei Effekte – wenn überhaupt – in der Realität nur als Nebenwirkungen der Gesetzgebung eintraten. Hingegen ist davon auszugehen, dass das Berichtserfordernis zu stabileren Prozessen der Geschäftstätigkeit beigetragen hat.140 Section 36 des FDIA im Zusammenhang mit der Begründung von Section 404 des SOA zu nennen, erscheint somit nicht nachvollziehbar. Der Verweis des Senate Committee auf jene Bestimmung führt ins Leere und erlaubt keine Aussage über die zu erwartende Effektivität der Section 404. Die allem Anschein nach versehentlich gezogene Parallele könnte Folge der erwähnten Zeitnot, von der ja das gesamte Ge-setzgebungsverfahren begleitet war, gewesen sein.

2.3.2 Debatte über eine Berichterstattung Vorschläge zu einer Berichterstattung über ICoFR wurden nicht erst anlässlich der Erarbeitung des SOA gemacht. Bereits viele Jahre zuvor wurde immer wieder auf die vermeintliche Notwendigkeit einer entsprechenden Berichterstattung verwiesen.141 Zu den traditionellen Befürwortern einer Regelung zählten das GAO sowie das AICPA

140 Dass seit der Verabschiedung des FDICIA die Anzahl jährlicher Bankenzusammenbruche rapide gesun-

ken ist, lässt zumindest vermuten, dass der FDICIA in seiner Ganzheit den mit ihm verbundenen Erwar-tungen gerecht wurde. Vgl. für eine Statistik der Bankenzusammenbrüche seit Verabschiedung des FDICIA http://www2.fdic.gov/hsob/HSOBSummaryRpt.asp?BegYear=1992&EndYear=2003&State=1, Stand: 1. Dezember 2005.

141 Vgl. für eine Übersicht GAO (1996 a).

2. Kapitel: Section 404

32

und die grossen Prüfgesellschaften.142 Überblicksartig vorgestellt werden im folgenden einige der wichtigsten Initiativen, in denen man Empfehlungen für eine Berichterstat-tung über ICoFR ausarbeitete und auf die man sich bei späteren Gelegenheiten regel-mässig bezog – so auch anlässlich der Anhörungen vor dem Senate Committee.

Bereits 1978 ging die vom AICPA zur Untersuchung der Erwartungslücke143 einge-setzte Cohen Commission (1978)144 von einem Interesse der Geschäftsberichtsleser an Informationen über die Beschaffenheit von ICoFR aus.145 Die Hauptverantwortung für die Unterrichtung der Rechnungslegungsadressaten musste ihr zufolge bei der Ge-schäftsleitung liegen, da diese für die Erstellung der Abschlüsse verantwortlich zeich-net. Der Verwaltungsrat habe sie zur Erstellung eines mit dem Abschluss einzurei-chenden Berichts über ICoFR aufzufordern, in welchem es ihr Urteil über ICoFR dar-lege und diejenigen Massnahmen beschreibe, die sie auf vom Abschlussprüfer bemän-gelte Kontrollschwächen ergriffen habe.146 Vom Prüfer, der zwangsläufig seine Unter-suchung von ICoFR auszuweiten habe, sei dieser Managementbericht zu begutachten und öffentlich zu beurteilen.147

Auf der Suche nach Massnahmen zu einer Verbesserung der Finanzberichterstattung von Unternehmen und, insbesondere, zur Vermeidung von betrügerischer Rechnungs-legung griff die Treadway Commission148 einige Jahre später die Forderungen der Co-hen Commission auf und begründete sie ebenfalls mit der Nachfrage von Investoren nach Informationen darüber, wie das Management seiner Verantwortung für Rech-nungslegung und ICoFR nachkomme.149 In der Sache weitgehend ähnlich – Unter-nehmen haben einen Managementbericht zu veröffentlichen, Prüfgesellschaften sollen

142 Vgl. z.B. o.V. (1993), S. 8. 143 Definiert als die Lücke, die zwischen den öffentlichen Erwartungen an die Abschlussprüfung und der

realen Prüfarbeit klafft. Siehe Abschnitt 2.3.5.2.1. 144 Die Cohen Commission, eigentlich „The Commission on Auditor’s Responsibilities“ genannt, wurde als

unabhängige Kommission 1974 vom AICPA eingesetzt und von diesem damit beauftragt, das Ausmass der Erwartungslücke zu untersuchen sowie Vorschläge zu deren Schliessung zu erarbeiten.

145 Vgl. Cohen Commission (1978), S. 62 und 76 f. 146 Vgl. ebd., S. 76 f. 147 Vgl. ebd., S. 62. 148 Eigentlich National Commission on Fraudulent Financial Reporting (NCFFR). Sie wurde 1985 von dem

Committee of Sponsoring Organizations of the Treadway Commission (COSO) als Reaktion auf eine sich in den 1970er und 1980er Jahre häufende Anzahl von Betrugsfällen eingesetzt und von dieser mit der Er-forschung der Ursachen betrügerischer Rechnungslegung sowie der Ausarbeitung entsprechender Ge-genmassnahmen betraut. Zum COSO zählen u.a. das AICPA, das FEI und das IIA.

149 Vgl. NCFFR (1987), S. 44 ff.

2. Kapitel: Section 404

33

im Bestätigungsvermerk ihr Urteil über die Wirksamkeit von ICoFR darlegen – gingen die Empfehlungen insofern weiter als diejenigen der Cohen Commission, als dass im Gegensatz zu Letzterer die Treadway Commission nicht Unternehmen und Prüfgesell-schaften in die Pflicht nahm, sondern sich direkt an die SEC und das ASB richtete und diese zum Erlass entsprechender Standards aufforderte.150 – Wie die Empfehlungen der Cohen Commission wurden auch diejenigen der Treadway Commission nicht um-gesetzt.151

Aufgefordert von Prüfgesellschaften, die sich zu Beginn der 1990er Jahre mit einem zunehmenden Haftungsrisiko konfrontiert sahen, widmete sich das POB in seiner 1993 publizierten Studie152 der Frage, wie Prüfqualität und finanzielle Berichterstattung verbessert werden können. Hierzu erliess es diverse Empfehlungen, darunter auch eine obligatorische Berichterstattung über ICoFR durch Management und Prüfer. Anders als die Cohen Commission bzw. die Treadway Commission ging das POB allerdings nicht von einem direkten Interesse der investierenden Öffentlichkeit an Informationen über die Wirksamkeit von ICoFR aus. Stattdessen begründete es seinen Vorschlag mit der Verbesserung von ICoFR, die sich infolge eines Prüferfordernisses einstellen und Manipulationen der Rechnungslegung erschweren würde, was wiederum den Investo-ren zugute käme.153

Das GAO erstellte 1996 den Bericht „The Accounting Profession. Major Issues: Pro-gress and Concerns”.154 Ziel war, die im Zeitraum von 1972 bis 1995 an den Berufs-stand gerichteten Empfehlungen zur Verbesserung von Prüfstandards und Prüfungs-leistungen zu identifizieren sowie herauszufinden, welche spezifischen Probleme nach wie vor als ungelöst betrachtet werden müssen.155 Eines der für kritisch befundenen Themengebiete war „Auditor’s Responsibilities for Fraud and Internal Controls“.156 Diesbezüglich stellten die Autoren fest, dass zwar in den zurückliegenden Jahren von verschiedener Seite eindeutige Empfehlungen157 gemacht worden seien. Die tatsäch-

150 Vgl. NCFFR (1987), S. 44 f. und S. 57. 151 Siehe Abschnitt 2.1.1.1. 152 Vgl. POB (1993). 153 Vgl. ebd., S. 53 f. 154 GAO (1996 a). Auf diesen Bericht bezogen sich T.A. Bowman, C.A. Bowsher und D.M. Walker vor dem

Senatsausschuss; siehe Abschnitt 2.1.3. 155 Vgl. ebd., S. 1. 156 Vgl. ebd., S. 60 ff. 157 Vgl. für Studien, welche eine Berichterstattung über ICoFR betreffen, GAO (1996 b), S. 188 ff.

2. Kapitel: Section 404

34

lich erreichten Fortschritte reichten jedoch nicht aus, um die Erwartungslücke über-winden zu können.158 Insbesondere habe man es bei den einzelnen Reformbemühun-gen verpasst, dem aus Sicht des GAO fundamentalen Zusammenhang zwischen der Aufdeckung von Betrugsfällen und der Wirksamkeit von ICoFR – wörtlich heisst es: „effective internal controls are the major line of defense in preventing and detecting fraud“159 – angemessen in Form von Regelwerken Rechnung zu tragen. Hieraus leite-ten die Autoren dann die Notwendigkeit einer Berichterstattung über die Wirksamkeit von ICoFR ab.160

Tab. 4 enthält einen Überblick über die besprochenen Empfehlungen samt den jeweils vorgebrachten Begründungen. In Verbindung mit Tab. 2 geht aus ihr hervor, dass die im Rahmen der Anhörungen zum SOA abgegebenen Empfehlungen eine schon lange Reihe von Forderungen nach einer Berichterstattung über ICoFR fortsetzten. Auch wird sichtbar, dass die Zeugen vor dem Senate Committee sich weitgehend auf jene Vorzüge beriefen, die schon anlässlich mehrerer anderer Gelegenheiten in Aussicht gestellt wurden.

Studie Empfehlungen Begründungen

Cohen Commission (1978)

Herausgabe eines MRIC; Ergänzung um ARIC

Befriedigung eines Interesses der Rechnungslegungsadressaten; Schliessung der Erwartungslücke

Treadway Commission (1987)

Herausgabe eines MRIC; Ergänzung um ARIC

Befriedigung eines Interesses der Rechnungslegungsadressaten; Verhinderung von betrügerischer Rechnungslegung

POB (1993) Herausgabe eines MRIC; Ergänzung um ARIC

Verbesserung von ICoFR; Verhinderung von betrügerischer Rechnungslegung

GAO (1996) Herausgabe eines ARIC Verhinderung von betrügerischer Rechnungslegung; Schliessung der Erwartungslücke

Tab. 4: Überblick über in der Vergangenheit gemachte Empfehlungen161

158 Vgl. GAO (1996 a), S. 9 ff. 159 Ebd., S. 75. 160 Vgl. ebd., S. 75. 161 MRIC = Management Report on ICoFR; ARIC = Auditor Report on ICoFR.

2. Kapitel: Section 404

35

Allein die Tatsache, dass es letztlich der gesetzgeberischen Intervention bedurfte, um eine Regelung festzuschreiben, auf die sich die verschiedenen Interessengruppen in einer mehr als zwei Jahrzehnten andauernden Debatte nicht einigen konnten, lässt Zweifel an deren propagierten Wirkungen aufkommen. Ein genauerer Blick auf die oben besprochenen Studien bestätigt diesen Eindruck: Den besagten Empfehlungen mangelt es durchgehend an gesicherten Erkenntnissen. Sie beruhen allein auf Mutmas-sungen. So fehlen Belege für das vorgegebene Interesse der Rechnungslegungsadres-saten an Informationen über ICoFR162 ebenso wie für den behaupteten Zusammenhang zwischen einer ICoFR-Berichterstattung und einer Reduktion der Erwartungslücke bzw. der Verhinderung betrügerischer Rechnungslegung. Auch bleibt offen, weswegen es bspw. nicht genügen würde, eine intensivere Auseinandersetzung des Abschlussprü-fers mit ICoFR zu erzwingen – etwa indem man die entsprechenden Prüfstandards er-gänzt163 –, sondern es noch einer Berichterstattung hierüber bedarf.164

Die Kritiker einer obligatorischen Berichterstattung über ICoFR, zu denen seit Ende der 1980er Jahre auch die SEC zählte, bezogen sich vornehmlich auf die fehlende Be-

162 Die Quelle, auf die sich die Autoren der Cohen Commission berufen, bietet nur scheinbare Gewähr: So

wird zwar im Zusammenhang mit der Berichterstattung über ICoFR auf Brown (1977) verwiesen und er-klärt, dass Brown Argumente entwickelt habe „[…] to support the major conclusion of the paper that ma-nagement should issue public reports on internal controls, […] and that the independent auditor should is-sue an opinion on the report […]”; vgl. Cohen Commission (1978), S. 169. Diese Argumente allerdings basieren allein auf persönlichen Ansichten der Autorin, ihres Zeichens selbst Finanzanalystin, die in der Tatsache, dass gewisse Banken und einige Aufsichtsbehörden derlei Berichte verlangen, ausreichenden Beleg für ein gleichgeartetes öffentliches Interesse erblickt; vgl. Brown (1977), S. 29.

Auch der Treadway Commission gelingt es nicht, das Interesse der Öffentlichkeit an einem Management-bericht über ICoFR nachzuweisen. Anders als bei der Cohen Commission aber wird immerhin zugege-ben, dass keineswegs Einigkeit über das (behauptete) Interesse bestehe. Die relevante Passage aber findet sich erst im Anhang, einen Verweis auf die Strittigkeit der angenommenen Nachfrage sucht man im Text vergeblich: “One area where general agreement was not shared by survey respondents and interviewees concerned internal accounting controls. The survey respondents did not view mandatory disclosure of in-ternal accounting control weaknesses or mandatory auditor examination of internal accounting control as promising changes.” NCFFR (1987), S. 107.

Zu einem ähnlichen Ergebnis gelangte auch das vom POB ins Leben gerufene „Panel on Audit Effective-ness“, das die mit einer Berichterstattung über ICoFR verbundenen Zweifel als Grund dafür anführte, dass es keine eindeutige Empfehlung für eine obligatorische Berichterstattung aussprach; vgl. Panel on Audit Effectiveness (2000), para. 2.87: “Input to the Panel on the need for management reporting on the effectiveness of internal control, and auditor involvement and reporting thereon, was mixed. A number of survey respondents addressed this issue, with some constituencies supporting both management reporting and auditor involvement and reporting thereon, while others opposed auditor involvement and reporting. After considering all these views, the Panel concluded that, while it would not make a recommendation to the SEC that it require management and auditors to report on internal control, it would emphasize the need for greater audit committee involvement with internal control matters.”

163 In der Tat bezieht sich das GAO auf diese Möglichkeit: “[…] we believe that the auditor would be more successful in preventing and detecting fraud if auditing standards were also revised for the auditor to ac-cept more responsibility for the effectiveness of internal control […]”; GAO (1996 a), S. 76.

164 Vgl. zu einer Kritik an den Vorschlägen des POB Schuetze (1993).

2. Kapitel: Section 404

36

weishaltigkeit der von den Fürsprechern in Aussicht gestellten Wirkungen, bedienten sich aber auch weiterer Gegenargumente.165 Gerade die Fragwürdigkeit der behaupte-ten Vorteile und die gleichzeitige Gewissheit um zusätzliche Kosten machten es ihnen leicht, auf das ungünstige, insbesondere für klein- und mittelgrosse Unternehmen als kritisch vermutete Kosten-Nutzen-Verhältnis einer solchen Regelung hinzuweisen.166 Zudem wurde entgegnet, dass ICoFR-Berichte nicht nur nicht zu einer Reduktion, sondern gar zu einer Ausweitung der Erwartungslücke führen würden, da die Gefahr bestehe, dass die Öffentlichkeit die Berichte nicht korrekt zu lesen wisse und ein ü-bermässiges Vertrauen in die Zuverlässigkeit der Abschlüsse bzw. den operativen Er-folg von Unternehmen setze:

“Too many groups already view the standard audit report as a certification that a com-pany is economically sound. Reports and attestations on internal control systems stand to exacerbate the public’s misperceptions […] If not only the financial statements but the internal control systems as well are ‘blessed’, some of the public will feel even more justified in viewing the company as a safe investment. The additional report may widen the expectation gap.”167

Was nun die Erreichbarkeit der vom Gesetzgeber in Zusammenhang mit Section 404 gesetzten Ziele betrifft, kann zusammenfassend festgehalten werden: Sämtliche der im Rahmen der Anhörungen erwähnten Vorzüge einer Berichterstattung über ICoFR wurden bereits anlässlich verschiedener Anlässe behauptet, ohne dass plausible Be-gründungen für die angenommenen Wirkungszusammenhänge präsentiert worden wä-ren. Als umstritten galten insbesondere die Auswirkungen einer Berichterstattung über ICoFR auf den Kapitalmarkt. Mithin verliess sich das Senate Committee, als es mit der Formulierung von Section 404 den Empfehlungen der Vorgeladenen Folge leistete, auf vermeintliche Gewissheiten. Anzunehmen ist, dass dies unbedacht geschah, was wie-derum die bereits zuvor geäusserte Vermutung stärkt, dass ihm zur eingehenden Prü-fung der Auswirkungen einer solchen Regelung die Zeit fehlte.

165 Vgl. Carmichael (1970), der die grundsätzlichen Probleme einer Berichterstattung über ICoFR durch den

Prüfer früh benannte: (1) Generalisierungen im Bereich von ICoFR sind unmöglich, weswegen ein auf das ganze System bezogenes Urteil nicht abgegeben werden könne; (2) anders als bei einer Abschlussprü-fung ist es nicht machbar, die Materialität von ICoFR-Schwächen zu bewerten; (3) gewichtige inhärente Schwächen, die jedem Überwachungssystem innewohnen, mindern die Aussagekraft von ICoFR-Berichten; (4) die Erstellung der Abschlüsse ist mit Ermessen seitens des Managements verbunden; die-ses aber steht ausserhalb von ICoFR.

166 Vgl. z.B. Schuetze (1993). 167 Lightle/Willis (1995), S. 19. Vgl. auch Schuetze (1993), S. 43.

2. Kapitel: Section 404

37

Aus Abschnitt 2.3.1 und den obigen Erläuterungen ging hervor, dass die bei der Erar-beitung von Section 404 offensichtlich berücksichtigten Faktoren – nämlich: Existenz eines (vermeintlichen) Vorbilds in Form von Section 36 des FDIA bzw. (scheinbare) Unbestrittenheit der Notwendigkeit einer Berichterstattung über ICoFR – für eine Un-tersuchung der zu erwartenden Wirksamkeit von Section 404 nicht von Nutzen sind. Sollen die Bericht- bzw. Prüfungserfordernisse der Section 404 hinsichtlich des zu erwartenden Beitrags auf Rechnungslegung, Abschlussprüfung und den Kapitalmarkt beurteilt werden, ist folglich auf (theoretische und empirische) Erkenntnisse aus der Literatur zurückzugreifen. Bei deren Erörterung dienen die in Abb. 1 dargestellten Zu-sammenhänge als Bezugsrahmen: In Abschnitt 2.3.3 wird die postulierte Erhöhung der Zuverlässigkeit der Rechnungslegung infolge wirksamerer ICoFR behandelt; Ab-schnitt 2.3.4 untersucht den Zusammenhang zwischen einer Betrachtung von ICoFR durch den Abschlussprüfer und der Effektivität der Abschlussprüfung; der Frage, in-wieweit ICoFR-Berichte zu einer Steigerung des Anlegervertrauens beitragen können, wird sodann in Abschnitt 2.3.5 nachgegangen.

2.3.3 Erkenntnisse zum Zusammenhang zwischen der Wirk-samkeit von ICoFR und der Zuverlässigkeit der Rech-nungslegung

Zwecks Beurteilung der Frage, inwieweit sich aufgrund eines ICoFR-Berichtserfordernisses und – damit verbunden – einer höheren Wirksamkeit von ICoFR eine zuverlässigere Rechnungslegung einstellen könnte, sollen zunächst Wesen und Funktion von ICoFR erklärt werden. (Abschnitt 2.3.3.1) Anschliessend ist auf ei-nige ausgewählte empirische Ergebnisse einzugehen. (Abschnitt 2.3.3.2)

2.3.3.1 Überwachungstheoretischer Ansatz und Internal Control Zur Erklärung von ICoFR wird auf den in der deutschsprachigen Literatur verbreiteten überwachungstheoretischen Ansatz (Abschnitte 2.3.3.1.1 und 2.3.3.1.2) sowie auf das angelsächsische Konzept des COSO (Abschnitt 2.3.3.1.3) zurückgegriffen. Beide gel-ten als grundsätzlich in sämtlichen Unternehmensfunktionen bzw. als auch für operati-ve Ziele einsetzbar, werden aber häufig in Zusammenhang mit dem finanziellen Rech-nungswesen genannt und weisen einen starken Bezug zu demselben auf (vgl. Ab-schnitt 2.3.3.1.4).

2. Kapitel: Section 404

38

2.3.3.1.1 Grundlagen der Überwachungstheorie

Betriebliche Prozesse werden in der Literatur häufig in die drei Phasen Planung, Reali-sation und Überwachung untergliedert.168 Unter Überwachung versteht man dabei all-gemein den Vergleich von Objekten – in der Regel eines Ist-Objekts mit einem Soll-Objekt, denkbar sind auch Vergleiche von zwei oder mehr Ist-Objekten – zwecks Fest-stellung von Abweichungen bzw. Übereinstimmungen.169 Die hierbei gewonnenen Informationen erlauben Rückschlüsse auf die Zuverlässigkeit von Planung und Reali-sation und dienen als Ansatzpunkte für Verbesserungen.170 In diesem Zusammenhang spricht man von Dispositionsüberwachung bzw. Objektüberwachung.171

Die Überwachung umfasst gewöhnlich die folgenden Schritte (vgl. Abb. 2): 172

1. Bestimmung der zu überwachenden Ist-Objekte;173

2. Bestimmung der Vergleichsobjekte;174

3. Vergleich der Objekte: Entsprechen Ist-Objekt und Soll-Objekt einander, wird das Ist-Objekt als richtig betrachtet und kann zur weiteren Bearbeitung freige-geben werden; im Falle von Abweichungen, die etwa aus Ungenauigkeit, Ma-nipulation oder Fälschung resultieren können, als falsch;

4. Beurteilung der festgestellten Abweichungen – es liegt im Ermessen des Über-wachenden zu entscheiden, ob die identifizierten Fehler tolerabel sind und das Objekt also der nächsten Bearbeitungsstufe zugeleitet werden kann oder ob eine

168 Vgl. Baetge/Thiele (2002), Sp. 1899; vgl. zur Kritik an der Auffassung, dass die Überwachung der Pla-

nung und der Realisation nachgelagert ist, Schreyögg (1994). 169 Vgl. Baetge/Thiele (2002), Sp. 1899 ff., und Hömberg (2002), Sp. 1229. 170 Vgl. Baetge/Thiele (2002), Sp. 1899. 171 Vgl. Baetge (1992), Sp. 2043 f. Während bei einer Dispositionsüberwachung die Abweichungsinformati-

on den planerisch tätigen Personen meist in grösseren Zeitabständen gemeldet wird, werden bei einer Ob-jektüberwachung die festgestellten Fehlerergebnisse gewöhnlich laufend an die ausführenden Mitarbeiter rückgemeldet. Hömberg (2002), Sp. 1230, weist Objekt- und Dispositionsüberwachungen, die der Ord-nungsmässigkeit der Rechnungslegung dienen, einen besonderen Stellenwert innerhalb des Finanz- und Rechnungswesens zu.

172 Vgl. Baetge/Thiele (2002), Sp. 1902. 173 Sjurts (1995), S. 73, bemerkt, dass das Regelungsprinzip nicht ausschliesslich auf Ergebnisgrössen ange-

wendet werden muss, sondern auch zur Überwachung von Verfahren und Verhalten hinzugezogen wer-den kann.

174 Vgl. Baetge/Thiele (2002), Sp. 1903. Die Beschaffenheit eines Soll-Objekts kann sich bspw. aus gesetzli-chen Anforderungen ergeben.

2. Kapitel: Section 404

39

Korrektur bzw. Aussonderung des Ist-Objekts erforderlich ist (Rückkopp-lung);175

5. Mitteilung des Vergleichsergebnisses an den Überwachungsadressaten und al-lenfalls Vorgabe von Korrekturanweisungen.

Abb. 2: Der Überwachungsprozess176

In Übereinstimmung mit der oben vorgestellten Definition von Überwachung werden im überwachungstheoretischen Ansatz Kontrollen und (interne) Revisionen unter-schieden.177 Anders als Revisionen, die prozessunabhängig erfolgen, sind Kontrollen fest in die betrieblichen Bearbeitungsvorgänge integrierte und auf die spezifischen Ar-beitsschritte abgestimmte Überwachungen. Weil unternehmenszugehörige Personen mit derlei Kontrollen betraut sind, spricht man in diesem Zusammenhang auch von

175 Die möglicherweise erforderlichen Korrekturschritte werden also nicht zum eigentlichen Überwachungs-

vorgang gezählt; vgl. Hömberg (2002), Sp. 1229. 176 In Anlehnung an Baetge (1992), Abb. 2. 177 Vgl. Baetge/Thiele (2002), Sp. 1899.

Bearbeitung Ist-Objekt

Korrektur bzw. erneute

Bearbeitung

Bestimmung Ist-Objekt (1)

Bestimmung Soll-Objekt (2)

Ist-Soll-Vergleich (3)

Freigabe(5)

Differenz tolerabel?

(4)

Korrektur-empfehlung (5)

Planung

Realisation

Überwachung

nein

nein

ja

ja

Differenz = 0?

2. Kapitel: Section 404

40

internen Kontrollen.178 Ihre Gesamtheit bildet das interne Kontrollsystem eines Unter-nehmens, welches gemeinsam mit den Revisionen das interne Überwachungssystem formt.179 Die Zuverlässigkeit der Überwachungsmassnahmen hängt mittelbar von per-sonellen, sachlichen und finanziellen Voraussetzungen sowie von flankierenden orga-nisatorischen Massnahmen180 ab. Unmittelbar beeinflusst wird sie von der Gestaltung der Unternehmensorganisation. Als wesentliche Gestaltungselemente gelten hierbei die personelle Zuordnung von Aufgaben, Funktionen, Kompetenzen und Verantwort-lichkeiten.181 Für die Einrichtung eines internen Überwachungssystems ist die Unter-nehmensleitung verantwortlich.182

2.3.3.1.2 Wirkungen der Überwachung

Dem überwachungstheoretischen Ansatz zufolge zeitigt die Überwachung, indem sie Informationen über Abweichungen bzw. Übereinstimmungen zwischen den Ver-gleichsobjekten liefert, verschiedene Wirkungen183, weswegen ihr allgemein eine wichtige Rolle in der Unternehmenssteuerung184 zugestanden wird:

1. Zunächst hat Überwachung eine detektive Wirkung, indem sie hilft, während der Realisation entstandene Fehler zu entdecken.

178 Vgl. Hömberg (2002), Sp. 1230. 179 Hömberg (2002), Sp. 1229 f., billigt einem Unternehmen nur dann zu, ein Überwachungssystem zu besit-

zen, wenn die Überwachungsmassnahmen nicht einem Selbstzweck dienen, sondern auf die planenden bzw. ausführenden Betriebsvorgänge und die Sicherung des Unternehmensvermögens ausgerichtet sind.

180 Vgl. Baetge (1992), Sp. 2044 ff., und Baetge (1998), S. 408 f. 181 Typische Organisationsprinzipien zur Effizienzsteigerung der Überwachung sind etwa die Aufgabenglie-

derung, also die logische und systematische Unterteilung des Arbeitsablaufs in mehrere Teilaufgaben; die – horizontale oder vertikale – Aufgabentrennung, d.h. die Zuweisung einzelner Teilaufgaben an verschie-dene Mitarbeiter; die Aufgabenverdopplung, bei der eine Aufgabe in ähnlicher Weise ein zweites Mal ausgeführt wird, um ein Vergleichsobjekt für die Überwachung des Ergebnisses aus der erstmaligen Auf-gabenerfüllung zu haben; die Kompetenzzusammenfassung, bei der mehrere Mitarbeiter nur gemeinsam die Kompetenz erhalten, eine bestimmte Aufgabe oder eine bestimmte Funktion innerhalb einer Aufgabe auszuführen; sowie die Funktionstrennung, die z.B. in der Trennung von Ausführung und Überwachung vorliegt und also einer Fremdüberwachung entspricht. Vgl. Baetge (1992), Sp. 2044 ff.

Um ebensolche Organisationsprinzipien ergänzt Lück (1998 b), Abb. 2, das interne Überwachungssys-tem, das dann formell aus drei Elementen besteht: Kontrollen, Interne Revision sowie organisatorische Sicherungsmassnahmen.

182 Dies, weil nur die Unternehmensleitung die Einrichtung der erforderlichen organisatorischen Siche-rungsmassnahmen veranlassen kann.

183 Vgl. Baetge/Thiele (2002), Sp. 1900, und Hömberg (2002), Sp. 1230. Vgl. auch Freiling/Lück (1986), S. 998 f.

184 So etwa Horváth (2003), S. 786, und Biel (2005), S. 3.

2. Kapitel: Section 404

41

2. Eine Korrekturwirkung wohnt der Überwachung inne, wenn entdeckte Fehler berichtigt werden und damit die laufende Aufgabenerfüllung verbessert wird. Falls darüber hinaus die festgestellten Abweichungsursachen dauerhaft abge-stellt werden können, spricht man von einer Lernwirkung.

3. Eine Präventivwirkung wird erreicht, wenn die Mitarbeiter im Wissen um die Überwachung ihre Tätigkeiten, für die sie Rechenschaft abgeben müssen, mit grösserer Sorgfalt erledigen, d.h. Fehler zu vermeiden suchen. Auch kann von einer Verbesserung der Dokumentationsqualität ausgegangen werden, da die Überwachungsmassnahmen so dokumentiert werden müssen, dass sie von ei-nem sachverständigen Dritten nachvollzogen werden können. Die präventive Eigenschaft von Überwachung kann sich unter bestimmten Umständen positiv auf Leistungsbereitschaft und Motivation der Mitarbeiter auswirken.185

4. Aus der Gewissheit, die Überwachter und Überwachender über die Bearbei-tungsqualität erlangen, resultiert schliesslich eine Sicherheitswirkung.

Eingrenzend wirkt das Postulat der Wirtschaftlichkeit, demzufolge die Kosten der Überwachungsmassnahmen nicht die durch Überwachung erzielten Erlössteigerungen bzw. Kosteneinsparungen übersteigen dürfen.186

2.3.3.1.3 Das Internal Control-Framework des COSO

Der Internal Control-Ansatz des COSO187 verfolgt im Kern das gleiche Anliegen wie das Überwachungssystem im Sinne des überwachungstheoretischen Ansatzes.188 Weil er jedoch präzisere Aussagen zur konzeptionellen Gestaltung der Überwachung macht und – kraft seiner Eigenschaft als das unter US-Unternehmen am weitesten verbreitete

185 Die Präventivwirkung ist dysfunktional, wenn sie demotivierend auf die Mitarbeiter wirkt. Vgl.

Baetge/Thiele (2002), Sp. 1900 und die dort aufgeführte Literatur. 186 Vgl. Baetge (1992), Sp. 2038 und Abb. 10. 187 Aufgrund des zum damaligen Zeitpunkt uneinheitlichen Verständnisses von Internal Control enthielt die

1987 publizierte Studie der Treadway Commission (siehe Abschnitt 2.1.3) die an ihre Sponsororganisati-onen (COSO) gerichtete Aufforderung, ein umfassendes Internal Control-Rahmenkonzept zu entwerfen, welches die bereits existierenden Konzepte und Definitionen integriere und Unternehmen die Ausgestal-tung und Bewertung von Internal Control ermögliche; vgl. NCFFR (1987), S. 48. Daraufhin erarbeitete das COSO das 1992 publizierte „Internal Control – Integrated Framework“ (COSO-Framework).

188 Auch Internal Control wird nicht als ein Ereignis oder Zustand verstanden, sondern als integraler Be-standteil der betrieblichen Abläufe, die Verantwortung für ihre Einrichtung und Pflege wird ebenfalls dem Management zugewiesen. Allerdings betont der Internal Control-Ansatz stärker die Notwendigkeit präventiver Massnahmen; vgl. Hömberg (2002), Sp. 1232 f.

2. Kapitel: Section 404

42

Kontrollkonzept189 – zudem Eingang in die Detailregelungen zu Section 404 fand,190 soll er im folgenden kurz vorgestellt werden.

Dem COSO zufolge handelt es sich bei Internal Control um einen Prozess, der von Aufsichtsgremien, dem Management und den Mitarbeitern ausgeübt wird und so aus-gestaltet ist, dass sich die in den folgenden drei Kategorien gesetzten Ziele mit ange-messener Sicherheit erreichen lassen:191

1. Effektivität und Effizienz betrieblicher Abläufe („operations“)

2. Zuverlässigkeit der finanziellen Berichterstattung („financial reporting“)

3. Einhaltung relevanter Gesetze und Vorschriften („compliance“)

Dass in der Definition des COSO nicht von absoluter Sicherheit, sondern lediglich von angemessener Sicherheit die Rede ist, trägt dem Umstand Rechnung, dass die Zieler-reichung durch vielerlei Faktoren beeinträchtigt werden kann. Zu diesen zählen neben Kosten-Nutzen-Überlegungen auch menschliche Fehlleistungen, z.B. aufgrund von Nachlässigkeiten, Missverständnissen oder Fehleinschätzungen; in doloser Absicht begangene Umgehungen von ICoFR, gerade seitens des Managements; temporär auf-tretende Beeinträchtigungen, etwa aufgrund von Umstrukturierungen.192

Zur Erreichung der Ziele tragen fünf Komponenten bei, die alle Unternehmenseinhei-ten und -prozesse betreffen und aufeinander abgestimmt sein müssen:193

189 Gemäss Menzies (2004), S. 81, haben über 63% der US-börsennotierten Unternehmen COSO als Rah-

menwerk eingeführt. Vgl. zu den Schwierigkeiten einer Implementierung des COSO-Framework Heier et al. (2003), S. 12. Vgl. zu weiterer Kritik am COSO etwa Tipgos (2002).

Erst nach einer 1994 vorgenommenen Erweiterung der Kontrollziele erkannte das GAO das COSO-Konzept als Grundlage für die Berichterstattung über Internal Control an, vorausgegangen war eine lang-wierige Debatte: Das GAO verlangte u.a. einen verbesserten Schutz von Vermögenswerten und warf dem COSO vor, sich nicht für eine öffentliche Berichterstattung über Internal Control ausgesprochen zu ha-ben. Vgl. z.B. Steinberg (1994), S. 37 ff.

190 Siehe die Abschnitte 3.1.1 und 3.1.2. 191 Vgl. COSO (1992 a), S. 9. 192 Vgl. Pfitzer/Schmidt (2002), Sp. 2342. Vgl. auch Root (1998), S. 139: “The prominence of this assertion

[Anm.: gemeint ist die Aussage, dass nur angemessene Sicherheit gewährleistet werden könne] relates to the concern regarding accountability and liability. […] Under the COSO concept, reasonable but not ab-solute offers a basis for defending against allegations of wrongdoing, mismanagement, and the like.” Vgl. zu den Schwierigkeiten im Umgang mit Kosten-Nutzen-Überlegungen ebd., S. 140 ff.

193 Vgl. im folgenden COSO (1992 a), S. 19–74. Vgl. zu einer kritischen Analyse der einzelnen Komponen-ten Root (1998), S. 119 ff.

2. Kapitel: Section 404

43

1. das Kontrollumfeld („control environment“), welches „den Ton in der Organisa-tion angebend“ das Kontrollbewusstsein des Unternehmens entscheidend prägt und gleichzeitig das Fundament für die übrigen vier Komponenten darstellt; zum Kontrollumfeld zählen Aspekte wie Integrität und ethisches Verhalten, Mana-gementphilosophie und Geschäftspraktiken, Organisationsstruktur, Mitarbeiter-entwicklung und Überwachungsaktivitäten der Aufsichtsgremien;

2. Identifikation und Beurteilung interner und externer Risiken („risk assessment“), welche die Erreichung der in den drei Kategorien gesetzten Unternehmensziele gefährden können, sowie Ableitung von Massnahmen zur Beherrschung eben-dieser Risiken;

3. Kontrollaktivitäten („control activities“), bestehend aus Richtlinien und Verfah-ren, die gewährleisten, dass die den identifizierten Risiken entgegnenden Mass-nahmen korrekt ausgeführt werden; typische Beispiele sind Trennung von Ver-antwortungsbereichen, Revisionstätigkeiten, Autorisierungen oder Auferlegung von Dokumentationspflichten;

4. Informations- und Kommunikationssysteme („information and communica-tion“), die durch zeitige Erfassung, Verarbeitung und Weiterleitung relevanter Informationen die Ausübung von Überwachungsaufgaben erst ermöglichen; bei-spielhaft seien in diesem Zusammenhang interne Informationsveranstaltungen genannt;

5. regelmässige Überprüfungen („monitoring“), die in Form von prozessintegrier-ten Massnahmen und bzw. oder durch prozessunabhängige Prüfungen die Wirk-samkeit von Internal Control sicherstellen; Beispiele hierfür sind Prüfungen durch die interne oder die externe Revision.194

194 Ein Vergleich mit dem internen Überwachungssystem ergibt: Die beiden Komponenten „control activi-

ties“ und „monitoring“ finden Entsprechung in den internen Kontrollen bzw. Revisionen eines internen Überwachungssystems; dem „control environment“ stehen die „organisatorischen Massnahmen“ gegen-über; den Komponenten „information and communication“ und „monitoring“ hingegen fehlt ein Gegen-stück in der Überwachungstheorie.

2. Kapitel: Section 404

44

Monitoring

Information and Communication

Control Activities

Risk Assessment

Control Environment

Operatio

ns

Financia

l

Reporti

ng

Compliance

Unit B

Activity A

Activity B

Unit A

Abb. 3: Ziele und Komponenten im Internal Control-Ansatz195

Für das Erreichen von Zielen einer beliebigen Kategorie ist das gleichzeitige Vorhan-densein sämtlicher Elemente notwendig. Alle Komponenten müssen also gegeben sein, um schliessen zu können, dass Internal Control etwa im Bereich „Financial Re-porting“ (vgl. schattierte Spalte in Abb. 3) wirksam sind. Hieraus folgt, dass jede ein-zelne Komponente für die Zielerreichung in allen drei Kategorien relevant ist. So ist die effiziente Durchführung betrieblicher Abläufe ebenso auf die Bereitstellung von (nicht-) finanziellen Daten – Gegenstand der Komponente „Information and Commu-nication“ – angewiesen, wie dies für die finanzielle Berichterstattung und die Einhal-tung gesetzlicher Vorschriften gilt (vgl. schattierte Zeile in Abb. 3).

2.3.3.1.4 Bedeutung für das finanzielle Rechnungswesen

Explizit benennt das COSO die Zuverlässigkeit der finanziellen Berichterstattung als eine von drei Zielkategorien.196 Auch der überwachungstheoretische Ansatz wird häu-fig mit der Ordnungsmässigkeit der Rechnungslegung in Zusammenhang gebracht.197

195 Quelle: COSO (1992 a), Abb 2. 196 Dies trug den Autoren verschiedentlich den Vorwurf ein, das finanzielle Rechnungswesen im konzeptio-

nellen Rahmen übergewichtet zu haben. Bspw. werde schon durch die explizite Erwähnung der finanziel-len Berichterstattung dieser mehr Bedeutung zugewiesen als der Veröffentlichung nicht-finanzieller In-formationen. Zurückgeführt wird die inhaltliche Ausrichtung an der Rechnungslegung, die übrigens auch daran ersichtlich ist, dass es in verschiedene, US-amerikanische wie internationale, Prüfstandards einge-flossen ist, auf die Autorschaft der Prüffirma Coopers & Lybrand; vgl. Root (1998), S. 114 und 119; vgl. für einen beispielhaften Prüfstandard AICPA (1995).

197 Vgl. Hömberg (2002), Sp. 1230. Lück (1998 a), S. 405, etwa führt explizit die „Verlässlichkeit und Ge-nauigkeit des Rechnungswesens“ als Ziele eines internen Überwachungssystems auf, das darüber hinaus

2. Kapitel: Section 404

45

Wie genau sich nun ICoFR zur Rechnungslegung verhalten, bedarf noch der Präzisie-rung. Zwei wichtige Folgerungen können dabei den vorangegangenen Ausführungen entnommen werden:198

Deutlich wurde zunächst, dass funktionierende ICoFR keine notwendige Vorausset-zung für eine ordnungsgemässe Rechnungslegung ist. Denn sollten die eingerichteten Kontrollen einmal nicht wie geplant funktionieren, heisst das nicht, dass das Kontroll-objekt, also die zu kontrollierende Aktivität oder der zu kontrollierende Prozess, feh-lerhaft ist. Keine Rolle spielt dabei, ob die Kontrolle in den entsprechenden Prozess integriert ist (wie etwa das Erfordernis einer Zweitunterschrift) oder ob sie losgelöst von diesem erfolgt (wie bspw. die interne Revision des Berichterstattungsprozesses). Praktische Bedeutung erfährt dieser Zusammenhang durch die dem Abschlussprüfer überlassene Entscheidung, sich auf bestehende ICoFR des Mandanten (teilweise) zu verlassen oder aber ICoFR im Rahmen der Abschlussprüfung (vollständig) ausser acht zu lassen.199 Diese Eigenschaft von ICoFR bedeutet nichts anderes, als dass sich das Ziel einer ordnungsgemässen Rechnungslegung auch auf anderen Wegen als über wirksame ICoFR erreichen lässt.

Ebenfalls zum Ausdruck kam, dass funktionierende ICoFR keine hinreichende Vor-aussetzung für eine ordnungsgemässe Rechnungslegung ist: Dies ergibt sich aus dem Konzept der angemessenen Sicherheit bzw. aus der Tatsache, dass die Wirksamkeit von wie gut auch immer konzipierter ICoFR durch inhärente Schwächen beeinträchtigt wird. So kann bspw. menschliches Versagen nicht durch – von Menschen konzipierte und durchgeführte – Kontrollen aufgehalten werden. Diese zweite Eigenschaft von ICoFR besagt, dass selbst „perfekte“ ICoFR keine Garantie für eine ordnungsgemässe Rechnungslegung darstellt. Für die hier interessierende Frage nach der Verbesserung der Rechnungslegung infolge wirksamerer ICoFR ist diese Erkenntnis von höherer Bedeutung als die Feststellung, dass effektive ICoFR keine notwendige Voraussetzung

zur Sicherung der betrieblichen Vermögenswerte, zur effizienten Gestaltung betrieblicher Abläufe und zur Einhaltung der von der Unternehmensleitung vorgegebenen Richtlinien beizutragen habe. Im Schrift-tum genannte Beispiele für die verschiedenen Elemente eines internen Überwachungssystems beziehen sich denn auch oftmals auf das finanzielle Rechnungswesen. Lück (1998 b), S. 14 ff., etwa führt in Ver-bindung mit organisatorischen Sicherungsmassnahmen die Trennung von Einkauf und Zahlungsausgang sowie die Vorgabe von Zahlungsrichtlinien auf, erwähnt Kontenabstimmungen als interne Kontrollen und zählt Prüfungen im Bereich des Finanz- und Rechnungswesens zu den Kernaufgaben der internen Revisi-on.

198 Vgl. Wallace (1981), S. 34, und Cunningham (2003), S. 40 f. 199 Siehe ausführlich Abschnitt 2.3.4.1.

2. Kapitel: Section 404

46

für die Ordnungsmässigkeit der Rechnungslegung ist, und soll deswegen in der nach-stehenden Betrachtung empirischer Ergebnisse betont werden.

2.3.3.2 Ausgewählte empirische Ergebnisse Zwecks Verdeutlichung der fehlenden Hinlänglichkeit wirksamer ICoFR für eine ver-lässliche Rechnungslegung werden Studien über die Ursachen von Fehlaussagen bzw. von Abschlusskorrekturen vorgestellt (Abschnitte 2.3.3.2.1 und 2.3.3.2.2). Ein beson-ders anschauliches Praxisbeispiel stellt in diesem Zusammenhang Enron dar (Ab-schnitt 2.3.3.2.3). Mit McMullen et al. (1996) wird schliesslich eine Studie bespro-chen, die einen Zusammenhang zwischen der Veröffentlichung von ICoFR-Berichten und der Rechnungslegungsqualität zu ermitteln sucht (Abschnitt 2.3.3.2.4).

2.3.3.2.1 Studien über die Ursachen von Fehlaussagen

Das Auftreten von Fehlaussagen in den Abschlüssen („misstatements) und deren Ent-deckung durch den Abschlussprüfer wird seit Ende der 1970er Jahre empirisch unter-sucht. Dabei stützen sich die Studien, die auch als „error studies“200 bezeichnet wer-den, in der Regel auf die von Abschlussprüfern angefertigten Prüfdokumentationen. Viele dieser Studien betrachten den Zusammenhang zwischen der Beurteilung des Kontrollrisikos201 durch den Abschlussprüfer und der Anzahl der bei der Prüfung ent-deckten Fehlaussagen.202 Insbesondere wird auch versucht, solche Kontrollelemente zu bestimmen, deren Nicht-Vorhandensein das Auftreten von Fehlaussagen zu erklären vermag.203 Weil derlei Untersuchungen gewichtige methodische Schwächen anhaf-ten,204 sollen sie an dieser Stelle nicht ausführlich behandelt werden. Lediglich für die Frage nach den Ursachen der vom Abschlussprüfer entdeckten Fehlaussagen sind die „error studies“ zu berücksichtigen.

200 Vgl. für einen Überblick Caster et al. (2000), S. 68, und Eilifsen/Messier (2000), S. 23. 201 Das Kontrollrisiko bezeichnet das Risiko, dass eine wesentliche Fehlaussage einer bestimmten Ab-

schlussposition oder Transaktionsart durch eigens eingerichtete ICoFR weder verhindert noch aufgedeckt noch rechtzeitig korrigiert wird. Siehe auch Abschnitt 2.3.4.1.1.

202 Wie aufgrund der Natur von ICoFR zu erwarten ist, besteht ein positiver Zusammenhang zwischen der Höhe des Kontrollrisikos und der Anzahl entdeckter Fehlaussagen. Vgl. z.B. Wright/Wright (1996).

203 Vgl. z.B. Kreutzfeldt/Wallace (1990). 204 Vgl. z.B. Bédard (1990).

2. Kapitel: Section 404

47

Ursachen der Fehlaus-sagen205

H&A (1982)206

K&W (1986)

W&A (1989)

E&L (1994)

E et al. (2000)

Menschliches Versagen 26% 33% 6% 18%

Ungenügendes Rechnungsle-gungswissen 15% 29% 15% 22%

Ermessensfehler 15% 18% 20% 26% 16%

Zwischentotal 1 56% 51% 55% 41% 56%

Fehler bei Abgrenzungen oder Rückstellungen 38% 19% 27% 11%

Mechanische Fehler 13% 13% 14% 11%

Ungenügende Kontrolle oder Durchsicht 9% 29% 13% 3% 23%

Unzureichende Information 9% 8%

Zwischentotal 2 60% 38% 45% 52% 45%

Sonstiges 19% 9% 6% 3%

Tab. 5: Häufigkeit der Ursachen von Fehlaussagen gemäss unterschiedlichen Studien207

Tab. 5 liefert einen Überblick über die Ergebnisse verschiedener „error studies“, wobei keine Unterscheidung zwischen beabsichtigten und unbeabsichtigten Fehlern gemacht wird. Aufgrund der hier interessierenden Frage nach dem Einfluss wirksamer ICoFR auf die Rechnungslegung wird in der Darstellung zwischen solchen Fehlaussagen ge-trennt, die aufgrund der inhärenten Schwächen von ICoFR theoretisch auch durch ef-fektivere ICoFR nicht verhindert werden können (subsumiert unter Zwischentotal 1),

205 Die Kategorisierung entspricht im wesentlichen derjenigen von Hylas/Ashton (1982); vgl. für Beispiele

Hylas/Ashton (1982), S. 754. 206 Die Summe der Anteile ergibt mehr als 100%, weil für verschiedene Fehlaussagen mehrere Ursachen

benannt wurden; vgl. Hylas/Ashton (1982), S. 761. 207 In Anlehnung an Eilifsen/Messier (2000), Tab. 4. H&A = Hylas/Ashton (1982): 152 Mandanten, 281 Fehlaussagen, Abschlussprüfungen 1978; K&W =

Kreutzfeldt/Wallace (1986): 260 Mandanten, 1’506 Fehlaussagen, Abschlussprüfungen 1984; W&A = Wright/Ashton (1989): 186 Mandanten, 368 Fehlaussagen, Abschlussprüfungen 1984–1985; E&L = Ent-wistle/Lindsay (1994): 110 Mandanten, 474 Fehlaussagen, Abschlussprüfungen 1989–1990; E et al. = Ei-lifsen et al. (2000): 63 Mandanten, 242 Fehlaussagen, Abschlussprüfungen 1997. Die Studie von Hough-ton/Fogarty (1991), die Eilifsen/Messier ebenfalls aufführen, wird an dieser Stelle nicht berücksichtigt, weil die darin vorgenommene Kategorisierung der Fehlerursachen kaum mit den Untergliederungen der

2. Kapitel: Section 404

48

und solchen Fehlaussagen, die sich infolge wirksamerer ICoFR durchaus verhindern liessen (subsumiert unter Zwischentotal 2). Die Übersicht zeigt, dass gut die Hälfte der identifizierten Fehlaussagen nicht durch verbesserte ICoFR hätte vermieden werden können. Eine wertmässige Analyse würde den Anteil solcher Fehlaussagen, die nicht von ICoFR aufgefangen werden können, eher erhöhen als senken.208

Wenngleich hiermit noch nichts über solche Fehlaussagen gesagt ist, die im Rahmen der Abschlussprüfung nicht aufgedeckt werden (siehe hierzu den nächsten Abschnitt), kann doch angenommen werden, dass das Erfordernis, ICoFR zu verbessern, sich in der Praxis nur begrenzt auf die Rechnungslegung niederschlagen wird.209

2.3.3.2.2 Studien über die Ursachen von Abschlusskorrekturen

In der Studie von GAO (2002) wurden die Ursachen obligatorischer Abschlusskorrek-turen („restatements“) untersucht. Demnach lag beinahe 40% aller in den Jahren 1997 bis 2002 vorgenommenen Korrekturen eine fehlerhafte Umsatzerkennung oder -verbuchung zugrunde, knapp 16% waren auf inkorrektes Cost Accounting zurückzu-führen, weitere 9% wurden teils durch nicht regelkonforme Lagerbewertungen be-dingt.210

Die SEC kam in ihrer Studie über die im Zeitraum von 1997 und 2002 aufgrund von Verletzungen geltender Rechnungslegungsvorschriften eingeleiteten Ermittlungsver-fahren zu ähnlichen Ergebnissen.211 Dieser Studie sind einige relevante Zusatzinforma-tionen zu entnehmen: So wurde festgestellt, dass die Früherkennung von Umsätzen und das Verbuchen fiktiver Umsätze in je zwei Dritteln der insgesamt 126 Fälle, die sich auf unrechtmässige Umsatzbuchungen bezogen, vorlagen. In 104 Fällen waren überdies Angehörige des Senior Managements an den regelwidrigen Rechnungsle-gungspraktiken beteiligt.212 Auch in der Mehrzahl der Fälle, in denen die SEC inkor-rekte Aufwandverbuchungen – etwa: Überhöhung von Lagerendwerten oder ungenü-

anderen Studien abgestimmt werden kann. Die Studien unterscheiden sich hinsichtlich Art und Höhe der berücksichtigten Fehlaussagen.

208 Vgl. z.B. Hylas/Ashton (1982), Tab. 8, aus der hervorgeht, dass Fehlaussagen, die auf Ermessensfehler zurückzuführen sind, ein Vielfaches vom durchschnittlichen Betrag einer etwa durch mechanische Fehler verursachten Fehlaussage ausmachen.

209 Caster et al. (2000), S. 65, zufolge sind die durch den Prüfer aufgedeckten Fehlaussagen nicht völlig re-präsentativ für die Gesamtheit aller Fehlaussagen.

210 Vgl. GAO (2002), S. 19 ff. 211 Vgl. SEC (2003), S. 6. 212 Vgl. ebd., S. 7. In 75 Fällen war der CEO involviert, in 81 der CFO.

2. Kapitel: Section 404

49

gende Berücksichtigung mutmasslicher Debitorenverluste – feststellte, war das Senior Management involviert.

Sowohl die beispielhaft erwähnten Manipulationstechniken als auch die Tatsache, dass in den meisten der Fälle das Management für schwerwiegende Verstösse gegen die Rechnungslegungsvorschriften zur Verantwortung gezogen wurde, deuten darauf hin, dass eine Verbesserung von ICoFR kaum zu einer höheren Zuverlässigkeit der Rech-nungslegung führen wird. Denn die verfrühte Erkennung von Umsätzen oder die unzu-reichende Bezifferung der „bad debts“ – ob beabsichtigt oder nicht – entziehen sich aufgrund der inhärenten Schwächen von ICoFR dem Zugriff derselben. Gleiches gilt für die Involvierung des Managements.

2.3.3.2.3 Beispiel: Enron

Die Charakteristik von ICoFR, aufgrund inhärenter Schwächen keine Gewähr für die Erstellung ordnungsgemässer Abschlüsse bieten zu können, lässt sich eindrücklich anhand des Beispiels von Enron213 illustrieren. In den Geschäftsberichten aus den Jah-ren vor dem Bankrott finden sich (auf freiwilliger Basis erstellte) Managementberichte über ICoFR, in denen das Management angibt, eine Bewertung der ICoFR vorgenommen und diese – eben unter Vorbehalt inhärenter Schwächen – für angemessen befunden zu haben:214

“The following financial statements of Enron […] were prepared by management, which is responsible for their integrity and objectivity. The statements have been pre-pared in conformity with generally accepted accounting principles and necessarily in-clude some amounts that are based on the best estimates and judgments of management.

The system of internal controls of Enron is designed to provide reasonable assurance as to the reliability of financial statements and the protection of assets from unauthorized

213 Am 8. November 2001 kündigte Enron eine Abschlusskorrektur aller seit 1997 ausgewiesenen Reinge-

winne in Höhe von insgesamt 586 Mio. USD an. Erklärt wurde diese Korrektur, die sich in der Bilanz für das Jahr 2000 in einem Anstieg der Verbindlichkeiten um 628 Mio. USD niederschlug, mit der in den vergangenen Jahren fälschlicherweise unterlassenen Konsolidierung dreier Objektgesellschaften (sog. „Special Purpose Entities“). Wie sich später herausstellte, hatte der damalige CFO über mehrere Jahre hinweg den Aufbau eines komplexen Netzes von Objektgesellschaften betrieben und deren Unabhängig-keit von Enron vorgetäuscht, um (unerlaubterweise) Verbindlichkeiten aus der Bilanz herauszuhalten und auf diese Weise Analysten und Aktionäre über die wahren Konditionen des Unternehmens getäuscht so-wie sich persönlich hieran bereichert zu haben. Ermöglicht wurden derlei Machenschaften durch das Ver-sagen verschiedener Kontrollmechanismen: allen voran des Prüfungsausschusses, der Geschäftsleitung und der externen Prüfgesellschaft. Vgl. Powers et al. (2002), S. 148 ff., und Ribstein (2002), S. 6 ff.; siehe auch Fn 58.

214 Vgl. Enron Annual Report (2000), S. 29.

2. Kapitel: Section 404

50

acquisition, use or disposition. This system is augmented by written policies and guide-lines and the careful selection and training of qualified personnel. It should be recog-nized, however, that there are inherent limitations in the effectiveness of any system of internal control. Accordingly, even an effective internal control system can provide only reasonable assurance with respect to the preparation of reliable financial statements and safeguarding of assets. Further, because of changes in conditions, internal control sys-tem effectiveness may vary over time.

Enron assessed its internal control system as of December 31, 2000, 1999 and 1998, relative to current standards of control criteria. Based upon this assessment, manage-ment believes that its system of internal controls was adequate during the periods to provide reasonable assurance as to the reliability of financial statements and the protec-tion of assets against unauthorized acquisition, use or disposition. […]”

Der Abschlussprüfer bestätigte in einem eigenen Bericht die Richtigkeit der Aussagen des Managements in bezug auf die Wirksamkeit von ICoFR:215

“We have examined management’s assertion that the system of internal control of En-ron Corp. and its subsidiaries as of December 31, 2000, 1999 and 1998 was adequate to provide reasonable assurance as to the reliability of financial statements and the protec-tion of assets from unauthorized acquisition, use or disposition, included in the accom-panying report on Management’s Responsibility for Financial Reporting. […]

Our examinations were made in accordance with attestation standards established by the American Institute of Certified Public Accountants [Anm.: gemeint ist SSAE No. 2] and, accordingly, included obtaining an understanding of the system of internal control and such other procedures as we considered necessary in the circumstances. […]

In our opinion, management’s assertion that the system of internal control of Enron Corp. and its subsidiaries as of December 31, 2000, 1999 and 1998 was adequate to provide reasonable assurance as to the reliability of financial statements and the protec-tion of assets from unauthorized acquisition, use or disposition, is fairly stated, in all material respects, based upon current standards of control criteria.”

Es entbehrt nicht einer gewissen Tragikomik, dass mit Enron ausgerechnet dasjenige Unternehmen, dessen Bankrott die Erarbeitung des SOA erst eingeleitet hat, freiwillig die mittlerweile obligatorische Berichterstattung über ICoFR längst vorweggenommen hatte.

215 Vgl. Enron Annual Report (2000), S. 30.

2. Kapitel: Section 404

51

2.3.3.2.4 Die Studie von McMullen et al. (1996)

McMullen et al. (1996) betrachteten den Zusammenhang zwischen der Veröffentli-chung eines MRIC und dem Vorliegen von Rechnungslegungsproblemen. Hierzu iden-tifizierten die Autoren solche Unternehmen, die in der Vierjahresperiode von 1989 bis 1993 Rechnungslegungsprobleme216 aufwiesen, und untersuchten, welcher Anteil von ihnen vor dem Auftreten der jeweiligen Problematik einen MRIC veröffentlicht hatte. Verglichen wurde dieser Wert dann mit dem für eine Kontrollgruppe berechneten An-teil von Unternehmen, die keinerlei Rechnungslegungsprobleme offenbarten. Sie fan-den heraus, dass im Durchschnitt 27% der in der Kontrollgruppe enthaltenen Unter-nehmen einen MRIC erstellten, während von den Unternehmen mit Rechnungsle-gungsproblemen lediglich 11% einen solchen Bericht publizierten.217 Eine Unterschei-dung der Unternehmen nach ihrer Grösse brachte ferner zutage, dass von den identifi-zierten Kleinunternehmen218 (Grossunternehmen) mit Rechnungslegungsproblemen kein einziges (44%) einen MRIC aufwies, während 12% der Kleinunternehmen (44% der Grossunternehmen) aus der Kontrollgruppe einen solchen veröffentlicht haben. McMullen et al. entnahmen dem, dass Kleinunternehmen mehr von der Erstellung ei-nes MRIC profitieren könnten als Grossunternehmen.219

McMullen et al. liessen offen, ob dem für Kleinunternehmen ermittelten Zusammen-hang zwischen dem Veröffentlichen eines MRIC und der Abwesenheit von Rech-nungslegungsproblemen Selbstselektion oder Kausalität zugrunde liegt – je nachdem hätte ein generelles Berichterstattungserfordernis unterschiedliche Implikationen.220

216 Das Vorliegen von Rechnungslegungsproblemen wurde angenommen, wenn die SEC eine sog. „Enfor-

cement Action“ eingeleitet hat oder wenn bereits veröffentlichte Unternehmenszahlen aufgrund von Feh-lern oder Unregelmässigkeiten rückwirkend korrigiert werden mussten.

217 Vgl. McMullen et al. (1996), Tab. 2. Die Autoren definierten MRIC nicht näher und berücksichtigten jeden Bericht, der sich irgendwie zu ICoFR äusserte. Wie aus McMullen et al. (1996), Tab. 1, hervorgeht, erfüllten nur 7% der berücksichtigten Unternehmen das gemäss heutigen Standards entscheidende Krite-rium für die Gültigkeit eines solchen Berichts, nämlich eine Aussage zur Wirksamkeit von ICoFR.

218 Kleinunternehmen sind definiert als Unternehmen mit weniger als 250 Mio. USD Aktiva. 219 Auf die Notwendigkeit von ICoFR-Verbesserungen in Kleinunternehmen verwies bereits NCFFR (1987),

S. 29. 220 Bei Selbstselektion wählen solche Unternehmen freiwillig die Veröffentlichung eines MRIC, die keine

erwähnenswerten Rechnungslegungsprobleme gewärtigen. Dabei ist es das Kontrollbewusstsein des Ma-nagements, das gleichermassen zur Vermeidung von Unregelmässigkeiten in der Rechnungslegung wie auch zur Erstellung eines Managementberichts führt. In einem solchen Szenario würde die Verpflichtung von Unternehmen zur Erstellung eines MRIC keine Verbesserung der Rechnungslegung bewirken. Würde hingegen der Abschlussprüfer verpflichtet, den Managementbericht zu begutachten, ergäben sich positive Auswirkungen auf die Qualität der Rechnungslegung, weil davon ausgegangen werden kann, dass das Management solcher Unternehmen, die gegenwärtig keinen MRIC publizieren, gleichwohl Massnahmen

2. Kapitel: Section 404

52

2.3.3.3 Zusammenfassung Der vorangegangenen Besprechung ausgewählter Literatur kann in bezug auf den Zu-sammenhang zwischen der Wirksamkeit von ICoFR und der Zuverlässigkeit der Rechnungslegung folgendes entnommen werden:

• Weil wirksame ICoFR nicht nur keine notwendige, sondern auch keine hinrei-chende Voraussetzung für die Zuverlässigkeit der Rechnungslegung darstellen, besteht lediglich ein indirekter Zusammenhang zwischen der Wirksamkeit von ICoFR und der Zuverlässigkeit der Rechnungslegung.

• Verschiedene empirische Studien zeigen, dass ein beträchtlicher Anteil von Fehlaussagen – sowohl solchen, die vom Abschlussprüfer entdeckt wurden, als auch solchen, die bei der Abschlussprüfung unentdeckt blieben und anschlies-send eine nachträgliche Korrektur erforderlich machten – nicht durch wirksame-re ICoFR hätten verhindert werden können.

• Zwar kann für Kleinunternehmen ein negativer Zusammenhang zwischen dem Vorliegen von Rechnungslegungsproblemen und der Veröffentlichung eines MRIC festgestellt werden, doch ist die Art des Wirkungszusammenhangs un-klar.

• In bezug auf das vom Gesetzgeber angepeilte Ziel, über eine Verbesserung von ICoFR eine höhere Rechnungslegungsqualität anzustreben, kann daher gesagt werden, dass dieses grundsätzlich nur ansatzweise erreicht werden kann. Weil die Kollusion auf Managementebene gemäss Literatur zu den nicht durch effek-tive ICoFR zu verhindernden Tatbeständen zählt (eben weil die Einrichtung von ICoFR in der Verantwortung des Managements liegt), ist insbesondere davon auszugehen, dass deliktische Rechnungslegung, die vom Senior Management begangen wird, kaum mittels Section 404 aufgehalten werden kann.221

ergreifen würde, um den Prüfer zufriedenzustellen. Ist hingegen von Kausalität auszugehen – d.h., dass erst die Entscheidung zugunsten eines Managementberichts die Qualität der Rechnungslegung verbessert, weil nämlich das Management entsprechende Massnahmen vor Veröffentlichung eines solchen Berichts veranlassen würde –, dann müsste ein obligatorische Berichterstattung über ICoFR zu besserer Rech-nungslegung führen. Vgl. McMullen et al. (1996), S. 74.

221 Gerade die den SOA auslösenden Skandale zeigten, dass weniger das Fehlen oder die mangelnde Funkti-onalität der existierenden ICoFR, sondern deren gezielte Umgehung durch das Senior Management das ursächliche Problem waren.

2. Kapitel: Section 404

53

2.3.4 Erkenntnisse zum Zusammenhang zwischen einer Prü-fung von ICoFR und der Qualität der Abschlussprü-fung

Zwecks Beantwortung der Frage, inwiefern die vom Gesetzgeber angepeilte Verbesse-rung der Prüfqualität durch eine obligatorische Betrachtung von ICoFR seitens des Abschlussprüfers erzielt werden kann, wird zunächst mit dem risikoorientierten Prüf-ansatz eine Methode vorgestellt, bei welcher die Wirksamkeit von ICoFR eine wichti-ge Rolle für Planung und Durchführung der Abschlussprüfung spielt. (Abschnitt 2.3.4.1) Anschliessend werden einige empirische Erkenntnisse über die vom Ab-schlussprüfer vorzunehmenden Beurteilungen von ICoFR präsentiert. (Abschnitt 2.3.4.2)

2.3.4.1 Der risikoorientierte Prüfansatz Ausschlaggebend für eine Berücksichtigung von ICoFR bei der Abschlussprüfung war die sich früh einstellende Einsicht des Berufsstands, dass angesichts zunehmender Un-ternehmenskomplexitäten und wachsender Mengen an Prüfungsstoff eine fundierte Beurteilung mittels direkter Prüfungen der korrekten Verarbeitung einzelner Transak-tionen weder mit wirtschaftlich vertretbarem Aufwand noch in angemessener Zeit möglich sei.222 Vielmehr hielt man es für angebracht, sich zu einem gewissen Grad auf vorhandene ICoFR zu verlassen, sofern diese das Vertrauen des Abschlussprüfers rechtfertigen kann223. So bestimmte das American Institute of Accountants schon 1939:

“It is the duty of the independent auditor to review the system of internal check and ac-counting control so as to determine the extent to which he considers that he is entitled to rely upon it. To exhaust the possibility of exposure of all cases of dishonesty or fraud, the independent auditor would have to examine in detail all transactions. This would en-tail a prohibitive cost to the great majority of business enterprises […]”224

222 Vgl. Wanik (1992), Sp. 898. 223 Dies gerade bei (Gross-) Unternehmen mit umfangreichen Transaktionsvolumina; vgl. z.B. Treuhand-

Kammer (2001), GzA 14, Ziff. 1.3. 224 American Institute of Accountants (1939), S. 379 f.

2. Kapitel: Section 404

54

Seither spricht die Prüftheorie der Beurteilung von ICoFR einen grossen Stellenwert in Verbindung mit der Abschlussprüfung zu.225 Zum Ausdruck kommt dieser im risiko-orientierten Prüfungsansatz, der seinen Ursprung in den 1970er Jahren hat.226

2.3.4.1.1 Grundlagen

Der risikoorientierte Prüfungsansatz soll zur Effektivität und Effizienz der Abschluss-prüfung beitragen, indem er hilft, die Risikosituation des Mandanten im Vorfeld der eigentlichen Abschlussprüfung zu beurteilen und Prüfungshandlungen entsprechend anzupassen.227 Er basiert auf einer mathematischen Abbildung der Risikosituation des Unternehmens: Das Prüfungsrisiko („audit risk“) bezeichnet das Risiko, dass der Prü-fer es unwissentlich versäumt, das Testat eines nicht ordnungsgemässen Jahresab-schlusses zu ergänzen, einzuschränken oder gar zu versagen.228 Es ergibt sich bereits bei einem einzelnen Prüffeld und setzt sich zusammen aus Fehlerrisiken, die im Prü-fungsstoff begründet sind und vom Abschlussprüfer nur indirekt gesteuert werden kön-nen („information system risk“), und aus Fehlerrisiken, die aus der Prüfungsdurchfüh-rung resultieren und also dem direkten Einfluss des Abschlussprüfers unterliegen („de-tection risk“). Das erstgenannte Risiko lässt sich unterteilen in ein Inhärentes Risiko („inherent risk“), worunter das Risiko verstanden wird, dass – ungeachtet der Existenz bestehender ICoFR – eine bestimmte Abschlussposition oder Transaktionsart wesent-liche Fehlaussagen enthält, und ein Kontrollrisiko („control risk“), also das Risiko, dass eine wesentliche Fehlaussage einer bestimmten Abschlussposition oder Transak-tionsart durch eigens eingerichtete ICoFR weder verhindert noch aufgedeckt noch rechtzeitig korrigiert wird. Auch das Entdeckungsrisiko wird verfeinert: Das Analyti-sche Risiko („analytical review risk“) besteht darin, dass vom Abschlussprüfer durch-geführte analytische Prüfungshandlungen229 wesentliche Fehler, die nicht von ICoFR

225 Vgl. AICPA (1958), AICPA (1972), AICPA (1988), AICPA (1995). 226 Vgl. AICPA (1972), para. 72. 227 Vgl. hierzu und im folgenden Ballwieser (1998), S. 360 ff., und die dort aufgeführte Literatur. Effektivität

bedeutet, bei Stichprobenprüfungen das richtige Urteil mit der gewünschten Urteilssicherheit zu erzielen. Effizienz verlangt, dass die Prüfungshandlungen bei gegebenem Prüfungsrisiko auf ein Minimum be-schränkt werden; vgl. Ballwieser (1998), S. 360.

Morton/Felix (1991), S. 10, weisen am Beispiel von AICPA (1988) darauf hin, dass darin der Effizienz-aspekt im Vordergrund steht und die Frage der Effektivität weitgehend vernachlässigt wird.

228 Vgl. Dörner (2002), Sp. 1744. Ballwieser (1998), S. 361, spricht in diesem Zusammenhang von „Beta-Risiko“.

229 Analytische Prüfungshandlungen sind Verfahren zur Erlangung von Prüfungsnachweisen, bestehend aus der Analyse wesentlicher Kennzahlen und Trends, einschliesslich der Untersuchung von Veränderungen und Relationen, die von anderen relevanten Informationen oder von prognostizierten Beträgen abweichen.

2. Kapitel: Section 404

55

entdeckt wurden, nicht aufzeigen; das Risiko detaillierter Prüfungshandlungen („test of details risk“) entspricht dem Risiko, bei Einzelfallprüfungen ein Urteil auf Ord-nungsmässigkeit abzugeben, obwohl das Prüffeld nicht ordnungsgemäss ist und dies weder von ICoFR noch mittels der analytischen Prüfungshandlungen erkannt worden ist. (Vgl. Abb. 4)

Abb. 4: Komponenten des Prüfungsrisikos230

Das gesamthafte Prüfungsrisiko ergibt sich aus der multiplikativen Verknüpfung der vier Einzelrisiken:231

(1) AR = IR · CR · ARR · TDR

Berücksichtigt man, dass das Prüfungsrisiko als geforderte Prüfungssicherheit vom verantwortlichen Prüfer zu Beginn der Prüfung zu bestimmen ist, dass IR und CR ge-gebene Grössen sind sowie dass das ARR nach prüferischem Ermessen festzulegen ist, verbleibt TDR als eigentlicher Handlungsparameter:232

(2) TDR = AR ⁄ (IR · CR · ARR)

Sie werden unter ergebnisorientierte (oder aussagenbezogene) Prüfungshandlungen subsumiert. Vgl. Treuhand-Kammer (2004), S. XI und S. XIV.

230 Mit AR = “audit risk”; ISR = “information system risk”; DR = “detection risk”; IR = “inherent risk”; CR = “control risk”; ARR = “analytical review risk”; TDR = “test of details risk”. Vgl. Ballwieser (1998), Abb. 1 und die dort aufgeführte Literatur.

231 Das Kontrollrisiko und das Entdeckungsrisiko sind dabei als bedingte Wahrscheinlichkeiten zu interpre-tieren – bspw. entspricht das Kontrollrisiko der Wahrscheinlichkeit, dass ein inhärenter Fehler vorliegt und dieser von ICoFR weder verhindert noch korrigiert worden ist. Vgl. Baetge/Thiele (2002), Sp. 1906. Vgl. kritisch hierzu Göbel (1997), S. 48.

232 Vgl. Dörner (2002), Sp. 1747 f.

Prüfungsrisiko (AR)

Fehlerrisiko (ISR) Entdeckungsrisiko (DR)

Inhärentes Risiko (IR)

Kontrollrisiko (CR)

Analytisches Risiko (ARR)

Risiko detaillierter

Prüfungen (TDR)

2. Kapitel: Section 404

56

Aus der Subtraktion 1 – TDR folgt dann der erforderliche Sicherheitsgrad, der durch Umfang und Auswahl der Einzelfallprüfungen erreicht werden muss. Gleichung (2) kann entnommen werden, dass TDR und CR in einem inversen Verhältnis zueinander stehen.233

2.3.4.1.2 Betrachtung von ICoFR

Bevor der Abschlussprüfer das zulässige Risiko detaillierter Prüfungshandlungen er-mitteln kann, muss er – bezogen auf einzelne Aussagen im Abschluss – zunächst das inhärente Risiko und das Kontrollrisiko beurteilen. Weil zwischen den beiden Risiken ein enger Zusammenhang besteht – so reagiert schliesslich die Unternehmensleitung mit der Einrichtung von ICoFR auf die wahrgenommenen inhärenten Risiken –, ist es angebracht, eine kombinierte Einschätzung der Risiken vorzunehmen.234

Zunächst hat sich der Abschlussprüfer ein Verständnis über ICoFR anzueignen, das hinreicht, um die dem jeweiligen Prüffeld innewohnenden Risiken zu erkennen, das diesbezügliche Kontrollrisiko abzuwägen und die zur Minimierung des Prüfungsrisi-kos erforderlichen weiteren Prüfungshandlungen planen zu können.235

In einem weiteren Schritt hat der Prüfer sog. Aufbauprüfungen236 durchzuführen, bei welcher er mittels Einzelfallprüfungen die konkrete Ausgestaltung von ICoFR zu beur-teilen hat. Dabei wird üblicherweise auf das COSO-Framework Bezug genommen. Die Untersuchung, inwieweit ICoFR geeignet ist, wesentliche Fehlaussagen zu verhüten, entdecken oder rechtzeitig zu berichtigen, führt zu einer Vorentscheidung darüber, in welchem Umfang man sich bei der nachfolgenden Prüfung auf die Zuverlässigkeit von ICoFR verlassen kann, und beeinflusst Art, Zeitpunkt und Umfang der Prüfungshand-lungen.237 Sollte bei der Aufbauprüfung festgestellt werden, dass ICoFR inadäquat konzipiert ist, wird das Kontrollrisiko als hoch eingeschätzt und ist zur Sicherstellung der Ordnungsmässigkeit der Rechnungslegung eine Ausweitung der ergebnisbezoge-nen Prüfungshandlungen vorzunehmen; die Durchführung der im nächsten Absatz be-

233 Vgl. für eine beispielhafte Berechnung Simon-Heckroth (1997), S. 68 ff. 234 Vgl. Göbel (1997), S. 47. Vgl. z.B. IAASB (2004), ISA 200, para. 21, in Verbindung mit ISA 315. 235 Vgl. Pfitzer/Schmidt (2002), Sp. 2338 f. Vgl. z.B. IAASB (2004), ISA 315, para. 41, und ISA 330 in

Verbindung mit ISA 200. Zur Erlangung von Kenntnissen über ICoFR kann der Prüfer einige (systemty-pische) Transaktionen auswählen und durch das ganze System hindurch verfolgen (Wurzelstichproben); vgl. Treuhand-Kammer (2004), PS 400, para. 15.

236 Vgl. im folgenden Pfitzer/Schmidt (2002), Sp. 2339 f. 237 Vgl. Simon-Heckroth (1997), Abb. 3.

2. Kapitel: Section 404

57

schriebenen Funktionsprüfungen ist dann nicht erforderlich. Fällt das Urteil über die ICoFR-Konzeption jedoch positiv aus, wird man – unter der Voraussetzung, dass I-CoFR auch als funktionstüchtig eingestuft wird – die Anzahl von ergebnisbezogenen Prüfungshandlungen entsprechend verringern können.

Die im Anschluss an die Aufbauprüfungen zu verrichtenden Funktionsprüfungen238 sind auf die prüfungsrelevanten Kontrollrisiken auszurichten und dienen der Erlan-gung von Prüfungsnachweisen über die Funktionsfähigkeit von ICoFR. Grundsätzlich gilt, dass je geringer das vermutete Kontrollrisiko ist, desto mehr Prüfungsnachweise der Abschlussprüfer erbringen muss.239 Die mittels Einzelfallprüfungen und analyti-schen Prüfungshandlungen gewonnenen Ergebnisse können eine Korrektur des nach Beendigung der Aufbauprüfungen gebildeten Urteils über das Kontrollrisiko bedingen und folglich eine Überarbeitung der Prüfplanung erforderlich machen.

2.3.4.1.3 Grenzen

Bei der Betrachtung von ICoFR im Rahmen des risikoorientierten Ansatzes handelt es sich um eine indirekte Prüfung.240 Eine solche ist dadurch gekennzeichnet, dass Ab-weichungen nicht durch Vergleich des Prüfgegenstandes mit einem entsprechenden Sollobjekt ermittelt werden, sondern durch die Prüfung eines Ersatztatbestandes.241 Dazu wird eine Beziehung zwischen denkbaren Ausprägungen dieses Ersatztatbe-stands und den zugehörigen Ausprägungen des Prüfobjektes konstruiert – bspw. in Form einer Gesetzmässigkeit, gemäss welcher der Prüfgegenstand ordnungsgemäss ist, wenn der Ersatztatbestand eine bestimmte Ausprägung aufweist. Stellt man nun bei der Prüfung ebendiese Ausprägung fest, ist die Folgerung erlaubt, dass der Prüfge-genstand ordnungsgemäss ist. Weil hierbei keine Unschärfen auftreten, ist diese Form der Prüfung idealtypisch.

Aufgrund der spezifischen Eigenschaften von ICoFR ist jedoch bei einer realen Prü-fung mit Unschärfen zu rechnen. Derlei Unschärfen können sowohl hinsichtlich der Bestimmung der Gesetzmässigkeiten als auch bei der eigentlichen Beurteilung der Er-

238 Vgl. im folgenden Pfitzer/Schmidt (2002), Sp. 2340 f. Aufbauprüfungen und Funktionsprüfungen fallen

unter die Kategorie der verfahrensorientierten Prüfungshandlungen. Vgl. zu deren Organisation und Durchführung Pfitzer/Schmidt (2002), Sp. 2345 ff.

239 Vgl. Treuhand-Kammer (2004), PS 400, para. 27. 240 Vgl. Dörner (2002), Sp. 2337. 241 Vgl. hierzu und im folgenden Göbel (1997), S. 44.

2. Kapitel: Section 404

58

satztatbestände auftreten – das gilt insbesondere für ICoFR mit Präventivwirkung242. So kann schon aufgrund der Tatsache, dass funktionierende ICoFR keine notwendige Voraussetzung für die Ordnungsmässigkeit der Rechnungslegung ist, bei festgestellten ICoFR-Schwächen nicht auf Fehlerhaftigkeit des eigentlichen Prüfobjekts geschlossen werden. Anderseits kann allein aufgrund der störfreien Ausprägung des Ersatztatbe-stands – der inhärenten Schwächen wegen – nicht die ordnungsgemässe Verarbeitung des eigentlichen Geschäftsvorfalls als gegeben betrachtet werden. Diese Besonderhei-ten machen die Ergebnisse der ICoFR-Prüfung schwierig interpretierbar243.

Über diese Komplikationen bei der Definition der Gesetzmässigkeiten hinaus ist die ICoFR-Beurteilung selbst mit Problemen verbunden, die entweder die Wirksamkeit oder die Effizienz der Abschlussprüfung negativ beeinflussen244:

• Da ICoFR definitionsgemäss in die Prozesse des Rechnungswesens integriert ist,245 ist schon ihre Identifizierung bzw. ihre gedankliche Separierung aus den realen Prozessen anspruchsvoll.246

• Hinzu kommen Herausforderungen bei der eigentlichen Bewertung der Qualität von ICoFR, die nicht einfach eine Funktion der Menge von Kontrollen ist.247 Ob und wie Kontrollen von den Mitarbeitern befolgt werden, ist häufig nicht exakt festzustellen – bei vielen Kontrollvorgängen wird zwar vorgeschrieben, die Kontrolle durch Kontrollzeichen seitens der zuständigen Mitarbeiter zu doku-mentieren, doch garantiert weder ein vorhandenes Kontrollzeichen die tatsächli-che Durchführung der Kontrolle, noch beweist ein fehlendes Kontrollzeichen deren Abwesenheit.248

• Auch ist es dem Abschlussprüfer kaum möglich, zwischen beabsichtigten und unbeabsichtigten Fehlern zu unterscheiden.249

242 Vgl. Hömberg (2002), Sp. 1235. 243 Vgl. ebd., Sp. 1235. 244 Vgl. Treuhand-Kammer (2004), PS 530, para. 7. 245 Siehe Abschnitt 2.3.3.1.1. 246 Vgl. Göbel (1997), S. 47. 247 Vgl. Cunningham (2003), S. 35. 248 Vgl. Hömberg (2002), Sp. 1236. 249 Vgl. Cunningham (2003), S. 34.

2. Kapitel: Section 404

59

• Zudem besteht auch bei den verfahrensorientierten Prüfungshandlungen ein Stichprobenrisiko.250

In Abschnitt 2.3.4.1.1 wurde gezeigt, dass der Grad, in dem mittels verfahrensorien-tierter Prüfungshandlungen die Wirksamkeit von ICoFR bewiesen werden kann, in umgekehrter Relation zum Umfang der in der Folge durchzuführenden ergebnisbezo-genen Prüfungshandlungen251 steht: Je verlässlicher ICoFR erscheint und je schwächer somit das Kontrollrisiko eingestuft wird, desto weniger Nachweise muss der Ab-schlussprüfer mit Hilfe (ergebnisbezogener) Einzelfallprüfungen bzw. analytischer Prüfungshandlungen erbringen. Weil die verfahrensorientierten Prüfungshandlungen also zur Substitution einer Vielzahl von (gewöhnlich arbeitsaufwendigen) Prüfarbeiten führen können, gelten sie als wirtschaftlich.252 Stellt sich ICoFR jedoch als unwirksam heraus, darf nicht mit positiven Effizienzeffekten gerechnet werden.253 Aufgrund der inhärenten Mängel jeglicher ICoFR kann das Kontrollrisiko nicht als inexistent be-trachtet werden, was wiederum bedeutet, dass verfahrensorientierte Prüfungshandlun-gen ergebnisorientierte Prüfungshandlungen niemals vollständig ersetzen, sondern le-diglich ergänzend zu diesen vorgenommen werden können.254 Weil deren Beitrag zur Prüfurteilsabsicherung nicht als begrenzt gilt,255 werden gerade in den wesentlichen Prüffeldern immer (auch) ergebnisorientierte Prüfungshandlungen durchgeführt.256

2.3.4.2 Ausgewählte empirische Ergebnisse Vorzustellen sind im folgenden die Ergebnisse verschiedener Studien, in denen die Effektivität der ICoFR-Beurteilungen durch den Abschlussprüfer sowie der Einfluss

250 Vgl. ebd., S. 36, und Pfitzer/Schmidt (2002), Sp. 2343. Das Stichprobenrisiko bezeichnet die Möglich-

keit, dass die stichprobenbasierte Folgerung des Abschlussprüfers von derjenigen abweicht, zu der er ge-länge, wenn er die Grundgesamtheit einbezogen hätte. Vgl. Treuhand-Kammer (2004), PS 530, para. 7.

251 Ergebnisorientierte Prüfungshandlungen sind Prüfungshandlungen, mittels derer Prüfungsnachweise zur Aufdeckung wesentlicher Fehlaussagen im Abschluss erlangt werden. Sie können in Einzelfallprüfungen, die auf Basis von Stichproben vorgenommen werden, und analytische Prüfungshandlungen, die auf Plau-sibilitätsbeurteilungen beruhen, unterschieden werden. Vgl. Treuhand-Kammer (2004), S. XIV.

252 Vgl. Pfitzer/Schmidt (2002), Sp. 2337. 253 Vgl. Hömberg (2002), Sp. 1233 f., und Wanik (1992), Sp. 903. 254 Vgl. Pfitzer/Schmidt (2002), Sp. 2337 und 2342. 255 Dörner (2002), Sp. 1757 ff., zufolge weisen verfahrensorientierte Prüfungshandlungen zwar eine höhere

Sicherheitsintensität (definiert als Sicherheitsgewinn je Prüfzeiteinheit) als ergebnisbezogene Einzelfall-prüfungen auf, haben aber im Gegensatz zu letzteren einen begrenzten Sicherheitsbeitrag (definiert als Beitrag zur Urteilsabsicherung). Mit anderen Worten: Anders als mit verfahrensorientierten Prüfungs-handlungen ist es möglich, eine Prüfung ausschliesslich mit ergebnisorientierten Prüfungshandlungen zu bestreiten.

256 Vgl. Cunningham (2003), S. 38, und Pfitzer/Schmidt (2002), Sp. 2337.

2. Kapitel: Section 404

60

seines Urteils über ICoFR auf die Prüfungsplanung untersucht wurden. (Abschnitte 2.3.4.2.1 und 2.3.4.2.2) Einige aus der Erörterung des risikoorientierten Prüfansatzes hervorgegangenen Grenzen werden schliesslich anhand der von Arthur Andersen bei WorldCom angewendeten Prüfmethode illustriert. (Abschnitt 2.3.4.2.3)

2.3.4.2.1 Studien über die Beurteilung von ICoFR

Waggoner (1990) untersuchte in einem Laborexperiment das Ausmass, in dem Prüfer bei verfahrensorientierten Prüfungshandlungen Abweichungen von Kontrollvorschrif-ten nicht zu entdecken vermögen (sog. nicht-stichprobenbasierter Fehler). Die durch-schnittliche Aufdeckungsrate der teilnehmenden Prüfer, deren Aufgabe darin bestand, unterschiedlich geartete Kontrollschwächen im Zahlungsausgangsprozess aufzuspüren, lag bei unter 60% und würde bei wiederholter Durchführung des Experiments 65% nicht überschreiten.257 Das nicht-stichprobenbasierte Risiko kann somit als nicht uner-heblich eingestuft werden. Sollte es jedoch vom Prüfer als unbedeutend abgetan wer-den, hätte dies zur Folge, dass das vom Prüfer ausgesprochene Urteil über das Kon-trollrisiko zu positiv ausfällt bzw. dass das zulässige Entdeckungsrisiko für zu hoch angenommen und also der Umfang an ergebnisorientierten Prüfungshandlungen unge-rechtfertigt eingeschränkt wird.258 Darf hingegen angenommen werden, dass der Prüfer sich der Unzulänglichkeit seines Urteils bewusst ist, wird er von sich aus das Kontroll-risiko hoch einstufen bzw. sich erst gar nicht auf ICoFR verlassen (siehe auch Ab-schnitt 2.3.4.2.2).

Trotman/Wood (1991) unternahmen eine Metaanalyse vorangegangener Studien259 über die ICoFR-Beurteilungen von Prüfern. Sie stellten eine hohe Übereinstimmung in den Prüfurteilen hinsichtlich der Wirksamkeit von ICoFR fest und konnten keinen signifikanten Einfluss der ICoFR-Komplexität auf den Konsens zwischen den Prüfern ausmachen. Vor dem Hintergrund dieser Beobachtung gewinnen die Ergebnisse von Waggoner (1990) an Bedeutung.

257 Da die von den Untersuchungsteilnehmern im Rahmen des Experiments vorgenommenen Prüfhandlungen

regelmässig auch in Unternehmen als natürlicher Bestandteil von ICoFR durchgeführt würden, bestätigt dieses Ergebnis nach Ansicht von Waggoner zugleich die Anfälligkeit von ICoFR auf menschliches Ver-sagen.

258 Vgl. Waggoner (1990), Tab. 1. 259 Vgl. für eine Übersicht Trotman/Wood (1991), Tab. 1.

2. Kapitel: Section 404

61

2.3.4.2.2 Studien zum Einfluss des Kontrollrisikos auf die Prüfungshandlungen

Mehrere Studien260 über den Einfluss des Kontrollrisikos auf Art, Umfang und Durch-führung der Prüfungshandlungen zeigten lediglich einen schwachen Zusammenhang zwischen Prüfplan und Kontrollrisiko auf. So befand Bédard (1989) in ihrer Untersu-chung der Anpassungen von Prüfplänen, dass zwar die ICoFR-Qualität als die häufigs-te Ursache für Änderungen der Prüfungshandlungen genannt wurde. Während aber eine hohe Qualität oftmals Reduktionen des Prüfumfangs zur Folge hatte, hat eine schwache Qualität von ICoFR in keinem Fall eine Ausweitung der Prüfhandlungen – seien es erweiterte Prüfumfänge oder zusätzliche Tests – ausgelöst.261

Auch Mock/Wright (1999) konnten nur eine schwache Beziehung zwischen Risikoaus-prägung und geplanten Prüfhandlungen feststellen, weswegen sie Zweifel an der Ef-fektivität von Abschlussprüfungen äusserten. Als Erklärung für die schwache Berück-sichtigung von Prüfrisiken in den Prüfplänen vermuteten sie, dass Prüfer von ihren Prüffirmen dazu angehalten werden, standardisierte Prüfpläne anzuwenden, die – un-abhängig vom Mandanten – eine konsistente Prüfeffektivität gewähren; ebenfalls zu nennen seien die hohen kognitiven Herausforderungen, die mit einer risikoorientierten Prüfplanung verbunden seien, und der Preiswettbewerb zwischen den Prüffirmen.262

Waller (1993) gelangte zum Ergebnis, dass eben aufgrund von Effizienzüberlegungen der Abschlussprüfer sich in den meisten Fällen überhaupt nicht auf die Qualität von ICoFR verlasse: In über 80% der von ihm untersuchten Fälle wurde das Kontrollrisiko als maximal eingestuft.263

Die Resultate von O’Keefe et al. (1994) suggerieren einen starken Zusammenhang zwischen der Prüfarbeit und verschiedenen Eigenschaften von Mandanten, zu denen jedoch nicht das Kontrollrisiko gezählt werden könne. Während nachgewiesen wurde, dass sich ein höheres inhärentes Risiko in mehr Prüfstunden niederschlug, konnte für das Kontrollrisiko kein signifikanter Einfluss nachgewiesen werden.264

260 Vgl. für eine Übersicht Caster et al. (2000), S. 70 f., und Bédard (1999). 261 Vgl. Bédard (1989), Tab. 3. 262 Vgl. Mock/Wright (1999), S. 69 ff. 263 Vgl. Waller (1993), Tab. 2 und 3. 264 Zit. in Mock/Wright (1999), S. 57.

2. Kapitel: Section 404

62

2.3.4.2.3 Beispiel: WorldCom

Schon Ende der 1990er Jahre kamen Zweifel an der Effektivität risikoorientierter Prüfansätze auf. So erklärte der damalige Chief Accountant der SEC, L.E. Turner, an-lässlich der Anhörungen vor dem „Panel on Audit Effectiveness“265:

“Keep in mind that top management is the very group responsible for ensuring the ade-quacy of the control environment. The irony of today’s audit process is that significant audit assurance is derived from internal controls; however, the very group of individuals charged with ensuring the effectiveness of internal controls is responsible for commit-ting fraud. The […] recent enforcement cases raise questions about whether an audit model that allows the auditor to de-emphasize or eliminate specific types of audit pro-cedures, for example use of external confirmations or observation of assets, is in the best interest of investors.”266

Wie berechtigt die seinerzeit geäusserten Bedenken waren, zeigte sich wenige Jahre später am Fall von WorldCom267, deren Prüfgesellschaft Arthur Andersen einen strikt risikoorientierten Ansatz verfolgte.268 Dieser sah vor, dass in einem ersten Schritt rele-vante Risiken identifiziert wurden. Anschliessend war zu beurteilen, ob die Qualität der eingerichteten ICoFR ausreichte, die fraglichen Risiken auf ein erträgliches Mass zu reduzieren. Zu diesem Zweck seien im wesentlichen die entsprechenden Richtlinien durchzusehen und mit den verantwortlichen Mitarbeitern zu besprechen. Dann hatte man in beschränktem Umfang Stichprobenprüfungen vorzunehmen, um herauszufin-den, ob die fraglichen Bestimmungen auch tatsächlich befolgt werden. In solchen Be-

265 Siehe Fn 94. 266 Vgl. Turner (1999); teilweise zit. in Beresford et al. (2003), S. 227 f. 267 Das damals zweitgrösste US-amerikanische Telekommunikationsunternehmen kündigte am 25. Juni 2002

eine rückwirkende Korrektur des Jahresergebnisses 2001 und des ersten Quartals 2002 an. Diese sei not-wendig geworden, weil man in besagtem Zeitraum fälschlicherweise Netzbetreibern zu entrichtende Zu-gangsgebühren (sog. „line costs“) in Höhe von insgesamt 3.8 Mrd. USD kapitalisiert habe. Vier Wochen später begab sich das Unternehmen in den Gläubigerschutz und eröffnete, dass weitere Unstimmigkeiten bei der Verbuchung von „line costs“ in den Vorjahren festgestellt worden seien – diese beliefen sich auf insgesamt 3.5 Mrd. USD. Wie sich herausstellte, hatte WorldCom angesichts des nachlassenden Ge-schäftsgangs und aus Sorge vor Kurseinbrüchen schon zwei Jahre zuvor mit dem Verbuchen von „line costs“ gegen verschiedene Reserven begonnen; später ging man dazu über, die „line costs“ direkt auf ein-zelne Aktivposten aufzuteilen. Buchungen fiktiver Umsätze in Höhe von annähernd 1 Mrd. USD sowie weitere Falschbuchungen in den Jahren 1999 bis 2002 führten zu Manipulationen des operativen Ein-kommens, deren Summe 9.3 Mrd. USD betrug. Veranlasst wurden die Falschbuchungen vom Senior Ma-nagement, durchgeführt wurden sie von Buchhaltern, die gemeinsam mit ihren Vorgesetzten in den Be-trug eingeweiht waren. Vgl. Beresford et al. (2003) und SEC (2003), S. 34 f.; siehe auch die Literaturan-gaben in Fn 58.

268 Vgl. hierzu und im folgenden Beresford et al. (2003), S. 225 ff.

2. Kapitel: Section 404

63

reichen, in denen keine Risiken erkannt wurden, nahm Arthur Andersen keinerlei Prüfhandlungen vor. – Beanstandet wurde an dieser Prüfmethodik:

• die kontinuierliche, trotz gegenteiliger Anzeichen aufrechterhaltene Unterschät-zung des Risikos, dass das Senior Management deliktische Handlungen begehen könnte und, infolgedessen, das ungebührende Vertrauen, das in die vom Senior Management bereitgestellten Informationen gesetzt wurde;

• die ausbleibende Kontaktierung von Mitarbeitern, die in Schlüsselpositionen tä-tig waren und deren Ansichten üblicherweise von Revisoren erfragt werden, so-wie der internen Revision;

• die unzweckmässige Beschränkung auf die Suche nach unerklärten Abweichun-gen in den Abschlüssen als Mittel zur Identifizierung von Unregelmässigkeiten und, damit einhergehend, der gänzliche Verzicht auf die Vornahme ergebnisbe-zogener Prüfungshandlungen in wesentlichen Prüfgebieten.

2.3.4.3 Zusammenfassung Den obigen Ausführungen zur Betrachtung von ICoFR durch den Abschlussprüfer kann zusammenfassend entnommen werden:

• Der risikoorientierte Prüfungsansatz, wie er in der Theorie beschrieben wird, ist mit zahlreichen Problemen behaftet, die u.a. in der Natur von ICoFR begründet liegen und eine präzise Bewertung des Kontrollrisikos erschweren.

• Empirische Ergebnisse verdeutlichen die mit einer ICoFR-Prüfung verbundenen Schwierigkeiten. Insbesondere wurde ersichtlich, dass der Berufsstand bei der Planung der Prüfungshandlungen der Höhe des ermittelten Kontrollrisikos nur geringfügige Beachtung schenkt – wenn überhaupt das Kontrollrisiko zu Anpas-sungen der Prüfpläne führt, dann nur zu Reduktionen des Prüfumfangs. Die Durchführung einer ICoFR-Prüfung verspricht also eher einen positiven Effekt auf die Effizienz der Abschlussprüfung als auf deren Effektivität.

• Daher sind erhebliche Zweifel daran angebracht, ob die Integration einer ICoFR-Prüfung in die Abschlussprüfung, wie es Section 404(b) verlangt, zu einer ver-besserten Wirksamkeit letzterer führt.

2. Kapitel: Section 404

64

2.3.5 Erkenntnisse zum Zusammenhang zwischen einer Be-richterstattung über ICoFR und dem Anlegervertrauen

Wie bei der Analyse der Zielsetzung des Gesetzgebers gezeigt wurde, soll die Bericht-erstattung über ICoFR dem ultimativen Ziel der Rückgewinnung des Anlegervertrau-ens dienen. Unter Hinzuziehung der Prinzipal-Agenten-Theorie ist zunächst zu erklä-ren, weswegen Informationsinstrumente wie ICoFR-Berichte überhaupt von Bedeu-tung für die Beziehung zwischen Management und Kapitalgeber sein können. (Ab-schnitt 2.3.5.1) Anschliessend ist mit Blick auf vereinzelte empirische Studien zu prü-fen, ob tatsächlich davon auszugehen ist, dass Section 404 den erhofften Beitrag zu einer Steigerung des Anlegervertrauens leisten kann. (Abschnitt 2.3.5.2)

2.3.5.1 Prinzipal-Agenten-Theorie Das Verhältnis von Kapitalgeber zu Management wird in der Literatur als Beispiel für eine Auftragsbeziehung zwischen einem Prinzipal (dem Kapitalgeber) und einem Agenten (dem Management) genannt. Ihre Analyse ist Gegenstand der Prinzipal-Agenten-Theorie, deren Grundlagen nachstehend vorgestellt werden (Abschnitt 2.3.5.1.1), bevor auf die Rolle von Rechnungslegung und Prüfung hierin eingegangen wird (Abschnitt 2.3.5.1.2). Sodann ist zu untersuchen, welche Funktion eine ICoFR-Berichterstattung in einer Prinzipal-Agenten-Beziehung ausüben kann (Abschnitt 2.3.5.1.3).

2.3.5.1.1 Grundlagen

Typisch für die Auftragsbeziehungen zwischen einem Prinzipal und einem Agenten ist das Bestehen von Interessenkonflikten.269 Zu einem Risiko aus Sicht des Prinzipals wird der Interessenkonflikt erst infolge des Informationsvorsprungs, den der Agent ihm gegenüber hat. Man spricht in diesem Zusammenhang von einer asymmetrischen Informationsverteilung, die als das eigentliche Kernproblem in der Prinzipal-Agenten-Theorie gilt.270 Sie kann in verschiedenen Arten auftreten, die sich grob in die beiden Kategorien „hidden action“ und „hidden information“ unterteilen lassen.271 Welcher

269 Während etwa die Kapitalgeber als Prinzipale v.a. an einer hohen Verzinsung des von ihnen eingesetzten

Kapitals interessiert sind, verfolgt das Management als Agent mitunter davon abweichende Ziele und verwendet die Unternehmensressourcen etwa für Ausgaben, die ausschliesslich den eigenen Nutzen erhö-hen. Vgl. Hartmann-Wendels (1991), S. 140.

270 Vgl. ebd., S. 190. 271 Vgl. Ewert (1990), S. 10. Bei „hidden action“ liegt ein sog. „moral hazard“-Problem vor, d.h. nach der

Einigung auf eine Kooperation ergreift der Agent Handlungsalternativen, die für den Prinzipal nicht be-

2. Kapitel: Section 404

65

Art die Probleme sind, die aus der asymmetrischen Informationsverteilung für die Prinzipal-Agenten-Beziehung entstehen können, hängt von der Art des Zahlungsan-spruchs ab, den der Prinzipal gegenüber dem Unternehmen hat: Unterschieden werden eigenfinanzierungsbedingte sowie fremdfinanzierungsbedingte Agenten-Probleme.272 Aufgrund der in dieser Arbeit vorgenommenen Fokussierung auf die Gruppe der Ei-genkapitalgeber273 interessieren hier ausschliesslich die erstgenannten Probleme. Sie können dann vorliegen, wenn der Agent nur mit einem bestimmten Prozentsatz am Eigenkapital des Unternehmens beteiligt ist und ein oder mehrere (unternehmensex-terne) Prinzipale die restlichen Unternehmensanteile besitzen. Nach der Kapitalbereit-stellung durch die Prinzipale nämlich hat der Agent die Möglichkeit, bspw. nichtpeku-niäre Vorteile zu konsumieren oder einen zu geringen Arbeitseinsatz zu leisten, d.h. auf Kosten der Prinzipale Aktionen vorzunehmen, die ausschliesslich ihm zum Vorteil gereichen.274

Verglichen mit dem (unbestimmbaren) Ergebnis, das in Abwesenheit von Interessen-konflikten erzielt werden würde, erleiden die Prinzipale Nutzenminderungen, die als „agency costs“ bezeichnet werden.275 Diese können etwa in einer Marktwertminderung ihrer Unternehmensanteile bestehen. Unter der Annahme, dass die Prinzipale sich rati-onal verhalten, werden sie das schädigende Verhalten des Agenten antizipieren und sich bspw. in Form eines niedrigeren Kaufpreises gegen einen Wertverfall schützen – die „agency costs“ hat dann der Agent selbst zu tragen.276

Grundsätzlich liegt es an derjenigen Partei, Massnahmen zur Entschärfung der Agen-cy-Problematik zu ergreifen, die (am stärksten) von den Nutzeneinbussen betroffen

obachtbar sind und die dessen Interessen widerlaufen. Während zum Zeitpunkt des Vertragsabschlusses noch von einer symmetrischen Informationsverteilung zwischen Prinzipal und Agent ausgegangen wer-den kann – der Prinzipal wird sich das zukünftige Verhalten des Managements durchaus vorstellen kön-nen –, kommt die asymmetrische Informationsverteilung erst ex post aufgrund von Beobachtbarkeitsprob-lemen zustande. Anders verhält es sich bei Situationen, in denen „hidden information“ vorliegt. Dort ist der ungleiche Informationsstand schon zu Beginn der Kooperation gegeben – der Agent enthält dem Prin-zipal Informationen über seine Handlungsmöglichkeiten und deren Risiken vor, wenngleich der Prinzipal wiederum eine Idee davon haben wird, welcher Art der Wissensvorsprung des besser informierten Agen-ten ist.

272 Vgl. Ewert (1990), S. 23 ff. 273 Dies weil der SOA zwecks Verbesserung des Investorenschutzes erlassen wurde. Siehe Fn 21. 274 Vgl. Ewert/Stefani (2001), S. 151 f. 275 Vgl. Jost (2001), S. 23. 276 Vgl. Ewert/Stefani (2001), S. 152.

2. Kapitel: Section 404

66

ist:277 Für den Agenten aber ist es nicht ohne weiteres möglich, den Prinzipalen ex ante glaubhaft zu versichern, von individuell vorteilhaften Massnahmen abzulassen: Weder würde eine einfache „Verzichterklärung“ genügen, noch wäre es – aufgrund der damit verbundenen Kosten sowie wegen Beobachtbarkeitsproblemen – unmöglich, zum Zeitpunkt der Kapitalaufnahme einen Vertrag zu formulieren, in dem das künftige Verhalten des Agenten detailliert geregelt wäre.278 Als Ausweg bietet sich an, dem Prinzipal am Periodenende glaubhafte Informationen über die vom Agenten gewählten Handlungsalternativen zu präsentieren.279 Hierbei kommt der Rechnungslegung und der Abschlussprüfung eine wichtige Rolle zu.

2.3.5.1.2 Funktionen von Rechnungslegung und Abschlussprüfung

Der Rechnungslegung werden in Prinzipal-Agenten-Beziehungen die folgenden Funk-tionen zugesprochen:280

• Als Informations- und Kontrollinstrument verringert die Rechnungslegung den Informationsvorsprung des Agenten, indem sie die durch diesen vollzogene Mit-telverwendung wertmässig ausdrückt. Sie enthüllt den Prinzipalen indirekt, ob der Agent auf ihre Kosten von der marktwertmaximalen Unternehmenspolitik abgewichen ist. Auch befähigt sie gegenwärtige und potentielle Kapitalgeber zu einer besseren Abschätzung der Folgen einer Unternehmensbeteiligung.281

• Sie dient als Basis für Kompetenzabgrenzungen zwischen Agent und Prinzipal. Insbesondere grenzt sie die Mittelverwendungskompetenz der Unternehmenslei-tung ein, etwa in bezug auf die Ausschüttungsbemessungsfunktion.

• Sie stellt die Bemessungsgrundlagen für ein Anreizsystem dar, mit dessen Hilfe der Prinzipal die Aktivitäten des Agenten mit seinen eigenen Interessen in Ein-klang bringen kann.

277 Unter „Monitoring“ werden solche Überwachungsvorgänge zusammengefasst, die von den Prinzipalen

zur Kontrolle der durchgeführten Unternehmenspolitik ausgeübt werden. „Bonding“ hingegen bezeichnet Aktivitäten der Selbstbeschränkung, für welche die Agenten verantwortlich zeichnen. Vgl. Hartmann-Wendels (1991), S. 13 f., und Ewert (1990), S. 30 f.

278 Vgl. Ewert/ Stefani (2001), S. 153. 279 Vgl. ebd., S. 153. 280 Vgl. zu den folgenden Ausführungen Elschen (1998), S. 558 f. 281 Vgl. Ewert (1990), S. 1.

2. Kapitel: Section 404

67

Wird die Rechnungslegung durch den Agenten erstellt, besteht allerdings keine Ge-währ dafür, dass das abgebildete Zahlenwerk der Realität entspricht, da die Interessen-konflikte und die Informations- und Beobachtbarkeitsprobleme nach wie vor Bestand haben.282 Die (rationalen) Prinzipale würden also allein wegen des Vorliegens von Un-ternehmensabschlüssen noch nicht von ihrer skeptischen Grundhaltung gegenüber dem Agenten abrücken, die „agency costs“ würden nicht wesentlich verringert werden. Hieraus erwächst nun der – vom Agenten ausgehende – Bedarf nach einer unabhängi-gen Prüfung der Rechnungslegung,283 mit welcher der Agent freiwillig und nachweis-lich seinen Handlungsspielraum einschränkt.284 Vertrauen die Prinzipale bereits im Vorfeld auf die Verifikationsfunktion der Prüfung, wird schon zum Zeitpunkt der Ka-pitalbereitstellung die vom Agenten angestrebte Reduktion der „agency costs“ er-reicht.285

Auf einem unregulierten Kapitalmarkt basiert die Entscheidung des Agenten, freiwil-lig zu publizieren, auf einer Abwägung von Kosten und Nutzen der (Nicht-) Bekannt-gabe von Informationen.286 Gleiches lässt sich für die Vornahme einer Prüfung sagen, die er nur dann veranlassen wird, wenn die zu erwartende Verringerung der „agency costs“ – etwa: Reduktion der Kapitalkosten – die mit der Prüfung verbundenen Kosten übersteigt.287

2.3.5.1.3 Implikationen für eine Berichterstattung über ICoFR

In einer Prinzipal-Agenten-Beziehung kann eine wie von Section 404 geforderte Be-richterstattung über die Wirksamkeit von ICoFR zur Verstärkung der oben genannten Informations- und Kontrollfunktionen beitragen, indem nämlich den Kapitalgebern zusätzliche Hinweise bezüglich Vollständigkeit und Glaubwürdigkeit der vom Mana-gement dargelegten Rechnungslegungsinformationen vermittelt werden. Gelingt es dem Agenten, die Informationsunsicherheit der Prinzipale zu senken, kann er von um

282 Vgl. Ewert (1990), S. 2 und S. 32. 283 Über die unmittelbare Verifizierung in Form der Abschlussprüfung hinaus benennen Ewert/Wagenhofer

(2000), S. 49, andere Instrumente, die den Finanzinformationen eine gewisse Glaubwürdigkeit vermitteln. 284 Vgl. Ewert/Stefani (2001), S. 154. Die Abschlussprüfung kann somit als ein Instrument des „Bonding“

interpretiert werden; siehe Fn 277. 285 Vgl. ebd., S. 153. 286 Vgl. Ewert/Wagenhofer (2000), S. 37, und die dort aufgeführte Literatur. 287 Vgl. Ewert (1990), S. 34, und Elschen (1998), S. 558.

2. Kapitel: Section 404

68

den Risikozuschlag verminderten Kapitalkosten profitieren.288 Dabei ist davon auszu-gehen, dass der erwartete Nutzen umso höher sein wird, je besser die fraglichen In-formationen die Unsicherheit der Berichtsempfänger zu verringern vermögen. Wie gut dies gelingt, dürfte neben anderem davon abhängen, ob und, falls ja, in welchem Aus-mass der Agent den Prinzipalen bereits Signale zwecks Sicherstellung seiner Glaub-würdigkeit übermittelt (hat).

Ähnlich wie bei der Abschlussprüfung kommt es auch bei der Entscheidung über eine ICoFR- Berichterstattung darauf an, wie der Agent den Nutzen eines solchen (zusätzli-chen) Instruments zur Sicherstellung der Glaubwürdigkeit beurteilt. Freiwillig wird er sich nur dann für eine Berichterstattung über ICoFR entscheiden, wenn der zu erwar-tende Nutzen in Form von reduzierten Kapitalkosten die Implementierungskosten ü-bersteigt.

2.3.5.2 Ausgewählte empirische Ergebnisse Die bereits angesprochenen Studien289 über eine freiwillige ICoFR-Berichterstattung zeigten, dass Unternehmen zwar Managementberichte über ICoFR veröffentlichten, dass sie in der Regel aber kaum je präzise Aussagen zur Wirksamkeit von ICoFR machten und noch öfter auf eine regelkonforme Prüfung derselben verzichteten. Die-ses Verhalten deutet darauf hin, dass die Unternehmen den aus einer solchen Bericht-erstattung resultierenden Nutzen nicht höher als die mit einer ICoFR-Prüfung verbun-denen Kosten einschätzten. Für die hier zu beurteilende Frage, ob mit ICoFR-Berichten eine Steigerung des Anlegervertrauens erzielt werden kann, kann den Er-gebnissen jener Studien nur entnommen werden, dass die Publizitätskosten höher als der erwartete -nutzen sind, nicht aber, ob überhaupt ein Nutzen seitens der Kapitalge-ber wahrgenommen wird und, falls ja, wie hoch dieser ist. Um dies herauszufinden, sollen nachstehend solche Studien vorgestellt werden, welche die Nachfrage nach ICoFR-Berichten behandeln. (Abschnitt 2.3.5.2.1) Ineffektiv, allenfalls sogar kontra-produktiv, wäre eine Berichterstattung, wenn Berichtsadressaten sie nicht verstün-den.290 In Abschnitt 2.3.5.2.2 werden daher solche Arbeiten betrachtet, in denen auf die Interpretation der Berichte durch die Berichtsadressaten eingegangen wird.

288 Vgl. Elschen (1998), S. 558. Vgl. zum Zusammenhang zwischen Publizität und Kapitalkosten

Ewert/Wagenhofer (2000), S. 38 ff. 289 Siehe Abschnitt 2.1.1.1. 290 Die Gefahr der Fehlinterpretationen von ICoFR-Berichten wurde in Abschnitt 2.3.2 angesprochen.

2. Kapitel: Section 404

69

2.3.5.2.1 Studien zur Nachfrage nach einer Berichterstattung

Zwecks Analyse der Erwartungslücke291 suchte Porter (1993) zu bestimmen, wie ver-schiedene Interessengruppen292 die Qualität der Prüfarbeit beurteilen, welche Aufga-ben der Abschlussprüfer zusätzlich zu den bereits festgeschriebenen übernehmen solle und welche der erwünschten Leistungen vernünftigerweise verlangt werden können. Drei Viertel der als Nutzniesser der Prüfung befragten Analysten und Investoren spra-chen sich für eine Prüfung von und eine Berichterstattung über ICoFR durch den Ab-schlussprüfer aus.293 Weil die Bedingung der Kostengünstigkeit als erfüllt erachtet werden kann,294 dürfe das Prüfen von und das Berichten über ICoFR als geeignetes Mittel zur Reduktion der Erwartungslücke betrachtet werden.295 – Nun lässt sich aller-dings leicht darlegen, dass eine Berichterstattung über ICoFR ohne eine vorherige Prü-fung ebendieser keinen Sinn machte, dass aber anderseits – die Ergebnisse von McEn-roe/Martens (2001) zeigen es296 – eine Prüfung von ICoFR ohne eine entsprechende Berichterstattung durchaus denkbar wäre. Porter (1993) aber trennt diese beiden Auf-gaben nicht, so dass bedauerlicherweise unklar bleibt, ob die von Porter befragte Öf-fentlichkeit, als sie sich für diese (kombinierte) Prüfdienstleistung aussprach, tatsäch-lich auch an einer Berichterstattung interessiert war oder lediglich den Wunsch nach einer Prüfung von ICoFR zum Ausdruck bringen wollte, aufgrund der von Porter ge-wählten Formulierung sich aber gezwungen sah, gleichzeitig für eine Berichterstattung zu plädieren.

291 Unterschieden wurden zwei Komponenten: (1) „Reasonableness gap“, definiert als die Lücke, die sich

zwischen den tatsächlichen Erwartungen der Öffentlichkeit und dem, was vernünftigerweise vom Ab-schlussprüfer erwartet werden kann, auftut; ob eine Leistung vernünftigerweise zu erbringen ist, hängt von ihrem spezifischen Kosten-Nutzen-Verhältnis ab. (2) „Performance gap“, verstanden als die Diskre-panz zwischen einer objektiv vertretbaren Erwartungshaltung der Öffentlichkeit und der Wahrnehmung der Prüfungsrealität. Vgl. Porter (1993), S. 50.

292 Porter unterschied zwischen Prüfern und Öffentlichkeit. Zur Öffentlichkeit zählten die folgenden Interes-sengruppen: 1) Geprüfte (etwa: Geschäftsleitungsmitglieder, Leiter Rechnungslegung); 2) Nutzniesser der Prüfung mit Finanzhintergrund (etwa: Finanzanalysten, institutionelle Investoren); 3) übrige Nutzniesser der Prüfung (etwa: allgemeine Öffentlichkeit, Journalisten).

293 Vgl. Porter (1993), Tab. 5. 294 Porter nahm an, dass die Eigenschaft der Kostengünstigkeit gegeben ist, sobald die Gruppe der Geprüften

und diejenige der Finanzgemeinde mehrheitlich für die Verpflichtung des Prüfers zu ebendieser Leistung plädierten. Vgl. ebd., S. 62.

295 Gleiches stellte Porter für sieben weitere, zum damaligen Zeitpunkt noch nicht obligatorische Prüfdienst-leistungen fest; vgl. ebd., Tab. 5. Ein Vergleich zeigt, dass nur eine einzige Prüfdienstleistung von (unwe-sentlich) mehr Befragten verlangt wurde als die Prüfung von und Berichterstattung über ICoFR, dass man also jener eine relativ hohe Wichtigkeit einräumte.

296 Siehe folgenden Absatz.

2. Kapitel: Section 404

70

Hermanson (2000) nahm eine detaillierte Untersuchung der Nachfrage nach MRIC vor.297 Bezogen auf eine Berichterstattung über ICoFR298 ergaben sich die folgenden Antwortmuster:299 Bejaht wurde, dass ein freiwilliger MRIC nützliche Informationen für externe Entscheidungsträger bereithalte (hier sind es die individuellen Investoren, die den höchsten Antwortwert auf sich vereinen) und einen wertvollen Beitrag zu wichtigen Entscheidungsfindungen leisten könne. Letzteres wird einem obligatori-schen MRIC übrigens nicht zugestanden, die Antworten hierauf fielen neutral aus. Insgesamt neutral waren die Antworten auch darauf, ob der den Berichtsempfängern zukommende Nutzen die mit einer (freiwilligen) Berichterstattung verbundenen Kos-ten übersteige. Abgelehnt wurde die These, dass (freiwillige) MRIC irrelevant seien, solange die Jahresabschlüsse geprüft werden. Käme es zu einer obligatorischen Be-richterstattung über ICoFR, wären sich die verschiedenen Gruppen in ihren Erwartun-gen an das Berichtsformat einig: So müsse der MRIC eine Beschreibung der inhären-ten Grenzen aufweisen, sich zur Wirksamkeit von ICoFR äussern, Bezug auf das COSO-Rahmenkonzept300 nehmen, standardisierten Text enthalten und zudem vom Abschlussprüfer zertifiziert werden – was letzten Punkt betrifft, so sind es übrigens die individuellen Investoren, die sich am stärksten für ein derartiges Erfordernis ausspre-chen.

McEnroe/Martens (2001) untersuchten die Existenz einer Erwartungslücke in bezug auf bestimmte Prüfdienstleistungen.301 Was ICoFR als Gegenstand der Prüfarbeit be-trifft, gelangten sie zum Schluss, dass sehr wohl eine Erwartungslücke zwischen In-

297 Als Datenbasis dienen ihm die Antwortschreiben von insgesamt 363 Personen, die sich acht verschiede-

nen Interessengruppen (Banker, Broker, Geschäftsleitungsmitglieder, Analysten, institutionelle Investo-ren, individuelle Investoren, Wirtschaftsprüfer, interne Revisoren) zuordnen lassen. Vgl. Hermanson (2000), Tab. 1.

298 Bei der Untersuchung der Nachfrage nach einer Berichterstattung differenziert Hermanson zwischen einer weiten Definition von Internal Control, wie sie das COSO festgeschrieben hat, und einer engen, allein auf die Finanzberichterstattung bezogenen Definition. Bei den hier interessierenden Fragen wurden keine signifikanten Unterschiede zwischen den Antworten, denen eine weite Definition zugrundelag, und jenen, die für eine enge Definition gegeben wurden, festgestellt. Deswegen wird im folgenden von „ICoFR“ ge-sprochen.

299 Vgl. Hermanson (2000), Tab. 2.2, Fragen 4, 6, 9, 13; sowie Tab. 2.3, Fragen 1–2, 5–7, 10. 300 Bemerkenswert ist die signifikant höhere Zustimmung, die es hierzu von den individuellen Investoren

gab, vor dem Hintergrund, dass die absolut geringsten Werte auf die Frage nach dem Wissen um das COSO-Rahmenkonzept erzielten; vgl. Hermanson (2000), Tab. 2.4, Frage 3.

301 Befragt wurden 117 Partner von US-Prüfgesellschaften sowie 147 individuelle Investoren nach ihren Ansichten über die vom Abschlussprüfer notwendigerweise zu erbringenden Leistungen, um ein uneinge-schränktes Prüfurteil abgeben zu können.

2. Kapitel: Section 404

71

vestoren und Prüfern bestehe:302 Denn während Investoren deutlich bejahten, dass der Prüfer keine uneingeschränkte Meinung abgeben dürfe, sofern er sich nicht von der Wirksamkeit von ICoFR überzeugen konnte,303 sprachen sich die Prüfer selbst gegen eine solche Voraussetzung für ein uneingeschränktes Urteil aus. Dieses Resultat bestä-tigt den Wunsch der Investoren nach einer Betrachtung von ICoFR durch den Ab-schlussprüfer. Ob der Prüfer darüber hinaus Näheres über die ICoFR seines Mandan-ten mitteilen solle, geht auf den ersten Blick hieraus nicht hervor, weil dieser Aspekt nicht explizit angesprochen wurde. Zu vermuten allerdings ist, dass die Investoren ei-ner Berichterstattung über ICoFR solange nicht bedürfen, wie sie die Gewissheit ha-ben, dass im Falle unwirksamer ICoFR der Prüfbericht nicht uneingeschränkt ausfallen kann.

O’Reilly-Allen/McMullen (2002) untersuchten, ob ein MRIC304 bzw. eine Beglaubi-gung des Managementberichts durch den Prüfer (ARIC)305 die Zuverlässigkeit der Ab-schlüsse, wie sie die Rechnungslegungsadressaten wahrnehmen, beeinflussen. Neben anderem stellten sie fest, dass die Veröffentlichung eines MRIC bzw. eines MRIC zu-sammen mit einem ARIC sich nicht auf die von den Nutzergruppen wahrgenommene Nützlichkeit der Abschlüsse für das Treffen von Investitionsentscheidungen nieder-schlägt. Als mögliche Erklärung vermuteten sie, dass die Inhalte des MRIC bzw. des ARIC als redundant (etwa zu den Aussagen der Unternehmensleitung im Abschluss bzw. zum Prüfurteil) empfunden wurden. O’Reilly-Allen/McMullen schlossen daraus, dass die Berichterstattung über ICoFR keinem Bedürfnis der Rechnungslegungsadres-saten entspricht.306

Whisenant et al. (2003) untersuchten den Informationsgehalt von „reportable events“, die im Falle eines Prüferwechsels zu veröffentlichen sind,307 mittels einer Analyse der

abnormalen Kursrenditen anhand von insgesamt 118 Fällen, die zwischen 1993 und 1996 eingetreten sind. Dabei trennten die Autoren zwischen sogenannten „internal

302 Vgl. McEnroe/Martens (2001), S. 355. 303 Vgl. ebd., Tab. 2, Punkt 7. 304 Der MRIC enthielt, gemäss SSAE No. 2, u.a. ein Bekenntnis des Managements zu seiner Verantwortung

für ICoFR sowie eine Aussage zur Wirksamkeit von ICoFR. Vgl. AICPA (1993), para. 4. 305 Als Muster verwendeten die Autoren eine unqualifizierte Meinung gemäss SSAE No. 2. Vgl. AICPA

(1993). 306 O’Reilly-Allen/McMullen (2002), S. 103: “These results may indicate that internal control reporting may

benefit a company from the standpoint that management is more aware of the effectiveness of controls but may not be in much demand from a financial statement user’s perspective.”

307 Siehe auch Abschnitt 2.1.1.1.

2. Kapitel: Section 404

72

control events“ und „reliability events“ – bei ersteren wurde das Fehlen wirksamer ICoFR bekanntgegeben, letztere bezeichneten die Bekanntgabe von Sachverhalten, welche die Zuverlässigkeit der Abschlüsse negativ beeinflussen können. Während nun „reliability events“ signifikant negative Kursrenditen zur Folge hatten, konnte für die (isolierte) Offenlegung von ICoFR-Schwächen keine signifikante Reaktion am Kapi-talmarkt festgestellt werden. Whisenant et al. schlossen hieraus, dass derlei Angaben aus Sicht von Investoren nicht informativ sind.308

Tab. 6, welche die besprochenen Ergebnisse zusammengefasst wiedergibt, kann ent-nommen werden, dass seitens der verschiedenen Rechnungslegungsadressaten Interes-se an unabhängiger Prüfung von ICoFR besteht sowie dass eine Nachfrage nach einer Berichterstattung eher nicht angenommen werden kann.

Studie Ergebnisse

Porter (1993) Eine Nachfrage nach unabhängiger Prüfung von ICoFR besteht. Unklar ist, ob auch eine Berichterstattung hierüber gewünscht wird.

Hermanson (2000) Ein freiwilliger MRIC könnte einen wertvollen Beitrag in der Entschei-dungsfindung leisten. Ein obligatorischer MRIC wird als weniger nütz-lich beurteilt und sollte vom Prüfer zertifiziert werden.

McEnroe/Martens (2001)

Investoren verlangen, dass der Prüfer sich vor Abgabe eines Prüfurteils über den Abschluss von der ICoFR-Wirksamkeit überzeugt.

O’Reilly-Allen/ McMullen (2002)

Weil das Vorliegen eines MRIC bzw. eines ARIC weder die Beurteilung der Nützlichkeit noch der Zuverlässigkeit der Abschlüsse beeinflusst, ist nicht anzunehmen, dass eine Nachfrage hiernach besteht.

Whisenant et al. (2003)

Die Bekanntgabe, dass wirksame ICoFR nicht existiert, ist für Investoren irrelevant.

Tab. 6: Ergebnisse zur Nachfrage nach einer Berichterstattung über ICoFR

2.3.5.2.2 Studien zur Berichtsinterpretation

Im Rahmen seiner Untersuchung der Nachfrage nach einer freiwilligen Berichterstat-tung über ICoFR testete Hermanson (2000) auch die Ansichten der Befragten bezüg-lich der Auswirkungen eines MRIC auf ICoFR und die Rechnungslegung.309 Wenn-gleich die Untersuchungsteilnehmer die Ansicht vertraten, dass pflichtbewusstes Ma-nagement auch ohne ein formales Berichterstattungserfordernis genügend motiviert

308 Vgl. Whisenant (2003), Tab. 2. Allerdings kann eine signifikante Reaktion für jene Fälle festgestellt wer-

den, in denen „internal control events“ gemeinsam mit „reliability events“ veröffentlicht wurden. 309 Vgl. Hermanson (2000), Tab. 2.2, Fragen 1–2, 7, 8, 10 und 12.

2. Kapitel: Section 404

73

sei, ICoFR zu überwachen,310 brachten sie die Erwartung zum Ausdruck, dass ein MRIC die Geschäftsleitungen zu Verbesserungen von ICoFR sowie Prüfungsaus-schüsse zu einer intensiveren Überwachung der Finanzberichterstattungsprozesse ver-anlassen würde. Ob die Veröffentlichung eines MRIC zu wesentlich besserem Schutz vor betrügerischen Handlungen führen und das Risiko von (unbeabsichtigten) Fehlaus-sagen in Jahresabschlüssen reduzieren würde, wurde von den Befragten unentschieden beantwortet;311 alleine die individuellen Investoren hegten diesbezüglich signifikant höhere Erwartungen als der Durchschnitt und nahmen an, dass die Abschlüsse weniger fehleranfällig sein würden. Von allen Gruppen weitgehend einheitlich abgelehnt wurde die These, dass ein MRIC die Finanzberichterstattung von Unternehmen nur unwe-sentlich verbessere. – Was nun die vermuteten Auswirkungen einer obligatorischen Berichterstattung auf die Qualität der Rechnungslegung betrifft,312 so waren sich die verschiedenen Gruppen darin einig, dass auch ein solches Erfordernis das Manage-ment zu einer Verbesserung von ICoFR und den Prüfungsausschuss zu einer Intensi-vierung der Überwachung animiere sowie dass – ähnlich wie bei einer freiwilligen Berichterstattung – ein obligatorischer Bericht nicht wesentlich besseren Schutz gegen Betrug mit sich brächte. Bei diesen drei Aspekten waren es übrigens die individuellen Investoren, welche die jeweils höchsten Antwortwerte auf sich vereinten, also diesbe-züglich die meisten Erwartungen hatten. Gleichermassen neutral zeigten sich die Be-fragten dann gegenüber der These, dass eine obligatorische Berichterstattung wenig zur Verbesserung der Rechnungslegung beitragen könne.

O’Reilly-Allen/McMullen (2002) bemerkten einen Effekt hinsichtlich der Frage, wel-che Rolle der Prüfer nach Einschätzung der Befragten in bezug auf die Wirksamkeit von ICoFR einnehme: So schätzten diejenigen Subgruppen, denen Management- und bzw. oder Prüfberichte vorgelegt wurden, die Verantwortung und Haftung, die dem Prüfer im Zusammenhang mit ICoFR zukommt, als signifikant niedriger ein, als dies die Kontrollgruppe tat, der solche Berichte nicht vorlagen. Die Autoren deuteten die-ses Ergebnis dahingehend, dass es mit der Veröffentlichung eines MRIC gelingen könne, einen Wandel im Bewusstsein der Öffentlichkeit über die Verantwortlichkeiten

310 Interessant sind die gruppenspezifischen Auswertungen – hier zeigt sich, dass die Unternehmensvertreter

im Durchschnitt den höchsten Wert erzielten, sich selbst also eine hohe Motivation attestierten, die Inter-ne Revision und die externen Abschlussprüfer hingegen dem Management nur eine eher mittelmässige Motivation bescheinigten.

311 Dies ist insofern widersprüchlich, als dass die Untersuchungsteilnehmer eingangs angaben, dass wirksa-me Internal Control das Risiko deliktischer Handlungen reduzieren könne.

312 Vgl. Hermanson (2000), Tab. 2.3, Fragen 3, 4, 9 und 12.

2. Kapitel: Section 404

74

für ICoFR zu erzielen, dass also die Verantwortung hierfür verstärkt dem Management angelastet werde – etwas, worum sich der Berufsstand schliesslich schon seit längerem bemühe. Dieser Erklärungsversuch der Autoren aber hält den weiteren Ergebnissen nicht stand: Wie nämlich die Antwortwerte zu den Fragen im Zusammenhang mit den Verantwortlichkeiten des Managements zeigen, schrieben die beiden Untersuchungs-gruppen dem Management nicht nur keine signifikant höhere Verantwortung für ICoFR zu als die Kontrollgruppe, sondern stuften die Haftung des Managements für ICoFR sogar signifikant tiefer ein als die Kontrollgruppe – obwohl das Management im MRIC explizit seine Verantwortung für ICoFR kundtut.313 Was nun den Grad an Sicherheit betrifft, den der Abschlussprüfer nach Ansicht der Untersuchungsteilneh-mer in bezug auf die Zuverlässigkeit der Abschlüsse abgibt, so zeigte sich, dass die Untersuchungsgruppen, denen ICoFR-Berichte ausgeteilt wurden, signifikant niedrige-re Werte angaben als die Kontrollgruppe. Das wurde von O’Reilly-Allen/McMullen dahingehend interpretiert, dass die Berichte allgemein die Leser bezüglich der Unmög-lichkeit, absolute Sicherheit zu gewähren, sensibilisieren. Verglichen mit der Kontroll-gruppe bezifferten die Untersuchungsgruppen das Ausmass, in welchem ihrer Mei-nung nach der Abschlussprüfer Tests zur Entdeckung von deliktischen Handlungen oder anderen Unregelmässigkeiten durchgeführt habe, nur als geringfügig niedriger – gleiches gilt für ihr Vertrauen in die Effektivität der Prüfhandlungen bezogen auf die Aufdeckung derselben.314

Ziel der Studie von Gist et al. (2004) war die Feststellung von Gemeinsamkeiten bzw. Unterschieden in der Beurteilung von ARIC zwischen Prüfern und Nutzern zwecks Auffindung möglicher Erwartungslücken.315 Hierzu formulierten sie verschiedene, auf die Aussagen des ARIC bezogene Fragen, welche die drei Themenblöcke Lesbarkeit, Zuverlässigkeit der finanziellen Berichterstattung sowie Haftung des Prüfers zum Ge-genstand hatten. Was die Verständlichkeit der Inhalte des ARIC betrifft, lasse sich festhalten, dass die Nutzer sehr wohl die entscheidenden Aussagen eines ARIC verste-hen, dass sie aber nicht in der Lage seien, den Kontext, in welchem der ARIC ent-stand, korrekt zu interpretieren; Schuld daran könne der „Inherent Limitations“-

313 Der MRIC entsprach den in SSAE No. 2 aufgestellten Kriterien. Vgl. AICPA (1993). 314 Diese Ergebnisse müssen erstaunen, da – zumindest gemäss dem hier relevanten Standard SSAE No. 2 –

mit der Erstellung eines ARIC spezifische Prüfhandlungen verbunden sind, die losgelöst von der Ab-schlussprüfung vorgenommen werden, also zusätzlich zu jenen erfolgen.

315 Als ARIC verwendeten die Autoren die Version des ASB working draft file #4287. Die Daten wurden 1991 von 48 Nutzern (Kreditmanagern und Analysten) und 43 Prüfern erhoben.

2. Kapitel: Section 404

75

Paragraph, fester Bestandteil eines jeden ARIC, haben. In bezug auf die Zuverlässig-keit der Finanzberichterstattung stimmten die beiden Gruppen weitgehend überein. Ihre diesbezüglichen Gesamtbeurteilungen waren neutral und nicht signifikant vonein-ander verschieden. Eine signifikante Differenz konnte lediglich bei der Frage nach dem Vertrauen, das die Befragten in die Tauglichkeit der ICoFR setzen, wesentliche, aus betrügerischen Handlungen resultierende Fehlaussagen zu verhindern, festgestellt werden: Die Prüfer sprachen diese Eigenschaft einer ICoFR ab, während die Nutzer sich diesbezüglich neutral äusserten. Stark verschieden fielen dagegen die Ansichten der Untersuchungsgruppen darüber aus, ob Haftung, Risiken und Verantwortlichkeiten des Prüfers aufgrund der Veröffentlichung von ARIC zunehmen werden: Während die Prüfer eine insgesamt unentschiedene Haltung an den Tag legten, stimmten die Nutzer nicht damit überein, dass infolge eines ARIC sich für den Prüfer höhere Haftung, grös-sere Risiken und mehr Verantwortlichkeiten ergäben. Das könne dahingehend inter-pretiert werden, dass Nutzer im Management die verantwortlichen Personen für ICoFR erblicken.

Studie Ergebnisse

Hermanson (2000)

Von einer freiwilligen Berichterstattung verspricht man sich Fortschritte in ICoFR, die wesentliche Verbesserungen in der Finanzberichterstattung bedeuten, aber nur geringen zusätzlichen Schutz gegen deliktische Hand-lungen bieten. Anders als die anderen Gruppierungen gehen die individu-ellen Investoren davon aus, dass das Risiko von Fehlaussagen in den Ab-schlüssen deutlich gesenkt werden könne.

Bei einer obligatorischen Berichterstattung hegen die individuellen In-vestoren die höchsten Erwartungen in bezug auf Verbesserungen der ICoFR und zusätzlichen Schutz gegen deliktische Handlungen.

O’Reilly-Allen/ McMullen (2002)

Das Vorliegen eines MRIC bzw. ARIC hat die folgenden Effekte: Ver-antwortung und Haftung des Prüfers sowie Haftung des Managements für ICoFR werden niedriger eingestuft; die vom Prüfer vermittelte Sicherheit über die Zuverlässigkeit der Abschlüsse wird geringer eingeschätzt.

Keine Effekte ergeben sich auf die Wahrnehmung der Verantwortung des Managements für ICoFR.

Gist et al. (2004)

Insgesamt keine signifikant verschiedene Beurteilung der Zuverlässigkeit der Abschlüsse, allerdings stellen Nutzer höhere Erwartungen an die Tauglichkeit von ICoFR, deliktische Handlungen zu unterbinden als die Prüfer. Die Nutzer gehen davon aus, dass infolge eines ARIC Haftung, Risiko und Verantwortlichkeit des Prüfers nicht zunehmen werden.

Tab. 7: Ergebnisse zur Interpretation von ICoFR-Berichten

Wenngleich der Tab. 7 entnommen werden kann, dass ICoFR-Berichte eher nicht zu Missverständnissen einladen und Investoren wohl nicht dazu verleiten, ungebührendes

2. Kapitel: Section 404

76

Vertrauen in die Abschlüsse zu setzen, ist doch offensichtlich, dass bei Vorliegen von ICoFR-Berichten die Nutzer tendenziell höhere Erwartungen an die Tauglichkeit von ICoFR stellen als etwa die Prüfer. Die zum Ausdruck gekommenen Ansichten hin-sichtlich Verantwortung und Haftung von Management und Prüfern sind teilweise wi-dersprüchlich.

2.3.5.3 Zusammenfassung Den in den Abschnitten 2.3.5.1 und 2.3.5.2 gemachten Ausführungen kann in bezug auf die Absicht des Gesetzgebers, mit einer Berichterstattung über ICoFR das Vertrau-en der Anleger zurückzugewinnen, folgendes entnommen werden:

• In einer Prinzipal-Agenten-Beziehung könnte eine Berichterstattung über ICoFR – wie die Abschlussprüfung auch – dazu beitragen, Unsicherheit bei den Kapi-talgebern zu beseitigen. Solange es kein Offenlegungserfordernis gibt, werden Agenten bzw. Unternehmen nur dann eine Berichterstattung vornehmen, wenn der erwartete Nutzen die Kosten übersteigt.

• Die Tatsache, dass Unternehmen bislang von einer ausführlichen Berichterstat-tung abgesehen haben, deutet darauf hin, dass sie das Kosten-Nutzen-Verhältnis all ungünstig erachten.

• In keiner der besprochenen Studien konnte eine nennenswerte Nachfrage nach ICoFR-Berichten festgestellt werden, Informationen über ICoFR wurden von den Befragten als wenig informativ beurteilt.

• Dass, wie von den bisherigen Gegnern einer obligatorischen Berichterstattung über ICoFR prophezeit wurde, die Berichte zu einer Ausweitung der Erwar-tungslücke führen würden, ist aufgrund der in der Empirie gewonnenen Er-kenntnisse nicht anzunehmen.

• Insbesondere aufgrund des offensichtlich fehlenden Interesses an ICoFR-Berichten ist vorderhand nicht davon auszugehen, dass Section 404 das erklärte Ziel einer Rückgewinnung des Anlegervertrauens erreichen können wird.

2. Kapitel: Section 404

77

2.4 Zusammenfassung In Abschnitt 2.1 wurde die Entstehung der Section 404 nachvollzogen. Gezeigt wurde, dass die Inhalte der Section 404 im Verlaufe des Gesetzgebungsverfahrens nur eine Nebenrolle spielten. Section 404 geht auf die Arbeiten des Senate Committee zurück, dessen Gesetzesentwurf ursprünglich als zu radikal angesehen wurde, aber im Zuge der Aufdeckung weiterer Skandale doch eine breite Mehrheit fand. Den Anstoss dafür, eine Berichterstattung über ICoFR in den SOA aufzunehmen, gaben vier Vorgeladene, von denen gleich drei sich auf ein und dieselbe Studie bezogen.

Die Erörterung der Zielsetzung des Gesetzgebers in Zusammenhang mit Section 404 folgte in Abschnitt 2.2. Dargelegt wurde, dass der Gesetzgeber mit Section 404 die Wiederherstellung des abhanden gekommenen Anlegervertrauens sowie eine Verbes-serung der Rechnungslegungsqualität suchte. Letzteres sollte durch wirksamere ICoFR sowie über eine intensivere Auseinandersetzung des Abschlussprüfers mit ICoFR er-zielt werden.

In Abschnitt 2.3 war zu untersuchen, wie effektiv Section 404 in bezug auf die ge-nannten Ziele wohl sein wird. Nachgegangen wurde zunächst dem vom Gesetzgeber angeführten Hinweis auf die Offenlegungsregelungen des FDIA. Dieser stellte sich bei näherer Betrachtung als irreführend heraus und liess keine Aussagen über die zu er-wartende Effektivität der Section 404 zu. Ebenfalls keine diesbezüglichen Erkenntnis-se lieferte die Analyse der in der Vergangenheit abgegebenen Empfehlungen für eine ICoFR-Berichterstattung, da diese, wie sich herausstellte, wissenschaftliche Gewiss-heiten entbehrten. Unter Berücksichtigung (ausgewählter) theoretischer und empiri-scher Erkenntnisse wurde sodann eine Beurteilung der Gesetzgebung vorgenommen. In Anlehnung an die vom Gesetzgeber unterstellten Wirkungszusammenhänge wurden die Beziehungen zwischen der Wirksamkeit von ICoFR und der Zuverlässigkeit der Rechnungslegung, zwischen der Betrachtung von ICoFR durch den Abschlussprüfer und der Effektivität der Abschlussprüfung, sowie zwischen einer ICoFR-Berichterstattung und dem Anlegervertrauen untersucht. Die Ergebnisse lassen auf recht lose Beziehungen zwischen den verschiedenen Aspekten und den genannten Zielgrössen schliessen. Insbesondere aufgrund der Charakteristik von ICoFR, weder notwendige noch hinreichende Voraussetzung für eine ordnungsgemässe Rechnungs-legung zu sein, sind Zweifel darüber angebracht, ob Section 404 den in sie gesetzten Erwartungen gerecht werden wird.

3. Kapitel: Die Ausführungsregeln zu Section 404

79

3 Die Ausführungsregeln zu Section 404 Nachdem in Abschnitt 2.3 die grundsätzlich zu erwartende Wirkungsweise einer Be-richterstattung über ICoFR vor dem Hintergrund der Zielsetzung des Gesetzgebers diskutiert wurde, stellt sich nun die Frage, wie genau Section 404 von Unternehmen und Prüfgesellschaften in die Praxis umzusetzen ist – was also der Inhalt der Ausfüh-rungsregeln zu Section 404 ist – und wie diese spezifischen Regeln hinsichtlich ihrer Effektivität zu bewerten sind. Die auf Grundlage von Section 404(a) und (b) durch die SEC bzw. das PCAOB erlassenen Regelwerke werden daher in den folgenden beiden Abschnitten überblicksartig vorgestellt316 (Abschnitte 3.1 und 3.2) und abschliessend beurteilt (Abschnitt 3.3). Dem folgt eine Betrachtung solcher Sections des SOA, mit denen Section 404 in Zusammenhang steht. (Abschnitt 3.4)

3.1 Die Ausführungsregelungen zu Section 404(a) Durch Section 404(a) wurde die SEC mit dem Verfassen von Regelungen beauftragt, gemäss denen jeder aufgrund von Section 13(a) oder 15(d) des Securities Exchange Act (SEA)317 erforderliche Jahresbericht einen ICoFR-Bericht zu enthalten hat, in wel-chem die Verantwortung des Managements für den Aufbau und die Pflege angemesse-ner ICoFR genannt wird und der eine vom Emittenten vorgenommene Beurteilung deren Wirksamkeit aufweist. Den diesbezüglichen Regelungsentwurf veröffentlichte die SEC im Oktober 2002318 und bat Betroffene bzw. Interessierte um Stellungnahme („Request for Comments“)319. Im Juni 2003 legte sie die finalen Bestimmungen vor,320 deren wichtigsten Inhalte im folgenden vorgestellt werden.

316 Beide Regelwerke sind zu umfangreich, als dass sie im Anhang dieser Arbeit aufgeführt werden könnten.

Daher werden die wichtigsten Bestimmungen in diesem Kapitel vorgestellt. Ihre Erörterung soll gleich-zeitig einem besseren Verständnis von Kapitel 4 dienen.

317 Vgl. USC, Title 15, Section 78m(a) und 78o(d). Das sind Unternehmen, die entweder Form 10-K, Form 10-KSB, Form 20-F oder Form 40-F einreichen; vgl. SEC (2003 c), S. 36655. Sog. „registered investment companies“, die unter Section 8 des Investment Company Act registriert sind, sind von den Bestimmun-gen befreit; vgl. Section 405 des SOA. Genausowenig betroffen sind sog. „asset-backed issuers“; vgl. US CFR Title 17, Secion 240.13a–14(g) und 15d–14(g).

318 Vgl. SEC (2002 b). 319 Die bei der SEC eingegangenen Kommentarbriefe können unter http://www.sec.gov/rules/proposed/

s74002 eingesehen werden. 320 Vgl. SEC (2003 c).

3. Kapitel: Die Ausführungsregeln zu Section 404

80

3.1.1 Definition des Berichtsgegenstands ICoFR wird von der SEC definiert als ein vom obersten Management eingerichteter Prozess, der eine angemessene Sicherheit („reasonable assurance“)321 für die Verläss-lichkeit der Rechnungslegung sowie für die Übereinstimmung der für externe Zwecke erstellten Abschlüsse mit allgemein anerkannten Rechnungslegungsprinzipien bietet. Dieser Prozess umfasst solche Richtlinien und Verfahren, die

• sich auf die Pflege von Aufzeichnungen beziehen, die in angemessenem Detail-lierungsgrad die Geschäftsvorfälle und Veräusserungen von Vermögensgegens-tänden des Emittenten genau und getreu wiedergeben;

• eine angemessene Sicherheit dafür geben, dass Geschäftsvorfälle dergestalt auf-gezeichnet werden, dass eine Erstellung der Unternehmensabschlüsse gemäss allgemein anerkannten Rechnungslegungsgrundsätzen ermöglicht wird, und dass Einnahmen und Ausgaben nur entsprechend der Genehmigung durch Manage-ment und Verwaltungsrat getätigt werden;

• eine angemessene Sicherheit dafür geben, dass nicht genehmigte Anschaffun-gen, Verwendungen oder Veräusserungen von Vermögensgegenständen, die ei-nen materiellen Einfluss auf den Unternehmensabschluss haben könnten, ver-hindert oder rechtzeitig aufgedeckt werden.322

Damit setzte die SEC den Fokus auf die finanzielle Berichterstattung und verwahrte sich gegen vereinzelte Forderungen, eine breitere, auch betriebliche Aspekte umfas-sende Definition zu übernehmen.323

3.1.2 Beurteilung von ICoFR durch das Management Gemäss Section 404(a)(2) bestimmte die SEC in ihren Ausführungsregelungen, dass das Management – unter Mitwirkung des CEO und des CFO bzw. von Personen, die ähnliche Funktionen ausüben – gegen Ende jedes Geschäftsjahres die Wirksamkeit

321 Das Konzept der angemessenen Sicherheit wurde mit Verweis auf die bestehenden Vorschriften des Ex-

change Act sowie die geltenden Standards des Berufsstandes in diese Definition integriert; vgl. USC, Tit-le 15, Secion 78m(b)(2) und AICPA (1995), para. 16. Siehe Abschnitt 2.3.3.1.3.

322 Vgl. US CFR, Title 17, Sections 240.13a–15(f) und 240.15d–15(e). 323 Dies begründete sie damit, dass, erstens, eine solche Eingrenzung der Absicht des Gesetzgebers entsprä-

che; dass, zweitens, schon mit diesem Geltungsbereich erhebliche Kosten für Unternehmen entstünden;

3. Kapitel: Die Ausführungsregeln zu Section 404

81

von ICoFR auszuwerten habe,324 wobei die Auswertungen auch über eine Periode ver-teilt werden können.325 Dabei sei die Beurteilung anhand eines geeigneten, allgemein anerkannten Rahmenkonzeptes durchzuführen.326 Wenngleich die SEC scheute, ein bestimmtes Rahmenkonzept als einzig zulässige Bewertungsgrundlage zu definieren – Nicht-US Emittenten steht die Möglichkeit offen, auf ausländische Rahmenkonzep-te327 zurückzugreifen – wird doch deutlich, dass die SEC das COSO-Framework favo-risiert, auf das sie sich in den finalen Ausführungsregelungen gleich mehrfach be-zieht.328

Im übrigen verzichtete die SEC weitgehend darauf, präzise Anleitungen zum Bewerten von ICoFR vorzugeben oder spezifische Methoden und Verfahren zu benennen, die zur Anwendung gelangen müssten.329 Eingeschränkt wird der den Unternehmen ge-währte Freiraum lediglich durch die Bestimmung, dass sowohl die Funktionstüchtig-keit („operating effectiveness“) als auch die konzeptionelle Wirksamkeit („design ef-fectiveness“) von ICoFR zu überprüfen seien, wobei alleine die Technik der Befra-gung als nicht ausreichend gilt.330 Zudem wird verlangt, dass die Emittenten für ihre Behauptungen hinsichtlich der Wirksamkeit hinreichende Beweismaterialien („eviden-tial matter“), z.B. in Form von Dokumentationen, bereitzuhalten haben.331 Insbesonde-

sowie dass schliesslich der Berufsstand für die Prüfung von ausserhalb der Finanzberichterstattung ange-siedelter, Kontrollen nicht genügend vorbereitet sei. Vgl. SEC (2003 c), S. 36639 f.

324 Der ursprüngliche Vorschlag der SEC, eine ähnlich umfangreiche Beurteilung der Wirksamkeit von ICoFR, wie diese am Jahresende vorzunehmen ist, für jedes Quartal zu verlangen, wurde auch wegen Kostenüberlegungen aufgegeben. Stattdessen wurde verlangt, dass Unternehmen vierteljährlich eine Be-urteilung der wesentlichen Veränderungen von ICoFR durchführen; vgl. SEC (2003 c), S. 36643 f. Siehe Abschnitt 3.4.1.2.

325 Vgl. SEC (2003 c), S. 36644. 326 Vgl. US CFR, Title 17, Sections 240.13a–15(c) und 240.15d–15(c). Das die Verwendung des Rahmenkonzeptes betreffende Erfordernis („a suitable, recognized control fra-

mework“) begründete die SEC mit den während der Vernehmlassung von verschiedener Seite eingegan-genen Empfehlungen, zwecks besserer Vergleichbarkeit der ICoFR-Berichte die Anwendung spezifischer Kriterien zu verlangen; vgl. SEC (2003 c), S. 36642. Vgl. für die Eigenschaften, die ein Rahmenkonzept aufweisen muss, um als geeignet zu gelten, SEC (2003 c), S. 36642.

327 Beispielhaft genannt werden die „Guidance on Assessing Control“ des Canadian Institute of Chartered Accountants und der „Turnbull Report“ des ICAEW; vgl. SEC (2003 c), S. 36642.

328 Dabei dürfte es die kollektive Fürsprache des Berufsstands gewesen sein, welche die SEC dazu bewogen hat, das COSO-Framework, das im Regelungsentwurf zunächst noch keine Erwähnung fand, in die De-tailbestimmungen aufzunehmen. Vgl. etwa die Kommentarbriefe von AICPA (2002), S. 2, und Deloitte & Touche (2002), S. 5. Das AICPA selbst ist Mitglied des COSO.

329 Dem liegt die Ansicht zugrunde, dass die Durchführung solcher Bewertungen den unternehmensspezifi-schen Umständen Rechnung zu tragen habe; vgl. SEC (2003 c), S. 36643.

330 Vgl. SEC (2003 c), S. 36643. 331 Vgl. Instruction 1 in US CFR, Title 17, Section 229.308. Unterstützend wirken sollen diese Beweismate-

rialien i) bei der Bewertung, ob die Kontrollen derart gestaltet sind, dass sie erhebliche Falschdarstellun-

3. Kapitel: Die Ausführungsregeln zu Section 404

82

re verzichtete die SEC darauf, sich zum erforderlichen Umfang der Managementarbeit zu äussern.332

3.1.3 Berichterstattung des Managements Der als Teil des Jahresberichts333 offenzulegende ICoFR-Bericht bezieht sich im we-sentlichen auf die Wirksamkeit von ICoFR und muss die folgenden, von der SEC nicht näher präzisierten Inhalte aufweisen:334

• die Erklärung, dass das Management für Aufbau und Pflege adäquater ICoFR verantwortlich ist;

• die Benennung des Rahmenkonzeptes, welches bei der Beurteilung der Wirk-samkeit von ICoFR hinzugezogen wurde;335

• die auf das Ende des Geschäftsjahres bezogene Beurteilung des Managements hinsichtlich der Wirksamkeit von ICoFR samt einer eindeutigen Aussage dar-über, ob jene wirksam oder nicht wirksam ist, sowie einer Aufzählung sämtli-cher vom Management identifizierten wesentlichen Schwachstellen („material weaknesses“);

• die Erklärung, dass die für die Prüfung des Jahresabschlusses zuständige Prüf-gesellschaft einen Beglaubigungsbericht über die vom Management vorgenom-mene ICoFR-Beurteilung erstellt habe.

Von der SEC nicht akzeptiert werden sogenannte „negative assurance statements“, in denen erklärt wird, dass dem Management nichts aufgefallen sei, woraus sich schlies-sen liesse, dass ICoFR nicht wirksam sei.336 In bezug auf die vom Management darzu-

gen verhindern oder aufdecken können; ii) bei der Schlussfolgerung, dass die Tests zweckmässig geplant und durchgeführt wurden; iii) bei der Frage, ob die Testergebnisse angemessen interpretiert wurden. Vgl. SEC (2003 c), S. 36643. Implizit präzisiert werden diese Vorschriften durch die Bestimmungen des PCAOB-Standards zu „Evaluating Management’s Assessment Process“; vgl. PCAOB (2004 a), para. 40 ff. Siehe Abschnitt 3.2.1.

332 Siehe Abschnitt 3.2.2.1. 333 Die SEC empfiehlt den Unternehmen, den ICoFR-Managementbericht in der Nähe des vom Prüfer ausge-

stellten Beglaubigungsberichts zu plazieren; vgl. SEC (2003 c), S. 36643. 334 Vgl. SEC (2003 c), S. 36642. Für einen beispielhaften Bericht siehe Anhang A. 335 Dass das Management das hinzugezogene Rahmenkonzept in dem Bericht benennen muss, wurde vom

Gesetzgeber ursprünglich nicht verlangt und ist auf die nachträgliche Bestimmung, dass ein allgemein an-erkanntes Rahmenkonzept verwendet werden muss, zurückzuführen.

336 Vgl. SEC (2003 c), S. 36642.

3. Kapitel: Die Ausführungsregeln zu Section 404

83

legenden wesentlichen Schwachstellen bestimmt die SEC, dass das Management bei Vorliegen bereits einer einzigen solcher Schwäche nicht mehr den Schluss ziehen darf, dass ICoFR noch wirksam sei.337

3.1.4 Geltungsbereich und Fristen Section 404(a) betrifft alle Unternehmen, die aufgrund von Section 13(a) oder 15(d) des SEA Jahresberichte bei der SEC einreichen müssen. Anders als bei Section 302, wo der Gesetzgeber das Datum vorgab, an dem die Detailregelungen in Kraft treten sollten,338 legte die SEC die Fristen zur Ausführung der Detailregelungen eigenmäch-tig fest. Dabei unterschied sie zwischen sog. „accelerated filers“339 und „non-accelerated filers“, wozu kleine Kapitalgesellschaften („small business issuers“) und ausländische Emittenten („foreign private issuers“) gezählt werden.340 „Accelerated filers“ mussten die Bestimmungen erstmalig für Geschäftsjahre umgesetzt haben, die am oder nach dem 15. November 2004 endeten; „foreign private issuers“, welche die Eigenschaften von „accelerated filers“ aufweisen, ab dem 15. Juli 2006; „non-accelerated filers“ und den übrigen „foreign private issuers“ hingegen wurde ein Auf-schub bis zum 15. Juli 2007 eingeräumt.341

3.2 Die Ausführungsregelungen zu Section 404(b) Section 404(b) verfügt, dass der Abschlussprüfer des Emittenten dessen ICoFR-Berichte zu bestätigen („attest“) und hierüber zu berichten hat. Diese Leistung soll in

337 Vgl. SEC (2003 c), S. 36643. 338 Vgl. Section 302(c) des SOA. 339 „Accelerated filers“ sind US-Emittenten, deren Marktkapitalisierung 75 Mio. USD übersteigt und die i)

seit mindestens einem Jahr den Bestimmungen von Section 13(a) oder 15(d) des SEA unterliegen; ii) be-reits mindestens einen Jahresbericht gemäss Section 13(a) oder 15(d) des SEA eingereicht haben; und iii) nicht befugt sind, Form 10-KSB für ihre Jahresberichte zu verwenden; vgl. US CFR, Title 17, Section 240.12b-2. „Non-accelerated filers“ sind Emittenten, die diese Eigenschaften nicht aufweisen.

340 Vgl. SEC (2003 c), S. 36636. 341 Die ursprünglichen Fristen waren auf den 15. Juni 2004 bzw. den 15. April 2005 gelegt; vgl. SEC (2003

c), S. 36651. Im März 2004 wurde erstmals eine Verschiebung beschlossen, auf den 15. November 2004 bzw. den 15. Juli 2005; vgl. SEC (2004), S. 9723. Im März 2005 wurde die Frist für die „non-accelerated filers“ und die „foreign private issuers“ ein weiteres Mal, um ein Jahr, verschoben. Dass letzteren ein Aufschub gewährt wurde, begründete man mit den Herausforderungen, die aus „[…] language, culture and organization structures that are far different from what is typical in the United States“ resultierten. Zudem trüge man damit dem Aufwand Rechnung, der Unternehmen in EU-Ländern aufgrund der obliga-torischen Umstellung ihrer Rechnungslegung auf IFRS entsteht. Vgl. SEC (2005 a), S. 11528. Im Sep-tember 2005 nun wurden die Fristen für „non-accelerated filers“ um ein weiteres Jahr auf den 15. Juli 2007 verschoben. Für ausländische Emittenten, welche die Eigenschaften eines „accelerated filers“ inne-haben, bleibt der 15. Juli 2006 bestehen; vgl. SEC (2005 d), S. 56826.

3. Kapitel: Die Ausführungsregeln zu Section 404

84

Übereinstimmung mit entsprechenden Standards erbracht werden und darf nicht Be-standteil eines separaten Auftrags sein, sondern hat im Rahmen der Abschlussprüfung zu erfolgen. Die diesbezüglichen Detailregelungen wurden gemäss Section 103(a)(2)(A)(iii) vom PCAOB erstellt und von der SEC beschlossen.342 Enthalten sind sie im Auditing Standard No. 2, „An Audit of Internal Control over Financial Report-ing Performed in Conjunction with An Audit of Financial Statements“ (PCAOB No. 2).343

Bei der Durchführung einer Prüfung gemäss PCAOB No. 2 gelten die „Generally Acccepted Auditing Standards“, die u.a. voraussetzen, dass der Prüfer über ausrei-chende Kompetenz verfügt344 und von seinem Mandanten unabhängig ist.345

Während das Ziel einer Prüfung des Jahresabschlusses darin besteht festzustellen, ob dieser die wirtschaftliche Lage des Unternehmens getreu darstellt, hat der Prüfer bei einer Prüfung von ICoFR eine Meinung über die vom Management durchgeführte

342 Dies erfolgte in Übereinstimmung mit Section 107(b)(2) des SOA. Auch das PCAOB führte eine Ver-

nehmlassung durch; vgl. für eine Diskussion der Kommentare PCAOB (2004 a), Appendix E. 343 Der Standard wurde in der Zwischenzeit um mehrere Erläuterungen, die sogenannten „Staff Questions

and Answers“ ergänzt, um Prüfern die Anwendung von PCAOB No. 2 zu erleichtern. Vgl. PCAOB (2005 a).

Noch während der Erarbeitung der Ausführungsregelungen durch das PCAOB entwickelte sich eine in-tensive Debatte über die vom Gesetzgeber beabsichtigte Natur der Prüfleistung. Die Gegner einer Prüfung im eigentlichen Sinne beriefen sich dabei auf den Originaltext von Section 404(b), in dem lediglich von „attest“, nicht aber von „audit“ die Rede ist; vgl. z.B. die Kommentarbriefe von FEI und dem Institute of Internal Auditors in PCAOB (2004 d), S. 236 ff. bzw. S. 664 ff. Dem hielten die Befürworter einer regel-rechten Prüfung den Wortlaut von Section 103(a)(2)(A)(iii) entgegen, in dem Bezug auf eine „evaluation“ genommen wird. Auch das PCAOB schloss sich dieser Argumentation an. Inhaltlich begründete es zu-dem den Auftrag an den Prüfer, eine eigene Prüfung durchzuführen, mit der öffentlichen Natur einer sol-chen Berichterstattung: So würde ein gutgläubiger Investor mit Recht annehmen, dass ein Prüfer, der die Behauptungen des Managements hinsichtlich der Wirksamkeit von ICoFR beglaubigt, letztere auch ei-genhändig geprüft habe. Würde der Prüfer sich – ohne zuvor eine Prüfung vorgenommen zu haben – über den Inhalt des Managementberichts äussern, entstünde eine Erwartungslücke; vgl. PCAOB (2004 a), Ap-pendix E, para. 18. Wie allerdings in Abschnitt 2.2 gezeigt wurde, wollte der Gesetzgeber Section 404(b) in keinem Fall als Auslöser höherer Prüfgebühren verstanden wissen. Hinsichtlich der Frage nach der Art der zu erbringenden Prüfleistung lässt sich also behaupten, dass eine eigentliche Prüfung, wie sie jetzt in PCAOB No. 2 geregelt wird, tatsächlich nicht beabsichtigt war.

344 Vgl. PCAOB (2004 a), para. 31. 345 „The applicable requirements of independence are largely predicated on four basic principles: (1) an audi-

tor must not act as management or as an employee of the audit client, (2) an auditor must not audit his or her own work, (3) an auditor must not serve in a position of being an advocate for his or her client, and (4) an auditor must not have mutual or conflicting interests with his or her audit client. If the auditor were to design or implement controls, that situation would place the auditor in a management role and result in the auditor auditing his or her own work. These requirements, however, do not preclude the auditor from making substantive recommendations as to how management may improve the design or operation of the company’s internal controls as a by-product of an audit.” Ebd., para. 32.

3. Kapitel: Die Ausführungsregeln zu Section 404

85

ICoFR-Beurteilung zu äussern.346 Zu diesem Zweck hat er sich angemessene Sicher-heit347 darüber zu verschaffen, dass an dem Datum, auf das sich der Managementbe-richt bezieht, keinerlei erhebliche Schwächen in ICoFR bestehen. Erforderliche Ge-wissheit erlangt der Prüfer, indem er sowohl den Prozess bewertet, über den das Ma-nagement zu seiner Einschätzung über ICoFR gelangt, als auch die Wirksamkeit von ICoFR selbst.348 Aus dieser Vorgabe leitet sich das Erfordernis nach zwei vom Prüfer zu äussernden Meinungen ab: eine über die Darlegungen im ICoFR-Bericht, eine an-dere über die Wirksamkeit von ICoFR.349 Abb. 5 zeigt die Zusammenhänge zwischen dem ICoFR-Managementbericht und den Meinungen des Prüfers auf.

Abb. 5: Zusammenhänge zwischen Managementbericht und Prüfmeinungen

Von einem solchen Prüfauftrag ausgehend sind in den folgenden Abschnitten über-blicksartig die Ausführungen des PCAOB zu dem vom Prüfer durchzuführenden Pro-zess der zweifachen Meinungsbildung zu erörtern (Abschnitte 3.2.1 und 3.2.2). Zu beschreiben ist die Abstimmung mit der Jahresabschlussprüfung (Abschnitt 3.2.3),

346 Vgl. PCAOB (2004 a), para. 4. 347 Nicht nur für ICoFR, auch für die Prüfung gilt das Konzept der angemessenen Sicherheit; siehe Fn 395. 348 Vgl. ebd., para. 5. 349 Vgl. ebd., para. 167.

ICoFR-Prüfung

ICoFR-Management-

bericht

Meinung über Management-

bericht

Meinung über ICoFR

Prüfung des Jahresabschlusses

Meinung über Jahresabschluss

Beurteilung vonICoFR

Aufgabe des Managements

Bericht des Managements

Ergebnisse dargelegt in

berücksichtigtbei

Meinungen des Prüfers

Integrierte Prüfung aufeinander

abgestimmt

Ergebnissedargelegt in

Ergebnissedargelegt in

3. Kapitel: Die Ausführungsregeln zu Section 404

86

auch ist kurz auf das eigentliche Endprodukt, den Prüfbericht, einzugehen (Abschnitt 3.2.4).

3.2.1 Meinung über die Darlegungen des Managements Um zu einem Urteil darüber zu gelangen, ob die Beurteilung des Managements hin-sichtlich der Wirksamkeit von ICoFR getreu dargestellt ist, hat der Prüfer den ICoFR-Managementbericht zu untersuchen.350 Zu vergewissern hat er sich zunächst, dass das Management darin pflichtgemäss seine Verantwortung für die Einrichtung und Pflege von ICoFR erklärt. Auch hat er zu prüfen, ob das vom Management bei der Beurtei-lung von ICoFR verwendete Rahmenwerk als geeignet351 betrachtet werden kann.

Daneben muss der Prüfer beurteilen, ob die im ICoFR-Managementbericht dargelegte Beurteilung frei von wesentlichen Falschdarstellungen („material misstatements“) ist. Er muss also die Behauptungen des Managements nachvollziehen und herausfinden, ob sie überhaupt auf einer genügenden Grundlage beruhen. Zu diesem Zweck hat er die Vorgehensweise, mittels derer das Management zu seinen Schlussfolgerungen hin-sichtlich der Wirksamkeit von ICoFR gekommen ist, zu analysieren. Insbesondere hat er zu untersuchen, auf welcher Basis das Management die zu testenden Kontrollen („controls“) ausgesucht hat; anhand welcher Kriterien es die Unternehmensgesell-schaften, auf die es seine Beurteilung ausgedehnt hat, bestimmt hat352; wie das Mana-gement die konzeptionelle Wirksamkeit („design effectiveness“) der Kontrollen evalu-iert hat353; wie die Auswertung der operativen Wirksamkeit („operative effectiveness“) vorgenommen wurde; sowie ob identifizierte Kontrollmängel („control deficiencies“) auf ihre Schwere hin untersucht und dem Prüfer mitgeteilt wurden. In diesem Zusam-menhang werden vom PCAOB hohe Ansprüche an die Dokumentationspflichten des Managements gestellt, das bei Nichtvorhandensein gewisser Unterlagen weitreichende Konsequenzen gewärtigen muss.354

350 Vgl. . PCAOB (2004 a), para. 166. 351 Siehe Abschnitt 3.1.2. 352 Vgl. ebd., Appendix B, para. 1–17. Siehe Abschnitt 3.2.2.1. 353 Dem Management ist es freigestellt, für die Überprüfung der Funktionsfähigkeit auf die Arbeiten Ande-

rer, wie etwa der Internen Revision, zurückzugreifen. Sie sind vom Prüfer aufmerksam zu untersuchen. Grundsätzlich gilt, dass auf der alleinigen Grundlage von Befragungen keine Schlüsse über die Funkti-onstüchtigkeit gezogen werden dürfen. Vgl. ebd., para. 41.

354 Das Fehlen von Dokumentationen über die Gestaltung von „controls over all relevant assertions related to all significant accounts and disclosures in the financial statements“ ist vom Prüfer mindestens als ein ein-facher Kontrollmangel („control deficiency“) festzuhalten und kann eine Beschränkung des Prüfumfangs

3. Kapitel: Die Ausführungsregeln zu Section 404

87

Darüber hinaus hat der Prüfer sicherzustellen, dass die Schlussfolgerungen des Mana-gements den formellen Anforderungen der SEC355 genügen und dass sämtliche we-sentlichen Schwachstellen offengelegt wurden.

3.2.2 Meinung über die Wirksamkeit von ICoFR Um eine Meinung über die Wirksamkeit von ICoFR abgeben zu können (Abschnitt 3.2.2.4), muss der Prüfer deren Gestaltung und deren Funktionstüchtigkeit eingehend untersuchen (Abschnitte 3.2.2.2 und 3.2.2.3). Bevor er mit diesem Unterfangen begin-nen kann, ist er aufgefordert, sich ein umfassendes Verständnis über die ICoFR seines Mandanten anzueignen und diejenigen relevanten Kontrollen zu identifizieren, die er in den anschliessenden Schritten auf ihre Wirksamkeit hin zu untersuchen hat. (Ab-schnitt 3.2.2.1)

3.2.2.1 Erlangung eines Verständnisses über ICoFR Mittels üblicher Verfahren wie Befragung, Einsichtnahme in Dokumentationen, Beo-bachtung von Abläufen oder Durchführung von „Walkthroughs“356 hat sich der Prüfer mit dem Aufbau all solcher Kontrollelemente vertraut zu machen, die den verschiede-nen COSO-Komponenten von ICoFR – Kontrollumfeld, Risikobewertung, Kontrollak-tivitäten, Informations- und Kommunikationssysteme, Monitoring – zuzuordnen sind.357 Insbesondere ist der Prüfer dazu angehalten, eine Bewertung sämtlicher Kon-trollen vorzunehmen, die der Verhinderung oder Aufdeckung von deliktischen Hand-lungen nützen.358

(„limitation on audit scope“) zur Folge haben; vgl. ebd., para. 42–46 und 138, vgl. zu Reduktionen des Prüfumfanges auch para. 178–181. Zu dokumentieren sind ebenfalls Kontrollen, die zur Verhinderung bzw. Aufdeckung von Betrugsfällen, zur Sicherung von Vermögenswerten und über die Prozesse der ex-ternen Finanzberichterstattung eingerichtet wurden. Daneben müssen Informationen über Auslösung, Au-torisierung, Aufzeichnung, Durchführung und Meldung aller wichtigen Transaktionen bereitgehalten werden. Auch müssen die Flüsse dieser Transaktionen nachvollzogen werden können, um fehler- oder be-trugsanfällige Stellen zu identifizieren. Schriftlich festzuhalten sind zudem die Ergebnisse der vom Ma-nagement durchgeführten Tests über die Wirksamkeit von ICoFR.

355 Siehe Abschnitt 3.1.3. 356 In einem „Walkthrough“ verfolgt der Prüfer den Verlauf einer Transaktion von deren Entstehung über die

Verarbeitung in den Informationssystemen bis hin zu deren Wiedergabe in den Abschlüssen; vgl. PCAOB (2004 a), para. 79.

357 Vgl. ebd., para. 49 ff. Das PCAOB folgt der Fokussierung der SEC auf das COSO und erklärt dieses als theoretische Grundlage für seine Ausführungen; vgl. ebd., para. 14.

358 Vgl. ebd., para. 24 ff. Dabei handelt es sich bspw. um Kontrollen, die der Entwendung von Vermögens-werten des Unternehmens entgegenstehen; Bestimmungen im Code of Conduct, die sich auf Interessen-konflikte oder illegale Handlungen beziehen; unternehmensinterne Prozesse, die Entgegennahme und Be-arbeitung von anonymen Meldungen über fragwürdige Rechnungslegungspraktiken regeln.

3. Kapitel: Die Ausführungsregeln zu Section 404

88

In einem „top-down“ Vorgehen359 hat der Prüfer zunächst sog. „company-level controls“ zu identifizieren und zu untersuchen. Dabei handelt es sich um unterneh-mensweite Kontrollen, welche die Erreichung genereller Kontrollziele begünstigen und so das Funktionieren von Transaktionskontrollen („controls at the process, tran-saction, or application level“)360 erst ermöglichen361. In diesem Zusammenhang hat der Prüfer u.a. die Überwachung der Berichterstattungsprozesse seitens des Prüfungsaus-schusses zu untersuchen. Aus der Bewertung der konzeptionellen Wirksamkeit dieser „company-level controls“ können sich für den Prüfer wichtige Erkenntnisse hinsicht-lich der Art und Weise, wie die anderen Kontrollkomponenten zu testen sind, erge-ben.362

Zwecks Bestimmung der zu testenden Kontrollen („controls to test“)363 hat der Prüfer dann einen „risk-based approach“364 anzuwenden, wobei er stets das Risiko bedenken muss, dass der Jahresabschluss eine wesentliche Fehlaussage enthalten könnte (vgl. Abb. 6): Zuvorderst hat der Prüfer die wesentlichen Elemente der Rechnungslegung („significant accounts“) zu identifizieren365 – zunächst auf Basis der konsolidierten Abschlüsse, dann innerhalb der einzelnen Positionen. Zu berücksichtigen sind hierbei nicht nur quantitative Faktoren wie Grösse und Zusammensetzung, sondern auch qua-litative Faktoren wie beispielsweise die Anfälligkeit auf Fehler oder Betrug.366 Unter Hinzuziehung derlei Risikofaktoren hat der Prüfer dann jene Elemente auszusortieren,

359 Vgl. zum „top-down“ Vorgehen PCAOB (2005 b), para. 38. 360 PCAOB (2004 a), para. 52. 361 Vgl. PCAOB (2004 a), para. 53. Vgl. in bezug auf den Prüfungsausschuss ebd., para. 55 ff. Als beispiel-

hafte „company-level control“ ist ein unternehmensweites Zugriffsberechtigungskonzept zu nennen, mit dem die Vergabe von Zugriffsrechten auf Programme oder Transaktionen geregelt wird. Diese Kontrolle ermöglicht spezifische Kontrollen wie etwa die Trennung von Verantwortlichkeiten im Bereich des Rechnungseingangs und des Zahlungsausgangs.

362 Vgl. PCAOB (2004 a), para. 52, und PCAOB (2005 b), para. 43. In Abhängigkeit von der Wirksamkeit der untersuchten „company-level controls“ hat der Prüfer Art, Zeitpunkt und Umfang der Prüfhandlungen für das „testing of operating effectiveness“ anzupassen; siehe Abschnitt 3.2.2.3.

363 Vgl. PCAOB (2004 a), para. 60. Diese „controls to test“ werden anschliessend auf konzeptionelle und auf operative Wirksamkeit getestet. Unklar ist, ob auch die „company-level controls“ hierunter subsumiert werden. Dass die Vorgehensweise zur Ermittlung der „controls to test“ im Anschluss an die Beurteilung der „company-level controls“ zu erfolgen hat, verrät, dass letztere bereits bekannt sind und also nicht zu den „controls to test“ gezählt werden können. Anderseits enthalten die Bestimmungen über das „opera-ting testing“ vereinzelt beispielhafte Nennungen von „company-level controls“, so dass davon auszuge-hen ist, dass auch diese Kontrollkategorie auf Funktionstüchtigkeit getestet werden muss; vgl. z.B. PCAOB (2004 a), para. 97.

364 Vgl. PCAOB (2005 b), para. 40. 365 Vgl. PCAOB (2004 a), para. 60–67; vgl. auch PCAOB (2005 b), para. 40. 366 Vgl. für weitere Faktoren in PCAOB (2004 a), para. 65.

3. Kapitel: Die Ausführungsregeln zu Section 404

89

von denen er annehmen kann, dass sie nur mit entfernter Wahrscheinlichkeit („remote likelihood“)367 eine wesentliche Fehlaussage im Abschluss verursachen können.

Sodann hat er für jedes als wesentlich erkannte Element relevante Prüfungsaussagen („assertions“) zu bestimmen, Aussagen also, die von erheblicher Bedeutung für die wahrheitsgemässe Darstellung der Abschlusselemente sind.368 Auch hier gilt, dass jene Aussagen vernachlässigt werden können, die gemäss Einschätzung des Prüfers kein beachtenswertes Risiko einer wesentlichen Fehlaussage bergen.

Abb. 6: Schritte zur Identifizierung von zu testenden Kontrollen

Ausgehend von den „significant accounts“ hat der Prüfer dann die diesen zugrunde liegenden wesentlichen Unternehmensprozesse („significant processes“)369 und Trans-aktionsklassen („major classes of transactions“)370 zu benennen. Für jede wesentliche

367 Vgl. zur Definition von „remote likelihood“ PCAOB (2004 a), para. 9. 368 Vgl. PCAOB (2004 a), para. 68–70, und PCAOB (2005 b), para. 40. Die zu untersuchenden Aussagen

sind: Vorhandensein, Vollständigkeit, Bewertung, Rechte und Verpflichtungen, Darstellung und Offenle-gung.

369 Dazu zählt etwa der Berichtsprozess am Ende einer Geschäftsperiode; vgl. PCAOB (2004 a), para. 76–78. 370 Vgl. ebd., para. 71–75. Eine Transaktionsgruppe innerhalb des Prozesses „Umsatz“ kann etwa der Ver-

kauf via Internet sein. Transaktionen werden unterschieden in: i) Routine-Transaktionen bzw. wiederkeh-rende Aktivitäten im normalen Geschäftsverkehr (z.B. Zahlungsausgänge); ii) Nicht-Routine-Transaktionen bzw. periodisch vorkommende Geschäftsvorfälle (z.B. Lagerinventur); iii) Transaktionen, bei denen Ermessen angewendet und Annahmen getroffen werden müssen (sogenannte „estimation tran-sactions“) – sie gelten generell als mit einem höheren Risiko behaftet (z.B. Impairmentberechnungen).

Bestimmung der wesentlichen Elemente der

Rechnungslegung

Zuordnung der relevanten Prüfungsaussagen zu den

Abschlusselementen

Bestimmung wesentlicher Unternehmensprozesse und

-transaktionen

Identifizierung fehler-oder deliktanfälliger Prozessaktivitäten

Identifizierung relevanter, zu testender Kontrollen

Beispiel

Vorräte bzw. Fertigprodukte

VorhandenseinVollständigkeitBewertung

Herstellung Fertigprodukte

Berechnung der Kosten für Material und Arbeit; Zuordnung der Gemeinkosten

Berechnung und regelmässige Untersuchung von Produktionsvarianzen

3. Kapitel: Die Ausführungsregeln zu Section 404

90

Transaktionsklasse hat er „Walkthroughs“ durchzuführen, um ein Verständnis über den Transaktionsfluss zu erlangen, solche Punkte innerhalb des Prozesses zu erkennen, an denen wesentliche Fehlaussagen entstehen können, sowie die Kontrollen zu identi-fizieren, die das Management zur Vorkehrung eingerichtet hat.371 Auf Basis der dabei entdeckten delikt- und fehleranfälligen Stellen wählt der Prüfer schliesslich die zu tes-tenden Kontrollen aus, wozu er u.a. die Bedeutung der einzelnen Kontrollen für die Erreichung der verschiedenen Kontrollziele und ihre Natur berücksichtigen muss; er ist also nicht verpflichtet, sämtliche Kontrollen zu testen.372

Besteht das zu prüfende Unternehmen aus mehreren Unternehmenseinheiten, hat der Prüfer eine hohe Abdeckung der finanziellen Positionen des Unternehmens („large portion of the company’s operations and financial position“)373 zu gewährleisten. Das PCAOB geht dabei davon aus, dass bereits eine geringe Anzahl von Unternehmens-einheiten einen genügend grossen Anteil der Abschlusspositionen auf sich vereint.374 Neben diesen „financially significant locations“, die allein betrachtet eine wesentliche Bedeutung für die konsolidierten Abschlüsse haben, hat der Prüfer auch solche Unter-nehmenseinheiten zu betrachten, aus denen besondere Risiken für die Rechnungsle-gung resultieren können. Zudem sind jene Unternehmenseinheiten zu berücksichtigen, die zwar nicht „individually important“, aber gemeinsam mit anderen Einheiten einen wesentlichen Einfluss auf die Finanzberichterstattung des Unternehmens besitzen. Während in den beiden erstgenannten Kategorien der Prüfer die Kontrollen über die relevanten Aussagen für die wesentlichen Elemente der Rechnungslegung bzw. über die vorliegenden spezifischen Risiken zu testen hat, muss er in der letzten Kategorie lediglich die „company-level controls“375 testen.

371 Vgl. PCAOB (2004 a), para. 79–82. 372 Vgl. ebd., para. 83 und 86. 373 Ebd., Appendix B, para. 11. 374 Vgl. ebd., Appendix B, para. 4. Siehe ergänzend auch PCAOB (2005 a), Q18, wonach der Prüfer in be-

stimmten Fällen lediglich eine (nicht näher definierte) repräsentative Stichprobe aus den Unternehmens-einheiten wählen kann, um den Prüfaufwand auf ein vernünftiges Mass zu reduzieren.

375 Verstanden als „controls management has in place to provide assurance that appropriate controls exist throughout the organization, including at individual locations or business units”; PCAOB (2004 a), Ap-pendix B, para 8.

3. Kapitel: Die Ausführungsregeln zu Section 404

91

3.2.2.2 Prüfung der konzeptionellen Wirksamkeit Um hinreichende Sicherheit bezüglich der konzeptionellen Wirksamkeit376 von ICoFR zu erlangen, hat der Prüfer zu ermitteln, ob das Unternehmen über Kontrollen verfügt, die ihrer Natur nach geeignet sind, die relevanten Kontrollziele zu erreichen. Hierfür sind zunächst die unternehmensspezifischen Kontrollziele zu identifizieren, denen dann die bestehenden, zu ihrer Erreichung beitragenden Kontrollen377 gegenüberzu-stellen sind. Anschliessend ist abzuwägen, ob – ihre Funktionstüchtigkeit vorausge-setzt – die so bestimmten Kontrollen beschaffen sind, Fehler oder Betrugsfälle, die erhebliche Falschdarstellungen in den Abschlüssen nach sich ziehen können, zu ver-hindern oder aufzudecken imstande sind.378 Dabei kann sich der Prüfer üblicher Prüf-verfahren379 bedienen. Auch kann er auf die Ergebnisse seiner vorherigen Untersu-chungen zurückgreifen.

3.2.2.3 Prüfung der operativen Wirksamkeit Nachdem der Prüfer die bestehenden Kontrollen auf deren konzeptionelle Wirksam-keit hin überprüft hat, gilt es in einem nächsten Schritt sicherzustellen, dass die als relevant identifizierten Kontrollen auch wie geplant funktionieren.380 Hierzu stehen ihm wiederum verschiedene Testtechniken zur Verfügung.381 Die Testumfänge sind u.a. in Abhängigkeit von der Natur der Kontrollen festzusetzen.382 Andere bei der Be-stimmung des Testumfanges zu berücksichtigende Faktoren sind die Frequenz, mit der die Kontrolle ausgeführt wird, und deren Bedeutung für die Zuverlässigkeit der Ab-schlüsse sowie die Ergebnisse aus der Untersuchung der „company-level controls“.

Die von dem PCAOB aufgestellte Grundregel, dass die vom Prüfer persönlich geleis-tete Arbeit die wesentliche Grundlage („principal evidence“) für dessen Meinung dar-stellen muss,383 bedeutet, dass der Prüfer nur in beschränktem Umfang von den Arbei-

376 Entspricht der Aufbauprüfung, wie sie in Abschnitt 2.3.4.1.2 besprochen wurde. 377 Diese wurden im Rahmen der Aneignung von Kenntnissen über ICoFR identifiziert; vgl. 3.2.2.1. 378 Vgl. PCAOB (2004 a), para. 88. 379 Vgl. ebd., para. 89. 380 Entspricht der Funktionsprüfung, wie sie in Abschnitt 2.3.4.1.2 besprochen wurde. 381 Vgl. PCAOB (2004 a), para. 96 ff. 382 Grundsätzlich gilt, dass eine Kontrolle um so ausgiebiger getestet werden muss, je weniger sie automati-

siert, je komplexer ihr Design und je niedriger die Qualifikation der sie ausübenden Person ist; vgl. ebd., para. 97.

383 Vgl. ebd., para. 108.

3. Kapitel: Die Ausführungsregeln zu Section 404

92

ten Anderer384 profitieren kann. Besondere Vorsicht ist bei der Auswertung der opera-tiven Wirksamkeit angebracht: Ob der Rückgriff auf bereits vorliegende Erkenntnisse zulässig ist, hängt von der Natur der Kontrollen sowie der dem Ermittelnden eigenen Objektivität und Kompetenz ab. Bei der Beurteilung von Kontrollen, die in die Kate-gorie des Kontrollumfelds fallen, darf sich der Prüfer nur auf seine eigenen Untersu-chungen verlassen. In jedem Fall hat der Prüfer, will er Arbeiten Anderer verwenden, diese vorweg zu testen.

3.2.2.4 Urteilsbildung Im Anschluss an die Prüfarbeiten hat der Prüfer sich ein Urteil über die Wirksamkeit von ICoFR zu bilden.385 Hierein müssen neben den Erkenntnissen, die der Prüfer aus seinen Untersuchungen der konzeptionellen bzw. der operativen Wirksamkeit gewon-nen hat, auch negative Ergebnisse aus der Abschlussprüfung sowie alle identifizierten Kontrollschwächen einfliessen. Letztere hat der Prüfer hinsichtlich deren Schwere zu analysieren.386 Zu unterscheiden hat er zwischen einfachen Kontrollmängeln („control deficiencies“), erheblichen Kontrollmängeln („significant deficiencies“) und wesentli-chen Schwachstellen („material weaknesses“).387

3.2.3 Abstimmung mit der Abschlussprüfung Zwischen der Abschlussprüfung und der ICoFR-Prüfung bestehen Schnittmengen, die der Prüfer bei seiner Arbeit zu bedenken und nutzbar zu machen hat.388 Abb. 7 ver-deutlicht die vom PCAOB definierten Zusammenhänge:

• Einerseits sind die vom Prüfer zwecks Bildung einer Meinung über ICoFR durchzuführenden „tests of controls“ (siehe Abschnitte 3.2.2.2 und 3.2.2.3) um die Ergebnisse solcher Prüfhandlungen zu ergänzen, die er anlässlich der Ab-

384 „Andere“ sind z.B. Interne Revisoren, Management, übrige Mitarbeiter des Unternehmens oder auch

Externe. Das Management kann im Rahmen sogenannter „Self-Assessment of Controls“ die Wirksamkeit von solchen Kontrollen testen, für deren Ausübung es selbst verantwortlich ist. Mangels ausreichender Objektivität darf der Prüfer derlei Arbeiten nicht hinzuziehen. Vgl. auch PCAOB (2005 b), para. 20–23, 36, 54.

385 Vgl. PCAOB (2005 a), para. 127 ff. 386 Konkret sind die Wahrscheinlichkeit, dass aufgrund eines Kontrollmangels eine Fehlaussage resultieren

kann, und die Höhe der potentiellen Fehlaussage zu beurteilen; vgl. ebd., para. 132. 387 Vgl. zu den Definitionen ebd., para. 9 ff. Eine wesentliche Schwachstelle bedeutet nicht, dass eine we-

sentliche Fehlaussage vorliegt, sondern lediglich, dass eine solche resultieren könnte; vgl. Deloitte & Touche et al. (2004), S. 14. Vgl. auch PCAOB (2005 b), para. 11–15, 28, 32–35.

388 Vgl. PCAOB (2004 a), para. 145 ff.

3. Kapitel: Die Ausführungsregeln zu Section 404

93

schlussprüfung zur Bestimmung des Kontrollrisikos389 vorgenommen hat (vgl. Pfeil 1 in Abb. 7).

• Gleichzeitig hat er die Ergebnisse der im Rahmen der ICoFR-Prüfung getätigten Prüfhandlungen bei der Planung der Abschlussprüfung, insbesondere bei der Bestimmung von Art, Zeitpunkt und Umfang der ergebnisorientierten Prüfhand-lungen, zu berücksichtigen (vgl. Pfeil 2).390

Abb. 7: Beziehungen zwischen Abschlussprüfung und ICoFR-Prüfung

• In Fällen, in denen der mittels analytischer Prüfhandlungen gewonnene Prü-fungsnachweis alleine nicht hinreichend ist (weil das inhärente Risiko als sehr hoch einzustufen ist), hat er zudem zwecks Sicherstellung von Vollständigkeit und Korrektheit der geprüften Informationen die konzeptionelle und operative Wirksamkeit der diesbezüglichen Kontrollen zu testen (vgl. Pfeil 3).391

• Anderseits sind die Ergebnisse der ergebnisorientierten Prüfungshandlungen bei der Bildung einer Meinung über die Wirksamkeit von ICoFR hinzuziehen – zu betrachten hat der Prüfer insbesondere allfällige Feststellungen hinsichtlich ille-galer Aktivitäten oder Transaktionen mit nahestehenden Parteien sowie entdeck-te Fehlaussagen (vgl. Pfeil 4).392

389 Vgl. PCAOB (2004 a), para. 149–151; siehe Abschnitt 2.3.4.1.2. 390 Vgl. PCAOB (2004 a), para. 151 und 156; siehe auch para. 26 im Zusammenhang mit der Pflicht des

Prüfers, das Risiko deliktischer Handlungen zu berücksichtigen. 391 Vgl. ebd., para. 153. 392 Vgl. ebd., para. 149 und 157.

Abschlussprüfung

Verfahrensorientierte Prüfungshandlungen

Ergebnisorientierte Prüfungshandlungen

Prüfung der ICoFR

Verfahrensorientierte Prüfungshandlungen:

Prüfung der konzeptionellen

Wirksamkeit

Prüfung der operativen

Wirksamkeit

Ergebnisse gehen ein in Planung von

(1)

(2)

(3)

(4)

3. Kapitel: Die Ausführungsregeln zu Section 404

94

3.2.4 Berichterstattung des Prüfers Das PCAOB gibt einen Standardbericht393 vor, der vom Prüfer auszustellen ist, wenn dieser eine uneingeschränkte Meinung („unqualified opinion“) sowohl über die ICoFR -Beurteilung des Managements als auch über die Wirksamkeit von ICoFR abgeben kann.394 Er enthält im wesentlichen die folgenden Elemente:

• Einleitung, in der auf den ICoFR-Managementbericht verwiesen, die geltenden Kontrollkriterien benannt und die Aufgaben von Management bzw. Prüfer un-terschieden werden;

• Erklärung, dass die Prüfung in Übereinstimmung mit den Vorschriften des PCAOB erfolgte, und Feststellung, dass nach Ansicht des Prüfers die Prüfung – bestehend aus den unter 3.2.1 und 3.2.2 beschriebenen Schritten – eine ange-messene Grundlage für seine Meinungen darstelle;395

• Definition von ICoFR, wie sie von der SEC beschlossen wurde, und Beschrei-bung der inhärenten Grenzen von ICoFR;

• Bekanntgabe der Meinungen – sowohl hinsichtlich des ICoFR-Managementberichts als auch bezüglich der Wirksamkeit von ICoFR – und Verweis auf die Ergebnisse der Abschlussprüfung.

Änderungen am Standardbericht sind vorzunehmen, wenn u.a.

• die vom Management durchgeführte Beurteilung der ICoFR nach Ansicht des Prüfers inadäquat ist – der Prüfer hat dann den Prüfumfang einzuschränken („scope limitation“)396;

393 Vgl. PCAOB (2004 a), para. 167 und Appendix A, Example A-1. Siehe für ein Praxisbeispiel Anhang B. 394 Notwendige Voraussetzung für die Abgabe einer uneingeschränkten Meinung ist, dass keine „material

weaknesses“ gefunden wurde; vgl. ebd., para. 129. 395 Auch dem unabhängigen Prüfer, der die Behauptung des Managements hinsichtlich der Wirksamkeit von

ICoFR zu beurteilen hat, wird vom PCAOB zugestanden, das Konzept der angemessenen Sicherheit an-zuwenden. PCAOB (2004 a), para. 18, erläutert die Übertragung dieses Konzepts auf die Prüfarbeit. Demnach können die Umstände, dass die Prüfung lediglich auf der Basis von Tests erfolgen kann bzw. dass subjektive Einschätzungen vorgenommen werden müssen, zu Verzerrungen im Gesamturteil bzw. Abweichungen von der Realität führen.

396 Vgl. ebd., para. 174 in Verbindung mit para. 178.

3. Kapitel: Die Ausführungsregeln zu Section 404

95

• eine wesentliche Schwachstelle besteht – der Prüfer hat dann ein verneinendes Prüfurteil („adverse opinion“) über die Wirksamkeit von ICoFR abzugeben;397

• eine Einschränkung des Prüfumfangs („scope limitation“) besteht – der Prüfer steht vor der Wahl, sich von der Prüfung zurückzuziehen („withdrawal“), ein Prüfurteil für unmöglich zu erklären („disclaimer of opinion“) oder ein einge-schränktes Prüfurteil („qualified opinion“) abzugeben;398

• der ICoFR-Bericht des Managements über die gesetzlichen Anforderungen hi-nausgehende Informationen enthält399 – der Prüfer muss dann ein Prüfurteil für unmöglich erklären („disclaimer of opinion“).400

Urteile des Prüfers über Wesentliche Schwachstellen …

Urteil des Ma-nagements

über ICoFR Management-bericht

Wirksamkeit von ICoFR Abschluss

… werden nicht entdeckt: wirksam unein-

geschränkt unein-

geschränkt (un-) ein-

geschränkt

… werden von Management und Prüfer entdeckt:

nicht wirksam unein-geschränkt verneinend (un-) ein-

geschränkt

… werden nur vom Prüfer ent-deckt:

wirksam verneinend verneinend (un-) ein-geschränkt

Tab. 8: Berichtsszenarien401

Tab. 8 zeigt – in Abhängigkeit davon, ob überhaupt und durch wen wesentliche Schwachstellen entdeckt werden – mögliche Berichtsszenarien auf, wie diese aus der

397 Der Prüfer hat ausreichende Informationen über die Natur der wesentlichen Schwachstelle und deren

möglichen Auswirkungen auf die Abschlüsse bekanntzugeben; vgl. PCAOB (2004 a), para. 175 ff. sowie Appendix A, Examples A-2 und A-6.

398 Vgl. ebd., para. 174 in Verbindung mit para 178 ff. Eine Einschränkung des Prüfumfangs wird dann als gegeben betrachtet, wenn der Prüfer nicht sämtliche notwendigen Prüfverfahren anwenden konnte, z.B. infolge mangelnder Dokumentation. Die Konsequenzen hat der Prüfer in Abhängigkeit von der Bedeu-tung der weggefallenen Prüfverfahren zu bestimmen.

399 Z.B. eine Aussage zum Kosten-Nutzen-Verhältnis gewisser Korrekturen; vgl. ebd., para. 190. 400 Vgl. ebd., para. 191. 401 In Anlehnung an Deloitte & Touche et al. (2004 a), Tab. 2.

3. Kapitel: Die Ausführungsregeln zu Section 404

96

Kombination der insgesamt vier von Management bzw. Prüfer abzugebenden Urteile entstehen können. Zwei Sonderfälle verdienen Beachtung:402

• Möglich ist es zunächst, ein negatives Urteil über die Wirksamkeit von ICoFR und gleichzeitig ein uneingeschränktes Urteil über die Abschlüsse abzugeben (vgl. die beiden unteren Zeilen in Tab. 8) – was der Fall ist, wenn der Prüfer sich bei der Abschlussprüfung nicht auf die für unzulänglich befundenen (also unwirksamen) Kontrollen verlassen konnte, aufgrund von (ergebnisorientierten) Prüfungshandlungen aber zum Schluss kam, dass die betroffenen Konten keine Fehlaussagen enthalten.403 Erklären lässt sich dies mit der Tatsache, dass wirk-same ICoFR keine notwendige Voraussetzung für eine ordnungsgemässe Rech-nungslegung ist.404

• Sodann ist denkbar, dass ICoFR als wirksam erklärt wird, die Abschlüsse je-doch mit einem eingeschränkten Testat versehen werden (vgl. die erste Zeile in Tab. 8). Der Standard erwähnt dieses Szenario zwar nicht explizit, lässt es aber implizit zu, indem er nämlich das Konstrukt der inhärenten Grenzen über-nimmt, gemäss dem bspw. menschliches Versagen oder Kollusion nicht durch ICoFR verhindert werden können.405

3.3 Beurteilung der Ausführungsregeln Nachdem in Abschnitt 2.3 die grundsätzlich zu erwartende Wirkungsweise einer ICoFR-Berichterstattung bzw. -Prüfung vor dem Hintergrund der Zielsetzung des Ge-setzgebers diskutiert wurde, sind nun die spezifischen Detailregelungen mit Blick auf die verschiedenen Absichten – Verbesserung der Rechnungslegung bzw. der Ab-schlussprüfung sowie Rückgewinnung des Anlegervertrauens – zu beurteilen.

402 Vgl. Cunningham (2003), S. 40 f. 403 Vgl. PCAOB (2004 a), para. 193. 404 Siehe die Abschnitte 2.3.3.1.4 und 2.3.4.1.3. 405 Vgl. PCAOB (2004 a), para. 16; siehe auch Abschnitt 3.1.1. Wenn also der Prüfer bei der Abschlussprüfung eine wesentliche Fehlaussage feststellt, die aus menschli-

chem Fehlverhalten resultiert (mithin nicht durch unwirksame ICoFR bedingt wurde), gleichzeitig aber – aus welchen Gründen auch immer – nicht rechtzeitig korrigiert werden kann, würde das Prüfurteil über die Abschlüsse eingeschränkt sein, nicht aber die Meinung über die ICoFR; konkret ermöglicht wird dies durch die Bestimmung von ebd., para. 140, wo es heisst, dass eine vom Prüfer identifizierte Fehlaussage lediglich ein starker Hinweis („strong indicator“) auf das Vorliegen wesentlicher Schwachstellen ist.

3. Kapitel: Die Ausführungsregeln zu Section 404

97

3.3.1 Auswirkungen auf die Rechnungslegung Hinsichtlich des erstgenannten Ziels, Verbesserung der Zuverlässigkeit der Rech-nungslegung, ist zunächst festzuhalten, dass die allgemeingültigen Grenzen von ICoFR, wie sie in Abschnitt 2.3.3.1.4 beschrieben wurden, auch für die ICoFR-Definition der SEC gelten. Die darin enthaltene Verpflichtung des Managements für die Einrichtung von ICoFR unterstreicht übrigens diese „inherent limitations“. Die endgültige Verhinderung deliktischer Rechnungslegung darf daher nicht als natürliche Folge wirksamer ICoFR betrachtet werden. Hieran ändert auch nichts die Präzisierung seitens des PCAOB, dass die angestrebte „reasonable assurance“ als „high level of assurance”406 zu verstehen ist.

Einfluss auf die Zielerreichung nehmen vielmehr die folgenden Aspekte der Detailre-geln zu Section 404(a) bzw. (b):

• Der seitens der SEC den Unternehmen gewährte Freiraum ermöglicht individu-elle, auf unternehmensspezifische Umstände zurechtgeschnittene Umsetzungs-ansätze und legt somit die Grundlage für eine effiziente und effektive Gestaltung von ICoFR.

• Dem jedoch dürften die detaillierten Bestimmungen des PCAOB No. 2 entge-genwirken, da diese indirekte Anforderungen an Unternehmen enthalten. Zu denken ist etwa an die anspruchsvollen Dokumentationserfordernisse, deren Nichteinhaltung unter bestimmten Umständen eine Beschränkung des Prüfum-fangs zur Folge haben kann,407 oder an die Vorgehensweise zur Identifizierung zu testender Kontrollen.

• Angesichts der vagen Rolle, die das PCAOB den „company-level controls“ beimisst, werden insbesondere korrigierende Änderungen bzw. Neuerungen auf Gebieten wie dem Kontrollumfeld unwahrscheinlich. Dort angesiedelte Kontrol-len sind allerdings für die Sicherstellung einer ordnungsgemässen Rechnungsle-gung ebenso wichtig wie die Transaktionskontrollen.

• Die deutliche Betonung des Dokumentationserfordernisses legt den Schluss na-he, dass die Standardsetzer eine positive Korrelation zwischen der Wirksamkeit

406 PCAOB (2004 a), para. 17. 407 Vgl. ebd., para. 42–46.

3. Kapitel: Die Ausführungsregeln zu Section 404

98

von ICoFR und dem Dokumentierungsgrad unterstellen. Tatsächlich aber spricht nichts dagegen, dass auch informelle, also undokumentierte ICoFR effektiv sein kann.408 Auch ist nicht ohne weiteres zu erkennen, welcher zusätzliche Nutzen (in bezug auf die Effektivität der Kontrolle) von der reinen Formalisierung einer Kontrollaktivität ausgeht. Es kann nicht ausgeschlossen werden, dass Unter-nehmen im Bestreben, die Vorschriften zu erfüllen (bzw. um ihre „compliance“ zu demonstrieren409), aufwendige Dokumentationsarbeit erbringen, ohne jedoch signifikante Verbesserungen in der Wirksamkeit von ICoFR bzw. der Zuverläs-sigkeit der Rechnungslegung zu erzielen.

3.3.2 Auswirkungen auf die Abschlussprüfung Der Diskussion in Abschnitt 2.3.4 war zu entnehmen, dass die risikoorientierte Prü-fung mit verschiedenen Problemen verbunden ist, die den möglichen Nutzen einer ICoFR-Prüfung für die Abschlussprüfung einschränken. In diesem Zusammenhang genannt wurden die Schwierigkeiten einer zuverlässigen Beurteilung der Qualität der ICoFR sowie die grundsätzliche Uneindeutigkeit der Ergebnisse. Diese Merkmale gilt es auch bei einer Prüfung gemäss PCAOB No. 2 zu berücksichtigen. Darüber hinaus sind folgende Einwände vorzubringen, die ausschliesslich im Inhalt der Ausführungs-regeln des PCAOB begründet liegen:

• Die Entscheidung des PCAOB, den Prüfer eine regelrechte Prüfung von ICoFR (in deren Gesamtheit) vornehmen zu lassen, entspricht nicht der Absicht des Ge-setzgebers, die Auseinandersetzung des Prüfers mit ICoFR im Rahmen der Ab-schlussprüfung zu forcieren. Anzunehmen ist, dass zwei weitgehend unabhängig voneinander erfolgende Prüfungen durchgeführt werden, wobei die ICoFR-Prüfung der Abschlussprüfung zeitlich vorgeschaltet ist.

• Trotz seines Namens – „An Audit of Internal Control over Financial Reporting Performed in Conjunction with An Audit of Financial Statements“ – macht der PCAOB-Standard nur vage Vorgaben, wie der Effektivität dienliche Abstim-mungen zwischen den beiden Prüfungen erzielt werden können.

408 Vgl. White (1980), S. 340 f., und COSO (1992 a), S. 69: “The fact that controls are not documented does

not mean that an internal control system is not effective, or that it cannot be evaluated.” 409 Vgl. White (1980), S. 341.

3. Kapitel: Die Ausführungsregeln zu Section 404

99

• Die angesprochene Fokussierung auf Transaktionskontrollen sowie der verhält-nismässig geringe Stellenwert, den das PCAOB Kontrollen zur Verhinderung deliktischer Handlungen zuweist, lassen daran zweifeln, ob sich für den Ab-schlussprüfer aus einer ICoFR-Prüfung tatsächlich nennenswerte Erkenntnisse ergeben, zu denen er ohne eine solche Prüfung nicht gelangt wäre.

• Die Vorgabe, dass der Prüfer bei seiner abschliessenden Meinungsbildung über die Effektivität von ICoFR die Ergebnisse der Abschlussprüfung zu berücksich-tigen habe, verdeutlicht den beschränkten Nutzen einer ICoFR-Prüfung für die Abschlussprüfung.

3.3.3 Auswirkungen auf den Kapitalmarkt Die Diskussion der Erkenntnisse zum Zusammenhang zwischen einer ICoFR-Berichterstattung und dem Anlegervertrauen in Abschnitt 2.3.5 brachte zweierlei her-vor: erstens, dass eine Nachfrage nach derlei Berichten bislang nicht nachgewiesen werden konnte; zweitens, dass eine Berichterstattung kaum mit Verständnisschwierig-keiten verbunden sein dürfte. Was nun Letzteres betrifft, so ist zu bedenken, dass die in den diversen Experimenten zum Einsatz gekommenen Berichtsformate ungleich simpler konzipiert waren als die nun vom PCAOB vorgeschriebenen – insbesondere wurde lediglich das „Standardszenario“ behandelt, in dem der Abschlussprüfbericht uneingeschränkt war und ICoFR als wirksam erklärt wurde. Die in den Detailregelun-gen zu Section 404 definierten Berichtformate können hinsichtlich ihrer Verständlich-keit wie folgt beurteilt werden:

• Die Empfehlung der SEC, den ICoFR-Managementbericht in der Nähe der Ab-schlüsse – und damit an exponierter Stelle – zu präsentieren, dürfte der Wahr-nehmung dieses Berichts förderlich sein.

• Die geforderte Benennung des hinzugezogenen Rahmenkonzepts hat nur dann einen Informationsgehalt, wenn dieses den Berichtsadressaten bekannt ist. Dies kann bezweifelt werden, da die gängigen Rahmenkonzepte – allen voran das COSO-Framework – beileibe nicht in allen Unternehmen zum Einsatz gelan-gen410 und im übrigen lediglich dem Berufsstand vertraut sein dürften.

410 Siehe Abschnitt 2.1.1.1.

3. Kapitel: Die Ausführungsregeln zu Section 404

100

• Die Abgabe zweier Prüfmeinungen zu ICoFR könnte Verwirrung stiften.

• Klärungsbedürftig könnten gewisse Kombinationen von ICoFR-Prüfbericht und Abschlussprüfbericht sein. Dies gilt v.a. für den – wohl vergleichsweise häufig eintretenden – Fall, in dem ICoFR als unwirksam ausgewiesen wird und der Ab-schluss vom Prüfer als ordnungsgemäss erklärt wird.

Grundsätzlich positiv dürften sich die nachstehenden Aspekte auf das Interesse der Berichtsadressaten auswirken:

• Die Vorschrift der SEC, dass die Bewertung von ICoFR durch das Management auf ein Urteil über die Wirksamkeit von ICoFR hinauslaufen müsse, bedingt ei-ne Konzentration auf das Wesentliche.

• Die Involvierung des Abschlussprüfers in die Berichterstattung über ICoFR er-höht die Glaubwürdigkeit der Berichtsinhalte.

3.4 Andere Bestimmungen des Sarbanes-Oxley Act Von Interesse sind solche Bestimmungen, die entweder einen inhaltlichen Bezug zu Section 404 aufweisen, weil sie sich ebenfalls auf ICoFR beziehen bzw. einen Teilas-pekt hiervon adressieren, oder die Befolgung der Detailregeln durch Management und Prüfgesellschaft beeinflussen, indem sie Sanktionen bei Schlechterfüllung vorsehen.

3.4.1 Bestimmungen mit inhaltlichem Bezug zu Section 404 Inhaltlichen Bezug zu Section 404 haben die Sections 301, 302, 304, 406, 407. Wäh-rend die gemäss Section 302 einzureichenden Beglaubigungen auch Angaben zu ICoFR enthalten müssen, schlagen sich die anderen Bestimmungen im Kontrollumfeld eines Unternehmens nieder.

3.4.1.1 Section 301: Unabhängigkeit des Prüfungsausschusses Section 301, „Public Company Audit Committees“, trägt der SEC auf, die nationalen Börsen dazu anzuhalten, die Börsennotierung jedes Emittenten zu untersagen, der ver-schiedene Voraussetzungen an den (vom Verwaltungsrat einzusetzenden) Prüfungs-ausschuss nicht erfüllt. Die Bedingungen beziehen sich auf dessen Unabhängigkeit – sämtliche Mitglieder müssen unabhängig vom Emittenten sein – und dessen Verant-wortlichkeiten – die Verantwortung für die Auswahl, Entlassung, Vergütung und Kon-trolle des Abschlussprüfers liegt nun in den Händen des Prüfungsausschusses, der zu-

3. Kapitel: Die Ausführungsregeln zu Section 404

101

dem verpflichtet ist, einen Prozess zur Entgegennahme und Behandlung von anonym gemeldeten Unstimmigkeiten hinsichtlich Buchführung, ICoFR411 und Rechnungsle-gung einzurichten.412 Diese Bestimmungen, die das Senate Committee angesichts der im Enron-Fall aufgedeckten Missstände in den Gesetzesentwurf aufzunehmen sich gezwungen sah,413 schlugen bereits die Autoren des COSO-Frameworks vor.414 Die Börsen hatten sodann Richtlinien zu erlassen, gemäss denen die Emittenten sie im Fal-le wesentlicher Abweichungen von den obigen Bestimmungen umgehend zu informie-ren haben.415

Durch PCAOB No. 2 wird verlangt, dass der unabhängige Prüfer die Wirksamkeit, mit welcher der Prüfungsausschuss die externe finanzielle Berichterstattung und ICoFR bewertet, beurteilt.416 Zu berücksichtigen hat er insbesondere die Unabhängigkeit des-sen Mitglieder von der Geschäftsleitung sowie deren Interaktion mit dem Abschluss-prüfer, der internen Revision und dem Finanzchef. Ein explizites Erfordernis, die Ein-richtung eines „Whistleblower“-Prozesses zu prüfen, besteht hingegen nicht.

3.4.1.2 Section 302: Beglaubigung der Berichterstattung Section 302, „Corporate Responsibility for Financial Reports“, beauftragte die SEC mit dem Verfassen von Regelungen, gemäss denen alle aufgrund von Section 13(a) oder 15(d) des SEA einzureichenden Quartals- oder Jahresberichte Beglaubigungen („certifications“) enthalten müssen, die von der Geschäftsleitung zu unterzeichnen sind. Die diesbezüglichen Regelungen gelten seit dem 14. August 2003417 und betref-fen alle Unternehmen, die periodische Berichte bei der SEC einreichen müssen.418

411 Im Originaltext wird der (veraltete) Begriff „internal accounting controls“ verwendet. 412 Section 806, „Protection for employees of publicly traded companies who provide evidence of fraud“,

schützt solche Mitarbeiter von Emittenten, die bspw. Aufsichtsbehörden über eine Verletzung von Geset-zen informieren, vor jeglichen Diskriminierungen im Berufsleben, indem sie ihnen das Recht einräumt, Beschwerde beim „Secretary of Labour“ einzureichen, und ihnen einen Anspruch auf vollumfängliche Genugtuung zuspricht. Strafrechtlich wird eine Behinderung solcher „Whistleblowers“ mit Geldstrafe und bzw. oder einer Freiheitsstrafe von bis zu zehn Jahren belegt; vgl. Section 1107 des SOA.

413 Vgl. US Senate (2003 b), S. 1905 ff. 414 Dort wies man auf die Notwendigkeit unabhängiger Mitglieder hin und empfahl die Einrichtung von

„mechanisms that exist to encourage employee reporting of suspected violations“ bei gleichzeitiger Si-cherstellung des Informantenschutzes. Vgl. COSO (1992 a), S. 22 f. und S. 60.

415 Siehe für die Detailregelungen SEC (2003 b). Vgl. z.B. NYSE (2004), wo vorgeschrieben ist, dass die Geschäftsleitung der NYSE einmal jährlich zu bestätigen hat, dass ihr keine Verletzungen der entspre-chenden Vorschriften bekanntgeworden seien.

416 Vgl. PCAOB (2004 a), para. 55–59. 417 Gewisse Abschnitte der Beglaubigungen beziehen sich auf ICoFR bzw. auf die vom Management vorzu-

nehmende Beurteilung von ICoFR, wie sie in den Detailregeln zu Section 404 geregelt ist. Solange diese

3. Kapitel: Die Ausführungsregeln zu Section 404

102

Mit Abgabe der separat als Anhänge („exhibit“)419 zu übermittelnden Beglaubigungen bestätigt die Geschäftsleitung, dass die jeweiligen Berichte weder unwahre Tatsachen enthalten noch wesentliche Tatsachen verschweigen, sowie dass die in den Berichten enthaltenen Abschlüsse in allen wesentlichen Belangen die finanzielle Situation zutref-fend darstellen.420

Gegenstand der Beglaubigungen sind auch Kontrollen über die Offenlegung, sog. „Disclosure Controls and Procedures“ (DCP)421. Ihre Verantwortung für deren Ein-richtung muss die Geschäftsleitung ebenso kundtun wie die Ergebnisse der vierteljähr-lichen Auswertung in bezug auf deren Wirksamkeit.422 Unter DCP subsumiert die SEC dabei alle solche Massnahmen, die gewährleisten sollen, dass sämtliche Informationen, die der Emittent gemäss dem SEA offenzulegen hat423, innerhalb der von der SEC vorgegebenen Fristen erfasst, verarbeitet, zusammengefasst und berichtet werden. U.a. sollen die DCP sicherstellen, dass veröffentlichungspflichtige Informationen der Ge-schäftsleitung in aufbereiteter Form zugestellt werden, damit diese rechtzeitig Ent-scheidungen über die Offenlegung treffen kann.424 Anders als ICoFR beziehen sich die so definierten DCP also auf sämtliche Offenlegungspflichten des Unternehmens und erstrecken sich als solche nicht nur auf die rein finanziellen Informationen der Unter-nehmensabschlüsse, sondern auch auf die nicht-finanziellen Angaben, die in den di-versen Berichten gemacht werden müssen.425 Sie haben folglich einen weiteren Um-

Bestimmungen noch nicht umgesetzt werden mussten, konnten die entsprechenden Verweise in den Be-glaubigungen ausgelassen werden; vgl. SEC (2003 c), S. 36651.

418 Bei „foreign private issuers“ sind nur die Jahresberichte betroffen; vgl. US CFR, Title 17, Section 240.13a–14(d).

419 Vgl. SEC (2003 c), S. 36651 und S. 36668 ff. 420 Vgl. US CFR, Title 17, Section 229.601.31. 421 Die Bezeichnung „Disclosure Controls and Procedures“ entstammt nicht dem SOA, sondern wurde erst

von der SEC im Zusammenhang mit der Erarbeitung der Ausführungsregelungen geschaffen; vgl. SEC (2002 a), S. 57277. Im Gesetzestext ist die Rede von „Internal Control“; vgl. Section 302(a)(4).

422 Vgl. US CFR, Title 17, Sections 240.13a–15(a) und 229.601.4. 423 Die gemäss dem SEA einzureichenden Berichtsformulare finden sich in US CFR, Title 17, Section 249.

Dabei handelt es sich nicht nur um periodische, sondern auch um Ad-hoc-Berichte. Vgl. Merkl (2003), S. 1046.

424 Vgl. US CFR, Title 17, Sections 240.13a-15(e) und 240.15d-15(e). 425 In ihren Ausführungsbestimmungen erläuterte die SEC (2002 a), S. 57279 f.: “[…] we have defined the

term ‘disclosure controls and procedures’ to incorporate a broader concept of controls and procedures de-signed to ensure compliance with disclosures requirements generally. […] We have defined the term ‘dis-closure controls and procedures’ to make it explicit that the controls contemplated by Section 302(a)(4) of the Act are intended to embody controls and procedures addressing the quality and timeliness of disclo-sures.” Am Beispiel einer Form 20-F unterscheidet Menzies (2004), S. 50 ff., die rein finanziellen von den nicht-finanziellen Informationen eines Abschlussberichts und ordnet diese dem alleinigen Geltungs-bereich von Section 302 bzw. dem gemeinsamen Geltungsbereich von Section 302 und Section 404 zu.

3. Kapitel: Die Ausführungsregeln zu Section 404

103

fang als ICoFR,426 decken allerdings nicht das gesamte Spektrum des COSO-Frameworks ab.427

ICoFR selbst sind ein weiteres Element der Beglaubigungen von Section 302. So muss sich die Geschäftsleitung in jedem periodischen Bericht zu ihrer Verantwortung für die Errichtung und Pflege von ICoFR bekennen und bestätigen, dass letztere angemessene Sicherheit hinsichtlich der Verlässlichkeit der finanziellen Berichterstattung und der Aufbereitung von Abschlüssen in Übereinstimmung mit allgemein anerkannten Rech-nungslegungsgrundsätzen bietet.428 Zu erklären hat sie darüber hinaus, dass alle im Verlaufe des vergangenen Quartals eingetretenen Änderungen in ICoFR, welche diese erheblich beeinflusst haben oder wesentlich zu beeinflussen imstande sind, in dem je-weiligen Bericht aufgezeigt werden.429

Schliesslich müssen CEO und CFO beglaubigen, dass sie alle anlässlich der jüngsten – aufgrund von Section 404(a) vorgenommenen – ICoFR-Beurteilung entdeckten erheb-lichen Kontrollmängel („significant deficiencies“) und wesentlichen Schwachstellen („material weaknesses“) sowie sämtliche deliktischen Handlungen, die von der Ge-

426 Die SEC weist darauf hin, dass zwar grosse Überschneidungen zwischen den beiden Begrifflichkeiten

bestehen, dass aber nicht alle Elemente von ICoFR notwendigerweise auch DCP zuzuordnen seien; vgl. SEC (2003 c), S. 36645. U.a. dürften allerdings Praktikabilitätsüberlegungen gegen eine vom Unterneh-men vorzunehmende Unterscheidung seiner ICoFR in zu DCP gehörig oder nicht gehörig sprechen. Aus diesem Grunde wird hier davon ausgegangen, dass sämtliche ICoFR Bestandteil der DCP sind. Vgl. auch Merkl (2003), Fn 7.

Wie in Abschnitt 3.1.2 gezeigt wurde, entstand der SOA aus der Zusammenführung verschiedener Geset-zesentwürfe, die teils aus dem Repräsentantenhaus, teils aus dem Senat stammten. Die Bestimmungen der Section 302 etwa wurden von J.J. LaFalce als Änderung zum Gesetzesentwurf des House Committee vorgetragen; vgl. US House of Representatives (2002 c), S. 51, siehe auch Abschnitt 2.1.2. Section 404 hingegen war im Entwurf des Senate Committee vorgesehen, der nahezu unverändert in den SOA über-nommen wurde und auf den der Grossteil der finalen Version zurückgeht. Denkbar ist, dass man bei der Erarbeitung des SOA den als Grundlage dienenden Senatsentwurf um das besagte Erfordernis von Secti-on 302(a)(2) ergänzen wollte, dabei aber die inhaltlichen Überlappungen der Section 302(a)(4) mit Secti-on 404 übersah. – Auf ein anderes redaktionelles Versehen des Gesetzgebers, ebenfalls in Verbindung mit Section 302, weisen Lanfermann/Maul (2002), S. 1729, hin.

427 Vgl. Menzies (2004), S. 42 ff. 428 Vgl. US CFR, Title 17, Section 229.601.4(b). 429 Vgl. US CFR, Title 17, Sections 229.601.4(d), 229.308(c), 240.13a–15(d). Die Unternehmen sind bei der Offenlegung der Änderungen in ICoFR an keine formellen Vorgaben ge-

bunden; vgl. US CFR, Title 17, Section 229.308(c). Mit der Erfüllung der Bestimmungen müssen alle Emittenten im jeweils ersten Quartal nach Ablauf des-

jenigen Geschäftsjahres, in dem zum ersten Mal die Einreichung eines ICoFR-Berichts fällig wurde, be-ginnen; vgl. SEC (2003 c), S. 36651. Weil ausländische Emittenten keine Quartalsberichte bei der SEC einreichen müssen, entfällt für sie die vierteljährliche Beurteilung von allfälligen Änderungen in ICoFR. Statt dessen müssen sie alle im Verlaufe des vergangenen Jahres eingetretenen relevanten Änderungen darlegen; vgl. US CFR, Title 17, Sections 229.308(c) bzw. 240.13a–15(d).

3. Kapitel: Die Ausführungsregeln zu Section 404

104

schäftsleitung oder anderen, eine tragende Rolle spielenden Mitarbeitern begangen wurden, dem Prüfungsausschuss und der Prüfgesellschaft mitgeteilt haben.430

3.4.1.3 Section 304: Rückerstattung von Boni und Abfindungen Section 304, „Forfeiture of Certain Bonuses and Profits“, schreibt vor, dass CEO und CFO, falls sie – infolge wesentlicher, durch Fehlverhalten bedingter Abweichungen – eine rückwirkende Abschlusskorrektur vornehmen müssen, bereits erhaltene Bonus-zahlungen und Abfindungen, die unter Hinzuziehung der inkorrekten Unternehmens-zahlen ermittelt wurden, sowie durch den Verkauf von Unternehmensaktien realisierte Kursgewinne zurückzahlen müssen.

Diese Bestimmung, die das Senate Committee in Anlehnung an die von Präsident G.W. Bush erhobene Forderung, dass „CEOs or others officers should not be allowed to profit from erroneous financial statements“431, festschrieb432, ist dazu angetan, die (möglichen) negativen Konsequenzen einer stark aktienbasierten Managementvergü-tung – nämlich: Manipulationen der Rechnungslegung aufgrund von finanziellen Inte-ressen – zu schwächen. Hohe ergebnisbezogene Vergütungsbestandteile nannte bereits COSO (1992) als mögliche Ursache deliktischer Rechnungslegung und empfahl, Vor-kehrungen hiergegen zu ergreifen.433

Das PCAOB hält den Prüfer nicht nur dazu an, das Kontrollumfeld zu beurteilen, son-dern erachtet es sogar für so wichtig, dass der Prüfer sich hierbei nicht auf die Arbeiten Anderer verlassen dürfe.434 Dass dieser sich allerdings mit Fragen der Management-vergütung im allgemeinen oder Mechanismen zur Abschwächung gewisser „Versu-chungen“ im besonderen auseinanderzusetzen habe, wird nicht (explizit) verlangt.

3.4.1.4 Section 406: Ethikkodex für Finanzmanager Section 406, „Code of Ethics for Senior Financial Officers”, trägt der SEC auf, Richt-linien zu erlassen, welche die Emittenten dazu verpflichten darzulegen, ob sie einem Ethikkodex folgen und – falls sie dies nicht tun – die Gründe hierfür anzugeben. Unter einem Ethikkodex wird dabei ein schriftlicher Standard verstanden, der zu ehrlichem

430 Vgl. US CFR, Title 17, Section 229.601.5(a) und (b). 431 Vgl. Bush (2002). 432 Vgl. Senate (2003 b), S. 1908. 433 Vgl. COSO (1992 a), S. 21, und Coffee (2003). 434 Vgl. PCAOB (2004 a), para. 113 ff.

3. Kapitel: Die Ausführungsregeln zu Section 404

105

Verhalten anhält, eine vollständige, akkurate und rechtzeitige finanzielle Berichterstat-tung fördert, die Einhaltung gesetzlicher Vorschriften propagiert sowie die umgehende Meldung von Verletzungen des Kodex vorsieht.435

Das COSO nannte die Vorgabe ethischer Richtlinien und deren „Vorleben“ durch das Management als essentielle Bestandteile eines wirksamen Kontrollumfelds.436 Auch das PCAOB subsumiert den Ethikkodex unter solche Kontrollen, die zwecks Verhin-derung deliktischer Rechnungslegung eingerichtet sind und vom Prüfer (auf nicht nä-her definierte Weise) berücksichtigt werden müssen.437

3.4.2 Sanktionen bei Schlechterfüllung von Section 404 Einfluss auf die Art und Weise, wie Prüfer und Management Section 404 umsetzen, nehmen Sections 104 und 105, welche die Überwachung der Prüfgesellschaften durch das PCAOB regeln, sowie Section 906, die dem Management gilt.

3.4.2.1 Sections 104 und 105: Überwachung der Prüfgesellschaften Section 104(a), „Inspections of Registered Public Accounting Firms“, verpflichtet das PCAOB dazu, regelmässig – mindestens aber alle drei Jahre – zu überprüfen, inwie-weit die bei ihm registrierten Prüffirmen den Bestimmungen des SOA, des PCAOB, der SEC und den Standards des Berufsstands nachkommen. Auf diese Weise sicherzu-stellen ist u.a., dass die Prüfgesellschaften die Prüfung von ICoFR in Übereinstim-mung mit den Vorschriften des PCAOB vornehmen. Die Ergebnisse der Inspektionen sind teilweise der Öffentlichkeit zugänglich zu machen.438

Section 105, „Investigations and Disciplinary Proceedings“, regelt Sonderuntersu-chungen („investigations“) und Disziplinarmassnahmen („disciplinary proceedings“), die das PCAOB bei Verstössen von registrierten Prüffirmen und deren leitenden An-gestellten gegen die Vorschriften des SOA, die Erlasse des PCAOB oder die einschlä-gigen Berufsgrundsätze ergreifen kann. So droht den Betroffenen im Falle eines ein-maligen fahrlässigen Handelns der befristete oder endgültige Ausschluss von der Tä-tigkeit bei einer registrierten Prüfgesellschaft. Darüber hinaus kann es bei natürlichen

435 Vgl. SEC (2003 a). 436 Vgl. COSO (1992 a), S. 20 ff. 437 Vgl. PCAOB (2004 a), para. 24. 438 Vgl. Section 104(d) und (g); vgl. PCAOB (2004 b). Vgl. für einen beispielhaften Inspektionsbericht

PCAOB (2004 c).

3. Kapitel: Die Ausführungsregeln zu Section 404

106

Personen zu einer Geldstrafe von bis zu 100’000 USD, bei juristischen Personen von bis zu 2 Mio. USD kommen. Bei vorsätzlichem Handeln bzw. bei wiederholtem fahr-lässigen Handeln sind die Strafmasse deutlich höher: Zu rechnen ist dann mit einer befristeten oder endgültigen Aufhebung der Registrierung der Prüfungsgesellschaft beim PCAOB, der befristeten oder endgültigen Beschränkung der Aktivitäten der Prü-fungsgesellschaft, oder einer Geldstrafe, die bei natürlichen Personen bis zu 750’000 USD, bei juristischen Personen bis zu 15 Mio. USD betragen kann.439

3.4.2.2 Section 906: Strafrechtliche Sanktionen für das Management Section 906, „Corporate Responsibility for Financial Reports” ergänzt den US Crimi-nal Code.440 Ihr zufolge muss die Geschäftsleitung mit jedem bei der SEC einzurei-chenden periodischen Bericht, sofern dieser Abschlüsse beinhaltet, eine (zusätzliche) schriftliche Erklärung abgeben, in welcher sie bestätigt, dass der jeweilige Bericht die Publizitätsanforderungen nach Section 13(a) bzw. 15(d) des SEA erfüllt und dass die darin gemachten Angaben zur wirtschaftlichen Lage des Unternehmens in allen we-sentlichen Belangen zutreffend sind.441

Mit diesem Erfordernis verbunden sind empfindliche Strafmasse: Wusste die Ge-schäftsleitung oder hätte sie wissen müssen („knowingly“), dass die in dem Bericht enthaltenen Informationen unzutreffend waren, und hat gleichwohl den erforderlichen Bestätigungsbericht eingereicht, droht eine Geldstrafe von bis zu 1 Mio. USD und bzw. oder eine Freiheitsstrafe von bis zu zehn Jahren. Bei einer vorsätzlich falschen Bestätigung („wilfully“) fällt das Strafmass mit einer Geldstrafe von bis zu 5 Mio. USD und einer Freiheitsstrafe von bis zu 20 Jahren deutlich höher aus.442

439 Vgl. Section 105(c)(4); vgl. auch Lanfermann/Maul (2002), S. 1728. 440 Die zivilrechtrechtliche Grundlage für Schadenersatzansprüche gegen die Geschäftsleitung wegen Veröf-

fentlichung von falschen oder irreführenden Informationen ist in Sections 18(a) und 10(b) des SEA kodi-fiziert. Vgl. Fischer/Rotter (2003), S. 9, und Kersting (2003), S. 233 f.

441 Section 906(b): “[…] The statement required […] shall certify that the periodic report containing the financial statements fully complies with the requirements of section 13(a) or 15(d) of the Securities Ex-change Act of 1934 […] and that information contained in the periodic report fairly presents, in all mate-rial respects, the financial condition and results of operation of the issuer.”

Vgl. auch US CFR, Title 17, Section 240.13a–14(b). Gleich den Beglaubigungen von Section 302 ist auch diese Erklärung als „exhibit“ einzureichen, was zur Folge hat, dass sie nicht Gegenstand von zivil-rechtlichen Klagen nach Section 18 des SEA werden kann; vgl. 68 SEC (2003 c), S. 36652. Die rechtli-chen Folgen einer Nichteinreichung der von Section 906 verlangten Erklärung sind in Section 3(b)(1) des SOA in Verbindung mit Section 32 des SEA geregelt; vgl. SEC (2003 c), S. 36652.

442 Vgl. zur Kritik an der unscharfen Abgrenzung von „wissentlich“ und „vorsätzlich“ Geiger/Taylor (2003), S. 364 f.

3. Kapitel: Die Ausführungsregeln zu Section 404

107

Der ICoFR-Bericht von Section 404 ist – wie übrigens die Beglaubigungen der Section 302 auch – eine im Zusammenhang mit periodischen Berichten zu erbringende Offen-legungspflicht und wird als solche von den geforderten Erklärungen der Section 906 abgedeckt. Die Geschäftsleitung hat also zu bedenken, dass, wenn sie den Bericht über die Wirksamkeit von ICoFR erstellt, Nicht- oder Schlechterfüllung die obengenannten Sanktionen zur Folge haben können.

Keine strafrechtlichen Konsequenzen muss sie gewärtigen, wenn sie bei der Beurtei-lung von ICoFR wesentliche Schwachstellen entdeckt und diese im Bericht darlegt. Zwar liegt in diesem Fall ein Verstoss gegen die Vorschriften von Section 13(a) des SEA vor, gemäss denen jedes Unternehmen, das Wertpapiere gemäss Section 12 des SEA bei der SEC registriert hat, wirksame ICoFR zu unterhalten hat.443 Ein solcher Verstoss aber wird nicht durch Section 906 geahndet, da diese allein auf die Qualität der bei der SEC eingereichten Berichte („the periodic report […] fully complies […]“) abstellt, nicht aber auf die Erfüllung von Vorschriften, die ausserhalb der Berichter-stattung liegen. Somit kann die Geschäftsleitung auch bei Vorliegen wesentlicher Schwachstellen bedenkenlos die von Section 906 geforderte Beglaubigung unterzeich-nen – eine Sanktionierung fände allenfalls durch den Kapitalmarkt statt.444

Section 906 kommt allerdings zum Tragen, wenn die Geschäftsleitung die verlangte Erklärung unterzeichnet, obwohl sie weiss, dass ihre im ICoFR-Bericht gemachten Angaben unwahr sind.445 Weil die SEC ihr eine Beurteilungs- und Bestätigungspflicht in bezug auf ICoFR aufgetragen hat,446 wird es der Geschäftsleitung nicht möglich sein, sich im Falle einer Anklage zur eigenen Entlastung auf fehlendes Wissen zu be-rufen.447 Zu klären ist dann also, ob wissentliches oder gar vorsätzliches Verschulden vorliegt.

443 Vgl. US CFR, Title 17, Section 240.13(a)–15(a). Grundsätzlich sind keine Strafen auferlegt für die Nicht-

erfüllung der Vorschriften von USC, Title 15, Section 78m(b)(2); nur im Falle von wissentlicher Umge-hung der Vorschriften kommen strafrechtliche Folgen in Betracht; vgl. USC, Title 15, Section 78m(b)(4) und (5). Die strafrechtlichen Konsequenzen sind in USC, Title 15, Section 78ff. festgehalten.

Vgl. GAO (1996 a), S. 72, zur Weigerung der SEC, eine ICoFR-Berichterstattung zu verlangen: „How-ever, the SEC is opposed to requiring similar reporting by all public companies […] because of concern whether such reporting would constitute an admission of a violation of the FCPA.“

444 Vgl. z.B. Protiviti (2003), S. 92 f., und Moody’s (2005). 445 Aufgrund der umfangreichen Prüfarbeiten und der zu erwartenden Absprache mit dem Abschlussprüfer

dürfte dieser Fall in der Praxis eher selten vorkommen. 446 Siehe Abschnitt 3.1.3. Diese Pflicht kommt in der Unterzeichnung des ICoFR-Berichts zum Ausdruck. 447 Vgl. Lanfermann/Maul (2002), S. 1729 f.

3. Kapitel: Die Ausführungsregeln zu Section 404

108

3.5 Zusammenfassung In den Abschnitten 3.1 und 3.2 wurde ein Überblick über die Ausführungsregelungen zu Section 404 gegeben. Deutlich wurde ein erheblicher Kontrast zwischen dem De-taillierungsgrad der Bestimmungen der SEC, die von Unternehmen zu befolgen sind, und jenen des PCAOB, die bei einer ICoFR-Prüfung anzuwenden sind. Letztere sind ungleich umfangreicher bzw. detaillierter und bestimmen implizit die von Unterneh-men zu erbringenden Leistungen.

In Abschnitt 3.3 wurden Überlegungen angestellt, wie die Inhalte dieser Bestimmun-gen mit Blick auf die vom Gesetzgeber verbundenen Erwartungen in bezug auf Rech-nungslegung, Abschlussprüfung und den Kapitalmarkt zu beurteilen sind. Dabei wurde festgestellt, dass mit der Vernachlässigung gewisser Kontrollkomponenten das Poten-tial, das eine wirksame ICoFR hinsichtlich Sicherstellung der Rechnungslegung be-reithält, nicht vollends ausgeschöpft wird. Auch dürfte die Betonung formeller Aspek-te nicht unbedingt zu signifikanten Verbesserungen der Wirksamkeit von ICoFR füh-ren. Was die beabsichtigte Verbesserung der Abschlussprüfung betrifft, ist zu vermu-ten, dass die ICoFR-Prüfung die Abschlussprüfung kaum unterstützen und also eher nicht zu einer Verbesserung deren Qualität beitragen wird. Während gewisse Aspekte der Berichtsformate dazu geeignet sind, dass die Adressaten die Berichtsinhalte als nützlich einstufen, dürften gewisse Eigenschaften die Interpretation erschweren, was der Nützlichkeit der Berichte freilich zuwiderläuft.

Verschiedene andere Bestimmungen des SOA schreiben die Einrichtung diverser „company-level controls“ vor und gleichen – zumindest teilweise – die besagte Einsei-tigkeit des PCAOB-Standards aus. Die strafrechtlichen Sanktionen bei Schlechterfül-lung dürften sowohl das Management als auch den Prüfer zu einer strikten Befolgung der Detailregelungen veranlassen, was – angesichts der in Abschnitt 3.3 aufgestellten Vermutungen – nicht unbedingt einer besseren Zielerreichung gleichkommt.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

109

4 Auswirkungen von Section 404 in der Praxis Nachdem in den Kapiteln 2 und 3 Section 404 und deren Ausführungsregelungen hin-sichtlich des zu erwartenden Einflusses auf Rechnungslegung, Abschlussprüfung und den Kapitalmarkt beurteilt worden sind, gilt es nun, die in der Praxis hierauf beobacht-baren Auswirkungen zu ermitteln. Das vorliegende Kapitel ist in vier Abschnitte un-tergliedert: Auf die Erörterung der Methodik der empirischen Studie (Abschnitt 4.1) folgt eine aufgearbeitete und kommentierte Wiedergabe der mittels der empirischen Erhebung gewonnenen Erkenntnisse (Abschnitt 4.2). In Abschnitt 4.3 sind Überlegun-gen zur internationalen Übertragbarkeit der Ergebnisse anzustellen. Abschnitt 4.4 schliesst mit einer Zusammenfassung.

4.1 Methodik Der Benennung der Zielsetzung der empirischen Studie (Abschnitt 4.1.1) und der Formulierung spezifischer Fragestellungen (Abschnitt 4.1.2) folgt eine Besprechung bereits vorliegender Forschungsergebnisse und Erkenntnisse über die Umsetzung der Detailregeln zu Section 404 (Abschnitt 4.1.3). Dem schliesst sich die Beschreibung von Konzeption und Durchführung der Untersuchung an (Abschnitt 4.1.4).

4.1.1 Zielsetzung Aufgrund der Literaturauswertung in Abschnitt 2.3 wurde festgestellt, dass die vom Gesetzgeber mit Section 404 angepeilten Ziele, Verbesserung der Zuverlässigkeit der Rechnungslegung und Wiedergewinnung des Anlegervertrauens, insofern wenig nach-vollziehbar sind, als dass sie nicht mit dem damaligen Erkenntnisstand in Einklang gebracht werden können. Anlässlich der in Kapitel 3 erfolgten Erörterung der von den Regulierungsbehörden zu Section 404 erlassenen Detailregelungen wurde zudem be-merkt, dass gewisse Vorschriften der Erreichung der Ziele eher nicht zuträglich sein dürften. Im Wissen hierum soll mittels der empirischen Studie bestimmt werden, wel-che Auswirkungen tatsächlich von der Umsetzung der Detailregeln auf Rechnungsle-gung, Abschlussprüfung und den Kapitalmarkt ausgehen.

4.1.2 Fragestellungen Fraglich also ist, ob und, falls ja, inwieweit Section 404 dazu beiträgt, die Zuverlässig-keit der Finanzberichterstattung zu verbessern und das Vertrauen der Anleger in die Rechnungslegung zu erhöhen. Zum Zwecke einer gezielten Vorgehensweise werden

4. Kapitel: Auswirkungen von Section 404 in der Praxis

110

nachstehend Fragestellungen formuliert, mittels derer die zu behandelnde Thematik eingegrenzt und strukturiert wird. Die Fragen orientieren sich an dem in Abschnitt 2.2 vorgestellten Bezugsrahmen (vgl. Abb. 8):

1. Inwieweit führt die Umsetzung der SEC-Detailregeln im Unternehmen zu einer Verbesserung der Wirksamkeit von ICoFR?

2. Inwiefern resultiert hieraus eine erhöhte Zuverlässigkeit der Rechnungslegung?

3. Inwieweit trägt die ICoFR-Prüfung gemäss PCAOB No. 2 zu einer Verbesserung der Wirksamkeit von ICoFR bei?

4. Inwieweit lässt sich eine Verbesserung der Abschlussprüfung, die auf die Durch-führung einer ICoFR-Prüfung zurückzuführen ist, feststellen?

5. Inwieweit tragen die ICoFR-Berichte des Managements bzw. des Prüfers zu einer Steigerung des Anlegervertrauens bei?

Abb. 8: Konzeption der Forschungsfragen

Bessere Qualität der Abschlussprüfung

ICoFR-Management-

bericht

Wirksamere ICoFR

Section 404(a)

ICoFR-Prüfbericht

Höhere Zuverlässigkeit der Abschlüsse

Section 404(b)

Höheres Vertrauen der Anleger

FF 1

FF 2

FF 4FF 3

FF 5 FF 5

FF = Forschungsfrage

4. Kapitel: Auswirkungen von Section 404 in der Praxis

111

4.1.3 Bisheriger Kenntnisstand In den vergangenen drei Jahren sind verschiedene Studien zum SOA und einigen sei-ner Bestimmungen entstanden.448 In Diskussionsforen und Untersuchungen widmet man sich zudem den Erfahrungen von Unternehmen, welche die Berichtsvorschriften bereits erfüllt haben.449 – Hier zu berücksichtigen sind solche Forschungsbeiträge und Erfahrungsberichte, die Antworten auf die folgenden Fragestellungen geben:

1. Welche Auswirkungen hat die Umsetzung der Detailregeln auf ICoFR?

2. Mit welchen Kosten ist die Umsetzung der Detailregeln verbunden?

3. Gibt es Anzeichen dafür, dass die ICoFR-Prüfung zum Ziel einer verbesserten Rechnungslegung beiträgt?

4. Gibt es Anzeichen dafür, dass infolge des SOA Emittenten eine konservativere Rechnungslegung präsentieren?

5. Gibt es Anzeichen dafür, dass am Kapitalmarkt das Vertrauen in die Berichterstat-tung infolge des SOA wächst?

Zu diesen Aspekten werden in den Abschnitten 4.1.3.1 bis 4.1.3.5 ausgewählte Ergeb-nisse vorgestellt.

4.1.3.1 Zu den Auswirkungen der Umsetzung auf ICoFR Rittenberg/Miller (2005) untersuchten die infolge von Section 404 einhergehenden ICoFR-Verbesserungen bei insgesamt 171 US-amerikanischen Unternehmen.450 Er-fragt wurden die aus Unternehmenssicht signifikantesten Kontrollverbesserungen, die nach der Umsetzung der Detailregeln festgestellt werden konnten. Die Antworten las-

448 Vgl. für eine Übersicht Zhang (2005), S. 40 f. Siehe auch Bryan/Lilien (2005), S. 7–9. 449 Eine wertvolle Informationsquelle stellen hierfür die Transkripte des „Roundtable on Internal Control

Reporting Requirements“ (SEC-Roundtable) dar, den die SEC im April 2005 durchgeführt hat. Zu diesem hatte sie Vertreter von Unternehmen, Prüfgesellschaften und Investorengruppen sowie das Führungsgre-mium des PCAOB eingeladen, um Fragen zur Umsetzung zu erörtern und nötigenfalls Änderungen an den Ausführungsregelungen zu beschliessen. Auch forderte die SEC die interessierte Öffentlichkeit auf, ihre Erfahrungen im Umgang mit den Section 404-Bestimmungen schriftlich mitzuteilen.

450 Vgl. für eine ähnliche Studie: Ernst & Young (2005 b).

4. Kapitel: Auswirkungen von Section 404 in der Praxis

112

sen sich in den untenstehenden Kategorien zusammenfassen,451 ihre Reihenfolge rich-tet sich nach der (absteigenden) Häufigkeit der Nennungen:

• Spezifische (konzeptionelle) Verbesserungen von ICoFR

• Verbesserte Dokumentation von ICoFR

• Verbessertes Kontrollbewusstsein und erhöhte Anteilnahme des Managements

• Verbesserungen von IT-Kontrollen

• Prozessverbesserungen

• Verbesserungen im Kontrollumfeld

Die Prüfgesellschaften bestätigten anlässlich des SEC-Roundtables derlei Verbesse-rungen. Darüber hinaus gaben sie an, in den Unternehmen u.a. folgende Fortschritte erkannt zu haben: strengere Auswahl von Bilanzierungsmethoden, bessere Überprü-fung der Eignung des Finanzmanagements, Betonung des Risikos deliktischer Hand-lungen, Vereinfachung und Standardisierung von Geschäftsprozessen, Durchführung gründlicherer Due Diligences.452

Uneinigkeit besteht darüber, ob die ICoFR-Verbesserungen das Risiko deliktischer Handlungen signifikant verringern können. Während etwa die Vertreter der SEC oder der grossen Prüfgesellschaften dies bejahen,453 wird andernorts behauptet, dass sich Betrugsfälle hiermit nicht verhindern lassen, dass also das, was ursprünglich beabsich-tigt wurde – die Verunmöglichung grosser Bilanzskandale –, nicht erreicht werden könne. Die Eignung zum Aufdecken und Verhindern deliktischer Handlungen wird eher anderen Bestimmungen des SOA zugetraut:

“The very detailed documentation and testing of routine transaction processing that was the bulk of the implementation effort for Section 404 will do little in preventing the types of frauds that the Act was meant to address.”454

451 Rittenberg/Miller (2005), S. 10 und Abb. 10. 452 Vgl. z.B. Ernst & Young (2005 a), S. 3 ff., und Deloitte & Touche (2005), S. 2 ff. 453 Vgl. z.B. W. Donaldson, Chairman der SEC, in US House of Representatives (2005), S. 53, und Ernst &

Young (2005 a), S. 1 f. 454 FEI (2005 a), S. 2. Als Beleg für die erfolgreiche Bekämpfung des Betrugsrisikos wird gelegentlich die

Studie von Oversight System (2004) angeführt, gemäss welcher ein Drittel der befragten Unternehmen

4. Kapitel: Auswirkungen von Section 404 in der Praxis

113

“Better fraud prevention and detection can come from the expanded whistle-blower pro-tections and increased accountability for wrongdoing that were also part of the Act. We believe that the recent conviction of Bernard Ebbers, former CEO of WorldCom, will do more to combat fraud than the implementation of Section 404.”455

4.1.3.2 Zu den Kosten der Umsetzung Einigkeit hingegen besteht über die Unverhältnismässigkeit der mit der Implementie-rung verbundenen Kosten:456 Gemäss dem FEI gaben Unternehmen im Durchschnitt 4.4 Mio. USD für die Umsetzung der Detailregeln aus (vgl. Tab. 9). Für die Erfüllung allein der SEC-Regelungen kommen dem FEI zufolge Kosten in Höhe von 3.1 Mio. USD auf die betroffenen Unternehmen zu.457 Dieser Mittelwert übertrifft die ursprüng-lich von der SEC getroffenen Annahmen um ein Vielfaches.458 Multipliziert man den aktuellen Erwartungswert mit der Anzahl der bei der SEC registrierten Unternehmen (circa 13’000), erhält man einen Gesamtbetrag von knapp 60 Mrd. USD, der alleine für die erstmalige Erfüllung anfällt.459

Durchschnittswerte aller befragten Unternehmen

Zusätzliche Prüfgebühren

1.3 Mio. USD (57% der Gebühren für Abschlussprüfung) 30%

Kosten für Software, Beratung, Schulung 1.7 Mio. USD 39%

Kosten für intern er-brachte Leistungen

1.3 Mio. USD (27’000 Mitarbeiterstunden) 31%

Total der Implemen-tierungskosten 4.4 Mio. USD 100%

Tab. 9: Mit der Umsetzung der Detailregeln verbundene Kosten460

angab, dass „[…] SOX compliance decreases the risk of financial fraud.“ Vgl. z.B. Deloitte & Touche (2005), S. 2. Dabei wird übersehen, dass in dieser Studie vom SOA die Rede ist, nicht allein von Section 404.

455 FEI (2005 a), S. 2. – B. Ebbers wurde im März 2005 des Betrugs, Verschwörung und Falschaussagen schuldig gesprochen und im Juni 2005 zu einer 25 Jahre langen Gefängnisstrafe verurteilt.

456 Vgl. PCAOB (2005 b), S. 5; SEC (2005 c), S. 2; ICAEW (2005), S. 2; Rittenberg/Miller (2005), S. 19 ff.; M.G. Oxley in US House of Representatives (2005), S. 2.

457 Die Gesamtkosten in Höhe von 4.4 Mio. USD abzüglich der Prüfgebühren. Vgl. FEI (2005 b). 458 Von durchschnittlich 91’000 USD gingen die Verantwortlichen damals aus. Vgl. SEC (2003 c), S. 36657. 459 Unter der Annahme, dass die tatsächliche Verteilung von Klein-, Mittel- und Grossunternehmen derjeni-

gen in FEI (2005 b) entspricht. Siehe auch Cunningham (2003), S. 16. 460 Vgl. FEI (2005 b). Die Unternehmen hatten einen durchschnittlichen Jahresumsatz von 5 Mrd. USD.

Unternehmen mit einem Jahresumsatz zwischen einer und fünf Mrd. USD verzeichneten Gesamtkosten in Höhe von 4.3 Mio. USD. Bei Unternehmen mit einem Jahresumsatz von mehr als fünf Mrd. USD belief

4. Kapitel: Auswirkungen von Section 404 in der Praxis

114

Zu diesen (quantifizierbaren) Kosten kommen weitere, weniger gut zu bestimmende Kosten hinzu, insbesondere auch Opportunitätskosten, die etwa darin bestehen, dass das Management von (anderen) operativen bzw. strategischen Aufgaben abgehalten wird;461 dass Investitionen (etwa in IT-Systeme) aus Mangel an Ressourcen und bzw. oder aus Furcht vor deren möglicherweise negativen Auswirkungen auf die Wirksam-keit von ICoFR verzögert werden.462 Die Explosion der Kosten wird v.a. auf die fol-genden Ursachen zurückgeführt:463

• Zeitdruck, der viele Unternehmen dazu veranlasste, auf die (kostenintensive) Unterstützung von externen Beratern zurückzugreifen.464

• Vernachlässigung von ICoFR in der Vergangenheit465

• Weitgehende Unerfahrenheit der Beteiligten466

• Zu rigide Anwendung des Prüfstandards (siehe nächsten Abschnitt)

Allgemein wird erwartet, dass die in den Folgejahren anfallenden Kosten deutlich niedriger sein werden als im ersten Jahr. Eine durchschnittliche Reduktion der Prüfge-bühren um 25% erwarten 68% der befragten Unternehmen; die übrigen Kosten werden laut 85% der Untersuchungsteilnehmer um sogar 39% zurückgehen.467

sich das Total auf 10.3 Mio. USD. Es zeigt sich, dass die relative Aufteilung der Gesamtsumme auf die drei verschiedenen Kostenkomponenten weitgehend gleich ist.

461 Vgl. C. Cunningham, CEO von FEI, in SEC (2005 b), S. 37. 462 Vgl. ebd., S. 37. 463 Vgl. Rittenberg/Miller (2005), S. 15 ff. 464 Obiger Abb. 8 kann entnommen werden, dass die Kosten für externe Dienstleistungen im Durchschnitt

ca. 40% von den Gesamtkosten ausmachen. Siehe z.B. Menzies (2004), S. 141, wo explizit der Einsatz von externen Beratern empfohlen wird.

465 Der Berufsstand spricht in diesem Zusammenhang von „deferred maintenance“; vgl. S. DiPiazza, CEO von PWC, in SEC (2005 b), S. 45. Als ursächlich hierfür gelten u.a. Kostensparprogramme, mit denen gewöhnlich Ressourcenkürzungen einhergingen; Unternehmenszusammenschlüsse, in deren Folge ein-heitlichen Kontrollstandards ungenügende Beachtung geschenkt wurde; wachsende Beliebtheit dezentra-ler Organisationsstrukturen und Stärkung lokaler Autonomie; mangelhafte Nutzung der Möglichkeiten automatischer Kontrollstandards. Vgl. Deloitte & Touche (2005), S. 6.

466 Siehe Abschnitt 2.1.1 für die bis anhin gültigen Prüfstandards bzw. Offenlegungsvorschriften für Unter-nehmen.

467 Vgl. FEI (2005 c), S. 2.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

115

4.1.3.3 Zum Nutzen einer ICoFR-Prüfung Dass die Implementierungskosten dermassen hoch ausfielen, wurde auch auf die rigide Auslegung bzw. Anwendung des PCAOB-Standards zurückgeführt, wie diese seitens der Prüfgesellschaften gepflegt werde.468

“You only have to take a look at the extent to which they [Anm.: gemeint sind die Prüf-gesellschaften] are willing to rely on other activity, on behalf of the internal audit de-partments of various organizations, the extent to which they are defining at a certain level significant deficiencies. You can go down through just about every major element and what you are finding is ultra conservatism.”469

Dass gleichzeitig die Qualität der ICoFR-Prüfung mitunter unbefriedigend war,470 wurde darauf zurückgeführt, dass es viele Prüfgesellschaften verpasst hätten, individu-alisierte Prüfpläne zu entwickeln, und stattdessen – ungeachtet der jeweiligen Branche und Unternehmensgrösse – von einheitlichen Vorgehensweisen („one-size-fits-all“) Gebrauch gemacht haben, die sich an standardisierten Checklisten orientierten.471 Da-bei würden zwangsläufig die spezifischen Rechnungslegungsprozesse der verschiede-nen Mandanten und deren Besonderheiten vernachlässigt, was sich wiederum negativ auf das Auffinden möglicher wesentlicher Schwachstellen ausgewirkt habe. Anderseits führe das Festhalten an standardisierten Vorgehensweisen bzw. der Verzicht auf die Anwendung von professionellem Ermessen zu einer unnötig hohen Anzahl von Kon-trollen, die unter grossem Aufwand zu dokumentieren und zu testen sind.

Insbesondere aber sei der vom PCAOB vorgeschriebene Ansatz zur Identifizierung relevanter Kontrollen nicht befolgt worden.472 Dieser, top-down verlaufend, ist dem PCAOB zufolge effektiv, indem er den Prüfer aufgrund von risikoorientierten Betrach-tungen zu den relevanten Kontrollen hinführt, und effizient zugleich, weil er den Prü-fer davon abhält, sich mit Prozessen oder Kontrollen auseinanderzusetzen, die keine

468 Vgl. PCAOB (2005 b), S. 4. – Der oben aufgeführten Gliederung der Kostenelemente ist zu entnehmen,

dass lediglich 30% der Gesamtkosten direkt auf höhere Prüfgebühren zurückzuführen sind. Tatsächlich dürfte auch ein beträchtlicher Teil der Kosten für Beratung und Schulung dem Berufsstand zufallen, da es in der Regel vom Abschlussprüfer verschiedene Prüfgesellschaften sind, die derlei Leistungen erbringen. Im übrigen wird auch das dritte Element, interne Kosten, in seiner Höhe von der Methodologie des Ab-schlussprüfers bestimmt, da üblicherweise das Management gleich zu Beginn der Implementierung den (massgebenden) Rat des Abschlussprüfers einholt.

469 Vgl. D. Shedlarz, CFO von Pfizer, in SEC (2005 b), S. 211. 470 Vgl. PCAOB (2005 b), S. 1. 471 Vgl. PCAOB (2005 b), S. 7 f. 472 Vgl. ebd., S. 8 f.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

116

Fehlaussagen im Jahresabschluss zu verursachen imstande sind.473 Die Erfahrungen aus dem ersten Jahr aber zeigen, dass die Prüfgesellschaften den empfohlenen „risk-based“ Ansatz, der dem Prüfer eine gehörige Portion Ermessen zubilligt, durch einen sog. „coverage-based“474 Ansatz ersetzt haben, der sich im wesentlichen an quantitati-ven Kriterien orientiert. Anstatt also ausgehend von der Beurteilung des Kontrollum-felds und unter Berücksichtigung verschiedener Risikofaktoren die relevanten Elemen-te der Rechnungslegung zu identifizieren, wurden gewöhnlich Wesentlichkeitsgrenzen (z.B. in Prozenten des Vorsteuergewinns) definiert und sämtliche Positionen erfasst, welche diese Werte überstiegen. Und bei der Festlegung der einzubeziehenden Kon-zerngesellschaften wurde vorwiegend darauf geachtet, dass eine gewisse Abdeckung bestimmter Kennzahlen erreicht wird.475 Dadurch wurden auch solche Kontrollen, die eigentlich keinen wesentlichen Einfluss auf die Abschlüsse haben, vom Prüfer berück-sichtigt – wiederum mit der Folge unnötig hoher Kosten:

“When we first identified a threshold for significant accounts, we used the threshold of five percent. Our external auditor came in and said you know, no, we think it’s 3.75 percent. We, wanting to test as much if not more than them, dropped it to 3.5 percent. We picked up nine no risk accounts as being significant and added 15’000 hours of ef-fort, all to raise our consolidated coverage of assets from 96.1 percent to 96.9 percent, and raised our coverage of liabilities from 91 percent to 94 percent. […] In terms of coverage, […] again, as management, we conducted a risk assessment to determine that. We looked at factors such as size, results of last audit, complex accounting issues, man-agement turnover, system changes, and we came up with a coverage level of 60 percent of the consolidated sales of the company. Our external auditor came in and said no, we think it needs to be 70 percent. As a result, we went totally to the coverage based ap-proach because we were a decentralized company with 620 operations around the world, the large majority of those of which are individually insignificant. That meant that we added 40 locations and another 12’000 hours of additional time in documenta-tion and testing.”476

Als ebenfalls unzweckmässig und zu unnötig hohen Kosten führend erwies sich das Zögern der Prüfgesellschaften, von der in PCAOB No. 2 gewährten Möglichkeit, auf

473 Vgl. PCAOB (2005 a), para. 38. 474 Vgl. L. Flavin, Vice President von Emerson Electric, in SEC (2005 b), S. 137. 475 Z.B. 70% des konsolidierten Umsatzes; vgl. Menzies (2004), S. 146 ff. Siehe auch Abschnitt 3.2.2.1. 476 L. Flavin, Vice President von Emerson Electric, in SEC (2005 b), S. 135 f.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

117

die Arbeiten Anderer zurückzugreifen, Gebrauch zu machen,477 womit vielerorts eine Verdopplung der Arbeiten einhergegangen sei.478

Von verschiedener Seite beklagt wurde zudem das verschlechterte Verhältnis zwi-schen Prüfern und Mandanten. So bedauerten die Klienten, dass ihre Prüfer ihnen – mit der Begründung, dass dies den Unabhängigkeitsvorschriften widerspräche – Ratschläge hinsichtlich der Rechnungslegung verweigerten.479 Die Prüfgesellschaften hingegen bemängelten, dass die Unternehmen nun mit der Herausgabe von Entwürfen der Abschlüsse zögerten – dahinter stünde die Angst, dass allfällige Fehler als Indizien für schwerwiegende Kontrollschwächen ausgelegt werden, was eine qualifizierte Mei-nung über ICoFR zur Folge haben könnte. Dies reduziere die ohnehin knapp bemesse-ne Zeit, die den Prüfgesellschaften für die Abschlussprüfung zur Verfügung steht.480 Anderseits bemerkten Unternehmen eine Verbesserung der Kommunikation zwischen externen Prüfern und dem Prüfungsausschuss.481

Als Grund für die so rigide Anwendung des Standards wurde die Furcht der Prüfge-sellschaften vor Bestrafung durch das PCAOB genannt482 – eine Reaktion, die in die-ser Form vom PCAOB nicht erwartet worden war:

“I didn’t know the degree of fear that the very existence of the PCAOB had generated within the auditing profession, and I didn’t understand how much this fear would cause so many to behave in such a hyper-conservative manner.”483

4.1.3.4 Zum Einfluss auf die Rechnungslegung Ge/McVay (2005) untersuchten 261 Unternehmen, die mindestens eine „material weakness in internal control“ im Zeitraum von August 2002 bis November 2004 ge-mäss den Bestimmungen von Section 302 veröffentlicht hatten.484 Sie stellten fest,

477 Vgl. PCAOB (2004 a), para. 108 ff., und PCAOB (2005 b), S. 9 ff. 478 Vgl. F. Brod, Vice President von Dow Chemical, in SEC (2005 b), S. 131. 479 Vgl. M. Bush, President von Bush International, in SEC (2005 b), S. 33. 480 Vgl. z.B. Ph. Ameen, Vice President von General Electric, in SEC (2005 b), S. 203. 481 Vgl. z.B. R. Lalonde, Vice President der Candian Imperial Bank of Commerce, in SEC (2005 b), S. 207. 482 Vgl. z.B. American Bankers Association (2005), S. 9. 483 Gillan (2005) in ihrer Funktion als Vorstandsmitglied des PCAOB. 484 Siehe Abschnitt 3.4.1.2. Unternehmen müssen gemäss Section 302 ihre Schlussfolgerungen bezüglich der

Wirksamkeit der „disclosure controls and procedures“ kundtun. Ebenfalls müssen sie erklären, die anläss-lich der ICoFR-Bewertung festgestellten „material weaknesses“ dem Prüfungsausschuss mitgeteilt zu ha-ben. Aus Section 302 selbst, auf die sich die Autoren beziehen, ergibt sich keine Offenlegungspflicht, die

4. Kapitel: Auswirkungen von Section 404 in der Praxis

118

dass das Veröffentlichen wesentlicher Schwachstellen positiv mit der Geschäftskom-plexität sowie negativ mit Unternehmensalter, -grösse und -profitabilität zusammen-hängt.485

Doyle et al. (2005), die das gleiche Sample wie Ge/McVay (2005) verwendeten, ana-lysierten die Auswirkungen von Kontrollschwächen auf die Gewinnqualität („earnings quality“) und stellten einen signifikant negativen Zusammenhang zwischen dem Pub-lizieren von wesentlichen Schwachstellen und der Gewinnqualität fest, wobei letztere in solchen Unternehmen, die Schwachstellen in „company-level controls“ veröffentli-chen, besonders tief ist. Dem entnahmen die Autoren, dass Internal Control ein ent-scheidender Treiber der Gewinnqualität ist.

Ashbaugh et al. (2005) untersuchten die infolge von Section 302 im Zeitraum von No-vember 2003 bis Dezember 2004 der SEC gemeldeten Kontrollschwachstellen,486 ihr Sample umfasste 326 Unternehmen. Untersuchungsziel war u.a. die Bestimmung des Einflusses von Kontrollschwächen auf die Qualität der Berichterstattung. Ihre Ergeb-nisse zeigen, dass Unternehmen, die eine oder mehrere Kontrollschwächen publizie-ren, eine tiefere Gewinnqualität aufweisen als Unternehmen, die keine Kontrollschwä-chen mitteilen. Dies unterstützt nach Ansicht der Autoren die These, dass starke Inter-nal Control sich positiv auf die Korrektheit der Unternehmensabschlüsse auswirkt und somit die Informationsqualität verbessert.

Jain/Rezaee (2004) untersuchten den Einfluss des SOA auf die Anwendung von Vor-sicht bei der Rechnungslegung („accounting conservatism“487), indem sie das Aus-mass, in welchem „accounting conservatism“ vor der Verabschiedung des SOA vor-lag, mit dem Zustand nach dessen Inkraftsetzung verglichen. In der Annahme, dass sich mit der Erfüllung der verschiedenen Bestimmungen eine konservativere Rech-nungslegung eingestellt habe, testeten die Autoren an einem 3’546 Unternehmen um-

eine von beiden Kontrollkategorien zum Gegenstand hätte. Deswegen ist unklar, welcher Art die von Ge/McVay betrachteten „material weaknesses in internal control“ genau sind.

485 Zu ähnlichen Ergebnissen gelangen Doyle et al. (2005). Bryan/Lilien (2005) zufolge können grosse Un-ternehmen – im Gegensatz zu kleinen Unternehmen – auf ausreichende Ressourcen zurückgreifen, um die Wirksamkeit von ICoFR sicherzustellen.

486 Hierunter fallen sowohl „material weaknesses“ als auch „significant deficiencies“ und „control deficien-cies“; vgl. PCAOB (2004 a), para. 8–10.

487 Nach SFAC No. 2 handelt es sich hier um die Tendenz, „that possible errors in measurement be in the direction of understatement rather than overstatement of net income and net assets.” Vgl. FASB (1980), para. 91.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

119

fassenden Sample verschiedene Kennzahlen488. Die Ergebnisse – verglichen wurden die ersten vier Quartale nach mit den letzten vier Quartalen vor der Gesetzesbeschlies-sung – sind insignifikant und unterstützen nicht die Behauptung, dass der SOA eine konservativere Rechnungslegung herbeigeführt habe.

Tab. 10 fasst die Ergebnisse der genannten Studien zusammen.

Studie Ergebnisse

Ge/McVay (2005) Positiver Zusammenhang zwischen Vorliegen von Kontrollschwächen und Geschäftskomplexität, negativer Zusammenhang mit Unternehmensalter, -grösse und -profitabilität.

Doyle et al. (2005) Negativer Zusammenhang zwischen Kontrollschwächen (insbesondere solchen, die „company-level controls“ betreffen) und der Gewinnqualität.

Ashbaugh et al. (2005) Unternehmen, die Kontrollschwächen publizieren, weisen tiefere Gewinn-qualität auf als Unternehmen, die keine Kontrollschwächen ausweisen.

Jain/Rezaee (2004) Die Bestimmungen des SOA haben keinen signifikanten Einfluss auf die Rechnungslegung genommen.

Tab. 10: Studien über den Zusammenhang von ICoFR und Rechnungslegung

4.1.3.5 Zu den Reaktionen des Kapitalmarkts Jain/Rezaee (2005)489 analysierten die Reaktionen des Kapitalmarkts auf verschiedene gesetzgeberische Ereignisse („event study“). Sie ermittelten signifikant positive (nega-tive) abnormale Renditen („abnormal returns“) für solche Geschehnisse im Verlaufe des Gesetzgebungsverfahrens, welche die Wahrscheinlichkeit einer Verabschiedung des Gesetzes erhöhten (senkten). Sodann stellten sie statistisch signifikante Beziehun-gen zwischen verschiedenen Corporate Governance-Variablen und den abnormalen Renditen fest. Konkret fielen die Kursreaktionen für solche Unternehmen positiver aus, die schon vor der Gesetzgebung über verhältnismässig wirksame Überwachungs-strukturen und eine zuverlässige Rechnungslegung verfügten. Dies könne damit erklärt werden, dass die Anleger wohl annahmen, dass die auf diese Unternehmen zukom-menden „compliance costs“ niedriger ausfallen würden als für andere Unternehmen.

Zum Schluss, dass die Investoren den SOA gesamthaft als nutzenbringend betrachten, gelangten auch Li et al. (2004). Sie fanden heraus, dass nur auf diejenigen Ereignisse, die Auskunft über die konkreten Inhalte bzw. über die Durchsetzung der Gesetzgebung

488 Getestet wurde u.a. die Entwicklung der Book-to-market Ratios und der Earnings-Return Relations. 489 Vgl. zur Kritik an der Studie von Jain/Rezaee (2005) Zhang (2005), S. 6 ff.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

120

gaben, signifikant positive Renditen folgten. Dies interpretierten sie dahingehend, dass die Investoren als Reaktion auf diese Ereignisse ihre Erwartungen anpassten und be-gannen, im SOA positive Auswirkungen auf Rechnungslegung und Corporate Gover-nance zu erkennen. Der darüber hinaus von den Autoren ermittelte positive Zusam-menhang zwischen Aktienrendite und dem – vor der Verabschiedung des SOA beo-bachteten – Ausmass von Gewinnmanagement („earnings management“)490 stützt nach Ansicht von Li et al. die Vermutung, dass sich die Investoren von der Inkraftsetzung des SOA ein geringeres Vorkommen von „managed earnings“ versprachen. Einen be-sonders hohen Nutzen erwartete man dabei für solche Unternehmen, die in der Ver-gangenheit durch übermässiges Gewinnmanagement aufgefallen waren. Die über-durchschnittlichen Aktienrenditen lassen sich dann durch das (partielle) Wegfallen der Informationsunsicherheit und der damit verbundenen Bewertungsabschläge erklären.

Zhang (2005) untersuchte Nutzen und Kosten des SOA mittels Analyse der Kursbe-wegungen, die um verschiedene gesetzgeberische Ereignisse herum zu beobachten waren, und gelangte zum Schluss, dass die kumulierte abnormale Rendite signifikant negativ war.491 Zhang deutete das als Beleg dafür, dass die Anleger das Gesetz als kos-tenträchtig für Unternehmen erachteten und die Tatsache, dass der SOA verabschiedet wurde, als allgemein schlechte Nachricht für die Wirtschaft interpretierten. Zwecks Bestimmung der erwarteten Implikationen von Section 404 testete Zhang die Hypothe-se, dass die kumulierten abnormalen Renditen von Unternehmen mit steigender Ge-schäftskomplexität abnehmen, d.h. um so niedriger (höher) ausfallen, je mehr (weni-ger) unterschiedliche Geschäftsfelder ein Unternehmen bearbeitet. Seine Ergebnisse bestätigten diese Hypothese, woraus er schloss, dass die Bestimmungen der Section 404 seitens der Anleger als kostenintensiv wahrgenommen wurden.492

490 Gewinnmanagement liegt vor, „when managers use judgment in financial reporting and in structuring

transactions to alter financial reports to either mislead some stakeholders about the underlying economic performance of the company or to influence contractual outcomes that depend on reported accounting numbers.” Healy/Wahlen (1999), S. 368.

491 Zhang führt das zu Jain/Rezaee (2005) und Li et al. (2004) gegensätzliche Ergebnis auch darauf zurück, dass er eine grössere Anzahl von Ereignissen betrachtet; vgl. Zhang (2005), S. 6 ff.

492 Vgl. Zhang (2005), S. 36. Hinter der Wahl der Variable „business complexity“ steckt die folgende Über-legung: Weil gemäss PCAOB (2004 a), para. 79, der Prüfer für jede wichtige Transaktionsklasse einen „Walkthrough“ durchzuführen hat, ist davon auszugehen, dass Unternehmen, die in mehreren Geschäfts-feldern operieren und also über mehr Transaktionsklassen verfügen, höhere Prüfgebühren zu entrichten haben. Vorausgesetzt, dass die Kosten für die Erfüllung von Section 404 beträchtlich sind und dass Anle-ger die Kostenentwicklung in Abhängigkeit von der Geschäftskomplexität erkennen, würden komplexere Unternehmen niedrigere abnormale Renditen erzielen. Zhang (2005) verwendet Daten verschiedener Zeit-fenster innerhalb der Periode von Januar 2002 bis Juli 2002. Unklar ist, ob mit genügender Plausibilität

4. Kapitel: Auswirkungen von Section 404 in der Praxis

121

Ashbaugh et al. (2005) untersuchten, ob der Kapitalmarkt die Offenlegung von Kon-trollschwächen als relevant erachtet. Bei aggregierter Betrachtung der verschiedenen Typen von Kontrollschwächen erhielten sie Beleg für eine negative, wenngleich schwache Reaktion. Die Zweiteilung des Samples in solche Unternehmen, die wesent-liche Schwachstellen publizierten, und solche, die weniger gewichtige Kontrollschwä-chen493 bekanntgaben, ergab, dass bei „material weakness firms“ keine abnormalen Kursrenditen festgestellt werden konnten, wohl aber bei den anderen Unternehmen, die deutliche Kursabschläge verzeichneten. Die Autoren begründeten dieses Muster wie folgt: Da Unternehmen mit wesentlichen Schwachstellen in den Vorjahren häufi-ger Verluste vermelden sowie rückwirkende Korrekturen vornehmen mussten, sei an-zunehmen, dass die Anleger die resultierende Unsicherheit bereits in Form von be-trächtlichen Preisabschlägen berücksichtigt hatten und dass folglich die Veröffentli-chung einer Kontrollschwäche keinen oder nur geringen Einfluss auf ihre Erwartungen hatte. Die starken Kursbewegungen auf die Veröffentlichung weniger gewichtiger Kontrollschwächen liessen sich damit erklären, dass die Anleger infolge der gewach-senen Unsicherheit zu Erwartungsanpassungen veranlasst wurden.

Bryan/Lilien (2005) untersuchten die Kursreaktionen auf die Bekanntgabe von Schwachstellen in den ICoFR-Berichten gemäss Section 404.494 Sie fanden heraus, das am Tage der Ankündigung der „material weaknesses“ signifikant negative Aktienren-diten beobachtet werden konnten, dass über ein mehrtägiges Zeitfenster hingegen kei-ne signifikanten Renditen festzustellen waren. Die Ergebnisse liessen nicht den Schluss zu, dass die Veröffentlichungen nach Section 404 nachhaltige Erwartungsan-passungen bewirken.

Dass der Kapitalmarkt durchaus optimistisch in bezug auf das Potential der Section 404 eingestellt ist, zeigt sich an den Äusserungen einzelner Investorenvertreter im Rahmen des SEC-Roundtable. Diese unterstützten vehement die Bestimmungen und verwehrten sich gegen jegliche Anpassungen, die zur Reduktion der Kosten angedacht würden:

angenommen werden kann, dass die Anleger schon damals den besagten Zusammenhang zwischen Kos-ten und Geschäftskomplexität erkennen konnten und sich der zukünftigen Kosten bewusst waren – schliesslich wurde der PCAOB-Standard erst im Oktober 2003 vorgestellt.

493 Hierunter fallen „significant deficiencies“ und „control deficiencies“. 494 Bryan/Lilien beziehen sich auf die Definitionen des PCAOB.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

122

“I think Sarbanes-Oxley is by far the most important thing we investors have received in years and years. I think it has worked extremely well. It is reflected in the votes we investors are making, but above all, 404 is the most important part, and we have been particularly happy with the way that has played out.”495

“We urge the SEC to leave Sarbanes-Oxley intact and reject any proposal by its critics to weaken this important investor protection legislation, including Section 404.”496

Studie Ergebnisse

Jain/Rezaee (2005)

Positive (negative) abnormale Renditen für solche Ereignisse, die Wahr-scheinlichkeit einer Verabschiedung des Gesetzes erhöhten (senkten); Er-klärung: Anleger honorieren die Massnahmen des Gesetzgebers.

Höhere (positive) Reaktionen für solche Unternehmen, die schon zuvor über wirksame Corporate Governance bzw. zuverlässige Finanzberichter-stattung verfügten; Erklärung: Anleger rechnen mit niedrigeren Kosten.

Li et al. (2004) Überdurchschnittliche Renditen für Unternehmen, die in der Vergangenheit schlechte Gewinnqualität aufgewiesen hatten; Erklärung: Wegfall der In-formationsunsicherheit, Reduktion der Bewertungsabschläge.

Bryan/Lilien (2005) Kurzfristig negative Renditen bei Ankündigung von „material weaknes-ses“; insignifikante Renditen über mehrere Tage hinweg.

Zhang (2005)

Kumulierte abnormale Renditen während des Gesetzgebungsverfahrens sind negativ; Erklärung: Anleger erachten das Gesetz als kostenträchtig.

Kumulierte abnormale Renditen sinken mit dem Grad der Geschäftskom-plexität; Erklärung: Anleger erachten Section 404 als kostenträchtig.

Ashbaugh et al. (2005)

Keine abnormalen Renditen bei Unternehmen, die „material weaknesses“ offenlegen; Erklärung: Preisabschläge bereits vorweggenommen.

Abnormale Renditen bei Unternehmen, die „significant deficiencies“ oder „control deficiencies“ veröffentlichen; Erklärung: Erwartungsanpassung.

Tab. 11: Studien über die Reaktionen des Kapitalmarkts auf die Verabschiedung des SOA und die neuen Offenlegungspflichten

Insgesamt wurden die positiven Auswirkungen auf den Kapitalmarkt als noch vage eingestuft.497 (Vgl. Tab. 11)

495 A. Yerger, Executive Director des Council of Institutional Investors, in SEC (2005 b), S. 279. 496 OPERS (2005), S. 2. Vereinzelt vorgetragen wurde die Ansicht, dass Analysten nicht über das Funktio-

nieren von ICoFR informiert zu werden wünschen, sondern über Geschäftsmodell und -strategie; vgl. R. McEnally, Senior Director von Capital Markets, in SEC (2005 b), S. 245.

497 Vgl. z.B. L. Turner, Managing Director von Glass, Lewis & Co., in SEC (2005 b), S. 19. – Mit Moody’s hat bereits eine Ratingagentur die Ergebnisse der Offenlegung gemäss Section 404 explizit in ihren Be-wertungsprozess integriert, wobei die ersten Erfahrungen allerdings vermuten lassen, dass nur in sehr we-nigen Fällen die Kontrollschwächen einen (negativen) Einfluss auf das Rating haben können. Vgl. Moo-dy’s Investors Service (2005).

4. Kapitel: Auswirkungen von Section 404 in der Praxis

123

4.1.3.6 Zusammenfassung Die in den vorangegangenen Abschnitten vorgestellten Erkenntnisse zu den Auswir-kungen von Section 404 brachten einige Widersprüche zutage und liessen überdies viele Fragen offen: So gibt es etwa gegensätzliche Antworten auf die Frage, ob der Kapitalmarkt die Gesetzgebung bzw. die diversen Offenlegungsbestimmungen hono-riert oder aber als zu kostenträchtig verurteilt. Selbst wenn man akzeptiert, dass ICoFR-Berichte von den Anlegern als irrelevant betrachtet werden – diesen Schluss lassen zumindest die insignifikanten Kursreaktionen auf das Veröffentlichen von „ma-terial weaknesses in ICoFR“ zu –, ist unklar, weswegen dem so ist. Schenkt man hin-gegen den Beteuerungen verschiedener Investorenvertretern und diversen Studien Glauben, dass nämlich die Offenlegung gemäss Section 404 durchaus von Bedeutung für die Anleger ist, stellt sich die Frage, weswegen die behauptete Wertschätzung sich nicht in abnormalen Kursrenditen niederschlägt.

Trotz des enormen Arbeitspensums, das Unternehmen in die Verbesserung ihrer ICoFR investieren, kann keine Tendenz zu einer konservativeren Rechnungslegung festgestellt werden, obwohl von verschiedener Seite ein signifikanter Zusammenhang zwischen der Wirksamkeit von ICoFR und der Gewinnqualität nachgewiesen werden konnte. Auch dieser offenkundige Widerspruch bedarf der Klärung. Gleiches gilt für den Einfluss auf die Eindämmung deliktischer Rechnungslegung, über die gegensätzli-che Meinungen verbreitet sind.

Erkenntnisse über den Beitrag der unabhängigen ICoFR-Prüfung zur Wirksamkeit von ICoFR bzw. zur Qualität der Abschlussprüfung fehlen sodann noch gänzlich. Einge-denk der Zielsetzung des Gesetzgebers muss die Vernachlässigung dieser Thematik erstaunen.

4.1.4 Konzeption und Vorgehen der Untersuchung Angesichts des bestehenden Wissensstands kann die im Vordergrund dieser Arbeit stehende Thematik vorderhand als noch wenig ergründet bezeichnet werden.498 In ei-nem solchen Fall wird die explorative Forschung generell als nützliche Forschungs-strategie anerkannt.499 Die Technik des Expertengesprächs, also der Dialog mit Perso-

498 Siehe Hermanson (2000), S. 325; O’Reilly-Allen/McMullen (2004), S. 101; Doyle et al. (2005), S. 1 f.

Siehe auch die Literaturdurchsicht in Abschnitt 2.3. 499 Vgl. z.B. Zikmund (2000), S. 102.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

124

nen, die in der Realität mit dem untersuchten Problem befasst bzw. von diesem betrof-fen sind, gilt dabei als „Königsweg“500 zur Gewinnung von Erfahrungswissen. Um Antworten auf die eingangs formulierten Fragestellungen zu erhalten, waren daher Expertengespräche mit Vertretern der verschiedenen Interessengruppen durchzufüh-ren. Bei Letzteren handelt es sich um Unternehmen, welche unter die Bestimmungen von Section 404(a) fallen, Prüfgesellschaften, die gemäss Section 404(b) ICoFR-Prüfungen durchführen, sowie Vertreter des Kapitalmarkts. Aus Praktikabilitätsüber-legungen wurde die empirische Studie auf die Schweiz beschränkt.501

4.1.4.1 Auswahl der Untersuchungssubjekte In der Schweiz sind drei verschiedene Typen von Unternehmen mit der Implementie-rung der Detailregeln zu Section 404(a) beschäftigt:

• Muttergesellschaften, deren Hauptsitz in der Schweiz liegt und die aufgrund ei-nes Listing in den USA die besagten Vorschriften erfüllen müssen;

• Schweizer Tochtergesellschaften, die aufgrund der Kotierung ihrer Mutterge-sellschaft an einer US-Börse indirekt betroffen sind;

• Schweizer Unternehmen (zumeist Muttergesellschaften), die keine Kotierung in den USA unterhalten, folglich auch keine ICoFR-Berichte bei der SEC einrei-chen müssen, aber freiwillig die Bestimmungen umsetzen.

Aus dieser Gesamtmenge wurden nur solche Unternehmen berücksichtigt, die sich der ersten Kategorie zuordnen lassen.502 Zum Zeitpunkt der Planung der Studie betrug de-

500 Kubicek (1977), S. 25. 501 Auf umfassende Untersuchungen der Erfahrungen von Schweizer Unternehmen mit der Implementierung

der Detailregeln zu Section 404 kann noch nicht zurückgegriffen werden. Zu erwähnen ist, dass mit KPMG/Universität Zürich (2005) eine umfangreiche Studie über Interne Kontrolle in Schweizer Unter-nehmen existiert. Hierfür haben die Autoren eine weite Definition von Internal Control hinzugezogen, un-ter der sämtliche Grundsätze und Verfahren verstanden werden, die „der Gewährleistung einer ord-nungsmässigen und effizienten Geschäftsführung, der Sicherung der Vermögenswerte, der Verhinderung bzw. Aufdeckung von deliktischen Handlungen und Fehlern, der Korrektheit und Vollständigkeit der Aufzeichnungen des Rechnungswesens und der rechtzeitigen Erstellung verlässlicher Finanzinformatio-nen“ verstanden werden. Auf die in dieser Arbeit interessierende ICoFR wird in der Studie nicht spezi-fisch eingegangen, was auch damit zusammenhängen mag, dass (direkt oder indirekt) börsenkotierte Un-ternehmen – Unternehmen also, die einer Finanzberichterstattungspflicht unterliegen und für die folglich ICoFR eine natürliche Bedeutung haben – nur einen geringen Anteil an der Gesamtmenge der befragten Unternehmen ausmachen.

502 Tochtergesellschaften wurden nicht betrachtet, da diese die auf der Gruppenebene eines Unternehmens angesiedelten „corporate processes“ (wie etwa Konsolidierung der Abschlüsse oder Externe Berichterstat-tung) nicht bearbeiten müssen, auch dürften sie schwächeren Einfluss auf die Gestaltung der „company-

4. Kapitel: Auswirkungen von Section 404 in der Praxis

125

ren Gesamtzahl 13.503 In die engere Auswahl genommen wurden sodann solche Unter-nehmen, die sich zu Beginn der Untersuchung, d.h. im zweiten Quartal 2005, bereits in einem fortgeschrittenen Stadium der Implementierung befanden.504 Aus den verblei-benden acht505 wurden dann fünf Unternehmen ausgewählt,506 wobei eine gewisse Branchenvielfalt507 sichergestellt werden sollte und überdies zu gewährleisten war, dass unter den ausgewählten Unternehmen Mandanten einer jeden Prüfgesellschaft waren, die ICoFR-Prüfungen in Muttergesellschaften mit Hauptsitz in der Schweiz durchführt.508 Vier der fünf Unternehmen erwirtschaften einen Jahresumsatz von teil-weise deutlich über 5 Mrd. USD, eines kommt auf einen Umsatz von über 1 Mrd. USD. Bei den befragten Emittenten – wie bei den anderen acht Emittenten übrigens auch – handelt es sich mithin um Grossunternehmen. Wie die restlichen Emittenten

level controls“ ausüben als Muttergesellschaften. Mithin sind integrale Bestandteile der ICoFR für Toch-tergesellschaften gar nicht oder nur teilweise relevant. – Freiwillige Anwender hingegen kamen nicht in Betracht, weil sie mitunter nur bestimmte Aspekte der Bestimmungen aussuchen, die dann in ausgewähl-ten Unternehmensteilen umgesetzt werden, oder eine Erfüllung erst nach 2006 in Betracht ziehen; zudem sind sie den anderen Bestimmungen des SOA, die – wie etwa die strafrechtlichen Sanktionen der Section 906 – ebenfalls im Rahmen der Untersuchung anzusprechen waren, nicht ausgesetzt. Eine hinreichende Vergleichbarkeit mit den Unternehmen der ersten Kategorie wäre folglich nicht gegeben.

503 Bei den Emittenten handelt es sich um: ABB, Adecco, Alcon, Ciba Specialty Chemicals, Converium, Credit Suisse, Mettler Toledo, Novartis, Serono, ST Microelectronics, Swisscom, Syngenta, UBS; vgl. http://www.nyse.com/about/listed/6.html?country=Switzerland, 25. August 2005. Teilweise unterstehen diese Unternehmen anderer als Schweizer Jurisdiktion.

504 Als fortgeschrittenes Stadium der Implementierung wurde definiert: Beendigung der Dokumentationsar-beiten und der „tests on design effectiveness“ sowie Vorbereitung der Durchführung von „tests of opera-ting effectiveness.“

505 Ein Unternehmen gab keine Antwort auf die Frage nach dem Projektfortschritt und schied deswegen aus dem Kreis der in Frage kommenden Unternehmen aus. Vier Unternehmen erfüllten nicht das erstgenannte Kriterium.

506 Von diesen hatte eines die Umsetzung bereits abgeschlossen. Zwei Unternehmen betrachteten die Imple-mentierung als weitgehend abgeschlossen, beabsichtigten aber nicht, die geforderten Berichte früher als notwendig einzureichen, und werden sich also erstmals im Geschäftsjahresbericht 2006 öffentlich zu ICoFR äussern. Zwei weitere Unternehmen waren zum Zeitpunkt der Befragung noch mit dem Testen der Funktionstüchtigkeit der Kontrollen beschäftigt; eines von ihnen liess offen, ob es den Managementbe-richt bereits für das Geschäftsjahr 2005 erstellen möchte – eine vorzeitige Erfüllung werde vom weiteren Projektverlauf abhängig gemacht. Die befragten Unternehmen begannen allesamt im Jahr 2003 oder frü-her mit der Implementierung. Siehe zu den Fristverschiebungen für „foreign private issuers“ Abschnitt 3.1.4.

507 Verschiedene Untersuchungen haben gezeigt, dass Corporate Governance-Mechanismen über Branchen hinweg divergieren; vgl. z.B. Beasley et al. (2000); und dass die Anzahl von durch den Prüfer entdeckten Fehlaussagen in gewissen Branchen höher sind als in anderen; vgl. für eine Übersicht über derlei Studien Eilifsen/Messier (2000), S. 32 ff. – Die in Fn 503 aufgeführten Unternehmen lassen sich den folgenden Branchen zuordnen: Banken/Versicherungen; Chemie/Pharma; Telekommunikation; Industrielle Güter und Dienstleistungen; Technologie. Die befragten Unternehmen können drei dieser fünf Branchen zuge-ordnet werden.

508 Die Jahresabschlüsse der genannten 13 Unternehmen werden von den Schweizer Mitgliedsfirmen dreier „Big Four“-Prüfgesellschaften geprüft, die aufgrund von Section 404(b) auch die ICoFR-Prüfung in die-sen Unternehmen durchzuführen haben.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

126

publizieren sie entweder nach IFRS (und erstellen eine Überleitungsrechnung) oder nach US GAAP. In den Unternehmen wurden jeweils zwei Gespräche geführt: erstens, mit einer Person aus dem Projektteam, die also Auskünfte über die Implementierung der SEC-Detailregeln geben konnte; zweitens, mit einer Person aus der Abteilung „Rechnungslegung“, die v.a. um Stellungnahmen zu den Auswirkungen der Imple-mentierung auf die Wirksamkeit von ICoFR und zum Einfluss auf die finanzielle Be-richterstattung gebeten wurde.

Um die Sichtweise der Prüfgesellschaften zu erfahren, wurde mit insgesamt fünf Part-nern von jenen drei Prüffirmen gesprochen, die Prüfmandate bei den für diese Arbeit als relevant identifizierten Unternehmen509 innehaben. Jede dieser Gesprächspersonen war mit den Ausführungsregelungen des PCAOB zu Section 404(b) vertraut und be-treute sog. „404-Mandate“. Drei von ihnen zeichneten für die Prüfung in je einem der fünf befragten Unternehmen verantwortlich.

Schliesslich waren die Ansichten des Kapitalmarkts in Erfahrung zu bringen, wobei – angesichts der generellen Stossrichtung des SOA – der Fokus auf die Gruppe der Ei-genkapitalgeber510 gerichtet wurde. Hierfür war einerseits mit Finanzanalysten zu sprechen, denen als Informationsintermediären511 eine bedeutende Funktion in der In-formationsversorgung der Eigenkapitalgeber zukommt.512 Anders als bei den Unter-

509 Vgl. Fn 503. 510 Die Gruppe der Eigenkapitalgeber lässt sich grob in private und institutionelle Anleger unterscheiden. Bei

ersteren handelt es sich um natürliche Personen, die Unternehmensanteile in ihrem Privatvermögen halten und deren Anlageentscheidungen sich also auf ihr eigenes Vermögen beziehen. Somit kommt prinzipiell jede natürliche Person mit eigenem Geldvermögen als potentieller Eigenkapitalgeber in Betracht. Als in-stitutionelle Eigenkapitalgeber gelten solche Personen, die professionell für andere (private oder instituti-onelle) Anleger liquide Mittel verwalten und am Kapitalmarkt anlegen. Dazu zählen beispielsweise Ban-ken, Versicherungen, Investment- und Pensionsfonds. Im Unterschied zu privaten Anlegern betreuen die institutionellen Eigenkapitalgeber grössere Anlagevolumina, sind gleichzeitig aber einem stärker regle-mentierten Umfeld ausgesetzt. Vgl. Bonse (2004), S. 67 ff., und die dort aufgeführte Literatur.

511 Die Aufgabe der Informationsintermediäre – neben Finanzanalysten sind dies Wirtschaftsjournalisten und Anlageberater – besteht vornehmlich darin, Informationen der finanziellen Berichterstattung zu analysie-ren bzw. aufzubereiten, um hiervon ausgehend Kauf-, Halte- oder Verkaufsempfehlungen abzuleiten, auf die wiederum Eigenkapitalgeber dann zurückgreifen. Weil eine eindeutige Trennung zwischen Finanz-analysten und institutionellen Investoren nicht immer möglich ist, werden Finanzanalysten häufig unter die institutionellen Anleger subsumiert. Vgl. ebd., S. 69 f.

512 Die Beschränkung auf Analysten als professionelle Nutzer der Rechnungslegung bzw. als institutionelle Eigenkapitalgeber erfolgte aufgrund der folgenden Überlegungen: erstens wird gemeinhin angenommen, dass Analysten, verglichen mit privaten Anlegern, über im Durchschnitt umfangreichere Rechnungsle-gungskenntnissen verfügen; zweitens gelten sie als besser in der Lage, ihre Ansichten und Bedürfnisse zu artikulieren; drittens nehmen Analysten üblicherweise Einfluss auf die Entscheidungen der nichtprofessi-onellen Nutzer. Vgl. ebd., S. 68, und die dort aufgeführte Literatur; vgl. für die Situation in der Schweiz Cocca/Volkart (2004); vgl. auch AICPA (1994), Kap. 2, S. 2.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

127

nehmen und den Prüfgesellschaften gestaltete sich die Organisation von Gesprächs-terminen mit dieser Gruppe als ausgesprochen schwierig.513 Letztlich stellten sich drei Personen,514 die bei zwei Privatbanken und einem Fondsvertreter tätig sind, für ein Gespräch zur Verfügung. Anderseits war die Meinung der Aufsichtsbehörden zu den Bestimmungen von Section 404 zu ermitteln. Mit einem Mitarbeiter einer der beiden Behörden, die in der Schweiz Aufsichtsfunktionen zur Wahrung und Durchsetzung der Interessen von Eigenkapitalgebern wahrnehmen,515 konnte ein Gespräch geführt wer-den.516

Tab. 12 fasst die Untersuchungssubjekte zusammen.

Interessengruppe Untersuchungssubjekte

Unternehmen Fünf den Bestimmungen der Section 404(a) unterliegende Konzerne, die ihren Hauptsitz in der Schweiz haben: Gespräche mit je einer Person aus dem Imp-lementierungsprojektteam und aus der Rechnungslegung.517

Prüfgesellschaften Drei Schweizer Prüffirmen, die ICoFR-Prüfungen bei Muttergesellschaften mit Hauptsitz in der Schweiz und einem US-Listing durchführen: Gespräche mit insgesamt fünf Prüfpartnern.

Kapitalmarkt Zwei Privatbanken und ein Fondsvertreter: Gespräche mit je einem Finanzana-lysten.

Aufsichtsbehörde: Gespräch mit einem Mitarbeiter

Tab. 12: Untersuchungssubjekte518

4.1.4.2 Vorgehen Für jede der insgesamt fünf Personengruppen519 wurde ein spezifischer Leitfaden520 entwickelt, der den zu Befragenden wenige Tage vor dem Interviewtermin zugeschickt

513 Sechs kontaktierte Personen unterschiedlicher Bankhäuser lehnten die Gesprächsanfrage ab – jeweils mit

der Begründung, dass man sich mit dem Diskussionsgegenstand nicht auskenne oder dass die Bestim-mungen von Section 404 als irrelevant eingestuft werden.

514 Zwei der Finanzanalysten sind sog. „Buy-Side Analysts”, der dritte ein „Sell-Side Analyst“. 515 In der Schweiz sind dies die Eidgenössische Bankenkommission und die SWX. 516 Die andere Behörde gab auf Anfrage bekannt, dass man sich noch nicht mit den Bestimmungen der Sec-

tion 404 befasst habe. 517 In zwei Unternehmen wurden die beiden Gespräche mit jeweils derselben Person geführt, da in diesen

Fällen die Projektleitung direkt in der Abteilung Rechnungslegung angesiedelt war. Es fanden also insge-samt zehn Gespräche mit acht verschiedenen Personen statt.

518 Unter den Interviewpersonen waren Personen beiderlei Geschlechts. Um die Lesbarkeit nicht zu beein-trächtigen, stehen Personenbezeichnungen in der maskulinen Form.

519 Unternehmen: Projektmanager, Financial Reporting Manager; Prüfgesellschaften: Prüfpartner; Kapital-markt: Finanzanalyst, Mitarbeiter Aufsichtsbehörde.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

128

und dann während des Gesprächs gemeinsam durchgegangen wurde. Schon im Vor-feld wurde den Befragten Anonymität im Umgang mit ihren Aussagen zugesichert. Die Gespräche fanden bei den Untersuchungsteilnehmern statt,521 dauerten zwischen ein und eineinhalb Stunden, wurden elektronisch aufgezeichnet und anschliessend ausge-wertet. Durchgeführt wurden die Interviews in den Monaten Juni bis September 2005.

4.1.4.3 Schwächen im Untersuchungskonzept Schwächen des Untersuchungskonzepts liegen in den folgenden Umständen begrün-det: Zuvorderst zu nennen ist der sehr frühe Zeitpunkt der Untersuchung – die Umset-zung der Bestimmungen war in fast allen Unternehmen noch nicht abgeschlossen. Die Aussagen der befragten Unternehmensvertreter bezogen sich folglich auf einen unvoll-ständigen Zustand. Hinzu kommt das Vorliegen von Hemmschwellen, welche die Aus-kunftsbereitschaft sowohl von Unternehmen als auch von Prüfgesellschaften – trotz der Zusicherung von Anonymität – beeinträchtigt haben könnten. So dürfte etwa den Unternehmen wenig daran gelegen sein, sich kritisch über ein so kostenträchtiges Pro-jekt zu äussern, wie es die Implementierung der Detailregeln von Section 404 darstellt, zumal wenn es sich bei den Befragten um die Projektleiter handelt und sich das Unter-nehmen von der Erfüllung der Vorschriften eine positive Aussenwirkung verspricht. Was die Prüfgesellschaften betrifft, kann ebenfalls davon ausgegangen werden, dass die von ihnen gemachten Angaben tendenziell zu positiv ausfallen, da sie insofern von Section 404 profitieren, als dass die ICoFR-Prüfung ihnen neue Einkommensmöglich-keiten erschliesst. Mit der Beschränkung auf Finanzanalysten bzw. auf professionelle Nutzer werden die Ansichten der nicht-professionellen Nutzer bzw. der Kleinaktionä-re, denen ja die besondere Aufmerksamkeit des Gesetzgebers galt, nicht wiedergege-ben. Schliesslich ist die geringe Anzahl der mit den verschiedenen Personengruppen geführten Gesprächen zu bedenken – dies gilt besonders für die Sicht des Kapital-markts.

4.2 Ergebnisse Die Darstellung der durch die empirische Befragung erhaltenen Ergebnisse orientiert sich an den fünf eingangs definierten Forschungsfragen (vgl. Abb. 8):

520 Siehe Anhang C. 521 Zwei der 18 Gespräche wurden telefonisch durchgeführt; eine Person beantwortete die Fragen schriftlich.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

129

1. Inwieweit führt die Umsetzung der SEC-Detailregeln zu einer Verbesserung der Wirksamkeit von ICoFR? (Abschnitt 4.2.1)

2. Inwiefern resultiert hieraus eine erhöhte Zuverlässigkeit der Rechnungslegung? (Abschnitt 4.2.2)

3. Inwieweit trägt die ICoFR-Prüfung gemäss PCAOB No. 2 zu einer Verbesserung der Wirksamkeit von ICoFR bei? (Abschnitt 4.2.3)

4. Inwieweit lässt sich eine Verbesserung der Abschlussprüfung, die auf die Durch-führung einer ICoFR-Prüfung zurückzuführen wäre, feststellen? (Abschnitt 4.2.4)

5. Inwieweit tragen die ICoFR-Berichte des Managements bzw. des Prüfers zu einer Steigerung des Anlegervertrauens bei? (Abschnitt 4.2.5)

Da die Fragestellungen in dieser Form eine zielgerichtete Bearbeitung noch nicht er-möglichen, sind Präzisierungen vorzunehmen. Eine Untergliederung in Sub-Fragestellungen erfolgt jeweils zu Abschnittsbeginn und nachdem einige Vorbemer-kungen zur Thematik gemacht wurden. – In Abschnitt 4.2.6 werden schliesslich die langfristigen Erwartungen, welche die Untersuchungsteilnehmer in bezug auf Section 404 hegen, wiedergegeben.

4.2.1 Zu den Auswirkungen von Section 404(a) auf die Wirk-samkeit von ICoFR

Zu untersuchen ist, inwieweit die Umsetzung der Detailregeln zu Section 404(a) zu einer Verbesserung der Wirksamkeit von ICoFR führt. Wie bei der Erörterung der Zielsetzung des Gesetzgebers522 dargelegt wurde, wird die Wirksamkeit von ICoFR sowohl durch die Arbeit des Managements als auch durch diejenige des unabhängigen Prüfers beeinflusst. Im folgenden wird zunächst nur auf die Arbeit im Unternehmen abgestellt; auf die ICoFR-Prüfung und deren Einfluss auf die Wirksamkeit von ICoFR wird in Abschnitt 4.2.3 eingegangen.

4.2.1.1 Vorbemerkungen und Spezifizierung der Fragestellung Gemäss den von der SEC erlassenen Bestimmungen müssen die betroffenen Unter-nehmen in ihren Geschäftsberichten Rechenschaft über die Wirksamkeit ihrer ICoFR

522 Siehe Abschnitt 2.2.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

130

ablegen. Unter ICoFR wird ein vom obersten Management eingerichteter Prozess ver-standen, der eine angemessene Sicherheit für die Verlässlichkeit der Rechnungslegung sowie für die Übereinstimmung der für externe Zwecke erstellten Abschlüsse mit all-gemein anerkannten Rechnungslegungsprinzipien bietet.523 Anhand eines allgemein anerkannten Rahmenkonzepts, wie es etwa das COSO ist, muss das Management eine auf das Ende des Geschäftsjahres bezogene Beurteilung der operativen („operating“) und der konzeptionellen („design“) Wirksamkeit („effectiveness“) von ICoFR vor-nehmen, wobei verlangt wird, dass es für seine Behauptungen hinreichende Beweis-materialien bereithält.

Eine grobe Untergliederung der Projektarbeit, wie sie sich den einschlägigen Weglei-tungen entnehmen lässt, sieht typischerweise die folgenden Schritte vor:524

1. Projektplanung und Bestimmung des Projektumfangs (sog. „scoping“): Auswahl eines Rahmenkonzepts; Bestimmung der wesentlichen Elemente der Rechnungs-legung und der diesen zugrundeliegenden Unternehmensprozesse; Identifizierung relevanter Kontrollen; Auswahl von Unternehmenseinheiten.

2. Dokumentierung: Entwicklung von Dokumentationsstandards, Erstellung von Dokumentationen für Prozesse und Kontrollen sowie Beurteilung der konzeptio-nellen Wirksamkeit der Kontrollen; Einleitung erster Korrekturmassnahmen.

3. Testen der operativen Wirksamkeit der Kontrollen: Entwicklung von Teststrate-gien, Durchführung von Tests und Auswertung der Testergebnisse; Behebung i-dentifizierter Kontrollschwächen.

4. Auswertung der festgestellten Kontrollschwächen: Beurteilung hinsichtlich Ein-trittswahrscheinlichkeit und Fehlbetrag sowie Berücksichtigung allenfalls vor-handener kompensierender Kontrollen („compensating controls“).

5. Berichterstattung

Vor dem Hintergrund, die Auswirkungen der Befolgung der SEC-Detailregeln auf die Wirksamkeit von ICoFR zu bestimmen, schien zuvorderst die Bestimmung des Pro-jektumfangs, also der relevanten Prozesse und Kontrollen sowie Unternehmenseinhei-

523 Siehe ausführlich Abschnitt 3.1.1. 524 Vgl. z.B. PWC (2004 a).

4. Kapitel: Auswirkungen von Section 404 in der Praxis

131

ten, von besonderer Bedeutung zu sein. Davon auszugehen ist, dass diese gleich zu Beginn des Implementierungsprojekts zu treffende Entscheidung über die Dauer der eigentlichen Implementierung hinaus für einen längeren Zeitraum Gültigkeit hat.525 Von entscheidendem Einfluss auf die Wirksamkeit von ICoFR ist sodann die eigentli-che Arbeit, mittels derer Unternehmen die Wirksamkeit von ICoFR sicherstellen – sprich: die in den Schritten 2 und 3 erfolgende Dokumentierung, Beurteilung und An-passung von ICoFR. Dabei zu berücksichtigen sind auch die dem Gelingen entgegen-stehenden Schwierigkeiten. Sodann interessierten die konkreten Ergebnisse der Um-setzungsbemühungen – zu fragen also war, welches die Veränderungen in den ICoFR sind, die Unternehmen infolge der Implementierung feststellen, und inwiefern diese zu einer verbesserten Wirksamkeit von ICoFR beitragen. Dabei wurde der Praktikabilität halber der im PCAOB-Standard gepflogenen Unterscheidung zwischen Transaktions-kontrollen („controls at the process, transaction, or application level“)526 und „compa-ny-level controls“527 gefolgt. Angesichts der Willensäusserung des Gesetzgebers, dass die Befolgung der Vorschriften weitgehend kostenneutral vonstatten gehen solle, wur-de schliesslich gefragt, welche Kosten den Unternehmen infolge der Implementierung entstehen, ob weitere positive oder negative Effekte beobachtet werden können und wie insgesamt das Kosten-Nutzen-Verhältnis der Implementierung eingeschätzt wird. – Die nachstehenden Fragen fassen diese Überlegungen zusammen:

1.1 Wie definieren Unternehmen den Projektumfang, d.h. die relevanten Prozesse, Kontrollen und Unternehmensteile?

1.2 Wie stellen die betroffenen Unternehmen die – konzeptionelle und operative – Wirksamkeit von ICoFR sicher?

1.3 Inwiefern verändert sich die Wirksamkeit von ICoFR infolge der Implementie-rung der Detailregeln?528

525 Siehe in diesem Zusammenhang auch die an die Prüfer gerichtete Frage nach der Effizienz ihrer Prü-

fungshandlungen; Abschnitt 4.2.3.2.4. 526 Diese Kontrollkategorie entspricht den „control activities“ des COSO-Framework. Siehe Abschnitt

2.3.3.1.3. 527 Hierunter werden die restlichen vier Komponenten des Framework („control environment“, „risk assess-

ment“, „information and communication“, „monitoring“) zusammengefasst. Siehe Abschnitt 2.3.3.1.3. 528 Die festgestellten Änderungen in ICoFR bzw. deren Wirksamkeit sind nicht allein auf die Implementie-

rungsarbeiten im Unternehmen zurückzuführen, sondern in einem gewisen Grad auch auf die ICoFR-Prüfung; siehe Abschnitt 4.2.3.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

132

1.4 Welche Kosten entstehen den Unternehmen infolge der Implementierung und wie beurteilen sie das Kosten-Nutzen-Verhältnis?

4.2.1.2 Antworten der Befragten Die Antworten, die in die Ausarbeitung der folgenden Abschnitte einflossen, wurden von den Projektverantwortlichen der Unternehmen (Fragen 1.1 und 1.2) und den be-fragten Financial Reporting Managers (Fragen 1.3 und 1.4) gegeben.529

4.2.1.2.1 In bezug auf die Definition des Projektumfangs

4.2.1.2.1.1 Auswahl des Rahmenkonzepts

Von den fünf befragten Unternehmen haben sich vier – allesamt auf Anraten ihres Ab-schlussprüfers – für die Verwendung des COSO-Frameworks530 entschieden, wie die-ses auch von der SEC bzw. dem PCAOB empfohlen wird. In keinem dieser Unter-nehmen hatte man zuvor schon mit COSO gearbeitet, erst anlässlich des Aufkommens der SEC-Bestimmungen sah man sich hierzu gezwungen. Ausnahmslos beschränken sich diese Unternehmen auf die zweite Zielkategorie des COSO-Frameworks, Zuver-lässigkeit der finanziellen Berichterstattung, sehen also (vorerst) von einer zusätzli-chen Berücksichtigung der beiden anderen Zielkategorien, Effektivität und Effizienz der betrieblichen Abläufe bzw. Einhaltung relevanter Gesetze und Vorschriften, ab.

Nur ein Unternehmen arbeitet mit einem selbstentwickelten Rahmenwerk. Dieses schliesst alle operationellen Risiken ein, die im Unternehmen auftreten können, und geht damit deutlich über die Anforderungen der SEC hinaus.531 Dieses Rahmenkon-zept ist Bezugspunkt für sämtliche unternehmensweiten „Compliance“-Initiativen, von denen das „404-Implementierungsprojekt“ zum Zeitpunkt der Untersuchung nur eine war. Hinter der Entscheidung, mit einem solch umfassenden Framework zu arbeiten, steckt die Überzeugung, dass nur auf diese Weise nachhaltig Werte geschafft werden können:

„Ohne einen solch ganzheitlichen Ansatz wüsste man am Ende des Tages doch ledig-lich, ob man 404 erfüllt oder eben nicht erfüllt!“

529 Siehe in Anhang C die unter A.II, B.I und B.III aufgeführten Fragen. 530 Siehe Abschnitt 2.3.3.1.3. 531 Siehe Abschnitt 3.1.1.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

133

Alle fünf Unternehmen unterscheiden getreu dem PCAOB-Standard zwischen Trans-aktionskontrollen und „company-level controls“. Die erste Kategorie, Transaktions-kontrollen, wurde von den befragten Unternehmen in zwei Schritten spezifiziert:

• Identifizierung der relevanten Prozesse (sog. „process-scoping“);

• Bestimmung von Transaktionskontrollen für die als relevant identifizierten Pro-zesse

4.2.1.2.1.2 Bestimmung wichtiger Unternehmensprozesse

Beim „process-scoping“ wurden zwei unterschiedliche Methoden angewendet: Drei der befragten Unternehmen gingen für die Bestimmung der relevanten Unternehmens-prozesse von den wesentlichen Elementen der Rechnungslegung aus. Die beiden ande-ren Unternehmen hingegen begannen mit einer kompletten Bestandesaufnahme ihrer Unternehmensprozesse, deren wichtigsten sie anhand von verschiedenen (quantitativen und qualitativen) Kriterien ausgesucht und dann den jeweiligen Elementen der Rech-nungslegung zugeordnet haben.

Die relevanten Unternehmensprozesse wurden unterteilt in solche, die ausschliesslich auf Gruppenebene (üblicherweise als „corporate processes“ bezeichnet)532 zum Tragen kommen, und solche, die auf Ebene der Gruppengesellschaften (meist „operating pro-cesses“ genannt)533 ausgeübt werden.

Eines der befragten Unternehmen gab an, dass der Abschlussprüfer das „process-scoping“ weitgehend allein durchgeführt und den Verantwortlichen auf Unterneh-mensseite einen entsprechenden Vorschlag präsentiert habe, der im grossen und gan-zen dann unverändert übernommen wurde; die anderen vier Unternehmen übernahmen die Aufgabe des Prozess-Scoping selbst, versicherten sich aber frühzeitig des Einver-ständnisses ihres Abschlussprüfers, um zu einem späteren Zeitpunkt „keine negativen Überraschungen“ zu erleben. Einhellig und unabhängig von den gewählten Ansätzen wurde berichtet, dass das „process-scoping“ eine verhältnismässig einfache Aufgabe dargestellt habe.

532 Beispiele für „corporate processes“ sind: „Tax“, „Treasury“, „Legal“, „Management Reporting“, „Finan-

cial Reporting“, „Compensation“. 533 Beispiele für „operating processes“ sind: „Revenues and Receivables“, „Purchases and Payables“, „Pro-

duction and Inventory“, „Fixed Assets“, „General Ledger Accounting“.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

134

4.2.1.2.1.3 Bestimmung relevanter Transaktionskontrollen

Für die auf die eine oder andere Methode ermittelten Prozesse wurden dann detaillierte Kontrollmatrizen erstellt. Dabei handelt es sich um Übersichten, auf denen für die ver-schiedenen Subprozesse, in die sich ein Prozess untergliedern lässt, jeweils allgemeine Kontrollziele und -risiken sowie spezifische Kontrollaktivitäten (bzw. Transaktions-kontrollen) angegeben sind.534

Was die „operating processes“ betrifft, so wendeten alle befragten Unternehmen einen zentralen Ansatz an: Von der (globalen) Projektleitung wurden einheitliche Kontroll-matrizen erstellt, die von den verschiedenen Unternehmenseinheiten mehr oder weni-ger unverändert zu übernehmen waren. Die Mehrheit der Befragten nannte dieses Vor-gehen als wichtigen Erfolgsfaktor auf dem Weg zu einer unkomplizierten Erfüllung der Vorschriften: Erleichtert werde u.a. die Überwachung durch die Konzernzentrale und der unternehmensweite Austausch von „best practice“, interne und externe Prüfer könnten zudem von raschen Erfahrungsgewinnen profitieren.535

Wie schon beim „process-scoping“ kam auch bei der Erstellung der Kontrollmatrizen in mehreren der befragten Unternehmen dem Prüfer eine entscheidende Rolle zu: Zwei Unternehmen gaben an, dass die Kontrollmatrizen durch den Abschlussprüfer entwor-fen wurden, der bei der Erstellung auf standardisierte, branchenneutrale Kontrollkata-loge zurückgegriffen und auf den jeweiligen Unternehmenskontext abgestimmt hatte – diese Kontrollmatrizen seien dann intern, u.a. durch die Interne Revision, validiert worden. Zwei andere Unternehmen gaben an, die Kontrollmatrizen autonom erarbeitet zu haben, wobei man auf Vertreter verschiedener Abteilungen und Funktionen zu-rückgriff, die zu bestimmen halfen, welche Transaktionskontrollen wichtig sind und folglich in den betroffenen Unternehmenseinheiten vorhanden sein müssen. Alle Un-

534 Beispiel: Subprozesse des Prozesses „Purchases and Payables“ sind „Payments“ oder „Ordering“ oder

„Vendor maintenance“. Die Aussagen der Unternehmensleitung, die in den Jahresabschluss Eingang fin-den, können als allgemeine Kontrollziele, die unabhängig von dem jeweiligen Prozess Gültigkeit haben, verstanden werden; hierzu zählen bspw: Richtigkeit, Vollständigkeit, Abgrenzung, Bewertung. Spezifi-sche Kontrollziele werden definiert, um die Erreichung dieser allgemeinen Kontrollziele zu ermöglichen; u.a. wird das allgemeine Kontrollziel Richtigkeit im Subprozess „Payments“ durch das spezifische Kon-trollziel „Calculate translation of foreign currency payments accurately“ übersetzt. Für jedes dieser Ziele werden dann eine oder mehrere konkrete Massnahmen definiert, Kontrollaktivitäten, deren Befolgung die Zielerreichung sicherstellt bzw. unterstützt. Eine spezifische Kontrollaktivität, die zum Kontrollziel „Cal-culate translation of foreign currency payments accurately“ beiträgt, wäre etwa „Foreign currency rates are daily updated in the system based upon approved rates provided by Treasury“. – Für eine beispielhafte Kontrollmatrix siehe Anhang D.

535 Siehe Abschnitt 4.2.1.2.2.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

135

ternehmen erachteten diesen Schritt als kritisch, da sich aus ihm die für eine Vielzahl von Unternehmenseinheiten über eine längere Dauer hinweg anfallende Arbeitsbelas-tung ergebe.

Drei der fünf Unternehmen räumten in diesem Zusammenhang ein, dass sie bei fortge-schrittenem Projektverlauf feststellen mussten, dass man bei der Konzeption der Kon-trollmatrizen zu wenig fokussiert vorging und also eine hohe Anzahl nicht unbedingt essentieller Transaktionskontrollen als verbindlichen Standard vorgab. Ursächlich für diese selbstverschuldete „Überregulierung“ sei, so einer der Befragten, die Unsicher-heit sowohl im Unternehmen als auch seitens der Prüfer hinsichtlich der tatsächlichen Erfordernisse sowie die unbedingte Absicht, die Bestimmungen zu erfüllen. Dies habe in der allgemeinen Einstellung gemündet, „im Zweifel lieber zu viel als zu wenig zu machen“. Eine andere Person hingegen sah die Schuld bei der internen Revision, die man in die Ausarbeitung der Kontrollmatrizen involviert hatte und die diese Gelegen-heit zum Anlass genommen habe, „all ihre Wünsche unter dem Vorwand von 404 verwirklichen zu können.“ Im dritten Unternehmen habe sich im Verlaufe der Projekt-arbeit schlicht das Verständnis von Wesentlichkeit geändert. – Die drei betroffenen Unternehmen sahen sich gezwungen, noch während der Implementierung solche Transaktionskontrollen aus den Matrizen zu entfernen, die entweder redundant oder nur von nebensächlicher Bedeutung waren, und sich auf die wichtigen Transaktions-kontrollen zu beschränken; in diesem Zusammenhang hat sich der Begriff der „key control“ etabliert. Gleichwohl sind die Mengen der als relevant ausgewiesenen Trans-aktionskontrollen noch immer stattlich,536 ein Unternehmen bezifferte sie unterneh-mensweit auf über 4’000.

Während der Abschlussprüfer bzw. der „Coach“537 den Unternehmen in Sachen „ope-rating processes“ noch mit standardisierten Kontrollkatalogen auszuhelfen vermochte, waren die meisten Unternehmen bei der Entwicklung der Kontrollmatrizen für die re-levanten „corporate processes“ weitgehend allein auf sich gestellt – übrigens auch dasjenige, bei dem der Prüfer die Kontrollmatrizen für die „operating processes“ nahe-zu alleine erstellt hat. Lediglich ein Unternehmen bekannte, dass die Unterstützung der

536 In einem Unternehmen beinhaltete die ursprünglich für den Prozess „General Ledger Accounting“ vorge-

sehene Kontrollmatrix 141 Kontrollaktivitäten; die finale Version enthielt mit 42 Kontrollen eine immer noch beträchtliche Anzahl. Im Prozess „Revenues and Receivables“ wurden zunächst gar 471 Kontrollak-tivitäten bestimmt, die schliesslich auf 87 reduziert wurden.

537 Bezeichnung für einen externen Berater, üblicherweise eine Big-Four-Prüfgesellschaft, die nicht gleich-zeitig auch das Mandat für die Abschlussprüfung innehat. Siehe auch Abschnitt 4.2.3.2.1.2.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

136

als „Coach“ fungierenden Prüfgesellschaft bei der Definition der Kontrollmatrizen für die „corporate processes“ genauso wertvoll gewesen sei wie bei der Erstellung der Kontrollmatrizen für die „operating processes“ – dies allerdings sei auf den besonde-ren Umstand zurückzuführen, dass der „Coach“ bis vor kurzem noch das Abschluss-prüfungsmandat innehatte. Als Erklärung dafür, dass der Prüfer ihnen diesbezüglich keine Hilfestellung zu geben imstande war, wurde von einer Interviewperson genannt, dass es sich bei den „corporate processes“ zumeist um manuell durchgeführte, von einzelnen Personen abhängige, unternehmensspezifische Prozesse handele, die auf-grund ihrer Einzigartigkeit im Unternehmen nicht standardisiert worden waren. Auch aufgrund der fehlenden Unterstützung wurde diese Aufgabe von einzelnen Unterneh-men als sehr anspruchsvoll bezeichnet. Die Kontrollmatrizen für die „corporate pro-cesses“ sind ebenfalls sehr umfangreich und umfassen in manchen Unternehmen über 200 Kontrollaktivitäten.

4.2.1.2.1.4 Bestimmung von „company-level controls“

Die zweite Kategorie in der PCAOB-Terminologie, „company-level controls“, wird nicht über das in den beiden vorangegangenen Abschnitten beschriebene Vorgehen ermittelt. Der ansonsten sehr detaillierte PCAOB-Standard gibt diesbezüglich kaum Anleitungen und beschränkt sich auf Beispiele. So erstaunt es nicht, dass die befragten Unternehmen angaben, nur wenig Unterstützung von den Prüfgesellschaften erhalten zu haben, und dass die Ansätze, mit denen sie diese Kontrollkategorie zu definieren suchten, mitunter stark verschieden waren: Ein Unternehmen leitete die „company-level controls“ direkt aus dem COSO-Framework ab, ein anderes erstellte eine Kurz-version der für die „corporate processes“ entwickelten Kontrollmatrizen, die von den verschiedenen Unternehmenseinheiten zu befolgen war. Die angedeutete Unsicherheit drückte sich zudem in den teilweise erheblich voneinander abweichenden Mengen der als relevant identifizierten „company-level controls“ aus: In den fünf befragten Unter-nehmen variieren sie zwischen 15 und über 150. Allgemein bekundeten die Ge-sprächspartner, bei der Benennung wesentlicher „company-level controls“ grössere Schwierigkeiten gehabt zu haben als bei der Identifizierung von Transaktionskontrol-len.

4.2.1.2.1.5 Auswahl von Unternehmenseinheiten

Anders als „corporate processes“, die lediglich auf der Ebene der Muttergesellschaft eine Rolle spielen, können die als wichtig identifizierten „operating processes“ in sämtlichen Gruppengesellschaften zum Tragen kommen. Wie in Abschnitt 3.2.2.1

4. Kapitel: Auswirkungen von Section 404 in der Praxis

137

dargelegt wurde, trägt der PCAOB-Standard dem Prüfer auf, eine genügend hohe Ab-deckung der wesentlichen Elemente der Rechnungslegung sicherzustellen. Die Prüfge-sellschaften empfehlen die Bestimmung eines Abdeckungsgrades, aus dem die bei der Prüfung zu berücksichtigenden Unternehmenseinheiten abgeleitet werden können und der mindestens 60% zu betragen habe.538 Um den Aufwand der Implementierung zu minimieren, orientieren sich auch Unternehmen an dieser Vorgabe.539

Bei der Bestimmung des Abdeckungsgrades und der damit verbundenen Auswahl von Unternehmenseinheiten liessen sich alle der befragten Unternehmen von ihrem Ab-schlussprüfer leiten, in einem Fall nahm er das sog. „entity-scoping“ sogar gleich selbst vor. In der Regel angestrebt wird eine Abdeckung des konsolidierten Umsatzes und der Aktiva in Höhe von 65–75 %. Damit befinde man sich „auf der sicheren Sei-te“, und könne, falls Schwierigkeiten in einzelnen Unternehmenseinheiten auftreten sollten, diese kurzerhand aus dem „entity-scope“ entfernen, ohne deswegen die erfor-derliche Abdeckung nicht mehr garantieren zu können.

Die untersuchten Unternehmen unterscheiden gemäss dem PCAOB-Standard drei ver-schiedene Typen von Unternehmenseinheiten:540

• solche, die „individually important“ sind, also für sich gesehen eine wesentliche Bedeutung für die konsolidierten Abschlüsse haben;

• dann solche Unternehmenseinheiten, die zwar nicht wesentlich sind, aus denen jedoch besondere Risiken für die Rechnungslegung resultieren können;

• schliesslich jene Einheiten, die weder aufgrund von quantitativen noch von qua-litativen Kriterien als wesentlich einzustufen sind, die aber gemeinsam einen

538 Vgl. z.B. PWC (2004 a), S. 18 f. 539 Der Gesprächspartner einer Prüfgesellschaft wies darauf hin, dass die SEC-Regelungen nicht vorsehen,

dass das Management ein „scoping“ vornehmen könne, wie dies in den betroffenen Unternehmen gang und gäbe ist. Die entsprechenden, vom PCAOB erlassenen Bestimmungen über das „scoping (bezogen auf Prozesse und Unternehmenseinheiten) seien an die Prüfer gerichtet, die bei ihrer Arbeit die Wesent-lichkeit zu berücksichtigen hätten; weil aber keine konkreten Richtlinien für Unternehmen bestehen, be-fand man, dass Unternehmen nichts falsch machen, wenn sie sich an der Arbeit des Prüfers orientieren. Die Person bezeichnete diese von den Unternehmen übernommene Praxis als nicht dem Auftrag entspre-chend – ein Buchhalter dürfe sich schliesslich bei seiner Arbeit auch nicht an den vom Prüfer angewende-ten Wesentlichkeitsgrenzen orientieren.

540 Siehe PCAOB (2004 a), Appendix B.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

138

wesentlichen Einfluss auf die Finanzberichterstattung des Unternehmens besit-zen und also eine kombinierte Wesentlichkeit aufweisen.541

Bei den befragten Unternehmen lag die Anzahl der als individuell wesentlich kategori-sierten Unternehmen zwischen unter zehn und über 100. Wie sich allerdings heraus-stellte, waren von diesen Unternehmenseinheiten, die infolge ihrer Klassifizierung um-fassende Dokumentations- und Testarbeiten zu leisten haben, nur ein geringer Bruch-teil „wesentlich“ im eigentlichen Sinne, also unter Hinzuziehung üblicher Wesentlich-keitsgrenzen.542 Um aber die vom PCAOB verlangte und von den Prüfgesellschaften definierte „large portion of the company’s operations and financial position“543 zu er-reichen, mussten die Wesentlichkeitsgrenzen entsprechend herabgesetzt werden, so dass es vorkommen kann, dass der Grossteil der einbezogenen Unternehmenseinheiten nur im Verbund mit einer oder mehreren anderen Einheiten eine wesentliche Fehlaus-sage verursachen könnte. Dies hatte zur Folge, dass diejenigen Unternehmenseinhei-ten, die in der PCAOB-Methodologie aufgrund ihrer individuellen Unwesentlichkeit eigentlich nur einer oberflächlichen Betrachtung bedürften, genauso behandelt wurden wie die (wenigen) tatsächlich wesentlichen Unternehmenseinheiten. In zwei Unter-nehmen traf dies für über 80% der ausgewählten Unternehmenseinheiten zu, in einem von diesen war eine Ländergesellschaft Bestandteil des „entity-scope“, auf die 0.2% des Konzernumsatzes entfiel, ohne dass das Vorliegen besonderer Risiken geltend ge-macht worden wäre.

Die meisten der Unternehmen wendeten darüber hinaus auch qualitative Kriterien bei der Definition des Projektumfangs an. Bspw. wurden einige (wenige) Gruppengesell-schaften trotz relativ geringer Umsatzgrösse aufgenommen, nachdem bei ihnen zuvor eine interne Revision zu negativen Resultaten geführt hatte; teilweise wurden auch vor kurzem akquirierte Gesellschaften berücksichtigt. Die in diesen Unternehmenseinhei-ten erforderliche Arbeit wurde üblicherweise nicht auf die jeweiligen Risiken redu-ziert, sondern auch auf weitere Prozesse ausgedehnt.

541 In diesen Einheiten hat der Abschlussprüfer lediglich die „company-level controls“ zu testen. 542 Menzies (2004), S. 148, schlägt die folgenden Wesentlichkeitsgrenzen vor: > 5% von EBIT; > 5% des

konsolidierten Umsatzes; > 5% der Aktiva; > 3% des Eigenkapitals. 543 PCAOB (2004 a), Appendix B, para. 11: “If the auditor cannot test a large portion of the company’s op-

erations and financial position by selecting a relatively small number of locations or business units, he or she should expand the number of locations or business units selected to evaluate internal control over fi-nancial reporting.“

4. Kapitel: Auswirkungen von Section 404 in der Praxis

139

Die mittels quantitativer bzw. qualitativer Kriterien bestimmten Unternehmenseinhei-ten („A-Einheiten“ genannt), denen die ausführliche Dokumentierung und Prüfung ihrer Prozesse aufgetragen wurde, machen gemeinsam 65–75% des konsolidierten Umsatzes aus. Um eine höhere Abdeckung, gewöhnlich 95%, bestimmter konsolidier-ter Kennzahlen, etwa EBIT, zu erzielen, wurden in den befragten Unternehmen noch weitere Einheiten bestimmt. Diese sog. „B-Einheiten“ jedoch mussten lediglich die „company-level controls“ dokumentieren und testen. Auch hierbei orientierte man sich an den Vorgaben des Abschlussprüfers.

Als dritte Kategorie werden in den Unternehmen „IT General Controls“ behandelt, die gelegentlich in eigenständigen Umsetzungsprojekten und unabhängig von den anderen beiden Kontrollkategorien bearbeitet werden. Dabei handelt es sich um allgemeine Kontrollen, wie etwa Kontrollen über Programmentwicklung, -änderungen und -zugriffe, die teilweise Voraussetzung für das Funktionieren anderer Kontrollaktivitäten sind. Gemäss dem PCAOB-Standard sind die „IT General Controls“ eine Subkategorie der Transaktionskontrollen.544 Aus diesem Grund und weil diese Kontrollen nur in indirektem Zusammenhang mit den hier interessierenden Aspekten der Prüfung und Rechnungslegung stehen, sollen sie im folgenden nicht weiter berücksichtigt wer-den.545

Unternehmensebenen

Kontrollkategorie A-Einheiten B-Einheiten Zentralen546

„operating“ Transaktionskontrollen X

„corporate“ Transaktionskontrollen X

„company-level controls“ X X X

IT General Controls X X

Tab. 13: Kontrollkategorien und Unternehmensebenen

Tab. 13 gibt die verschiedenen Kontrollkategorien wieder und ordnet sie den jeweili-gen Unternehmensebenen zu, auf denen sie üblicherweise zum Zuge kommen.

544 Vgl. PCAOB (2004), para. 126. Siehe zur Funktion von „IT General Controls“ z.B. KPMG (2004), S. 5. 545 Gleichwohl sind „IT General Controls“ von Bedeutung für eine ICoFR-Prüfung. PCAOB (2004 a), para.

140, nennt verschiedene Fälle, in denen Schwachstellen in den „IT General Controls“ als „material weaknesses“ auszulegen sind und damit zu unqualifizierten Meinungen über die ICoFR führen können.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

140

„Company-level controls“ wurden nicht in allen der befragten Unternehmen auch auf Ebene der Unternehmenseinheiten betrachtet. Ein Unternehmen etwa berichtete, dass eine frühzeitig unter ausgewählten Unternehmenseinheiten durchgeführte Selbstbeur-teilung hinsichtlich der „company-level controls“ nur zu kläglichen Ergebnisse geführt habe. Deswegen sei entschieden worden, die „company-level controls“ nur auf Ebene der Konzernzentrale zu behandeln.

4.2.1.2.2 In bezug auf die Sicherstellung der Wirksamkeit von ICoFR

Nachdem der Projektumfang definiert wurde, stellte sich den betroffenen Unterneh-menseinheiten547 die Aufgabe, die Wirksamkeit der vorgegebenen Kontrollaktivitäten sicherzustellen, d.h. für deren Existenz zu sorgen, sie zu dokumentieren und auf kon-zeptionelle bzw. operative Wirksamkeit zu testen.

4.2.1.2.2.1 Einrichtung

Die ausgewählten Unternehmenseinheiten mussten zunächst die Einrichtung der erfor-derlichen Transaktionskontrollen sicherstellen. Hierzu griffen sie auf die zentral erar-beiteten und vom Abschlussprüfer zuvor genehmigten Kontrollmatrizen zurück,548 die das „Soll“ definierten, indem sie die für jeden Prozess bzw. Subprozess erforderlichen Transaktionskontrollen aufzeigten. Wie die Unternehmenseinheiten nun mit den gene-rischen Vorgaben umzugehen hatten, war von Unternehmen zu Unternehmen ver-schieden: Die meisten Unternehmen gestatteten den einzelnen Unternehmenseinheiten, den Wortlaut der vorgegebenen Transaktionskontrollen anzupassen, bestimmten aber, dass hierfür das Einverständnis des Abschlussprüfers vonnöten sei, dessen in der ori-ginären Kontrollmatrix zum Ausdruck gebrachten Erwartungen ansonsten kompromit-tiert würden. Erklärt wurde diese den lokalen Einheiten zugestandene Möglichkeit der Anpassung mit dem hohen Abstraktionsgrad der Kontrollmatrizen. – Ebenfalls unter dem Erfordernis der Einwilligung des Abschlussprüfers beliessen zwei Unternehmen es den lokalen Verantwortlichen zu bestimmen, welche der vorgegebenen Transakti-onskontrollen für ihre Unternehmenseinheiten überhaupt relevant seien und welche ausser acht gelassen werden können. In den übrigen Unternehmen hingegen wurden

546 Konzernzentrale bzw. Zentralen von Unternehmenssparten oder Geschäftseinheiten. 547 Bei der nun folgenden Diskussion wird der Einfachheit halber die Perspektive der Unternehmenseinheiten

wiedergegeben, auf eine Unterscheidung zwischen „operating processes“ und „corporate processes“ also verzichtet. Vieles von dem Beschriebenen, insbesondere in den Abschnitten 4.2.1.2.2.2–4.2.1.2.2.5 hat jedoch auch Gültigkeit für die Behandlung der Prozesse auf Gruppenebene. Transaktionskontrollen und „company-level controls“ hingegen werden weiterhin getrennt voneinander behandelt.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

141

die in den Kontrollkatalogen aufgeführten Transaktionskontrollen als das notwendige Minimum angesehen, über welches die einzelnen Unternehmenseinheiten in jedem Fall verfügen müssten, das sie aber freilich durch weitere, individuelle Transaktions-kontrollen ergänzen konnten.

Keinerlei Wahlfreiheiten hingegen gab es bei den „company-level controls“: In denje-nigen Unternehmen, in denen diese auch ausserhalb der Konzernzentrale berücksich-tigt wurden – also sowohl in „A-„ als auch in „B-Einheiten“ –, wurde üblicherweise ein Fragebogen erstellt, den die jeweiligen Verantwortlichen unter Bezeichnung von hinreichenden Beweisen auszufüllen hatten.

Insgesamt wurde dieser Projektabschnitt von den Befragten als sehr anspruchsvoll und zeitintensiv bezeichnet. Erschwert worden sei diese Aufgabe zusätzlich durch Ver-ständnisschwierigkeiten in den Unternehmenseinheiten, bedingt sowohl durch fachli-che Unkenntnisse als auch sprachliche Hindernisse.549

4.2.1.2.2.2 Dokumentierung

Alle befragten Unternehmen gaben an, über einheitliche Dokumentationsstandards zu verfügen. Diese sehen üblicherweise für jeden Prozess bzw. Subprozess Ablaufdia-gramme550 und ergänzende -beschreibungen vor sowie Kontrollbeschriebe, in denen die jeweiligen Transaktionskontrollen detailliert erläutert werden, bspw. hinsichtlich Verantwortlichkeiten, Häufigkeit der Durchführung, Nachweis- oder Aufbewahrungs-pflichten.

In den meisten Unternehmen sind die jeweiligen Prozess- bzw. Kontrollverantwortli-chen für die Erstellung dieser Dokumente verantwortlich. Seitens der Projektverant-wortlichen wurde dies damit begründet, dass, erstens, diese Personen zwangsläufig über das notwendige Detailwissen verfügten; dass, zweitens, die Dokumentierung der eigenen Aufgaben „selbstverständlicher Bestandteil der täglichen Arbeit“ sei; sowie dass, drittens, die regelmässige Aktualisierung der Dokumentation – etwa falls Prozes-se oder Strukturen geändert werden – eher angenommen werden könne, wenn die von den Änderungen Betroffenen selbst die Dokumentationen angefertigt hätten.

548 Siehe Abschnitt 4.2.1.2.1.3. 549 In multinationalen Unternehmen sind sämtliche Kontrollmatrizen in englischer Sprache verfasst. 550 Lediglich in einem Unternehmen wurden keine Ablaufdiagramme erstellt.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

142

Mehrere Gesprächspartner nannten die Dokumentierung der Prozesse und Kontrollen als einen der zeitaufwendigsten Projektabschnitte. Widerstände und Probleme, die hierbei auftreten könnten, seien: fehlende Ressourcen, v.a. in den lokalen Unterneh-menseinheiten; mangelnde Einsicht in die Notwendigkeit eines solchen Unterfangens sowie ungenügendes Verständnis der Erfordernisse. Dies alles führte verschiedentlich zu Verzögerungen und bzw. oder Schlechterfüllung.

Um diesen Hindernissen zu entgegnen, wurden verschiedene Massnahmen ergriffen: In einem Unternehmen unterstützten die Mitarbeiter des zentralen Projektteams die einzelnen Unternehmenseinheiten bei deren Dokumentationsarbeiten. Andernorts identifizierte man aus der Gesamtmenge der relevanten Unternehmenseinheiten für jeden Prozess sog. „Piloten“, die frühzeitig mit der Dokumentierung derjenigen Pro-zesse begannen, die bei ihnen als besonders effizient und wirksam angenommen wur-den. Ihre Prozessbeschriebe wurden dann als Musterexemplare den anderen Unter-nehmenseinheiten zur Verfügung gestellt. Im nachhinein aber wurde dieses Vorgehen als wenig hilfreich bezeichnet, da man unter dem Zeitdruck die Qualität der Prozesse der „Piloten“ überbewertet und zudem die lokalen Besonderheiten, die einer einfachen Übertragung eines globalen Standards entgegenstehen, unterschätzt hat. Kurzerhand ausgegliedert wurde die Dokumentationsarbeit in einem weiteren Unternehmen, das, nachdem die Ergebnisse eigener Bemühungen für unbefriedigend befunden wurden, seinen „Coach“ damit beauftragte, sämtliche Dokumentationen anzufertigen.

Obige Ausführungen beziehen sich nicht auf die „company-level controls“. Vergleich-bare Anstrengungen wurden in keinem Unternehmen für die Dokumentierung dieser Kontrollkomponenten unternommen, auch schien man diesbezüglich keine verbindli-chen Dokumentationsstandards vorgegeben zu haben. In einem der befragten Unter-nehmen sah man gar gänzlich von einem Dokumentationserfordernis ab, was damit begründet wurde, dass man keinen Mehrwert in derlei Dokumentationen erkennen könne.

4.2.1.2.2.3 Sicherstellung der konzeptionellen Wirksamkeit

Hinsichtlich der konzeptionellen Wirksamkeit herrscht in den Unternehmen prinzipiell die gleiche Auffassung vor, dass nämlich die „design effectiveness“ als gegeben be-trachtet werden kann, wenn die generischen, vom Abschlussprüfer gebilligten Kon-trollmatrizen in den Unternehmenseinheiten umgesetzt sowie die erforderlichen Trans-aktionskontrollen eingerichtet und dokumentiert worden sind. Das „testing of design effectiveness“, wie es in den befragten Unternehmen vorgenommen wurde, besteht

4. Kapitel: Auswirkungen von Section 404 in der Praxis

143

folglich weniger in einer eigentlichen Beurteilung der vorliegenden Transaktionskon-trollen hinsichtlich deren Eignung zur Verhinderung bzw. Aufdeckung von Fehlern und deliktischen Handlungen, sondern vielmehr darin sicherzustellen, dass die rele-vanten Transaktionskontrollen existieren. Dabei bezogen sich die durchgeführten Ar-beiten zur Sicherstellung der konzeptionellen Wirksamkeit beinahe ausschliesslich auf die „operating processes“ und die „corporate processes“. „Company-level controls“ wurden den Befragten zufolge entweder gar nicht – wie in zwei Unternehmen der Fall – auf konzeptionelle Wirksamkeit getestet oder aber nur unter erheblichen Schwierig-keiten und mit fragwürdigen Resultaten, wie dies ein Unternehmen berichtete.

Unterschiede zwischen den von den Unternehmen angewendeten Methoden liegen in der Wahl der Personengruppen, die für das „testing of design effectiveness“ verant-wortlich zeichnen: In vier der befragten Unternehmen lag es an den (lokalen) Projekt-verantwortlichen der verschiedenen Unternehmenseinheiten, die Existenz und Doku-mentation der relevanten Transaktionskontrollen sicherzustellen; dem Abschlussprü-fer, der sich in einigen der Unternehmen gleich nach Beendigung der Dokumentati-onsarbeiten vor Ort der konzeptionellen Wirksamkeit versicherte, waren sämtliche Ablaufdiagramme, eine Übersicht über die erstellten Kontrollbeschreibungen sowie eine Zusammenstellung der identifizierten Kontrollschwächen zu übergeben, deren Behebung dann gemeinsam zu vereinbaren war. In einem anderen Unternehmen waren es die Mitarbeiter des zentralen Projektteams, die in den einzelnen Unternehmensein-heiten die erstellten Dokumentationen prüften und „Walkthroughs“ für sämtliche Pro-zesse vornahmen, um allfällige Schwachstellen zu identifizieren.

Obwohl viele Aspekte der „company-level controls“ massgeblich von Einstellung und Verhalten der Geschäftsleitung beeinflusst werden – weswegen ein Engagement des Managements bei der Implementierung zu erwarten wäre –, war den Ausführungen der meisten Unternehmen zu entnehmen, dass Geschäftsleitung und Verwaltungsrat in konzeptionelle Fragen kaum je eingebunden werden und dass deren Rolle bei der Um-setzung eher passiver Natur ist. Ein Unternehmen gab an, dass CEO und CFO aktiv bei der Gestaltung der „company-level controls“ mitgewirkt haben, indem sie u.a. an der Formulierung des Code of Conduct beteiligt waren und die Position eines „Business Practice Officer“ schufen, dem bspw. Einrichtung und Unterhalt einer „Whistleblo-wer-Hotline“ übertragen wurden. In einem anderen Unternehmen wurde die Verant-wortung für die „company-level controls“ einer Stabsstelle, die dem Verwaltungsrat angegliedert ist, übergeben.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

144

4.2.1.2.2.4 Sicherstellung der operativen Wirksamkeit

Bevor das eigentliche „testing der operating effectiveness“ in Angriff genommen wer-den kann, sind sog. „testing strategies“ zu entwerfen, deren Umsetzung es einem erst erlaubt, mit hinreichender Verlässlichkeit die Funktionstüchtigkeit der in Rede stehen-den Transaktionskontrollen nachzuweisen, und an die gewisse Bedingungen (etwa in bezug auf die Testnatur und die Stichprobengrösse) geknüpft sind. Unterschiede zwi-schen den befragten Unternehmen bestanden v.a. in der Zuteilung der Verantwortlich-keiten für die Erarbeitung dieser „testing strategies“ bzw. in deren Individualisierung: In einem Unternehmen wurden vom Abschlussprüfer für sämtliche (generischen) Transaktionskontrollen grob formulierte Testempfehlungen abgegeben, auf deren Ba-sis die Projektverantwortlichen in den Unternehmenseinheiten dann detaillierte Test-strategien zu entwickeln hatten, deren Umsetzung wiederum das Einverständnis des jeweiligen (lokalen) Prüfers voraussetzte. Zwei andere Unternehmen beabsichtigten ebenfalls, den betroffenen Unternehmenseinheiten weitgehend das Erarbeiten der Testpläne zu überlassen, und führten entsprechende Schulungen mit den Projektver-antwortlichen durch. Weil in einem dieser Unternehmen später noch immer erhebliche Verständnisschwierigkeiten bestanden, beschloss die Projektleitung kurzerhand, die detaillierten Testpläne selbst zu entwerfen und diese den Unternehmenseinheiten zu-kommen zu lassen. In einem weiteren Unternehmen schliesslich gab das zentrale Pro-jektteam – in Abstimmung mit dem Abschlussprüfer – von Anfang an präzise vor, wie die einzelnen Transaktionskontrollen zu testen sind.

Alle der befragten Unternehmen massen der Konzeption effektiver Prüfstrategien eine herausragende Bedeutung bei, gaben aber gleichzeitig zu, dass hierin eine der grössten Herausforderungen beim „testing of operating effectiveness“ liege: Dasjenige Unter-nehmen, dass die Erarbeitung der Teststrategien von Anfang an weitgehend den Un-ternehmenseinheiten überliess, musste im nachhinein feststellen, dass vielerorts die lokalen Verantwortlichen mit dieser Aufgabe schlicht überfordert gewesen seien: Häu-fig seien die Teststrategien nur auf Formalitäten ausgerichtet gewesen und hätten es dem Testenden eigentlich nicht ermöglicht, Schlussfolgerungen über die Funktions-tüchtigkeit zu ziehen. Der Projektverantwortliche des Unternehmens, das die Teststra-tegien zentral erarbeitet hat, deutete ebenfalls Schwierigkeiten bei der Entwicklung zielgerichteter Teststrategien an. Überdies teilte er mit, dass die „tests of operating effectiveness“ ohnehin nicht dazu beitragen könnten, operative Unregelmässigkeiten oder gar deliktische Handlungen aufzudecken – dazu gebe es andere, zumeist infor-melle Wege.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

145

In drei Unternehmen lag die Verantwortung für die Durchführung der Tests allein bei den im „scope“ befindlichen Unternehmenseinheiten. Dahinter verbarg sich die Auf-fassung der Projektleitungen, dass das Testen – ähnlich wie die Dokumentierung – „selbstverständlicher Bestandteil der täglichen Arbeit“ sei und deswegen von den hier-von Betroffenen übernommen werden müsse. Eines dieser Unternehmen bekannte, mitunter – gerade in kleineren Unternehmenseinheiten – Mühe gehabt zu haben, die vom PCAOB aufgestellten Bedingungen der Unabhängigkeit und der Kompetenz551 konsequent einzuhalten, wies aber auch darauf hin, dass das Testerfordernis insofern zu einem konstruktiven Wissenstransfer geführt habe, als dass es die Mitarbeiter der Buchhaltungs- und Rechnungslegungsabteilungen gezwungen habe, sich intensiv mit den Prozessen und Aufgaben von Arbeitskollegen auseinanderzusetzen. In den ande-ren Unternehmen erfolgte das Testen entweder durch die Interne Revision oder lokal unter Anleitung der Projektleitung. Wer hiefür in Zukunft verantwortlich zeichnen wird, war in beiden Fällen noch ungewiss.

Aus den Gesprächen ging hervor, dass sich der gesamte Prozess des „testing of opera-ting effectiveness“ über mehrere Monate erstreckt. Als ursächlich für den beträchtli-chen Aufwand wurden die grossen Mengen an zu testenden Kontrollen und die rigi-den, von den Prüfgesellschaften vorgegebenen Testvorgaben552 genannt. In diesem Zusammenhang drückte eine der Interviewpersonen ihr Unverständnis über die vom Abschlussprüfer verfolgte „Zero Tolerance“-Devise aus, derzufolge Kontrollen, bei deren Tests ein einziges negatives Resultat vorkam, als nicht funktionierend eingestuft werden mussten.553

Wie bereits in Verbindung mit dem „testing of design effectiveness“ angedeutet, be-kundeten die Unternehmen Schwierigkeiten mit dem Erbringen eindeutiger Nachweise wirksamer „company-level controls“. Zwar wurden in allen der befragten Unterneh-men Anstrengungen unternommen, auch diese ICoFR-Komponenten auf deren Funk-tionstüchtigkeit zu überprüfen. Einigkeit besteht jedoch darin, dass dieses Unterfangen

551 Siehe Abschnitt 3.2.2.3. Der Abschlussprüfer verlangte von dem Mandanten, dass die Testpersonen un-

abhängig und kompetent sind, damit er selbst sich auf deren Arbeiten abstützen könne. 552 Vgl. z.B. PWC (2004 a), S. 61. Demnach müssen jährliche Kontrollen einmal, vierteljährliche Kontrollen

zweimal getestet werden; wöchentlich durchgeführte Kontrollen sollen eine Stichprobe von fünf bis 15 aufweisen, tägliche Kontrollen müssen zwischen 20 und 40 mal getestet werden.

553 Einzige Ausnahme waren Kontrollen, die mehrmals täglich durchgeführt werden und gemäss internen Vorgaben zwischen 25 und 60 mal getestet werden mussten – sollte bei einer solchen Kontrolle ein Fehler auftreten, war es dem Testenden gestattet, den Test in vollem Umfang (freilich mit einer anderen Stich-probe) zu wiederholen, den, wurden keine Fehler festgestellt, der Prüfer dann akzeptierte.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

146

– anders als das Testen der Transaktionskontrollen – mit viel Ermessen verbunden sei, weswegen eine nachvollziehbare Beurteilung der Wirksamkeit nahezu unmöglich ge-macht und eindeutige Aussagen also kaum erbracht werden könnten. Stellvertretend für viele fasste einer der Befragten zusammen:

„COSO is a nice idea in theory, but difficult to operationalise: How shall one measure the practice in the HR-department?“

In Absprache mit dem Abschlussprüfer wendeten die Unternehmen – gemessen an dem oben beschriebenen Testaufwand für die „operating processes“ und „corporate processes“ – nur wenig Energie für das Testen der „company-level controls“ auf. Gleich mehrere der Befragten gaben an, sich hierbei auf das Durchführen von Befra-gungen („inquiries“) zu beschränken oder lediglich auf entsprechende Dokumentatio-nen zu verweisen: In einem Unternehmen habe man in Sachen „company-level control“ eine „reine Dokumentationsübung veranstaltet“, die im wesentlichen aus einer Inventarisierung diesbezüglicher Dokumentationen554 bestand. Ein anderes Unterneh-men hingegen erklärte, eigens Personal für das Testen der „company-level controls“ eingestellt zu haben. Ein drittes berichtete von ausgeklügelten Verfahren, die es an-wende, um bspw. das Kontrollumfeld verlässlich bewerten zu können: So habe man mit einem einstelligen Prozentsatz der kompletten Belegschaft eine intranetbasierte Umfrage durchgeführt, deren Inhalte nach Hierarchieebene und Funktion der Teilneh-mer variierte.

4.2.1.2.2.5 Auswertung der festgestellten Kontrollschwächen

Die Auswertung der bei den Testarbeiten festgestellten Kontrollschwächen bzw. deren Klassifizierung in „control deficiencies“, „significant deficiencies“ oder „material weaknesses“ brachte gemäss den Auskunftgebenden keinerlei grössere Herausforde-rungen mit sich. Diejenigen Unternehmen, die bereits derlei Beurteilungen vorge-nommen haben, waren sich darin einig, dass es ohnehin nur um die Frage gehe, ob eine identifizierte Kontrollschwäche nun „significant“ sei oder nicht; wesentliche Kon-trollschwächen standen in keinem der befragten Unternehmen zur Debatte. Einer der Gesprächspartner äusserte in diesem Zusammenhang seine Geringschätzung der vom PCAOB vorgeschriebenen Klassifizierungen: Hierbei handele es sich doch nur um „akademische Klimmzüge“ und „reines Ermessen“.

554 Z.B.: Protokolle der Sitzungen des Prüfungsausschusses.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

147

Erwähnenswert sind die bei den Auswertungen gesetzten Schwerpunkte: Ein Unter-nehmen, das bereits eine umfassende Auswertung vorgenommen hatte, führte aus, dass man sich auf die in den „corporate processes“ und den verschiedenen Unternehmens-zentralen ausfindig gemachten Kontrollschwächen konzentrierte, weil man ebensolche Defekte als am kritischsten für die Erstellung korrekter Abschlüsse erachtete. Die von einem anderen Unternehmen durchgeführte Zwischenuntersuchung brachte über 600 „control deficiencies“ zutage, von denen zwei (!) als „significant“ eingestuft wurden, wenngleich nur aus purer Vorsicht: Die besagten „significant deficiencies“ bezogen sich auf den Code of Conduct, und weil man wisse, dass gewisse Ratingagenturen555 derlei Schwachstellen besonders kritisch beäugen, habe man sie als „significant“ ein-gestuft. – Angegeben wurde, dass man bei den Auswertungen in gutem Einvernehmen mit dem Abschlussprüfer stand.

4.2.1.2.3 In bezug auf die Änderungen in ICoFR

4.2.1.2.3.1 Company-level controls

Auf den Zustand der „company-level controls“ vor der Implementierung von 404 an-gesprochen, waren nicht alle Befragten auskunftsfähig – eine Interviewperson bekann-te, dass sie schlicht nicht wisse, wie es zuvor um derlei Kontrollen bestellt gewesen sei. Die meisten allerdings erwiderten, dass damals sehr wohl Kontrollen existierten, die sich den verschiedenen COSO-Komponenten zuordnen liessen. Diese allerdings seien eher informell und nur schlecht dokumentiert gewesen, nicht in aller Bewusst-sein verankert und hätten einem Testerfordernis kaum standgehalten.

Vier der befragten Unternehmen, darunter auch dasjenige, welches eine überaus gründliche Befragung zwecks Beurteilung des Kontrollumfelds vornahm, gaben an, dass die auf dem Gebiet der „company-level controls“ infolge der Implementierung erzielten Verbesserungen eher dürftiger Natur seien bzw. dass diesbezüglich keine substantielle Änderungen vorgenommen worden seien. Gleichwohl bemerke man eine Verbesserung des allgemeinen Kontrollbewusstseins sowie eine Erhöhung der Auf-merksamkeit seitens des Managements für ICoFR. Eine Interviewperson gab an, dass man auf diesem Gebiet einen gewissen Nachholbedarf erkenne, meinte damit aber we-niger die „company-level controls“ an sich als vielmehr die Art des Testens.

555 Vgl. z.B. Moody’s Investors Service (2005).

4. Kapitel: Auswirkungen von Section 404 in der Praxis

148

Lediglich in einem Unternehmen wurde behauptet, dass in Sachen „company-level controls“ deutliche Verbesserungen erzielt werden konnten. Diese seien zwar nicht auf Section 404 zurückzuführen, wurden aber dank dieser ermöglicht: Im Bemühen, einem vormals stark dezentral geführten Unternehmen eine zentrale Struktur zu verpassen und – damit einhergehend – die Corporate Governance zu verstärken, habe die Unter-nehmensleitung das Aufkommen der Section 404 als günstige Gelegenheit erkannt, um unter dem Vorwand neuer, unumgänglicher Vorschriften veraltete Strukturen aufzu-brechen und zu modernisieren. Section 404 wurde somit als Vehikel zur einfacheren Umsetzung unbequemer Restrukturierungen nutzbar gemacht.

4.2.1.2.3.2 Transaktionskontrollen

In bezug auf die Qualität der Transaktionskontrollen vor der Implementierung von Section 404 ähnelten sich die Einschätzungen der Befragten. Hierzu hiess es, dass er-forderliche Kontrollen selbstverständlich zuvor schon existiert hätten und auch wirk-sam gewesen seien: „Andernfalls hätte man schliesslich gar nicht existieren können!“, so einer der Befragten. Allerdings wurde befunden, dass man sich damals dieser Transaktionskontrollen nicht sonderlich bewusst gewesen sei, wozu die generell schwache Dokumentationsqualität beigetragen haben mag. Einer der Gesprächspartner bemerkte, dass der in den vergangenen Jahren infolge von Kostendruck vorgenomme-ne Personalabbau Spuren hinterlassen habe – bspw. gäbe es unternehmensweit kaum adäquate Trennungen von Verantwortlichkeiten. Zudem wurde erwähnt, dass die in-terne Berichterstattung über die Einhaltung von Kontrollen nur mangelhaft, nämlich auf das sporadische Berichten von Abweichungen bezogen, gewesen sei.

Während alle Unternehmen gleichermassen angaben, dass die Dokumentationsqualität der Transaktionskontrollen im Zuge der Implementierung von Section 404 wesentlich verbessert worden sei, waren ihre Antworten auf die Frage nach dem Einfluss der Imp-lementierung auf die eigentliche Wirksamkeit unterschiedlich: Ein Unternehmen gab an, dass nennenswerte Fortschritte allein auf dem Gebiet der IT-Kontrollen erzielt werden konnten, bei deren Bewertung man herausgefunden habe, dass diese stellen-weise substantieller Anpassungen bedurften; in den übrigen Bereichen hingegen wurde kein Verbesserungsbedarf festgestellt. Zwei weitere Unternehmen führten aus, dass, dank der im Einsatz befindlichen IT-Plattform, eine wesentlich höhere Transparenz über die im Unternehmen angewendeten Transaktionskontrollen bestehe, welche wie-derum den jeweiligen Verantwortlichen einen sehr hohen „Komfortlevel“ verschaffe. Eines dieser Unternehmen betonte, dass man gerade in den wenig automatisierten Ne-

4. Kapitel: Auswirkungen von Section 404 in der Praxis

149

benprozessen, in denen häufig Ermessensspielräume gegeben sind (etwa „Tax Ac-counting“), substantielle Anpassungen und Berichtigungen vorgenommen habe, wäh-rend man in den eigentlichen Kernprozessen zuvor schon sehr gut aufgestellt gewesen sei. Im anderen Unternehmen hingegen wurden Fortschritte in den wichtigen Prozes-sen der relevanten Unternehmenseinheiten notiert. Über das gesamte Unternehmen betrachtet, habe die Wirksamkeit der Transaktionskontrollen gemäss einem vierten Befragten „riesengrosse Verbesserungen“ erfahren: Während zwar in einigen Unter-nehmenseinheiten die meisten der erforderlichen Transaktionskontrollen durchaus be-standen hatten und also nur die entsprechenden Dokumentationen erstellt werden mussten, lag es an anderen Gesellschaften, ganze Subprozesse erst zu implementie-ren.556 Flächendeckend konnten auch die IT-Kontrollen stark verbessert werden; Transaktionskontrollen über Nicht-Routine-Prozesse hingegen seien ohnehin regel-mässiger Prüfgegenstand und befänden sich folglich längst auf einem guten Qualitäts-niveau. Ein fünftes Unternehmen schliesslich gab an, keinerlei Auswirkungen auf die Wirksamkeit der Transaktionskontrollen bemerkt zu haben – lediglich habe man klei-nere „control gaps“ behoben und fehlende Dokumentationen angefertigt.

Insgesamt wurde der Einfluss der Section 404 auf die Wirksamkeit der Transaktions-kontrollen als schwach positiv eingestuft.

4.2.1.2.4 In bezug auf Kosten und Nutzen der Implementierung

4.2.1.2.4.1 Kosten der erstmaligen Umsetzung und Schätzungen der Folgekosten

Wie bereits in Abschnitt 4.1.3.1 gezeigt wurde, werden üblicherweise drei Kostenblö-cke bei der Ermittlung der Implementierungskosten unterschieden:

• die auf die ICoFR-Prüfung entfallenden Gebühren

• Kosten für externe Dienstleistungen

• interne Kosten

556 Bspw. wurde im Rahmen des „testing of design effectiveness“ festgestellt, dass eine Unternehmenseinheit

keine Reserven für Produktrückgaben verbuchte, obwohl sie regelmässig Produkte zurücknehmen musste. Seither erstellt man dort monatliche Analysen der Produktrückgaben und bucht, falls diese wesentlich sein sollten, entsprechende Reserven – sollten die Rückgaben nicht wesentlich sein und also keine Reser-ven erfordern, könne dies anhand der Analyse bewiesen werden.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

150

Soweit die Unternehmen überhaupt in der Lage waren, die Kosten abzuschätzen, bzw. gewillt waren, diese offenzulegen, gaben sie die folgenden Auskünfte mit Bezug auf die erstmalige Umsetzung:

• Die Prüfgebühren für die Erstumsetzung der Bestimmungen liegen bei den be-fragten Unternehmen zwischen 20% und 60% von den Gebühren, die üblicher-weise für die Abschlussprüfung zu entrichten sind. Absolut liegen die Werte zwischen 1.2 Mio. CHF und 20 Mio. CHF.

• Die Kosten für externe Dienstleistungen, bspw. für das „Coaching“, wurden von zwei Unternehmen als unwesentlich bezeichnet. Ein Unternehmen wies einen Gesamtbetrag von 2.6 Mio. CHF aus, ein anderes deutete an, dass diese Kosten vergleichsweise hoch ausgefallen seien, da man frühzeitig in grossen Mengen externes Know-how eingekauft habe.

• Ihre Schätzungen für den intern anfallenden Aufwand teilten drei Unternehmen mit. Demnach liegt das Minimum bei 30 Mannjahren557 und das Maximum bei über 200 Mannjahren.

Die Gesamtkosten der Implementierung veranschlagt ein Unternehmen auf 150 Mio. CHF.

Den Unternehmen fiel es schwer, Schätzungen für die zukünftig anfallenden Kosten abzugeben. Allgemein gerechnet wurde allerdings mit einer deutlichen Reduktion sämtlicher Kostenkategorien:

• Ein Unternehmen bezifferte die fortlaufenden Gebühren für die ICoFR-Prüfung auf 3.9 Mio. USD, was ungefähr 40% der im ersten Jahr überwiesenen Gebüh-ren an den Abschlussprüfer und etwa 20% der letztmalig für eine alleinstehende Abschlussprüfung entrichteten Gebühren entspricht. Ein anderes Unternehmen, das im ersten Jahr von einem Anstieg der Gebühren um 60% ausgeht, schätzte, dass sich die Gebühren für die ICoFR-Prüfung bei 45% der Gebühren für die Abschlussprüfung einpendeln werden. Von allen Unternehmen wurde ange-nommen, dass zwischen den beiden Prüfungen bestehende Synergien vom Prü-

557 Ein Mannjahr beinhaltet ungefähr 2’000 Arbeitsstunden.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

151

fer zukünftig nutzbar gemacht und die Gebühren für die Abschlussprüfung folg-lich verringert werden.558

• Was die externen Kosten betrifft, so wurde in denjenigen Unternehmen, die ver-hältnismässig hohe Summen für den Bezug externer Dienstleistungen ausgaben, davon ausgegangen, dass diese Kosten stark gesenkt werden können.

• Ein Unternehmen kalkulierte den in der Folge zu erbringenden (internen) Auf-wand mit 30–50% der für die Erstumsetzung geleisteten Zeit von 100 Mannjah-ren.

4.2.1.2.4.2 Positive und negative Effekte der Implementierung im Unternehmen

Ebenfalls gefragt wurde, welche positiven Effekte die Unternehmen jenseits der ver-besserten Wirksamkeit von ICoFR wahrnehmen bzw. welche negativen Auswirkun-gen, die nicht von den oben beschriebenen Kostenschätzungen erfasst werden, sie fest-stellen und wie sie – bezogen auf den eigenen Fall – das Kosten-Nutzen-Verhältnis der Umsetzung betrachten.

Als positiv genannt wurden v.a. die erhöhte Transparenz innerhalb der Unternehmen, die verbesserte Kommunikation zwischen den Abteilungen und Unternehmensebenen, die Aufwertung der Rechnungslegung und das allgemein verbesserte Kontrollbewusst-sein. Einige der Gesprächspartner hoben hervor, dass man in ihren Unternehmen von Anfang an bemüht war, die Implementierung nicht zu einer „tick-the-box“-Übung bzw. einem „paper exercise“ verkommen zu lassen, sondern möglichst nutzenmaxi-mierend zu gestalten:

• Ein Unternehmen beabsichtigt, die Bestimmungen auf sämtliche Unternehmens-einheiten – wenngleich in stark vereinfachter Form – auszudehnen. Hiervon ver-spreche man sich, das Management von zeit- und energieaufwendigen „fire figh-ting“-Aktionen, wie diese in der Vergangenheit verschiedentlich durch lokale „compliance issues“ hervorgerufen wurden, entlasten zu können.

558 In Zukunft sollen die beiden Prüfungen nicht mehr separat behandelt werden, sondern integriert; siehe

Abschnitt 4.2.4. Dass die Unternehmen ihre Angaben getrennt machten, liegt daran, dass sie sich noch in der Umsetzung befanden, also noch gar keine eigentliche ICoFR-Prüfung über sich ergehen lassen haben, bzw. daran, dass bei der erstmaligen Umsetzung die Prüfungen tatsächlich noch getrennt vollzogen wur-den.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

152

• Eine „Entlastung der Linie“ verspricht man sich in einem anderen Unternehmen von der zentralen, IT-gestützten Plattform, die man eigens im Zuge der Imple-mentierungsarbeiten geschaffen habe und auf die man zukünftig interne und ex-terne Revisoren für sämtliche auf ICoFR bezogene Fragen verweisen könne.

Ein anderer Befragter hingegen gab an, dass er noch keinerlei Nutzen der Section 404 erkennen könne und dass sich ein solcher wahrscheinlich nur dann einstelle werde, wenn man nach Ende des Implementierungsprojekts entscheiden sollte, gewisse Pro-zesse zu standardisieren. Weil man in seinem Unternehmen die Ansicht teile, „dass sich für SOX ohnehin niemand interessiert“, verfolge man einen minimalistischen An-satz, strebe also die Erfüllung der Bestimmung mit geringstmöglichem Aufwand an.

Darauf angesprochen, ob die Unternehmen sich irgendwelche positiven Signale seitens der Kapitalmärkte versprechen, wenn sie das gewünschte uneingeschränkte Testat er-halten sollten, zeigten sich die Unternehmen ernüchtert:

• Keiner der Befragten rechnete mit signifikanten Effekten auf den Aktienkurs oder das Kreditrating.

• Einer der Befragten drückte seine Enttäuschung darüber aus, dass der hohe Aufwand, den man betreiben müsse, aller Wahrscheinlichkeit nach überhaupt nicht honoriert werde, und wunderte sich im nachhinein über die noch bis zum Jahresanfang 2005 vorherrschende Meinung, dass nämlich „Unternehmen mit ‚material weaknesses’ dem Untergang geweiht“ seien.

• In einem anderen Unternehmen zumindest wähnt man sich auf dem Weg, mit Section 404 ein „international anerkanntes Gütesiegel“ zu erwerben, das zu ha-ben von den Kapitalmärkten als positiv beurteilt werden könnte und mit dem man sich für zukünftige Erfordernisse gewappnet fühlt.

Als negativ nannten einige Unternehmen eine Verschlechterung der Beziehung zum externen Prüfer, der einen sehr bürokratischen Ansatz verfolgt habe. Diesbezüglich stellte eine der Interviewpersonen fest, dass derlei Auswirkungen wesentlich ärger ge-wesen wären, wenn man nicht den Abschlussprüfer zu einem pragmatischen Vorgehen hätte bewegen können:

“I think auditors, in the first year, were afraid to use judgment. […] We didn’t do too badly in getting our auditors as pragmatic as possible.”

4. Kapitel: Auswirkungen von Section 404 in der Praxis

153

Ebenfalls genannt wurde die „hohe Beanspruchung der Linie“ und der Financial Re-porting Managers sowie der internen Revision, sofern diese an den Implementierungs-arbeiten beteiligt gewesen war. Zu nennenswerten Beeinträchtigungen des operativen Geschäfts sei es nicht gekommen, Verschiebungen anderer Projekte oder eine über-höhte Beanspruchung der Geschäftsleitung wurden nirgends festgestellt.

Mit einer einzigen Ausnahme bewerteten die Befragten das unternehmensspezifische Kosten-Nutzen-Verhältnis der Section 404 als (mittel- bis langfristig) negativ oder bes-tenfalls ausgeglichen:

• Mit Blick auf die Vorfälle um die Adecco S.A.559 im Winter 2004 verglich einer der Befragten die aus der Erfüllung von Section 404 resultierenden Kosten mit einer „Versicherungsprämie“, die man für die Gewissheit entrichten müsse, kei-ne schwerwiegenden Schwachstellen in ICoFR zu haben, die bei Bekanntwerden zu krassen Abschlägen vom Aktienkurs führen könnten. Die Höhe dieser Prämie sei vertretbar.

• Das Unternehmen, das als einziges nicht das COSO-Framework verwendet, gab bekannt, dass man das Kosten-Nutzen-Verhältnis der Implementierung der SEC-Detailregeln isoliert betrachtet als negativ sehe. Dank des umfassenden Ansat-zes, der weit über die Erfordernisse der SEC hinausgeht, aber beurteile man das Ergebnis als positiv im Verhältnis zum Aufwand.

4.2.1.3 Zusammenfassung Zwecks Beantwortung der Frage, welchen Einfluss die Implementierungsarbeit im Unternehmen auf die Wirksamkeit von ICoFR hat, war in Erfahrung zu bringen, wie die Unternehmen die relevanten Kontrollen definierten, wie sie deren „effectiveness“ sicherstellten und welche Änderungen in ICoFR festgestellt werden konnten. Auch wurde nach den positiven und negativen Effekten, die mit der Umsetzungsarbeit ver-bunden sind, gefragt.

559 Nachdem der Personaldienstleister am 12. Januar 2004 mitgeteilt hatte, die Unternehmenszahlen für das

Geschäftsjahr 2003 nicht termingerecht veröffentlichen zu können, weil der Abschlussprüfer in der US-amerikanischen Unternehmenseinheit „material weaknesses in internal control“ festgestellt habe, sank der Aktienkurs abrupt um 35%. Die von Ernst & Young eingeleitete, mehrere Monate andauernde Untersu-chung führte zu dem Ergebnis, dass keinerlei nachträgliche Korrekturen an den Unternehmenszahlen vor-genommen werden müssten. Die Unternehmenszahlen wurden am 1. Juni 2004 publiziert. Allein die von Ernst & Young durchgeführte Zusatzprüfung kostete Adecco 100 Mio. EUR. Vgl. Adecco (2004 a) und (2004 b).

4. Kapitel: Auswirkungen von Section 404 in der Praxis

154

Offenkundig ist zunächst, dass in sämtlichen Unternehmen der sog. „coverage-based approach“560 zur Anwendung gelangt. Seine Anwendung ist auf den Einfluss der Prüf-gesellschaften561 zurückzuführen, den diese auf die Implementierungsarbeit in den be-fragten Unternehmen nehmen. Mit der Befolgung eines „coverage-based approach“ einher gehen die Betonung von Transaktionskontrollen und – obschon offiziell das COSO-Framework als Basis dient – eine gleichzeitige Vernachlässigung aller anderen Kontrollkomponenten. Merkmal dieses Ansatzes ist eine auf übertriebener Vorsicht beruhende Auswahl von Unternehmenseinheiten. Typisch für den „coverage-based approach“ dürfte sodann die Entscheidung der Unternehmen sein, die konzeptionelle Wirksamkeit pauschal und „am Reissbrett“ durch die Vorgabe generischer Kontroll-standards sicherzustellen – Ergebnis dieses zwar die Projektleitung erleichternden Vorgehens ist eine unfokussierte Bestimmung von (vermeintlich) wesentlichen Kon-trollen, die zwangsläufig den Blick für tatsächliche Risiken trübt und bei fortgeschrit-tenem Projektverlauf nur umständlich rückgängig gemacht werden kann. Beide Eigen-schaften bedingen, dass selbst die kleinsten (umsatzschwächsten) der befragten Unter-nehmen konzernweit über Tausende von neu einzurichtenden oder zu verbessernden, zu dokumentierenden und zu testenden „key controls“ verfügen562 und dass nur die wenigsten der als relevant identifizierten Unternehmenseinheiten überhaupt imstande sind, eine für die konsolidierten Abschlüsse wesentliche Fehlaussage zu produzieren.

Die allzu grosszügige Identifizierung relevanter Prozesse und Kontrollen hat ein ge-waltiges Arbeitspensum zur Folge – die Rede war jeweils von mehreren Dutzenden Mannjahren –, das zum Grossteil von den Mitarbeitern der Buchhaltungs- und Rech-nungslegungsabteilungen zu bewältigen ist. Ihnen obliegt es, die relevanten Kontrollen einzurichten, zu dokumentieren und zu testen. Dabei wirkt sich nicht nur die hohe Ge-samtmenge an zu berücksichtigenden Kontrollen negativ auf die Qualität ihrer Arbeit aus. Andere Faktoren, die sich (gelegentlich) störend bemerkbar machen, sind fehlen-de Akzeptanz, Unerfahrenheit und unzureichende Kompetenz. Letztere offenbaren sich in den vielerorts beobachteten Schwierigkeiten, die standardisierten Kontrollmat-rizen zu interpretieren; in der Hilfe, die viele Mitarbeiter zum Erstellen der erforderli-chen Dokumentationen benötigen; und in den Problemen beim Erarbeiten aussagekräf-

560 Siehe Abschnitt 4.1.3.3. 561 Siehe auch Abschnitt 4.2.3.2.4.1. 562 Vgl. die Bemerkung von D.T. Nicolaisen, Chief Accountant der SEC, in SEC (2005 c), S. 242: “[…] a

company that has 50’000 or 60’000 control processes in place that they view as key, which […] sounds like an oxymoron to me […]”

4. Kapitel: Auswirkungen von Section 404 in der Praxis

155

tiger Teststrategien. Die schon bei der Bestimmung des Projektumfangs hintangesetz-ten „company-level controls“ werden weniger umfangreich dokumentiert und verhält-nismässig oberflächlich auf ihre Funktionstüchtigkeit getestet. In der allgemeinen Ver-nachlässigung der „company-level controls“ spiegelt sich die Dominanz des Primats der Verifizierbarkeit, demzufolge solche Kontrollen, die sich praktisch nicht bzw. nicht mit vertretbarem Aufwand zuverlässig testen lassen, ausser acht gelassen wer-den.

Trotz des enormen Aufwands scheint sich Section 404 in den befragten Unternehmen nicht sonderlich positiv auf die Wirksamkeit von ICoFR niedergeschlagen zu haben: Der Grossteil der von den Unternehmen erbrachten Bemühungen trägt augenscheinlich nicht zu einer direkten Verbesserung von ICoFR bei. Mit Blick auf die Art der haupt-sächlich in den Unternehmen durchgeführten Aktivitäten und dem Ausgangsniveau von ICoFR fällt eine Erklärung für diesen Befund nicht schwer: Die Unternehmen ga-ben gleichermassen an, dass im Vorfeld der Implementierung die Wirksamkeit von ICoFR bereits recht gut gewesen sei. Dies gelte gerade für die Transaktionskontrollen. Als Beleg hierfür wurde gerne die Tatsache angeführt, dass man andernfalls regelkon-forme Abschlüsse gar nicht hätte erstellen können. Einschränkend wurde von allen Befragten jedoch darauf hingewiesen, dass seinerzeit die Kontrollen in der Regel nur schlecht dokumentiert, also informeller Natur563 waren. In dieses Bild passt es nun, dass im Verlaufe der Implementierung viel Energie auf die Dokumentierung bzw. die Formalisierung von Kontrollen verwendet wurde – hier war der Nachholbedarf offen-sichtlich beträchtlich – und dass nur punktuell substantielle Veränderungen vorge-nommen werden mussten. Weil die reine Dokumentierungsarbeit nun keinen unmittel-baren Effekt auf die Wirksamkeit von ICoFR hat,564 fiel der auf die Implementierung zurückgeführte Einfluss gering aus. Gleiches lässt sich für die zweite, ebenfalls mit hohem Aufwand verbundene Aktivität sagen, das Testen: Allein die Feststellung, dass Kontrollen wirksam konzipiert sind und funktionieren, bewirkt noch keine höhere Wirksamkeit. Allein dann, wenn Negativresultate zu materiellen Anpassungen in ICoFR führen, könnte von einer eigentlichen Verbesserung deren Wirksamkeit ausge-gangen werden. Wie den verschiedenen Antworten zu entnehmen war, kam dies nur ausnahmsweise vor. – Dass infolge der Umsetzung der Detailregeln auf dem Gebiet

563 Siehe das von PWC entwickelte Internal Control Maturity-Modell, z.B. in Menzies (2004), S. 99. 564 Dass auch informelle, schlecht dokumentierte Kontrolle wirksam sein können, zeigen ja die Aussagen der

Interviewpersonen, die trotz schwacher Dokumentationsqualität angaben, dass ICoFR effektiv gewesen sei. Siehe auch Abschnitt 2.3.3.1.3.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

156

der „company-level controls“ noch weniger nennenswerte Verbesserungen erzielt wurden als bei den Transaktionskontrollen, ist angesichts der gängigen Handhabung der „company-level controls“ nicht weiter verwunderlich. Von Ausnahmen abgesehen konzentrierte man sich hierbei im wesentlichen auf die Frage, wie sich deren Existenz nachweisen lasse, eine konzeptionelle Prüfung, wie sie bei den Transaktionskontrollen üblich ist, wurde in den meisten Fällen erst gar nicht vorgenommen.

Zusammenfassend kann dem Gesagten entnommen werden, dass die Auswirkungen der Implementierung auf die Wirksamkeit von ICoFR gering sind. Es ist daher anzu-nehmen, dass auch die Effekte auf die Unternehmensabschlüsse schwach sein wer-den.565

Der Preis übrigens scheint recht hoch für das Erreichte zu sein: Den beschriebenen ICoFR-Änderungen stehen Kosten in Höhe von vielen Millionen CHF entgegen, die Dauer der Implementierung zieht sich in den meisten Fällen über mehrere Jahre hin, trotz der vermuteten Kostenreduktionen werden die fortlaufenden Kosten nach wie vor stattlich bleiben. Die von den Befragten genannten positiven Auswirkungen nehmen sich bescheiden aus und hätten wohl auch auf anderem Weg veranlasst werden kön-nen. Unter Hinzuziehung der zusätzlichen negativen „Nebenwirkungen“ wird die all-gemeine Einschätzung der Kosten-Nutzen-Relation als eher negativ leicht nachvoll-ziehbar.

4.2.2 Zu den Auswirkungen von Section 404(a) auf die Zuver-lässigkeit der Rechnungslegung

Fraglich ist, inwieweit die Umsetzung der die Section 404 betreffenden Bestimmun-gen566 zur Erreichung der gesetzgeberischen Absicht, die Rechnungslegung der Unter-nehmen zu verbessern, beiträgt.

4.2.2.1 Vorbemerkungen und Spezifizierung der Fragestellung In der US-amerikanischen Rechnungslegungstheorie wird seit SFAC No. 2, „Qualita-tive Characteristics of Accounting Information“, die Qualität der finanziellen Bericht-erstattung mittels deren Funktion, den Kapitalgebern eines Unternehmens entschei-

565 Vgl. den folgenden Abschnitt. 566 Wiederum wird keine Unterscheidung zwischen dem Effekt, der von der Arbeit im Unternehmen ausgeht,

und demjenigen, der aus der ICoFR-Prüfung ausgeht, getroffen werden können, da diese Effekte schlicht nicht separat beobachtbar sind. Siehe Abschnitt 4.2.3.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

157

dungsnützliche Informationen bereitzustellen, definiert.567 Folgt man den vom SFAC No. 2 aufgestellten Kriterien, dann müssen finanzielle Informationen, um als entschei-dungsnützlich zu gelten, relevant („relevant“)568 und zuverlässig („reliable“) sein. Wie bereits in Abschnitt 2.2 dargelegt wurde, ist jedoch davon auszugehen, dass der Ge-setzgeber bei der Verabschiedung von Section 404 ausschliesslich die Zuverlässigkeit der Rechnungslegung im Sinn hatte. Aus diesem Grunde werden im folgenden ledig-lich die Auswirkungen auf diese Eigenschaft untersucht.

Gemäss SFAC No. 2 bezeichnet Zuverlässigkeit die Versicherung, dass die fraglichen Informationen zu einem angemessenen Grad frei von Fehlern sind und getreu das ab-bilden, was sie abzubilden bezwecken.569 Näher bestimmt wird Verlässlichkeit durch die drei Kriterien Nachweisbarkeit („Verifiability“), Validität („Representational Faithfulness“) und Neutralität („Neutrality“): Dabei gilt eine Rechnungslegungsinfor-mation dann als nachweisbar, wenn das wiederholte Messen des ihr zugrunde liegen-den Sachverhalts durch voneinander unabhängige Messpersonen bei Anwendung der-selben Messmethode zu gleichen Resultaten führt. Nachweisbarkeit ist eine notwendi-ge, aber nicht hinreichende Bedingung für das zweite Kriterium, Validität. Dieses wird durch das Ausmass gekennzeichnet, in dem die Informationen tatsächlich die Sachver-halte wiedergeben, die sie darstellen sollen.570 Verfälscht werden Informationen durch das Auftreten entweder von Fehlern, die in der gewählten Messmethode liegen, oder von Fehlern, die durch die Messpersonen verursacht werden.571 Die Validität von In-formationen ist umso grösser, je mehr solcher Messfehler vermieden werden können. Der Grundsatz der Validität bedingt die Vollständigkeit von Informationen, soweit die-se wesentlich sind.572 Vor dem Hintergrund der Tatsache, dass die Adressaten der Rechnungslegung ihr Verhalten am Inhalt der übermittelten Informationen ausrichten, gewinnt der dritte Grundsatz, jener der Neutralität, an Bedeutung. Dieser besagt, dass Rechnungslegungsinformationen die entsprechenden Sachverhalte so getreu wie mög-

567 Vgl. FASB (1980); siehe für andere Definitionen Jonas/Blanchet (2000), S. 353–363. 568 Gemäss der Definition des FASB bezeichnet Relevanz die generelle Eigenschaft von Rechnungslegungs-

informationen, Rechnungslegungsadressaten auf verschiedene Weise in deren Entscheidungsfindungen beeinflussen zu können. Vgl. FASB (1980), para. 46–57.

569 Vgl. FASB (1980), S. 10 und para. 58–110. 570 Vgl. ebd., para. 63. 571 Vgl. ebd., para. 78. 572 Vgl. ebd., para. 79 ff.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

158

lich abbilden sollen und keineswegs dem Zweck dienen dürfen, bestimmte Verhal-tensweisen zu bewirken.573

Zur Verbesserung der Verständlichkeit bzw. der Praktikabilität dieses theoretischen Konzepts formulierten Jonas/Blanchet (2000) für jede dieser Eigenschaften Fragen, deren Beantwortung eine Aussage über die Ausprägung der jeweiligen Charakteristik zulässt.574 Ihnen zufolge betrifft die erstgenannte Eigenschaft, Nachweisbarkeit, u.a. Aspekte wie die Herleitung und Verwendung von Schätzwerten und Annahmen sowie die Fähigkeit zum Quantifizieren und Messen; beide sind massgebend dafür, inwieweit das Ergebnis, das eine genügend gut informierte und erfahrene Drittperson ausgehend von den der spezifischen Information zugrunde liegenden Daten ableitet, der tatsäch-lich ausgewiesenen Information entspricht. Für eine Beurteilung der Nachweisbarkeit von Rechnungslegungsinformationen sei konkret zu fragen, welches in Sachen Mess-barkeit die subjektivsten Elemente („judgmental areas“) der Rechnungslegung seien und inwiefern der Leser in den Abschlüssen auf diese hingewiesen werde; in welcher Form die Offenlegung wesentlicher Schätzwerte und Annahmen in den Abschlüssen erfolge; wie ein Unternehmen sicherstelle, dass seine wesentlichen Schätzwerte und Annahmen plausibel sind. Was die Validität anbelangt, so geht es um die Überein-stimmung der Rechnungslegungsinformationen mit den sich tatsächlich ereigneten Sachverhalten. In diesem Zusammenhang sei zu bedenken, inwieweit das Unterneh-men bei der Auswahl von Rechnungslegungsstandards beurteile, ob dadurch die in Frage stehenden Geschäftsvorfälle angemessen abgebildet werden; welche Philosophie das Management an den Tag lege, wenn es darum gehe, komplexe Transaktionen dar-zustellen, deren Behandlung in der Literatur nicht eindeutig geregelt sind; welche In-formationen das Unternehmen den Lesern seines Geschäftsberichts zukommen lasse, die zu einem besseren Verständnis desselben beitrage. Hinsichtlich der letzten Eigen-schaft, der Neutralität, erläutern Jonas/Blanchet (2000), dass es hierbei darum gehe, ob die Sachverhalte unverzerrt, also ohne die Absicht, die Meinungen der Investoren zu beeinflussen, dargestellt werden. Zu erkunden also sei etwa, wie neutral das Manage-ment sich bei der Berechnung von Schätzwerten gezeigt habe und inwiefern die Aus-wahl aus alternativen Rechnungslegungsstandards durch das Bemühen des Manage-ments um Ausgewogenheit geprägt sei.

573 Vgl. FASB (1980), para. 98–100.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

159

Angesichts der allgemein anerkannten Gültigkeit des Frameworks lag es nahe, dieses für die empirische Studie hinzuziehen. Bei der Frage nach den Auswirkungen auf die Zuverlässigkeit der Rechnungslegung war also herauszufinden, inwieweit die genann-ten drei Eigenschaften infolge der Implementierung Änderungen erfuhren. – Insbeson-dere war auch in Erfahrung zu bringen, inwieweit sich das Risiko deliktischer Rech-nungslegung, das der Gesetzgeber ja ganz bewusst mittels Section 404 reduzieren wollte,575 verändert habe. Die also zu adressierenden Fragestellungen lauten:

2.1 Welchen Einfluss hat die Implementierung der Detailregeln auf die Zuverlässig-keit, d.h. auf Nachweisbarkeit, Validität und Neutralität von Rechnungslegungs-informationen?

2.2 Welche Auswirkungen ergeben sich auf das Risiko deliktischer Rechnungsle-gung?

4.2.2.2 Antworten der Befragten Die Antworten, die in die Ausarbeitung der folgenden Abschnitte einflossen, wurden von den befragten Financial Reporting Managers und den Prüfern gegeben.576

4.2.2.2.1 In bezug auf die Zuverlässigkeit von Rechnungslegungsinformationen

Von den befragten Unternehmen generell verneint wurde, dass die Umsetzung der De-tailregeln sich wesentlich auf die Zuverlässigkeit der Rechnungslegung ausgewirkt hätte. Selbstbewusst verwies man auf die in der Vergangenheit vom Prüfer unbean-standete Rechnungslegung:

„404 hat bei uns keinen Einfluss auf die Qualität der Rechnungslegung und wird auch keinen Einfluss haben.“

574 Vgl. Jonas/Blanchet (2000), S. 361 f. Vgl. zu den Schwierigkeiten einer Operationalisierung der Eigen-

schaften des FASB-Framework, Schipper/Vincent (2003), S. 103. Siehe zu einer Kritik an FASB (1980) Haller (1993), S. 208.

575 Siehe Abschnitt 2.2. Wie oben dargelegt, wird die Validität von Rechnungslegungsinformationen durch das Auftreten von

Fehlern geschwächt, die mitunter zu wesentlichen Fehlaussagen führen. Derlei Fehler können während der Anwendung auftreten (bspw. bei der Berechnung von Schätzwerten) oder aber in der Wahl einer un-angebrachten Methode (bspw. bei der Konsolidierung) begründet liegen, sie können beabsichtigt (dann spräche man „fraud“) oder unbeabsichtigt erfolgen. Somit wird durch die Frage nach dem Einfluss auf die Zuverlässigkeit der Rechnungslegung auch der Aspekt des Risikos deliktischer Rechnungslegung adres-siert. Gleichwohl soll die Frage hiernach eigens behandelt werden, weil diesem spezifischen Risiko eine so hohe Aufmerksamkeit bei der Gesetzgebung zukam.

576 Siehe in Anhang C die unter B.II und C.II aufgeführten Fragen.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

160

„Wenn unsere Rechnungslegung nicht schon sehr gut wäre, hätten wir von unserem Jah-resabschlussprüfer in der Vergangenheit keine 20-F-Testate bekommen.“

„I don’t think that SOX would have contributed in a great way to improving our quality of financial reporting.”

„Our company is committed to produce state-of-the-art financial statements and there-fore to define and implement state-of-the-art underlying financial procedures. This was already the case prior to the SOX 404 implementation.”

Die befragten Prüfer bestätigten diese Einschätzungen und erklärten, dass die Rech-nungslegungsqualität der von ihnen betreuten Unternehmen in früheren Jahren bereits gut war und dass sie bis anhin keine nennenswerten Verbesserungen in der Qualität der Rechnungslegung aufgrund der Umsetzung der Detailregeln erkennen konnten und dies im übrigen auch nicht erwarten. Einer der Prüfer erklärte, dass wohl eher klein- und mittelgrosse Unternehmen substantiell von einer Verbesserung in ICoFR profitie-ren könnten als Grossunternehmen, wie es die in der Schweiz ansässigen „foreign pri-vate issuers“ sind – ganz zu schweigen von den Vertretern ohnehin stark regulierter Branchen, zu denen er zuvorderst Banken577 zählte.

Wie im folgenden zu zeigen sein wird, konnten weder die befragten Prüfer noch die Unternehmensvertreter irgendwelche nennenswerte Effekte auf die drei spezifischen Eigenschaften der Zuverlässigkeit von Rechnungslegungsinformationen – Nachweis-barkeit, Validität und Neutralität – erkennen.

4.2.2.2.1.1 Nachweisbarkeit

In bezug auf den Umgang mit sog. „judgmental areas“ gaben einige der befragten Fi-nancial Reporting Managers an, dass schon in der jüngeren Vergangenheit sehr viel auf diesem Gebiet geleistet wurde und folglich im Zuge der Implementierungsarbeiten kein dringender Nachholbedarf festgestellt werden konnte. Nicht alle der berichteten Massnahmen wurden infolge von Section 404 eingeleitet:

• Ein Unternehmen berichtete, dass man die Implementierung nutzte, um die An-passung eines bis anhin regelmässig mit dem Abschlussprüfer debattierten Pro-zesses im Bereich der Umsatzerkennung zu veranlassen; dies aber sei ohnehin geplant gewesen, da die SEC schon vor geraumer Zeit eine diesbezügliche Weg-

577 Siehe für die spezifischen, ausschliesslich Banken geltenden Vorschriften in der Schweiz Abschnitt 4.3.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

161

leitung veröffentlicht habe. Auch habe man den Prozess zur Berechnung von Wertbeeinträchtigungen („impairment review“) standardisiert.

• In einem anderen Unternehmen werden neuerdings am Monatsende Informati-onsveranstaltungen mit den Financial Reporting Managers der verschiedenen Unternehmenseinheiten durchgeführt, um konkrete Fragestellungen in bezug auf die Abschlüsse zu thematisieren.

• Der Gesprächspartner eines dritten Unternehmen hingegen tat kund, dass man den „judgmental aspects“ der Rechnungslegung mittlerweile wesentlich mehr Aufmerksamkeit schenke. Dies aber hänge allein mit dem Zertifizierungsprozess zusammen, den man seit nunmehr zwei Jahren vierteljährlich im Unternehmen durchlaufe, um den Vorschriften von Section 302 gerecht zu werden.

Zwei Interviewpersonen erwähnten darüber hinaus die Einrichtung von Kontrollen über sogenannte „End-User Computing Applications“578, dank derer man davon aus-gehe, dass sich das Risiko von fehlerhaften Berichten verringern werde.

Was die Nachweisbarkeit der Rechnungslegungsinformationen betreffe, so führten zwei Prüfer aus, dass man bei konsequenter Anwendung des vom PCAOB vorgegebe-nen „risk-based approach“579 sehr schnell auf kritische Prozesse stosse, welche die Er-stellung und Überprüfung von Schätzwerten oder Annahmen bzw. die Auswahl und Anwendung von Rechnungslegungsstandards zum Gegenstand haben. Während der eine von beiden der Ansicht war, dass seine Mandanten gerade in diesen „judgmental areas“ erhebliche Anstrengungen unternommen haben, die zu Verbesserungen der ent-sprechenden Kontrollen führten, konnte der andere keinerlei bemerkenswerte Ände-rungen feststellen. Dem schlossen sich die übrigen drei Befragten an. Einer von ihnen wies in diesem Zusammenhang darauf hin, dass mit Section 404 überhaupt nicht die Absicht verfolgt werde, eine Stärkung derlei Kontrollen zu erzielen.

4.2.2.2.1.2 Validität

Auch hinsichtlich der zweiten Eigenschaft, Validität, wurde verlautbart, dass sich auf-grund von Section 404 keine wesentlichen Verbesserungen eingestellt haben:

578 Kontrollen über Excel-Spreadsheets, die im Berichterstattungsprozess zum Einsatz gelangen. Siehe PWC

(2004 b). 579 Siehe Abschnitt 3.2.2.1.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

162

• Einer der Unternehmensvertreter befand, dass Auswahl und Anwendung von Rechnungslegungsstandards bereits immer sehr gut funktioniert haben, lediglich die entsprechende Dokumentierung sei ungenügend gewesen, was im Zuge der Implementierung aber behoben werden konnte.

• Ein anderer Befragter wies wiederum auf die Bestimmungen von Section 302 hin, die seiner Meinung nach alleine zu einer besseren Rechnungslegung beitrü-gen. In dem fraglichen Unternehmen müssen CEO und CFO aller Unterneh-menseinheiten bestätigen, dass die von ihnen verantworteten Zahlen in Überein-stimmung mit dem unternehmensinternen „Accounting Manual“ und den gel-tenden Rechnungslegungsstandards sind.

• Ein anderer Befragter gab zu verstehen, dass das grösste Risiko nicht in der Richtigkeit, sondern in der Vollständigkeit der Rechnungslegungsinformationen liege. Gespeist werde dieses Risiko sowohl durch Fehler, die auf Ebene der Un-ternehmenseinheiten entstehen, als auch durch Unachtsamkeiten seitens der Muttergesellschaft. Versäumt es bspw. eine lokale Gesellschaft, Eventualver-bindlichkeiten zu verbuchen, bestehe kein verlässlicher Mechanismus, der die-sen Fehler rechtzeitig aufzudecken helfe. Dazu komme das Risiko, das man es auf Gruppenebene selbst verpasse, die Vollständigkeit der Informationen sicher-zustellen. Hier seien die eingerichteten Kontrollaktivitäten wirkungslos, das Ri-siko wesentlicher Fehlaussagen folglich unverändert gross.

Zwei der befragten Financial Reporting Managers bezeichneten die Rechnungslegung nach US-GAAP als die überhaupt grösste Herausforderung bzw. als das Gebiet mit dem grössten Fehlerpotential. Dies liege zum einen daran, dass die US-GAAP-Vorschriften nicht nur ständig angepasst, sondern zudem auch noch immer komplexer werden; zum anderen daran, dass weder das eigene Personal noch der Abschlussprüfer mit dieser Entwicklung Schritt halten könne, so dass das Risiko wesentlicher Fehlaus-sagen stets gegenwärtig sei. Während im einen der beiden Unternehmen die Umset-zung der Detailregeln gar keine Spuren in den entsprechenden Prozessen hinterlassen habe, stellte das andere Unternehmen durchaus eine gewisse Verbesserung fest, be-dingt durch die Einrichtung zusätzlicher Kontrollen bzw. die Stärkung bestehender, meist manueller, Kontrollen im Bereich der Anwendung von US-GAAP.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

163

4.2.2.2.1.3 Neutralität

Auf die Frage, ob die Umsetzung der Vorschriften sich irgendwie auf die Verhaltens-weise des Managements oder dessen Einstellung gegenüber der Rechnungslegung ausgewirkt habe, erklärten die befragten Financial Reporting Managers, dass sie kei-nerlei Änderungen feststellen könnten:

„Our neutrality was high, remains high.“

Lediglich die eigens aufgrund von Section 302 eingerichteten Zertifizierungsprozesse, die vorsehen, dass CEO und CFO der Unternehmenseinheiten die Richtigkeit ihrer Abschlüsse bestätigen müssen, haben laut einem der Befragten zu einer „massiven Veränderung in der Wahrnehmung von Verantwortlichkeiten“ geführt; eine andere Person billigte diesem Prozess höchstens zu, die Überwachung der Unternehmensein-heiten durch die Muttergesellschaft zu verbessern.

Alle Befragten verneinten, dass in ihren Unternehmen irgendwelche Abstimmungen zwischen dem Prozess zur Abschlusszertifizierung (Section 302) und demjenigen zur Bewertung der ICoFR-Wirksamkeit (Section 404) bestünden.580 Die Prozesse sind weitgehend separiert, was sich etwa an den folgenden Merkmalen festmachen lässt: unterschiedliche Verantwortlichkeiten für die Implementierung des Zertifizierungspro-zesses bzw. die Umsetzung der ICoFR-Bestimmungen; Einreichung der Beglaubi-gungsberichte bis zu zwei Jahre vor der erstmaligen Berichterstattung gemäss Section 404; Ausdehnung des unternehmensinternen Beglaubigungserfordernisses auf sämtli-che Unternehmenseinheiten – also auch auf solche, die nicht im „scope“ des Imple-mentierungsprojektes sind.

4.2.2.2.2 In bezug auf das Risiko deliktischer Rechnungslegung

Darum gebeten, das generelle Risiko wesentlicher Fehlaussagen, wie dieses noch vor Umsetzung der Detailregeln bestand, mit demjenigen zu vergleichen, dem sie sich nun – d.h. in einer fortgeschrittenen Phase der Umsetzung oder bereits darüber hinaus – ausgesetzt sehen, antworteten die befragten Financial Reporting Managers, dass das Risiko zuvor nicht sonderlich hoch war und dass es seither nur unwesentlich gesunken sei.

580 Siehe Abschnitt 3.4.1.2.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

164

Konkret auf das Risiko deliktischer Rechnungslegung angesprochen, war man sich darin einig, dass deliktische Handlungen, die wesentliche Fehlaussagen verursachen, im Unternehmen nach wie vor auftreten können:

„Es war doch naiv anzunehmen, dass man mit Section 404 jegliche Art von ‚fraud’ ver-hindern könnte.“

„Kollusion kann niemals ausgeschlossen werden.“

„’Fraud’ ist nach wie vor genauso denkbar wie menschliche Fehler.“

Einigkeit bestand auch darüber, dass das „risk of fraud“ – wenngleich nur geringfügig – reduziert werden konnte. Auf die Arbeit an ICoFR sei dies allerdings kaum zurück-zuführen – dieser werden lediglich (vage) Verbesserungen allgemeiner Natur, etwa ein gestiegenes Kontrollbewusstsein bzw. -verständnis, zugeschrieben. Dass die Antwor-tenden die Wahrscheinlichkeit des Eintretens eines Betrugsfalls als (leicht) gesunken betrachten, begründeten sie vielmehr mit anderen Bestimmungen des SOA, die sie umzusetzen gezwungen waren, oder mit freiwillig ergriffenen Aktivitäten:

• Mehrfach genannt wurde die positive Wirkung, die von der Einrichtung eines von „Whistleblower“-Schutzmechanismus ausgehe – etwas, das nicht in allen der befragten Unternehmen schon im Vorfeld der Verabschiedung des SOA be-stand und erst aufgrund von Section 301 in Angriff genommen wurde.581

• Sodann wurde auf die Bestimmungen von Section 302 verwiesen: Eine Person erklärte in diesem Zusammenhang, dass dank des infolge von Section 302 etab-lierten Prozesses eine zuvor nie dagewesene Offenheit im Unternehmen zu ver-spüren sei, Probleme zu benennen und zu diskutieren:

„Five years ago, I wouldn’t have even been aware that fraud cases were happening. Now, there is a positive obligation of people to bring issues to my attention.“

• Zwecks Stärkung der Corporate Governance hat man in einem anderen Unter-nehmen bereits vor einigen Jahren und unabhängig von den Bestimmungen des SOA ein globales „Antifraud-Framework“ eingerichtet, von dem man sich Si-cherheit bezüglich der Verhinderung und Aufdeckung von deliktischen Hand-lungen verspricht.

581 Siehe Abschnitt 3.4.1.1.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

165

Was die relative Bedeutung des Risikos deliktischer Rechnungslegung betrifft, so er-klärten die Rechnungslegungsverantwortlichen abschliessend, dass dieses ihnen kei-neswegs die grössten Sorgen bereiten würde – als viel wesentlicher erachte man das Risiko, dass Fehlaussagen infolge falscher Anwendung von Rechnungslegungsstan-dards resultieren.582

Die Prüfer schlossen sich der Einschätzung an, dass die Erfüllung der Detailregeln nicht zur Eliminierung von Rechnungslegungsskandalen grossen Ausmasses führen könne:

„Mit oder ohne PCAOB No. 2 – Bilanzskandale wird es immer geben.“

„Sicher ist nur, dass deliktische Handlungen nicht häufiger vorkommen werden.“

Auch sie gestanden anderen Bestimmungen des SOA einen grösseren Einfluss auf die Rechnungslegung zu als Section 404, die ihrer Einschätzung nach keinerlei Auswir-kungen auf das Managementverhalten zeitige:

• Drei wollten zwar eine gewisse Sensibilisierung des Managements in bezug auf die Gestaltung des „tone at the top“ sowie eine grössere Vorsicht in Fragen der Rechnungslegung festgestellt haben, führten dies aber im wesentlichen auf das Erfordernis der eidesstattlichen Beglaubigungen bzw. auf die strengen straf-rechtlichen Sanktionen zurück.

• Auch der Einführung von Schutzmassnahmen für „Whistleblowers“ sprach man einen positiven Effekt auf das allgemeine Kontrollbewusstsein zu. Eine Ge-sprächsperson hob hervor, dass allein solche Bestimmungen das Management daran hindern könnten, allzu aggressiv von den nach wie vor bestehenden Er-messensspielräumen Gebrauch zu machen.

• Zwei andere Prüfer hingegen konnten keinerlei Auswirkungen auf das Manage-ment ihrer Mandanten feststellen: Ihnen zufolge beobachte das Management Schweizer Unternehmen die gegenwärtigen Entwicklungen auf dem Gebiet der Corporate Governance mit angemessener Gelassenheit und hüte sich, seine Ver-haltensweisen an den diversen US-Bestimmungen auszurichten. Da zudem in den Unternehmen die Einsicht verbreitet sei, dass ICoFR ohnehin nicht umfas-

582 Siehe Abschnitt 4.2.2.2.1.2.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

166

send beurteilt werden könne, rücke das Management auch nicht davon ab, sich weiterhin in hohem Masse auf seine Mitarbeiter zu verlassen.

4.2.2.3 Zusammenfassung Um zu ermitteln, inwieweit die Implementierung der Detailregeln sich in Form einer zuverlässigeren Rechnungslegung bemerkbar macht, waren die Financial Reporting Managers nach den konkreten Änderungen zu fragen, die sie in bezug auf die drei Charakteristika Nachweisbarkeit, Validität und Neutralität feststellen konnten. Ange-sichts des erklärten Ziels, deliktische Rechnungslegung einzudämmen, wurde zudem gefragt, in welchem Ausmass sich ihrer Einschätzung nach das Risiko deliktischer Rechnungslegung reduziert hat.

Die Befragten gaben zu verstehen, dass die Zuverlässigkeit der Rechnungslegung schon vor der Implementierung der Section 404 sehr hoch gewesen sei. Indirekt bestä-tigten sie mit diesem Urteil, dass auch wenig formelle ICoFR eine gute Wirksamkeit haben könne. Auf die bereits festgestellten bzw. erwarteten Auswirkungen angespro-chen gaben sie bekannt, dass die Zuverlässigkeit der Abschlüsse infolge von Section 404 nicht nennenswert verbessert worden sei bzw. dass man hiervon nicht ausgehe. Während angegeben wurde, dass im Zuge der Implementierungsarbeiten vereinzelt Massnahmen zwecks Steigerung der Nachweisbarkeit von Rechnungslegungsinforma-tionen ergriffen wurden, billigte man Section 404 praktisch keinen Einfluss auf die beiden anderen Elemente, Validität und Neutralität, zu. Gerade im Zusammenhang mit der Validität wurden die Grenzen von ICoFR im allgemeinen deutlich: Das nach An-sicht der Befragten grösste Risiko wesentlicher Fehlaussagen, die fehlerhafte Anwen-dung von Rechnungslegungsstandards, erfährt deswegen keine Minderung, weil es auf menschlichen Schwächen basiert, die sich ICoFR definitionsgemäss entziehen. Es bleibt folglich unverändert bestehen. Dass gleichwohl gezielte Verbesserungen, etwa im Umgang mit konkreten Rechnungslegungsproblemen, insbesondere auch Ermes-sensfragen, berichtet wurden, ist auf die Erfüllung von Section 302 zurückzuführen. Hierauf bezogene Beispiele zeigten, dass die Unternehmen durchaus in der Lage sind, unabhängig von detaillierten Vorschriften Handlungsbedarf zu erkennen und auf pragmatische Weise effektive Kontrollen zu gestalten.

Einigkeit bestand zwischen Prüfern und Unternehmen darüber, dass die Implementie-rung der Detailregeln nur geringfügig zur Reduktion des Risikos deliktischer Rech-nungslegung beiträgt. Überraschend an den Antworten war, wie kategorisch ein signi-

4. Kapitel: Auswirkungen von Section 404 in der Praxis

167

fikanter Beitrag von Section 404 auf diesem Gebiet ausschlossen wurde – fast scheint es, als würde man bei der Umsetzung der Vorschriften das Ziel einer Eindämmung der deliktischen Rechnungslegung gar nicht erst ins Auge fassen. Tatsächlich legen die weiteren Antworten den Schluss nahe, dass man die Betrugsbekämpfung weitgehend anderen Bestimmungen des SOA überlässt: Insbesondere den Bestimmungen der Sec-tion 301, denen zufolge ein „Whistleblower“-Schutzmechanismus einzurichten ist, sprachen Prüfer wie Unternehmen eine wichtige Funktion bei der Aufdeckung von Unregelmässigkeiten zu. Auch Section 302 wurde positiv in diesem Zusammenhang erwähnt, ihr sprach man einen höheren Wirkungsgrad zu als Section 404.

Zusammenfassend ist den Aussagen zu entnehmen, dass die Implementierung der De-tailregeln die Rechnungslegung nur unwesentlich beeinflusst. Angesichts der Erkennt-nisse aus Abschnitt 4.2.1 erstaunt dieses Ergebnis nicht sonderlich.

Die Perspektive der Unternehmen wird nun verlassen, um sich derjenigen der Prüfge-sellschaften zuzuwenden.

4.2.3 Zu den Auswirkungen von Section 404(b) auf die Wirk-samkeit von ICoFR

Fraglich ist, inwieweit die ICoFR-Prüfung, die der Abschlussprüfer neuerdings zusätz-lich zu bzw. gemeinsam mit der Abschlussprüfung durchführen muss, zu einer Ver-besserung der Wirksamkeit von ICoFR beiträgt. In Abschnitt 2.2 wurde ein zweifacher Effekt der ICoFR-Prüfung angenommen. Demnach beeinflusst sie ICoFR sowohl in-folge ihrer fehleraufdeckenden Kraft als auch dank ihrer prophylaktischen Wirkung. Weil sich der zweitgenannte Effekt nun schlechterdings mittels einer explorativen Stu-die ermitteln lässt,583 wird auf seine Betrachtung im folgenden verzichtet und lediglich der Frage nachgegangen, ob bzw. inwieweit die ICoFR-Prüfung beschaffen ist, Fehler in ICoFR aufzudecken und somit Verbesserungen zu veranlassen.

583 Zu fragen wäre, welche zusätzlichen Anstrengungen die Unternehmen nur deswegen leisten, weil sie

wissen, dass der Abschlussprüfer Einsicht in ihre Arbeit nehmen wird. Dabei ist davon auszugehen, dass die prophylaktische Wirkung sehr hoch ist. Dies zeigt sich eindrücklich in der einheitlichen Ausrichtung der Implementierungsansätze an den von den Prüfgesellschaften entwickelten Methodologien. Der Nut-zen hiervon dürfte angesichts der in den beiden vorangegangenen Abschnitten gewonnenen Erkenntnisse hinsichtlich der Veränderungen in ICoFR bzw. in der Rechnungslegung als eher gering eingestuft wer-den.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

168

4.2.3.1 Vorbemerkungen und Spezifizierung der Fragestellung Gemäss PCAOB No. 2 beinhaltet eine ICoFR-Prüfung die folgenden Schritte:584

1. Sicherstellung, dass der ICoFR-Managementbericht den formellen Erfordernis-sen genügt, und Überprüfung, ob die vom Management getroffenen Aussagen frei von wesentlichen Falschdarstellungen sind;

2. Erlangung eines Verständnisses über Gestaltung und Funktionsweise der ver-schiedenen ICoFR-Komponenten sowie Identifizierung jener Kontrollen, die das Risiko wesentlicher Fehlaussagen eindämmen;

3. Prüfung der konzeptionellen Wirksamkeit von ICoFR, d.h. Sicherstellung, dass die als relevant identifizierten Kontrollen ihrer Natur nach geeignet sind, die jeweiligen Kontrollziele zu erreichen;

4. Prüfung der operativen Wirksamkeit von ICoFR, d.h. Sicherstellung, dass die relevanten Kontrollen auch wie geplant funktionieren;

5. Beurteilung und Kategorisierung der identifizierten Kontrollschwächen, Bil-dung einer Meinung über die Wirksamkeit von ICoFR sowie über die vom Ma-nagement vorgenommene Bewertung.

Voraussetzung für die Durchführung einer dergestalt konzipierten ICoFR-Prüfung ist u.a., dass der Prüfer über Kompetenz auf dem Gebiet von ICoFR verfügt.585 Auch gel-ten strenge Unabhängigkeitsvorschriften, die der Prüfer bei seiner Arbeit zu beachten hat.586

In Erfahrung zu bringen war zunächst, ob die Prüfgesellschaften überhaupt genügend gut auf die Erfüllung des sich aus dem PCAOB-Standard ergebenden Prüfauftrags vorbereitet sind, ob sie also über die erforderliche Kompetenz verfügen, die oben er-wähnten Schritte auszuüben, oder ob sie in gewissen Bereichen einen Nachholbedarf feststellen mussten. In diesem Zusammenhang war auch zu diskutieren, ob die Prüfge-sellschaften auf ausreichende Kapazitäten zurückgreifen können und ob die Zeit, die ihnen für die Durchführung der Prüfung zur Verfügung steht, genügt. Soll die Prüfung

584 Siehe Abschnitt 3.2. 585 Vgl. PCAOB (2004 a), para. 31. 586 Vgl. ebd., para. 32.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

169

einen Beitrag zur Wirksamkeit von ICoFR leisten, müssen die Prüfungshandlungen effektiv sein, d.h. (angemessen)587 zuverlässige Aussagen über Konzeption und Funkti-onstüchtigkeit von ICoFR ermöglichen. Zu fragen also war, inwieweit die Prüfer glaubten, dass die von ihnen durchzuführenden Prüfhandlungen diesem Erfordernis gerecht werden. Nachdem beim SEC-Roundtable die kostenträchtige Auslegung der Prüfbestimmungen zur Sprache kam,588 soll auch die Effizienz, mit der die Prüfer zu ihren Folgerungen hinsichtlich der Wirksamkeit von ICoFR gelangen, behandelt wer-den. Die relevanten Fragestellungen lauten somit:

3.1 Inwieweit erfüllen die mit einer ICoFR-Prüfung beauftragten Prüfgesellschaften die Erfordernisse der fachlichen Kompetenz und der Unabhängigkeit?

3.2 Inwieweit verfügen die Prüfgesellschaften über ausreichende Kapazitäten für die Durchführung einer ICoFR-Prüfung?

3.3 Inwieweit ermöglichen die von den Prüfgesellschaften durchgeführten Prü-fungshandlungen das Treffen angemessen zuverlässiger Aussagen über die Wirksamkeit von ICoFR bzw. über die Darstellungen des Managements?

3.4 Inwieweit sind die von den Prüfern durchgeführten Arbeiten effizient?

4.2.3.2 Antworten der Befragten Die wiedergegebenen Antworten stammen von den fünf Vertretern der Prüfgesell-schaften; auch flossen einige von Unternehmensvertretern gemachte Bemerkungen in die Analyse ein.589

4.2.3.2.1 In bezug auf die Eignung des Prüfers

4.2.3.2.1.1 Kompetenz

Danach gefragt, wie gut ihrer Meinung nach die – direkt von Section 404(b) betroffe-nen – Prüfgesellschaften auf die Durchführung einer ICoFR-Prüfung vorbereitet seien, verwiesen sämtliche Befragten darauf, dass verfahrensorientierte Prüfungshandlungen, sog. „tests of controls“, dem Berufsstand vom Grundsatz her seit jeher bekannt seien. Galt diese Form der Prüfarbeit vor zwanzig Jahren noch als essentieller Bestandteil

587 Siehe Abschnitt 3.2.4. 588 Siehe Abschnitt 4.1.3.3. 589 Siehe in Anhang C die unter B.I aufgeführten Fragen 1–8.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

170

einer Jahresabschlussprüfung, so habe sie in der jüngeren Vergangenheit gegenüber den ergebnisorientierten Prüfungshandlungen590 an Bedeutung verloren. Für diese Entwicklung gebe es verschiedene Gründe: Beispielhaft genannt wurde das in einzel-nen Branchen mangelhaft ausgeprägte Prozessverständnis der Mandanten, welches sich in schwach eingerichteten und schlecht dokumentierten Prozessen niederschlage. In anderen Branchen hingegen, in denen Routineprozesse grösstenteils automatisiert sind (beispielhaft genannt wurden Banken und Telekommunikationsunternehmen) und wo folglich mit Anwendung verfahrensorientierter Prüfhandlungen eine Verbesserung der Prüfeffizienz erzielt werden könne, sei dieser Trend weniger spürbar verlaufen. Andere sprachen von einer „Modeerscheinung“, die mit der aktuellen Betonung von ICoFR eben wieder rückgängig gemacht werde. Folge der verstärkten Gewichtung ergebnisorientierter Prüfhandlungen in den vergangenen Jahre aber sei, dass es jünge-ren Prüfern an diesbezüglicher Erfahrung mangele und dass das entsprechende Wissen sich vorwiegend auf jene Prüfer beschränke, die bereits auf eine langjährige Berufser-fahrung zurückschauen können.

Einzelne Unternehmensvertreter bestätigten diese von den Prüfern angesprochene Entwicklung, waren in der Beurteilung deren Auswirkungen auf Vorwissen und Eig-nung für die Durchführung einer ICoFR-Prüfung aber ungleich kritischer:

„Unser Abschlussprüfer hat seit Jahren den Fokus auf ‘substantive procedures’ gelegt, nicht auf Internal Control. Die haben keine Ahnung von unseren Prozessen und begin-nen bei Null.“

Im Zusammenhang mit dem bereits bestehenden Kontrollniveau in den Unterneh-menseinheiten fügte dieselbe Person an, dass nur diejenigen Einheiten, die regelmässig von den internen Revisoren besucht worden seien, über passable ICoFR verfügt haben; die regelmässige Durchführung von Revisionen durch den Abschlussprüfer hingegen sei keine Voraussetzung für die Existenz ausreichend guter ICoFR:

„In dieser Hinsicht können wir uns auf unseren Abschlussprüfer leider nicht verlassen.“

Um die erkannten Defizite frühzeitig zu beheben, haben die drei Prüfgesellschaften in den vergangenen beiden Jahren Schulungen über Internal Control im allgemeinen und die ICoFR-Prüfung im besonderen organisiert. Geschult wurden ausschliesslich solche Prüfer, die auf sog. „404-Mandaten“ arbeiteten, d.h. bei Mandanten eingesetzt wurden,

590 Siehe Abschnitt 2.3.4.1.2.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

171

die entweder selbst bei der SEC registriert sind oder als (bedeutende) Tochtergesell-schaften von „SEC registrants“ die Bestimmungen der SEC erfüllen müssen. In allen Fällen wurde auf Trainingsressourcen aus den USA zurückgegriffen. Um sicherzuge-hen, dass sämtliche Prüfer, die auf einem in ihren Verantwortungsbereich fallenden Mandat arbeiteten, genügend kompetent waren, liess sich eine der befragten Personen von den ausserhalb der Schweiz in den bedeutenden Auslandsgesellschaften des Man-danten beschäftigten Prüfkollegen schriftlich bestätigen, an entsprechenden Schulun-gen teilgenommen zu haben. Als allgemein hinderlich wurde von sämtlichen Befrag-ten die späte Fertigstellung des Prüfstandards durch das PCAOB genannt. Dieser sei zudem unpräzise und lasse Raum für vielerlei Interpretationen.

Unterschiedlich waren die Antworten in bezug auf die Frage nach denjenigen Prüfge-bieten, in denen ein fachlicher Nachholbedarf bestehe. Eine der drei Prüfgesellschaf-ten hatte einen gewissen Nachholbedarf in der Prüfung von IT-Kontrollen ausgemacht, wo es ihr an Spezialisten mangele. Der Befragte einer anderen Prüffirma sah Heraus-forderungen beim Prüfen des „risk of fraud“ auf sich zukommen – auch weil in der Schweiz das Bewusstsein um die Gefahr deliktischer Rechnungslegung nur wenig ausgeprägt sei. Insgesamt aber gaben die Interviewpersonen bekannt, sich mit den Me-thodensets und Arbeitsprogrammen ihrer Prüffirmen gut vorbereitet zu fühlen.

Auf einer ICoFR-Prüfung werden gemäss den Befragten sämtliche Ränge, vom Assis-tenten bis zum Partner, eingesetzt, wobei die Aufgaben dem Vorwissen und der Kom-petenz der Personen angepasst werden. Während also Partner u.a. an weitreichenden Projektentscheidungen beteiligt sind, werden Manager für das Prüfen komplexer Pro-zesse eingesetzt, Assistenten hingegen für das Testen einzelner Kontrollen. Aufgrund der Neuheit der Vorschriften seien im ersten Jahr mehrheitlich Senior Managers einge-setzt worden, zukünftig soll verstärkt auf niedere Ränge zurückgegriffen werden.

Grundsätzlich bezeichneten die Befragten die Ausgangssituation in der Schweiz, wo immerhin 13 SEC-registrierte Unternehmen ihren Stammsitz haben, als einem raschen Wissensaufbau im hiesigen Berufsstand förderlich. Anders verhielte es sich, wenn in der Schweiz ausschliesslich „substantial subsidiaries“ Nicht-Schweizer „SEC re-gistrants“ zu prüfen seien. Den Mitarbeitern anderer Prüfgesellschaften, die keine „404-Mandanten“ zu ihren Kunden zählen, sprachen die fünf befragten Personen übri-gens die Kompetenz ab, eine ICoFR-Prüfung durchzuführen. Das Wissen konzentriert sich ihrer Meinung nach also allein auf die „Big Four“-Gesellschaften.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

172

4.2.3.2.1.2 Unabhängigkeit

Was die Unabhängigkeit, die als ein wesentlicher Faktor für die Erzielung eines mög-lichst grossen Nutzens aus einer ICoFR-Prüfung angesehen werden kann, betrifft, gab die Mehrheit der befragten Unternehmen zu verstehen, dass der jeweilige Abschluss-prüfer das Postulat der Unabhängigkeit sehr ernst nehme, sich mit Beratung in Sachen Implementierung konsequent zurückhalte und sich gewöhnlich darauf beschränke, so-fern darum gebeten, eine Meinung zu bestimmten Projektentscheidungen abzugeben oder eine Beurteilung von Zwischenergebnissen vorzunehmen. In drei Unternehmen werden Prüfer anderer („Big Four“-) Gesellschaften als derjenigen des Abschlussprü-fers als „Coaches“ eingesetzt. Zu deren Aufgaben zählt es, das Projektmanagement in konzeptionellen Fragen zu beraten oder operative Aufgaben wie etwa die Prozessdo-kumentierung auszuführen. Aus derlei Konstellationen könnten allerdings vereinzelt auch Konfliktsituationen resultieren, wenn nämlich der „Coach“ dem Mandanten ge-wisse Vorgehensweisen nahelegt, die der Abschlussprüfer dann nicht zu akzeptieren bereit ist. Lediglich in einem der befragten Unternehmen scheint der Abschlussprüfer ungewöhnlich stark in die Projektarbeit involviert zu sein und essentielle Aufgaben, die eigentlich Angelegenheit des Mandanten sein sollten, zu übernehmen.

Selbst auf die Thematik der Unabhängigkeit angesprochen, sagte einer der befragten Prüfer, dass man in der Schweiz sich nicht so konsequent mit Empfehlungen oder bin-denden Kommentaren zur Arbeit des Managements zurückhalte wie dies in den USA gehandhabt werde. Die negativen Auswirkungen einer zu strikten Auslegung der U-nabhängigkeiterfordernisse seien somit vergleichbar gering.

4.2.3.2.2 In bezug auf die Kapazitäten

Was die für die Durchführung der Prüfarbeiten zur Verfügung stehende Zeit betrifft, so waren sich die Befragten darin einig, dass man zwar von den verschiedenen Frist-verlängerungen591 profitiert habe, aber dennoch einer insgesamt sehr knappen Planung unterlag. Als grösstes Problem wurde die Bestimmung genannt, dass sich die vom Prü-fer zu verifizierenden Aussagen des Managements auf das Ende des Geschäftsjahres beziehen müssen.592 In Anbetracht der Einreichfristen für den Jahresabschluss – in vie-len Unternehmen müssen der Jahresabschluss und ICoFR bereits zwei Wochen nach Periodenende geprüft worden sein – ergebe sich ein natürlicher Engpass. Dem könnte

591 Siehe Abschnitt 3.1.4. 592 Siehe Abschnitt 3.1.2.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

173

Abhilfe verschafft werden, wenn die ICoFR-Prüfung bereits vor dem Ende des Ge-schäftsjahres, also bspw. im vierten Quartal, vorgenommen werden würde, um die ver-fügbaren Ressourcen anschliessend für die Abschlussprüfung einzusetzen. Dies aber ist nur dann zulässig, wenn die Kontrollen vom Zeitpunkt des Geprüftwerdens bis zum Geschäftsjahresende unverändert bleiben. Die Erfahrung der Befragten zeige jedoch, dass dieses Erfordernis nur in seltenen Fällen eingehalten werden könne. Denn weil ein Grossteil der in Unternehmen eingerichteten Kontrollen manueller Natur ist, die leicht Änderungen unterworfen werden können, müsse man als Prüfer davon ausge-hen, dass die Kontrollen eben nicht unverändert geblieben sind. Man habe folglich zusätzliche Tests am Ende des Geschäftsjahres vorzunehmen. Als weitere Schwierig-keit nannte man die zeitliche Abhängigkeit vom Management, das schliesslich die ge-samte Dokumentations- und Prüfarbeit geleistet haben muss, bevor der Prüfer diese zu untersuchen beginnen kann.

Den aus den genannten Gründen am Jahresende eingetretenen (und auch in Zukunft zu erwartenden) Kapazitätsproblemen traten die betroffenen Prüfer mit zusätzlichem Stundeneinsatz entgegen. Zudem sei es möglich gewesen, auf Spezialisten aus dem globalen Netzwerk zurückgreifen zu können und diese gezielt einzusetzen. Nach An-sicht eines Prüfers handele es sich bei der ICoFR-Prüfung in der Schweiz um ein Ni-schengeschäft, in dem allfällige Kapazitätsprobleme jederzeit schnell behoben werden können – hierin unterscheide man sich von der Situation in den USA.

Keiner der Befragten gab an, dass Druck seitens der Unternehmen auf die Prüfgebüh-ren dazu geführt habe, zu wenig Zeit für die ICoFR-Prüfung gehabt zu haben.

4.2.3.2.3 In bezug auf die Effektivität der Prüfungshandlungen

Gefragt wurde, inwieweit die Prüfer die geforderte Auswertung des ICoFR-Managementberichts und die durchzuführenden „tests of control“ hinsichtlich deren Eigenschaft beurteilen, angemessen zuverlässige Aussagen über die Fairness der Dar-stellungen des Managements bzw. über die Wirksamkeit von ICoFR zu ermöglichen – inwieweit also die Prüfarbeiten sie dazu befähigen, das zu beurteilen, was beurteilt werden soll.

4.2.3.2.3.1 Beurteilung der Darlegungen des Managements

Alle befragten Personen erachteten die Auswertung der Darlegungen des Manage-ments als eine relativ einfach zu bewältigende Arbeit. Eine Meinung über den ICoFR-Managementbericht abzugeben sei nicht mit grösseren Schwierigkeiten verbunden,

4. Kapitel: Auswirkungen von Section 404 in der Praxis

174

solange nur die zu bewertende Arbeit von unabhängigen und kompetenten Personen – idealiter: internen Revisoren – vorgenommen worden sei.

In der Praxis werden die beiden vom Prüfer abzugebenden Meinungen nicht in separa-ten Schritten gebildet, wie dies vom PCAOB vorgegeben wird.593 Vielmehr ist es (zu-mindest „im ersten Jahr“) so, dass der Prüfer in einem kontinuierlichen, die Implemen-tierungsarbeiten des Unternehmens begleitenden Prozess gleichzeitig zu seinen Urtei-len über die Angemessenheit des ICoFR-Managementberichts bzw. über die Wirk-samkeit von ICoFR gelangt. Dabei werden die für die verschiedenen Meinungen er-forderlichen Prüfhandlungen miteinander verwoben, auch weil das Unternehmen in der Regel eine frühzeitige Rückmeldung des Prüfers auf wesentliche Projektentschei-dungen oder -fortschritte wünscht. Wenn also das Unternehmen den Projektumfang definiert hat, bittet es üblicherweise den Prüfer um rasche Beurteilung desselben, da eine weitere Projektarbeit im Unwissen um die Angemessenheit des gewählten „sco-pe“ mit hohem Erfolgsrisiko verbunden wäre – der Prüfer verbindet dann die (für die erste Prüfmeinung erforderliche) Beurteilung des vom Unternehmen skizzierten Pro-jektumfangs mit der ihm selbst auferlegten (für die zweite Prüfmeinung relevante) Be-stimmung der wesentlichen Prozesse und Unternehmenseinheiten. Gleiches gilt für den Fall, dass das Unternehmen die konzeptionelle Wirksamkeit seiner Kontrollen si-chergestellt hat und eine Zwischenmeinung erbittet, bevor es sich an das (aufwendige) Testen der „operating effectiveness“ heranmacht – der Prüfer kombiniert dann die Be-urteilung der Managementarbeit mit dem direkten Testen der konzeptionellen Wirk-samkeit.594

4.2.3.2.3.2 Beurteilung der „company-level controls“

Während der vom PCAOB vorgeschriebene Weg zur Identifizierung der relevanten Prozesse und Kontrollen als sinnvoll und praktikabel zugleich bezeichnet wurde, taten sich die Befragten mit dem Erfordernis, dass ausgehend von der konzeptionellen Be-schaffenheit der „company-level controls“ der Prüfumfang anzupassen sei595, schwer: Grundsätzlich stimmten sie zwar darin überein, dass diese Kontrollkomponenten des COSO wichtig seien und ihnen besondere Aufmerksamkeit zukommen müsse. Doch

593 Gemäss PCAOB No. 2 hat der Prüfer zunächst die Darlegungen des Managements zu untersuchen. Siehe

Abschnitt 3.2. 594 Siehe zur Effizienz der Prüfhandlungen Abschnitt 4.2.3.2.4.2. 595 Siehe Abschnitt 3.2.2.1.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

175

wandten sie ein, dass es selbst einem erfahrenen Prüfer, der über ein gutes Gespür für die Unternehmenskultur verfüge, unmöglich sei, intersubjektiv nachvollziehbare Aus-sagen über die konzeptionelle Wirksamkeit von „company-level controls“ zu erzielen.

Weil also sehr viel professionelles Ermessen bei der Beurteilung dieser Kontrollkate-gorie notwendig ist, anerkannten einzelne der befragten Prüfer die „company-level controls“ als „nicht gleichberechtigt“ im Verhältnis zu den „control activities“:

„Derlei Kontrollen als ‚key’ zu bezeichnen, damit habe ich Schwierigkeiten.“

Der tatsächliche Einfluss der „company-level controls“ auf den Projektumfang wird folglich als schwach angegeben. Nach Ansicht eines Befragten kommt eine Anpassung des Projektumfangs überhaupt nur dann in Frage, wenn sich die beurteilten „company-level controls“ als schwach erweisen sollten.596 Auch wurde berichtet, dass man in ei-nigen Fällen die „company-level controls“ erst Monate, nachdem das „scoping“ be-schlossen wurde, erstmalig betrachtet habe.

4.2.3.2.3.3 Prüfung der konzeptionellen Wirksamkeit

Um hinreichende Sicherheit bezüglich der „design effectiveness“597 zu erlangen, hat der Prüfer zu ermitteln, ob das Unternehmen über Kontrollen verfügt, die ihrer Natur nach geeignet sind, die relevanten Kontrollziele zu erreichen. Zu letzteren zählen ins-besondere die Verhinderung bzw. Aufdeckung von Fehlern oder deliktischen Hand-lungen, die zu wesentlichen Fehlaussagen führen könnten.

Was dieses Erfordernis anbelangt, so waren sich alle befragten Prüfer darin einig, dass dies grundsätzlich ein relativ einfaches Unterfangen darstelle und dass die von ihnen getane Prüfarbeit diesbezüglich sehr effektiv sei. Sobald man erst die relevanten Pro-zesse identifiziert habe,598 habe man die vom Management angefertigten Prozessdo-kumentationen zu betrachten und, hiervon ausgehend, die Frage nach dem „What could go wrong?“ zu stellen. Den auf diese Weise bestimmten Risiken müsse man dann die vom Unternehmen angegebenen, meist als „key“ ausgewiesenen Kontrollen

596 Beispielhaft wurde genannt: Wenn in einem Geschäftsbereich ein besonders hoher Ergebnisdruck besteht

und die Vergütung anhand von leistungsbezogenen Parametern erfolgt, ist dies bei der Planung der „tests of control“ zu berücksichtigen, damit die Prüfziele mit hinreichender Wahrscheinlichkeit erreicht werden können.

597 Im folgenden geht es um die Transaktionskontrollen. Die „company-level controls“ wurden bereits im vorangegangenen Schritt auf ihre konzeptionelle Wirksamkeit hin untersucht.

598 Siehe Abschnitt 3.2.2.1.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

176

gegenüberstellen und prüfen, ob diese die entsprechenden Risiken genügend gut redu-zieren; zur Überprüfung der tatsächlichen Existenz dieser Kontrollen seien schliesslich eigene „Walkthroughs“599 durchzuführen, wobei es am Prüfer liege zu entscheiden, welche der vorgeblichen „key controls“ wirklich einer Betrachtung vor Ort bedürfen.

Voraussetzung für die Prüfung der konzeptionellen Wirksamkeit sei das Vorhanden-sein qualitativ guter Dokumentationen. Aus diesem Grunde einige man sich üblicher-weise mit dem Mandanten darauf, die „tests of design effectiveness“ erst dann vorzu-nehmen, wenn jener für die Bereitstellung der benötigten Dokumentationen gesorgt habe. Auch sei es notwendig, dass eine solche Arbeit im ersten Jahr vorwiegend von Senior Managers und Partnern übernommen werde – erst in Zukunft könne man derlei Aufgaben an untere Ränge delegieren.

Einer einfachen Beurteilung im Wege standen laut den Befragten v.a. die folgenden Faktoren:

• Die im ersten Jahr besonders hohe Komplexität (in diesem Zusammenhang wur-de mehr als einmal der sprichwörtliche Wald erwähnt) sowie die eigene Uner-fahrenheit – beides Hindernisse, mit denen man schon im nächsten Jahr nicht mehr rechnen müsse. Zwei der Gesprächspersonen wiesen darauf hin, dass man sich als Prüfer insofern in einer verhältnismässig „komfortablen Situation“ be-finde, als dass es schliesslich zunächst am Management liege, die konzeptionelle Wirksamkeit der Kontrollen zu beweisen – man selbst habe lediglich die Darle-gungen des Managements auf Schlüssigkeit zu überprüfen.

• Die fehlende Erfahrung der Mandanten im Umgang mit Prozessen sowie unge-naues Arbeiten – beides schlage sich in ungenügender Dokumentationsqualität nieder, mitunter auch in (gewollten oder ungewollten) Differenzen zwischen dem schriftlich Behaupteten und der Realität.

• Die hohe Menge an zu berücksichtigenden, teilweise auch unwichtigen Kontrol-len, unter welcher der Überblick bzw. die Konzentration auf das Wesentliche verloren gehen könne. Hier aber gaben sich die Befragten kämpferisch:

„Wir arbeiten so lange, bis wir die Übersicht gewonnen haben!“

599 Vgl. PCAOB (2004 a), para. 79.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

177

4.2.3.2.3.4 Prüfung der operativen Wirksamkeit

Anders als bei der Prüfung der konzeptionellen Wirksamkeit testet der Prüfer nicht sämtliche der vom Mandanten als „key controls“ bezeichneten Kontrollen noch einmal selbst auf deren Funktionstüchtigkeit. Stattdessen geht er pragmatisch mit den grossen Mengen an Kontrollen um. Schon bei der Analyse der „design effectiveness“ bestimmt er üblicherweise die aus seiner Sicht wesentlichen Kontrollen – in diesem Zusammen-hang spricht man von „key key controls“ –, die dann später von ihm auf Funktions-tüchtigkeit getestet werden. Einer der hierzu Befragten gab an, dass ungefähr die Hälf-te der vom Mandanten identifizierten Kontrollen auch vom Prüfer getestet wird.

Alle der befragten Prüfer bestätigten die von den Unternehmensvertretern berichtete Erfahrung, dass nämlich die Mandanten Schwierigkeiten mit dem Erstellen effektiver Testpläne gehabt haben.600 Im Interesse eines zügigen Projektvorgehens habe man schon beim „testing of design effectiveness“ die vom Mandanten entwickelten Test-pläne für die einzelnen Kontrollen begutachtet und, falls notwendig, Korrekturempfeh-lungen abgegeben. Den Einschätzungen der Befragten zufolge falle es dem Prüfer nicht schwer zu beurteilen, ob die Teststrategien zielführend seien oder nicht und also abgeändert werden müssten. Die Frage, ob der Prüfer sich bei der Vornahme seiner eigenen Tests auf die vom Mandanten erarbeiteten Testpläne abstütze, wurde bejaht. Obschon es natürlich besser sei, wenn der Prüfer nicht das gleiche Testformat wie der Mandant verwende, werde dies dennoch getan, so einer der Befragten, „weil sich an-sonsten Widerstand beim Mandanten regt“.

Die Prüfer bestätigten, dass viele der „tests on operating effectiveness“ auf das Einhal-ten von Formalitäten wie bspw. Unterschriften und Datumsangaben abstellen.601 Einer der Befragten verteidigte diese Praxis mit Verweis auf die „Herkunft“ der Bestimmun-gen:

„Man bewegt sich nun einmal in US-amerikanischem Umfeld. Und dort gilt: ‘If it’s not documented, it’s not done.’”

Zu den wesentlichen Hindernissen zählten die Befragten einerseits die – trotz der Be-stimmung von „key key controls“ – grossen Mengen an zu testenden Kontrollen, an-

600 Siehe Abschnitt 4.2.1.2.2.4. 601 Siehe Abschnitt 4.2.1.2.2.4.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

178

derseits die Schwierigkeit, verlässliche Aussagen über die Wirksamkeit von „compa-ny-level controls“ bzw. Nicht-Routine-Prozesse abzugeben.

4.2.3.2.3.5 Auswertung der festgestellten Kontrollschwächen

Einstimmig beantwortet wurde die Frage, wie die Prüfer die von ihnen vorzunehmen-den Auswertungen und Klassifizierungen identifizierter Kontrollschwächen bezüglich deren Eindeutigkeit beurteilten. Hier sei sehr viel professionelles Ermessen vonnöten, befanden die Befragten, das finale Urteil über die Wirksamkeit von ICoFR mithin sei höchst subjektiv und keineswegs eindeutig.

Erschwert werde diese Aufgabe, die normalerweise die Senior Managers der Prüfge-sellschaften gemeinsam mit Experten des Mandanten (etwa aus dem Internal Audit oder Corporate Controlling) vornähmen, durch mehrere Umstände. Zunächst handele es sich bei der verlangten Abwägung hypothethischer Grössen wie Eintrittswahr-scheinlichkeit und Höhe der potentiellen Fehlaussage um eine für den Berufsstand neuartige Anforderung, weswegen ein Befragter zugab, dass man in dieser Hinsicht „wohl viel Mühe“ haben werde. Hinzukomme, dass es eines sehr hohen Aufwands bedarf, um die von einer bestimmten Kontrollschwäche potentiell beeinträchtigten Konten zu ermitteln – mit Ausnahme von Schwächen in einfachen Kontrollen mit be-grenztem Wirkungsgrad sei dies in den meisten Fällen nahezu unmöglich:

„Was bedeutet es schon, wenn eine Bankabstimmung einmal nicht unterschrieben wur-de?“

Schliesslich sei es die hohe Anzahl festgestellter Kontrollschwächen, die durchaus mehrere Hundert betragen könne,602 welche die Auswertungsarbeit äusserst mühselig gestalte. Dabei, so stellte einer der Befragten fest, gehe es weniger darum zu untersu-chen, ob eine identifizierte Kontrollschwäche („deficiency“) mit mehr als entfernter Wahrscheinlichkeit („remote likelihood“) eine wesentliche Fehlaussage in den Ab-schlüssen zu verursachen imstande und folglich als „material weakness“ auszuweisen sei, sondern vielmehr um die Frage, ob diese nur schon den Status einer „significant deficiency“ erreiche.603 Uneinig war man sich darin, ob genauere Vorgaben seitens des PCAOB Abhilfe verschaffen könnten, dem einer der Prüfer das Verfassen „schwam-miger Formulierungen“ zum Vorwurf machte.

602 Ähnlich antworteten einzelne Unternehmensvertreter; siehe Abschnitt 4.2.1.2.2.5.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

179

4.2.3.2.3.6 Zusätzliche Sicherheit infolge zweifacher Meinungsbildung

Unterschiedlich antworteten die Prüfer auf die Frage, wie sie die zusätzliche Sicherheit beurteilten, welche die für die zweite Prüfmeinung durchzuführenden „tests of control“ über die Beurteilung des ICoFR-Managementberichts hinaus vermitteln:604

• Die einen erklärten, dass die zusätzliche Sicherheit sehr hoch sei, weil einerseits nur direktes Testen Fehler aufdecken könne, anderseits allein von der Ankündi-gung, ein solches Testen vorzunehmen, eine „abschreckende Wirkung“ auf das Management ausgehe, das sich in der Folge mehr anstrenge.

• Andere jedoch erachteten den zusätzlichen Nutzen, der vom direkten Testen ausgehe, als eher gering. Ihnen zufolge könne man dieses Erfordernis auch weg-lassen – der wegfallende Nutzen würde dann durch die gewonnene Flexibilität, die sich ergäbe, wenn man nicht mehr eine Vielzahl von „Walkthroughs“ durch-führen müsste, und die sich einstellende Fokussierung auf die (wirklich) rele-vanten Kontrollen wettgemacht werden.605

4.2.3.2.4 In bezug auf die Effizienz der Prüfungshandlungen

Die Effizienz der Prüfhandlungen, also das Verhältnis zwischen dem zu erbringenden Prüfaufwand und dem sich einstellenden Resultat, wurde von den Prüfern als mittel-mässig eingestuft.

Aufschlussreich waren ihre Bemerkungen zum „coverage-based approach“ sowie zu den Synergien einer integrierten Prüfung.

4.2.3.2.4.1 „Coverage-based approach“

Wohl wurde zugegeben, dass der mit einer ICoFR-Prüfung verbundene Aufwand „e-norm“ sei und dass „möglicherweise mehr als unbedingt notwendig“ vom Prüfer getan bzw. dem Mandanten abverlangt werde. Gleichwohl hielten die befragten Prüfer alle-

603 Vgl. PCAOB (2004 a), para. 8–10, und PWC (2004 a), S. 69 f.: Unter “material” verstehen die Prüfge-

sellschaften mehr als 5% vom EBIT, unter “more than inconsequential“ mehr als 1% vom EBIT. 604 Der PCAOB-Standard nennt die „tests of controls“ im Zusammenhang mit dem (direkten) Urteil, das sich

der Prüfer über die Wirksamkeit von ICoFR zu machen hat; die Bestimmungen über die Beurteilung des ICoFR-Managementberichts sehen derlei Prüfhandlungen nicht vor. Siehe die Abschnitte 3.2.1 und 3.2.2.

605 Einer der Befragten bezifferte die prozentualen Anteile, die auf die verschiedenen Arbeitsschritte einer ICoFR-Prüfung entfallen, wie folgt: 20% für Planung; 30% für „testing of design effectiveness“; 30% für „testing of operating effectiveness“; 20% für abschliessende Arbeiten (Bewertung der festgestellten Schwächen, Überprüfung von Korrekturmassnahmen, Diskussionen mit Management, Berichterstellung).

4. Kapitel: Auswirkungen von Section 404 in der Praxis

180

samt am „coverage-based approach“606 fest607 und verteidigten entschieden dessen Anwendung auch in der Schweiz:

• Dieser diene dem Berufsstand zum Selbstschutz vor dem PCAOB und dessen peniblen Inspektionen, die man fürchte. Man wolle „auf keinen Fall etwas falsch machen und dafür vom PCAOB öffentlich an den Pranger gestellt werden“.608

Einer der Befragten stellte diesbezüglich klar:

„Das US-Umfeld ist kompromisslos – unter Umständen steht das PCAOB zwei Wo-chen später im Haus.“

• Da man ohnehin davon ausgehen müsse, dass auch unter dem PCAOB-Regime Bilanzskandale nicht ausbleiben werden,609 müsse man sich als Abschlussprüfer entsprechend wappnen. Sollte tatsächlich ein solcher Fall eintreten, dann böte der „coverage-based approach“ den Prüfgesellschaften, die sich dann vor Ge-richt verteidigen müssten, eher Schutz als der „risk-based approach“:

„Der Hinweis, dass man den ‚tone at the top’ kontrolliert habe, ansonsten aber nur eine 20%ige Abdeckung erzielt habe, würde doch nicht befreiend wirken.“

„Der ‚risk-based approach’ ist nur solange gut, wie nichts passiert; er ist für gute Zeiten, während der ‚coverage-based approach’ für schlechte Zeiten ist. Wir aber leben in schlechten Zeiten.“

• Unter Investoren sei die Erwartungshaltung verbreitet, dass die Prüfgesellschaf-ten ICoFR in deren Ganzheit testeten. Dies berücksichtigend sei der „coverage-based approach“ ein angemessener Kompromiss zwischen diesem (unmögli-chen) Anspruch und einer rein risikoorientierten ICoFR-Prüfung.

606 Auf diesen hatten sich die grossen Prüfgesellschaften im Interesse eines einheitlichen Vorgehens geeinigt.

Er sieht eine 60–70%ige Abdeckung konsolidierter (operativer sowie finanzieller) Grössen vor. Siehe die Abschnitte 4.1.3.3 und 4.2.1.2.1.5.

607 Die vom PCAOB vorgebrachte Aufforderung, diesen Ansatz aufzugeben und an dessen Stelle ein risiko-orientiertes Vorgehen zu setzen sowie mehr professionelles Ermessen anzuwenden, empfanden die Ge-sprächspartner als ungerechte Schelte, habe man doch lediglich dort Interpretationen vorgenommen, wo das PCAOB unpräzise blieb. Siehe PCAOB (2005 b).

608 In diesem Zusammenhang wurde auf die (öffentlich zugänglichen) Schlussberichte der „limited reviews“, die das PCAOB im Jahr 2003 bei den „Big Four“-Prüfgesellschaften unternahm, verwiesen; vgl. z.B. PCAOB (2004 c).

609 Siehe auch Abschnitt 4.2.2.2.2.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

181

• In der Schweiz habe man sowieso – ermöglicht aufgrund der räumlichen Distanz zu den USA – einen etwas pragmatischeren Ansatz umgesetzt, als dies in US-amerikanischen Unternehmen getan werden konnte.

Alle Befragten gaben an, dass ihre jeweilige Prüfgesellschaft nicht beabsichtige, als Reaktion auf die Bemängelungen des PCAOB signifikante Änderungen an der Metho-dologie vorzunehmen. Persönlich sei man zudem nicht gewillt, die – längst vor Be-kanntgabe der PCAOB-Weisungen definierten – „scopes“ anzupassen. Begründet wurde diese Haltung nicht nur mit den obigen Befürchtungen, sondern auch damit, dass man sich schlicht nicht vorstellen könne, für Mehrarbeit gerügt zu werden – Be-anstandungen seitens des PCAOB erwarte man keine:

„Im nachhinein sagt doch niemand: Du hast zuviel geprüft.“

4.2.3.2.4.2 Synergien mit der Abschlussprüfung

Darauf verwiesen wurde, dass die verlangten „tests of control“ sehr häufig verschiede-ne Prüfziele gleichzeitig unterstützen: Geht es bspw. darum, Kontrollen über Umsatz-transaktionen zu testen, würden sich aus den entsprechenden Prüfungshandlungen nicht nur Erkenntnisse über das Funktionieren der Kontrolle ziehen lassen (was rele-vant für die eigene, direkte Meinung über die Wirksamkeit von ICoFR ist), sondern auch darüber, ob genügend detaillierte Prozessbeschreibungen angefertigt und die Durchführung der Kontrollen ordnungsgemäss dokumentiert wurden (was relevant für die Abgabe einer Meinung über die vom Management vorgenommene Bewertung ist). Synergien mit der Abschlussprüfung werden erschlossen, wenn im Rahmen der „tests of controls“ analytische Prüfungshandlungen durchgeführt werden. Dann nämlich können auch Aussagen über die Richtigkeit der Buchhaltung getroffen werden, auf die dann bei der eigentlichen Abschlussprüfung zurückgegriffen werden kann.

Die beschriebene Konstellation, dass sich mit einem einzelnen „test of control“ Aussa-gen gewinnen lassen, die für drei Prüfaussagen verwendet werden können, ist den Be-fragten zufolge allerdings nicht bei sämtlichen Kontrollen gegeben – nicht alle verfah-rensorientierten Prüfungshandlungen, die im Rahmen der ICoFR-Prüfung durchgeführt werden müssen, sind also gleichermassen für die Abschlussprüfung verwertbar. Einer der Befragten bezifferte die Deckungsgleichheit der Prüfhandlungen, die für die I-CoFR- bzw. für die Abschlussprüfung zu erbringen sind, auf ca. 60%. Besonders ge-eignet seien Routinetransaktionen, die in grossen Volumina abgewickelt werden.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

182

4.2.3.3 Zusammenfassung Zwecks Bestimmung des Einflusses der Prüfhandlungen auf die Wirksamkeit von ICoFR waren die Prüfer zu fragen, wie sie Eignung und Kapazitäten der betroffenen Prüffirmen einschätzen und wie sie die durchzuführenden „tests of controls“ hinsicht-lich deren Effektivität beurteilen. Zu erörtern war darüber hinaus die Effizienz, mit der diese Prüfhandlungen erbracht werden.

Aus den Gesprächen ging sowohl hervor, dass die Prüffirmen über ausreichende Ka-pazitäten verfügen, als auch dass die Unabhängigkeitsanforderungen seitens der Ab-schlussprüfer konsequent eingehalten werden. Beides ist Voraussetzung für eine hohe Effektivität der Prüfhandlungen.

Unklar ist, wie Vorwissen und Erfahrung der Prüfer beurteilt werden müssen, da dies-bezüglich Selbsteinschätzung und Fremdwahrnehmung stellenweise voneinander ab-wichen: Während die befragten Prüfer das spezifische Wissen der Prüffirmen unter Hinweis auf die in der Vergangenheit erprobte Auseinandersetzung mit ICoFR und die eigens durchgeführten Schulungen als hinreichend bezeichneten, äusserte ein Unter-nehmensvertreter erhebliche Zweifel an der Kompetenz des Abschlussprüfers. In je-dem Fall stünden mangelnde Kompetenz und fehlende ICoFR-Kenntnisse einer wir-kungsvollen Prüfung im Wege.

Deutlich wurde, dass der Prüfer bei der direkten Prüfung von ICoFR diversen Schwie-rigkeiten begegnet, die sich negativ auf die Effektivität seiner Prüfhandlungen auswir-ken: Wie den Unternehmen machen auch ihm zuvorderst die hohen Mengen zu be-rücksichtigender Kontrollen zu schaffen, welche die Sicht auf das Wesentliche verstel-len und einen gewaltigen Kraftaufwand bedeuten. Ebenfalls ersichtlich wurde, dass die Prüfer sich mit der Beurteilung der „company-level controls“ schwer tun. Auch auf-grund der Subjektivität, die ihrer Bewertung anhaftet, schenkt man ihnen nur geringe Aufmerksamkeit. (Diese Handhabung dürfte übrigens zu der in Abschnitt 4.2.1 festge-stellten Vernachlässigung der „company-level controls“ seitens der Unternehmen bei-tragen.) Überdies sind Zweifel an der Art und Weise angebracht, wie in der Praxis die Transaktionskontrollen bewertet werden: So birgt der Verlass auf die vom Unterneh-men erstellten Dokumentationen beim „testing of design effectiveness“ zunächst die Gefahr, nicht sämtliche relevante Prozesse zu berücksichtigen, weil die Vollständig-keit der abgebildeten und beschriebenen Prozesse und Transaktionen kaum mit ver-tretbarem Aufwand überprüft werden kann. Die Orientierung an generischen Kon-

4. Kapitel: Auswirkungen von Section 404 in der Praxis

183

trollmatrizen dürfte zudem den Fokus auf einzelne Kontrollen lenken und den Ge-samtkontext der jeweiligen Transaktion oder des Prozesses in den Hintergrund rücken; spezifische Besonderheiten, die in den einzelnen Unternehmenseinheiten gegeben sind, könnten übersehen werden. Was dann das „testing of operating effectiveness“ betrifft, so entspricht die allgemein gepflogene Übernahme der vom Mandanten ange-wendeten Teststrategien im wesentlichen einer Ausweitung der Stichprobe – der hier-aus resultierende Erkenntnisgewinn dürfte sich in Grenzen halten. Hinzukommt, dass die Auswertung der identifizierten Kontrollschwächen mit allerhand professionellem Ermessen und viel Subjektivität verbunden ist, was den Aussagegehalt der eigentli-chen Prüfergebnisse reduziert. – Diese Schwierigkeiten könnten erklären, dass der zu-sätzliche, von einer direkten Prüfung ausgehende Sicherheitsgewinn von einigen Prü-fern als gering beurteilt wurde.

Die Prüfer gaben an, dass es ihnen ein Leichtes sei, die Darlegungen des Managements auf Richtigkeit zu überprüfen. Bezieht sich das Management bei seiner Bewertung von ICoFR auf das COSO-Framework (wie dies üblicherweise der Fall ist), hat es die Wirksamkeit mehrerer Kontrollkomponenten sicherzustellen. Eine Prüfmeinung über die Aussagen des Managements setzt mithin voraus, dass auch der Prüfer sich mit an-deren Kontrollkomponenten als den Transaktionskontrollen befasst hat. Die augen-scheinliche Vernachlässigung der „company-level controls“ seitens der Prüffirmen aber lässt diesen Schluss nicht zu.

Hinsichtlich der Effektivität der Prüfhandlungen kann dem Gesagten entnommen wer-den, dass die durchgeführten Prüfhandlungen nur bedingt zuverlässige Aussagen über die Wirksamkeit von ICoFR ermöglichen. Ihr Einfluss auf die Wirksamkeit von ICoFR wird dadurch begrenzt.

Den Ausführungen zur Effizienz der Prüfhandlungen war die Erkenntnis zu entneh-men, dass die vielerorts gepflogene Anwendung des „coverage-based approach“ vor-nehmlich dem Selbstschutz des Berufsstandes dient. In Verbindung mit den obigen Ergebnissen legt eine solche Motivation die Vermutung nahe, dass die Auswirkungen einer ICoFR-Prüfung auf die Qualität der Abschlussprüfung eher schwach sind.

4.2.4 Zu den Auswirkungen der ICoFR-Prüfung auf die Qua-lität der Abschlussprüfung

Wie aus der Untersuchung der gesetzgeberischen Absichten in bezug auf Section 404 hervorging, war u.a. eine Verbesserung der Qualität der Abschlussprüfung ange-

4. Kapitel: Auswirkungen von Section 404 in der Praxis

184

strebt.610 So wurde ICoFR als die „first line of defense against fraud“ bezeichnet, die intensiver zu berücksichtigen dem Abschlussprüfer bei der Aufdeckung von delikti-schen Handlungen helfen würde. Fraglich ist, inwieweit dieser Effekt in der Praxis bereits festgestellt werden kann bzw. inwiefern die befragten Prüfer der Meinung sind, dass sich dieser Effekt in Zukunft einstellen wird.

4.2.4.1 Vorbemerkungen und Spezifizierung der Fragestellung Nachdem der SEC-Roundtable zutage brachte, dass die Prüfgesellschaften im ersten Jahr keineswegs eine Integration von ICoFR-Prüfung und Abschlussprüfung vornah-men, appellierte das PCAOB an die Prüfgesellschaften, verstärkt Synergien zwischen diesen beiden Prüfungen zu suchen. Nicht nur würde davon die Qualität beider Prü-fungen profitieren, auch könnten die Kosten gesenkt werden.611 Die – sowohl Effi-zienz als auch Effektivität erhöhenden – Synergien können gemäss dem PCAOB auf dreierlei Weise erzielt werden:612

• Die Ergebnisse aus der ICoFR-Prüfung werden bei der Planung der Abschluss-prüfung, d.h. bei der Bestimmung von Art, Zeitpunkt und Umfang der ergebnis-orientierten Prüfhandlungen berücksichtigt. Dies gilt v.a., wenn der Prüfer Schwächen in solchen Kontrollen feststellt, die dazu konzipiert sind, deliktische Handlungen zu verhindern oder aufzudecken.

• Die Ergebnisse aus der ICoFR-Prüfung dienen bei der Durchführung von ergeb-nisorientierten Prüfhandlungen – v.a. wenn das Risiko wesentlicher Fehlaussa-gen als erheblich einzustufen ist – als Indikator für die Vollständigkeit und Ge-nauigkeit der fraglichen Informationen.

• Die Ergebnisse der im Rahmen der Abschlussprüfung getätigten „tests of controls“, die zwecks Beurteilung des Kontrollrisikos vorzunehmen sind, wer-den bei der Bildung einer Meinung über die Wirksamkeit von ICoFR hinzuge-zogen. Gleiches gilt für die ergebnisorientierten Prüfungshandlungen.

610 Siehe Abschnitt 2.2. 611 Siehe hierzu das PCAOB (2005 b), S. 5–7. 612 Siehe Abschnitt 3.2.3.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

185

Die für die Untersuchung der Auswirkungen auf die Qualität der Abschlussprüfung relevanten Fragestellungen lauten:613

4.1 Welchen Einfluss hat die Vornahme einer ICoFR-Prüfung auf Planung und Durchführung der Abschlussprüfung?

4.2 Inwieweit kann eine Verringerung des Entdeckungsrisikos614 festgestellt wer-den?

4.2.4.2 Antworten der Befragten Die Antworten, die in die Ausarbeitung der folgenden Abschnitte einflossen, wurden von den befragten Prüfern gegeben.615 Weil der Grossteil der betroffenen Schweizer Unternehmen noch nicht einmal die erstjährige ICoFR-Prüfung über sich ergehen las-sen hat, waren die kontaktierten Prüfer hierzu nur beschränkt auskunftsfähig.

Die Prüfer bestätigten zunächst, dass im ersten Jahr der Umsetzung keine Integration zwischen den beiden Prüfungen stattgefunden habe. Die strikte Separierung habe den einfachen Grund gehabt, dass man ICoFR erst gegen Geschäftsjahresende geprüft habe und zu jenem Zeitpunkt noch nicht wusste, wie es um die Wirksamkeit von ICoFR bestellt gewesen sei, so dass man sich auch bei der Planung der Jahresabschlussprü-fung hierauf nicht verlassen konnte.

4.2.4.2.1 In bezug auf Planung und Durchführung der Abschlussprüfung

Auf die Frage, inwiefern die aus den „tests of controls“ gewonnenen Ergebnisse die Abschlussprüfung beeinflussen, gab einer der Befragten an, dass man schon nach Be-endigung der „tests on design effectiveness“ ICoFR hinreichend gut kenne. In Zukunft könne man ausgehend von den hierbei gewonnenen Erkenntnissen und unter der gleichzeitigen Annahme, dass bei den „tests on operating effectiveness“ keine negati-ven Überraschungen auftreten werden, gezielt die ergebnisorientierten Prüfungshand-lungen für die Abschlussprüfung planen.

Wie genau die Planung bzw. die Durchführung der Abschlussprüfung beeinflusst wer-de, legte eine andere Gesprächsperson dar:

613 Siehe für den Effizienzaspekt Abschnitt 4.2.3.2.4.2. 614 Siehe für die Untergliederung des Prüfungsrisikos in Entdeckungsrisiko und Fehlerrisiko Abschnitt

2.3.4.1.1. 615 Siehe Anhang C, B.I, Frage Nr. 9.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

186

• Die im Rahmen der ICoFR-Prüfung durchgeführten Prüfungshandlungen gäben zunächst Aufschluss darüber, ob die in Rede stehende Kontrolle funktioniere bzw. ob man sich grundsätzlich bei der Abschlussprüfung auf sie verlassen kön-ne. Ist dies der Fall, dann müsse geklärt werden, ob der durch einen „test of control“ erbrachte Prüfungsnachweis ausreichend ist oder ob es (zusätzlicher) ergebnisorientierter Handlungen bedarf. Stellt sich bspw. heraus, dass in einem bestimmten Bereich eine Kontrolle sowohl wirksam konzipiert ist als auch funk-tioniert, könnte man – sofern keine Notwendigkeit besteht, ergebnisorientierte Prüfungshandlungen durchzuführen – auf die bis dato vorgenommenen ergeb-nisorientierten Prüfungshandlungen verzichten.

• Inwieweit ergebnisorientierte durch verfahrensorientierte Prüfungen ersetzt wer-den können, hänge von der Natur des Prüfgegenstands ab. Nach Ansicht der Auskunftsperson eignen sich Routinetransaktionen, wie etwa Verbuchungen von Zu- und Abgängen im Sachanlagevermögen, besonders gut für die Vornahme von „tests of controls“. Habe man hier jedoch schon in der Vergangenheit ver-fahrensorientiert geprüft, dann ergäben sich keinerlei Auswirkungen auf die Ab-schlussprüfung.

• In Bereichen jedoch, in denen die Übereinstimmung mit Rechnungslegungsvor-schriften im Vordergrund stehe – zu denken wäre an Rückstellungen oder Ab-grenzungen – und in denen Ermessen zum Tragen kommt, würde man unverän-dert ergebnisorientierte Prüfungshandlungen vornehmen, da man sich hier nicht auf die zugrunde liegenden Kontrollen verlassen dürfe. Die aufgrund von PCAOB No. 2 durchzuführenden Prüfungshandlungen stellen dann lediglich (mehr oder weniger relevante) Zusatzinformationen bereit, die einem zuvor (ge-wöhnlich) nicht zur Verfügung standen.

Einigkeit bestand unter den Prüfern darüber, dass ohne ein Offenlegungserfordernis, wie es Section 404(a) dem Management auferlegt, nicht angenommen werden könne, dass Unternehmen funktionierende ICoFR einrichten würden, auf die sich der Prüfer bei seiner Arbeit verlassen könnte. Eben weil dieses Erfordernis nicht schon früher existierte, habe man in der Vergangenheit nur punktuell verfahrensorientierte Prü-fungshandlungen vornehmen können, die zur Substitution bestimmter ergebnisbezoge-ner Prüfarbeiten geführt hätten.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

187

4.2.4.2.2 In bezug auf die Wirksamkeit der Abschlussprüfung

Gefragt, ob denn die Abschlussprüfung im Zusammenspiel mit der ICoFR-Prüfung insgesamt effektiver werde, gaben die Befragten unterschiedliche Antworten: Einer rechnet allgemein mit einer Verbesserung der Abschlussprüfung bzw. mit einer Re-duktion des Entdeckungsrisikos. Diese resultiere im wesentlichen aus dem vertieften Prozessverständnis des Prüfers sowie aus dem neugewonnenen Wissen um Risiken und Kontrollen. Weil der Prüfer sich zudem bei Kontrollen, die deliktischen Handlun-gen entgegenstehen, nicht auf die Arbeiten Anderer verlassen dürfe, werde eine inten-sivere Auseinandersetzung des Prüfers mit „fraud“ schon im Vorfeld der Abschluss-prüfung stattfinden, was die Aufdeckung deliktischer Handlungen erleichtern werde. Hierzu trage auch bei, dass infolge der Vorschriften des PCAOB der Verantwortungs-bereich des Prüfers erweitert worden sei – insbesondere habe er jetzt auch das Risiko einer Kollusion zu berücksichtigen und die mögliche Veruntreuung von Vermögens-werten des Unternehmens.

Auch wurde darauf hingewiesen, dass das Prüfungsrisiko reduziert werde, weil auf-grund der in den Unternehmen erzielten ICoFR-Verbesserungen das Fehlerrisiko ver-ringert worden ist.

Ein anderer Befragter hingegen verneinte, dass die Abschlussprüfung wesentliche Verbesserungen erfahren habe:

„Die Abschlussprüfung an sich ist nicht besser und nicht schlechter geworden, sie reich-te schon in der Vergangenheit aus, um Fehlaussagen aufzudecken. Ich würde nicht mehr Sicherheit bei einer integrierten Prüfung empfinden als bei einer Prüfung, wie diese vor Sarbanes-Oxley vorgenommen wurde.“

Der Nutzen, der sich umgekehrt aus der Hinzuziehung der Ergebnisse der anlässlich der Abschlussprüfung durchzuführenden ergebnisorientierten Prüfungshandlungen für die Bildung eines abschliessenden Urteils über die Wirksamkeit von ICoFR ergibt, wurde übrigens als gering eingestuft: Sehr wohl seien Menge und Art der festgestellten Prüfdifferenzen wichtige Indikatoren für die Wirksamkeit von ICoFR und müssten schon allein deswegen berücksichtigt werden, weil man ja nicht sämtliche Kontrollen auf „operating effectiveness“ testen könne. Man gehe aber davon aus, dass sich der Umfang der bei der Abschlussprüfung bemerkten Prüfdifferenzen grundsätzlich redu-zieren werde – eine Erhöhung, die nicht ganz ausgeschlossen werden könne, liesse sich allenfalls damit erklären, dass bei der Umsetzung der Detailregeln dem Formellen zu viel Aufmerksamkeit eingeräumt und konzeptionelle Aspekte vernachlässigt wur-

4. Kapitel: Auswirkungen von Section 404 in der Praxis

188

den. Auch wurde bemerkt, dass es der Ergebnisse der eigentlichen Abschlussprüfung schon deswegen bedürfe, weil man üblicherweise einige Monate vor Geschäftsjahres-ende die ICoFR-Prüfung vornehme, die ergebnisorientierten Prüfungshandlungen, aus denen sich mögliche Erkenntnisse über Unstimmigkeiten bzw. Verfehlungen ergeben können, jedoch erst nach Periodenschluss.

4.2.4.3 Zusammenfassung Zwecks Untersuchung der Auswirkungen einer ICoFR-Prüfung auf die Effektivität der Abschlussprüfung waren die Prüfer zu fragen, wie die Ergebnisse der „tests of controls“ die Planung der Abschlussprüfung beeinflussen und inwieweit die Wirksam-keit der Abschlussprüfung von einer vorangehenden ICoFR-Prüfung profitiert. Dass die Antworten der Befragten wenig umfangreich ausfielen, ist darauf zurückzuführen, dass in der Schweiz die meisten der von Section 404 betroffenen Unternehmen erst im Dezember 2006 die ICoFR-Berichte einzureichen gedenken, eine ICoFR-Prüfung folg-lich bei ihnen noch nicht vorgenommen wurde.

Zunächst wurde deutlich, dass die Abschlussprüfung selbst keine grossen Anpassun-gen erfahren wird: Wenn überhaupt, dann würden Routinetransaktionen zukünftig vermehrt durch verfahrensorientierte Prüfungshandlungen geprüft werden – sollten diese jedoch schon zuvor mittels „tests of controls“ auf Richtigkeit hin untersucht worden sein, blieben Änderungen selbstredend aus. Bei Prüfgebieten hingegen, in de-nen professionelles Ermessen vonnöten ist, wird man sich auch zukünftig auf ergeb-nisorientierte Prüfhandlungen verlassen, die Ergebnisse der „tests of controls“ liefern allenfalls Zusatzinformationen. Grundsätzlich keine Änderungen sind zu erwarten, wenn die „tests of control“ negative Ergebnisse hervorbringen: Der Abschlussprüfer wird sich dann nicht auf die fraglichen Kontrollen verlassen können und folglich er-gebnisorientierte Prüfhandlungen vornehmen müssen – also genau das machen, was er schon vor der Implementierung von Section 404 zu tun pflegte.

Angesichts dessen überrascht es nicht, dass die befragten Prüfer sich keinen spürbaren Einfluss auf das Entdeckungsrisiko versprechen, sondern die integrierte Prüfung als nur unwesentlich effektiver im Vergleich mit der bis anhin gepflogenen Abschlussprü-fung erachteten. Der erwartete Effekt einer Verbesserung der Abschlussprüfung infol-ge der Betrachtung von ICoFR kann mithin nicht festgestellt werden.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

189

4.2.5 Zu den Auswirkungen der ICoFR-Berichterstattung auf den Kapitalmarkt

Wie bei der Analyse der Absichten, die der Gesetzgeber mit der Aufnahme der Section 404 in den SOA verfolgte, gezeigt wurde, war das ultimative Ziel eine Rückgewin-nung des Anlegervertrauens – konkret: des Vertrauens der Anleger in die Rechnungs-legung von Emittenten. Im folgenden zu zeigen ist, inwieweit die ICoFR-Berichte die-sem Ziel dienlich sind.

4.2.5.1 Vorbemerkungen und Spezifizierung der Fragestellung Notwendige Voraussetzung für eine Steigerung des Anlegervertrauens infolge einer Berichterstattung über ICoFR ist eine entsprechende Nachfrage. In Erfahrung zu brin-gen war daher zunächst, ob die befragten Finanzanalysten überhaupt einen Bedarf nach zusätzlicher Sicherheit über die Rechnungslegung, wie sie die Berichterstattung der Section 404 vermitteln soll, verspüren. Wie in Abschnitt 2.3.2 gezeigt wurde, be-traf ein Streitpunkt in der Diskussion um eine Berichterstattung über ICoFR die mögli-che Fehlinterpretation der ICoFR-Berichte durch die Leser: Gegner einer solchen Re-gelung warnten vor der Gefahr einer Ausweitung der Erwartungslücke, die unweiger-lich einträte, wenn die Geschäftsberichtsleser im Falle einer uneingeschränkten Aussa-ge über ICoFR ungerechtfertigtes Vertrauen in das Unternehmen und die Abschlüsse setzten. Aus diesem Grund war in den Gesprächen mit den Kapitalmarktvertretern he-rauszufinden, ob die ICoFR-Berichte genügend gut verständlich sind oder tatsächlich zu Missverständnissen einladen könnten. Die Zielerreichung, Steigerung des Anleger-vertrauens infolge einer ICoFR-Berichterstattung, soll für diese Studie als gegeben betrachtet werden, wenn das Vorliegen von uneingeschränkten ICoFR-Berichten von den Anlegern als wesentliche Information beurteilt wird und die Anlageentscheidung positiv beeinflusst.616 Der umgekehrte Fall – eingeschränkte ICoFR-Berichte wirken sich negativ auf die Anlageentscheidung aus – kann zwar nicht als Ausdruck eines gewachsenen Vertrauens betrachtet werden, soll aber trotzdem in den Interviews be-handelt werden, da den Antworten Folgerungen über die Wesentlichkeit von ICoFR-Berichten bzw. über deren mögliche Funktionen entnommen werden können. So wa-ren also die Kapitalmarktvertreter zu fragen, ob die ICoFR-Berichte ihrem Wesen nach

616 Vgl. zur Schwierigkeit, eine Steigerung des Anlegervertrauens infolge des SOA empirisch nachzuweisen,

z.B. Bryan/Lilien (2005), S. 6 f.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

190

dazu geeignet sind, Entscheidungen zu beeinflussen. Zusammengefasst lauten die re-levanten Fragestellungen:

5.1 Besteht aus Sicht der Finanzanalysten ein Bedarf nach zusätzlicher Sicherheit über die Zuverlässigkeit der Abschlüsse?

5.2 Wie beurteilen die Kapitalmarktvertreter die ICoFR-Berichte hinsichtlich deren Verständlichkeit?

5.3 Wie stufen die Kapitalmarktvertreter die ICoFR-Berichte hinsichtlich der We-sentlichkeit für die Bewertung der Qualität von Emittenten ein?

4.2.5.2 Antworten der Befragten Die Antworten, die in die Ausarbeitung der folgenden Abschnitte einflossen, wurden von den befragten Analysten sowie dem Vertreter der Aufsichtsbehörde gegeben.617

4.2.5.2.1 In bezug auf den Bedarf nach Sicherheit über die Zuverlässigkeit der Rechnungslegung

Auf die Frage, wie sie sich bis dato von der Zuverlässigkeit der Rechnungslegung der zu analysierenden Unternehmen überzeugten, gaben die befragten Analysten zunächst gleichermassen zu verstehen, dass sie sich Unternehmenszahlen mit einem gewissen Grundvertrauen in deren Richtigkeit nähern. Man sei sich des Risikos von Manipula-tionen bewusst, wisse aber gleichzeitig, dass dieses nicht eliminiert werden könne. Unterschiedlich waren dann die Antworten auf die berücksichtigten Informationsquel-len bzw. die zur Anwendung gelangenden Methoden.

4.2.5.2.1.1 Berücksichtigung des Abschlussprüfungsberichts

Zunächst wurde nach dem Stellenwert von Abschlussprüfungsberichten gefragt, des-sen Funktion ja darin besteht, dem Leser des Geschäftsberichts ein unabhängiges Ur-teil darüber zu verschaffen, ob der Unternehmensabschluss ein in allen wesentlichen Belangen zutreffendes Bild abgibt. Die Antworten hierauf waren denkbar verschieden:

• Einer der Befragten erklärte, auf Prüfberichte grundsätzlich keinen Wert zu le-gen und diese nur in Ausnahmefällen zu betrachten. Grund für die Geringschät-

617 Siehe in Anhang C die unter D.I, II und III sowie E.I und II aufgeführten Fragen.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

191

zung sei, dass die in den Prüfberichten enthaltenen Aussagen „nur standardisier-tes Wording“ seien und vielerlei Interpretationen seitens der Leser zuliessen.

„Ohne konkrete Warnsignale schaue ich die Revisionsstellenberichte […] nicht an.“

• Ein anderer Analyst gab zwar an, den Abschlussprüfungsbericht immer zu be-trachten, diesen aber eigentlich nicht besonders aufschlussreich zu finden, da er ja in aller Regel uneingeschränkt sei. Sollte es vorkommen, dass der Abschluss-prüfer eine eingeschränkte Meinung abgegeben habe, bedeute das keineswegs, dass das entsprechende Unternehmen fortan von ihm gemieden werde – stellt sich nämlich heraus, dass die vom Prüfer ausgewiesene Schwäche seinem Ge-samturteil nicht abträglich ist, können auch Aktien solcher Unternehmen in Fra-ge kommen, deren Abschluss mit einem eingeschränkten Testat versehen ist.

• Eine grundsätzlich skeptische Haltung gegenüber jeglichen Berichten externer Prüfgesellschaften äusserte ein dritter Analyst. Ihm zufolge besteht aufgrund der Auftragsbeziehung zwischen Unternehmen und Prüfgesellschaft ein inhärenter Interessenkonflikt, infolgedessen die Berichte des Prüfers wenig aussagekräftig sind. Der Prüfbericht über den Jahresabschluss sei lediglich ein „Hygienefaktor“ und müsse – interner Vorschriften wegen – nun einmal betrachtet werden.

4.2.5.2.1.2 Bewertung der Corporate Governance

Um Risiken zu erkennen, die nicht unbedingt von der Finanzanalyse aufgedeckt wer-den können, nimmt ein Analyst eine umfassende, standardisierte Bewertung der Cor-porate Governance vor, in deren Rahmen u.a. zu beurteilen ist, ob das jeweilige Unter-nehmen eine transparente Informationspolitik betreibt und über wirksame Kontrollme-chanismen verfügt. Konkret zu bewerten sind die Qualität und Glaubwürdigkeit der Berichterstattung, das Vorhandensein von Kontrollmechanismen, die Verständlichkeit der Jahresrechnung sowie die Kommunikation mit Investoren. In einigen Fällen habe das Ergebnis der Corporate Governance-Analyse dazu geführt, Unternehmen trotz po-sitiven Ergebnissen, die aus der Fundamentalanalyse gewonnen wurden, nicht in das Aktienportfolio aufzunehmen.

Auch ein anderer Analyst gab zu verstehen, dass die Entscheidung darüber, ob das Portfolio um einen bestimmten Titel zu ergänzen sei, nicht alleine von der Finanzana-lyse abhänge. Insbesondere bei erstmalig zu untersuchenden Unternehmen werden stets auch Informationen über das Management eingeholt, um einen Eindruck von des-sen Integrität zu gewinnen. Sollten zudem bei der Finanzanalyse Ungereimtheiten be-

4. Kapitel: Auswirkungen von Section 404 in der Praxis

192

merkt werden – etwa dahingehend, dass gewisse Zahlen nicht nachvollzogen werden können –, gehe man diesen nach und versuche, sie in das Bewertungsmodell zu integ-rieren. Bestehen jedoch erhebliche Zweifel und lassen sich diese auch nicht nach Ge-sprächen mit dem betroffenen Unternehmen aus dem Weg räumen, lasse man von dem Unternehmen ab.

Beide Analysten erachteten die von ihnen verwendeten Methoden als hinreichend ge-eignet, um eine Aussage (von angemessener Sicherheit) über die Zuverlässigkeit der Rechnungslegung zuzulassen.

4.2.5.2.1.3 Als nützlich erachtete Vorschriften

Angesprochen darauf, ob man seit dem Bekanntwerden der Rechnungslegungsskanda-le um Enron und WorldCom mehr Wert auf zuverlässige Unternehmenszahlen lege, erklärte einer der befragten Analysten, dass das Bewusstsein kurzfristig stark geschärft worden sei, dass aber mittlerweile die Aufmerksamkeit wieder nachgelassen habe. Grundsätzlich seien zwar Kontrollen notwendig, die Relationen aber müssten gewahrt bleiben:

„Es macht keinen Sinn, noch mehr zu beaufsichtigen. Am Ende geht es doch darum, dass die Unternehmen sich auf ihre Geschäftstätigkeit konzentrieren – darum investie-ren wir schliesslich in sie –, und nicht auf ‚compliance issues’.“

Ein anderer Analyst warf ein, dass es „natürlich angenehmer wäre, wenn Klarheit be-stünde und die Financial Statements zuverlässiger wären“, gab aber gleichzeitig zu bedenken, dass man schon in einem einfachen DCF-Modell unter plausiblen Annah-men Wertdifferenzen von über 200% erhalten könne.

Als willkommene Vorschrift erachteten die Befragten übereinstimmend das Offenle-gen sämtlicher wesentlicher Ausserbilanzgeschäfte, wie es von Section 401 des SOA vorgeschrieben wird.618 Derlei Informationen hülfen nicht nur, das Unternehmen bes-ser zu verstehen, sondern wirkten allgemein vertrauenfördernd. Ebenfalls stark positiv beurteilt wurden die Bekanntgabe, ob ein „Whistleblower“-Schutzmechanismus einge-

618 Section 401(a)(j) schreibt vor, dass wesentliche bilanzwirksame Geschäfte und vertragliche Verpflichtun-

gen in den bei der SEC einzureichenden Berichten veröffentlicht werden müssen. Siehe für die Detailre-geln SEC (2003 e).

4. Kapitel: Auswirkungen von Section 404 in der Praxis

193

richtet ist, sowie die scharfe Sanktionierung von unwahren Aussagen im Geschäftsbe-richt.619

Über die Zertifizierung der Abschlüsse, wie durch Section 302 auferlegt,620 gingen die Meinungen auseinander: Einer der Analysten vermutete einen positiven, sensibilisie-renden Effekt auf das Verhalten des Managements, der allein von dem Akt des Unter-zeichnens ausgehe; ein anderer zweifelte an der Fähigkeit des Managements, eine der-art umfängliche Zertifizierung vorzunehmen, und sah in der Zertifizierung keine Ge-währ für eine Verbesserung der Rechnungslegung.

4.2.5.2.2 In bezug auf die Verständlichkeit der Berichterstattung

4.2.5.2.2.1 Hintergrundwissen

Anders als der Vertreter der Aufsichtsbehörde gaben die befragten Analysten an, vor dem Gespräch noch nie einen ICoFR-Bericht gesehen zu haben:621

„Wenn ich Sie [Anm.: gemeint ist der Autor] nicht kennengelernt hätte, dann wüsste ich gar nicht, dass es solche Berichte gibt.“

Auch wussten sie weder von den Bestimmungen der SEC über den ICoFR-Managementbericht noch von den Vorschriften des PCAOB. Ungefähr vertraut waren sie mit dem Hintergrund, vor dem der SOA verabschiedet wurde, und dessen allge-meiner Zielsetzung. Die ungefähre Höhe der Kosten, die aus einer Erfüllung der Vor-schriften von Section 404 resultieren, hingegen war ihnen aufgrund von Gesprächen mit betroffenen Unternehmen bekannt.

4.2.5.2.2.2 Materielle Klarheit

Die materielle Klarheit der ICoFR-Berichterstattung wurde von allen Befragten als tief eingestuft:

• Keinem von ihnen war das COSO-Framework geläufig, unter Begriffen wie „inhärente Grenzen“ und „angemessene Sicherheit“ konnten sie sich nur wenig vorstellen. Zwei fühlten sich an die „schwammigen Formulierungen“ im Ab-schlussprüfungsbericht erinnert.

619 Siehe für Sections 301 und 906 die Abschnitte 3.4.1.1 und 3.4.2.2. 620 Siehe Abschnitt 3.4.1.2. 621 Den Gesprächspartnern wurde mit dem Leitfaden je ein Exemplar eines ICoFR-Managementberichts und

eines ICoFR-Prüfberichts zugeschickt. Beides waren Beispiele aus der Praxis; siehe Anhang A und B.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

194

• Unklarheit bestand darüber, warum der Prüfer zwei Meinungen über ICoFR ab-gebe.

• Ein Analyst zeigte sich grundsätzlich irritiert über das neue Berichterstattungser-fordernis:

„Ich bin eigentlich immer davon ausgegangen, dass der Prüfer die Internal Control im Zusammenhang mit der Jahresabschlussprüfung betrachtet. Er hätte doch gar keine uneingeschränkte Meinung über den Jahresabschluss abgeben können, wenn die Internal Control nicht funktionierte.“

Der separate ICoFR-Prüfbericht ist ihm zufolge „doppelt-gemoppelt“ und ein „reiner fee-generator“.

• Insgesamt wurden die Berichte als „weitgehend nichtssagend“ beurteilt. Ein A-nalyst bekannte:

„Man wundert sich schon, dass um so etwas solch ein Heckmeck gemacht wird, und fragt sich, ob dahinter wirklich soviel Arbeit steckt.“

Auch der Vertreter der Aufsichtsbehörde äusserte sich zu der Verständlichkeit der ICoFR-Berichte. Aus seiner Sicht nun seinen die Berichte sehr gut verständlich. Un-bestritten aber handele es sich bei Internal Control um eine komplexe Materie, die in der breiten Öffentlichkeit vielfach missverstanden und mit Risikomanagement gleich-gesetzt werde. Auch sei die Meinung verbreitet, dass schwache ICoFR notwendiger-weise Buchhaltungsfehler implizieren. Gerade die grosse Masse der Geschäftsberichts-leser dürfte Verständnisschwierigkeiten aufgrund von unklaren Begrifflichkeiten, wie etwa dem COSO-Framework, haben. Dies heisse aber nicht, dass die Berichte verein-facht werden sollten. Vielmehr liege es (zuvorderst) an den Investoren, sich mit den neuen Berichterstattungserfordernissen vertraut zu machen. Zu einer Verbesserung der Klarheit könnten darüber hinaus die betroffenen Unternehmen selbst beitragen, indem sie (bspw. an Bilanzpressekonferenzen) über die erstmalige Erfüllung der Vorschriften informierten oder – falls vorhanden – das Glossar im Geschäftsbericht um Begriffe aus den ICoFR-Berichten ergänzten. Von international ausgerichteten Finanzanalysten hingegen könne angenommen werden, dass ihnen das COSO-Framework geläufig ist und sie die Berichterstattung korrekt zu deuten wüssten.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

195

4.2.5.2.3 In bezug auf die Wesentlichkeit der Berichterstattung

Die Analysten wurden gefragt, wie sie die Wesentlichkeit der ICoFR-Berichte beur-teilten, d.h. ob und inwieweit die darin vermittelten Informationen ihre Entscheidungs-findung zu beeinflussen vermögen. Unter der Annahme, dass der Abschlussprüfbericht uneingeschränkt ist, wurden zwei Szenarien diskutiert: erstens, Management und Prü-fer erklären das Vorliegen wirksamer ICoFR; zweitens, in beiden Berichten ist von „material weaknesses“ die Rede – definitionsgemäss sind die Kontrollen dann unwirk-sam.

4.2.5.2.3.1 Beurteilung der Relevanz uneingeschränkter Berichte

Bezug nehmend auf den Fall, in dem die Berichte uneingeschränkt, die ICoFR also wirksam sind, gaben die Analysten einstimmig bekannt, dass dies überhaupt keinen Einfluss auf die Entscheidungsfindung habe. Weder würde ein Unternehmen deswegen besser bewertet werden, noch könne dies über Zweifel hinweghelfen, die dem Analys-ten auf direktem Wege gekommen sind (bspw. bei der Fundamentalanalyse oder bei persönlichen Gesprächen mit der Geschäftsleitung).

Erklärend wurde hinzugefügt:

• Wirksame ICoFR werden als selbstverständlich vorausgesetzt. Die formelle Bestätigung ihrer Existenz könne folglich nicht eine positive Änderung der Er-wartungshaltung bewirken.

• Einer der Befragten fügte an, dass er es als durchaus wichtig erachte, wenn in einem Unternehmen stabile und effiziente Prozesse eingerichtet seien, dass er diese aber nur dann honorieren würde, wenn es sich um Prozesse des operativen Geschäfts handele – in effektiven Rechnungslegungsprozessen dagegen sei kein Mehrwert zu erkennen und würde man also keinen Zuschlag hierfür entrichten.

• Sodann wurden Zweifel daran geäussert, ob eine Vorschrift wie Section 404 grundsätzlich dazu beitragen könne, auf den besonders kritischen, meist mit er-heblichen Ermessensspielräumen verbundenen Rechnungslegungsgebieten (bei-spielhaft genannt wurde das Schätzen von Reserven bei Versicherungsunter-nehmen) signifikante Verbesserungen in Form höherer Zuverlässigkeit zu erzie-len. Insbesondere herrschte Einigkeit darin, dass auf diesem Wege das Betrugs-risiko nicht umfassend reduziert werden könne:

„Wenn jemand kriminelle Energie aufbringt, wird ihn so etwas nicht aufhalten.“

4. Kapitel: Auswirkungen von Section 404 in der Praxis

196

„Kollusion des Managements lässt sich hierdurch nicht verhindern.“

• Einer der Analysten befand den ICoFR-Managementbericht für müssig, da es doch das Management selbst sei, das kontrolliert werden müsse; anders verhalte es sich mit dem Prüfbericht, der seiner Meinung eine objektive, nachvollziehba-re Beurteilung beinhalte.

• Ein anderer Analyst verwarf gleich beide Berichte als unglaubwürdig: den Be-richt des Managements, da dieses weder die Zeit noch das Verständnis habe, sich ein abschliessendes Urteil über ICoFR zu bilden; den Bericht des Prüfers, weil sich dieser einem Interessenkonflikt ausgesetzt sehe und folglich keine ob-jektive Meinung abgeben könne sowie weil er gar nicht genügend kompetent sei:

„Die Revisionsstelle ist doch schon damit überfordert, die Jahresrechnung genau zu prüfen.“

Die Ansicht, dass funktionierende ICoFR im Eigeninteresse gut geführter Unterneh-men liegen und dass Informationen, wie sie uneingeschränkte ICoFR-Berichte liefern, nur von begrenztem Nutzen seien, teilte im übrigen auch der Vertreter der Aufsichts-behörde. Er gestand den von CEO und CFO zu leistenden Unterschriften eine gewisse positive Signalwirkung zu, gab aber zu bedenken, dass es merkwürdig anmute, wenn die Geschäftsleitung Einrichtung und Pflege von ICoFR als ihre Verantwortlichkeit bezeichne, was nach Schweizerischer Gesetzgebung schliesslich Aufgabe des Verwal-tungsrates ist.622 Grundsätzlich sei eine unabhängige Prüfung erforderlich: weniger, weil diese dem Leser ein objektives Urteil vermittele, sondern vielmehr weil dadurch das Management zu gründlicherer Arbeit angespornt werde – letzteres sei gerade an-gesichts der Verpflichtung des Managements (anstelle des Verwaltungsrats) nötig. Das Erfordernis einer zweiten, direkten Prüfmeinung über die Wirksamkeit von ICoFR allerdings erachtete er als nicht unbedingt notwendig.

4.2.5.2.3.2 Beurteilung der Relevanz eingeschränkter Berichte

Weitgehende Einigkeit bestand auch in der Frage, ob, und falls ja, inwieweit die Be-kanntgabe unwirksamer ICoFR Einfluss auf die Analysearbeit nehme. So stellten alle Befragten fest, dass die Veröffentlichung eines eingeschränkten Urteils anders als die

622 Siehe Abschnitt 4.3.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

197

Bekanntgabe wirksamer ICoFR zunächst einmal nicht unbedeutend sei. Keineswegs aber handele es sich hierbei um ein Ausschlusskriterium in dem Sinne, dass Unter-nehmen, die gemäss eigenem Bekunden über wesentliche Kontrollschwächen verfü-gen, die Aufnahme in ein Portfolio verwehrt bliebe oder nicht mit Kaufempfehlungen bedacht würden. Vielmehr sei ein eingeschränkter ICoFR-Bericht eine relevante In-formation, die es in das Gesamtbild des Unternehmens einzufügen gelte, gewissermas-sen ein Indiz auf eine Unstimmigkeit, deren Bedeutung abhängig von der Natur der ausgewiesenen „material weakness(es)“ bewertet werden müsse.

Käme den Befragten ein eingeschränkter ICoFR-Bericht unter die Augen, würden sie weitgehend ähnlich vorgehen. Einer von ihnen beschrieb die dann anzustellenden Ü-berlegungen und Massnahmen wie folgt:

• Demnach wäre zunächst zu untersuchen, ob die „material weakness“ für die Bewertung überhaupt wesentlich ist und falls ja, wie diese sich in das Bewer-tungsmodell integrieren lasse. Sind etwa im Bereich der Umsatzerkennung Schwachstellen ausgewiesen, könnte man dem etwa in Form einer zusätzlichen Diskontierung auf die ausgewiesenen Umsatzzahlen Rechnung tragen.

• Sollte eine klare Zuordnung jedoch nicht ohne weiteres machbar sein – weil es sich z.B. um eine Kontrollschwäche sehr genereller Natur handelt –, würde man einen pauschalen Abschlag vom Kaufpreis vornehmen. Allenfalls würde man weitere Nachforschungen anstellen, um Gewissheit über die potentiellen Risiken zu erlangen – bspw. würde man sich direkt an das Unternehmen wenden und fragen, ob man sich der spezifischen Problematik bewusst sei und welche Kor-rekturmassnahmen man vorzunehmen gedenke.

• Sollte man hierauf keine befriedigenden Antworten erhalten, oder hatte man oh-nedies schon schwerwiegende Zweifel am Unternehmen und dessen Manage-ment, dann könnte die fragliche Kontrollschwäche letztlich dazu führen, dass man sich gegen ein Unternehmen entscheidet.

Als sehr gering stuften die befragten Analysten die Wahrscheinlichkeit ein, dass erst gezielte Nachfragen infolge eines eingeschränkten ICoFR-Testats ergeben, dass tat-sächlich wesentliche Schwachstellen bestehen, auf die man ohne die ICoFR-Berichte nicht gestossen wäre und die einer Berücksichtigung im Bewertungsmodell bedürfen oder gar das Absehen vom Kauf nahelegen. Derart wichtige Informationen bekäme

4. Kapitel: Auswirkungen von Section 404 in der Praxis

198

man schliesslich auch auf anderem Wege zugespielt. Entscheidend sei zudem immer, ob andere Unternehmen der gleichen Branche ebenfalls derlei Kontrollschwächen ha-ben oder nicht.

Der Vertreter der Aufsichtsbehörde teilte die Einschätzung, dass die ICoFR-Berichte lediglich „nice to have“-Informationen bereithalten, ging allerdings davon aus, dass im Falle eines eingeschränkten Testats das Risiko von Fehlaussagen allgemein als höher eingeschätzt werden wird. Insbesondere würden seiner Meinung nach die Quartalsbe-richte skeptischer betrachtet werden.

4.2.5.2.3.3 Zukünftige Berücksichtigung der ICoFR-Berichterstattung

Offenkundig war, dass die Befragten die ICoFR-Berichterstattung bis zum Zeitpunkt des Gesprächs, also bis ungefähr ein halbes Jahr nach Veröffentlichung der ersten Be-richte, noch gar nicht wahrgenommen hatten. Am Ende des Gesprächs wurde daher die Frage gestellt, ob sie denn planen würden, die ICoFR-Berichte in Zukunft zu berück-sichtigen. Die Antworten hierauf fielen wiederum unterschiedlich aus:

• Ein Analyst sprach von einer „Informationsflut in den Geschäftsberichten“, der-art, dass man manchmal neige zu glauben, dies geschehe in voller Absicht sei-tens der Unternehmen, damit nämlich „die Leser den Wald vor lauter Bäumen nicht mehr sehen“. Man sei folglich gezwungen, Kompromisse einzugehen und könne nicht sämtliche Informationen betrachten. Bei den ICoFR-Berichten han-dele es sich um solche Informationen, denen man nur zu gerne durch Nichtbe-achtung ausweiche. Denkbar allerdings sei, dass man als Analyst aufgrund in-terner Vorschriften bzw. zum Zweck der Vermeidung von Klagen dazu angehal-ten werde, lediglich die Titel solcher Unternehmen zu empfehlen, denen wirk-same ICoFR attestiert wurden:

„Es könnte sein, dass bei uns intern die ‚compliance’ so weit greift, dass man nur noch Aktien anfasst, bei denen die Internal Control in Ordnung ist.”

• Ähnlich äusserte sich ein anderer Analyst, der erklärte, dass man den bereits be-stehenden Corporate Governance-Kriterienkatalog um ebendiese Information ergänzen wolle, die Wirksamkeit von ICoFR also bei der Analyse der Corporate Governance als Ausdruck guter Qualität der Berichterstattung behandeln werde. Dabei sei es aber keineswegs so, dass er persönlich den Berichten eine besonde-re Bedeutung beimessen würde – vielmehr gehe es darum, die Analysearbeit „verteidigen zu können“, d.h. bestimmte Entscheidungen gegen allfällige von

4. Kapitel: Auswirkungen von Section 404 in der Praxis

199

Kunden erhobene Klagen und Beschwerden rechtfertigen zu wissen. Insbeson-dere müsse man begründen können, warum man trotz einer qualifizierten Mei-nung die Aktie in das Portfolio aufgenommen habe.

• Ein dritter Analyst bezeichnete die ICoFR-Berichte als „nice to have“ – man könne auch ohne sie gut auskommen. Da sie gleichwohl zusätzliche Informatio-nen liefern, die in das Gesamtbild einzufügen seien, werde er in Zukunft die Be-richterstattung nach Section 404 verfolgen.

Auch der Vertreter der Aufsichtsbehörde wurde gefragt, inwieweit man die in Zukunft zu erwartenden ICoFR-Berichte zu berücksichtigen bzw. zu behandeln gedenke. Denkbar sei es, so die Auskunftsperson, dass man das Vorliegen eines eingeschränkten ICoFR-Berichts als Tatbestand klassifizieren werde, bei dessen Erfüllung die Behörde eine Durchsicht des Geschäftsberichts vorzunehmen hat. Vergleichbare Tatbestände, die gegenwärtig diese Massnahme auslösen, seien bspw. der Wechsel des CFO oder die erstmalige Anwendung von IFRS. An weitere Aktivitäten sei jedoch nicht zu den-ken, insbesondere fehle für eine Sanktionierung die rechtliche Grundlage (zumindest solange das Prüfurteil über den Abschluss uneingeschränkt ist). Im übrigen sei es ein-gedenk der hohen Qualität, die der Finanzberichterstattung von an US-amerikanischen Börsen kotierten Schweizer Unternehmen üblicherweise eigen ist, zu bezweifeln, dass es sich wirklich um ernsthafte Verfehlungen handelt, sollte der ICoFR-Bericht einge-schränkt sein:

„Die Angst vor der SEC bewirkt Wunder.“

4.2.5.3 Zusammenfassung Herauszufinden war, inwieweit die ICoFR-Berichte des Managements bzw. des Prü-fers zu einer Steigerung des Anlegervertrauens in die Rechnungslegung beitragen. Zu diesem Zweck wurde mit den Finanzanalysten zunächst die grundsätzliche Notwen-digkeit von Instrumenten zur Versicherung einer zuverlässigen Rechnungslegung dis-kutiert. Anschliessend besprochen wurden die Verständlichkeit der ICoFR-Berichte und deren Relevanz für die Entscheidungsfindung.

Die Analysten teilten übereinstimmend mit, dass der Bedarf nach zusätzlichen Vor-schriften zur Verbesserung der Zuverlässigkeit der Rechnungslegung nicht sonderlich hoch sei. Gewisses Interesse wurde für Regelungen wie die Offenlegung wesentlicher Ausserbilanzgeschäfte, die Einrichtung von „Whistleblower“-Schutzmechanismen

4. Kapitel: Auswirkungen von Section 404 in der Praxis

200

oder die Verschärfung von strafrechtlichen Sanktionen im Falle unwahrer Geschäfts-berichtsaussagen bekundet. Einige der Befragten schätzten die von ihnen im Rahmen der Unternehmensbewertung angewendeten Analysetechniken als hinreichend gut ein, um ihnen verlässliche Schlussfolgerungen über die Zuverlässigkeit der Rechnungsle-gung zu ermöglichen. Deutlich wurde im übrigen, dass alle Analysten auf informelle Quellen Zugriff haben, die sie über Unregelmässigkeiten in der Rechnungslegung sie interessierender Unternehmen rechtzeitig in Kenntnis setzen würden.

Wichtige Aspekte des Berichtsformats, wie bspw. der Bezug auf das COSO-Framework oder der Hinweis auf die inhärenten Grenzen von ICoFR, erachteten die Finanzanalysten als nichtssagend. Unklarheit bestand über den Zusammenhang zwi-schen Abschlussprüfung und ICoFR-Prüfung sowie hinsichtlich der beiden Prüfmei-nungen über die Wirksamkeit von ICoFR. Diese Beobachtungen standen übrigens in Widerspruch zu den Einschätzungen des Vertreters der Aufsichtsbehörde, der vermu-tete, dass lediglich nicht-professionelle Investoren Verständnisschwierigkeiten mit dem Berichtsformat haben würden.

Die Finanzanalysten stuften uneingeschränkte ICoFR-Berichte als unwesentlich ein. Diese Einschätzung ist in erster Linie darauf zurückzuführen, dass man wirksame ICoFR als selbstverständlich voraussetzt – insbesondere, wenn der Abschlussprüfbe-richt uneingeschränkt ist. Auch traut man als wirksam bestätigter ICoFR nicht zu, de-liktische Rechnungslegung zu verhindern. Letzteres stimmt mit den von den Unter-nehmensvertretern gemachten Erfahrungen bzw. mit den Beobachtungen der befragten Prüfern überein und legt den Schluss nahe, dass das Ziel eines gesteigerten Anleger-vertrauens mit einer ICoFR-Berichterstattung nicht erreicht werden kann. Einge-schränkte ICoFR-Berichte hingegen werden zwar nicht von vornherein als irrelevant abgetan, ihr Informationsgehalt wird aber als lediglich „nice to have“ eingestuft. Diese Beurteilung spiegelt sich in den Antworten der Befragten, wie sie zukünftig von den ICoFR-Berichten Gebrauch zu machen gedenken: Allein aus Gründen des Selbst-schutzes, nicht aber weil man den Informationen einen eigentlichen Wert beimisst, können sie sich vorstellen, den ICoFR-Berichten in Zukunft Aufmerksamkeit zu schenken.

Zusammengefasst brachten die Befragten zum Ausdruck, dass die ICoFR-Berichterstattung für ihre Bedürfnisse weitgehend unnütz ist. Ein Effekt auf das Ver-trauen in die Rechnungslegung konnte nicht festgestellt werden.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

201

4.2.6 Die langfristigen Erwartungen der Befragten Zum Zeitpunkt der empirischen Erhebung waren die meisten der befragten Unterneh-men und Prüfer noch mit der erstmaligen Umsetzung der Vorschriften zu Section 404 beschäftigt und konnten die kontaktierten Vertreter des Kapitalmarkts erst auf rudi-mentäre Erfahrung mit den ICoFR-Berichten verweisen, da bis dato erst ein Bruchteil aller betroffenen Unternehmen derlei Berichte veröffentlicht hatten. Die in den Ab-schnitten 4.2.1 bis 4.2.5 beschriebenen Ergebnisse entsprechen also einer frühen Mo-mentaufnahme, die nicht ohne weiteres für folgende Jahre Gültigkeit haben dürfte – deutlich wurde ja bspw., dass zu Beginn der Implementierung eine gewisse Unsicher-heit seitens der Unternehmen und der Prüfgesellschaften bezüglich der Interpretation der Vorschriften bestand sowie dass die Integration der Abschlussprüfung und der ICoFR-Prüfung stark verbesserungsbedürftig ist. Aus diesem Grunde war in Erfahrung zu bringen, wie die verschiedenen Interessengruppen die langfristigen Auswirkungen von Section 404 beurteilen.

Die zuvor diskutierten Ergebnisse wurden aus Leitfadengesprächen gewonnen. Für jede der insgesamt fünf Personengruppen, die an der Untersuchung teilnahmen, wur-den spezifische Leitfäden konzipiert. Bei der Ermittlung der langfristigen Erwartungen wurde allerdings darauf verzichtet, für jede Personengruppe spezifische Fragen zu formulieren, auch wurden geschlossene Fragen gestellt. Dahinter steckte die Auffas-sung, dass eine solche Vorausschau ohnehin von eher oberflächlicher Natur ist.623 Ne-benher versprach ein solches Vorgehen, allenfalls zwischen den Gesprächspersonen bestehende Differenzen in den Urteilen über die zukünftige Entwicklung von Section 404 feststellen zu können. Die also für alle Befragten gleich lautenden Fragen griffen die in Abschnitt 4.1.2 benannten Fragestellungen auf.624 Konkret wurden die Ge-sprächspartner am Ende eines jeden Interviews gebeten, auf einer Skala von 1 bis 5 anzugeben, wie stark ihrer Meinung nach der langfristige positive Effekt von Section 404 auf:625

623 Es ist darauf hinzuweisen, dass es keineswegs die Absicht war, eine regelrechte quantitative Studie

durchzuführen – hierfür wäre die gewählte Stichprobe ohnehin viel zu klein. Vielmehr ging es darum, auf pragmatische Weise zusätzliche Informationen zu gewinnen, um die (qualitativ ermittelten) Erkenntnisse zu ergänzen.

624 Dabei wurden die erste und die vierte Forschungsfrage in der Frage nach dem vermuteten Einfluss auf die Wirksamkeit von ICoFR zusammengefasst.

625 Vgl. in Anhang C die unter A.III, B.IV, C.III, D.IV bzw. E.III aufgeführten Fragen. Die Fragen nach den Auswirkungen auf die Kapitalkosten bzw. auf die Aktienkurse wurden nicht weiter verfolgt, nachdem

4. Kapitel: Auswirkungen von Section 404 in der Praxis

202

• die Wirksamkeit von ICoFR;

• die Zuverlässigkeit der Abschlüsse;

• die Qualität der Abschlussprüfung;

• das Anlegervertrauen, sowie

• die Reputation von Unternehmen

sei.626 Zudem sollten sie angeben, wie sie insgesamt das sich langfristig einstellende Kosten-Nutzen-Verhältnis beurteilen.627

4.2.6.1 In bezug auf die positiven Auswirkungen von Section 404 Die für die ersten fünf Parameter erhaltenen Ergebnisse werden in untenstehendem Graphen (vgl. Abb. 9) nach den drei Interessengruppen (Unternehmen, Prüfer, Kapi-talmarkt) getrennt präsentiert; als Mittelwert wurde der Median verwendet, um den Einfluss von Ausreissern zu tilgen, die gerade bei einer so kleinen Stichprobe wie der vorliegenden das Bild entscheidend verzerren könnten.628

An Abb. 9 fallen verschiedene Muster ins Auge, die wie folgt interpretiert werden können: Zunächst ist offensichtlich, dass – bis auf eine Ausnahme: die Beurteilung des Einflusses von Section 404 auf die Unternehmensreputation – Unternehmen und Prüf-gesellschaften die langfristigen Auswirkungen von Section 404 gleichermassen ein-schätzen. Dies dürfte im wesentlichen damit zusammenhängen, dass die beiden Grup-pen bei der Umsetzung eng zusammenarbeiten629 und überdies ein gemeinsames Inte-

sich herausstellte, dass die Gesprächspartner bei ihren Antworten Differenzierungen – nämlich in Abhän-gigkeit vom Inhalt des Prüfberichts (qualifiziert versus unqualifiziert) – vornahmen.

626 Es wurde nur der positive Effekt abgefragt, da vernünftigerweise davon auszugehen ist, dass der Effekt von Section 404 auf die genannten Parameter nicht negativ sein wird.

1 = kein Effekt; 5 = sehr positiver Effekt 627 -4 = sehr negativ; 0 = ausgeglichen ; +4 = sehr positiv Die befragten Unternehmensvertreter (Prüfpartner) wurden dazu angehalten, ihre Angaben unabhängig

von dem Unternehmen (der Prüffirma), für das (die) sie arbeiten, zu machen und sich auf die allgemeine Entwicklung zu beziehen.

628 In der Gruppe „Unternehmen“ sind die von acht Personen gemachten Angaben enthalten (in zwei Fällen waren der Projektleiter und der Financial Reporting Manager ein und dieselbe Person); „Prüfer“ umfasst die fünf befragten Partner, unter „Kapitalmarkt“ sind die Einschätzungen der drei Analysten und des Ver-treters der Aufsichtsbehörde zusammengefasst.

629 Anzunehmen jedoch ist, dass die Erwartungshaltung eher von den Prüfgesellschaften als von den Unter-nehmen geprägt wurde. Schliesslich war es der Berufsstand, der sich über Jahrzehnte hinweg mit der

4. Kapitel: Auswirkungen von Section 404 in der Praxis

203

ressen an einer hohen Wirkungskraft haben.630 Sodann ist zu erkennen, dass die Er-wartungen, die Unternehmen und Prüfer an Section 404 knüpfen, hoch sind. Dies gilt insbesondere für die drei erstgenannten Aspekte, auf die Unternehmen und Prüfer mit ihrer Arbeit unmittelbaren Einfluss nehmen, während die Auswirkungen auf die bei-den anderen Parameter, die sich ihrem direktem Zutun entziehen, etwas schwächer beurteilt werden. Offensichtlich haben sich die Unternehmen und Prüfer bei der Ein-schätzung der langfristigen Auswirkungen nur in schwachem Masse von ihren eige-nen, in den Interviews zum Ausdruck gebrachten Erfahrungen leiten lassen: Dort näm-lich wurde weder die Wirksamkeit von ICoFR, noch die Zuverlässigkeit der Abschlüs-se noch die Qualität der Abschlussprüfung als (infolge von Section 404) wesentlich verbessert erachtet; auch kam die Parallelität zwischen „Wirksamkeit“ und „Zuverläs-sigkeit“ bzw. „Prüfqualität“ nicht so deutlich zum Vorschein,631 wie dies in Abb. 9 der Fall ist, wo jedem Zuwachs an „Wirksamkeit“ ein ebenso grosser Anstieg an „Zuver-lässigkeit“ und „Prüfqualität“ gegenübersteht. Wahrscheinlich ist, dass die Befragten mit einer allgemeinen Verbesserung rechneten, sobald Section 404 erst einmal imple-mentiert ist und der Kapitalmarkt sich an die neuen Berichterstattungsvorschriften ge-wöhnt hat.

Ein Blick auf die Beurteilung seitens der Kapitalmarktvertreter offenbart, dass Section 404 nur ein geringer Einfluss auf die verschiedenen Parameter zugetraut wird; einzige Ausnahme ist die „Wirksamkeit“, der man einen mittelstarken Effekt zuspricht. Insbe-sondere ist zu sehen, dass sich die Gruppe „Kapitalmarkt“ von einer höheren ICoFR-Wirksamkeit keinen sonderlich starken Effekt auf die Parameter „Zuverlässigkeit“ und „Prüfqualität“ verspricht. In der Annahme eines indirekten (von der Literatur bestätig-ten632) Wirkungszusammenhangs unterscheiden sich die Kapitalmarktvertreter von den

Thematik von Internal Control auseinandergesetzt hat und der gleich nach Erscheinen der SEC-Vorschriften als Anbieter von Umsetzungsmethoden auftrat. Überdies äusserten sich die verschiedenen Prüfgesellschaften frühzeitig über die vielfältigen „Früchte“, mit denen Unternehmen bei Erfüllung der Bestimmungen von Section 404 rechnen dürften. Vgl. z.B. PWC (2004), S. 1, und Deloitte et al. (2004 b), S. 2.

630 Den Unternehmen dürfte daran gelegen sein, dass sich die hohen Investitionen, die sie in die Umsetzung von Section 404 tätigen, lohnen – sei es intern in Form verbesserter ICoFR oder zuverlässigerer Rech-nungslegung oder extern in Form einer gesteigerten Reputation. Auch die Prüffirmen dürften ein Interesse daran haben, dass den von den Unternehmen zu erbringenden Aufwendungen ein adäquater Ertrag gege-nübersteht, da sie es sind, denen ein beträchtlicher Anteil dieser Investitionen in Form von höheren Prüf-gebühren zufliesst.

631 Siehe für eine Zusammenfassung die Abschnitte 4.2.1.3 und 4.2.2.3. 632 Siehe Abschnitt 2.3.3.1.4.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

204

beiden anderen Gruppen. Ihre Angaben entsprechen – so gut sich das überhaupt für den „Kapitalmarkt“ sagen lässt – den in den Interviews dargelegten Ansichten.

Abb. 9: Ausmass der vermuteten positiven Auswirkungen von Section 404

Fasst man nun die Angaben von Prüfern und Unternehmen zusammen und vergleicht sie mit denjenigen, welche vom „Kapitalmarkt“ gemacht wurden, erkennt man zweier-lei: erstens, dass sämtliche Parameter von den Kapitalmarktvertretern deutlich tiefer eingestuft werden als von den Unternehmensvertretern bzw. Prüfern – am grössten sind dabei die Differenzen in bezug auf die Zuverlässigkeit der Abschlüsse und die Qualität der Abschlussprüfung; zweitens, dass insofern eine Erwartungslücke besteht, als dass Prüfer und Unternehmen sich stärkere (positive) Reaktionen vom Kapital-markt versprechen, als dieser zu zeigen beabsichtigt. Der Grund für die verhaltene Re-aktion dürfte vor allem in der bereits erwähnten Auffassung liegen, dass eine Verbes-serung von ICoFR nicht wesentlich zu einer Verbesserung der Rechnungslegungsqua-lität bzw. der Abschlussprüfungsqualität beitragen kann.

4.2.6.2 In bezug auf das Kosten-Nutzen-Verhältnis Das vermutete langfristige Kosten-Nutzen-Verhältnis wird in Abb. 10 dargestellt. In ihm spiegeln sich die in Abb. 9 zum Ausdruck gekommenen Erwartungen der Ge-sprächspersonen bezüglich der positiven Auswirkungen von Section 404. Auch in die-sem Punkt waren Prüfgesellschaft und Unternehmen einer Meinung, nämlich dass die mit Section 404 verbundenen Kosten und der von ihr ausgehende Nutzen langfristig

1

2

3

4

5

Wirksa

mkeit

Zuve

rläss

igkeit

Prüfq

ualitä

t

Vertra

uen

Reputa

tion

Unternehmen

Prüfer

Kapitalmarkt

4. Kapitel: Auswirkungen von Section 404 in der Praxis

205

ausgeglichen sind.633 Ganz anders sahen dies die befragten Vertreter des Kapital-markts, denen zufolge die Kosten den zu erwartenden Nutzen bei weitem übersteigen. Einer der befragten Analysten bemerkte hierzu:

„Vom Zählen wird man nicht reich – Unternehmen müssen sich überlegen, ob sie nicht lieber mit eingeschränkten Testaten leben wollen und besser Geld sparen.“

Abb. 10: Vermutetes langfristiges Kosten-Nutzen-Verhältnis von Section 404

4.3 Übertragbarkeit der Ergebnisse Die empirische Studie beschränkte sich auf Schweizer Vertreter der drei Interessen-gruppen. Zu klären ist, inwieweit die hieraus erhaltenen Ergebnisse verallgemeinert werden können.

Gemein ist Analysten, dass sie zur Unternehmensbewertung sowohl relevante als auch zuverlässige Informationen benötigen – je mehr von beidem, desto besser. Auf Basis dieser Informationen werden Investitionsentscheide getroffen. Die befragten Analysten sind auf einem internationalen Markt tätig und folglich internationalem Wettbewerb ausgesetzt. Es spricht nichts dafür, dass sie freiwillig auf öffentlich zugängliche In-formationen verzichten würden, wenn sich hieraus Vorteile für die Unternehmensana-lyse ergeben könnten. Deswegen kann davon ausgegangen werden, dass die Antworten

633 Tatsächlich entspricht der Median beider Gruppen exakt Null; nur aus Gründen der Darstellung weist die

Abbildung einen leicht positiven Wert auf. In bezug auf die eigene, gegenwärtige Situation hatten die meisten Unternehmensvertreter noch geant-

wortet, dass das Kosten-Nutzen-Verhältnis eher negativ sei. Vgl. Abschnitt 4.2.1.2.4.

-4

-3

-2

-1

0

1

2

3

4

Unternehmen

Prüfer

Kapitalmarkt

4. Kapitel: Auswirkungen von Section 404 in der Praxis

206

der im Rahmen dieser Studie Befragten in ähnlicher Form auch von anderen Analysten gegeben worden wären.634

Für die befragten Prüfer lässt sich ebenfalls sagen, dass ihre Antworten repräsentativ sind: „Big Four“-Prüffirmen angehörend orientieren sie sich bei der Umsetzung der Vorschriften zu Section 404 an den entsprechenden Empfehlungen und Richtlinien, die ihre jeweilige Prüfgesellschaft hierzu erlassen hat.635 Weil die „Big Four“-Prüffirmen eine erhebliche Mehrheit der bei der SEC registrierten Unternehmen zu ihren Mandanten zählen636, dürften die von den befragten Prüfer zur ICoFR-Prüfung gemachten Aussagen von einer Vielzahl anderer (betroffener) Prüfer geteilt werden. Zudem baut der in der Schweiz geltende, die Beurteilung von ICoFR im Rahmen der Abschlussprüfung regelnde Prüfstandard auf dem Regelwerk des IAASB auf637 und entspricht also internationalen Normen. Deswegen können auch die von den Befragten zur Abschlussprüfung gemachten Aussagen als verallgemeinerbar betrachtet werden.

Bei der Unternehmensauswahl wurde darauf geachtet, eine für die Gesamtpopulation der in der Schweiz ansässigen „SEC registrants“ möglichst repräsentative Stichprobe zu identifizieren.638 Erschwert wurde dies durch gewisse (externe) Umstände.639 Be-kräftigt werden dürfte die Repräsentativität jedoch durch die Homogenität der bei den fünf befragten Unternehmen gewonnenen Erkenntnisse. Diese lässt darauf schliessen, dass in bezug auf die hier interessierenden Aspekte Schweizer Unternehmen nahezu gleiche Erfahrungen mit der Umsetzung der Detailregeln zu Section 404 machen. – Es stellt sich die Frage, ob die Antworten der Unternehmen auch über die Schweiz hinaus

634 Indirekt gestützt wurde das in den Gesprächen zum Vorschein gekommene Desinteresse an der Berichter-

stattung gemäss Section 404 auch dadurch, dass mehrere Finanzanalysten die Gesprächsanfragen mit der Begründung ablehnten, dass man sich mit den ICoFR-Berichten mangels Relevanz nicht beschäftige. Sie-he Abschnitt 4.1.4.1.

635 Zu denken ist insbesondere an die Methodologien zur Umsetzung SEC-Detailregeln durch Unternehmen. Diesbezüglich spielt der „coverage-based approach“ eine wichtige Rolle, auf dessen Anwendung sich die „Big Four“-Prüfgesellschaften ja gemeinsam verständigt haben; siehe Abschnitt 4.2.3.2.4.1.

636 Gemäss GAO (2003) werden 78% der US-amerikanischen Unternehmen von „Big Four“-Prüffirmen geprüft.

637 Vgl. Treuhand-Kammer (2004), PS 400, und IAASB (2004), ISA 400. Dieser Standard entspricht dem risikoorientierten Prüfansatz; siehe Abschnitt 2.3.4.1.

638 Hierbei berücksichtigt wurde neben der Branche auch der Abschlussprüfer. Sämtliche der Emittenten können als Grossunternehmen bezeichnet werden, sodass das Kriterium der Unternehmensgrösse ausser acht gelassen werden konnte. Dass die Unternehmensgrösse von Relevanz sein kann, zeigt etwa die Stu-die von Ge/McVay (2005); siehe Abschnitt 4.1.3.4.

639 Siehe Abschnitt 4.1.4.1.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

207

eine Indikatorfunktion besitzen – konkret: ob sich die ermittelten Befunde auch auf Nicht-Schweizer „20-F filers“640 übertragen lassen.

„Foreign private issuers“ haben die folgenden Gemeinsamkeiten: Zunächst steht es ihnen offen, entweder ihren Abschluss nach den jeweiligen landesrechtlichen Bilanzie-rungsgrundsätzen zu veröffentlichen und eine Überleitungsrechnung auf US-GAAP vorzunehmen641 oder aber gleich nach US-GAAP zu publizieren. Diejenigen Unter-nehmen, die sich für die erstgenannte Variante entscheiden, wenden typischerweise IFRS an.642 Identisch sind auch die Anforderungen an die (unabhängige) Prüfung ihrer Rechnungslegung.643 Somit dürfte die Praxis der Rechnungslegung unter den „foreign private issuers“ vergleichbar sein. Sodann gelten für sie die gleichen Vorschriften in bezug auf die Umsetzung der Detailregeln zu Section 404. Dies sind die Ausführungs-regelungen der SEC und (nämlich aufgrund seiner indirekten Wirkung) der Prüfstan-dard des PCAOB. Deswegen und weil anzunehmen ist, dass die jeweiligen (zumeist „Big Four“-) Prüfgesellschaften ähnlichen Einfluss auf konzeptionelle Fragen der Imp-lementierung nehmen, kann davon ausgegangen werden, dass das Ergebnis der Umset-zung für die ausländischen Emittenten weitgehend gleich ist.

Unterschiede können durch nationale Gesetze oder Kotierungsvorschriften hervorge-rufen werden, die vor dem Inkrafttreten von Section 404 bzw. deren Ausführungsre-geln Gültigkeit hatten und die Ausgangslage, von welcher die Umsetzungsarbeiten ihren Anfang nahmen, beeinflussten. Wären andernorts also erhebliche Differenzen zu den in der Schweiz relevanten Vorschriften festzustellen, liessen sich die in der empi-rischen Studie gewonnenen Erkenntnisse nur bedingt auf andere Rechtsräume übertra-gen. Im folgenden soll ein beispielhafter Vergleich zwischen den normativen Rah-

640 Auf einen Vergleich mit US-amerikanischen Emittenten soll verzichtet werden. Dies, weil jene infolge

der kürzeren Erfüllungsfrist unter einem grösseren Zeitdruck bei der Implementierung standen (siehe Ab-schnitt 3.1.4.), weil sie ungleich strengeren Rechnungslegungsvorschriften als die „foreign private is-suers“ unterliegen (zu denken ist etwa an die Erleichterungen, die „foreign private issuers“ bei der Zwi-schenberichterstattung zugestanden werden) sowie weil sie in ihrer Gesamtheit weniger homogen sind als die Schweizer Emittenten (als „accelerated filers“ gelten bereits Unternehmen mit einer Marktkapitalisie-rung von über 75 Mio. USD – dies trifft für ca. 70% aller US-amerikanischen Emittenten zu; vgl. SEC (2003 c), Tab. 1).

641 Vgl. US CFR, Title 17, Section 210.4-01(a)(2). 642 Für Geschäftsjahre, die am oder nach dem 1. Januar 2005 beginnen, müssen Unternehmen, die dem Recht

eines Mitgliedstaates der Europäischen Union unterliegen, ihre konsolidierten Abschlüsse nach IFRS auf-stellen; vgl. Europäische Union (2002).

643 Vgl. US CFR, Title 17, Section 210.3-01.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

208

menbedingungen, wie sie in der Schweiz bzw. in Deutschland gegeben waren bzw. sind, gezogen werden.

Bestimmungen ähnlichen Inhalts wie Section 404 sahen sich die befragten „SEC re-gistrants“ zuvor nicht ausgesetzt. Gemäss Art. 716 Abs. 1 Ziff. 3 OR zählt zwar „die Ausgestaltung des Rechnungswesens, der Finanzkontrolle sowie der Finanzplanung“ zu den unübertragbaren Aufgaben des Verwaltungsrats. Eine Bestimmung, dass der Verwaltungsrat öffentlich Rechenschaft über die Wirksamkeit der Finanzkontrolle ab-legen müsste, gibt es jedoch nicht. Mit dem „Swiss Code of Best Practice“ existieren seit 2002 eindeutige Empfehlungen zu den Aufgaben des Verwaltungsrats in bezug auf Einrichtung und Sicherstellung der Funktionsfähigkeit eines „internen Kontrollsys-tems“644. Sie werden durch die (rechtlich bindenden) Offenlegungsvorschriften der Corporate Governance-Richtlinie der SWX aufgegriffen. Gemäss diesen haben die Emittenten darzustellen, wie die „Informations- und Kontrollinstrumente“ beschaffen sind, die der Verwaltungsrat zwecks Überprüfung der durch ihn an die Geschäftslei-tung übertragenen Kompetenzen einsetzt.645

Die Situation in Deutschland646 nimmt sich demgegenüber nicht sonderlich verschie-den aus: Das 1998 in Kraft gesetzte Gesetz zur Kontrolle und Transparenz im Unter-nehmensbereich (KonTraG) enthält die Anforderung an die Vorstände deutscher Akti-engesellschaften, für ein „angemessenes Risikomanagement“ und eine „angemessene interne Revision“ zu sorgen.647 Insbesondere sei „ein Überwachungssystem einzurich-ten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“.648 Zu denen zählen „Unrichtigkeiten in der Rechnungslegung und Verstösse gegen gesetzliche Vorschriften, die sich auf die Vermögens-, Finanz- und Ertragslage […] wesentlich auswirken“.649 Auf diese Vorschrift bezieht sich auch der Deutsche

644 Vgl. Economiesuisse (2002), Ziff. 19 und 24. Siehe zur Umsetzung des „Swiss Code of Best Practice“

Economiesuisse (2004). 645 Vgl. RLCG, Ziff. 3.7. 646 Insgesamt 16 deutsche Emittenten sind an der NYSE notiert sind; vgl. http://www.nyse.com/about/

listed/6.html?country=Germany&ListedComp=All, 28. November 2005. Mit Ausnahme eines einzigen Unternehmens weisen alle Umsätze von über 1 Mrd. USD aus. Wie bei den Schweizer „SEC registrants“ kann also auch hier von einer (gewissen) Homogenität ausgegangen werden. Neben denjenigen Branchen, denen sich die Schweizer Emittenten zuordnen lassen, sind noch einige zusätzliche Branchen durch die deutschen „SEC registrants“ vertreten. 14 der 16 deutschen „SEC registrants“ beziehen ihre Prüfdienst-leistungen von jenen drei Prüfgesellschaften, welche die „Schweizer private issuers“ prüfen.

647 Vgl. Bundesministerium der Justiz (1997), S. 36. 648 Art. 91 Abs. 2 AktG. 649 Bundesministerium der Justiz (1997), S. 36.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

209

Corporate Governance Kodex.650 In Entsprechenserklärungen müssen die Vorstände und Aufsichtsräte von börsennotierten Gesellschaften öffentlich darlegen, welche Empfehlungen des Kodex angewendet werden und welche nicht.651

Dem Vergleich ist zu entnehmen, dass weder hier noch dort ähnlich detaillierte Rege-lungen zu einer Berichterstattung über ICoFR bestanden, wie sie die SEC und das PCAOB verabschiedet haben. Stattdessen existieren zentrale Grundsätze, deren Ein-haltung (börsenkotierte) Unternehmen öffentlich kundzutun haben. Es kann somit ge-sagt werden, dass die Ausgangssituation der Schweizer „SEC registrants“ derjenigen der deutschen ähnelt. Deswegen und angesichts der übrigen festgestellten Parallelen scheint – ohne dass dies näher untersucht worden wäre – eine gewisse Übertragbarkeit der in der hiesigen Studie gewonnen Ergebnisse auf deutsche „SEC registrants“ wahr-scheinlich.

4.4 Zusammenfassung Ziel der empirischen Studie war zu ermitteln, ob und, falls ja, inwieweit Section 404 in der Praxis dazu beiträgt, die Zuverlässigkeit der Finanzberichterstattung zu verbessern und das Vertrauen der Anleger in die Rechnungslegung von Unternehmen zu erhöhen. Zu diesem Zweck wurden fünf Fragen652 formuliert, die in den Abschnitten 4.2.1–4.2.5 behandelt wurden:

Zum Einfluss der Implementierungsarbeit653 wurde zunächst festgestellt, dass die Auswirkungen von Section 404(a) auf die Wirksamkeit von ICoFR gering sind: Die mit grossem Aufwand und hohen Kosten verbundenen Umsetzungsarbeiten schlagen sich nur in einem schwachen Anstieg der Wirksamkeit von ICoFR nieder. Begründen lässt sich das mit der Natur der Arbeiten, die zum Grossteil im Formalisieren und Doku-mentieren (vormals informeller) Kontrollen bestehen sowie im Nachweisen der Funk-tionstüchtigkeit (bereits existierender) Kontrollen. Die nicht unproblematischen Eigen-schaften der (mitunter abstrakten) „company-level controls“ haben die meisten Unter-nehmen dazu bewegt, von einer eingehenden Beschäftigung mit denselben Abstand zu nehmen. Das Augenmerk gilt beinahe ausschliesslich Transaktionskontrollen, deren

650 Vgl. Deutscher Corporate Governance Kodex (2005), para. 4.1.4. 651 Vgl. Art. 161 AktG. 652 Siehe Abschnitt 4.1.2. 653 Siehe Abschnitt 4.2.1.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

210

Bewertung mit ungleich weniger Schwierigkeiten verbunden ist. Hieran zeigt sich, dass es bei der Implementierungsarbeit nicht unbedingt darum geht, bestehende ICoFR kritisch zu hinterfragen und gezielt zu verbessern, sondern vielmehr darum, die Erfül-lung der Vorschriften beweisen zu können. Massgebend dabei sind die Vorgaben des Abschlussprüfers, der schliesslich über die Güte des Beweises zu urteilen hat: Diese äussern sich in der Gestaltung der generischen Kontrollmatrizen, der Bestimmung der Dokumentationsstandards, der Auswahl der relevanten Unternehmenseinheiten, der Definition der Stichprobengrössen etc. Überraschen darf dieses Vorgehen nicht, sind doch die Unternehmen zur Umsetzung der Detailregeln gezwungen. Dem Abschluss-prüfer selbst ist ebenfalls daran gelegen, die korrekte Befolgung der Vorschriften be-weisen zu können, sieht er sich doch bei (wie auch immer definierter) Schlechterfül-lung handfesten Sanktionen durch das PCAOB ausgesetzt.

Auch auf die Frage, inwiefern aus der Implementierung der Bestimmungen zu Section 404(a) eine erhöhte Zuverlässigkeit der Rechnungslegung resultiert,654 gab die Studie eine ernüchternde Antwort: Section 404 beeinflusst die Rechnungslegung nur unwe-sentlich. Die Gründe hierfür sind zunächst im vorigen Abschnitt zu suchen. Solange sich die Verbesserungen in ICoFR mehrheitlich auf eine bessere Dokumentierung be-schränken, darf nicht mit substantiellen Verbesserungen in der Zuverlässigkeit der Rechnungslegung gerechnet werden. Die aus Sicht der Unternehmen gewichtigsten Fehlerquellen – nämlich: falsche Auswahl bzw. Anwendung von US-GAAP – entzie-hen sich zudem dem Zugriff von ICoFR. Und den Versuch, die Bestimmungen von Section 404(a) für die Verhinderung deliktischer Rechnungslegung nutzbar zu ma-chen, unternahmen die meisten offenbar erst gar nicht – hierfür wurden andere Be-stimmungen des SOA als tauglicher erachtet. Schliesslich ist darauf hinzuweisen, dass die Unternehmen eigenen Angaben zufolge bereits über eine hohe Rechnungslegungs-qualität verfügten (der Vertreter der Aufsichtsbehörde und die Prüfer bestätigten dies allgemein für die Schweizerischen „SEC registrants“) und dass folglich das Verbesse-rungspotential von vornherein beschränkt war.

Nicht viel anders erging es bei der Frage, inwieweit die Prüfhandlungen gemäss Secti-on 404(b) zu einer Verbesserung der Wirksamkeit von ICoFR beitragen655. Diesbezüg-lich war zu schliessen, dass eine ICoFR-Prüfung nur bedingt zuverlässige Aussagen

654 Siehe Abschnitt 4.2.2. 655 Siehe Abschnitt 4.2.3.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

211

über die Wirksamkeit von ICoFR ermöglicht und dass der Einfluss der Prüfhandlun-gen auf die Wirksamkeit von ICoFR also begrenzt ist. Ursächlich hierfür sind mehrere Faktoren – beispielhaft zu nennen sind die hohen Mengen von zu testenden Kontrol-len, die Abhängigkeit von Dokumentationen, die Verwendung von Testplänen des Un-ternehmens, die Subjektivität bei der Bewertung festgestellter Kontrollschwächen. Die Vernachlässigung sogenannter „company-level controls“ schliesslich führt zu einer inkompletten Beurteilung von ICoFR.

Hinsichtlich der Frage, inwieweit die ICoFR-Prüfung zu einer Verbesserung der Ab-schlussprüfung führt,656 wurde ein sehr schwacher Effekt festgestellt: Die Tatsache, dass der Abschlussprüfer neuerdings über ein gründlicheres Prozess- und Kontrollver-ständnis verfügt, kann sich positiv auf die Effektivität der Abschlussprüfung auswir-ken. Mit konkreten Änderungen in der Durchführung der Abschlussprüfung ist allein dann zu rechnen, wenn die „tests of control“ positiv ausfallen und es sich bei dem Prüfobjekt um Routinetransaktionen handelt, die weitgehend ermessensfrei abgewi-ckelt werden. Grundsätzlich keine Änderungen dürfen erwartet werden, wenn die „tests of control“ negative Ergebnisse hervorbringen. Angesichts dessen ist anzuneh-men, dass die Effektivität der integrierten Prüfung nicht höher als diejenigen der allei-nigen Abschlussprüfung sein wird.

Gänzlich verneint werden kann die Frage, ob die ICoFR-Berichte des Managements bzw. des Prüfers zu einer Steigerung des Anlegervertrauens beitragen657: Die Gründe hierfür liegen zunächst in der Tatsache, dass die Finanzanalysten allgemein nur einen begrenzten Bedarf nach zusätzlicher Sicherheit über die Rechnungslegung verspüren. Dies wiederum erklärt sich damit, dass die von ihnen angewendeten Analysetechniken sie bereits mit hinreichend guten Informationen über die Zuverlässigkeit der Rech-nungslegung versorgen. Insbesondere auch erhalten sie über informelle Wege Zugang zu wichtigen Informationen, etwa über konkrete Unstimmigkeiten in der Rechnungs-legung. Dass sodann der Informationsgehalt der ICoFR-Berichte als sehr niedrig beur-teilt wurde, hängt auch damit zusammen, dass wirksame ICoFR als Selbstverständ-lichkeit vorausgesetzt wird und dass generelle Bedenken gegen die Berichtspersonen, Geschäftsleitung und Abschlussprüfer, bestehen. Uneingeschränkte ICoFR-Berichte werden folglich als irrelevant eingestuft, das Wissen um ein eingeschränktes Testat gilt

656 Siehe Abschnitt 4.2.4. 657 Siehe Abschnitt 4.2.5.

4. Kapitel: Auswirkungen von Section 404 in der Praxis

212

bestenfalls als „nice to have“. Nicht auszuschliessen jedoch ist, dass – zwecks Selbst-schutz – Unternehmen mit eingeschränkten ICoFR-Berichten vorsichtiger behandelt oder gar gemieden werden. Erwähnenswert ist, dass andere Bestimmungen des SOA besser geeignet wären, das Vertrauen in die Rechnungslegung zu erhöhen.

Den Ergebnissen der Studie nach stellen sich die vom Gesetzgeber bei der Formulie-rung von Section 404 erhofften Auswirkungen auf Rechnungslegung, Abschlussprü-fung und den Kapitalmarkt nicht bzw. nur in geringem Ausmass ein.

In Abschnitt 4.2.6 verglichen wurden die langfristigen Erwartungen, wie sie von Un-ternehmen bzw. Prüfern und den Kapitalmarktvertretern bezüglich der Auswirkungen von Section 404 zum Ausdruck gebracht wurden. Während die Kapitalmarktvertreter mit äusserst geringen Effekten rechneten, gaben sich die Unternehmen und Prüffirmen wesentlich optimistischer.

In Abschnitt 4.3 schliesslich wurden Überlegungen zur (internationalen) Übertragbar-keit der durch die empirische Studie gewonnenen Ergebnisse angestellt. Während den von Finanzanalysten und Prüfern gemachten Aussagen eine gute Repräsentativität un-terstellt werden kann, ist dies bei den Unternehmen nicht ohne weiteres möglich. Ein Vergleich mit der Situation in Deutschland allerdings legt nahe, dass die hiesigen Er-fahrungen so oder ähnlich auch von deutschen „SEC registrants“ gemacht werden.

5. Kapitel: Ergebnisse und Ausblick

213

5 Ergebnisse und Ausblick Ziel dieser Arbeit war, ausgehend von der Zielsetzung des Gesetzgebers die Auswir-kungen von Section 404 auf Rechnungslegung, Abschlussprüfung und den Kapital-markt zu bestimmen.

Wie gezeigt wurde, beabsichtigte der Gesetzgeber, dessen Handeln von hohem Zeit-druck und politischen Motivationen geprägt war, mit Section 404 zweierlei: erstens, eine erhöhte Zuverlässigkeit der Rechnungslegung, die über wirksamere ICoFR und eine gründlichere Abschlussprüfung zu erreichen sei; zweitens, die Rückgewinnung des infolge von Bilanzskandalen verlorengegangenen Anlegervertrauens.

Diese Zielsetzung vor Augen wurde eine dreigliedrige Vorgehensweise verfolgt, die der Überlegung entsprang, dass die in der Praxis feststellbaren Auswirkungen von drei Faktoren abhängen: der grundsätzlichen Eignung der in Section 404 vorgesehenen ICoFR-Berichterstattung bzw. -Prüfung in bezug auf die Ziele; dem Ausmass, in dem die Detailregelungen die (grundsätzlich mögliche) Zielerreichung unterstützen; der Umsetzung durch Unternehmen und Prüfgesellschaften in der Praxis. So wurde zu-nächst eine allgemeine Beurteilung der Berichts- bzw. Prüferfordernisse, wie sie Sec-tion 404 impliziert, vorgenommen. Um zu verstehen, inwiefern die Detailregelungen zur Zielerreichung beitragen können, wurden in einem nächsten Schritt die Bestim-mungen der SEC und des PCAOB untersucht. Um die Auswirkungen von Section 404 in der Praxis zu ermitteln, wurde dann eine empirische Studie durchgeführt. Diese war auf die Schweiz beschränkt und bezog Unternehmen, Prüfer sowie Vertreter des Kapi-talmarkts ein. Die darin gewonnenen Erkenntnisse lassen sich wie folgt zusammenfas-sen:

• Die Auswirkungen der Section 404(a) auf die Wirksamkeit von ICoFR sind ge-ring.

• Die Zuverlässigkeit der Rechnungslegung wird nur unwesentlich gesteigert.

• Der Einfluss der ICoFR-Prüfung auf die Wirksamkeit von ICoFR ist begrenzt.

• Die ICoFR-Prüfung trägt kaum zu einer Verbesserung der eigentlichen Ab-schlussprüfung bei.

5. Kapitel: Ergebnisse und Ausblick

214

• Die ICoFR-Berichte des Managements und des Prüfers tragen nicht zu einer Steigerung des Anlegervertrauens bei.

Diesen Ergebnissen zufolge stellen sich die vom Gesetzgeber bei der Formulierung von Section 404 erhofften Auswirkungen auf Rechnungslegung, Abschlussprüfung und den Kapitalmarkt also gar nicht bzw. nur in geringem Ausmass ein. Fraglich ist, wie dies – unter Berücksichtigung der in den beiden vorigen Schritten gewonnenen Erkenntnisse – erklärt werden kann:

Die nahezu ausbleibende Wirkung auf die Zuverlässigkeit der Rechnungslegung ist einerseits damit zu erklären, dass die Wirksamkeit von ICoFR infolge der Implemen-tierungsarbeiten nur geringfügig verbessert wurde, anderseits mit der Tatsache, dass gewisse Bereiche der Rechnungslegung sich definitionsgemäss einem Zugriff von I-CoFR entziehen. Dass die Effektivität von ICoFR nicht sonderlich erhöht wurde, ist zum einen darauf zurückzuführen, dass diese schon vor der Implementierung generell recht hoch war, dass also das Verbesserungspotential von vornherein eingeschränkt war. Zum anderen dürften Inhalt und Auslegung der Detailregelungen dazu beigetra-gen haben, dass in den Unternehmen gewisse (komplexe und umständlich bearbeitba-re) Kontrollkategorien zugunsten anderer (weniger komplexer und einfach zu bewer-tender) vernachlässigt wurden sowie dass Formalitäten und Dokumentationen eine ungebührend hohe Bedeutung zukam. Letzteres könnte als Indiz dafür verstanden werden, dass es Unternehmen und Prüfgesellschaften vorrangig darum geht, die Erfül-lung der Vorschriften zu beweisen. Dabei dürfte der Drang hiernach wesentlich von der Furcht der Prüfgesellschaften vor dem PCAOB getrieben sein. Die Unternehmen ihrerseits sahen sich infolge überzogener Einschätzungen der Kapitalmarktreaktionen anfänglich unter Druck gesetzt. Während also die unwesentliche Verbesserung von ICoFR zum Teil mit Blick auf die Detailregeln und deren Umsetzung in die Praxis erklärt werden kann, wurde der an zweiter Stelle genannte Grund, „Immunität“ gewis-ser Problembereiche in der Rechnungslegung, bereits bei der Literaturdurchsicht her-vorgehoben: Eben weil wirksame ICoFR weder notwendige noch hinreichende Vor-aussetzung für eine ordnungsgemässe Rechnungslegung sind, besteht kein eindeutiger Zusammenhang zwischen der Wirksamkeit von ICoFR und der Zuverlässigkeit der Rechnungslegung. Insbesondere wurde festgestellt, dass wegen der inhärenten Schwä-chen von ICoFR weder deliktische Rechnungslegung noch menschliche Fehler mittels ICoFR verhindert werden können. Die empirischen Beobachtungen bestätigen ein-drücklich diese Grenzen.

5. Kapitel: Ergebnisse und Ausblick

215

Dass die ICoFR-Prüfung nur begrenzten Einfluss auf die Effektivität der Abschluss-prüfung nehmen würde, war bereits bei der Durchsicht der entsprechenden Literatur absehbar. Dort wurde deutlich, dass die Ergebnisse verfahrensorientierter Prüfhand-lungen prinzipiell mit Vorbehalt zu betrachten sind und folglich nur von geringem Nutzen für die Abschlussprüfung sein können. Ursächlich hierfür sind diverse Schwie-rigkeiten, die unweigerlich mit der Durchführung von „tests of controls“ zusammen-hängen – zu denken ist etwa an die schwierige Interpretierbarkeit der Ergebnisse oder an die nicht immer problemlose Beurteilung der Funktionstüchtigkeit von Kontrollen. Hierzu passten die Ergebnisse diverser Studien, denen zufolge sich die Wirksamkeit von ICoFR bestenfalls in der Effizienz, kaum je aber in der Effektivität der Abschluss-prüfung niederschlägt. Angesichts dessen verwunderte es auch nicht, dass der PCAOB-Standard trotz seines Titels – „An Audit of Internal Control over Financial Reporting Performed in Conjunction with An Audit of Financial Statements“ – sich kaum zu ebendieser „conjunction“ äussert. So kam es nicht unerwartet, dass die be-fragten Prüfer keine bzw. nur vage Auswirkungen auf die Qualität der Abschlussprü-fung festmachen konnten. Die Tatsache, dass die Prüfer zum Zeitpunkt der Befragung noch über wenig Erfahrung im Umgang mit der integrierten Prüfung verfügten, dürfte nichts daran ändern, dass auch in Zukunft derlei Effekte ausbleiben werden.

Dass der erwünschte Effekt auf das Anlegervertrauen gänzlich ausbleiben würde, war nach Durchsicht verschiedener Studien nicht notwendigerweise zu erwarten gewesen: Vereinzelt hatte man sich schliesslich für eine gründliche Bewertung von ICoFR durch den Prüfer ausgesprochen und einem ICoFR-Managementbericht eine gewisse Rele-vanz bei Entscheidungsfindungen zugemessen. Die bei der Erörterung der Detailrege-lungen gemachte Feststellung, dass die diversen Berichtsszenarien für Verwirrung sor-gen könnten, erwies sich als zutreffend: Tatsächlich stuften die Befragten das Berichts-format als kompliziert ein. Für das von ihnen bekundete Desinteresse jedoch dürfte die Form der Berichterstattung am wenigsten verantwortlich sein. Vielmehr scheint es, als seien sich die Kapitalmarktvertreter der inhärenten Schwächen einer noch so gut kon-zipierten ICoFR sehr genau bewusst und wüssten daher die begrenzte Aussagekraft entsprechender Berichte richtig einzuordnen. Hinzukommt, dass die Nachfrage nach zusätzlicher Versicherung über die Zuverlässigkeit der Rechnungslegung ohnehin schwach ausgeprägt ist. Die Ankündigung, dass die Betrachtung von ICoFR-Berichten in Zukunft durchaus fester Bestandteil im Analyseprozess sein könnte, kann hierüber nicht hinweghelfen, würde es sich dabei doch lediglich um Massnahmen zum Selbst-schutz handeln.

5. Kapitel: Ergebnisse und Ausblick

216

Es stellt sich die Frage, welche Implikationen die Erkenntnis, dass Section 404 die ihr zugedachten Funktionen nicht erfüllen kann, für die mancherorts erwogenen Pläne hat, Regelungen über ICoFR einzuführen – seien sie auf die Berichterstattung von Unter-nehmen bezogen oder auf die Abschlussprüfung:

Unter der Voraussetzung, dass individuelle Investoren die Nützlichkeit der ICoFR-Berichte ähnlich gering einschätzen wie die hier befragten professionellen Investoren (dies wäre empirisch zu testen), kann auf eine externe Berichterstattung durch Mana-gement und Prüfer verzichtet werden. Wenngleich dies nur am Rande der vorliegenden Arbeit betrachtet wurde, deutete sich doch an, dass andere Möglichkeiten existieren, die einigermassen verlässlich zu einer Steigerung des Anlegervertrauens in die Rech-nungslegung beitragen könnten. In diesem Zusammenhang zu nennen sind etwa die Offenlegung aller wesentlichen Ausserbilanzgeschäfte oder die Beglaubigungen der Abschlüsse durch die Geschäftsleitung. Die Befolgung derlei Vorschriften ist zudem ungleich kostengünstiger. Empirisch zu untersuchen wäre, wie der Kapitalmarkt den Nutzen dieser (und anderer) Bestimmungen, die in der Debatte über die Folgen des SOA – auch aufgrund der Sonderstellung von Section 404 – in den Hintergrund gera-ten sind, wahrnimmt.

Weil die intensivere Beschäftigung des Prüfers mit ICoFR nicht zu einer effektiveren Abschlussprüfung führt, bräuchte es keine Regeln, die diesen zu einer umfänglichen ICoFR-Prüfung verpflichten. Sollte sich überdies herausstellen, dass individuelle In-vestoren kein Interesse an einer Berichterstattung über ICoFR haben, bedürfte es gar keiner Involvierung des Abschlussprüfers, die über die gegenwärtig erforderliche Be-urteilung von ICoFR innerhalb der Abschlussprüfung hinausginge. Bekunden die indi-viduellen Investoren jedoch hinlängliches Interesse an einer ICoFR-Berichterstattung, böte sich folgender Kompromiss an: Ohne sogleich eine regelrechte ICoFR-Prüfung vornehmen zu müssen, überprüft der Abschlussprüfer den (unverändert) von der Ge-schäftsleitung zu erstellenden ICoFR-Bericht auf Stimmigkeit und berichtet hierüber der Öffentlichkeit. Aus dem Verzicht auf die direkte Prüfung von ICoFR würden sich keine schwerwiegenden Einbussen hinsichtlich der Urteilssicherheit ergeben.

Will man Unternehmen zur Verbesserung von ICoFR bzw. zu einer zuverlässigeren Rechnungslegung bewegen, erweisen sich Section 404 und ihre Detailregeln vorder-hand als wenig effektiv und zudem höchst ineffizient. Dabei zu bedenken sind die strengen strafrechtlichen Sanktionen, die Prüfer und Unternehmen zu einer rigiden Auslegung der Regeln bzw. zu einer dem eigentlichen Zweck wenig dienlichen Vor-

5. Kapitel: Ergebnisse und Ausblick

217

gehensweise veranlassen. Eine Reduktion dieser Negativanreize dürfte zu einer effi-zienteren, möglicherweise auch effektiveren Umsetzung führen. Der Effektivität för-derlich zu sein scheint v.a. das Belassen von Freiräumen bei der Umsetzung bzw. der Verzicht auf allzu detaillierte Vorschriften. Dies zeigt das Beispiel von Section 302, zu der nur wenige Detailregeln existieren und die in Unternehmen pragmatisch umgesetzt wird: Ihre „Disclosure Controls and Procedures“ werden als viel unmittelbarer für die Rechnungslegung interpretiert als die „Internal Control over Financial Reporting“ der Section 404 – folglich wird ihnen eine höhere Wirkung auf die Rechnungslegung be-scheinigt. (Auch diese Beobachtung, die lediglich ein Nebenergebnis der empirischen Studie ist, gäbe Anlass zu ausgiebigen Untersuchungen der Auswirkungen von Section 302.) – Weitgehend untauglich ist Section 404 sodann für die Verhinderung delikti-scher Rechnungslegung. Diesbezüglich stehen wiederum andere, ungleich wirkungs-vollere Massnahmen zur Verfügung, bspw. die Einrichtung eines „Whistleblower“-Schutzmechanismus.

Section 404 ist ein Musterbeispiel für weitgehend ineffektive Regulierung. Wenn im-mer es darum geht, Vorschriften über ICoFR zu erlassen, gilt es dies zu bedenken.

Anhang

219

Anhang

Anhang A: Beispiel für einen Managementbericht658 Bericht der Novartis Geschäftsleitung über die Internen Kontrollen für die Finanzberichterstattung

Der Verwaltungsrat sowie die Geschäftsleitung der Novartis Gruppe sind für die Einrichtung und Aufrechterhaltung angemessener interner Kontrollen für die Finanzberichterstattung ver-antwortlich. Das interne Kontrollsystem der Novartis Gruppe wurde konzipiert, um der Ge-schäftsleitung und dem Verwaltungsrat der Gruppe angemessene Sicherheit hinsichtlich der Zuverlässigkeit der Finanzberichterstattung sowie der Erstellung und einer den tatsächlichen Verhältnissen entsprechenden Darstellung der publizierten Konzernrechnung zu gewährleisten.

Jedes interne Kontrollsystem, wie gut auch immer konzipiert, hat inhärente Grenzen. Daher können auch diejenigen Systeme, die für wirksam befunden wurden, lediglich angemessene Sicherheit hinsichtlich der Erstellung und Darstellung von Abschlüssen bieten. Des weiteren sind Projektionen der Bewertung der Wirksamkeit für künftige Perioden mit dem Risiko ver-bunden, dass Kontrollen gegebenenfalls wegen geänderter Verhältnisse unzureichend werden oder sich der Grad der Einhaltung der Richtlinien und Verfahren verschlechtert.

Die Geschäftsleitung der Novartis Gruppe bewertete die Wirksamkeit der internen Kontrollen der Gruppe für die Finanzberichterstattung per 31. Dezember 2004. Für ihre Einschätzung nutzte sie Kriterien, die im vom Committee of Sponsoring Organizations of the Treadway Commission (COSO) herausgegebenen Internal Control – Integrated Framework beschrieben sind. Gemäss ihrer Einschätzung kam die Geschäftsleitung zum Schluss, dass die Novartis Gruppe per 31. Dezember 2004 gemessen an diesen Kriterien über wirksame interne Kontrol-len für die Finanzberichterstattung verfügte.

Die Einschätzung der Wirksamkeit der internen Kontrollen für die Finanzberichterstattung per 31. Dezember 2004 durch die Geschäftsleitung wurde durch PricewaterhouseCoopers AG, Schweiz, eine unabhängige, registrierte Wirtschaftsprüfungsgesellschaft, geprüft, wie ihrem beigefügten Prüfungsbericht zu entnehmen ist.

Daniel Vasella, M.D. Raymund Breu, Ph.D. Präsident & Delegierter des Chief Financial Officer Verwaltungsrats

Basel, 19. Januar 2005

Anhang

220

Anhang B: Beispiel für einen Prüfbericht659 Bericht des Konzernprüfers zur Konzernrechnung und zu den Internen Kontrollen für die Finanzberichterstattung der Novartis Gruppe

An die Generalversammlung der Novartis AG, Basel

Als Konzernprüfer haben wir die Konzernrechnung der Novartis Gruppe für das am 31. De-zember 2004 abgeschlossene Geschäftsjahr geprüft. Des weiteren haben wir die Einschätzung der internen Kontrollen für die Finanzberichterstattung durch die Geschäftsleitung für das am 31. Dezember 2004 abgeschlossene Geschäftsjahr geprüft. Unsere Beurteilungen, basierend auf unseren Prüfungen, sind nachfolgend dargestellt.

Konzernrechnung

[…]

Interne Kontrollen für die Finanzberichterstattung

Des weiteren haben wir die Einschätzung der Geschäftsleitung geprüft, welche dem beilie-genden „Bericht der Novartis Geschäftsleitung über die internen Kontrollen für die Finanzbe-richterstattung“ auf Seite 190 zu entnehmen ist. Diese Einschätzung besagt, dass die Novartis Gruppe zum 31. Dezember 2004 basierend auf den Kriterien, die im vom Committee of Spon-soring Organizations of the Treadway Commission (COSO) herausgegebenen Internal Control – Integrated Framework beschrieben sind, über wirksame interne Kontrollen für die Finanzberichterstattung verfügte.

Der Verwaltungsrat sowie die Geschäftsleitung der Gruppe sind für die Aufrechterhaltung wirksamer interner Kontrollen für die Finanzberichterstattung verantwortlich. Die Geschäfts-leitung ist ausserdem für die Einschätzung der Wirksamkeit der internen Kontrollen für die Finanzberichterstattung verantwortlich. Unsere Aufgabe ist es, basierend auf unseren Prüfun-gen, Beurteilungen über die Einschätzung durch die Geschäftsleitung sowie über die Wirk-samkeit der internen Kontrollen für die Finanzberichterstattung der Novartis Gruppe ab-zugeben.

Unsere Prüfung der internen Kontrollen für die Finanzberichterstattung erfolgte nach den Standards des PCOAB der Vereinigten Staaten von Amerika. Nach diesen Standards ist eine Prüfung so zu planen und durchzuführen, dass mit angemessener Sicherheit erkannt werden kann, ob wirksame interne Kontrollen für die Finanzberichterstattung in allen wesentlichen

658 Vgl. Novartis Geschäftsbericht (2004), S. 190. 659 Vgl. Novartis Geschäftsbericht (2004), S. 191.

Anhang

221

Belangen bestanden. Die Prüfung der internen Kontrollen für die Finanzberichterstattung um-fasst die Bildung eines Verständnisses der internen Kontrollen für die Finanzberichterstat-tung, die Beurteilung der Einschätzung durch die Geschäftsleitung, die Prüfung und Beurtei-lung der Konzeption und der operativen Wirksamkeit der internen Kontrollen sowie die Durchführung weiterer uns je nach den Umständen erforderlich erscheinender Prüfungshand-lungen. Wir sind der Auffassung, dass unsere Prüfung eine ausreichende Grundlage für unsere Urteile bildet.

Die internen Kontrollen für die Finanzberichterstattung eines Unternehmens dienen dazu, eine angemessene Sicherheit bezüglich der Zuverlässigkeit der Finanzberichterstattung sowie des Erstellens von Abschlüssen zu externen Zwecken im Einklang mit allgemein anerkannten Bewertungs- und Bilanzierungsmethoden zu gewährleisten. Die internen Kontrollen für die Finanzberichterstattung eines Unternehmens umfassen diejenigen Richtlinien und Verfahren, die eine Buchführung sicherstellen, welche in vernünftigem Detaillierungsgrad ordnungsmäs-sig und angemessen die Transaktionen und Entscheidungen hinsichtlich von Vermögensge-genständen der Gesellschaft widerspiegelt. Ausserdem umfassen sie diejenigen Richtlinien und Verfahren, die mit angemessener Sicherheit gewährleisten, dass Transaktionen wie erfor-derlich erfasst werden, um die Erstellung von Abschlüssen in Übereinstimmung mit allgemein anerkannten Bewertungs- und Bilanzierungsmethoden zu ermöglichen, und dass Einnahmen und Ausgaben der Gruppe nur mit Autorisierung der Geschäftsleitung und der Verwaltungsrä-te der Gruppe erfolgen. Darüber hinaus umfassen sie diejenigen Richtlinien und Verfahren, die angemessene Sicherheit zur Vermeidung oder zur rechtzeitigen Aufdeckung von nicht autorisiertem Erwerb, Gebrauch oder Veräusserung von Vermögensgegenständen des Unter-nehmens bieten, die einen wesentlichen Einfluss auf den Abschluss haben könnten.

Aufgrund inhärenter Grenzen können die internen Kontrollen für die Finanzberichterstattung gegebenenfalls Falschaussagen nicht verhindern oder aufdecken. Des weiteren sind Projektio-nen des Urteils über die Wirksamkeit für künftige Perioden mit dem Risiko behaftet, dass Kontrollen gegebenenfalls wegen geänderter Verhältnisse unzureichend werden oder sich der Grad der Einhaltung der Richtlinien und Verfahren verschlechtert.

Gemäss unserer Beurteilung vermittelt die Einschätzung der Geschäftsleitung, dass die No-vartis Gruppe gemessen an den Kriterien, die im von COSO herausgegebenen Internal Control – Integrated Framework beschrieben sind, zum 31. Dezember 2004 über wirksame interne Kontrollen für die Finanzberichterstattung verfügte, in allen wesentlichen Belangen ein den tatsächlichen Verhältnissen entsprechendes Bild. Des weiteren verfügte die Novartis Gruppe gemäss unserer Beurteilung gemessen an den Kriterien, die im von COSO herausge-gebenen Internal Control – Integrated Framework beschrieben sind, zum 31. Dezember 2004 in allen wesentlichen Belangen über wirksame interne Kontrollen für die Finanzberichterstat-tung.

Anhang

222

PricewaterhouseCoopers AG

J.G. Kaiser D. Suter

Basel, 19. Januar 2005

Anhang

223

Anhang C: Gesprächsleitfäden660 A. Die Sicht des Projektmanagers I. Introductory Information 1. Information Regarding Company Organisation

Number of divisions/business units:

Number of affiliated companies:

Number of employees:

2. Information Regarding 404 Implementation

Current phase:

Project start:

Fiscal year for which 404 reports be released for the first time:

II. Implementation 1) What are the principal goals your company is pursuing with implementing

404?

2) Which (high-level) milestones does your company’s project plan contain?

3) Describe the key roles in the 404 implementation project, and the tasks and responsibilities they have.

4) Which criteria were applied when selecting processes for the project scope?

5) How were relevant controls identified?

6) Which criteria were applied when selecting entities for the project scope?

7) How does your company ensure Internal Control is effectively designed?

660 Die Leitfäden für die Projektmanager und die Financial Reporting Manager wurden in englischer Sprache

verfasst, um eine konstruktive Diskussion mit den fremdsprachigen Gesprächspersonen zu gewährleisten. Waren zu Beginn der Erhebung Verständnisschwierigkeiten festgestellt worden, wurden die betroffenen Fragen umformuliert. Bei den hier abgebildeten Leitfäden handelt es sich jeweils um die finale Version.

Anhang

224

8) How does your company ensure Internal Control is effectively operating?

9) How does your company evaluate overall effectiveness?

10) How does your company align the evaluations required by Section 404 and, respectively, by Section 302 with each other?

11) How will your company’s future 404 process look like?

III. Long-term Impact 1. Positive Effects

In general, how do you judge the long-term impact of 404 on:

the effectiveness of companies’ Internal Control 1 = no impact; 5 = very positive

the reliability of companies’ financial reporting 1 = no impact; 5 = very positive

the companies’ cost of capital 1 = no impact; 5 = very positive

companies’ reputation 1 = no impact; 5 = very positive

the quality of financial statement audits 1 = no impact; 5 = very positive

investors’ confidence 1 = no impact; 5 = very positive

stock prices 1 = no impact; 5 = very positive

2. Cost-benefit Relationship

How do you judge the long-term relationship between costs for compliance with 404 and related benefits? -4 = very negative; 0 = balanced; + 4 = very positive

IV. Comments Do you have any further comments regarding Section 404?

Anhang

225

B. Die Sicht des Financial Reporting Managers I. Internal Control

1) How do you judge the effectiveness of your company’s company-level con-trols?

as of prior to the implementation of 404 1 = poor; 5 = very effective

as of today 1 = poor; 5 = very effective

Explain:

2) How do you judge the effectiveness of your company’s control activities?

as of prior to the implementation of 404 1 = poor; 5 = very effective

as of today 1 = poor; 5 = very effective

Explain:

3) How do you judge the risk of a material misstatement occurring to your com-pany’s financial statements?

as of prior to the implementation of 404 1 = very high risk; 5 = no risk

as of today 1 = very high risk; 5 = no risk

Explain:

II. Financial Reporting 1) How do you judge the verifiability of your company’s financial statements?

as of prior to the implementation of 404 1 = poor; 5 = very high

as of today 1 = poor; 5 = very high

Explain:

2) How do you judge the validity of your company’s financial statements?

as of prior to the implementation of 404 1 = poor; 5 = very high

as of today 1 = poor; 5 = very high

Explain:

Anhang

226

3) How do you judge the neutrality of your company’s financial statements?

as of prior to the implementation of 404 1 = poor; 5 = very high

as of today 1 = poor; 5 = very high

Explain:

III. Impact on Company 1. Costs

Can you quantify cost items as they occurred/will likely occur during the imple-mentation of 404?

404-related audit fees:

External costs (consulting, software, training):

Internal costs:

By which percentage do you expect these costs to decrease after project comple-tion, i.e. from year 2 on?

404-related audit fees:

External costs (consulting, software, training):

Internal costs:

2. Market Reactions

In case of obtaining an unqualified opinion by the external auditor on Internal Control,

which positive market reactions do you expect to arise for your company?

How important are those advantages for your company? 1 = not at all important; 5 = very important

In case of obtaining an adverse opinion by the external auditor on Internal Con-trol,

which negative market reactions do you expect to arise for your company?

How important are those disadvantages for your company? 1 = not at all important; 5 = very important

Anhang

227

3. Cost-benefit Relationship

What are positive effects of 404 on your company, what are negatives?

How do you judge the company-specific cost-benefit relation? -4 = very negative; 0 = balanced; + 4 = very positive

IV. Long-term Impact 1. Positive Effects

In general, how do you judge the long-term impact of 404 on:

the effectiveness of companies’ Internal Control 1 = no impact; 5 = very positive

the reliability of companies’ financial reporting 1 = no impact; 5 = very positive

the companies’ cost of capital 1 = no impact; 5 = very positive

the companies’ reputation 1 = no impact; 5 = very positive

the quality of financial statement audits 1 = no impact; 5 = very positive

investors’ confidence 1 = no impact; 5 = very positive

stock prices 1 = no impact; 5 = very positive

2. Cost-benefit Relationship

How do you judge the long-term relationship between costs for compliance with 404 and related benefits? -4 = very negative; 0 = balanced; + 4 = very positive

V. Comments Do you have any further comments regarding Section 404?

Anhang

228

C. Die Sicht des Prüfers I. Audit of Internal Control

1) Wie gut sind Ihrer Einschätzung nach die (betroffenen) Prüfgesellschaften auf die Durchführung eines „Audit of Internal Control“ gemäss PCAOB No. 2 vorbereitet?

1 = überhaupt nicht ausreichend; 5 = ganz und gar ausreichend

Erklären Sie:

2) Wie beurteilen Sie die Zeit, die den Prüfgesellschaften zur Durchführung ei-nes „Audit of Internal Control” zur Verfügung steht?

1 = überhaupt nicht ausreichend; 5 = ganz und gar ausreichend

Erklären Sie:

3) Wie beurteilen Sie die vom externen Prüfer durchzuführenden „tests on de-sign effectiveness“ hinsichtlich deren Effektivität, d.h. hinsichtlich deren Ei-genschaft, (angemessen) zuverlässige Aussagen über die Konzeption von In-ternal Control zu ermöglichen?

1 = überhaupt nicht effektiv; 5 = sehr effektiv

Erklären Sie:

4) Wie beurteilen Sie die vom externen Prüfer durchzuführenden „tests on ope-rating effectiveness“ hinsichtlich deren Effektivität, d.h. hinsichtlich deren Eigenschaft, (angemessen) zuverlässige Aussagen über das Funktionieren von Internal Control zu ermöglichen?

1 = überhaupt nicht effektiv; 5 = sehr effektiv

Erklären Sie:

5) Wie beurteilen Sie die vom externen Prüfer vorzunehmenden Auswertungen und Klassifizierungen identifizierter Kontrollschwächen bezüglich deren Ein-deutigkeit?

1 = überhaupt nicht eindeutig; 5 = ganz und gar eindeutig

Erklären Sie:

Anhang

229

6) Wie beurteilen Sie die vom externen Prüfer vorzunehmende Auswertung des Management Assessments hinsichtlich deren Effektivität, d.h. hinsichtlich de-ren Eigenschaft, (angemessen) zuverlässige Aussagen über die Fairness der Darstellungen des Managements zu ermöglichen?

1 = überhaupt nicht effektiv; 5 = sehr effektiv

Erklären Sie:

7) Wie beurteilen Sie die zusätzliche Sicherheit, welche die vom externen Prüfer durchgeführten „tests of control“ über die Beurteilung des Management Re-ports hinaus vermitteln?

1 = keine zusätzliche Sicherheit; 5 = erheblich mehr Sicherheit

Erklären Sie:

8) Wie beurteilen Sie die infolge eines Audit of Internal Control erlangte Si-cherheit bezüglich der Wirksamkeit von Internal Control hinsichtlich ihrer Ef-fizienz?

1 = überhaupt nicht effizient; 5 = sehr effizient

Erklären Sie:

9) In welchem Ausmass profitiert die Qualität des Financial Statement Audits von der Durchführung eines „Audit of Internal Control“?

1 = keine Verbesserung; 5 = erhebliche Verbesserung

Erklären Sie:

II. Auswirkungen auf die Rechnungslegung Inwieweit verbessert Section 404 die Qualität der finanziellen Berichterstattung?

1 = keine Verbesserung; 5 = erhebliche Verbesserung

Erklären Sie:

III. Langfristige Auswirkungen 1. Positive Auswirkungen

Wie beurteilen Sie die langfristigen Auswirkungen von Section 404 auf

die Wirksamkeit von Internal Control 1 = keine Auswirkung; 5 = sehr positiv

die Zuverlässigkeit der Financial Statements 1 = keine Auswirkung; 5 = sehr positiv

Anhang

230

die Kapitalkosten von Unternehmen 1 = keine Auswirkung; 5 = sehr positiv

die Reputation von Unternehmen 1 = keine Auswirkung; 5 = sehr positiv

die Qualität der Financial Statement Audits 1 = keine Auswirkung; 5 = sehr positiv

das Vertrauen der Anleger 1 = keine Auswirkung; 5 = sehr positiv

die Aktienkurse 1 = keine Auswirkung; 5 = sehr positiv

2. Kosten-Nutzen-Verhältnis

Wie beurteilen Sie die langfristige Beziehung zwischen den Kosten und dem Nutzen von Section 404? -4 = sehr negativ; 0 = ausgeglichen; + 4 = sehr positiv

IV. Kommentare Haben Sie weitere Anmerkungen zu Section 404?

Anhang

231

D. Die Sicht des Finanzanalysten I. Hintergrundwissen

Beurteilen Sie Ihre Vertrautheit mit

Hintergrund und Zweck des Sarbanes-Oxley Act 1 = sehr gering; 5 = sehr gut

den Ausführungsbestimmung der SEC zum Management Report on Internal Control 1 = sehr gering; 5 = sehr gut

den Ausführungsbestimmung des PCAOB zum Audit of Internal Control 1 = sehr gering; 5 = sehr gut

den von Management und Prüfern eingereichten Internal Control Reports 1 = sehr gering; 5 = sehr gut

Kosten und Aufwand, wie sie sich aus der Erfüllung der Vorschriften von Section 404 für Unternehmen ergeben 1 = sehr gering; 5 = sehr gut

II. Zuverlässigkeit der Rechnungslegung 1) Wie versichern Sie sich, dass die Rechnungslegung der von Ihnen bewerteten

Unternehmen zuverlässig ist?

2) Besteht aus Ihrer Sicht ein Bedarf nach zusätzlicher Sicherheit über die Zu-verlässigkeit der Rechnungslegung? Sind insbesondere Massnahmen zur Eindämmung deliktischer Rechnungslegung notwendig?

3) Beurteilen Sie die nachstehenden regulatorischen Bestimmungen unter dem Aspekt der Sicherheit, die diese über die Zuverlässigkeit der Financial State-ments vermitteln können:

Rechenschaftslegung der Unternehmen darüber, ob für Senior Financial Officers ein Code of Ethics existiert. 1 = sehr gering; 5 = sehr hoch

Offenlegung aller materiellen Ausserbilanzgeschäfte 1 = sehr gering; 5 = sehr hoch

Einreichung eines Berichts über die Wirksamkeit von Internal Control over Financial Reporting durch das Management 1 = sehr gering; 5 = sehr hoch

Anhang

232

Einreichung eines Berichts über die Wirksamkeit von Internal Control over Financial Reporting durch den Prüfer 1 = sehr gering; 5 = sehr hoch

Eidesstattliche Beglaubigung durch CEO und CFO, dass die Financial Statements „fairly presented“ sind. 1 = sehr gering; 5 = sehr hoch

Strenge strafrechtliche Sanktionen bei unwahrer Beglaubigung von CEO und CFO 1 = sehr gering; 5 = sehr hoch

Regelmässige Überprüfung der Financial Statements durch die SEC 1 = sehr gering; 5 = sehr hoch

Schutz für Mitarbeiter, die Unstimmigkeiten bei der Buchführung/Rechnungslegung der SEC melden. 1 = sehr gering; 5 = sehr hoch

Andere? 1 = sehr gering; 5 = sehr hoch

III. Beurteilung der Internal Control Reports 1) Wie beurteilen Sie die in den Internal Control Reports von Management und

Prüfer gemachten Angaben zu Internal Control over Financial Reporting hin-sichtlich deren Verständlichkeit?

1 = überhaupt nicht verständlich; 5 = sehr verständlich

Erklären Sie:

2) Wie beurteilen Sie die in den Internal Control Reports von Management und Prüfer gemachten Angaben zu Internal Control over Financial Reporting hin-sichtlich deren Wesentlichkeit für die Beurteilung der Qualität des Emitten-ten? (Gehen Sie davon aus, dass der Abschlussprüfer die Financial Statements für „fairly presented“ befunden hat.)

Szenario 1: Mgmt. Report: Internal Control over Financial Reporting ist wirksam Auditor Report: Internal Control over Financial Reporting ist wirksam

1 = überhaupt nicht wesentlich; 5 = sehr wesentlich

Erklären Sie:

Anhang

233

Szenario 2: Mgmt. Report: Internal Control over Financial Reporting ist nicht wirksam Auditor Report: Internal Control over Financial Reporting ist nicht wirksam

1 = überhaupt nicht wesentlich; 5 = sehr wesentlich

Erklären Sie:

3) Wie beurteilen Sie den Nutzen einer Berichterstattung über Internal Control over Financial Reporting, wie sie von Section 404 des Sarbanes-Oxley Act vorgeschrieben ist, für die Unternehmensanalyse? Sollten derlei Bestimmun-gen auf sämtliche börsenkotierte Unternehmen ausgeweitet werden?

1 = sehr gering; 5 = sehr hoch

Erklären Sie:

4) Planen Sie, die in den Internal Controls Reports enthaltenen Informationen zukünftig in den Analyseprozess zu integrieren? Welche Funktion/Bedeutung käme ihnen zu?

IV. Langfristige Auswirkungen 1. Positive Auswirkungen

Wie beurteilen Sie die langfristigen Auswirkungen von Section 404 auf

die Wirksamkeit von Internal Control 1 = keine Auswirkung; 5 = sehr positiv

die Zuverlässigkeit der Financial Statements 1 = keine Auswirkung; 5 = sehr positiv

die Kapitalkosten von Unternehmen 1 = keine Auswirkung; 5 = sehr positiv

die Reputation von Unternehmen 1 = keine Auswirkung; 5 = sehr positiv

die Qualität der Financial Statement Audits 1 = keine Auswirkung; 5 = sehr positiv

das Vertrauen der Anleger 1 = keine Auswirkung; 5 = sehr positiv

die Aktienkurse 1 = keine Auswirkung; 5 = sehr positiv

2. Kosten-Nutzen-Verhältnis

Wie beurteilen Sie die langfristige Beziehung zwischen den Kosten und dem Nutzen von Section 404? -4 = sehr negativ; 0 = ausgeglichen; + 4 = sehr positiv

V. Kommentare Haben Sie weitere Anmerkungen zu Section 404?

Anhang

234

E. Die Sicht der Aufsichtsbehörde I. Beurteilung der Internal Control Reports

1) Wie beurteilen Sie die im Management- bzw. im Prüfbericht gemachten An-gaben zu Internal Control over Financial Reporting hinsichtlich deren Ver-ständlichkeit?

Managementbericht 1 = überhaupt nicht verständlich; 5 = sehr verständlich

Prüfbericht 1 = überhaupt nicht verständlich; 5 = sehr verständlich

Erklären Sie:

2) Wie beurteilen Sie die im Management- bzw. im Prüfbericht gemachten An-gaben zu Internal Control over Financial Reporting hinsichtlich deren We-sentlichkeit für die Beurteilung der Qualität des Emittenten?

Managementbericht 1 = überhaupt nicht wesentlich; 5 = sehr wesentlich

Prüfbericht 1 = überhaupt nicht wesentlich; 5 = sehr wesentlich

Erklären Sie:

3) Welcher spezifischen Informationen über die von Emittenten und Prüfer fest-gestellten „material weaknesses“ bedarf es Ihrer Meinung nach, damit Inves-toren die Auswirkungen solcher Schwachstellen auf die Rechnungslegung beurteilen können?

II. Auswirkungen 1) Inwiefern beeinflussen die gemäss Section 404 bei der SEC einzureichenden

Internal Control Reports Entscheidungen Ihrer Behörde über die Aufsicht von Unternehmen?

2) Wie beurteilen Sie das Kosten-Nutzen-Verhältnis der Section 404-bezogenen Regelungen?

3) Besteht Ihrer Meinung nach ein Regulierungsbedarf in der Schweiz – dahin-gehend, dass Unternehmen sich im Geschäftsbericht zur Wirksamkeit ihrer Internen Kontrollsysteme äussern müssten und der Prüfer hierüber eine Mei-nung abzugeben hätte?

Anhang

235

III. Langfristige Auswirkungen 1. Positive Auswirkungen

Wie beurteilen Sie die langfristigen Auswirkungen von Section 404 auf

die Wirksamkeit von Internal Control 1 = keine Auswirkung; 5 = sehr positiv

die Zuverlässigkeit der Financial Statements 1 = keine Auswirkung; 5 = sehr positiv

die Kapitalkosten von Unternehmen 1 = keine Auswirkung; 5 = sehr positiv

die Reputation von Unternehmen 1 = keine Auswirkung; 5 = sehr positiv

die Qualität der Financial Statement Audits 1 = keine Auswirkung; 5 = sehr positiv

das Vertrauen der Anleger 1 = keine Auswirkung; 5 = sehr positiv

die Aktienkurse 1 = keine Auswirkung; 5 = sehr positiv

2. Kosten-Nutzen-Verhältnis

Wie beurteilen Sie die langfristige Beziehung zwischen den Kosten und dem Nutzen von Section 404? -4 = sehr negativ; 0 = ausgeglichen; + 4 = sehr positiv

IV. Kommentare Haben Sie weitere Anmerkungen zu Section 404?

Anhang

236

Anhang D: Beispielhafte Kontrollmatrix661

Sub-Process

Control Objective

Description and Frequency of Control Activity

Financial Statement Area

Information Processing Objectives

Assertions

Invoicing Sales in-voices are accurate.

The billing system receives shipped items from the shipping system and compares, line by line, the shipped items to the original order, making changes to the original order to reflect actual quantities shipped. (Multiple times a day)

Sales Completeness, Accuracy, Validity

Completeness, Existence/ Occurrence, Valuation/ Allocation

Invoicing A sales invoice is generated for every shipment or work order.

Before an invoice is processed, shipment information is matched to custom-order information to ensure the information’s accuracy and validity. (Multiple times a day)

Sales Accuracy, Validity

Existence/ Occurrence

GL Post-ing

Sales are recorded in the proper period.

Management monitors sales and margins to ensure that they are aligned with expectations. (Monthly)

Sales Completeness, Accuracy, Validity

Existence/ Occurrence

GL Post-ing

Postings that are made to cost of sales and/or in-ventory in the GL are appropriate.

The finance department reconciles sales in the GL with shipments on a weekly basis and follows up any reconciling items. This reconcilia-tion is signed and filed. (Weekly)

Sales Completeness, Accuracy, Validity

Existence/ Occurrence

GL = General Ledger

661 Vgl. PWC (2004), Appendix VI.

Literaturverzeichnis

237

Literaturverzeichnis Adecco (2004 a): Adecco S.A. delays announcement of FY 2003 audited results. Press Release, 12. Januar 2004. [http://press.adecco.com/en/PR/200401/930268_5_3.html], 3. November 2005.

Adecco (2004 b): Adecco Announces 2003 Audited Results. Press Release, 1. Juni 2004. [http://press.adecco.com/en/PR/200406/947549_5_3.html], 3. November 2005.

AICPA (1958): SAP No. 29, Scope of the Independent Auditor’s Review of Internal Control. New York: AICPA, 1958.

AICPA (1971): SAP No. 49, Reports on Internal Control. New York: AICPA, 1971.

AICPA (1972): SAP No. 54, The Auditor’s Study and Evaluation of Internal Control. New York: AICPA, 1972.

AICPA (1980): SAS No. 30, Reporting on Internal Accounting Control. New York: AICPA, 1980.

AICPA (1988): SAS No. 55, Consideration of the Internal Control Structure in a Fi-nancial Statements Audit. New York: AICPA, 1988.

AICPA (1993): SSAE No. 2, Reporting on an Entity’s Internal Control over Financial Reporting. New York: AICPA, 1993.

AICPA (1994): Improving Business Reporting – a Customer Focus: Meeting the In-formation Needs of Investors and Creditors: a Comprehensive Report of the Special Committee on Financial Reporting. 1994. [http://accounting.rutgers.edu/raw/aicpa/ business/main.htm], 2. Juli 2004.

AICPA (1995): SAS No. 78, Consideration of Internal Control in a Financial State-ment Audit. New York: AICPA, 1995.

AICPA (2001): SSAE No. 10, Reporting on an Entity’s Internal Control over Finan-cial Reporting. New York: AICPA, 2001.

AICPA (2002): Comments on Proposed Rule: Disclosure Required by Sections 404, 406 and 407 of the Sarbanes-Oxley Act of 2002, 27. November 2002. [http://www.sec.gov/rules/proposed/ s74002/wfezzell1.htm], 6. Dezember 2004.

Literaturverzeichnis

238

American Bankers Association (2005): Comment Letter Regarding File Number 4-497, Roundtable on Implementation of Internal Control Reporting Provisions, 1. April 2005. [http://www.sec.gov/news/press/4-497/djfisher040105.pdf], 15. April 2005.

American Institute of Accountants (1939): SAP No. 1, Extensions of Auditing Proce-dures. In: Journal of Accountancy, Dezember 1939, S. 377–385.

American Institute of Accountants (1949): Internal Control. Elements of a Coordinated System and Its Importance to Management and the Independent Public Accountant. New York: American Institute of Accountants, 1949.

Ashbaugh-Skaife, Hollis/Collins, Daniel/Kinney, William (2005): The Discovery and Consequences of Internal Control Deficiencies Prior to SOX-Mandated Audits. Work-ing Paper, University of Wisconsin-Madison/University of Iowa/University of Texas-Austin, 2005.

Baetge, Jörg (1992): Überwachungstheorie, kybernetische. In: Coenenberg, Adolf/Wysocki, Klaus von (Hrsg.): Handwörterbuch der Revision. – 2., neugestaltete und erg. Aufl. – Stuttgart: Poeschel, 1992, Sp. 2038–2054.

Baetge, Jörg (1998): Internes Überwachungssystem (IÜS), Organisationsformen des. In: Lück, Wolfgang (Hrsg.): Lexikon der Rechnungslegung und Abschlussprüfung. – 4., völlig neu bearb. Aufl. – München, Wien: Oldenbourg, 1998, S. 408–409.

Baetge, Jörg/Thiele, Stefan (2002): Prüfungstheorie, regelungstheoretischer Ansatz. In: Ballwieser, Wolfgang et al.: Handwörterbuch der Rechnungslegung und Prüfung. – 3., überarb. und erw. Aufl. – Stuttgart: Schäffer-Poeschel, 2002, Sp. 1899–1908.

Ballwieser, Wolfgang (1998): Was leistet der risikoorientierte Prüfungsansatz? In: Matschke, Manfred J./Schildbach, Thomas (Hrsg.): Unternehmensberatung und Wirt-schaftsprüfung: Festschrift für Prof. Dr. Günter Sieben zum 65. Geburtstag. Stuttgart: Schäffer-Poeschel, 1998, S. 359–374.

Beasley, Mark S./Carcello, Joseph V./Hermanson, Dana R./Lapides, Paul D. (2000): Fraudulent Financial Reporting: Consideration of Industry Traits and Corporate Gov-ernance Mechanisms. In: Accounting Horizons, Vol. 14, Nr. 4, 2000, S. 441–454.

Bédard, Jean C. (1989): An Archival Investigation of Audit Program Planning. In: Auditing: A Journal of Practice & Theory, Vol. 9, Nr. 1, 1989, S. 57–71.

Literaturverzeichnis

239

Bédard, Jean C. (1990): Discussion of Control Risk Assessments: Do They Relate to Errors? In: Auditing: A Journal of Practice & Theory, Vol. 9, Supplement, 1990, S. 27–32.

Bédard, Jean C./Mock, Theodore, J./Wright, Arnold M. (1999): Evidential Planning in Auditing: A review of the empirical research. In: Journal of Accounting Literature, Vol. 20, 1999, S. 96–142.

Bentley, Gregory S. (2004): Testimony of Greg Bentley before the US Senate Com-mittee on Banking, Housing and Urban Affairs, 9. September 2004. [http://banking.senate.gov/_files/bentley.pdf], 24. Januar 2005.

Beresford, Dennis R./Katzenbach, Nicholas/Rogers, C.B. (2003): Report of Investiga-tion by the Special Investigative Committee of the Board of Directors of WorldCom, Inc., 31. März 2003.

Biel, Alfred (2005): Sarbanes-Oxley Act (SOA) – Chance oder Bürokratie? In: Cont-roller Magazin, Nr. 1, 2005, S. 2–7.

Bigler, Ernst (2004): Umsetzung von Sarbanes-Oxley auf freiwilliger Basis. In: Der Schweizer Treuhänder, Nr. 12, 2004, S. 1051–1056.

Bonse, Andreas (2004): Informationsgehalt von Konzernabschlüssen nach HGB, IAS und US-GAAP. Eine Empirische Analyse aus Sicht der Eigenkapitalgeber. – 1. Aufl. – Frankfurt am Main: Lang, 2004. Zugl. Diss. Univ. Bochum, 2002.

Brown, Marilyn V. (1977): Auditors and Internal Controls: An Analyst’s View. In: The CPA Journal, Vol. 47, Nr. 9, 1977, S. 27–31.

Bryan, Stephen/Lilien, Steven (2005): Characteristics of Firms with Material Weak-nesses in Internal Control: An Assessment of Section 404 of Sarbanes Oxley. Working Paper, Wake Forest University/City University of New York, 2005.

Bundesministerium der Justiz (1997): Entwurf eines Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG); 7. November 1997; Drucksache 872/97.

Literaturverzeichnis

240

Bush, George W. (2002): Ten-Point Plan to Improve Corporate Responsibility and Protect America’s Shareholders, 7. März 2002. [http://www.whitehouse.gov/infocus/ corporateresponsibility/index2.html], 28. Januar 2005.

Carmichael, Douglas R. (1970): Opinions on Internal Control. In: Journal of Accoun-tancy, Vol. 130, Nr. 6, 1970, S. 47–53.

Carmichael, Douglas R. et al. (1995): Communications with Users. In: Bell, Timothy B./Wright, Arnold M. (Hrsg.): Auditing Practice, Research, and Education. A Produc-tive Collaboration. New York: AICPA 1995, S. 144–210.

Caster, Paul/Massey, Dawn W./Wright, Arnold M. (2000): Research on the Nature, Characteristics, and Causes of Accounting Errors: The Need for a Multi-Method Ap-proach. In: Journal of Accounting Literature, Vol. 19, 2000, S. 60–92.

Cocca, Teodoro, D./Volkart, Rudolf (2004): Equity Ownership in Switzerland 2004. Zürich: Versus Verlag, 2004.

Coffee, John C. (2003): What Caused Enron?: A Capsule Social and Economic His-tory of the 1990’s. Working Paper No. 214, Columbia Law School, 2003.

Commission on Auditors’ Responsibilities (1978): Report, Conclusions, and Recom-mendations. New York: AICPA, 1978.

COSO (1992 a): Internal Control – Integrated Framework. Vol. 2: Framework. New York: AICPA 1992.

COSO (1992 b): Internal Control – Integrated Framework. Vol. 3: Reporting to Exter-nal Parties. New York: AICPA 1992.

Cunningham, Lawrence A. (2002): The Sarbanes-Oxley Yawn: Heavy Rhetoric, Light Reform (And it Might Just Work). Research Paper No. 1, Boston College Law School, 2002.

Cunningham, Lawrence A. (2003): The Appeal and Limits of Internal Controls to Fight Fraud, Terrorism, Other Ills. Research Paper No. 18, Boston College Law School, 2003.

Literaturverzeichnis

241

Deloitte & Touche (2002): Comments on Proposed Rule: Disclosure Required by Sec-tions 404, 406, and 407 of the Sarbanes-Oxley Act of 2002, 29. November 2002. [http://www.sec.gov/rules/proposed/s74002/deloitte1.htm], 6. Dezember 2004.

Deloitte & Touche et al. (2004 a): Perspectives on Internal Control Reporting. A Re-source for Financial Market Participants. 2004.

Deloitte & Touche et al. (2004 b): Internal Control over Financial Reporting. An In-vestor Resource. 2004.

Deloitte & Touche (2005): Feedback on Experiences with the Implementation of the Auditing and Reporting Requirements of Section 404 of the Sarbanes-Oxley Act of 2002, 1. April 2005. [http://www.sec.gov/news/press/4-497/deloitte040105.pdf], 15. April 2005.

Deutsches Aktieninstitut (2004): Dual Listing. Eine ökonomische und juristische Ana-lyse der Auslandsnotierungen deutscher Unternehmen. Studien des Deutschen Aktien-instituts, Heft 30. Frankfurt am Main: Juli 2005.

Dörner, Dietrich (2002): Prüfungsansatz, risikoorientierter. In: Ballwieser, Wolfgang et al.: Handwörterbuch der Rechnungslegung und Prüfung. – 3., überarb. und erw. Aufl. – Stuttgart: Schäffer-Poeschel, 2002, Sp. 1744–1762.

Doyle, Jeffrey/Ge, Weili/McVay, Sarah (2005): Determinants of weaknesses in inter-nal control over financial reporting and the implications for earnings quality. Working Paper, University of Utah/University of Michigan/New York University, 2005.

Economiesuisse (2002): Swiss Code of Best Practice for Corporate Governance. 2002.

Economiesuisse (2004): Zwischenbericht zur Corporate Governance. Gute Umsetzung des „Swiss Code of Best Practice“. In: Dossierpolitik, Nr. 41/1, 5. Jahrgang, Novem-ber 2004.

Eilifsen, Aasmund/Messier, William F. (2000): The Incidence and Detection of Mis-statements: A Review and Integration of Archival Research. In: Journal of Accounting Literature, Vol. 19, 2000, S. 1–43.

Literaturverzeichnis

242

Eilifsen, Aasmund/Austen, Lizabeth A./Messier, William F. (2000): Characteristics of Auditor Detected Misstatements: Evidence from Norwegian Audits. Working Paper, Georgia State University, 2000.

Elschen, Rainer (1998): Principal-Agent. In: Busse von Colbe, Walther/Pellens, Bern-hard (Hrsg.): Lexikon des Rechnungswesens: Handbuch der Bilanzierung und Prü-fung, der Erlös-, Finanz-, Investitions- und Kostenrechnung. – 4. überarb. und erw. Aufl. – München etc.: Oldenbourg 1998, S. 557–560.

Engel, Ellen/Hayes, Rachel M./Wang, Xue (2004): The Sarbanes-Oxley Act and Firms’ Going Private Decisions. Working Paper, University of Chicago, 2004.

Entwistle, Gary/Lindsay, Daryl (1994): An Archival Study of the Existence, Cause, and Discovery of Income-Affecting Financial Statement Misstatements. In: Contem-porary Accounting Research, Vol. 11, 1994, S. 271–296.

Ernst & Young (2005 a): Comment Letter Regarding File No. 4-497, Implementation of Sarbanes-Oxley Internal Controls Provisions, 4. April 2005. [http://www.sec.gov/ news/press/4-497/eyllp040405.pdf], 15. April 2005.

Ernst & Young (2005 b): Emerging Trends in Internal Controls. Fourth Survey and Industry Insights. Initial Implementation, Year 2, and Ongoing Strategy. 2005.

Europäisches Corporate Governance Forum (2005): Corporate Governance: Das Euro-päische Forum macht Fortschritte in Richtung eines gemeinsamen Ansatzes für ver-antwortungsbewusstes Unternehmensmanagement. Referenznr. IP/05/779. Brüssel, 23. Juni 2005.

Europäische Union (EU) (2004): Vorschlag für eine Richtlinie des Europäischen Par-laments und des Rates über die Prüfung des Jahresabschlusses und des konsolidierten Abschlusses und zur Änderung der Richtlinien 78/660/EWG und 83/349/EWG des Rates. KOM(2004)177. Brüssel, 16. März 2004.

Ewert, Ralf (1990): Wirtschaftsprüfung und asymmetrische Information. Berlin etc.: Springer, 1990.

Ewert, Ralf/Stefani, Ulrike (2001): Wirtschaftsprüfung. In: Jost, Peter-Jürgen (Hrsg.): Die Prinzipal-Agenten-Theorie in der Betriebswirtschaftslehre. Stuttgart: Schäffer-Poeschel, 2001, S. 147–182.

Literaturverzeichnis

243

Ewert, Ralf/Wagenhofer, Alfred (2000): Neuere Ansätze zur theoretischen Fundierung von Rechnungslegung und Prüfung. In: Lachnit, Laurenz/Freidank, Carl-Christian (Hrsg.): Investororientierte Unternehmenspublizität. Neue Entwicklungen von Rech-nungslegung, Prüfung und Jahresabschlussanalyse. Wiesbaden: Gabler, 2000, S. 31–60.

FASB (1980): SFAC No. 2: Qualitative Characteristics of Accounting Information. 1980.

FEI (1999): Letter to the Chief Accountant of the SEC, 30. September 1999. [http://www.fei.org/download/mtgreportsresponse.doc], 15. November 2005.

FEI (2004): Testimony of Arnold C. Hanish on behalf of Financial Executives Interna-tional before the US Senate Committee on Banking, Housing and Urban Affairs at a Hearing on The Impact of the Sarbanes-Oxley Act & Developments Concerning Inter-national Convergence, 9. September 2004. [http://banking.senate.gov/_files/ hanish. pdf], 19. Mai 2005.

FEI (2005 a): Comment Letter Regarding File No. 4-497, 1. April 2005. [http://www.sec.gov/news/press/4-497/fbrod040105.pdf], 15. April 2005.

FEI (2005 b): Sarbanes-Oxley Section 404 Implementation Survey. März 2005. [http://www.fei.org/download/Survey_SOX_404_3_05.ppt], 11. April 2005.

FEI (2005 c): Sarbanes-Oxley Compliance Costs Exceed Estimates. Press Release, 21. März 2005. [http://www.fei.org/files/spacer.cfm?file_id=1498], 11. April 2005.

Fischer, Norbert/Rotter, Norbert (2003): Sarbanes-Oxley Act und die Final Rule Sec-tion 404: Management Assessment of Internal Controls. In: KPMG USA-Mitteilungen, Oktober 2003, S. 6–11.

Freiling, Claus/Lück, Wolfgang (1986): Interne Überwachung und Jahresabschluss-prüfung. In: Zeitschrift für betriebswirtschaftliche Forschung, Vol. 38, Nr. 12, 1986, S. 996–1006.

GAO (1989): Bank Failures. Independent Audits Needed to Strengthen Internal Con-trol and Bank Management. GAO/AFMD-89-25. Washington, D.C.: GAO, 1989.

Literaturverzeichnis

244

GAO (1991): Failed Banks. Accounting and Auditing Reforms Urgently Needed. GAO/AFMD-91-43. Washington, D.C.: GAO, 1991.

GAO (1996 a): The Accounting Profession. Major Issues: Progress and Concerns. GAO/AIMD-96-98. Washington, D.C.: GAO, 1996.

GAO (1996 b): The Accounting Profession. Appendixes to Major Issues: Progress and Concerns. GAO/AIMD-96-98A. Washington, D.C.: GAO, 1996.

GAO (2002): Financial Statement Restatements. Trends, Market Impacts, Regulatory Responses, and Remaining Challenges. GAO-03-138. Washington, D.C.: GAO, 2002.

GAO (2003): Public Accounting Firms. Mandated Study on Consolidation and Com-petition. GAO-03-864. Washington, D.C.: GAO, 2003.

Ge, Weili/McVay, Sarah (2005): The Disclosure of Material Weaknesses in Internal Control after the Sarbanes-Oxley Act. Working Paper, University of Michigan/New York University, 2005.

Geiger, Marshall A./Taylor, Porcher L. (2003): CEO and CFO Certifications of Finan-cial Information. In: Accounting Horizons, Vol. 17, Nr. 4, 2003, S. 357–368.

Gillan, Kayla J. (2005): Lessons Learned in 2004. Speech at the Institute of Internal Auditors 2005 Financial Services Conference, 23. Mai 2005. [http://www.pcaob.org/News_and_Events/Events/2005/Speech/05-23_Gillan.aspx], 11. Juli 2005.

Gist, Willie E./McClain, Guy/Shastri, Trimbak (2004): User Versus Auditor Percep-tions of the Auditor’s Report on Internal Control: Readability, Reliability and Auditor Legal Liability. In: American Business Review, Juni 2004, S. 117–129.

Göbel, Stefan (1997): Risikoorientierte Abschlussprüfung. In: Richter, Martin (Hrsg.): Theorie und Praxis der Wirtschaftsprüfung. Abschlussprüfung – Interne Revision – kommunale Rechnungsprüfung. Berlin: Erich Schmidt, 1997. S. 41–59.

Haller, Axel (1993): Grundlagen der externen Rechnungslegung in den USA: unter besonderer Berücksichtigung der rechtlichen, institutionellen und theoretischen Rah-menbedingungen. – 3. unveränd. Aufl. – Stuttgart: Schäffer-Poeschel, 1993. Zugl. Diss. Univ. Augsburg, 1989.

Literaturverzeichnis

245

Hartmann-Wendels, Thomas (1991): Rechnungslegung der Unternehmen und Kapi-talmarkt aus informationsökonomischer Sicht. Heidelberg: Physica 1991. Zugl. Habil. Univ. Köln, 1991.

Hartmann-Wendels, Thomas (1992): Agency-Theorie und Publizitätspflicht nichtbör-sennotierter Kapitalgesellschaften. In: Betriebswirtschaftliche Forschung und Praxis, Nr. 5, 1992, S. 412–425.

Healy, Paul M./Wahlen, James M. (1999): A Review of the Earnings Management Literature and Its Implications for Standard Setting. In: Accounting Horizons, Vol. 13, Nr. 4, 1999, S. 365–383.

Heier, Jan R./Dugan, Michael T./Sayers, David L. (2003): Sarbanes-Oxley and the Culmination of Internal Control Development: A Study of Reactive Evolution. Work-ing Paper, Auburn University at Montgomery, 2003.

Hermanson, Heather M. (2000): An Analysis of the Demand for Reporting on Internal Control. In: Accounting Horizons, Vol. 14, Nr. 3, 2000, S. 325–341.

Hömberg, Reinhold (2002): Internes Kontrollsystem. In: Ballwieser, Wolfgang et al.: Handwörterbuch der Rechnungslegung und Prüfung. – 3., überarb. und erw. Aufl. – Stuttgart: Schäffer-Poeschel, 2002, Sp. 1228–1237.

Horváth, Peter (2003): Controlling. – 9. vollst. überarb. Aufl. – München: Vahlen, 2003.

Hylas, Robert E./Ashton, Robert H. (1982): Audit Detection of Financial Statement Errors. In: The Accounting Review, Vol. 57, Nr. 4, 1982, S. 751–765.

IAASB (2004): International Standards on Auditing (ISA). In: International Federation of Accountants: Handbook of International Auditing, Assurance, and Ethics Pro-nouncements. 2004 Edition. New York: IFAC, 2004.

ICAEW (2005): ICAEW Submission to the SEC Roundtable on the Implementation of Sarbanes-Oxley Internal Control Provisions, 1. April 2005. [http://www.sec.gov/news/ press/4-497/agambier040105.pdf], 15. April 2005.

Jain, Pankaj K./Rezaee, Zabihollah (2004): The Sarbanes-Oxley Act of 2002 and Ac-counting Conservatism. Working Paper, University of Memphis, 2004.

Literaturverzeichnis

246

Jain, Pankaj, K./Rezaee, Zabihollah (2005): The Sarbanes-Oxley Act of 2002 and Se-curity Market Behavior: Early Evidence. Working Paper, University of Memphis, 2005.

Jonas, Gregory J./Blanchet, J. (2000): Assessing Quality of Financial Reporting. In: Accounting Horizons, Vol. 14, No. 3, 2000, S. 353–363.

Jost, Peter-Jürgen (2001): Die Prinzipal-Agenten-Theorie im Unternehmenskontext. In: Jost, Peter-Jürgen (Hrsg.): Die Prinzipal-Agenten-Theorie in der Betriebswirt-schaftslehre. Stuttgart: Schäffer-Poeschel, 2001, S. 11–43.

Kersting, Christian (2003): Auswirkungen des Sarbanes-Oxley-Gesetzes in Deutsch-land: Können deutsche Unternehmen das Gesetz befolgen? In: Zeitschrift für Wirt-schaftsrecht, Nr. 6, 2003, S. 233–242.

KPMG (2003): Sarbanes-Oxley Section 404: Management Assessment of Internal Control and the Proposed Auditing Standards. 2003.

KPMG (2004): Sarbanes-Oxley Section 404: Management’s Assessment Process. Fre-quently Asked Questions. 2004.

KPMG/Universität Zürich (2005): Interne Kontrolle in der Schweizer Praxis. Eine ak-tuelle Standortbestimmung. 2005.

Kreutzfeldt, Richard W./Wallace, Wanda A. (1986): Error Characteristics in Audit Populations: Their Profile and Relationship to Environmental Factors. In: Auditing: A Journal of Practice & Theory, Vol. 6, Nr. 1, 1986, S. 20–43.

Kreutzfeldt, Richard W./Wallace, Wanda A. (1990): Control Risk Assessments: Do They Relate to Errors? In: Auditing: A Journal of Practice & Theory, Vol. 9, Supple-ment, 1990, S. 1–26.

Kubicek, Herbert (1977): Heuristische Bezugsrahmen und heuristisch angelegte For-schungsdesigns als Elemente einer Konstruktionsstrategie empirischer Forschung. In: Köhler, Richard (Hrsg.): Empirische und handlungstheoretische Forschungskonzeptio-nen in der Betriebswirtschaftslehre. Stuttgart: C.E. Poeschel Verlag, 1977, S. 3–36.

Literaturverzeichnis

247

Kuls, Norbert (2005): SEC signalisiert Lockerung der Regeln für Delisting. Auch Ü-berlegung für Verlängerung der Frist bei Sarbanes-Oxley – Rede von SEC-Chef Do-naldson. In: Frankfurter Allgemeine Zeitung v. 26. Januar 2005.

Lanfermann, Silja/Maul, Georg (2002): Auswirkungen des Sarbanes-Oxley Acts in Deutschland. In: Der Betrieb, August 2002, S. 1725 –1732.

Li, Haidan/Pincus, Morton/Olhoft Rego, Sonja (2004): Market Reaction to Events Sur-rounding the Sarbanes-Oxley Act of 2002. Working Paper, University of Iowa, 2004.

Lightle Susan S./Willis, David M. (1995): Requiring Reports On Internal Controls. The Pros and Cons. In: Ohio CPA Journal, Vol. 54, Nr. 5, 1995, S. 16–20.

Lück, Wolfgang (1998 a): Internes Überwachungssystem (IÜS). In: Lück, Wolfgang (Hrsg.): Lexikon der Rechnungslegung und Abschlussprüfung. – 4., völlig neu bearb. Aufl. – München, Wien: Oldenbourg, 1998, S. 405–408.

Lück, Wolfgang (1998 b): Elemente eines Risiko-Managementsystems. In: Der Be-trieb, Nr. 1/2, 1998, S. 8–14.

Lück, Wolfgang (1999): Betriebswirtschaftliche Aspekte der Einrichtung eines Über-wachungssystems und eines Risikomanagementsystems. In: Dörner, Dietrich/Menold, Dieter/Pfitzer, Norbert (Hrsg.): Reform des Aktienrechts, der Rechnungslegung und Prüfung: KonTrag – KapAEG – EuroEG – StückAG. Stuttgart: Schäffer-Poeschel, 1999, S. 139–176.

Maul, Silja (2003): Vorschläge der Expertengruppe zur Reform des EU-Gesellschaftsrechts. In: Der Betrieb, Januar 2003, S. 27–31.

Mautz, Robert K./Kell, Walter G. (1980): Public Reporting on the Adequacy of Inter-nal Control. In: Mautz, Robert K. et al. (Hrsg.): Internal Control in U.S. Corporations: The State of the Art. New York: Financial Executives Research Foundation, 1980, S. 323–335.

McEnroe, John E./Martens, Stanley C. (2001): Auditors’ and Investors’ Perceptions of the “Expectation Gap”. In: Accounting Horizons, Vol. 15, Nr. 4, 2001, S. 345– 58.

Literaturverzeichnis

248

McMullen, Dorothy A./Raghunandan, K./Rama, D.V. (1996): Internal Control Reports and Financial Reporting Problems. In: Accounting Horizons, Vol. 10, Nr. 4, 1996, S. 67–75.

Menzies, Christof (Hrsg.) (2004): Sarbanes-Oxley Act. Professionelles Management interner Kontrollen. Stuttgart: Schäffer-Poeschel, 2004.

Merkl, Georg (2003): Auswirkungen des Sarbanes-Oxley Act auf die Rechnungsle-gung von Unternehmen in der Schweiz. In: Der Schweizer Treuhänder, Nr. 12, 2003, S. 1045–1054.

Meyer, Conrad/Widmer, Dieter (2005): Interne Kontrolle in der Schweizer Praxis – Eine Standortbestimmung. Ergebnisse einer empirischen Untersuchung. In: Der Schweizer Treuhänder, Nr. 10, 2005, S. 781–786.

Mock, Theodore, J./Wright, Arnold M. (1999): Are Audit Program Plans Risk-Adjusted? In: Auditing: A Journal of Practice & Theory, Vol. 18, Nr. 1, S. 55–74.

Moody’s Investors Service (2005): Special Comment. Section 404 Reporting on Inter-nal Control: Our Early Experience. New York: 2005.

Morton, Jane E./Felix, William L. (1991): A Critique of Statement on Auditing Stan-dards No. 55. In: Accounting Horizons, März 1991, S. 1–10.

NCFFR (1987): Report of the National Commission on Fraudulent Financial Report-ing. New York: NCFFR, Oktober 1987.

NYSE (2004): Corporate Governance Rules. November 2004. [http://www.nyse.com/ pdfs/finalcorpgovrules.pdf], 23. Oktober 2005.

O’Reilly-Allen Margaret/McMullen, Dorothy (2002): Internal Control Reporting and Users’ Perceptions of Financial Statement Reliability. In: American Business Review, Januar 2002, S. 100–107.

o.V. (1993): The CPA Journal Symposium. Controversy Emerges. In: The CPA Jour-nal, Vol. 63, Nr. 9, 1993, S. 8–9.

Ohio Public Employees Retirement System (OPERS) (2005): Comment Letter Re-garding File No. 4-497, Sarbanes-Oxley Act of 2002, Section 404, Management As-

Literaturverzeichnis

249

sessment of Internal Controls, 1. März 2005. [http://www.sec.gov/news/press/4-497/lfhacking030105.pdf], 15. April 2005.

Oversight Systems (2004): The 2004 Oversight Systems Financial Executive Report on Sarbanes-Oxley. 2004.

Panel on Audit Effectiveness (2000): Report and Recommendations. August 2000.

PCAOB (2004 a): Auditing Standard No. 2 – An Audit of Internal Control Over Fi-nancial Reporting Performed in Conjunction with An Audit of Financial Statements. Washington, D.C.: 2004.

PCAOB (2004 b): Statement Concerning the Issuance of Inspection Reports. PCAOB Release No. 104-2004-001. Washington, D.C.: 2004.

PCAOB (2004 c): Report on 2003 Limited Inspection of Deloitte & Touche LLP. PCAOB Release No. 104-2004-002. Washington, D.C.: 2004.

PCAOB (2004 d): Proposed Standard – Audits of Internal Control Performed in Con-junction with an Audit of Financial Statements. Release Nos. 2003-017. Rulemaking Docket Matter 008. Washington, D.C.: 2004.

PCAOB (2005 a): Staff Questions and Answers. Auditing Internal Control over Finan-cial Reporting. [http://www.pcaobus.org/Standards/Staff_questions_and_Answers/ index.asp.], 19. Mai 2005.

PCAOB (2005 b): Policy Statement Regarding Implementation of Auditing Standard No. 2, An Audit of Internal Control over Financial Reporting performed in Conjunc-tion with an Audit of Financial Statements. PCAOB Release No. 2005-009. Washing-ton, D.C.: 2005.

Perino, Michael A. (2002): Enron’s Legislative Aftermath: Some Reflections on the Deterrence Aspects of the Sarbanes-Oxley Act of 2002. Working Paper Nr. 212, Co-lumbia Law School, 2002.

Pfitzer, Norbert/Schmidt, Gerd (2002): Systemprüfung. In: Ballwieser, Wolfgang et al.: Handwörterbuch der Rechnungslegung und Prüfung. – 3., überarb. und erw. Aufl. – Stuttgart: Schäffer-Poeschel, 2002, Sp. 2336–2350.

Literaturverzeichnis

250

POB (1993): In the Public Interest. A Special Report by the Public Oversight Board of the SEC Practice Section, AICPA. Stamford: POB, 1993.

Porter, Brenda (1993): An Empirical Study of the Audit Expectation-Performance Gap. In: Accounting and Business Research, Vol. 24, Nr. 93, S. 49–68.

Powers, William C. et al. (2002): Report of Investigation by the Special Investigative Committee of the Board of Directors of Enron Corp. 2002.

Protiviti (2003): Guide to the Sarbanes-Oxley Act: Internal Control Reporting Re-quirements. Frequently Asked Questions Regarding Section 404. Updated to reflect the SEC’s final rules. 2003.

PWC (2004 a): Sarbanes-Oxley Act: Section 404. Practical Guidance for Management. 2004.

PWC (2004 b): The Use of Spreadsheets: Considerations for Section 404 of the Sar-banes-Oxley Act. 2004.

Raghunandan, K./Rama, D.V. (1994): Management Reports after COSO. In: The In-ternal Auditor, August 1994, S. 54–59.

Rittenberg, Larry E./Miller, Patricia K. (2005): Sarbanes-Oxley Section 404 Work. Looking at the Benefits. Altamonte Springs: IIA Research Foundation, 2005.

Root, Steven J. (1998): Beyond COSO. Internal Control to Enhance Corporate Gov-ernance. New York etc.: John Wiley, 1998.

Ruhnke, Klaus (2003): Nutzen von Abschlussprüfungen: Bezugsrahmen und Einord-nung empirischer Studien. In: Zeitschrift für Betriebswirtschaftliche Forschung, Vol. 55, Mai 2003, S. 250–279.

Ruud, T. Flemming/Jenal, Ladina (2004): Internal Control. Ganzheitliche Interne Steuerung und Kontrolle (ISK). In: Der Schweizer Treuhänder, Nr. 12, 2004. S. 1045–1049.

Schipper, Katherine/Vincent, Linda (2003): Earnings Quality. In: Accounting Hori-zons, Vol. 17, Supplement, 2003, S. 97–110.

Literaturverzeichnis

251

Schreyögg, Georg (1994): Zum Verhältnis von Planung und Kontrolle. In: Wirt-schaftswissenschaftliches Studium, Nr. 7, Juli 1994, S. 345–351.

Schuetze, Walter P. (1993): Reporting by Independent Auditors on Internal Controls. In: The CPA Journal, Vol. 63, Nr. 10, 1993, S. 40–43.

SEC (1979): Proposed Regulation, Statements of Management on Internal Accounting Control. Release No. 34-15772. Washington, D.C.: 1979.

SEC (1988 a): Proposed Regulations, Report of Management’s Responsibilities. Re-lease No. 33-6789, 34-25925. Washington, D.C.: 1988.

SEC (1988 b): Disclosure Amendments to Regulation S-K, Form 8-K and Schedule 14A Regarding Changes in Accountants and Potential Opinion Shopping Situations. Financial Reporting Release No. 31, Release No. 33-6766. Washington, D.C.: 1988.

SEC (2002 a): Certification of Disclosure in Companies’ Quarterly and Annual Re-ports. Final Rule, Release No. 33-8124. In: Federal Register, Vol. 67, No. 174, 9. Sep-tember 2002, S. 57276–57297.

SEC (2002 b): Disclosure Required by Sections 404, 406 and 407 of the Sarbanes-Oxley Act of 2002. Proposed Rule, Release No. 33-8138. In: Federal Register, Vol. 67, No. 210, 30. Oktober 2002, S. 66208–66250.

SEC (2003 a): Disclosure Required by Sections 406 and 407 of the Sarbanes-Oxley Act of 2002. Final Rule, Release No. 33-8177. In: Federal Register, Vol. 68, No. 21, 31. Januar 2003, S. 5110–5132.

SEC (2003 b): Standards Relating to Listed Company Audit Committees. Final Rule, Release No. 33-8220. In: Federal Register, Vol. 68, No. 73, 16. April 2003, S. 18788–18823.

SEC (2003 c): Management’s Report on Internal Control over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports. Final Rule, Release No. 33-8238. In: Federal Register, Vol. 68, No. 117, 18. Juni 2003, S. 36636–36673.

SEC (2003 d): Report Pursuant to Section 704 of the Sarbanes-Oxley Act of 2002. Washington, D.C.: 2003.

Literaturverzeichnis

252

SEC (2003 e): Disclosure in Management’s Discussion and Analysis About Off-Balance Sheet Arrangements and Aggregate Contractual Obligations. Final Rule, Re-lease No. 33-8182. In: Federal Register, Vol. 68, No. 24, 5. Februar 2003, S. 5982– 6004.

SEC (2004): Management’s Report on Internal Control over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports. Final Rule, Extension of Compliance Dates, Release No. 33-8392. In: Federal Register, Vol. 69, Nr. 40, 1. März 2004, S. 9722–9723.

SEC (2005 a): Management’s Report on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports of Non-Accelerated Filers and Foreign Private Issuers. Final Rule, Extension of Compliance Dates, Re-lease No. 33-8545. In: Federal Register, Vol. 70, Nr. 44, 8. März 2005, S. 11528–11529.

SEC (2005 b): Roundtable Discussion on Implementation of Internal Control Provi-sions, 13. April 2005. [http://www.sec.gov/spotlight/soxcomp/soxcomp-trans.txt], 27. Juni 2005.

SEC (2005 c): Staff Statement on Management’s Report on Internal Control over Fi-nancial Reporting. Washington, D.C.: 16. Mai 2005.

SEC (2005 d): Management’s Report on Internal Control over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports of Companies That Are Not Accelerated Filers. Final Rule, Extension of Compliance Dates, Request for Comment, Release No. 33-8618. In: Federal Register, Vol. 70, No. 188, 29. September 2005, S. 56825–56826.

Siedel, George J. (1980): Legal Dimensions of Internal Accounting Control and the Foreign Corrupt Practices Act. In: Mautz, Robert K. et al. (Hrsg.): Internal Control in U.S. Corporations: The State of the Art. New York: Financial Executives Research Foundation, 1980, S. 405–434.

Simon-Heckroth, Ellen (1997): Risikoorientierte Abschlussprüfung (Ko-Referat). In: Richter, Martin (Hrsg.): Theorie und Praxis der Wirtschaftsprüfung. Abschlussprüfung – Interne Revision – kommunale Rechnungsprüfung. Berlin: Erich Schmidt, 1997, S. 61–70.

Literaturverzeichnis

253

Sjurts, Insa (1994): Kontrolle, Controlling und Unternehmensführung. Theoretische Grundlagen und Problemlösungen für das operative und strategische Management. Wiesbaden: Gabler, 1995. Zugl. Diss. Univ. der Bundeswehr Hamburg, 1994.

Solomon, Morton B./Cooper, Joe R. (1990): Reporting on Internal Control: The SEC’s Proposed Rules. In: Journal of Accountancy, Juni 1990, S. 56–63.

Steinberg, Richard M. (1994): Reaching consensus: The GAO’s acceptance of the COSO report. In: Journal of Accountancy, September 1994, S. 37–40.

Tipgos, Manuel A. (2002): Why Management Fraud is Unstoppable. In. The CPA Journal, Vol. 72, Nr. 12, 2002, S. 34–41.

Treuhand-Kammer (2001): Grundsätze zur Abschlussprüfung (GzA), Ausgabe 2001. Zürich: Treuhand-Kammer, 2001.

Treuhand-Kammer (2004): Schweizer Prüfungsstandards (PS), Ausgabe 2004. Zürich: Treuhand-Kammer, 2004.

Trotman, Ken T./Wood, Robert (1991): A Meta-Analysis of Studies on Internal Con-trol Judgment. In: Journal of Accounting Research, Vol. 29, Nr. 1, S. 180–192.

Turner, Lynn E. (1999): Remarks by Lynn E. Turner before the Panel on Audit Effec-tiveness, 7. Oktober 1999. [http://www.sec.gov/news/speech/speecharchive/1999/ spch307.htm], 11. November 2005.

UBS/Gallup (2002): Index of Investor Optimism, Februar 2002: Investor Optimism Falls in February. Vast Majority of Investors Troubled by Questionable Accounting Practices. [http://www.ubs.com/1/e/about/research/indexofinvestoroptmism/ pressroomeu_5/uspressroom/archive.html], 10. Mai 2005.

US Congress (2002): The Sarbanes-Oxley Act of 2002. Public Law 107-204. Wash-ington, D.C.: GPO, 2000.

US Congressional Record (2002): 107th Congress: Congressional Record; [http://www.gpoaccess.gov/cri/index.html], 21. Januar 2004.

US House of Representatives (2001 a): Joint Hearing before the Committee on Finan-cial Services. The Enron Collapse: Impact on Investors and Financial Markets. House Hearing 107-51, Part I. Washington, D.C.: GPO, 2001.

Literaturverzeichnis

254

US House of Representatives (2001 b): Joint Hearing before the Committee on Finan-cial Services. The Enron Collapse: Impact on Investors and Financial Markets. House Hearing 107-51, Part II. Washington, D.C.: GPO, 2001.

US House of Representatives (2002 a): The Comprehensive Investor Protection Act of 2002. H.R. 3818. Washington, D.C.: GPO, 2002.

US House of Representatives (2002 b): Hearings before the Committee on Financial Services. H.R. 3763 – The Corporate and Auditing Accountability, Responsibility, and Transparency Act of 2002. House Hearing 107-60. Washington, D.C.: GPO, 2002.

US House of Representatives (2002 c): Report of the Committee on Financial Services to Accompany H.R. 3763. House-Report 107-414. Washington, D.C.: GPO, 2002.

US House of Representatives (2002 d): Conference Report to Accompany H.R. 3763. House-Report 107-610. Washington, D.C.: GPO, 2002.

US House of Representatives (2003): How Our Laws Are Made. Washington, D.C.: GPO, 2003.

US House of Representatives (2005): The Impact of the Sarbanes-Oxley Act. Hearing before the Committee on Financial Services. House Hearing 109-21. Washington, D.C.: GPO, 2005.

US Senate (2003 a): Hearings before the Committee on Banking, Housing, and Urban Affairs, 107th Congress. In: The Legislative History of the Sarbanes-Oxley Act of 2002. Vol. I and II. Washington, D.C.: GPO, 2003.

US Senate (2003 b): Documents before the Committee on Banking, Housing, and Ur-ban Affairs, 107th Congress. In: The Legislative History of the Sarbanes-Oxley Act of 2002. Vol. I and II. Washington, D.C.: GPO, 2003.

Waggoner, Jeri B. (1990): Auditor Detection Rate in an Internal Control Test. In: Au-diting: A Journal of Practice & Theory, Vol. 9, Nr. 2, 1990, S. 77–89.

Wallace, Wanda A. (1981): Internal Control Reporting – 950 Negative Responses. In: The CPA Journal, Vol. 51, Nr. 1, 1981, S. 33–38.

Waller, William S. (1993): Auditors’ Assessment of Inherent and Control Risk in Field Settings. In: The Accounting Review, Vol. 68, Nr. 4, 1993, S. 783–803.

Literaturverzeichnis

255

Wanik, Otto (1992): Internes Kontrollsystem, Prüfung. In: Coenenberg, Adolf/Wysocki, Klaus von (Hrsg.): Handwörterbuch der Revision. – 2., neugestaltete und erg. Aufl. – Stuttgart: Poeschel, 1992, Sp. 896–907.

Whisenant, Scott J./Sankaraguruswany, Srinivasan/Raghunandan, K. (2003): Market Reactions to Disclosure of Reportable Events. In: Auditing: A Journal of Practice & Theory, Vol. 22, Nr. 1, 2003, S. 181–194.

White, Bernard J. (1980): Internal Control Practices: Formality, Informality, and Ef-fectiveness. In: Mautz, Robert K. et al. (Hrsg.): Internal Control in U.S. Corporations: The State of the Art. New York: Financial Executives Research Foundation, 1980, S. 337–344.

Willis, David M./Lightle, Susan S. (2000): Management Reports on Internal Controls. In: Journal of Accountancy, Oktober 2000, S. 57–66.

Wright, Arnold/Ashton, Robert H. (1989): Identifying Audit Adjustments with Atten-tion-Directing Procedures. In: The Accounting Review, Vol. 64, 1989, S. 710–728.

Wright, Arnold/Wright, Sally (1996): The Relationship Between Assessments of In-ternal Control Strength and Error Occurrence, Impact and Cause. In: Accounting and Business Research, Vol. 27, Nr. 1, S. 58–71.

Zhang, Ivy X. (2005): Economic Consequences of the Sarbanes-Oxley Act of 2002. Working Paper, University of Rochester, 2005.

Zikmund, William G. (2000): Business Research Methods. – 6. Aufl. – Fort Worth: Dryden Press, 2000.

Lebenslauf des Verfassers

15. Januar 1977 Geboren in Braunschweig

August 1987 – Juni 1996 Elisabeth-Langgässer-Gymnasium, Alzey Abitur

Juli 1997 – Juli 1998 Zivildienst beim Deutschen Roten Kreuz, Alzey

Oktober 1998 – Oktober 2002 Universität St. Gallen Lic.oec.HSG mit Vertiefung Finanzierung, Rechnungslegung und Controlling

September 2001 – Dezember 2001 Università Commerciale Luigi Bocconi, Milano

Oktober 2002 – Oktober 2006 Universität St. Gallen Dr.oec.HSG

Oktober 1998 – Juni 2000 International Students’ Committee (ISC), St. Gallen

November 2002 – November 2004 Novartis Animal Health AG, Basel Business Planning and Analysis

Seit Januar 2006 Novartis International AG, Basel Financial Controlling