Vorwort... V. Abkürzungsverzeichnis... XVII. 1 Vertrauensverlust in die Kapitalmärkte durch Finanzskandale... 7

Transkript

1

2 Inhaltsverzeichnis Vorwort V Abkürzungsverzeichnis XVII Einleitung I Regulatorisches Umfeld Vertrauensverlust in die Kapitalmärkte durch Finanzskandale Der Sarbanes-Oxley Act Geltungsbereich des Gesetzes Maßnahmen und Inhalt des Gesetzes Abschnitt I: Public Company Accounting Oversight Board Abschnitt II: Auditor Independence Abschnitt III: Corporate Responsibility Abschnitt IV: Enhanced Financial Disclosures Abschnitte V bis XI Final Rule zu internen Kontrollen der Finanzberichterstattung Das Public Company Accounting Oversight Board Organisation des PCAOB Aufgabenbereiche des PCAOB Gesetze und Initiativen in Europa Bestrebungen auf EU-Ebene Mitteilung zur Stärkung der Abschlussprüfung in der EU Aktionsplan zur Modernisierung des Gesellschaftsrechts Bestrebungen in Deutschland Maßnahmenkatalog zur Stärkung der Unternehmensintegrität und des Anlegerschutzes Gesetzesentwurf zur Stärkung der Rolle des Abschlussprüfers

3 VIII Inhaltsverzeichnis Gesetzesentwurf zur Überwachung der Rechtmäßigkeit konkreter Unternehmensabschlüsse Bestrebungen in Österreich und der Schweiz Zusammenfassende Betrachtung des regulatorischen Umfelds II Auswirkungen auf das Unternehmen Sarbanes-Oxley im Unternehmensfokus Transparenz interner Kontrollen Einrichtung von Disclosure Controls and Procedures Definition und Anwendungsbereich Pflicht zur eidesstattlichen Bestätigung von Berichten (Certification) Ausgestaltung von Disclosure Controls and Procedures Aufgaben eines Disclosure Committee Einrichtung von Internal Control over Financial Reporting Gesetzliche Anforderungen Auswirkungen auf das Management Bericht über das interne Kontrollsystem der Finanzberichterstattung Identifizierung von internen Kontrollen der Finanzberichterstattung Vorschriften zur Bewertung von internen Kontrollen der Finanzberichterstattung Abgrenzungen zwischen Disclosure Controls and Procedures und Internal Control over Financial Reporting Ethics & Corporate Governance Das Audit Committee und die Stärkung von Corporate Governance Entwicklung von Audit Committees Anforderungen an das Audit Committee gemäß Sarbanes-Oxley Act Mitglieder eines Audit Committees Unabhängigkeit der Audit Committee- Mitglieder Anforderungen an einen Financial Expert. 60

4 Inhaltsverzeichnis IX Das Verhältnis zwischen Audit Committee und Wirtschaftsprüfer Wahl und Vergütung der Wirtschaftsprüfer Überwachung der Unabhängigkeit der Wirtschaftsprüfer Zusammenfassende Betrachtung des Audit Committees Code of Ethics Gesetzliche Anforderungen Auswirkungen auf das Management Verhinderung und Aufdeckung von Fraud Fraud im Rahmen des Sarbanes-Oxley Act Kontrollen des Managements Kontrollen des Audit Committees Kontrollen des Abschlussprüfers Whistleblower Protection Informantenschutz Einrichtung eines Incident Management-Systems Richtlinien für den Umgang mit Fehlverhalten Zusammenfassung der wichtigsten Auswirkungen III Das interne Kontrollsystem Einleitung Definition des internen Kontrollsystems (IKS) Grundlegende Definition COSO als Rahmenwerk für das interne Kontrollsystem Zweck und Auftrag von COSO Die Definition des IKS nach COSO Komponenten des internen Kontrollsystems COSO und die Finanzberichterstattung Die praktische Bedeutung von COSO Internal Controls nach internationalen und nationalen Prüfungsstandards Die internationalen Prüfungsstandards (ISA) Die deutschen Prüfungsstandards (PS) Analyse und Bewertung der Effektivität des IKS Definition der Effektivität des internen Kontrollsystems Ziele interner Kontrollsysteme

5 X Inhaltsverzeichnis Interne Kontrollen der Finanzberichterstattung (Financial Reporting) Interne Kontrollen der Geschäftstätigkeit (Operations) Interne Kontrollen zur Sicherstellung der Einhaltung von Gesetzen und Vorschriften (Compliance) Bewertungskriterien für die Design- und Operating Effectiveness Design Effectiveness Operating Effectiveness Effizienz des internen Kontrollsystems Relevante Prüfungsstandards zur Beurteilung der Effektivität interner Kontrollen Überprüfung der Effektivität des IKS nach Section 404 SOA und PCAOB Die Vorgehensweise des Abschlussprüfers Auswirkungen des PCAOB-Standards auf das Management Prüfung und Beurteilung des IKS nach ISA Prüfung und Beurteilung des IKS nach IDW PS Prüfung und Beurteilung der IT-Kontrollen Der Sarbanes-Oxley Act und Enterprise Risk Management Interne Kontrollen und Enterprise Risk Management Das ERM-Rahmenwerk (COSO II) Das IKS nach COSO als Baustein für ERM Ziele und Komponenten von ERM ERM in der Praxis Voraussetzungen für ERM Prozesse und Schlüsselelemente bei der Einführung von ERM Aufbau von ERM-Kompetenzen Erfolgsfaktoren für ERM Vorteile von ERM Zusammenfassung

6 Inhaltsverzeichnis XI IV Methodik Einleitung Projektorganisation und Scope festlegen Regulatorische Anforderungen verstehen Projektziele und -struktur definieren Projektziele Projektstruktur Projekt-Scope festlegen Erstellung des Unternehmensüberblicks Identifizierung der wesentlichen Elemente der Rechnungslegung und Zuordnung der Assertions Festlegung des Abdeckungsgrads Unternehmenseinheiten für den Projekt-Scope auswählen Weitere Aspekte des Scopings auf Unternehmensebene Identifizierung der Unternehmensprozesse Vorgehensweise und Dokumentationsstandards festlegen Projektplan und Ressourcen festlegen Tool auswählen Scope, Vorgehensweise und Projektplan kommunizieren Prozess- und Kontrolldesign dokumentieren und bewerten Zentralen Organisations- und Prozesskatalog aufbauen Organisations- und Prozessstruktur aufnehmen Risiken und Kontrollziele pro Prozess definieren Bilanz- und GuV-Positionen Prozessen zuordnen Prozesse den Organisationseinheiten zuordnen Tool und Methode einführen Tool installieren und testen Tool- und Methodenschulung konzipieren Pilotprojekt vorbereiten und durchführen Tool und Methoden-Roll-out Dokumentation und Bewertung des internen Kontrollsystems Aufnahme der übergeordneten COSO- Komponenten Prozessschritte und Kontrollen dokumentieren

7 XII Inhaltsverzeichnis Kontrolldesign analysieren und bewerten Kontrollschwächen identifizieren, dokumentiere und validieren Kontrollschwächen beheben Maßnahmen zur Behebung der Kontrollschwächen festlegen Umsetzung der Maßnahmen überwachen Kontrolldesign erneut bewerten bzw. Kontrolltest erneut durchführen Wirksamkeit des internen Kontrollsystems testen Umfang der Kontrolltests festlegen Zeitraum der Kontrolltests planen und Ressourcen bereitstellen Kontrolltests durchführen Ergebnisse der Kontrolltests dokumentieren und bewerten Sign-off und Managementberichterstattung Auswertung des Designs und der Wirksamkeit der Kontrollen Analyse auf Basis der Prozess-Sicht Analyse auf Basis der festgelegten Kontrollziele Analyse auf Basis der Konten-Sicht Bericht über identifizierte Kontrollschwächen Bericht über die Beseitigung der Kontrollschwächen Sign-off-Prozess Managementbericht über das interne Kontrollsystem Externe Berichterstattung Attestieren und Berichten SOA 404 Prüfungsplanung und -vorgehen Beurteilung der Vorgehensweise des Managements Beurteilung der COSO-Elemente und der Kontrollen auf der Unternehmensebene (Company-level Controls) Prüfung interner Kontrollen durch einen externen Prüfer Einschätzung und Bericht des Abschlussprüfers Projektmanagement/Project Support Office Projektbegleitende Prüfung/Qualitätssicherung Ziele der projektbegleitenden Qualitätssicherung

8 Inhaltsverzeichnis XIII 9.2 Planung und Durchführung der projektbegleitenden Qualitätssicherung Informationsweitergabe und Kommunikation Zusammenfassung Zusammenfassung V Praxisberichte aus Sarbanes-Oxley-Projekten Projektstruktur und Vorgehensmodell der Bayer AG zur Umsetzung der Anforderungen des Sarbanes-Oxley Act (Section 404) Zentrales Kernteam mit dezentralen Gesellschaftsteams Projektleitung Vertretung der Teilkonzerne und Servicegesellschaften Teilprojektstruktur (Subteams) Subteam Processes Subteam Self-Assessment Subteam Monitoring of ICS Subteam Software Infrastructure Subteam General IS Controls ICS Requirements Project-Office Regionale Koordination Einbindung des Wirtschaftsprüfers Die Bedeutung des Sarbanes-Oxley Act für die Interne Revision der DaimlerChrysler AG Aktivitäten im Rahmen der Umsetzung des Sarbanes-Oxley Act Bildung von Projektgruppen und Committees Neuordnung der Berichtswege Aktualisierung der Geschäftsordnung des Prüfungsausschusses Herausgabe eines Ethik-Kodex für die oberen Führungskräfte Zertifizierung und Subzertifizierung Projektgruppe»Internal Control over Financial Reporting« Dokumentation der Internen Kontrollsysteme Prüfung der Wirksamkeit der Internen Kontrollsysteme Erstellung des Internen Kontrollberichts

9 XIV Inhaltsverzeichnis 2.2 Auswirkungen auf die Interne Revision als Abteilung Die Bedeutung des Sarbanes-Oxley Act für die Interne Revision Projekt S-OX 404 Umsetzung der Section 404 bei der Deutschen Telekom Projekt Set-up Projektorganisation Scoping aus Sicht der Deutschen Telekom Die quantitative Auswahl Die qualitative Auswahl Auswahl von Prozessen und Pilotierung Schlusswort Praxisbericht zum SOX-Projekt der Dresdner Bank Überblick über das Projekt Perspektive des Sarbanes-Oxley-Projektleiters Projektstruktur und Projekt-Set-up Scoping-Prozess Tool-Auswahl und Pilotierung Nächste Schritte Die Initiierung und Konzeption eines konzernweiten Sarbanes-Oxley Act Section 404 Readiness-Projektes bei E.ON Ausgangslage Projektvorgehen Grundlagen Projektinitiierung und -konzeption Nächste Schritte Kritische Erfolgsfaktoren Fazit Die Umsetzung des Sarbanes-Oxley Act bei der SAP AG, Fokus Internes Kontrollsystem (Sec. 404, 302 SOA) Projektstruktur: Verteilte Verantwortung bei zentraler Koordination Aufwändigste Anforderung: Dokumentation, Testing und Zertifizierung des Internen Kontrollsystems gemäß Sec. 404, 302 SOA Herausforderungen des»regelbetriebs«: Systemtechnische Unterstützung durch das SAP-Tool»Management of Internal Controls (MIC)«

10 Inhaltsverzeichnis XV 7 Erfahrungen von Xerox als Tochter einer US-Firma Projektstart Definition des Projektumfangs Dry Run Empfehlungen VI Unterstützung von SOA- und anderen IKS-Projekten durch SAP s»management of Internal Controls« IT-Unterstützung für das Management interner Kontrollen Erwartungen an eine SOA-Anwendung SAP-Anwendung Management of Internal Controls Die SAP-Anwendung MIC im Detail Phasen Organisationseinheiten, Prozesse, Kontrollziele, Risiken und interne Kontrollen Zentrale Definition von Organisationseinheiten, Prozessen, Kontrollzielen und Risiken Organisationseinheiten-spezifische Definition von Prozessen und internen Kontrollen MIC-Aufgaben- und Rollenkonzept MIC-Workflow-Konzept Beurteilung des Designs interner Kontrollen Test der Effektivität interner Kontrollen Interne Kontrollen auf Management-Ebene Berichtswesen Sign-off mysap ERP und Packaged Solution Zusammenfassung und Ausblick VII Zusammenfassung und Ausblick Literaturverzeichnis Glossar Stichwortverzeichnis Die Autoren