SOX 404 und IT-Sicherheit - was gilt es zu beachten?

Transkript

1 Dem Audit Committee obliegt es, die Wirtschaftsprüfer zu bestellen, aber auch als Anlaufstelle für Informationen über evtl. Beschwerden und Unregelmäßigkeiten der Rechnungslegung innerhalb des Unternehmens zu dienen. Enhanced Financial Disclosures In diesem Abschnitt wird die erweiterte Informationspflicht bezüglich der Finanzdaten, insbesondere so genannte Off-Balance Sheet items in regelmäßigen Zeitabständen gefordert. Dazu gehört auch, dass Finanzstrukturen, Beteiligungen und vertragliche Verpflichtungen des Unternehmens aufgezeigt werden. Auch wird in diesem Absatz die Vergabe von Darlehen an Mitglieder des Board of Directors explizit verboten. Kapitel 404 SOX regelt aber auch den Aufbau und die Umsetzung eines Internen Kontrollsystems, auf das nachfolgend näher eingegangen wird. Erweiterte Informationspflicht bzgl. der Finanzdaten s. a Aufbau und Durchführung des Internen Kontrollsystems (IKS) Die Umsetzung des SOX in all seinen Facetten hat mit Sicherheit in vielen Unternehmen zu organisatorischen Veränderungen geführt. Die Anforderungen an das IKS bauen dabei auf dem COSO-Rahmenwerk des Committee of Sponsoring Organizations of the Tradeway Commission auf. Dies ist ein weltweit anerkannter Standard zur Beschreibung des IKS. In Deutschland ist hierbei insbesondere auf die Prüfungsstandards des Instituts der Wirtschaftsprüfer hinzuweisen. Weltweit anerkannter Standard zur Beschreibung des IKS (COSO) Verantwortung für das IKS Das SOX definiert den CEO (Chief Executive Officer-Vorstandsvorsitzender) und den CFO (Chief Financial Officer-Finanzvorstand) als die Personen im Unternehmen, die für die Einführung und Umsetzung des IKS in letzter Instanz verantwortlich sind. Sie müssen einen entsprechenden Bericht zur Wirksamkeit des IKS abgeben. Falls erforderlich, muss in diesem Bericht auf Material Weaknesses hingewiesen und entsprechende Korrekturen angekündigt werden. Allerdings kann das Management mögliche Schwächen für das IKS vernachlässigbar beurteilen (Minor Deficiencies). 1) SOX 404 und IT-Sicherheit - was gilt es zu beachten? Der Sarbanes Oxley Act (SOX) aus dem Jahr 2002 hat das Ziel, die Rechnungslegung von Unternehmen zu verbessern, die den US amerikanischen Kapitalmarkt in Anspruch nehmen. Hierunter fallen neben deutschen Unternehmen, die bei der Securities and Exchange Commission (SEC) registriert sind auch deutsche Tochtergesellschaften von SEC-registrierten Unternehmen. 19

2 Neben anderen wesentlichen neuen Verpflichtungen wird die Geschäftsführung dazu aufgefordert, in den veröffentlichten Jahresabschlüssen zu bestätigen, dass sie für die Einrichtung und Aufrechterhaltung eines angemessenen Internen Kontrollsystems (IKS) Sorge trägt, sie die Funktionalität und Qualität des IKS zeitnah beurteilt, sie offen legt, ob im Anschluss an diese Beurteilung Änderungen an dem IKS vorgenommen wurden, um zum Beispiel festgestellte Mängel zu beseitigen und sie sicherstellt, dass alle wesentlichen Informationen allen Mitgliedern der Geschäftsführung zugänglich gemacht wurden und sie das Audit Committee sowie den Abschlussprüfer umfassend über wesentliche Schwächen des IKS informiert hat. Das IKS bezieht sich auf die Kontrollmechanismen, die für die Zuverlässigkeit der Rechnungslegung wesentlich sind. Zu kontrollieren sind die Prozesse im Unternehmen, die in die Vorbereitung Erfassung Verarbeitung oder Berichterstattung von rechnungslegungsrelevanten Daten eingebunden sind. Für jeden Kontrollmechanismus müssen gemäß SOX zumindest folgende Dokumentationsanforderungen erfüllt sein: Beschreibung der Kontrolle, ihrer Arbeitsweise und ihrer Einbindung in das Gesamtkontrollumfeld der Gesellschaft Beschreibung der Entstehung, Genehmigung, Erfassung und Bearbeitung der wesentlichen, der Kontrolle unterliegenden Transaktionen ausreichend detaillierte Beschreibung des Informationsflusses der wesentlichen - der Kontrolle unterliegenden - Transaktionen Angabe der Kontrollverantwortlichen und Nachweis der durchgehenden Funktionstrennung hinsichtlich der Kontrollausübung sowie Dokumentation der Durchführung und der Ergebnisse von Kontrolltests. IT-Kontrollsystem als Bestandteil des IKS Für die Abbildung der rechnungslegungsrelevanten Prozesse im Unternehmen werden in großem Umfang IT-Systeme und IT-Anwendungen eingesetzt. Im Prüfungsstandard PS 330 des Instituts der Wirtschaftsprüfer in Deutschland (IDW Prüfungsstandard 330 Abschlussprüfung bei Einsatz von Informationstechnologie, ) wird folgerichtig davon gesprochen, dass das IT- Kontrollsystem integraler Bestandteil des IKS eines Unternehmens ist. 20

3 Für den Aufbau eines IKS gemäß PS 330 sind mögliche Risiken für die Prozesse zu identifizieren und Kontrollziele für die Reduktion dieser Risiken zu definieren. IT-Risiken können sich im Einzelnen auf die Ausgestaltung des Buchführungsverfahrens (also die Abbildung der Prozesse in der IT), auf die Richtigkeit der rechnungslegungsrelevanten Programmabläufe und Verarbeitungsregeln (Korrektheit und Fehlerfreiheit der IT-Anwendungen), auf den Schutz der IT- Infrastruktur (Systeme und Netze), auf die Sicherheit der rechnungslegungsrelevanten Daten sowie auf die IT-Organisation und das IT-Umfeld beziehen. Für jeden der genannten Bereiche sind insbesondere die folgenden Risikoindikatoren zu beachten: Abhängigkeiten (auf der Prozess- und Anwendungsebene zum Beispiel von Zulieferungen bzw. Verbindungen mit Geschäftspartnern, Kreditinstituten oder Behörden; auf der IT-System- und Infrastrukturebene insofern, als rechnungslegungsrelevante Daten i.d.r. elektronisch gespeichert und verarbeitet werden) Änderungen (bergen bei ungenügender Vorbereitung oder mangelndem Projektmanagement das Risiko von Kosten- oder Terminüberschreitungen sowie von inhaltlichen Mängeln oder ungenügender Anwenderakzeptanz) Know-how und Ressourcen (im Sinne des Fehlens von für den Betrieb erforderlichem Fachwissen oder von Fehlern oder Ausfällen, die durch Überlastung des Personals bewirkt werden) Geschäftliche Ausrichtung (des IT-Einsatzes durch Formulierung einer adäquaten IT-Strategie sowie durch Berücksichtigung der rechtlichen Rahmenbedingungen) Risiken feststellen und Kontrollziele definieren Kontrollziele zur Reduktion der zu identifizierenden Risiken in der Prozess- und Anwendungsebene lassen sich zum Beispiel aus den GoBS herleiten: Sicherung und Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art Bereitstellung vollständiger, genauer und aussagefähiger sowie zeitnaher Aufzeichnungen Förderung der betrieblichen Effizienz durch Auswertung und Kontrolle der Aufzeichnungen Unterstützung der Befolgung der vorgeschriebenen Geschäftspolitik Für die eingesetzten IT-Anwendungen sind Mechanismen einzusetzen, die bei der Erfassung, Verarbeitung, Ausgabe und Aufbewahrung von rechnungslegungsrelevanten Daten sicherstellen, dass deren Vollständigkeit, Richtigkeit, Zeitgerechtheit, Ordnung, Nachvollziehbarkeit und Unveränderlichkeit gewährleistet ist. Einsatz von Mechanismen zur Sicherstellung der Ordnungsmäßigkeit 21

4 22 Hierunter sind unter anderem sowohl Plausibilitätsprüfungen bei Dateneingaben zu verstehen, als auch Prüfungen hinsichtlich korrekter Datenformatierung zum Beispiel an Schnittstellen zwischen IT-Anwendungen, das Etablieren von Funktionen zur Gewährleistung des Nachvollzugs (Beleg- und Journalfunktion), die Verwendung von Ordnungskriterien, wie Belegnummern und Buchungsdaten sowie die Umsetzung eines stringenten Zugriffsberechtigungskonzepts, das auch die notwendige Trennung von Funktionen berücksichtigt. Erforderlich ist weiter die Aufnahme der relevanten IT-Anwendungen und -systeme. Die einzelnen IT-Systeme sind dabei den jeweiligen IT-Anwendungen und diese wiederum den Prozessen zuzuordnen. Als ausreichend werden in der Regel folgende Angaben angesehen: Für eine IT-Anwendung ist Name, Version und Hersteller der Software anzugeben. Weiter sind die Organisationsbezeichnungen der fachlichen und der technischen Betreuung der IT-Anwendung aufzuführen. Gegebenenfalls ist auf Outsourcing- oder Shared-Service-Beziehungen einzugehen. Zusätzlich sind Angaben darüber sinnvoll, ob die Software intern entwickelt, eingekauft und angepasst oder eingekauft und unverändert eingesetzt wurde. Zu einem IT-System ist die eingesetzte Hardware mit dem zugehörigen Hersteller anzugeben. Die Organisationsbezeichnung der verantwortlichen IT-Systembetreuung ist zu benennen. Weitere sinnvolle Angaben sind das verwendete Betriebssystem, die verwendeten Applikationsoder Datenbankmanagementsysteme, die eingesetzte Software zur Benutzer- und Berechtigungsverwaltung, Kommunikationssoftware sowie der Aufstellort der Hardware. Zum Umgang mit Risiken aus den Bereichen der IT-Organisation und dem IT- Umfeld werden mit COBIT (ISACF: COBIT Governance, Control and Audit for Information and Related Technology, 3 rd Edition, 2000) geeignete Kontrollziele und Einzelkontrollen definiert. COBIT bietet ein Standard-Prozessmodell für den Einsatz von IT. Es besteht aus 34 Einzelprozessen, die den Prozessgruppen Planung und Organisation, Beschaffung und Implementierung, Betrieb und Unterstützung sowie Überwachung zugeordnet sind. Zu jedem dieser Einzelprozesse werden prozessspezifische Kontrollen angegeben. Im Jahr 2004 wurden aus COBIT IT Control Objectives for Sarbanes-Oxley abgeleitet. Die Detaillierung der Dokumentation eines IKS gemäß SOX erfolgt auf der Ebene von Zielvorgaben. Für den Einzelprozess Facility Management aus der COBIT-Prozessgruppe Betrieb und Unterstützung wird zum Beispiel als Kontrollziel Schutz vor Umgebungseinflüssen genannt. Das konkrete Risiko für ein Unternehmen besteht darin, dass IT-Systeme, die für die Speicherung, Verarbeitung oder Bereitstellung von Finanzdaten eingesetzt werden, bedingt durch negative Umwelteinflüsse wie Brand, Wasser, Temperatur, Stromausfall oder durch sonstige Beschädigungen ausfallen.

5 1.0 Grundsätze des Internen Kontrollsystems (IKS) 1.4 Sonstige Richtlinien Eine geeignete Kontrollaktivität wäre in diesem Beispiel, solche IT-Systeme an einem Ort aufzustellen, der gegen Umwelteinflüsse durch Maßnahmen des Brand- und Wasserschutzes, der Temperaturkontrolle und Belüftung, durch einen Stromversorgungsschutz sowie mit einer Zutrittskontrolle geschützt ist. Die Implementierung des IKS bedarf ebenfalls einer vollständigen und korrekten Dokumentation. Die GoBS fordern hier eine Verfahrensdokumentation, die von einem sachverständigen Dritten hinsichtlich ihrer formellen und sachlichen Richtigkeit in angemessener Zeit prüfbar sein muss. Nach den GoBS muss diese insbesondere: s. a. Anlage B 1 eine Beschreibung der sachlogischen Lösung die Beschreibung der programmtechnischen Lösung eine Beschreibung, wie die Programm-Identität gewährleistet wird eine Beschreibung, wie die Integrität von Daten gewahrt wird und Arbeitsanweisungen für den Anwender enthalten. Eine Studie von Ernst & Young aus dem Jahr 2004 nennt folgende Zahlen zur Komplexität von IKS-Implementierungen gemäß SOX: Zwischen 100 und Kontrollen sind i. d. R. zu implementieren. Die Implementierungsdauer beträgt etwa 12 Monate. Es ist mit einem Implementierungsaufwand von cirka Mannstunden zu rechnen. Für die Durchführung der implementierten Kontrollaktivitäten wird oft zusätzliches Personal eingestellt. 2) 1.4 Sonstige Richtlinien Sämtliche Informationssysteme bezogen auf die Erfassung rechnungslegungsrelevanter Geschäftsprozesse unterliegen den Bestimmungen des Handels- und Steuerrechts. Die gesetzlichen Vorschriften des HGB sowie der Abgabenordnung beziehen sich auf die Grundsätze ordnungsmäßiger Buchführung (GoB). Diese gelten unabhängig von der Art der Buchführung, somit auch unabhängig von einer elektronischen Verarbeitung. Daher ist eine Präzisierung hinsichtlich der Interpretation der GoB beim Einsatz von IT-Systemen erforderlich. Fachliche Stellungnahmen erfolgen durch die Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.v. (AWV), den Fachausschuss für moderne Abrechnungssysteme (FAMA), das Institut der Wirtschaftsprüfer (IDW) sowie durch steuerrechtliche Richtlinien. Die Stellungnahmen gewährleisten eine Auslegung der GoB nach dem neuesten Stand der Wissenschaft und Informationstechnik. s. o. 1.2 Fachliche Stellungnahmen gewährleisten Auslegung der GoB nach dem neuesten Stand von Wissenschaft und Informationstechnologie 23