Management der internen Kontrollprozesse nach dem Sarbanes-Oxly. Act. Dr. Olaf Homburg IDS Scheer AG

Transkript

1 Management der internen Kontrollprozesse nach dem Sarbanes-Oxly Act Dr. Olaf Homburg IDS Scheer AG

2 Agenda Auswirkungen des Sarbane-Oxley Acts Dokumentation der Risiken Implementierung des Kontrollprozesses Zusammenfassung und Perspektive 2

3 Auswirkungen des Sarbanes-Oxley Oxley-Act Interne Kontrollsysteme - Umweltanforderungen Erwartungen Kritische Prüfung der Finanzdaten Wahrung der Interessen der institutionellen Träger und Geldgeber Gesetzliche Anforderungen an das Finanzsystem Prozesse Technology User Anforderungen Transparenz Systeme Kontrollen Dokumentation Zeitnahe Datenbereitstellung Frühzeitige Identifikation von Risiken Unregelmässigkeiten dolosen Handlungen Resultat Reduzierung von Folgekosten Höhere Transparenz Gesteigertes Vertrauen Prävention von Manipulation Grundsätzliche Risikominderung 3

4 Sarbanes-Oxley Act bedeutet konkret: Unternehmen Unternehmenmüssen müssenden den Nachweis Nachweisüber überein ein funktionsfähiges funktionsfähigesinternes internes Kontrollsystem Kontrollsystem in in Bezug Bezugauf auf die die Finanzberichterstattung erbringen. erbringen. Informationen Informationen über über Schwachstellen Schwachstellen in in der der Finanzberichterstattunerstattungmüssen zeitnah zeitnah an an Abschlussprüfer Abschlussprüfer und und Finanzbericht- Prüfungsausschuss Prüfungsausschuss weitergeleitet weitergeleitet werden. werden. Die Die Unternehmensführung übernimmt übernimmt persönlich persönlich die die Verantwortung Verantwortung für für die die Vollständigkeit Vollständigkeit und und Richtigkeit Richtigkeit der der Finanzberichterstattung. Prozessmanagement wird wird zur zur Chefsache! 4

5 Agenda Auswirkungen des Sarbane-Oxley Acts Dokumentation der Risiken Implementierung des Kontrollprozesses Zusammenfassung und Perspektive 5

6 Sarbanes-Oxley Compliance Projekt I. SOX - Methode II. Definition und Auswahl der geeigneten SOX-Methode inklusive Anforderungen, Vorgehensweise, Dokumentationsstandards Erstellung eines verbindlichen SOX-Rahmenwerkes (SOX-Handbuch) SOX - Dokumentation und Testing Durchführung bzw. Unterstützung bei der Dokumentation und Evaluation des Internen Kontrollsystems Durchführung bzw. Unterstützung beim Testen des Internen Kontrollsystems III. SOX - IT Unterstützung Konfiguration für die SOX-konforme (Abschnitt 404) Dokumentation inklusive Konventionen Konfiguration des SOx Audit Manager zum Testen des Internen Kontrollsystems IV. SOX - Coaching Methodisches Coaching (SOX, Internes Kontrollsystem, Umsetzung) Tool Coaching (ARIS Toolset, ARIS SOx Audit Manager) 6

7 SOx Audit Manager ARIS SOx Audit Manager Dateninput / Konfiguration Verbindung des Kontrollsystems mit den Prozessen Workflowsoftware, die die Funktionsfähigkeit des internen Kontrollsystems sicherstellt. Kostengünstige Einführung und effizienter Betrieb durch Wiederverwendung vorhandener Daten Vollständige Dokumentation für die Sarbanes-Oxley Sektion 404- Zertifizierung Risk Portal Dateninput / Konfiguration ARIS Toolset 7

8 How to 1. Prozessdokumentation mit ARIS Toolset (Beispiel) Mietvertrag SAP An den Kontrollen beteiligte Personen 4 Augen-Prinzip Interne Kontrolle (SOX) Hier werden die SOx-relevanten Attribute hinterlegt Mietvertrags- Konditionen eingeben a p Sachbearbeiter Geschäftsführer Darstellung des 4- Augenprinzips mit ausführender (a) und prüfender (p) Verantwortung Für jede interne Kontrolle wird definiert: wer testet, was wird getestet, wie oft wird getestet, in welchem Zeitraum wird getestet, welchen Umfang hat der Test. Aus den Daten wird der ARIS SOx Audit Manager konfiguriert. 8

9 How to 2. Tester erhalten Information über anstehende Tests per , mit Link auf den ARIS SOx Audit Manager. 3. Tester meldet sich an, sieht eine Liste seiner offenen Tests, kann jeden Test per Mausklick öffnen und dokumentieren. 9

10 How to 4. Die Ergebnisse der Testfälle werden leicht verständlich und visuell dargestellt. Neuer Testfall, noch zu testen Kontrollen sind effektiv Kontrolle sind nicht vorhanden oder nicht effektiv Test war nicht durchführbar, z.b. weil kein Geschäftsvorfall im Untersuchungszeitraum angefallen Test wurde innerhalb des vorgegebenen Zeitraumes nicht durchgeführt Bei nicht effektiven Kontrollen: automatische an den zuständigen SOX-Verantwortlichen Bewertung und Einleitung von Gegenmaßnahmen (per automatischer E- Mail) 10

11 Agenda Auswirkungen des Sarbane-Oxley Acts Dokumentation der Risiken Implementierung des Kontrollprozesses Zusammenfassung und Perspektive 11

12 Sarbanes-Oxley Compliance Projekt Sarbanes-Oxley Compliance Projekt Phasen I. II. III. IV. Definition SOX- Rahmenwerk und Methodik Dokumentation / Bewertung der Prozesse und Internen Kontrollen Dokumentation / Behebung der Kontrollschwächen Testing und Überwachung der Internen Kontrollen Ergebnisse Sarbanes Oxley Section 404- Dokumentation Funtionsfähiges Internes Kontrollsystem SOX-Handbuch Dokumentationskonventionen Sarbanes- Oxley- Zertifikat 12

13 Sarbanes-Oxley Projektvorgehen I I. Definition SOX- Rahmenwerk und Methodik Definition des SOX-Projekts und SOX-Organisation Definition der IT- Unterstützung Definition des Dokumentationsfokus Erstellung des Internen Kontrollhandbuchs Definition der Dokumentationskonventionen Definition der benötigten Dokumentationsergebnisse und der notwendigen Vorlagen Kommunikation des SOX-Projektes Schulung SOX- Methodik und ARIS SOx Audit Manager 13

14 Sarbanes-Oxley Projektvorgehen II II. Dokumentation / Bewertung der Prozesse und Internen Kontrollen Identifizierung der SOX-relevanten Prozesse Dokumentation der SOXrelevanten Prozesse Dokumentation der Internen Kontrollen Bewertung der Internen Kontrollen Bewertung des Kontrolldesigns Generierung der SOX Sec. 404 Dokumentation Konsolidierung und Sign-Off von Dokumentation, Prozessen und Internen Kontrollen 14

15 Sarbanes-Oxley Projektvorgehen III III. Dokumentation / Behebung der Kontrollschwächen Identifizierung von Kontrollschwächen Festlegung von Maßnahmen zur Eliminierung von Kontrollschwächen Überwachung der Maßnahmen zur Eliminierung von Kontrollschwächen 15

16 Sarbanes-Oxley Projektvorgehen IV IV. Testing und Überwachung der Internen Kontrollen Konfiguration der Testfälle und Testhierarchie Generierung der Testfälle (vierteljährlich und jährlich) Durchführung der Tests Auswertung der Tests Verfolgung und Behebung der Kontrollschwächen Generierung der Testdokumentation Konsolidierung und Freigabe / Unterzeichnung der Testdokumentation 16

17 Prozessdokumentation/Modellierung Dokumentation von Prozessen und Kontrollen Dokumentation der SOX-Risiken Test interner Kontrollen Monitoring der SOX-Risiken Prozessorientierte Beschreibung des operativeninternen Monitoring-Systems in ARIS Reporting der identifizierten relevanten Risiken Intranet portal mit relevanten Prozessen und Prozessbeschreibungen als WEB-Export aus ARIS Überwachung des Monitoring-Prozesses mittels eines rollenbasierten Workflow-Systems ARIS Repository Reporting und monitoring Erfüllungsgrad Funktionen Erfüllungsgrad Rollen prozessual R inhaltlich Gewichtung F prozessual F inhaltlich R 03 Externe Anmietung durchführen_de 20% 9% 8% 0% PN03// Anmietungsangebote einholen, mit Kunde abstimmen//po: LMC_DE 100% 43% 40% 0% Mietvertragsentwurf erstellen Kundenangebot erstellen Objekte besichtigen/ auswählen Kundenwünsche und Finanzierung klären Vorvertrag abschliessen PN03// Anmietungsentscheidung vorbereiten und einholen//po: LMC_DE 0% 0% 0% 0% Expose zu Flächenprofil prüfen Expose einholen Objekte besichtigen/ vorauswählen Eckdaten aufbereiten Strategische Prüfung PN03// Fläche extern abmieten//po: LMC_DE 0% 0% 0% 0% Mietvertrag kündigen/ anpassen Kündigungsbedingungen verhandeln Vertrag beenden/ anpassen Räume & Flächen beenden/ anpassen PN03//Fläche extern anmieten//po: LMC_DE 0% 0% 0% 0% Anmietungsvertrag verhandeln Anmietungsvertrag abschließen Externen Anmietungsvertrag erfassen Räume & Flächen erfassen PN03//Objektblatt erstellen & genehmigen//po PSG (KL)_DE 0% 0% 0% 0% Objektblatt erstellen US GAAP prüfen Region informieren Objektblatt genehmigen Verwertung betreiben_de 07 Verwertung mit Rückmietung_DE PN07// Vorbereitung Verwertung mit Rückmietung//PO: DS (L)_DE Handbuch/Report Intranet Portal Audit Manager 17

18 SOx Audit Manager Section 404(a) Sarbanes-Oxley Act: Prozessbasierte Risiko Identifikation Definition und Audit der internen Kontrollen Top Management Verantwortung Jedes Unternehmen das an der US Stock Exchange gelistet ist ARIS Toolset Evaluation und Dokumentation ARIS Web Publisher ARIS Process Risk Scout Dokumentation und Publishing ARIS SOx Audit Manager Monitoring Sarbanes Oxley 18

19 SOx Audit Manager & Risk Scout ARIS SOx Audit Manager Datenbankbasiertes Audit Workflow-System Kostensparende Einführung und effizienter Betrieb Enthält alle Informationen für die Sarbanes- Oxley Sektion 404-Zertifizierung Verbindung des Kontrollsystems mit den Prozessen Risk Portal Wiederverwendung bestehender Daten Automatische Generierung der Testfälle und Benachrichtigung der Tester Protokollierung sämtlicher Aktionen Übernahme von Daten aus verschiedenen Quellsystemen Whistle-Blower-Funktionalität 19

20 Agenda Auswirkungen des Sarbane-Oxley Acts Dokumentation der Risiken Implementierung des Kontrollprozesses Zusammenfassung und Perspektive 20

21 Sarbanes-Oxley Compliance Projektschritte Definition and Identifikation der SOA-relevanten Prozesse Definition and Identifikation der SOA-relevanten Prozesse Dokumentation der SOA-relevanten Prozesse mit ARIS Dokumentation der SOA-relevanten Prozesse mit ARIS Test der SOA-Kontrollen auf Existenz und Effizienz Test der SOA-Kontrollen auf Existenz und Effizienz Dokumentation Dokumentation der der Kontrolle Kontrolle und und der der Testprozeduren Testprozeduren in in diesen diesen Prozessen Prozessen Abschließende Abschließende Abnahme Abnahme der der vollständigen vollständigen Dokumentation Dokumentation und und Vorgehensweise Vorgehensweise durch durch einen einen Wirtschaftsprüfer Wirtschaftsprüfer 21

22 Investitionssicherheit Wiederverwertbarkeit der Daten für weitere gesetzliche Anforderungen und Normen Nationale Corporate Governance Bestimmungen Projektverfolgung QM 22