Sarbanes-Oxley und Corporate Compliance

Transkript

1 Sarbanes-Oxley und Corporate Compliance Nachhaltigkeit, Optimierung, Integration von Christof Menzies 1. Auflage 2009 Schäffer-Poeschel Verlag für Wirtschaft + Steuern + Recht 2006 Verlag C.H. Beck im Internet: ISBN Zu Leseprobe schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG

2

3 Inhaltsverzeichnis Preface V Vorwort VII Abkürzungsverzeichnis XVII Einleitung IXX I Corporate Compliance in einem dynamischen Umfeld Der Compliance-Begriff Bedeutende globale Regeln und Standards OECD Principles of Corporate Governance Industriespezifische Regeln und Standards Neugestaltung von Eigenkapitalvorschriften für Kreditinstitute (Basel II) Der Sarbanes-Oxley Act und der Foreign Corrupt Practices Act als Beispiele wesentlicher Bestimmungen für US-börsennotierte Unternehmen Der Sarbanes-Oxley Act Auswirkungen und aktuelle Entwicklungen Auswirkungen des Sarbanes-Oxley Act Compliance-Zeitpunkte für die Umsetzung der Section Weiterentwicklung von Prüfungsstandards durch das Public Company Accounting Oversight Board Committee of Sponsoring Organizations of the Treadway Commission Weitere Strategie der Securities and Exchange Commission Der Foreign Corrupt Practices Act Bedeutung und Auswirkungen für Unternehmen Ursprung und Entwicklung Anti-Korruptionsvorschriften Rechnungslegungs- und Buchführungsvorschriften Verletzungen des FCPA durch Unternehmen Ausblick auf die zukünftige Entwicklung Listing-Standards ausgewählter Börsen Corporate-Governance-Standards der New York Stock Exchange Corporate-Governance-Standards der London Stock Exchange Frankfurter Wertpapierbörse Entwicklungen in Europa Umsetzung des EU-Aktionsplans»A modern legal framework for company law and governance in Europe« Europäisches Corporate-Governance-Forum Wesentliche Richtlinien und Empfehlungen der EU Stärkung von Abschlussprüfer und Audit Committees durch die 8. EU-Richtlinie (Abschlussprüferrichtlinie)

4 X Inhaltsverzeichnis Empfehlungen der Kommission zu den Aufgaben der nicht geschäftsführenden Direktoren/Aufsichtsratsmitglieder sowie zu den Ausschüssen des Verwaltungs- bzw. Aufsichtsrats Moderne Rechnungslegungsstandards in der EU Harmonisierung von Anforderungen an Prospekte Kontrolle durch mehr Transparenz Vereinfachung und Modernisierung der Zweiten Gesellschaftsrechtsrichtlinie über die Erhaltung und Änderung des Kapitals von Aktiengesellschaften Einheitliche europäische Rechtsform für Kapitalgesellschaften Verschmelzungen von Kapitalgesellschaften innerhalb der Europäischen Union Übernahmerichtlinie Änderung der Bilanzrichtlinien Richtlinienvorschlag zur Stärkung der Aktionärsrechte Die Transformation von EU-Anforderungen in das Regelwerk eines Mitgliedstaats am Beispiel Deutschlands Das Bilanzkontrollgesetz Das Bilanzrechtsreformgesetz Das Anlegerschutzverbesserungsgesetz Das Kapitalanleger-Musterverfahrensgesetz Offenlegung der Vorstandsvergütungen Haftung versus Business Judgement Rule Strengere Haftung für falsche Kapitalmarktinformationen Gesetz zur Einführung der Europäischen Gesellschaft Elektronisches Unternehmensregister Umsetzung des Deutschen Corporate Governance Kodex in der Unternehmenspraxis Zusammenfassung und Ausblick II Das GRC-Stufenmodell Nachhaltigkeit, Optimierung und Integration von Governance, Risikomanagement und Compliance Corporate Compliance stufenweise erreichen Das GRC-Stufenmodell Compliance (Stufe 1) Transformation und Optimierung (Stufe 2) Compliance-Driven Optimization (stufenübergreifend) Integration und Optimierung (Stufe 3) Bedeutung der Strukturmerkmale im Stufenmodell Compliance am Beispiel von Section 404 des Sarbanes-Oxley Act Wesentliche Erfahrungen aus SOA-404-Projekten Erfahrungen nach Projektphasen Projektorganisation/Projektmanagement festlegen Scope festlegen Prozesse und Kontrollen dokumentieren und bewerten Wirksamkeit des internen Kontrollsystems testen Kontrollschwächen beheben

5 Inhaltsverzeichnis XI Sign-off und Managementberichterstattung durchführen Veröffentlichte Material Weaknesses: Erste Erfahrungen Ausgewählte Aspekte bei der Umsetzung des Sarbanes-Oxley Act in der Informationstechnologie Erfüllung der SOA-404-Anforderungen im Steuerbereich SAS 70 Erfahrungen, Trends und Entwicklungen Nutzen und Nutzenpotentiale von Section 404 aus Sicht der Unternehmen Auswirkungen des Sarbanes-Oxley Act auf das Investorenverhalten Analyse empirischer Befunde Einleitung Aufwendungen für die Umsetzung des SOA Auswirkungen auf das Investorenverhalten Verabschiedung des SOA Zertifizierung durch CEO und CFO Delisting Material Weaknesses Zusammenfassung und Ausblick Umfrage von PricewaterhouseCoopers zu»sarbanes-oxley/ Internal Control Compliance«in Deutschland Aufbau der Befragung Zusammenfassung der Ergebnisse Zusammenfassung und Ausblick Compliance Sustainability der Weg zu nachhaltiger Compliance Umsetzungsmethodik zum Erreichen der Nachhaltigkeit Analysephase Designphase Gestaltungsphase Umsetzungsphase Durchführungsphase Change Management Compliance-Sustainability-Elemente Compliance-Aufbauorganisation Compliance-Rahmenwerk Kommunikationsprozesse Trainings- und Personalentwicklungsprogramme Scoping- und Risikobewertungsprozess Überwachung und Sicherung des Compliance-Status (Compliance Controlling) Remediation-Prozess: Vorgehensweise zum Umgang mit Abweichungen von Compliance-Anforderungen Compliance-Dokumentationsprozesse Technologieunterstützung Exkurs: SOA-/Compliance Tools zur Unterstützung der Anforderungen des SOA und deren Einführung Ausgewählte SOA-/Compliance Tools SAP Management of Internal Controls IDS-Scheer ARIS Compliance Management Solution Paisley Consulting Risk Navigator

6 XII Inhaltsverzeichnis OpenPages FCM (Financial Controls Management) Microsoft Office Solution for Sarbanes-Oxley Auswahl einer geeigneten Software zur Unterstützung der Erfüllung des Sarbanes-Oxley Act Umsetzung mittels SOA Tool Implementation Methodology Zusammenfassung und Ausblick Compliance-Driven Optimization Nutzenorientierte Umsetzungsmethodik für Compliance-Driven Optimization Analysephase im CDO-Modell Voranalyse Qualitative Aspekte der Voranalyse Analyse der Company-Level Controls Analyse von erkannten, aber nicht behobenen Schwachstellen Analyse von Quick Fixes Quantitative Verfahren der Voranalyse Ermittlung der relativen Häufigkeit von Schwachstellen Ermittlung des Grads der Prozessheterogenität Auswerten und Plausibilisieren der Ergebnisse Auswertung von externen Informationen (externes Benchmarking) Detailanalyse Quantitative Verfahren der Detailanalyse Internes Benchmarking (Prozesse) Portfolioanalyse (Kontrollen) Qualitative Verfahren der Detailanalyse Zusammenführen der Ergebnisse Aufwand-Nutzen-Analyse (Business Case) Designphase im CDO-Modell Definition des Soll-Zustands Design der Geschäftsprozesse Design der internen Kontrollen Reduzierung oder Eliminierung von Kontrollen Erhöhung des Automatisierungsgrads von Kontrollen Standardisierung und Zentralisierung von Kontrollen Reduzierung der Key Controls IT-gestützte Control-Evidence-Verwaltung Automatisiertes Testen der Kontrollfunktion Definition von Anforderungen an Systeme und Technologien Design der Organisationsstruktur Konzeption von Verfahrensanweisungen und Richtlinien Entwicklung einer Implementierungsstrategie Entwicklung eines Implementierungsansatzes Definition des Implementierungsvorgehens Entwicklung einer Schulungsstrategie Gestaltungsphase im CDO-Modell

7 Inhaltsverzeichnis XIII Vervollständigung der strukturellen Ausprägungen des Soll-Modells Entwicklung von Implementierungsplänen Umsetzungsphase im CDO-Modell Implementierung der Veränderungen Messung der Zielerreichung im Rahmen des Benefits Managements Kontinuierliche Verbesserung im Rahmen des Benefits Managements Kontinuierliche Verbesserung zur weiteren Steigerung des Optimierungsgrads Der kontinuierliche Verbesserungsprozess Kontinuierliche Verbesserung durch Analyse der Performance-Indikatoren Kontinuierliche Verbesserung durch Integration der Mitarbeiter Kontinuierliche Verbesserung durch eine integrierte Organisationsstruktur Kontinuierliche Verbesserung durch integrierte Reportingstrukturen Sonderbeiträge zum Thema Optimierung im Compliance-Umfeld Optimierung durch Zentralisierung und Auslagerung Organisatorische Ausprägungen von Prozessen Organisation der Dienstleistung Instrumente zur Kontrollerreichung Zusammenfassung und Ausblick Compliance-gerechtes Management von IT-gestützten Geschäftsprozessen (Mercury) Bewältigung der Funktionstrennung (Segregation of Duties) durch Automatisierung und Prävention: Ein nachhaltiger Ansatz zur Sarbanes-Oxley Compliance (SAP GRC Business Unit) Exkurs: Konsequente Ausrichtung von Accounting und Reporting an Effektivität und Effizienz Zusammenfassung und Ausblick Die Integration von Governance, Risikomanagement und Compliance Das GRC-Zielmodell Corporate Governance Definition und Nutzen von Corporate Governance Komponenten einer effektiven Corporate Governance Risikomanagement Definition und Nutzen von Risikomanagement COSO II Komponenten eines effektiven Risikomanagements Compliance Definition und Nutzen von Compliance Rule-Based Compliance Management Die GRC-Umsetzungsmethodik Analysephase Projektstart und Stakeholder-Analyse

8 XIV Inhaltsverzeichnis Erstellung und Pflege der unternehmensspezifischen Corporate Rule Base Aufnahme des unternehmensweiten GRC-Umfelds Identifizierung von GRC-Potentialen Benefits, Projekt- und Change Management Designphase Entwicklung des unternehmensspezifischen GRC-Zielmodells Entwicklung von Implementierungsstrategien Trainings- und Schulungsmaßnahmen Gestaltungsphase Entwicklung von GRC-bezogenen Komponenten der Organisation und Prozesse Entwicklung von GRC-bezogenen Systemen und Technologien Umsetzung und Kontinuität GRC Operating Model für den Regelbetrieb Strategie, Organisation und Management Monitoring und Reporting Operations und kontinuierliche Verbesserung Zusammenfassung und Ausblick III Praxisberichte Übergang von der SOX-Projektorganisation zur dauerhaften Linienverantwortung bei der Bayer AG Ausgangssituation Group ICS-Management Subgroup ICS-Manager Die Rolle des ICS-Managers Die Einordnung des ICS-Managers in der lokalen Organisation Aufgaben und Verantwortung des ICS-Managers Ausbildung des ICS-Managers Erfahrungen mit der neuen Organisation Deutsche Telekom: Von einem konzernweiten S-OX404-Projekt zur Compliance-Organisation Vorwort Stand und Umsetzung der S-OX404-Anforderungen bei der Deutschen Telekom Kritische Erfolgsfaktoren der Implementierungsphase Projekt- und Prozessmanagement Schaffung der einheitlichen methodischen Rahmenbedingungen Konsequente Umsetzung eines Top-down-Vorgehens Das Konzept des Control Self Assessments Interaktion in der konzernweiten Beurteilung und Behebung von Kontrollschwächen Qualitätsüberwachung durch die Interne Revision

9 Inhaltsverzeichnis XV Abbildung von Leistungsbeziehungen Einführung des konzernweiten S-OX404-IT-Tools Reduzierung des Compliance-Aufwands Integration der konzernweiten Compliance-Aktivitäten Schlusswort Umsetzung der Anforderungen hinsichtlich»rechnungsrelevanter Aussagen«bei E.ON Bedeutung von»rechnungs legungs relevanten Aussagen«im Rahmen von Section 404 des SOA Herausforderungen für das SOA-Readiness-Projekt Verknüpfung von Kontrollen mit rechnungslegungsrelevanten Aussagen Zentrale Verknüpfung Dezentrale Verknüpfung Praktische Umsetzungsprobleme Maßnahmen zur Verbesserung der Dokumentationsqualität Änderung im Projektvorgehen Zentrale fachliche Anleitung Änderungen in SAP MIC Erfahrungen mit dem geänderten Projektansatz Zusammenfassung und Ausblick Vom Projekt zum Prozess am Beispiel der SAP AG Nachhaltigkeit und Mehrwert der unternehmensinternen SOX-Compliance Anstrengungen sichern Zwischen Projekt und Prozess Statusbericht zu»mic@sap« Stand des Projektes zum Vorbereitungen zur Überführung in langfristige Organisationsstrukturen Erste Schritte über die SOX-Compliance hinaus Einbindung von»mic@sap«in SAP s Global Risk Management Framework Ausblick: Integration der Complianceinitiativen der SAP zu einem ganzheitlichen Corporate Governance / Compliance Framework Compliance bei Non-SEC-Unternehmen am Beispiel der Schweizerische Bundesbahnen SBB Intro Facts and Figures Ausgangslage Auslöser Projektauftrag und -ziel Rahmenbedingungen Ansatz SOX-light Grundsätze Methodik Ansatz Projektvorgehen Projektorganisation Projektteam

10 XVI Inhaltsverzeichnis Einbindung des Wirtschaftsprüfers Projektaufwand Umsetzung SOX-light Scoping Dokumentation Prozesse Risiken Key Controls IT-Tool für die Dokumentation des IKS Test und Maßnahmencontrolling Sign-off Lessons learned Nutzen Ausblick Fazit IV Zusammenfassung und Ausblick Literaturverzeichnis Glossar Das Autorenteam Register