Compliance als Teil der Governance Was fordert die 8.EU-RL (nicht)?

Transkript

1 e Compliance als Teil der Governance Was fordert die 8.EU-RL (nicht)? Mag. Gunther Reimoser Ernst & Young CON.ECT Informunity Compliance, Governance, Risk-Management 19. Februar 2007

2 ompliancegov Vorstellung Gunther Reimoser Seit über 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft Zentralfunktion bei Ernst & Young in USA Geschäftsführer bei Ernst & Young, Leiter der Technologies & Security Risks Services sowie Risk Advisory Services Wirtschaftsprüfer, Steuerberater Certified Information Systems Auditor (CISA) Certified Information Systems Manager (CISM) Certified Information Systems Security Professional (CISSP) SAP Certified Consultant (SCC) Vorstandsmitglied von ISACA Austria Stv. Leiter des Fachsenats für Datenverarbeitung der Kammer der Wirtschaftstreuhänder Mitglied des Fachsenats für Unternehmensrecht und Revision Gutachterliche Tätigkeit ua zur Ordnungsmäßigkeit interner Kontrollsysteme 2

3 Vorstellung Ernst & Young Dienstleistungen Wirtschaftsprüfung und prüfungsnahe Beratung Steuerberatung Transaktionsberatung (CF) Rechtsberatung Human Capital Beratung Rd Mitarbeiter weltweit Über 400 in Österreich Rd in Central Europe Area (DE, AT, CH, GUS, PL, NL, CZ, SK, SL, HR, HU) Umsatz weltweit über EUR 16 Mrd. Rd. EUR 50 Mio. in Österreich Rd. EUR 2,5 Mrd. in Central Europe Area 3

4 Agenda Compliance & Governance & Risikomanagement Die 8. EU-Richtlinie Anforderungen Unterschied zum Sarbanes-Oxley Act Mögliche Auswirkungen Compliance Management 4

5 Governance - Definition Corporate Governance umfasst allgemein die Gesamtheit aller internationalen und nationalen Werte und Grundsätze für eine gute und verantwortungsvolle Unternehmensführung, welche sowohl für die Mitarbeiter als auch für die Unternehmensführung von Unternehmen gelten. (Quelle: wikipedia.de) Kennzeichen guter Corporate Governance Effiziente Unternehmensleitung Wahrung der Aktionärsinteressen Zielgerichtete Zusammenarbeit der Unternehmensleitung und - überwachung Transparenz in der Unternehmenskommunikation Angemessener Umgang mit Risiken Managemententscheidungen sind auf langfristige Wertschöpfung ausgerichtet 5

6 Definition (Enterprise) Risk Management Enterprise risk management is a process, effected by an entity s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. COSO Enterprise Risk Management Framework ( COSO 2 ) 6

7 Compliance Definition Der Begriff Compliance bezeichnet die Gesamtheit aller Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Organisationsmitglieder und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote begründen. Darüber hinaus soll die Übereinstimmung des unternehmerischen Geschäftsgebahrens auch mit allen gesellschaftlichen Richtlinien und Wertvorstellungen gewährleistet werden. Compliance gilt als ein bedeutendes Element der Corporate Governance. Zunehmend von Bedeutung für die Compliance sind auch die Informationssicherheit und der Datenschutz. (Quelle: wikipedia.de) 7

8 Compliance,, IKS & Risikomanagement Components Financial Reporting Objectives Operations Control Environment Risk Assessment Control Activities Information and Communication Monitoring COSO Internal Control Integrated Framework Compliance Functions Units Entity COSO II Enterprise Risk Management Integrated Framework 8

9 Überblick: Compliance Einordnung Einleitung Was ist Compliance? Typische Anforderungen Compliance Management Compliance & Sourcing Summary Gemäß COSO II ist Compliance eines der vier Hauptziele eines Unternehmens. Enterprise Risk Management (ERM, umfassendes Risikomanagement) ist das Mittel, um Compliance zu erreichen. ERM umfasst insbesonders das interne Kontrollsystem (COSO I), dessen Maßnahmen (unter anderem) die Einhaltung von Gesetzen und Regulativa ermöglichen. Compliance anders als etwa die Erreichung von strategischen Zielen wird durch äußere Einflüsse kaum berührt, geeignetes Compliance Management führt daher in der Regel zum Erfolg. 9

10 Versuch einer Einordnung Governance Risikomanagement Compliance 10

11 ompliancegov Die 8.EU Richtlinie Anforderungen Unterschied zum Sarbanes-Oxley Act Mögliche Auswirkungen 11

12 Überblick Veröffentlichung im EU-Amtsblatt am 9. Juni 2006 Beginn der 2-Jahres-Periode zur Umsetzung der Richtlinie in nationales Recht In Österreich durch GesRÄG 2005 und das A-QSG teilweise bereits erfolgt Abschlussprüferrichtlinie wendet sich vor allem an Abschlussprüfer bzw. deren Aufsichtsbehörden Ziele Verbindliche Vorgabe internationaler Prüfstandards (ISA) Aktualisierung der Ausbildungsvoraussetzungen Festlegung von Berufsgrundsätzen für den Prüfer Verbesserung und Harmonisierung der Qualität Stärkung des Vertrauens in die Abschlussprüfung 12

13 Wesentliche Inhalte Zulassungsvoraussetzungen für Abschlussprüfer und Prüfungsgesellschaften Leumund, Ausbildung, Prüfungen, Fortbildung Registrierung Berufsgrundsätze, Unabhängigkeit, Unparteilichkeit, Verschwiegenheit, Berufsgeheimnis Prüfungsstandards und Bestätigungsvermerk Qualitätssicherung Untersuchung und Sanktionen Öffentliche Aufsicht und gegenseitige Anerkennung Bestellung und Abberufung Besondere Bestimmungen für Abschlussprüfungen bei Unternehmen von öffentlichem Interesse 13

14 Der Sarbanes-Oxley Act (SOX) Geschaffen 2002 (law H.R. 3763) Reaktion auf Insolvenzen, Unterschlagungen, earnings restatements, etc. durch Einführung Neuer Corporate Governance Richtlinien Zusätzlicher Veröffentlichungsanforderungen (disclosure) Strengerer Strafbestimmungen Einer neuen Behörde, des Public Company Accounting Oversight Boards (PCAOB) 14

15 SOX Sections 302 und 404 Aufgaben des Managements Verantwortung, dass ein internes Kontrollsystem (IKS, internal control ) vorhanden und effektiv ist; Aufnahme in den report Die Effektivität des IKS innerhalb 90 Tagen vor Unterschrift zu evaluieren Über die Effektivität im report zu berichten Significant deficiencies und material weaknesses, sowie Jede Art von das IKS betreffenden fraud, dem Prüfer und Aufsichtsrat bekannt zu geben bzw die Tatsache des Vorhandenseins solcher im report aufzunehmen Verantwortlichkeiten des Prüfers Berichterstattung und Bestätigung über die Berichterstattung des Managements; dazu gehören lt. Audit Standard No. 2 Beurteilung des Evaluierungsprozesses des Managements Entwicklung eines Verständnisses über das finanzbezogene IKS Test und Beurteilung der Effektivität des Designs der internen Kontrollen über die Finanzberichterstattung Test und Beurteilung der internen Kontrollen hinsichtlich ihrer Effektivität Abgabe einer Stellungnahme über die Effektivität der finanzbezogenen internen Kontrollen. 15

16 8. EU-RL vs. SOX Aufsichtsbehörden in beiden Fällen Art und Wesen in 8. EU-RL kaum geregelt In den USA wesentlich mehr Befugnisse Erlassung von Prüfstandards 8. RL wendet sich kaum an Unternehmen Keine neuen Strafbestimmungen für das Management Keine Verpflichtung, das IKS regelmäßig zu prüfen Keine neuen Veröffentlichungserfordernisse für Unternehmen 16

17 Relevante Bestimmungen für Unternehmen Unternehmen von öffentlichem Interesse Börsenotierte, Versicherungen, Banken Bildung eines Prüfungsausschusses (in Ö: aus dem Aufsichtsrat), der folgendes zu überwachen hat: Rechnungslegungsprozess Wirksamkeit IKS, interner Revision, Risikomanagementsystem Abschlussprüfung und Unabhängigkeit Prüfer Abschlussprüfer hat dem Prüfausschuss zu berichten über Wichtigste Erkenntnisse der Prüfung Wesentliche Schwächen des rechnungslegungsbezogenen IKS [ ] ein wirksames internes Kontrollsystem tragen dazu bei [ ] Risiken zu begrenzen [ ] (Einleitung 8. EU-RL, 24) 17

18 Mögliche Auswirkungen 8. EU-RL wendet sich kaum an Unternehmen, ABER Der Benchmark von SOX bezüglich IKS wird abfärben Über den Prüfungsausschuss Überwachungsaufgaben (IKS, Risikomanagement, etc) Über den Prüfer Die Ausbildung von Prüfern greift IKS und Risikomanagement auf Der Prüfer muss über das IKS berichten Über den Markt kein formalisiertes (Self-) Assessment wie bei SOX, aber Verbesserung und Formalisierung IKS nötig 18

19 Reifegrade des IKS Gap! de facto Änderung de iure Änderung derzeit KMU IST derzeit Börse IST derzeit KMU SOLL derzeit Börse SOLL 8. EU-RL öff. Int. SOX 19

20 Reifegrade - Beschreibung 20

21 ompliancegov Compliance Management 21

22 Der Compliance Management Lifecycle Compliance Management Framework Anforderungs- & Risikoidentifikation Definition der Maßnahmen Überwachung Compliance Management Umsetzung der Maßnahmen Interne & externe Kommunikation 22

23 Compliance Management Framework Festlegung der Abläufe Erarbeitung der Compliance Grundsätze Compliance Richtlinie Stellenwert im Unternehmen Kosten! Management Commitment Sanktionsmechanismen Definition des Life-Cycles Aufbauorganisatorische Maßnahmen Schaffung eines Compliance Managers Kosten! Festlegung von Berichts- und Kommunikationswegen 23

24 Anforderungs- und Risikoidentifikation Identifikation aller Anforderungen Gesetze (Rechtsabteilung) Richtlinien, zb Konzernrichtlinien Normen, zb ISO Normen Andere Anforderungen, zb von Kunden Integration der verschiedenen Anforderungen Kosten! Bewertung der Risiken der non-compliance Vorgehen gemäß des Risiko Management Frameworks 24

25 Definition der Maßnahmen Festlegen des möglichen Handlungsspielraums In Abstimmung mit dem risk appetite Definition notwendiger Maßnahmen, um die compliance zu erreichen Änderungen im IKS und Einmalmaßnahmen Budgetierung Kosten! Zeit- und Ressourcenplan 25

26 Interne und externe Kommunikation Interne Kommunikation Einschätzung des Schulungsbedarfs Für Umsetzung der Maßnahmen Für laufende Pflege und Bewusstseinsbildung Herausgabe / Überarbeitung von Richtlinien, Anweisungen und Dokumentation Externe Kommunikation Kontakt mit Behörden, Zertifizierungsstellen, (Wirtschafts-)Prüfer Kontakt mit Outsourcern Externes Beschwerdemanagment Integration in das Kommunikations- und Krisenmanagement 26

27 Umsetzung der Maßnahmen Maßnahmen sind Teil des IKS Abarbeitung der einzelnen Projekt- oder Arbeitspläne Dokumentation der Umsetzung und der laufenden Pflege Effizienzsteigerung Integration der verschiedenen Maßnahmen Automatisierung statt manueller Kontrollen Integration verschiedener Dokumentationsanforderungen Kosten! 27

28 Überwachung Informationssammlung Umsetzung der Einmalmaßnahmen Laufende Pflege / Einhaltung Kosten der Maßnahmen / Pflege Kosten der non-compliance (zb durch Strafen) Abstimmung von Prüf-, Zertifizierungs- und Revisionstätigkeit Berichterstattung an das Management gemäß Framework compliance gaps Kosten! 28

29 Mag. Gunther Reimoser Wirtschaftsprüfer CISA, CISSP, CISM, SAP CC Geschäftsführer _ Ernst & Young Wirtschaftsprüfungs - gesellschaft m.b.h. Wagramer Straße 19, IZD-Tower A-1220 Wien _ Tel.: Mobil: +43 (699) Fax: Gunther.Reimoser@at.ey.com 29