Christof Menzies (Hrsg.) Sarbanes-Oxley Act. Professionelles Management interner Kontrollen

Transkript

1 Christof Menzies (Hrsg.) Sarbanes-Oxley Act Professionelles Management interner Kontrollen

2 Sehr geehrte Leserin, sehr geehrter Leser, vielen Dank, dass Sie dieses E-Book erworben haben. Damit Sie das Produkt optimal nutzen können, möchten wir Sie gerne auf folgende Navigationsmöglichkeiten hinweisen: Die Verlinkungen im Text ermöglichen Ihnen eine schnelle und komfortable Handhabung des E-Books. Um eine gewünschte Textstelle aufzurufen, stehen Ihnen im Inhaltsverzeichnis und im Register als Link gekennzeichnete Kapitelüberschriften bzw. Seitenangaben zur Verfügung. Zudem können Sie über das Adobe-Digital-Editions-Menü»Inhaltsverzeichnis«die verlinkten Überschriften direkt ansteuern. Erfolgreiches Arbeiten wünscht Ihnen der Schäffer-Poeschel Verlag

3

4 Christof Menzies (Hrsg.) Sarbanes-Oxley Act Professionelles Management interner Kontrollen 2004 Schäffer-Poeschel Verlag Stuttgart

5 Weitere Informationen zu den Themen Sarbanes-Oxley Act, Corporate Governance, Enterprise Risk Management, aktuellen regulatorischen Veränderungen und deren Auslegung fi nden Sie auf unserer Internetseite. Besuchen Sie Bibliografische Information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über < abrufbar e-book ISBN Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen Schäffer-Poeschel Verlag für Wirtschaft Steuern Recht GmbH & Co. KG Einbandgestaltung: Willy Löffelhardt Satz: Johanna Boy, Brennberg Schäffer-Poeschel Verlag Stuttgart Ein Tochterunternehmen der Verlagsgruppe Handelsblatt

6 Vorwort Globalisierung verlangt neue Konzepte Der Kapitalmarkt und die Öffentlichkeit sind auf die Verlässlichkeit der ihnen zur Verfügung gestellten Unternehmensinformationen angewiesen. Schließlich beeinflussen diese Nachrichten maßgeblich das Investitionsverhalten privater und institutioneller Anleger. Verschiedene Unternehmenszusammenbrüche und Finanzskandale der vergangenen Jahre haben das Vertrauen der Anleger in vielerlei Hinsicht nachhaltig gestört. Fragwürdige Bilanzierungspraktiken und unzureichende oder verfälschende Darstellungen stellten die Verlässlichkeit von Informationen in Frage. Dadurch entstand der Eindruck, dass sowohl die internen als auch die externen Überwachungsprozesse von Unternehmen nicht das gewünschte Maß an Sicherheit zu leisten vermögen. Der im Juli 2002 verabschiedete Sarbanes-Oxley Act (SOA) stellt die Reaktion des US-Kongresses auf diesen Vertrauensverlust dar. Obwohl es sich um ein US-Gesetz handelt, ist seine Tragweite größer, als zunächst zu vermuten wäre. Unabhängig vom Stammsitz des Unternehmens sind von den Regelungen alle Gesellschaften betroffen, deren Aktien an amerikanischen Börsen notiert sind. Darüber hinaus erstreckt sich der Einfluss des Gesetzes auf Tochtergesellschaften von Unternehmen, deren Anteile am US-Kapitalmarkt gehandelt werden. Daher sind auch zahlreiche deutsche Gesellschaften von den Regelungen des Sarbanes-Oxley Act betroffen und verpflichtet, die umfassenden Anforderungen binnen relativ kurzer Zeit zu erfüllen. Die Verabschiedung des Sarbanes-Oxley Act in den USA ist kein»amerikanisches Phänomen«, sondern Teil einer globalen Entwicklung, um dem Vertrauensverlust hinsichtlich der Verlässlichkeit von Kapitalmarktinformationen und der Wirksamkeit von Unternehmensüberwachung zu begegnen. Weltweite Initiativen zielen vor allem auf eine Verbesserung der Corporate Governance sowie die Sicherstellung der Unabhängigkeit von Wirtschaftsprüfern gegenüber ihren Mandanten ab. Ein wesentliches Element der Corporate Governance eines Unternehmens ist die Erhöhung der Transparenz für alle Stakeholder. Vor diesem Hintergrund ist das Management unter anderem aufgefordert, die Wirksamkeit des internen Kontrollsystems sicherzustellen und dieses gegenüber der Öffentlichkeit verbindlich zu erklären. Ein funktionierendes internes Kontrollsystem trägt entscheidend zur zeitnahen Bereitstellung korrekter Informationen bei; dies betrifft insbesondere die Finanzberichterstattung.

7 VI Vorwort Die Globalisierung der Märkte verlangt nach neuen Konzepten zur Steuerung und Überwachung von Unternehmen. In einem modernen Unternehmen sind das Rechnungswesen und das interne Kontrollsystem eng mit der Gesamtorganisation verzahnt. Effektivität und Effizienz dieser Verzahnung müssen sichergestellt werden. Die Unternehmensführung hat interne Kontrollen in diesem veränderten Umfeld neu zu bewerten und gegebenenfalls entsprechende Maßnahmen zur Verbesserung unternehmenskritischer Steuerungsinstrumente und zur Sicherstellung wirksamer Überwachungsverfahren einzuleiten, um nicht nur den Anforderungen des Sarbanes-Oxley Act oder anderer gesetzlicher Regelungen, sondern auch den Erwartungen verunsicherter Kapitalmärkte zu entsprechen. Sie dabei zu unterstützen und zu begleiten, ist die Aufgabe dieses Buchs. Frankfurt, den 15. März 2004 Professor Dr. Georg Kämpfer Mitglied des Vorstands PwC Deutsche Revision AG

8 Inhaltsverzeichnis Vorwort V Abkürzungsverzeichnis XVII Einleitung I Regulatorisches Umfeld Vertrauensverlust in die Kapitalmärkte durch Finanzskandale Der Sarbanes-Oxley Act Geltungsbereich des Gesetzes Maßnahmen und Inhalt des Gesetzes Abschnitt I: Public Company Accounting Oversight Board Abschnitt II: Auditor Independence Abschnitt III: Corporate Responsibility Abschnitt IV: Enhanced Financial Disclosures Abschnitte V bis XI Final Rule zu internen Kontrollen der Finanzberichterstattung Das Public Company Accounting Oversight Board Organisation des PCAOB Aufgabenbereiche des PCAOB Gesetze und Initiativen in Europa Bestrebungen auf EU-Ebene Mitteilung zur Stärkung der Abschlussprüfung in der EU Aktionsplan zur Modernisierung des Gesellschaftsrechts Bestrebungen in Deutschland Maßnahmenkatalog zur Stärkung der Unternehmensintegrität und des Anlegerschutzes Gesetzesentwurf zur Stärkung der Rolle des Abschlussprüfers

9 VIII Inhaltsverzeichnis Gesetzesentwurf zur Überwachung der Rechtmäßigkeit konkreter Unternehmensabschlüsse Bestrebungen in Österreich und der Schweiz Zusammenfassende Betrachtung des regulatorischen Umfelds II Auswirkungen auf das Unternehmen Sarbanes-Oxley im Unternehmensfokus Transparenz interner Kontrollen Einrichtung von Disclosure Controls and Procedures Definition und Anwendungsbereich Pflicht zur eidesstattlichen Bestätigung von Berichten (Certification) Ausgestaltung von Disclosure Controls and Procedures Aufgaben eines Disclosure Committee Einrichtung von Internal Control over Financial Reporting Gesetzliche Anforderungen Auswirkungen auf das Management Bericht über das interne Kontrollsystem der Finanzberichterstattung Identifizierung von internen Kontrollen der Finanzberichterstattung Vorschriften zur Bewertung von internen Kontrollen der Finanzberichterstattung Abgrenzungen zwischen Disclosure Controls and Procedures und Internal Control over Financial Reporting Ethics & Corporate Governance Das Audit Committee und die Stärkung von Corporate Governance Entwicklung von Audit Committees Anforderungen an das Audit Committee gemäß Sarbanes-Oxley Act Mitglieder eines Audit Committees Unabhängigkeit der Audit Committee- Mitglieder Anforderungen an einen Financial Expert. 60

10 Inhaltsverzeichnis IX Das Verhältnis zwischen Audit Committee und Wirtschaftsprüfer Wahl und Vergütung der Wirtschaftsprüfer Überwachung der Unabhängigkeit der Wirtschaftsprüfer Zusammenfassende Betrachtung des Audit Committees Code of Ethics Gesetzliche Anforderungen Auswirkungen auf das Management Verhinderung und Aufdeckung von Fraud Fraud im Rahmen des Sarbanes-Oxley Act Kontrollen des Managements Kontrollen des Audit Committees Kontrollen des Abschlussprüfers Whistleblower Protection Informantenschutz Einrichtung eines Incident Management-Systems Richtlinien für den Umgang mit Fehlverhalten Zusammenfassung der wichtigsten Auswirkungen III Das interne Kontrollsystem Einleitung Definition des internen Kontrollsystems (IKS) Grundlegende Definition COSO als Rahmenwerk für das interne Kontrollsystem Zweck und Auftrag von COSO Die Definition des IKS nach COSO Komponenten des internen Kontrollsystems COSO und die Finanzberichterstattung Die praktische Bedeutung von COSO Internal Controls nach internationalen und nationalen Prüfungsstandards Die internationalen Prüfungsstandards (ISA) Die deutschen Prüfungsstandards (PS) Analyse und Bewertung der Effektivität des IKS Definition der Effektivität des internen Kontrollsystems Ziele interner Kontrollsysteme

11 X Inhaltsverzeichnis Interne Kontrollen der Finanzberichterstattung (Financial Reporting) Interne Kontrollen der Geschäftstätigkeit (Operations) Interne Kontrollen zur Sicherstellung der Einhaltung von Gesetzen und Vorschriften (Compliance) Bewertungskriterien für die Design- und Operating Effectiveness Design Effectiveness Operating Effectiveness Effizienz des internen Kontrollsystems Relevante Prüfungsstandards zur Beurteilung der Effektivität interner Kontrollen Überprüfung der Effektivität des IKS nach Section 404 SOA und PCAOB Die Vorgehensweise des Abschlussprüfers Auswirkungen des PCAOB-Standards auf das Management Prüfung und Beurteilung des IKS nach ISA Prüfung und Beurteilung des IKS nach IDW PS Prüfung und Beurteilung der IT-Kontrollen Der Sarbanes-Oxley Act und Enterprise Risk Management Interne Kontrollen und Enterprise Risk Management Das ERM-Rahmenwerk (COSO II) Das IKS nach COSO als Baustein für ERM Ziele und Komponenten von ERM ERM in der Praxis Voraussetzungen für ERM Prozesse und Schlüsselelemente bei der Einführung von ERM Aufbau von ERM-Kompetenzen Erfolgsfaktoren für ERM Vorteile von ERM Zusammenfassung

12 Inhaltsverzeichnis XI IV Methodik Einleitung Projektorganisation und Scope festlegen Regulatorische Anforderungen verstehen Projektziele und -struktur definieren Projektziele Projektstruktur Projekt-Scope festlegen Erstellung des Unternehmensüberblicks Identifizierung der wesentlichen Elemente der Rechnungslegung und Zuordnung der Assertions Festlegung des Abdeckungsgrads Unternehmenseinheiten für den Projekt-Scope auswählen Weitere Aspekte des Scopings auf Unternehmensebene Identifizierung der Unternehmensprozesse Vorgehensweise und Dokumentationsstandards festlegen Projektplan und Ressourcen festlegen Tool auswählen Scope, Vorgehensweise und Projektplan kommunizieren Prozess- und Kontrolldesign dokumentieren und bewerten Zentralen Organisations- und Prozesskatalog aufbauen Organisations- und Prozessstruktur aufnehmen Risiken und Kontrollziele pro Prozess definieren Bilanz- und GuV-Positionen Prozessen zuordnen Prozesse den Organisationseinheiten zuordnen Tool und Methode einführen Tool installieren und testen Tool- und Methodenschulung konzipieren Pilotprojekt vorbereiten und durchführen Tool und Methoden-Roll-out Dokumentation und Bewertung des internen Kontrollsystems Aufnahme der übergeordneten COSO- Komponenten Prozessschritte und Kontrollen dokumentieren

13 XII Inhaltsverzeichnis Kontrolldesign analysieren und bewerten Kontrollschwächen identifizieren, dokumentiere und validieren Kontrollschwächen beheben Maßnahmen zur Behebung der Kontrollschwächen festlegen Umsetzung der Maßnahmen überwachen Kontrolldesign erneut bewerten bzw. Kontrolltest erneut durchführen Wirksamkeit des internen Kontrollsystems testen Umfang der Kontrolltests festlegen Zeitraum der Kontrolltests planen und Ressourcen bereitstellen Kontrolltests durchführen Ergebnisse der Kontrolltests dokumentieren und bewerten Sign-off und Managementberichterstattung Auswertung des Designs und der Wirksamkeit der Kontrollen Analyse auf Basis der Prozess-Sicht Analyse auf Basis der festgelegten Kontrollziele Analyse auf Basis der Konten-Sicht Bericht über identifizierte Kontrollschwächen Bericht über die Beseitigung der Kontrollschwächen Sign-off-Prozess Managementbericht über das interne Kontrollsystem Externe Berichterstattung Attestieren und Berichten SOA 404 Prüfungsplanung und -vorgehen Beurteilung der Vorgehensweise des Managements Beurteilung der COSO-Elemente und der Kontrollen auf der Unternehmensebene (Company-level Controls) Prüfung interner Kontrollen durch einen externen Prüfer Einschätzung und Bericht des Abschlussprüfers Projektmanagement/Project Support Office Projektbegleitende Prüfung/Qualitätssicherung Ziele der projektbegleitenden Qualitätssicherung

14 Inhaltsverzeichnis XIII 9.2 Planung und Durchführung der projektbegleitenden Qualitätssicherung Informationsweitergabe und Kommunikation Zusammenfassung Zusammenfassung V Praxisberichte aus Sarbanes-Oxley-Projekten Projektstruktur und Vorgehensmodell der Bayer AG zur Umsetzung der Anforderungen des Sarbanes-Oxley Act (Section 404) Zentrales Kernteam mit dezentralen Gesellschaftsteams Projektleitung Vertretung der Teilkonzerne und Servicegesellschaften Teilprojektstruktur (Subteams) Subteam Processes Subteam Self-Assessment Subteam Monitoring of ICS Subteam Software Infrastructure Subteam General IS Controls ICS Requirements Project-Office Regionale Koordination Einbindung des Wirtschaftsprüfers Die Bedeutung des Sarbanes-Oxley Act für die Interne Revision der DaimlerChrysler AG Aktivitäten im Rahmen der Umsetzung des Sarbanes-Oxley Act Bildung von Projektgruppen und Committees Neuordnung der Berichtswege Aktualisierung der Geschäftsordnung des Prüfungsausschusses Herausgabe eines Ethik-Kodex für die oberen Führungskräfte Zertifizierung und Subzertifizierung Projektgruppe»Internal Control over Financial Reporting« Dokumentation der Internen Kontrollsysteme Prüfung der Wirksamkeit der Internen Kontrollsysteme Erstellung des Internen Kontrollberichts

15 XIV Inhaltsverzeichnis 2.2 Auswirkungen auf die Interne Revision als Abteilung Die Bedeutung des Sarbanes-Oxley Act für die Interne Revision Projekt S-OX 404 Umsetzung der Section 404 bei der Deutschen Telekom Projekt Set-up Projektorganisation Scoping aus Sicht der Deutschen Telekom Die quantitative Auswahl Die qualitative Auswahl Auswahl von Prozessen und Pilotierung Schlusswort Praxisbericht zum SOX-Projekt der Dresdner Bank Überblick über das Projekt Perspektive des Sarbanes-Oxley-Projektleiters Projektstruktur und Projekt-Set-up Scoping-Prozess Tool-Auswahl und Pilotierung Nächste Schritte Die Initiierung und Konzeption eines konzernweiten Sarbanes-Oxley Act Section 404 Readiness-Projektes bei E.ON Ausgangslage Projektvorgehen Grundlagen Projektinitiierung und -konzeption Nächste Schritte Kritische Erfolgsfaktoren Fazit Die Umsetzung des Sarbanes-Oxley Act bei der SAP AG, Fokus Internes Kontrollsystem (Sec. 404, 302 SOA) Projektstruktur: Verteilte Verantwortung bei zentraler Koordination Aufwändigste Anforderung: Dokumentation, Testing und Zertifizierung des Internen Kontrollsystems gemäß Sec. 404, 302 SOA Herausforderungen des»regelbetriebs«: Systemtechnische Unterstützung durch das SAP-Tool»Management of Internal Controls (MIC)«

16 Inhaltsverzeichnis XV 7 Erfahrungen von Xerox als Tochter einer US-Firma Projektstart Definition des Projektumfangs Dry Run Empfehlungen VI Unterstützung von SOA- und anderen IKS-Projekten durch SAP s»management of Internal Controls« IT-Unterstützung für das Management interner Kontrollen Erwartungen an eine SOA-Anwendung SAP-Anwendung Management of Internal Controls Die SAP-Anwendung MIC im Detail Phasen Organisationseinheiten, Prozesse, Kontrollziele, Risiken und interne Kontrollen Zentrale Definition von Organisationseinheiten, Prozessen, Kontrollzielen und Risiken Organisationseinheiten-spezifische Definition von Prozessen und internen Kontrollen MIC-Aufgaben- und Rollenkonzept MIC-Workflow-Konzept Beurteilung des Designs interner Kontrollen Test der Effektivität interner Kontrollen Interne Kontrollen auf Management-Ebene Berichtswesen Sign-off mysap ERP und Packaged Solution Zusammenfassung und Ausblick VII Zusammenfassung und Ausblick Literaturverzeichnis Glossar Stichwortverzeichnis Die Autoren

17 XVI Inhaltsverzeichnis

18 Abkürzungsverzeichnis AICPA AktG AMEX AU BaFin BilReG CEO CFO COSO ERM EU FAS GAAP GAAS GAO HFA HGB IAS IDW IFAC IFRS IKS ISA IT KonTraG NASD NASDAQ NYSE American Institute of Certified Public Accountants Aktiengesetz American Stock Exchange Auditing Standard Bundesanstalt für Finanzdienstleistungsaufsicht Bilanzrechtsreformgesetz Chief Executive Officer Chief Financial Officer Committee of the Sponsoring Organisations of the Treadway Commission Enterprise Risk Management Europäische Union Financial Accounting Standards Generally Accepted Accounting Principles Generally Accepted Auditing Standards General Accounting Office Hauptfachausschuss Handelsgesetzbuch International Accounting Standards Institut der Wirtschaftsprüfer International Federation of Accountants International Financial Reporting Standards Internes Kontrollsystem International Standards on Auditing Informationstechnologie Gesetz zur Kontrolle und Transparenz im Unternehmensbereich National Association of Securities Dealers National Association of Securities Dealers Automated Quotation New York Stock Exchange

19 XVIII Abkürzungsverzeichnis PCAOB PH PS PwC QS SAS SEC Sec. SOA SSC TK Tz. WP ZGPM Public Company Accounting Oversight Board Prüfungshinweis Prüfungsstandard PricewaterhouseCoopers Qualitätssicherung Statement on Auditing Standards Securities and Exchange Commission Section Sarbanes-Oxley Act Shared Service Center Telekommunikation Textziffer Wirtschaftsprüfer Zielgerichtetes Projektmanagement

20 Einleitung Kontrolle als Wettbewerbsvorteil Sarbanes-Oxley Act Professionelles Management interner Kontrollen ist ein Leitfaden für Unternehmen für das Management interner Kontrollen und den Aufbau eines wirksamen, unternehmensweiten internen Steuerungs- und Überwachungssystems. Es unterstützt Unternehmen zunächst, ihre Ziele effektiver und effizienter zu erreichen. Die hierzu notwendigen neuen Prozessstrukturen tragen dazu bei, Fehler zu vermeiden oder Unregelmäßigkeiten aufzudecken. So leisten sie einen wertvollen Beitrag zum gesamten Unternehmenserfolg. Darüber hinaus steht das interne Kontrollsystem im Fokus nationaler und internationaler Gesetzgebungen allen voran dem Sarbanes-Oxley Act (SOA). Das Gesetz verfolgt im Wesentlichen zwei Ziele: Zum einen haben Unternehmen nach Section 302 SOA sicherzustellen, dass die erforderlichen Veröffentlichungen vollständig und richtig sind. Darüber hinaus verpflichtet Section 404 SOA Unternehmen dazu, die Wirksamkeit des internen Kontrollsystems für die Finanzberichterstattung explizit zu bestätigen. Das Gesetz formuliert für beide Ziele konkrete Anforderungen und verknüpft deren Einhaltung mit einer persönlichen Haftung von Vorstandsvorsitzenden und Finanzvorständen. Die indirekten Auswirkungen von Sarbanes-Oxley auf Kapitalmärkte außerhalb der USA können bislang lediglich vermutet werden. Nationale Gesetze stellen vielfach andere Anforderungen an Unternehmen, die an den Börsen des jeweiligen Landes notiert sind. Unternehmen haben bestehende Regelungen zu erfüllen und sind oftmals zusätzlich motiviert, den erweiterten Bestimmungen des SOA zu entsprechen. Es ist denkbar, dass die globalen Kapitalmärkte die Gestaltung des internen Kontrollsystems auch unabhängig von gesetzlichen Regulierungen fordern werden. Die freiwillige Erfüllung der SOA-Anforderungen unterstützt die internationale Vergleichbarkeit von Unternehmen und stellt einen Wettbewerbsvorteil aus Sicht der einzelnen Gesellschaft dar. Vor diesem Hintergrund schildert dieses Buch die elementaren Veränderungen im deutschen Unternehmensumfeld. Maßgeblich sind hierbei die Bestimmungen des SOA sowie die Ausführungsbestimmungen der SEC. Hierbei geht dieses Buch sowohl auf entsprechende nationale Regelungen als auch auf deren Unterschiede zum SOA ein.

21 2 Einleitung Section 302 SOA»Corporate responsibility for financial reports«fordert die Einrichtung und Ausführung von Kontrollen und Verfahren zur Offenlegung von Unternehmensinformationen (Disclosure Controls and Procedures) sowie eine eidesstattliche Erklärung (Certification) durch den Vorstandsvorsitzenden und den Finanzvorstand für bei der SEC eingereichte Berichte. Section 404 SOA»Management assessment of internal control«verlangt, dass jeder Jahresabschluss einen Bericht über das interne Kontrollsystem enthält. Dieser Report legt die Verantwortung des Managements für die Einrichtung und den Betrieb eines internen Kontrollsystems für die Abschlusserstellung dar. Darüber hinaus beinhaltet er eine Beurteilung des Managements über die Wirksamkeit dieses Systems. Section 103 SOA»Auditing, quality control, and independence standards and rules«regelt die diesbezüglichen Pflichten des Prüfers und fordert vom Public Company Accounting Oversight Board (PCAOB) die Etablierung geeigneter Prüfungsstandards. Interne Kontrollen brauchen professionelles Management Anhand von Erfahrungen und Praxisbeispielen der vergangenen Jahre wird illustriert, welches Vorgehen geeignet erscheint, die SOA-Anforderungen nach Section 302 und 404 zu erfüllen. Die beschriebenen Verfahrensweisen richten sich insbesondere an Unternehmen, die sich aktiv mit dem Thema»interne Kontrollen«und deren professionellem Management beschäftigen möchten bzw. müssen. Dieser Ansatz greift auf, dass sich speziell in Deutschland zahlreiche, nicht bei der SEC registrierte Unternehmen ebenfalls der Thematik annehmen. So wurden bereits Projekte initiiert, um diesen komplexen Sachverhalt in naher Zukunft und in strukturierter Form im eigenen Unternehmen umzusetzen. Aktiv und professionell gemanagte interne Kontrollen werden mehr und mehr ein Muss für alle Unternehmen in Deutschland. Um das Verständnis für den Gesamtzusammenhang zu erleichtern, beschäftigt sich das erste Kapitel zunächst mit zwei weitreichenden Finanzskandalen in den USA, die vielerorts als»auslöser«für Sarbanes-Oxley gelten. Die Fälle»Enron«und»Worldcom«lassen beispielhaft erkennen, welche Folgen die Nichteinhaltung von Corporate Governance-Richtlinien und eine unzureichende Selbstregulierung der Wirtschaftsprüfer haben können. Der Sarbanes-Oxley Act beinhaltet zahlreiche Regelungen, worüber die kurze Darstellung der entsprechenden Abschnitte des Gesetzes einen Überblick bietet. Darüber hinaus wird der Inhalt der Ausführungsbestimmungen zu internen Kontrollen der Finanzberichterstattung zusammengefasst. Ergänzend erläutert Kapitel I, welche Bestrebungen in Europa und speziell in Deutschland erkennbar sind, um das Thema Corporate Governance zu adressieren.

22 Die Bedeutung interner Kontrollsysteme 3 Kapitel II erläutert die beiden für Unternehmen wesentlichen Bestimmungen des Sarbanes-Oxley Act Disclosure Controls and Procedures (Section 302) und Internal Control over Financial Reporting (Section 404). Für beide Abschnitte werden sowohl die gesetzlichen Grundlagen als auch die daraus abgeleiteten Anforderungen an das Unternehmen bzw. das Management dargestellt. Dies schafft eine regulatorische Basis für die später beschriebene, methodische Umsetzung der Anforderungen. Corporate Governance und Unternehmensethik thematisiert der Sarbanes- Oxley Act ebenfalls, weshalb wesentliche Aspekte hier näher untersucht werden. Insbesondere Prüfungsausschüsse (Audit Committees) und verbindliche Code of Ethics besitzen außerhalb des Einflussbereichs von Sarbanes-Oxley eine große Bedeutung. Neben den gesetzlichen Bestimmungen schildert dieses Buch daher auch die Anforderungen an das Management. Die Bedeutung interner Kontrollsysteme Das dritte Kapitel widmet sich der Bedeutung interner Kontrollsysteme. Zunächst geht es auf die Definition eines solchen Systems ein. Basis hierfür bildet das COSO-Rahmenwerk des Committee of Sponsoring Organizations of the Treadway Commission, das weltweit anerkannt und verbreitet ist. Neben COSO existieren weitere Standards zur Beschreibung des internen Kontrollsystems. Dazu gehören die International Standards on Auditing (ISA) sowie aus deutscher Sicht insbesondere die Prüfungsstandards des Instituts der Wirtschaftsprüfer (IDW). Das Buch erläutert Gemeinsamkeiten und Unterschiede der verschiedenen Definitionen. Weitere Teile des dritten Kapitels beschäftigen sich mit der Frage, anhand welcher Kriterien die Effektivität eines internen Kontrollsystems ermittelt wird und welche Standards hierbei zu erfüllen sind. Ein wirksames internes Kontrollsystem stellt einen wichtigen Baustein für den Aufbau eines unternehmensweiten Risikomanagementsystems dar. COSO formuliert zu diesem Zweck einen Entwurf eines entsprechenden Rahmenwerks für Enterprise Risk Management, welches ebenfalls in Kapitel III vorgestellt wird. Methodik zur Erhebung und Stärkung interner Kontrollsysteme Während die bisherigen Ausführungen in erster Linie regulatorische Hintergründe beleuchteten, zeigt Kapitel IV die methodische Vorgehensweise für die Aufnahme, Dokumentation, Analyse, Bewertung und Verbesserung von internen Kontrollsystemen. Dies erfolgt auf Basis von Erfahrungen, die in den vergangenen Jahren sowohl im Rahmen von Sarbanes-Oxley- Projekten als auch bei Projekten zur Analyse und Verbesserung von Ge-

23 4 Einleitung schäftsprozessen und internen Kontrollen gesammelt wurden. Speziell letztere führte PricewaterhouseCoopers und insbesondere das PwC Internal Control Advisory Team, zu dem auch die Autoren und Beitragenden gehören, schon lange vor Verabschiedung des Sarbanes-Oxley Act in unterschiedlichen Ausprägungen durch. Diesbezüglich ist erneut zu betonen, dass die Ausführungen des US-Gesetzes die beschriebene Vorgehensweise wesentlich bestimmen. Weitere Initiativen aus den Bereichen Corporate Governance, Management-Transparenz, Kontrolle über operative Prozesse und Finanzberichterstattung werden als Rahmenwerk und Ideengeber ebenso berücksichtigt. Das Buch kann keine universelle Methodik bereitstellen, die in allen Situationen bei jedem Unternehmen in der gleichen Art und Weise anzuwenden ist. Neben dem jeweils spezifischen, angemessen zu berücksichtigenden Unternehmensumfeld verfolgt jedes Projekt unterschiedliche Ziele mit individuellen Schwerpunkten. So dient die vorgestellte Methodik als Anregung für Initiativen und Projekte, um durch eine strukturierte Vorgehensweise die Ziele innerhalb eines definierten Zeitraums zu erreichen. Da sich eine Reihe prominenter deutscher Unternehmen bereit erklärt hat, uns einen Einblick in derzeit laufende Sarbanes-Oxley-Projekte zu gewähren, stellt Kapitel V deren wertvolle Erfahrungen beispielhaft zusammen. Besonderes Augenmerk liegt hierbei auf den kritischen Erfolgsfaktoren der beschriebenen Großprojekte. Kapitel V zielt darauf, den Erfahrungsaustausch unter den Unternehmen zu fördern, da gerade zum jetzigen Zeitpunkt nicht alle Anforderungen des Sarbanes-Oxley Act vollständig definiert sind bzw. einen Interpretationsspielraum zulassen. Unser herzlichster Dank für die für dieses Buch formulierten, exzellenten Beiträge geht insbesondere an Christoph Saalfeld, Konzernbetriebswirtschaft/Biltrolling, Risk Management, Projektmanagement REX II, Bayer AG, Hubertus M. Buderath, Vice President Corporate Audit, DaimlerChrysler AG, Ansgar Gerken, Leiter Corporate Business Control, Deutsche Telekom AG, Dieter Schwarz, Leiter SEC Reporting/US GAAP, Dresdner Bank AG, Dr. Michael Holtmann, Bereichsleiter Konzernrevision, E.ON AG, Luka Mucic, Director Corporate Risk Management, SAP AG, Gundolf Zimmermann, Chief Accountant und SOA Project Manager, Xerox GmbH. Schließlich zeigt Kapitel VI, wie die vorgestellte Methodik und der gesamte Prozess der Managementberichterstattung durch den Einsatz eines Softwaretools unterstützt werden kann. Dies erfolgt anhand der am Markt verfügbaren SAP-Software MIC (Management of Internal Controls). Marcus Wefers, Director Solution Management mysap ERP, SAP AG, erklärt detailliert dieses Softwaresystem und dessen grundlegende Methodik. Sein

24 Methodik zur Erhebung und Stärkung interner Kontrollsysteme 5 Beitrag verdeutlicht, wie das System hilft, sämtliche Schritte eines Projekts zu verwalten und eine Erhöhung der Transparenz und eine Verbesserung des internen Kontrollsystems zu erreichen. So liefert das Autorenteam dieses Buchs, bestehend aus praxiserprobten Beratern und Prüfern der PwC Deutsche Revision PricewaterhouseCoopers, einen Überblick über die Herausforderungen und Chancen des Managements interner Kontrollen im Umfeld des SOA für zukunftsorientierte Unternehmen. Die nächsten Jahre werden zeigen, wie die Öffentlichkeit und die weltweiten Kapitalmärkte auf die damit verbundenen Initiativen und Umwälzungen innerhalb der Unternehmen reagieren werden. Dieses Buch wäre ohne die tatkräftige Unterstützung aller Mitglieder unseres engagierten Autorenteams nicht möglich gewesen. Wir danken vor allem Alan Martin, Catherine Jourdan, Michael Koch, Anja Strohm, Thomas Heinze und Marcus Wefers. Wertvolle Beiträge lieferten zudem Siegfried Filla, Bernd Reimer, Holger Herbert, Jörg Tüllner, Thomas Klunk, Karl- Josef Ruland, Marc Grohall, Björn Vogt und Oliver Sander. Herzlicher Dank für die tatkräftige Unterstützung geht auch an Kirsten Raab, Susanne Geiling, Stefanie Senfleben und Sven Degens. Angesichts der neuen Herausforderungen, die der Sarbanes-Oxley Act an Kontrolle und Berichterstattung stellt, freuen wir uns, unsere Mandanten mit dem hier vorliegenden Buch zu begleiten und zu unterstützen. Klaus Heese Christof Menzies Partner, Partner Mitglied des Country Leadership Teams PwC Deutsche Revision AG PwC Deutsche Revision AG Düsseldorf, den 15. März 2004 Frankfurt, den 15. März 2004

25 6 Einleitung

26 I Regulatorisches Umfeld Die weitreichenden Finanzskandale in den Vereinigten Staaten in den vergangenen Jahren führten in einer ersten Reaktion zur Verabschiedung des Sarbanes-Oxley Act durch den US-Kongress im Juli Der Sarbanes- Oxley Act steht nun als einer der Treiber für eine stärkere Regulierung von Unternehmen und Märkten, um nach diesen Vorfällen das Vertrauen der Anleger in die Kapitalmärkte wieder zu stärken. In den bedeutenden Kapitalmärkten außerhalb der USA werden bestehende Gesetze an dieses veränderte Umfeld angepasst und neue Regulierungen verabschiedet. Als Sinnbild für diese Bewegung fasst dieses Kapitel die Entstehung und den Inhalt des SOA zusammen. Er bildet den Hintergrund für die zahlreichen Regulierungs- und Unternehmensinitiativen in den Bereichen Corporate Governance, Transparenz und Internal Control. 1 Vertrauensverlust in die Kapitalmärkte durch Finanzskandale In den jüngsten, bis dato bekannten Finanzskandalen waren es vornehmlich die Vorstände und Mitarbeiter der betroffenen Unternehmen, die in die Kritik gerieten, wobei vermuteter Betrug, mangelhafte Informationspolitik und fehlendes Verantwortungsbewusstsein zu den Hauptvorwürfen zählen. Um in der Zukunft ähnlich geartete Vorfälle zu vermeiden, richten sich die Ausführungen des Sarbanes-Oxley Act sowohl an Unternehmen selbst als auch an deren Wirtschaftsprüfer, um ein Umfeld der erhöhten Regulierung und Kontrolle zu stärken und somit die Wahrscheinlichkeit des Eintretens von ähnlich gelagerten Fällen, soweit möglich, zu verringern. Um das Verständnis für die z.t. weitreichenden Regelungen zu erleichtern, erfolgt zunächst ein kurzer Abriss über die beiden größten Skandale»Enron«und»Worldcom«. Enron: größter Bankrott der US-Geschichte Das US-Unternehmen Enron wurde durch die Fusion zweier Gasunternehmen als Energiekonzern 1985 gegründet und zählte bis zu seinem Zusammenbruch im Dezember 2001 zu den sieben größten Unternehmen der

27 8 Kapitel I: Regulatorisches Umfeld USA. 1 Der Börsenwert von Enron war seit 1996 um 50 Mrd. US$ gestiegen. Begeisternd feierten Analysten steigende Gewinne in 20 aufeinander folgenden Quartalen. Enrons Hauptgeschäft bestand im Handel mit Rohstoffen, wobei über eine eigene Internet-Plattform in erster Linie ein Vertrieb von Terminkontrakten auf Gas oder Strom erfolgte. Im späteren Verlauf fand eine Ausdehnung des Angebots u.a. auf Breitbandkapazitäten zur Datenübertragung und Absicherungskontrakten auf die Wetterlage des kommenden Sommers statt. Der damalige CEO Skilling verfolgte mit Enron die Grundidee des»asset light«-unternehmens, was bedeutet, dass Vermögenswerte, die nicht zwingend für die Geschäftstätigkeit erforderlich sind, ausgelagert werden. Dies sollte einer Schmälerung des Gewinns durch ausbleibende Renditen vorbeugen. Während der Online-Handel mit Energie zufrieden stellend verlief, erwiesen sich andere Bereiche, wie beispielsweise die Vermittlung von Breitbandkapazitäten, als wenig profitabel. Dies erregte jedoch in der Öffentlichkeit wenig Aufmerksamkeit, solange Enron steigende Gewinne vermeldete und als»liebling der Investoren«gehandelt wurde. Arthur Andersen LLP zählte zum damaligen Zeitpunkt zu den»big Five«der Wirtschaftsprüfungsgesellschaften in den USA und erbrachte über 16 Jahre lang unter anderem Prüfungsleistungen für Enron. Der Energiekonzern zählte zu den weltweit größten Kunden von Arthur Andersen. 618 Mio. US$ Verlust im dritten Quartal 2001 Am 16. Oktober 2001 veröffentlichte Enron eine Pressemeldung und gab für das dritte Quartal 2001 überraschenderweise einen Verlust von 618 Mio. US$ bekannt. Darüber hinaus wurde am gleichen Tag eine Senkung des Eigenkapitals um ca. 1,2 Mrd. US$ angekündigt. 2 Die Finanzmärkte reagierten auf diese Meldungen umgehend und der Aktienkurs des Unternehmens brach zusammen. Im Folgemonat korrigierte Enron sein Betriebsergebnis der vergangenen vier Jahre rückwirkend um 586 Mio. US$ nach unten und beantragte am 2. Dezember 2001 Gläubigerschutz. Der Vorfall wurde zum bislang größten Bankrott der US-Geschichte. In der rückwirkenden Betrachtung wird deutlich, dass in der Öffentlichkeit größtenteils Unkenntnis und Unverständnis über die Geschäftstätigkeit von Enron herrschte. Dies bezieht sich sowohl auf die eingangs erwähnte Profitabilität einzelner Bereiche als auch auf Intransparenzen infolge der verschachtelten Finanzstruktur. Letzteres betrifft insbesondere die von CFO Fastow etablierten Offshore-Partnerschaften mit tausenden von Unterneh- 1 Vgl. Spiegel (2002). 2 Vgl. FindLaw (2002).

28 Vertrauensverlust in die Kapitalmärkte durch Finanzskandale 9 men. 3 Über diese Partnerschaften bestanden für Enron Verbindlichkeiten von mehr als 1 Mrd. US$, die in der eigenen Konzernbilanz nicht ausgewiesen wurden. Infolgedessen war es dem Unternehmen möglich, in vergangenen Perioden überhöhte Gewinne zu melden und von einer euphorischen Haltung der Analysten zu profitieren. Mit der Aufdeckung des komplexen Finanzkonstrukts und dem Zusammenbrechen des eigenen Aktienkurses verweigerten Banken weitere Kredite, was letztlich zur Insolvenz von Enron führte. Kritik bezüglich unzureichender Informationspolitik und fragwürdiger Bilanzierungspraktiken richtete sich ebenfalls an Arthur Andersen in seiner Tätigkeit als unabhängiger Abschlussprüfer. Arthur Andersen attestierte bis zur Aufdeckung des Skandals die Finanzberichterstattung und ließ die Öffentlichkeit bezüglich der finanziellen Situation Enrons im Unklaren. Trotz interner Diskussionen, wurden die Risiken des Finanzkonstrukts nicht publiziert. 4 Bezüglich Arthur Andersen liegt die Vermutung nahe, dass das eigene Verhalten durch die hohen Umsätze mit Enron als Kunden gerechtfertigt wurde. Verstärkt wird die Skandalwirkung des Bankrotts durch die aufgedeckte, nachträgliche Vernichtung von Beweismitteln, an der Arthur Andersen beteiligt war. In verschiedenen Niederlassungen der Wirtschaftsprüfungsgesellschaft wurden ermittlungsrelevante Dokumente gesammelt und vernichtet. Deshalb wurde Arthur Andersen im März 2002 von einem US- Bundesgericht wegen Behinderung der Justiz für schuldig befunden. 5 Worldcom: Unternehmenswert sinkt von 150 Mrd. auf 150 Mio. US$ Der zweite große Wirtschaftsskandal betrifft das US-Telekommunikationsunternehmen Worldcom, das in den neunziger Jahren nach zahlreichen Akquisitionen zum zweitgrößten US-Anbieter von Fernverbindungen im Telefoniebereich aufstieg. Durch die Übernahme von Unternehmen wie UUNet, CompuServe und der Datennetze von AOL wuchs Worldcom gleichzeitig zum führenden Betreiber von Internet-Infrastrukturen. Im Jahr 2001 betrugen die ausgewiesenen Umsätze 39,2 Mrd. US$. 6 Analog zu anderen Unternehmen der Telekommunikationsbranche sah sich Worldcom ebenfalls finanziellen Schwierigkeiten ausgesetzt. Prognosen bezüglich des zu erwartenden Kapazitätsbedarfs erwiesen sich als deutlich zu optimistisch, weshalb die Gewinne aus umfangreichen Investitionen 3 Vgl. PolarisInstitute (2002). 4 Vgl. FindLaw (2002). 5 Vgl. FindLaw (2002). 6 Vgl. CRS Report (2002), S. 2.

29 10 Kapitel I: Regulatorisches Umfeld nicht die Erwartungen erfüllten. Der am Aktienmarkt ermittelte Wert des Unternehmens reduzierte sich von 150 Mrd. US$ im Januar 2000 auf weniger als 150 Mio. US$ im Juli ,8 Mrd. US$ als Anlagevermögen statt als Aufwand ausgewiesen In einer Meldung vom 25. Juni 2002 gab Worldcom bekannt, in den Jahren 2001 und 2002 irrtümlich 3,8 Mrd. US$ für die Nutzung fremder TK-Infrastruktur 7 als Anlagevermögen statt als laufenden Aufwand ausgewiesen zu haben. Als Folge dieser Aktivierung von Aufwänden konnte der gesamte Verlust des Jahres 2001 und des ersten Quartals 2002 kompensiert und ein Bilanzgewinn vermeldet werden. Diese von CFO Sullivan veranlasste Bilanzierungspraxis wurde durch eine Überprüfung der Internen Revision aufgedeckt. 8 Nach der Insolvenzanmeldung am 21. Juli 2002 sorgte eine weitere Meldung vom 8. August 2002 für eine Ausweitung des Skandals. Im Rahmen einer internen Überprüfung stellte sich heraus, dass infolge von Manipulationen bei der Bildung von Rückstellungen irrtümlich 3,3 Mrd. US$ als zusätzlicher Gewinn für die Jahre 1999 bis 2002 ausgewiesen wurden. 9 In einer ergänzenden Meldung gab Worldcom bekannt, dass bei einer rückwirkenden Korrektur der Bilanzen eine Gesamtsumme von 50,6 Mrd. US$ des Anlagevermögens abgeschrieben werden könnte, was einer Halbierung des Buchwerts entspricht. 10 Bleibt der unzulässige Ausweis von Aufwand als langfristige Investition unentdeckt, ist es möglich, diese über einen Zeitraum von bis zu zehn Jahren abzuschreiben und mit zukünftigen Gewinnen zu verrechnen. Es handelt sich hierbei jedoch um ein Vorgehen, welches gegen grundlegende Bilanzierungsregeln verstößt und eine strafbare Handlung darstellt. Als Konsequenz wurden vor US-Gerichten Anklage gegen Sullivan und weitere Mitarbeiter von Worldcom erhoben. Erneut stand die Prüfungsgesellschaft Arthur Andersen, die seit 1989 und bis zum 16. Mai 2002 als Wirtschaftsprüfer von Worldcom beauftragt war, in der Kritik. Wie im Fall Enron stellt sich auch hier die Frage, aus welchem Grund Bilanzmanipulationen in Milliardenhöhe unentdeckt bzw. unveröffentlicht blieben. Arthur Andersen vermeldete, dass sie bezüglich der Bilanzierung von laufenden Ausgaben als Investitionen nicht zu Rate gezogen wurden. 7 Vgl. CRS Report (2002), S. 2 Es handelt sich hierbei um Zugangs- und Durchleitungsgebühren für die Nutzung fremder Kommunikationsnetze. 8 Vgl. WSJ (2002). 9 Vgl. Guardian (2002). 10 Vgl. CRS Report (2002), S. 5: Dies umfasst zusätzlich u.a. den Goodwill sowie weitere, immaterielle Vermögensgegenstände.

30 Vertrauensverlust in die Kapitalmärkte durch Finanzskandale 11 Die beschriebenen Vorfälle bei Enron und Worldcom stellen die beiden gravierendsten Finanzskandale in jüngster Vergangenheit dar, wobei die Liste der Beispiele zusätzlich um zahlreiche Unternehmen aus dem amerikanischen und inzwischen auch europäischen Raum erweitert werden kann. 11,12 Eine wesentliche Gemeinsamkeit der Vorfälle bildet die Beteiligung von Vorstandsmitgliedern an fragwürdigen und z.t. betrügerischen Handlungen. Die Tatsache, dass solche Verhaltensweisen über längere Zeiträume unentdeckt blieben, lässt mehrere Vermutungen zu. Auf der Ebene der einzelnen Entscheidungsträger scheint das ethische und moralische Verantwortungsbewusstsein gegenüber den Stakeholdern an Bedeutung verloren zu haben. Darüber hinaus zeigt sich, dass insbesondere Reportingund Kontrollmechanismen im Sinne eines Corporate Governance Kodex nicht wirksam dazu beitragen, die Handlungen und Entscheidungen der Unternehmensleitung zu überwachen. Eine weitere Gemeinsamkeit der beschriebenen Skandale stellt die eingeschränkte Funktion des externen Wirtschaftsprüfers als Kontrollinstanz dar. Während in Bezug auf Worldcom noch über unzureichende Informationspolitik des Unternehmens und fehlendes Verantwortungsbewusstsein des Prüfers spekuliert werden kann, ist offensichtlich, dass die Vernichtung von Beweismitteln die Unabhängigkeit des Abschlussprüfers gegenüber seinem Mandanten in Frage stellt. Die Tragweite der jüngsten Finanzskandale ist weitaus größer, als dass von Einzelfällen gesprochen werden kann. Investoren beanstanden einen generellen Vertrauensverlust als Folge von Korruption auf Vorstandsebene, der letztendlich zu einer Schwächung des Finanzmarkts führt. Sie befürchten, dass vor allem der Bilanzbetrug weiter zunehmen wird und fordern, dieser Entwicklung mit neuen Gesetzen zu begegnen. 13 Neue Pflichten für Unternehmen und Wirtschaftsprüfer Vor diesem Hintergrund stellt der Erlass des Sarbanes-Oxley Act in den USA am 30. Juli 2002 eine konsequente Reaktion auf die beschriebene Situation dar. 14 Ohne auf die Einzelregelungen an dieser Stelle näher ein- 11 Vgl. FAZ (2003): Der niederländische Einzelhandelsriese Royal Ahold N.V. hat seinen Gewinn in den Jahren 2001 und 2002 um 500 Mio. EUR zu hoch ausgewiesen. 12 Vgl. Handelsblatt (2003): Der insolvente italienische Nahrungsmittelkonzern Parmalat hat durch Verschleierung von Tatsachen und Fälschung von Dokumenten einen Fehlbetrag von mehr als 10 Mrd. EUR über Jahre hinweg verschwiegen. 13 Vgl. PwC (2003), S Anm.: Wie in späteren Kapiteln näher ausgeführt, betreffen die Regelungen des Sarbanes- Oxley Act den US-amerikanischen Kapitalmarkt. Sie beschränken sich nicht auf Firmen mit Sitz in den USA.