Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Größe: px

Ab Seite anzeigen:

Download "Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG"

Jürgen Hase
vor 8 Jahren
Abrufe

1 Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

2 Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die SOA Anforderungen Die Framework Komponenten Auswirkungen SOA auf das Unternehmen Lessons Learnt der Schnittstelle Business - IT

Die SOA Anforderungen Die Framework Komponenten

3 Schwachstellen finanzielle Berichterstattung Off-Balance Transaktionen: nicht im Abschluss erwähnt Revenue Recognition: Aufblähung Umsatz- und Ertrag Fehlender Einbezug von Gesellschaften in Konsolidierung Interpretation / Auslegung der Rechnungslegungsstandards Pro-Forma Reporting: Irreführung von Shareholders / Investoren 3

Einbezug von Gesellschaften in Konsolidierung Interpretation / Auslegung der

4 Der SOA Act I. Public Company Accounting Oversight Board II. Auditor independence III. Corporate Responsibility (incl. Audit Committee) IV. Enhanced Financial Disclosures (inc. Section 404) V. Analyst Conflicts of Interest (security analysts) VI. Commission Resources and Authority VII. Studies and Reports VIII. Corporate and Criminal Fraud Accountability IX. White-Collar Crime Penalty Enhancements X. Corporate Tax Returns XI. Corporate Fraud and Accountability 4

Analyst Conflicts of Interest (security analysts) VI. Commission Resources and Authority VII.

5 Section 404 Anforderungen 1/3 Dokumentation und Testen der Prozesse, Risiken und Kontrollen über die finanzielle Berichterstattung. Der Jahresbericht beinhaltet: Aussage über die Verantwortung der GL bezüglich des Internen Kontrollsystems Beurteilung des Managements über die Effektivität der Internen Kontrollen inkl. der entsprechenden Schwachstellen Aussage über die Anwendung einen Kontroll Frameworks 5

Der Jahresbericht beinhaltet: Aussage über die Verantwortung der GL bezüglich des Internen

6 Section 404 Anforderungen 2/3 Attestierung der Aussagen und der Offenlegung des Managements durch die Revisionsstelle von: der Erfüllung der SOA Anforderungen dem SOA Framework dem Beurteilungsprozess des Managements der Effektivität der Internen Kontrollen über die finanzielle Berichterstattung 6

der SOA Anforderungen dem SOA Framework dem Beurteilungsprozess des

7 Section 404 Anforderungen 3/3 Welche Unternehmungen müssen die Anforderungen des Sarbanes-Oxley Act erfüllen? alle US-amerikanischen, SEC-registrierten Unternehmen und deren Tochtergesellschaften allen internationalen SEC-gelisteten Unternehmungen ( foreign issuer ) 7

alle US-amerikanischen, SEC-registrierten Unternehmen und deren

8 Die COSO Framework Komponenten Monitoring Entity level Controls OPERATION S FINANCIAL REPORTIN G COMPLIANC E Information & communication Kontrollen, die übergreifend überwacht werden. Monitoring Information & communication Control activities Risk Assessment Control Environment Unit A Unit B Activity 1 Activity 2 Control activities Risk assessment IT general controls Kontrollen für die Sicherung der Effektivität der IT Systeme Process level controls Control environment Kontrollen in den Prozessen, Applikationen, End- User Tools 8

Monitoring Information & communication Control activities Risk Assessment Control Environment Unit A Unit B Activity 1 Activity 2

9 Auswirkungen SOA auf das Unternehmen (1/2) Erhöhung der Effektivität des Internen Kontrollsystems für die finanzielle Berichterstattung Definition der Verantwortlichkeiten für das IKS Verstärkung des Risiko-Bewusstseins Erhöhung der Transparenz über Schwachstellen und Konsequenzen Beeinflussung der Unternehmenskultur und Kommunikation Veränderung der Rolle der Internen Revision Verbesserung des Prozessverständnisses Beeinflussung das IT-Systemumfeldes 9

Erhöhung der Transparenz über Schwachstellen und Konsequenzen Beeinflussung der Unternehmenskultur und

10 Lessons Learnt: Schnittstelle Business IT (1/3) Ausbildung, Schulung: das Business spricht andere Sprache, IT ebenfalls. Frühe Involvierung der betroffenen Ansprechpartner Fehlender Aufbau auf bestehenden Strukturen der Unternehmung, bspw. Prozess oder IT Framework (Prozess Modell, Kontroll-Modelle: COSO/COBIT) Projekt Überwachung: Steering Committee muss Business und IT Vertreter ausweisen SOA = Ist-Aufnahme! und kein Re-engineering, kein IT Governance Projekt SOA als formalistisch Übung. Effektive Kontrollen sind dokumentierte Kontrollen? 10

Prozess oder IT Framework (Prozess Modell, Kontroll-Modelle: COSO/COBIT) Projekt Überwachung: Steering Committee muss Business und IT

11 Lessons Learnt: Schnittstelle Business IT (2/3) Festlegung der Verantwortlichkeiten IT Business in Startphase: Projekt Organisation: was wird abgedeckt durch Process Controls, Applikation Controls, IT General Controls Business und IT: Prozess Eigner ist nicht Applikationseigner; Applikationseigner sitzt nicht immer dort wo der Prozess ist; Sicherstellen der Internal Control Kompetenz und Ressourcen im Projekt: Business und IT 11

General Controls Business und IT: Prozess Eigner ist nicht Applikationseigner; Applikationseigner sitzt

12 Lessons Learnt: Schnittstelle Business IT (3/3) Analyse des Entity Level Assessment: fehlende Abstimmung mit Process Level und IT General Controls Frühzeitige Festlegung des Umfangs: Prozesse und Applikationen (Transparenz in den Kriterien) Frühzeitige Analyse der IT Projekte > System roll-out s beeinflussen das Testen Identifikation der Abhängigkeiten in den Business und IT Betriebsprozessen: IT General Controls > Application Controls > Manual Controls 12

in den Kriterien) Frühzeitige Analyse der IT Projekte > System roll-out s beeinflussen das Testen Identifikation

Ähnliche Dokumente

IT-Prüfung im Rahmen der Jahresabschlussprüfung

IT-Prüfung im Rahmen der Jahresabschlussprüfung Dr. Michael Schirmbrand Mai 2004 2004 KPMG Information Risk Management 1 INHALTSVERZEICHNIS 1. Ausgangslage/Überblick über den Vortrag 2. Exkurs IT-Governance