revisionsportal-austria.com

protective business controls for SAP Systems
Startseite
FraudExplorer
DynamicSecurityRecording
SAP Berechtigungskonzept
Sarbanes Oxley
Business Process Controls
SAP GRC
COSO und SAP
COBIT und SAP
Fraud in SAP environment
SAP Lehrgang WP
Publikationen
Links - Gesetze und Standards
Links - Checklisten & Prüfleitfäden
Links - IT
Kontakt
Impressum
COSO und IKS-Lösungen in einem SAP-Umfeld

Die Regelungen des PCAOB zur Prüfung eines Internen Kontrollsystems (IKS) beinhalten die Managementverpflichtung, das IKS auf einem anerkannten Framework basierend aufzubauen.

Ein derartig anerkanntes Framework stellt COSO dar. Nach repräsentativen Umfragen nutzen rund 70% der Unternehmen, die unter die Regelungen des Sarbanes Oxley Acts fallen, COSO als entsprechendes Framework.

Das COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist eine freiwillige privatwirtschaftliche Organisation in den USA, die helfen soll, Finanzberichterstattungen durch ethisches Handeln, wirksame interne Kontrollen und gute Unternehmensführung qualitativ zu verbessern.

COSO wurde 1985 als Plattform für die “National Commission on Fraudulent Financial Reporting“ (Treadway Commission) gegründet und wird durch die fünf bedeutendsten US-Organisationen für Kontrolle im Finanz- und Rechnungswesen unterstützt:

 
 
 
 
Mapping von COSO Anforderungen auf SAP Spezifika

 

Im SAP Workshop WATRV1 wird eine Original COSO Matrix mit einer ergänzenden Überleitung auf die SAP Funktionen dargestellt und verwendet.

 

Die Überleitung betrifft sowohl die Prozesskontrollen als auch die SAP Berechtigungen.

 

Zudem liegt eine vollständige deutsche Übersetzung vor.

 

Wenn Sie Fragen zum Workshop oder zur COSO-SAP Matrix haben helfen wir Ihnen sehr gerne weiter.



Das COSO Modell
 
COSO hat 1992 einen von der SEC (amerikanische Börsenaufsicht Security and Exchange Commission) anerkannten Standard für interne Kontrollen, das COSO-Modell, publiziert. Das Kontrollmodell dient der Dokumentation, Analyse und Gestaltung des internen Kontrollsystems, beschränkt sich allerdings stark auf die Finanzberichterstattung.

Die Bestandteile des internen Kontrollsystems nach dem COSO-Modell sind:

  • Kontrollumfeld
  • Risikobeurteilung
  • Kontrollaktivitäten
  • Information und Kommunikation
  • Überwachung
 
 
COSO ERM
 
Im September 2004 hat COSO eine Ergänzung zu seinem ursprünglichen Modell, das COSO ERM - Enterprise Risk Management Framework, veröffentlicht. Das COSO ERM fügt zusätzliche Elemente ein (vergl. Management Summary, deutschsprachige Fassung):

  • Internes Kontrollumfeld
  • Zielsetzung
  • Ereignisidentifikation
  • Risikobeurteilung
  • Risikoreaktion
  • Kontrollaktivitäten
  • Information und Kommunikation
  • Überwachung

 
COSO für kleinere und mittlere börsennotierte Unternehmen
 
Der im Juli 2006 erschienene Leitfaden ergänzt das COSO-Rahmenmodell zur Internen Kontrolle von 1994, um seine Anwendung insbesondere für kleinere und mittlere Unternehmen zu erleichtern.

Der Leitfaden beschreibt 20 grundlegende Prinzipien und einen Prozess, der sich aus den Komponenten des COSO-Kontrollmodells zusammensetzt.

  • Kontrollumfeld
  • Integrität und ethische Werte
  • Unternehmensleitung
  • Managementphilosophie und -stil
  • Organisationsstruktur
  • Befähigung zur Finanzberichterstattung
  • Entscheidungskompetenz und Verantwortlichkeit
  • Personalausstattung

  • Risikobeurteilung
  • Ziele der Finanzberichterstattung
  • Risiken der Finanzberichterstattung
  • Risiko doloser Handlungen

  • Kontrollaktivitäten
  • Integration mit dem Risikomanagement
  • Auswahl und Umsetzung von Kontrollaktivitäten
  • Vorschriften und Verfahren
  • Informationstechnologie
 
  • Information und Kommunikation
  • Information für die Finanzberichterstattung
  • Information über Interne Kontrollen
  • Interne Kommunikation
  • Externe Kommunikation

  • Überwachung
  • Laufende und gezielte Beurteilungen
  • Schwächen der Berichterstattung


Die Konsequenzen für SAP-basierte Interne Kontroll-Systeme daraus sind:

  • Control Environment
    Die höchste Priorotät hat die ethische Haltung des Managements. Negativ formuliert bedeutet dies, die SAP-Kontrollen können noch so gut dokumentiert sein, bei ethisch unkorrektem Verhalten des Managements kann dadurch eine unzureichende Finanzberichterstattung nicht verhindert werden.

  • Risikobeurteilung
    Es ist eine risikoorientierte Vorgehensweise zu wählen. Dies umschließt sowohl das SAP Verfahren, als auch eine Gewichtung der möglichen SAP-Kontrollmechanismen. Eine Beurteilung erfolgt anhand der Kriterien Eintrittswahrscheinlichkeit und Schadensausmaß.

  • Control Activity
    In einer SAP-Verfahrenslandschaft, in der die Finanzberichterstattung erzeugt wird, liegen rund 500 SAP-basierende Kontrollpunkte vor. Diese Kontrollen müssen dokumentiert und auf ihre korrekte Ausgestaltung (Test of Design) und ihre Wirksamkeit (Test of Effectivness) hin durch das Management überprüft werden.

  • Information und Kommunikation
    Das Management hat die Verantwortlichkeiten für die Ausführung und Überwachung der Kontrollen klar zu definieren und muss für funktionierende Kommunikationskanäle sorgen (top-down und bottom-up).

  • Überwachung
    Alle IKS-relevanten Änderungen müssen laufend erfasst werden und Anpassungen zur Erhaltung der Funktionsfähigkeit gewährleistet sein.

Stand vom: 18 Dezember 2009 19:15