revisionsportal-austria.com

protective business controls for SAP Systems
Startseite
FraudExplorer
DynamicSecurityRecording
SAP Berechtigungskonzept
Sarbanes Oxley
Business Process Controls
SAP GRC
COSO und SAP
COBIT und SAP
Fraud in SAP environment
SAP Lehrgang WP
Publikationen
Links - Gesetze und Standards
Links - Checklisten & Prüfleitfäden
Links - IT
Kontakt
Impressum
Sarbanes-Oxley Act

Die Ralph Grunge Consulting zählt über 10 SOX-pflichtige Unternehmen zu Ihren Referenzen und Kundenbestand.
 
Innovative Lösungen zur Automatisierung und Gewährleistung der Wirksamkeit SAP-basierender Kontrollsysteme helfen unseren Kunden, kostengünstiger und effizienter den strengen SOX-Anforderungen entsprechen zu können.
 
Im folgenden finden Sie ausgewählte Informationen rund um den Sarbanes-Oxley Act.

Gesetzliche Grundlagen

Der Sarbanes-Oxley Act wurde im Sommer 2002 verabschiedet. Er ist als Reaktion des amerikanischen Gesetzgebers auf die Bilanzskandale um Enron und Worldcom zu sehen. Hervorstechend ist die Radikalität dieses Gesetzes in Bezug auf die Anforderungen an die Wirksamkeit der Internen Kontrollen über die Finanzberichterstattung und den einhergehenden Haftungsrisken für das Management.
 

Sarbanes-Oxley Act im Original Gesetzestext


Hier stehen insbesondere die Section 302 und die Section 404 im Fokus. So fordert die Section 404 einen "Bilanzeid" von CEO und CFO darüber, dass ein wirksames Internes Kontrollsystem vorhanden ist, von dessen Wirksamkeit sich das Management auch nachweisbar überzeugt hat.
Besonderes erschreckend ist in diesem Zusammenhang die Section 906, da diese drakonische Gefängnisstrafen vorsieht, wenn vorsätzlich ein "falscher Bilanzeid" durch das Management abgegeben wird (Androhung von bis zu 20 Jahren Haft).
 
Da das Sarbanes-Oxley Gesetz als sogenanntes Rahmengesetz ausgestaltet ist, das die Umsetzung der Vorgaben an andere staatliche Stellen delegiert, insbesondere an die amerikanische Börsenaufsicht SEC (Security and Exchange Commission) und an das PCAOB (Public Company Oversight Board), finden sich im Gesetzestext selbst nur wenige konkrete Anhaltspunkte zur Umsetzung eines nachweisbar wirksamen Internen Kontrollsystems.
 
Diese finden sich vielmehr im Prüfungsstandard No 2 des PCAOB, der in rund 300 Punkten detaillierte Vorgaben macht, wie ein wirksames Internes Kontrollsystem ausgestaltet sein muss und wie es durch den externen Jahresabschlussprüfer zu prüfen ist. Aufgrund der hohen und detaillierten Anforderungen verschärft dies aber in weiterer Folge das Haftungsrisiko für das verantwortliche Management erheblich.
 
Prüfungsstandard No 2 des PCAOB
 
Aktuelle Änderungen zum Prüfungsstandard des PCAOB

Betreffend der IT werden in diesem Standard auch entsprechende Vorgaben gemacht. So wird insbesondere die Bedeutung der sogenannten IT General Controls hervorgehoben, also jene Kontrollen, von denen insbesondere die Funktionsfähigkeit der Applikationskontrollen (die eine unmittelbare Aus-wirkung auf die Positionen der Bilanz und GuV haben) in ihrer Funktionsfähigkeit abhängig ist.

Bezogen auf das SAP-System sind die IT General Controls als der Systemzugriff, das Änderungswesen und das Betreiben der SAP Anwendung zu sehen. Zudem sind natürlich die SAP Applikationskontrollen selbst von herausragender Bedeutung für das Interne Kontrollsystem.
 
In der Praxis haben insbesondere die enorm hohen Kosten für die Umsetzung der Section 404 für Aufsehen gesorgt.
 
So haben eine Reihe von Unternehmen einen zwei- bis dreistelligen Millionenbetrag für die Implementierung angegeben. Eine Regel setzt hier die Kosten pro Umsatzmilliarde zwischen 1 und 5 Millionen Dollar pro Jahr für die Einhaltung der SOX-Anforderungen an.


Nachfolgende Seiten und Dokumente (externe Links) sind aus unserer Sicht besonders hilfreich für Fragen rund um SOX:

Definition von SOX Wikipedia
 
Sarbanes-Oxley Implementierungskosten (2005)

 

Frequently Asked Questions by the SEC
 
Taking Control (Veröffentlichung Deloitte aus 2003)
 
Sarbanes-Oxley (Seite von Ernst & Young)
 
Sarbanes-Oxley Guidance for Management aus 2004
 
IT Control Objectives vom IT Governance Institut

Aktuelle Veranstaltung:
25. Januar 2010 Walldorf

 

Klicken Sie auf den Flyer für das Kursprogramm


Prozesskontrollen in SAP gestalten - Automatisierung und optimale Nutzung von Standardfunktionalitäten

Veranstalter:  SAP EDUCATION

Termin: 25. Januar 2010 in Walldorf


Umsetzung der SOX Anforderungen mit SAP-Mitteln

 

Zur Umsetzung der SOX Anforderungen liegen eine Reihe von Anknüpfungspunkten in SAP vor:

Die Finanzbericht-erstattung wird beim Einsatz von SAP auf diesem Verfahren erstellt

Der integrierte Beleg- und Wertefluss in SAP erleichert die erforder-lichen Prozessdoku-mentationen der relevanten Financial Statement-Positionen erheblich

SAP liefert Lösungen zur Führung der Dokumentation des IKS

Im SAP Standard liegen rund 400 Kontrollpunkte vor, die für die Wirksamkeit der Internen Kontrollen von hoher Bedeutung sind


Auswirkungen auf europäische Unternehmen

 

Prinzipiell unterliegen dem Sarbanes-Oxley Act nur Unternehmen, die an einer US-amerikanischen Börse gelistet sind. Das betrifft somit amerikanische Unternehmen sowie deren europäische Tochtergesellschaften, aber auch alle europäischen Unternehmen, die über ein Zweitlisting an einer US-amerikanischen Börse verfügen.

Allerdings geht von diesem Gesetz eine hohe Austrahlungswirkung auch auf andere Staaten aus. So wurde auf europäischer Ebene die 8. EU Richtlinie erlassen, die eine Berufsaufsicht über die Wirtschaftsprüfer vorsieht und für Unternehmen des öffentlichen Interesses ein IKS einfordert. Durch die erforderliche Umsetzung in nationales Recht (spätestens mit Ende Juni 2008) ist somit auch von einer erhöhten Anforderung an die Dokumentation der Internen Kontrollen für europäische Unternehmen auszugehen.



Stand vom: 04 Januar 2010 18:39