close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

1.3.2.2 SOX 404 und IT-Sicherheit - was gilt es zu - Datakontext

EinbettenHerunterladen
1.0 Grundsätze des Internen Kontrollsystems (IKS)
1.3 Ergänzende Bestimmungen
Dem Audit Committee obliegt es, die Wirtschaftsprüfer zu bestellen, aber auch
als Anlaufstelle für Informationen über evtl. Beschwerden und Unregelmäßigkeiten der Rechnungslegung innerhalb des Unternehmens zu dienen.
Enhanced Financial Disclosures
In diesem Abschnitt wird die erweiterte Informationspflicht bezüglich der Finanzdaten, insbesondere so genannte „Off-Balance Sheet“ items in regelmäßigen Zeitabständen gefordert. Dazu gehört auch, dass Finanzstrukturen, Beteiligungen und vertragliche Verpflichtungen des Unternehmens aufgezeigt werden.
Auch wird in diesem Absatz die Vergabe von Darlehen an Mitglieder des Board
of Directors explizit verboten. Kapitel 404 SOX regelt aber auch den Aufbau
und die Umsetzung eines Internen Kontrollsystems, auf das nachfolgend näher
eingegangen wird.
Erweiterte
Informationspflicht bzgl. der
Finanzdaten
+
s. a. 1.3.2.2
Aufbau und Durchführung des Internen Kontrollsystems (IKS)
Die Umsetzung des SOX in all seinen Facetten hat mit Sicherheit in vielen Unternehmen zu organisatorischen Veränderungen geführt. Die Anforderungen an
das IKS bauen dabei auf dem COSO-Rahmenwerk des „Committee of Sponsoring Organizations of the Tradeway Commission“ auf. Dies ist ein weltweit anerkannter Standard zur Beschreibung des IKS. In Deutschland ist hierbei insbesondere auf die Prüfungsstandards des Instituts der Wirtschaftsprüfer hinzuweisen.
Weltweit
anerkannter
Standard zur
Beschreibung des
IKS (COSO)
Verantwortung für das IKS
Das SOX definiert den CEO (Chief Executive Officer-Vorstandsvorsitzender)
und den CFO (Chief Financial Officer-Finanzvorstand) als die Personen im Unternehmen, die für die Einführung und Umsetzung des IKS in letzter Instanz
verantwortlich sind. Sie müssen einen entsprechenden Bericht zur Wirksamkeit
des IKS abgeben. Falls erforderlich, muss in diesem Bericht auf „Material
Weaknesses“ hingewiesen und entsprechende Korrekturen angekündigt werden.
Allerdings kann das Management mögliche Schwächen für das IKS vernachlässigbar beurteilen (Minor Deficiencies).1)
1.3.2.2 SOX 404 und IT-Sicherheit - was gilt es zu beachten?
Der „Sarbanes Oxley Act“ (SOX) aus dem Jahr 2002 hat das Ziel, die Rechnungslegung von Unternehmen zu verbessern, die den US amerikanischen Kapitalmarkt in Anspruch nehmen. Hierunter fallen neben deutschen Unternehmen,
die bei der „Securities and Exchange Commission“ (SEC) registriert sind auch
deutsche Tochtergesellschaften von SEC-registrierten Unternehmen.
19
1.0 Grundsätze des Internen Kontrollsystems (IKS)
1.3 Ergänzende Bestimmungen
Neben anderen wesentlichen neuen Verpflichtungen wird die Geschäftsführung
dazu aufgefordert, in den veröffentlichten Jahresabschlüssen zu bestätigen, dass
sie für die Einrichtung und Aufrechterhaltung eines angemessenen Internen
Kontrollsystems (IKS) Sorge trägt,
‰ sie die Funktionalität und Qualität des IKS zeitnah beurteilt,
‰ sie offen legt, ob im Anschluss an diese Beurteilung Änderungen an dem
IKS vorgenommen wurden, um zum Beispiel festgestellte Mängel zu beseitigen und
‰ sie sicherstellt, dass alle wesentlichen Informationen allen Mitgliedern
der Geschäftsführung zugänglich gemacht wurden und sie das Audit
Committee sowie den Abschlussprüfer umfassend über wesentliche
Schwächen des IKS informiert hat.
Das IKS bezieht sich auf die Kontrollmechanismen, die für die Zuverlässigkeit
der Rechnungslegung wesentlich sind. Zu kontrollieren sind die Prozesse im Unternehmen, die in die
‰
‰
‰
‰
Vorbereitung
Erfassung
Verarbeitung oder
Berichterstattung
von rechnungslegungsrelevanten Daten eingebunden sind.
Für jeden Kontrollmechanismus müssen gemäß SOX zumindest folgende
Dokumentationsanforderungen erfüllt sein:
‰ Beschreibung der Kontrolle, ihrer Arbeitsweise und ihrer Einbindung in
das Gesamtkontrollumfeld der Gesellschaft
‰ Beschreibung der Entstehung, Genehmigung, Erfassung und Bearbeitung der wesentlichen, der Kontrolle unterliegenden Transaktionen
‰ ausreichend detaillierte Beschreibung des Informationsflusses der wesentlichen - der Kontrolle unterliegenden - Transaktionen
‰ Angabe der Kontrollverantwortlichen und Nachweis der durchgehenden
Funktionstrennung hinsichtlich der Kontrollausübung sowie
‰ Dokumentation der Durchführung und der Ergebnisse von Kontrolltests.
IT-Kontrollsystem als
Bestandteil des
IKS
20
Für die Abbildung der rechnungslegungsrelevanten Prozesse im Unternehmen
werden in großem Umfang IT-Systeme und IT-Anwendungen eingesetzt. Im
Prüfungsstandard PS 330 des Instituts der Wirtschaftsprüfer in Deutschland
(IDW Prüfungsstandard 330 „Abschlussprüfung bei Einsatz von Informationstechnologie“, 24.09.2002) wird folgerichtig davon gesprochen, dass das ITKontrollsystem integraler Bestandteil des IKS eines Unternehmens ist.
1.0 Grundsätze des Internen Kontrollsystems (IKS)
1.3 Ergänzende Bestimmungen
Für den Aufbau eines IKS gemäß PS 330 sind mögliche Risiken für die Prozesse
zu identifizieren und Kontrollziele für die Reduktion dieser Risiken zu definieren. IT-Risiken können sich im Einzelnen auf die Ausgestaltung des Buchführungsverfahrens (also die Abbildung der Prozesse in der IT), auf die Richtigkeit
der rechnungslegungsrelevanten Programmabläufe und Verarbeitungsregeln
(Korrektheit und Fehlerfreiheit der IT-Anwendungen), auf den Schutz der ITInfrastruktur (Systeme und Netze), auf die Sicherheit der rechnungslegungsrelevanten Daten sowie auf die IT-Organisation und das IT-Umfeld beziehen.
Risiken feststellen
und Kontrollziele
definieren
Für jeden der genannten Bereiche sind insbesondere die folgenden Risikoindikatoren zu beachten:
‰
‰
‰
‰
Abhängigkeiten (auf der Prozess- und Anwendungsebene zum Beispiel
von Zulieferungen bzw. Verbindungen mit Geschäftspartnern, Kreditinstituten oder Behörden; auf der IT-System- und Infrastrukturebene insofern, als rechnungslegungsrelevante Daten i.d.R. elektronisch gespeichert und verarbeitet werden)
Änderungen (bergen bei ungenügender Vorbereitung oder mangelndem
Projektmanagement das Risiko von Kosten- oder Terminüberschreitungen sowie von inhaltlichen Mängeln oder ungenügender Anwenderakzeptanz)
Know-how und Ressourcen (im Sinne des Fehlens von für den Betrieb
erforderlichem Fachwissen oder von Fehlern oder Ausfällen, die durch
Überlastung des Personals bewirkt werden)
Geschäftliche Ausrichtung (des IT-Einsatzes durch Formulierung einer
adäquaten IT-Strategie sowie durch Berücksichtigung der rechtlichen
Rahmenbedingungen)
Kontrollziele zur Reduktion der zu identifizierenden Risiken in der Prozess- und
Anwendungsebene lassen sich zum Beispiel aus den GoBS herleiten:
‰
‰
‰
‰
Sicherung und Schutz des vorhandenen Vermögens und vorhandener
Informationen vor Verlusten aller Art
Bereitstellung vollständiger, genauer und aussagefähiger sowie zeitnaher Aufzeichnungen
Förderung der betrieblichen Effizienz durch Auswertung und Kontrolle
der Aufzeichnungen
Unterstützung der Befolgung der vorgeschriebenen Geschäftspolitik
Für die eingesetzten IT-Anwendungen sind Mechanismen einzusetzen, die bei
der Erfassung, Verarbeitung, Ausgabe und Aufbewahrung von rechnungslegungsrelevanten Daten sicherstellen, dass deren Vollständigkeit, Richtigkeit,
Zeitgerechtheit, Ordnung, Nachvollziehbarkeit und Unveränderlichkeit gewährleistet ist.
Einsatz von
Mechanismen zur
Sicherstellung der
Ordnungsmäßigkeit
21
1.0 Grundsätze des Internen Kontrollsystems (IKS)
1.3 Ergänzende Bestimmungen
Hierunter sind unter anderem sowohl Plausibilitätsprüfungen bei Dateneingaben
zu verstehen, als auch Prüfungen hinsichtlich korrekter Datenformatierung
zum Beispiel an Schnittstellen zwischen IT-Anwendungen, das Etablieren von
Funktionen zur Gewährleistung des Nachvollzugs (Beleg- und Journalfunktion),
die Verwendung von Ordnungskriterien, wie Belegnummern und Buchungsdaten sowie die Umsetzung eines stringenten Zugriffsberechtigungskonzepts, das
auch die notwendige Trennung von Funktionen berücksichtigt. Erforderlich ist
weiter die Aufnahme der relevanten IT-Anwendungen und -systeme. Die einzelnen IT-Systeme sind dabei den jeweiligen IT-Anwendungen und diese wiederum den Prozessen zuzuordnen. Als ausreichend werden in der Regel folgende
Angaben angesehen:
‰ Für eine IT-Anwendung ist Name, Version und Hersteller der Software
anzugeben. Weiter sind die Organisationsbezeichnungen der fachlichen
und der technischen Betreuung der IT-Anwendung aufzuführen. Gegebenenfalls ist auf Outsourcing- oder Shared-Service-Beziehungen einzugehen. Zusätzlich sind Angaben darüber sinnvoll, ob die Software intern
entwickelt, eingekauft und angepasst oder eingekauft und unverändert
eingesetzt wurde.
‰ Zu einem IT-System ist die eingesetzte Hardware mit dem zugehörigen
Hersteller anzugeben. Die Organisationsbezeichnung der verantwortlichen IT-Systembetreuung ist zu benennen. Weitere sinnvolle Angaben
sind das verwendete Betriebssystem, die verwendeten Applikationsoder Datenbankmanagementsysteme, die eingesetzte Software zur Benutzer- und Berechtigungsverwaltung, Kommunikationssoftware sowie
der Aufstellort der Hardware.
Zum Umgang mit Risiken aus den Bereichen der IT-Organisation und dem ITUmfeld werden mit COBIT (ISACF: „COBIT – Governance, Control and Audit
for Information and Related Technology“, 3rd Edition, 2000) geeignete Kontrollziele und Einzelkontrollen definiert. COBIT bietet ein Standard-Prozessmodell
für den Einsatz von IT. Es besteht aus 34 Einzelprozessen, die den Prozessgruppen „Planung und Organisation“, „Beschaffung und Implementierung“, „Betrieb
und Unterstützung“ sowie „Überwachung“ zugeordnet sind. Zu jedem dieser
Einzelprozesse werden prozessspezifische Kontrollen angegeben.
Im Jahr 2004 wurden aus COBIT „IT Control Objectives for Sarbanes-Oxley“
abgeleitet. Die Detaillierung der Dokumentation eines IKS gemäß SOX erfolgt
auf der Ebene von Zielvorgaben. Für den Einzelprozess „Facility Management“
aus der COBIT-Prozessgruppe „Betrieb und Unterstützung“ wird zum Beispiel
als Kontrollziel „Schutz vor Umgebungseinflüssen“ genannt.
Das konkrete Risiko für ein Unternehmen besteht darin, dass „IT-Systeme, die
für die Speicherung, Verarbeitung oder Bereitstellung von Finanzdaten eingesetzt werden, bedingt durch negative Umwelteinflüsse wie Brand, Wasser, Temperatur, Stromausfall oder durch sonstige Beschädigungen ausfallen.“
22
1.0 Grundsätze des Internen Kontrollsystems (IKS)
1.4 Sonstige Richtlinien
Eine geeignete Kontrollaktivität wäre in diesem Beispiel, solche IT-Systeme „an
einem Ort aufzustellen, der gegen Umwelteinflüsse durch Maßnahmen des
Brand- und Wasserschutzes, der Temperaturkontrolle und Belüftung, durch einen Stromversorgungsschutz sowie mit einer Zutrittskontrolle geschützt ist.“
Die Implementierung des IKS bedarf ebenfalls einer vollständigen und korrekten Dokumentation. Die GoBS fordern hier eine Verfahrensdokumentation, die
„von einem sachverständigen Dritten hinsichtlich ihrer formellen und sachlichen
Richtigkeit in angemessener Zeit prüfbar sein“ muss. Nach den GoBS muss diese insbesondere:
‰
‰
‰
‰
‰
+
s. a. Anlage B 1
eine Beschreibung der sachlogischen Lösung
die Beschreibung der programmtechnischen Lösung
eine Beschreibung, wie die Programm-Identität gewährleistet wird
eine Beschreibung, wie die Integrität von Daten gewahrt wird und
Arbeitsanweisungen für den Anwender
enthalten.
Eine Studie von Ernst & Young aus dem Jahr 2004 nennt folgende Zahlen zur
Komplexität von IKS-Implementierungen gemäß SOX:
‰
‰
‰
‰
Zwischen 100 und 1.000 Kontrollen sind i. d. R. zu implementieren.
Die Implementierungsdauer beträgt etwa 12 Monate.
Es ist mit einem Implementierungsaufwand von cirka 10.000 Mannstunden zu rechnen.
Für die Durchführung der implementierten Kontrollaktivitäten wird oft
zusätzliches Personal eingestellt.2)
1.4 Sonstige Richtlinien
Sämtliche Informationssysteme bezogen auf die Erfassung rechnungslegungsrelevanter Geschäftsprozesse unterliegen den Bestimmungen des Handels- und
Steuerrechts. Die gesetzlichen Vorschriften des HGB sowie der Abgabenordnung beziehen sich auf die Grundsätze ordnungsmäßiger Buchführung (GoB).
Diese gelten unabhängig von der Art der Buchführung, somit auch unabhängig
von einer elektronischen Verarbeitung. Daher ist eine Präzisierung hinsichtlich
der Interpretation der GoB beim Einsatz von IT-Systemen erforderlich.
Fachliche Stellungnahmen erfolgen durch die Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V. (AWV), den Fachausschuss für moderne Abrechnungssysteme (FAMA), das Institut der Wirtschaftsprüfer (IDW) sowie durch
steuerrechtliche Richtlinien. Die Stellungnahmen gewährleisten eine Auslegung
der GoB nach dem neuesten Stand der Wissenschaft und Informationstechnik.
+
s. o. 1.2
Fachliche
Stellungnahmen
gewährleisten
Auslegung der
GoB nach dem
neuesten Stand
von Wissenschaft
und Informationstechnologie
23
Document
Kategorie
Technik
Seitenansichten
8
Dateigröße
207 KB
Tags
1/--Seiten
melden