I

Inhaltsverzeichnis

Abbildungsverzeichnis.   II

Tabellenverzeichnis. IV   

Abk  ürzungsverzeichnis  VI

1.  Einleitung.  1

2.  Problemstellung.  3

2.1  Sarbanes-Oxley Act  4

2.2  Internes Kontrollsystem.  7

3.  COSO  9

3.1  COSO Internal Control - Integrated Framework  9

3.1.1  Control Environment (Kontrollumfeld)  11

3.1.2  Risk Assessment (Risikobeurteilungen)  12

3.1.3  Control Activities (Kontrollaktivitäten)  13

3.1.4  Information and Communication  

  (Information und Kommunikation)  14

3.1.5  Monitoring (Überwachung)  15

3.2  COSO ERM - Enterprise Risk Management  15

3.2.1  Internal Environment (Internes Umfeld)  18

3.2.2  Objective Settings (Zielbestimmung)  19

3.2.3  Event Identification  

  (Identifizierung von Ereignissen)  20

3.2.4  Risk Assessment (Risikobewertung)  21

3.2.5  Risk Response (Risikosteuerung)  22

3.2.6  Control Activities (Kontrollaktivitäten)  23

3.2.7  Information and Communication  

  (Information und Kommunikation)  24

3.2.8  Monitoring (Überwachung)  25

3.3  Zwischenergebnis COSO  27

II

4.  CobiT 4.0  29

4.1  Vorstellung des Berufsverbands ISACA  30

4.2  CobiT Framework.  31

4.3  Detailbetrachtung der 34 kritischen IT-Prozesse  37

4.3.1  High-Level Control Objectives und Detailed Control  

Objectives.   39

4.3.2  Management Guidelines.  40

4.3.3  CobiT Maturity Model  43

4.4  Zusammenfassung CobiT  45

5.  Gemeinsame Anwendung von COSO und CobiT  48

6.  Fazit und Ausblick  51

Literaturverzeichnis   0

II

Abbildungsverzeichnis

Abb.1 : COSO Würfel

Quelle: COSO, Internal Control - Integrated Framework, 1992.......S. 11

Abb.2 : COSO ERM Würfel Quelle: COSO ERM, Enterprise Risk Management

Framework, 2004................................................................S. 16

Abb.3 : Zuordnung der Information Criteria Quelle: ISACA Switzerland Chapter, Zertifizierung

als CISA oder CISM, 2006....................................................S. 33

Abb.4 : CobiT Framework "life cycle"

Quelle: ISACA Switzerland Chapter, CobiT 3 ^rd edition, 2001..........S. 36

Abb.5 : Zuordnung des kritischen IT Prozesse zu den übergeordneten Domains

Quelle: eigene Darstellung, in Anlehnung an ISACA Switzerland Chapter, CobiT 3 ^rd edition, 2001..........................................S. 38

Abb.6 : CobiT Würfel

Quelle: ITGI, CobiT4.0, 2005...........................................................S. 40

Abb.7 : Input Output Tabelle PO1

Quelle: ITGI, CobiT4.0, 2005............................................................S. 41

Abb.8 : RACI Chart PO1

Quelle: ITGI, CobiT4.0, 2005............................................................S. 42

III

Abb.9 : Beispiel für Verbindung zwischen Prozess, Ziel und Metriken

Quelle: ITGI, CobiT4.0, 2005...........................................................S. 43

Abb.10 : Reifegrade von Prozessen Quelle: eigene Darstellung, in Anlehnung an ITGI,

CobiT4.0, 2005..................................................................S. 43

Abb.11 : Beispiel für Graphische Darstellung des Reifegradmodells nach CobiT 4.0

Quelle: ITGI, CobiT4.0, 2005.........................................................S. 44

Abb.12 : In CobiT integrierte internationale Standards Quelle: eigene Darstellung, in Anlehnung an ISACA-CH Switzerland Chapter, CobiT 3 ^rd edition, 2001.....................S. 46

IV

Tabellenverzeichnis

Tab.1 : Übersicht über mögliche Kontrollen innerhalb der Zielkategorien

Quelle: eigene Darstellung, in Anlehnung an Menzies,

Sarbanes-Oxley Act, 2004.....................................................S. 8

Tab.2 : Inhalte Internal Environment COSO ERM Quelle: COSO ERM, Enterprise Risk Management, 2004...............S. 19

Tab.3 : Inhalte Objective Setting COSO ERM

Quelle: COSO ERM, Enterprise Risk Management, 2004...............S. 20

Tab.4 : Inhalte Event Identifikation COSO ERM Quelle: COSO ERM, Enterprise Risk Management, 2004...............S. 21

Tab.5 : Inhalte Risk Assessment COSO ERM

Quelle: COSO ERM, Enterprise Risk Management, 2004...............S. 22

Tab.6 : Inhalte Risk Response COSO ERM

Quelle: COSO ERM, Enterprise Risk Management, 2004...............S. 23

Tab.7 : Inhalte Control Activities COSO ERM

Quelle: COSO ERM, Enterprise Risk Management, 2004...............S. 24

Tab.8 : Inhalte Information and Communication COSO ERM Quelle: COSO ERM, Enterprise Risk Management, 2004...............S. 25

Tab.9 : Inhalte Monitoring COSO ERM

Quelle: COSO ERM, Enterprise Risk Management, 2004...............S. 26

V

Tab.10 : Definition der IT-Ressourcen des CobiT Framework Quelle: eigene Darstellung, in Anlehnung an

ITGI, CobiT4.0, 2005..........................................................S. 34

Tab.11 : Domains des CobiT Frameworks Quelle: eigene Darstellung, in Anlehnung an

ITGI, CobiT4.0, 2005...........................................................S. 35

Tab.12 : Zuordnung der 34 CobiT Prozesse zu den 5 COSO Komponenten

Quelle: eigene Darstellung, in Anlehnung an ITGI, IT Control Objectives for Sarbanes-Oxley, 2004.................................S. 49

VI

Abkürzungsverzeichnis

AICPA American Institute of Certified Public Accountants AMEX American Stock Exchange

Bitkom

CMM hier: CobiT Maturity Model CobiT Control Objectives for Information and related Technology COSO Committee of Sponsoring Organisations of the Tradeway Comission COSO ERM COSO Enterprise Risk Management

DTI Department of Trade and Industry

EDIFACT United Nations Electronic Data Interchange For Administration, Commerce and Transport EDPAA EDP Auditors Association ESF European Science Foundation EU Europäische Union

GAO Government Auditing Standards

IBAG INFOSEC Business Advisory Group IFAC International Federation of Accountants IIA Institute of Internal Accountants IKS Internes Kontroll System ISACA Information Systems Audit and Control Association ISO International Standards Organization ITGI IT Governance Institute ITIL IT Infrastructure Library ITSEC Information Technology Security Evaluation Criteria

VII

KG Key Goal Indicator KPI Key Performance Indicator

NASDAQ National Association of Securities Dealers Automated Quotations NIST National Institute of Standards and Technology NYSE New York Stock Exchange

OECD Organisation for Economic Cooperation and Development

PCAOB Public Company Accounting Oversight Board PCIE Peripheral Component Interconnect Express

SEC Securities and Exchange Commission SOA Sarbanes-Oxley Act SPICE Software Process Improvement and Capability Determination

TCSEC Trusted Computer System Evaluation Criteria

1

1. Einleitung

Innovation, Globalisierung, Liberalisierung der Märkte und

internationale Wettbewerbsfähigkeit sind Schlagworte, die aus der heutigen Wirtschaft nicht mehr wegzudenken sind. Die

Herausforderungen eines zunehmend global vernetzten Weltmarktes verlangen in Unternehmen geeignete Corporate Governance Strukturen, um die Sicherung der Wettbewerbsfähigkeit zu gewährleisten.

Vielfach haben bestehende Strukturen in Unternehmen jedoch versagt, was sich in kriminellen Machenschaften mit weitreichenden Konsequenzen äußerte. Um die Entwicklung einer Kultur professioneller und ethischer Werte voranzutreiben, wurden von einer Vielzahl verschiedener Organisationen, Grundsätze für Corporate Governance Strukturen veröffentlicht, welche Vertrauen und Integrität im wirtschaftlichen Zusammenleben stärken sollen.

Auch die Gesetzgeber in verschiedenen Regionen der Welt reagierten auf diese Entwicklungen, indem sie die Gesetzgebung verschärften. Ein wesentlicher Punkt in diesem Zusammenhang ist die Forderung nach höherer Transparenz unternehmensinterner Abläufe, wie sie speziell durch den Sarbanes-Oxley Act (SOA) aus dem Jahre 2002 gefordert wird.

Im Verlauf der vorliegenden Arbeit soll nun aufgezeigt werden, wie Unternehmen den Anforderungen einer guten Corporate Governance gerecht werden können und wie konkrete rechtliche Vorgaben umzusetzen sind. In diesem Zusammenhang werden insbesondere die Frameworks COSO und CobiT detailliert betrachtet werden.

2

Im 2. Kapitel wird zunächst die generell zugrundeliegende Problemstellung aufgezeigt, um im Anschluss daran die daraus resultierenden gesetzlichen Vorschriften und Forderungen konkret zu erörtern. Dies geschieht insbesondere in Bezug auf den Sarbanes-Oxley Act aus dem Jahre 2002.

Im Anschluss daran erfolgt in Kapitel 3 die Vorstellung des COSO Internal Control - Integrated Framework, welches als anerkanntes Corporate Governance Framework die Umsetzung der gesetzlichen Vorgaben des SOA innerhalb eines Unternehmens unterstützen kann. Ein Internes Kontrollsystem (IKS) stellt in diesem Zusammenhang einen elementaren Bestandteil eines Corporate Governance Modells dar. Weiterhin wird in diesem Kapitel die Weiterentwicklung des COSO Frameworks hin zum COSO Enterprise Risk Management Modell erläutert werden.

Darauf aufbauend erfolgt in Kapitel 4 eine nähere Betrachtung des CobiT Frameworks, welches als IT-Governance Framework die Ausführungen von COSO unterstützen kann. Mit der zusätzlichen Nutzung eines IT-Governance Frameworks wird der Tatsache Rechnung getragen, dass elementare Geschäftsprozesse in Unternehmen heutzutage in zunehmendem Maße von der IT abhängig sind. Daher kommt der IT eine Schlüsselrolle bei der Erhöhung der Transparenz unternehmensinterner Prozesse zu.

Nachdem die Frameworks COSO und CobiT detailliert im einzelnen betrachtet wurden, erfolgt in Kapitel 5 eine Darstellung, wie beide Frameworks im Zusammenspiel effektiv und effizient gehandhabt werden können.

Abschließend werden im 6. und letzten Kapitel konkrete Erkenntnisse nochmals zusammenfassend dargestellt und mit einem kurzen Ausblick mögliche Entwicklungen aufgezeigt.

3

2. Problemstellung

Die weitreichenden Finanzskandale in den USA der vergangenen Jahre (z.B. Enron, Worldcom) haben dazu geführt, dass Corporate Governance zu einem Schwerpunktthema der Unternehmensführung wurde. Das Vertrauen in die Kapitalmärkte wurde grundlegend erschüttert. Als Reaktion darauf verabschiedete der US-Kongress im Juli 2002 den Sarbanes-Oxley Act (SOA). Es handelt sich dabei um ein US-Gesetz, welches nach seinen Verfassern, Paul S. Sarbanes und Michael G. Oxley benannt ist. ¹ In Kapitel 2.1. wird detaillierter auf die Inhalte dieses Gesetzes eingegangen werden.

Seit mehreren Jahren fokussiert sich das betriebswirtschaftliche Denken innerhalb von Unternehmen zunehmend auf eine prozessorientierte Unternehmensgestaltung. Die Geschäftsprozesse sollen in einer Art und Weise ablaufen und gehandhabt werden, dass bestimmte Regularien und gesetzliche Vorgaben berücksichtigt und eingehalten werden. ² Bei der Ausführung von Geschäftsprozessen entstehen Daten, welche durch immer komplexere

Informationssysteme verwaltet werden. Diese Daten stellen unter anderem auch die Grundlage der Rechnungslegung dar.

Dies zeigt deutlich auf, wie stark die Beziehungen und Abhängigkeiten zwischen Geschäftsprozessen, IT-Prozessen und der

Rechnungslegung sind. ³ Diese Tatsache wird durch den SOA verstärkt berücksichtigt. Mit den daraus resultierenden Auflagen und der Forderung nach einem Internen Kontrollsystem (IKS) soll die Qualität, Vollständigkeit und Zuverlässigkeit der verarbeiteten Daten sichergestellt werden, speziell in Bezug auf die Rechnungslegung.

¹ Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 7.

² Vgl. Knolmeyer / Wermelinger, Der Sarbanes-Oxley Act und seine Auswirkungen auf die

Gestaltung von Informationssystemen, 2006, S. 1.

³ Vgl. Knolmeyer / Wermelinger, Der Sarbanes-Oxley Act und seine Auswirkungen auf die

Gestaltung von Informationssystemen, 2006, S. 1.

4

2.1 Sarbanes-Oxley Act

Wie bereits angedeutet stellt der SOA eine Reihe von Pflichten und Verantwortungen auf. Es wird verlangt, dass ein Unternehmen seiner Prüfungsgesellschaft darlegt, durch welche Kontrollen die Qualität der Rechnungslegung gewährleistet ist. Daraus resultierend müssen Unternehmen großes Augemerk auf die Effektivität ihres IKS legen. Um die Zielerreichung zu gewährleisten sollte sich das IKS an einem geeigneten Rahmenwerk ausrichten. 4

Die SEC (Securities and Exchange Commission) empfiehlt die Nutzung von COSO als Rahmenwerk für ein IKS, sozusagen als "Code of best Practice", schreibt allerdings die Verwendung nicht verbindlich vor. ⁵ Dies resultiert aus folgenden Hintergrund:

Vom SOA betroffen sind alle Unternehmen, die bei der SEC registrierungspflichtig sind. Dazu zählen alle Unternehmen, deren Wertpapiere an einer amerikanischen Börse gehandelt werden (z.B. NYSE, NASDAQ, AMEX). Daher ist der SOA auch für ausländische Unternehmen relevant für den Fall, dass ihre Wertpapiere an einer der Börsen gehandelt werden. Weiterhin sind auch wesentliche Tochtergesellschaften dieser Unternehmen betroffen, sowohl im Inland, als auch im Ausland. ⁶ Es muss also berücksichtigt werden, dass in anderen Nationen ebenfalls Rahmenkonzepte bezüglich des SOA entworfen wurden und diese auch angewendet werden dürfen. Sie sind jedoch nur dann geeignet, wenn sie die COSO entsprechenden Themengebiete abdecken.

⁴ Vgl. Knolmeyer / Wermelinger, Der Sarbanes-Oxley Act und seine Auswirkungen auf die

Gestaltung von Informationssystemen, 2006, S. 2.

⁵ Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 75.

⁶ Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 13.