Umsetzung des Sarbanes-Oxley Act Section 404 und Auswirkungen auf die Abschlussprüfung

Inhaltsverzeichnis

Abkürzungsverzeichnis

1. Einleitung
1.1. Problemstellung
1.2. Zielsetzung und Vorgehensweise

2. Umsetzung der Section 404 in deutschen Unternehmen
2.1. Aufbau und Funktion des internen Kontrollsystems
2.2. Das COSO-Modell
2.3. Umsetzung eines 404-Projektes im Unternehmen
2.3.1. Projektorganisation und Scope
2.3.2. Bewertung und Dokumentation
2.3.3. Wirksamkeit des IKS
2.3.4. Managementberichterstattung
2.4. Der Bilanzeid (Section 302)

3. Auswirkungen auf den Abschlussprüfer
3.1. Anwendungsbereich
3.2. Registrierung bei der PCA0B
3.3. Anforderungen an die Unabhängigkeit
3.4. Prüfung und Dokumentation des IKS
3.5. Berichterstattung des Abschlussprüfers

4. Vor- und Nachteile der Section 404

5. Die 8. EU-Richtlinie zur Abschlussprüfung

6. Zusammenfassende Schlussbetrachtung

Literaturverzeichnis

Verzeichnis der Internetquellen

Verzeichnis der Rechtsquellen und Prüfungsstandards.

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

1.1.Problemstellung

In den Jahren 2000 bis 2002 kam es durch Firmen wie Enron und Worldcom zu den größten Finanzskandalen in der Geschichte des US-Finanzmarktes.¹ Um zukünftig die Richtigkeit der veröffentlichten Finanzdaten von Unternehmen zu gewährleisten und damit das Vertrauen der Anleger in den amerikanischen Kapitalmarkt wieder zu stärken, verabschiedete der US- Gesetzgeber im Juli 2002 den Sarbanes-Oxley Act (SOA).² Der SOA wurde benannt nach seinen Verfassern, dem US-Senator Paul S. Sarbanes, sowie dem Kongress-Abgeordneten Michael-Garver Oxley und stellt eine der größten und wichtigsten Reformen in der Geschichte der US-Finanzmärkte dar.³ Der wohl umstrittenste und dadurch auch bekannteste Abschnitt dieses Gesetzes ist die Section 404 (Sec. 404). Sie verlangt die Einrichtung eines funktionsfähigen internen Kontrollsystems (IKS) sowie eine Beurteilung der Wirksamkeit des IKS durch die Geschäftsleitung (Management-Beurteilung). Des Weiteren muss der Abschlussprüfer diese Management-Beurteilung bewerten und selbst eine Beurteilung der Effektivität des IKS vornehmen.⁴

Auch deutsche Unternehmen sind vom Sarbanes-Oxley Act betroffen. Zum einen erstreckt sich sein Anwendungsbereich auf alle direkt am US-Kapitalmarkt gelisteten Unternehmen.⁵ So fallen auch deutsche Firmen, deren Aktien an einer amerikanischen Börse gehandelt werden, unter diese Regelungen. Zum anderen können aber auch ausländische Tochtergesellschaften, deren Muttergesellschaft bei der amerikanischen Börsenaufsichtsbehörde (SEC) registriert ist, vom SOA erfasst werden, so dass sich auch viele mittelständische Firmen mit dem SOA auseinander setzen müssen.⁶

Außerdem können auch deutsche Wirtschaftsprüfer (WP) von den Regelungen des SOA betroffen sein. Das Gesetz sieht vor, dass ausländische Abschlussprüfer, die Prüfungsleistungen für SEC-registrierte Unternehmen erbringen, ebenfalls dem SOA unterliegen.⁷ Auch Abschlussprüfer, die nur Tochtergesellschaften von am US-Kapitalmarkt gelisteten Unternehmen prüfen, können unter die Regelungen des SOA fallen.⁸

Abbildung in dieser Leseprobe nicht enthalten

1.2. Zielsetzung und Vorgehensweise

Ziel dieser Arbeit ist es, die Konsequenzen des SOA für deutsche Unternehmen und ihre Abschlussprüfer aufzuzeigen. Im Fokus wird hierbei das in der Section 404 verlangte IKS stehen. Betrachtet wird vor allem die Frage, welche zusätzlichen Anforderungen sich für deutsche Unternehmen ergeben, die über die bereits bestehenden deutschen Regelungen hinausgehen.

Aus diesem Grund wird im zweiten Kapitel zunächst ein Überblick über das IKS nach deutschem Verständnis gegeben. Danach wird das vom Committee of Sponsoring Organizations of the Treadway Commission (COSO) entworfene COSO-Rahmenwerk dargestellt. Das COSO-Modell ist ein von der SEC anerkanntes theoretisches Gerüst für interne Kontrollen und stellt somit ein mögliches IKS-Rahmenkonzept dar.⁹

Anschließend stellt sich die Frage, wie die Anforderungen der Sec. 404 effizient in einem Unternehmen umgesetzt werden können. Um den möglichen Ablauf eines 404-Projektes darzustellen, wird hier exemplarisch die so genannte Best–Practice-Methodik für 404- Projekte, eine Ablaufempfehlung von PricewaterhouseCoopers (PwC)¹⁰, näher betrachtet. Am Ende des zweiten Kapitels wird eine weitere wesentliche Bestimmung, die Section 302 und der damit verbundene Bilanzeid vorgestellt.

Kapitel drei beschäftigt sich mit den Konsequenzen des SOA für deutsche Abschlussprüfer. So wird von deutschen Abschlussprüfern SOA-pflichtiger Unternehmen verlangt, sich beim Public Company Accounting Oversight Board (PCAOB) zu registrieren und die damit einhergehenden Verpflichtungen zu erfüllen.¹¹ Des Weiteren wird auf die Vorgehensweise des Abschlussprüfers bei der Beurteilung des IKS, auf die dabei zu berücksichtigenden Regelwerke und die Anforderungen an die Unabhängigkeit des Prüfers eingegangen.

Die letzten beiden Kapitel greifen wieder die Anfangsfrage auf und klären, welche möglichen Konsequenzen sich aus dem SOA ergeben. Insbesondere das Kosten-Nutzen-Verhältnis der Sec. 404 für deutsche Unternehmen sowie die durch den SOA beeinflussten europäischen und deutschen Gesetzesreformen stehen im Mittelpunkt der Schlussbetrachtung.

Abbildung in dieser Leseprobe nicht enthalten

2. Umsetzung der Section 404 in deutschen Unternehmen

2.1.Aufbauund Funktion des internen Kontrollsystems

Nach dem IDW PS 261 umfasst ein IKS alle systematischen Maßnahmen und Kontrollen im Unternehmen zur Sicherung der Geschäftstätigkeit, zur Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung sowie zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften.¹² Das IKS besteht aus Regelungen zur Steuerung (internes Steuerungssystem) und Regelungen zur Überwachung (internes Überwachungssystem) des Unternehmens.¹³ Dabei kann das interne Überwachungssystem in die Unternehmensprozesse integriert sein (beispielsweise in Form eines Vier-Augen- Prinzips bei wichtigen Entscheidungen), oder aber prozessunabhängig gestaltet sein (z.B. durch eine Interne Revision im Unternehmen).¹⁴ Ziel aller Maßnahmen und Kontrollen des IKS ist die Abwicklung von Geschäftsvorfällen in Übereinstimmung mit der Ermächtigung der Unternehmensleitung, die Verhinderung von Fehlern in der Rechnungslegung und die damit verbundene Bereitstellung verlässlicher Informationen.¹⁵

Die Einrichtung und Dokumentation eines IKS ist nach deutschen Gesetzen nicht zwingend vorgeschrieben. Nach § 91 Abs. 2 des Aktiengesetzes (AktG) hat der Vorstand einer Aktiengesellschaft lediglich „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“¹⁶ Dieses in der Literatur auch als

„Risikofrüherkennungssystem“ bezeichnete Überwachungssystem umfasst dem Gesetzeswortlaut nach nur die bestandsgefährdenden Risiken. Die Gefährdung des Unternehmensbestands ist anzunehmen bei drohender Insolvenz, d.h. gemessen an handelsrechtlichen Kriterien, bei Überschuldung oder bei Illiquidität.¹⁷

Im SOA wird eine allgemeine Zusicherung zur Funktionsfähigkeit des internen Kontrollsystems erwartet und nicht nur die Abwendung ausschließlich bestandsgefährdender Risiken.¹⁸ Somit gehen die Anforderungen der Section 404 weit über das im deutschen Recht geforderte Überwachungssystem hinaus.

Abbildung in dieser Leseprobe nicht enthalten

2.2. Das COSO - Modell

Die Kernfrage ist, wie ein IKS gestaltet sein sollte, damit es den US-amerikanischen Normen gerecht wird. Die amerikanische Börsenaufsichtsbehörde (SEC) empfiehlt eine Orientierung an dem von der COSO entwickelten COSO-Modell.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Der COSO-Würfel ⁹

Die Grundidee des COSO-Modells stellt der so genannte COSO-Würfel dar. Der COSO- Würfel gibt die drei Zielkategorien (objective Categories) eines IKS vor: Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit (Operations), Ordnungsmäßigkeit und Verlässlichkeit der Finanzberichterstattung (Financial Reporting) und Einhaltung von maßgeblichen Gesetzen und Vorschriften (Compliance) .

Diese Ziele werden erreicht durch die Umsetzung der fünf waagerechten COSO- Komponenten (Components) in allen Unternehmenseinheiten (Units), sowie bei allen Geschäftsprozessen (Activities).²⁰

Die erste notwendige Komponente zur Erreichung der Ziele des IKS ist das Kontrollumfeld (Control Environment). Es umfasst den Führungsstil der Unternehmensleitung sowie das Problembewusstsein des Managements für interne Kontrollen. Ein angemessenes Kontrollumfeld ist für ein effektives IKS unerlässlich, da sonst die Mitarbeiter des Unternehmens zu strafbaren Handlungen verleitet werden können.²¹

Die zweite wichtige Komponente ist die Identifizierung, Analyse und Beurteilung von möglichen internen und externen Risiken (Risk Assessment). Ziel ist es, potentielle Risiken für das Unternehmen möglichst frühzeitig aufzudecken und korrekt zu bewerten. Diese Ergebnisse dienen als Ausgangspunkt für Maßnahmen zur Abwehr der entdeckten Risiken.²²

[...]

¹ Vgl. Fischermann, T., Totalausfall, online im Internet, 16. April 2008, 11.05 Uhr MEZ.

² Vgl. Emmerich, G./Schaum, W., WPg 2003, S. 677.

³ Vgl. o.V., Sarbanes-Oxley Act, online im Internet, 16.April 2008, 12.40 MEZ.

⁴ Vgl. SOA, 2002, Sec. 404.

⁵ Vgl. Hulle, K./Lanfermann, G., WPg-Sonderheft 2003, S. 103.

⁶ Vgl. Menzies, C., Sarbanes-Oxley, 2004, S.13.

⁷ Vgl. SOA, 2002, Sec. 106(a).

⁸ Vgl. Emmerich, G./Schaum, W., WPg 2003, S. 1f. .

⁹ Vgl. Büsow, T./Taetzner, T., BB 2005, S. 2439.

¹⁰ PwC ist eine der vier weltweit größten Wirtschaftsprüfungsgesellschaften.

¹¹ Vgl. Hilber, M./Hartung, J., BB 2003, S. 1054.

¹² Vgl. IDW PS 261 Ziffer 19.

¹³ Vgl. IDW PS 261 Ziffer 20.

¹⁴ Vgl. IDW PS 261 Ziffer 20.

¹⁵ Vgl. IDW PS 261 Ziffer 22.

¹⁶ Vgl. § 91 Abs. 2 AktG.

¹⁷ Vgl. Canaris, C./Schilling, W./Ulmer, P., HGB Großkommentar 2002, S. 1613.

¹⁸ Vgl. Lanfermann, G./Maul, S., DB 2002 S. 1727.

¹⁹ Abb. entnommen aus: Ritterli, P., COSO-Würfel, online im Internet, Abfrage: 5.5.2007, 15:10 MEZ.

²⁰ Vgl. Menzies, C., Compliance, 2006, S. 6.

²¹ Vgl. Büsow, T./Taetzner, T., BB 2005, S. 2439.

²² Vgl. Menzies, C., Sarbanes-Oxley, 2004, S. 95.