Die Frameworks COSO und CobiT zur Unterstützung der Corporate Governance

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1. Einleitung

2. Problemstellung
2.1 Sarbanes-Oxley Act
2.2 Internes Kontrollsystem

3. COSO
3.1 COSO Internal Control - Integrated Framework
3.1.1 Control Environment (Kontrollumfeld)
3.1.2 Risk Assessment (Risikobeurteilungen)
3.1.3 Control Activities (Kontrollaktivitäten)
3.1.4 Information and Communication (Information und Kommunikation)
3.1.5 Monitoring (Überwachung)
3.2 COSO ERM - Enterprise Risk Management
3.2.1 Internal Environment (Internes Umfeld)
3.2.2 Objective Settings (Zielbestimmung)
3.2.3 Event Identification (Identifizierung von Ereignissen)
3.2.4 Risk Assessment (Risikobewertung)
3.2.5 Risk Response (Risikosteuerung)
3.2.6 Control Activities (Kontrollaktivitäten)
3.2.7 Information and Communication (Information und Kommunikation)
3.2.8 Monitoring (Überwachung)
3.3 Zwischenergebnis COSO

4. CobiT 4.0
4.1 Vorstellung des Berufsverbands ISACA
4.2 CobiT Framework
4.3 Detailbetrachtung der 34 kritischen IT-Prozesse
4.3.1 High-Level Control Objectives und Detailed Control Objectives
4.3.2 Management Guidelines
4.3.3 CobiT Maturity Model
4.4 Zusammenfassung CobiT

5. Gemeinsame Anwendung von COSO und CobiT

6. Fazit und Ausblick

Literaturverzeichnis

Abbildungsverzeichnis

Abb.1 : COSO Würfel

Abb.2 : COSO ERM Würfel

Abb.3 : Zuordnung der Information Criteria

Abb.4 : CobiT Framework "life cycle"

Abb.5 : Zuordnung des kritischen IT Prozesse zu den übergeordneten Domains

Abb.6 : CobiT Würfel

Abb.7 : Input Output Tabelle PO1

Abb.8 : RACI Chart PO1

Abb.9 : Beispiel für Verbindung zwischen Prozess, Ziel und Metriken

Abb.10 :Reifegrade von Prozessen

Abb.11 : Beispiel für Graphische Darstellung des Reifegradmodells nach CobiT 4.0

Abb.12 : In CobiT integrierte internationale Standards

Tabellenverzeichnis

Tab.1 : Übersicht über mögliche Kontrollen innerhalb der Zielkategorien

Tab.2 : Inhalte Internal Environment COSO ERM

Tab.3 : Inhalte Objective Setting COSO ERM

Tab.4 : Inhalte Event Identifikation COSO ERM

Tab.5 : Inhalte Risk Assessment COSO ERM

Tab.6 : Inhalte Risk Response COSO ERM

Tab.7 : Inhalte Control Activities COSO ERM

Tab.8 : Inhalte Information and Communication COSO ERM

Tab.9 : Inhalte Monitoring COSO ERM

Tab.10 : Definition der IT-Ressourcen des CobiT Framework

Tab.11 : Domains des CobiT Frameworks

Tab.12 :Zuordnung der 34 CobiT Prozesse zu den 5 COSO Komponenten

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

Innovation, Globalisierung, Liberalisierung der Märkte und internationale Wettbewerbsfähigkeit sind Schlagworte, die aus der heutigen Wirtschaft nicht mehr wegzudenken sind. Die Herausforderungen eines zunehmend global vernetzten Weltmarktes verlangen in Unternehmen geeignete Corporate Governance Strukturen, um die Sicherung der Wettbewerbsfähigkeit zu gewährleisten.

Vielfach haben bestehende Strukturen in Unternehmen jedoch versagt, was sich in kriminellen Machenschaften mit weitreichenden Konsequenzen äußerte. Um die Entwicklung einer Kultur professioneller und ethischer Werte voranzutreiben, wurden von einer Vielzahl verschiedener Organisationen, Grundsätze für Corporate Governance Strukturen veröffentlicht, welche Vertrauen und Integrität im wirtschaftlichen Zusammenleben stärken sollen.

Auch die Gesetzgeber in verschiedenen Regionen der Welt reagierten auf diese Entwicklungen, indem sie die Gesetzgebung verschärften. Ein wesentlicher Punkt in diesem Zusammenhang ist die Forderung nach höherer Transparenz unternehmensinterner Abläufe, wie sie speziell durch den Sarbanes-Oxley Act (SOA) aus dem Jahre 2002 gefordert wird.

Im Verlauf der vorliegenden Arbeit soll nun aufgezeigt werden, wie Unternehmen den Anforderungen einer guten Corporate Governance gerecht werden können und wie konkrete rechtliche Vorgaben umzusetzen sind. In diesem Zusammenhang werden insbesondere die Frameworks COSO und CobiT detailliert betrachtet werden.

Im 2. Kapitel wird zunächst die generell zugrundeliegende Problemstellung aufgezeigt, um im Anschluss daran die daraus resultierenden gesetzlichen Vorschriften und Forderungen konkret zu erörtern. Dies geschieht insbesondere in Bezug auf den Sarbanes-Oxley Act aus dem Jahre 2002.

Im Anschluss daran erfolgt in Kapitel 3 die Vorstellung des COSO Internal Control - Integrated Framework, welches als anerkanntes Corporate Governance Framework die Umsetzung der gesetzlichen Vorgaben des SOA innerhalb eines Unternehmens unterstützen kann. Ein Internes Kontrollsystem (IKS) stellt in diesem Zusammenhang einen elementaren Bestandteil eines Corporate Governance Modells dar. Weiterhin wird in diesem Kapitel die Weiterentwicklung des COSO Frameworks hin zum COSO Enterprise Risk Management Modell erläutert werden.

Darauf aufbauend erfolgt in Kapitel 4 eine nähere Betrachtung des CobiT Frameworks, welches als IT-Governance Framework die Ausführungen von COSO unterstützen kann. Mit der zusätzlichen Nutzung eines IT-Governance Frameworks wird der Tatsache Rechnung getragen, dass elementare Geschäftsprozesse in Unternehmen heutzutage in zunehmendem Maße von der IT abhängig sind. Daher kommt der IT eine Schlüsselrolle bei der Erhöhung der Transparenz unternehmensinterner Prozesse zu.

Nachdem die Frameworks COSO und CobiT detailliert im einzelnen betrachtet wurden, erfolgt in Kapitel 5 eine Darstellung, wie beide Frameworks im Zusammenspiel effektiv und effizient gehandhabt werden können.

Abschließend werden im 6. und letzten Kapitel konkrete Erkenntnisse nochmals zusammenfassend dargestellt und mit einem kurzen Ausblick mögliche Entwicklungen aufgezeigt.

2. Problemstellung

Die weitreichenden Finanzskandale in den USA der vergangenen Jahre (z.B. Enron, Worldcom) haben dazu geführt, dass Corporate Governance zu einem Schwerpunktthema der Unternehmensführung wurde. Das Vertrauen in die Kapitalmärkte wurde grundlegend erschüttert. Als Reaktion darauf verabschiedete der US-Kongress im Juli 2002 den Sarbanes-Oxley Act (SOA). Es handelt sich dabei um ein US-Gesetz, welches nach seinen Verfassern, Paul S. Sarbanes und Michael G. Oxley benannt ist.^[1] In Kapitel 2.1. wird detaillierter auf die Inhalte dieses Gesetzes eingegangen werden.

Seit mehreren Jahren fokussiert sich das betriebswirtschaftliche Denken innerhalb von Unternehmen zunehmend auf eine prozessorientierte Unternehmensgestaltung. Die Geschäftsprozesse sollen in einer Art und Weise ablaufen und gehandhabt werden, dass bestimmte Regularien und gesetzliche Vorgaben berücksichtigt und eingehalten werden.^[2] Bei der Ausführung von Geschäftsprozessen entstehen Daten, welche durch immer komplexere Informationssysteme verwaltet werden. Diese Daten stellen unter anderem auch die Grundlage der Rechnungslegung dar.

Dies zeigt deutlich auf, wie stark die Beziehungen und Abhängigkeiten zwischen Geschäftsprozessen, IT-Prozessen und der Rechnungslegung sind.^[3] Diese Tatsache wird durch den SOA verstärkt berücksichtigt. Mit den daraus resultierenden Auflagen und der Forderung nach einem Internen Kontrollsystem (IKS) soll die Qualität, Vollständigkeit und Zuverlässigkeit der verarbeiteten Daten sichergestellt werden, speziell in Bezug auf die Rechnungslegung.

2.1 Sarbanes-Oxley Act

Wie bereits angedeutet stellt der SOA eine Reihe von Pflichten und Verantwortungen auf. Es wird verlangt, dass ein Unternehmen seiner Prüfungsgesellschaft darlegt, durch welche Kontrollen die Qualität der Rechnungslegung gewährleistet ist. Daraus resultierend müssen Unternehmen großes Augemerk auf die Effektivität ihres IKS legen. Um die Zielerreichung zu gewährleisten sollte sich das IKS an einem geeigneten Rahmenwerk ausrichten.^[4]

Die SEC (Securities and Exchange Commission) empfiehlt die Nutzung von COSO als Rahmenwerk für ein IKS, sozusagen als "Code of best Practice", schreibt allerdings die Verwendung nicht verbindlich vor.^[5] Dies resultiert aus folgenden Hintergrund:

Vom SOA betroffen sind alle Unternehmen, die bei der SEC registrierungspflichtig sind. Dazu zählen alle Unternehmen, deren Wertpapiere an einer amerikanischen Börse gehandelt werden (z.B. NYSE, NASDAQ, AMEX). Daher ist der SOA auch für ausländische Unternehmen relevant für den Fall, dass ihre Wertpapiere an einer der Börsen gehandelt werden. Weiterhin sind auch wesentliche Tochtergesellschaften dieser Unternehmen betroffen, sowohl im Inland, als auch im Ausland.^[6] Es muss also berücksichtigt werden, dass in anderen Nationen ebenfalls Rahmenkonzepte bezüglich des SOA entworfen wurden und diese auch angewendet werden dürfen. Sie sind jedoch nur dann geeignet, wenn sie die COSO entsprechenden Themengebiete abdecken.

Ein deutschsprachiges vergleichbares Rahmenkonzept ist bislang nicht erstellt worden, was dazu führt, dass die meisten deutschen Unternehmen, die durch den SOA betroffen sind, das COSO Framework verwenden.^[7]

In einem ersten Teil des SOA wird die Gründung eines PCAOB (Public Company Accounting Oversight Board) bestimmt. Die Zielsetzung dieses Aufsichtsgremiums ist die Überwachung der Abschlussprüfungen von börsennotierten Gesellschaften und somit auch der Prüfungsgesellschaften.^[8]

Die konkrete Forderung nach einem IKS befindet sich in Section 404 des SOA. Diese Forderung hat entscheidende Relevanz für betroffene Unternehmen, da sie mit einem erheblichen Dokumentations- und Kostenaufwand verbunden ist. Konkret gestaltet sie sich wie folgt:

"SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS.

(a) R ULES R EQUIRED .—The Commission shall prescribe rules

requiring each annual report required by section 13(a) or 15(d)

of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d))

to contain an internal control report, which shall—

(1) state the responsibility of management for establishing

and maintaining an adequate internal control structure and

procedures for financial reporting; and

(2) contain an assessment, as of the end of the most recent

fiscal year of the issuer, of the effectiveness of the internal

control structure and procedures of the issuer for financial

reporting.

(b) I NTERNAL C ONTROL E VALUATION AND R EPORTING .—With

respect to the internal control assessment required by subsection

(a), each registered public accounting firm that prepares or issues

the audit report for the issuer shall attest to, and report on, the

assessment made by the management of the issuer. An attestation

made under this subsection shall be made in accordance with standards

for attestation engagements issued or adopted by the Board.

Any such attestation shall not be the subject of a separate engagement."^[9]

Wie bereits angesprochen wird seitens der SEC die Anwendung des COSO Frameworks zur Umsetzung der Anforderungen des SOA empfohlen. Die konkrete Aussage findet sich in den sogenannten Final Rules, welche die SEC in Bezug auf Sec 404 des SOA erließ:

"The COSO Framework satisfies our criteria and may be used as an evaluation framework for purposes of management's annual internal control evaluation and disclosure requirements. However, the final rules do not mandate use of a particular framework, such as the COSO Framework, in recognition of the fact that other evaluation standards exist outside of the United States, and that frameworks other than COSO may be developed within the United States in the future, that satisfy the intent of the statute without diminishing the benefits to investors. The use of standard measures that are publicly available will enhance the quality of the internal control report and will promote comparability of the internal control reports of different companies. The final rules require management's report to identify the evaluation framework used by management to assess the effectiveness of the company's internal control over financial reporting."^[10]

Im nun folgenden Kapitel wird dargestellt, was unter einem IKS im Sinne der oben aufgeführten gesetzlichen Vorgaben zu verstehen ist.

2.2 Internes Kontrollsystem

Nachdem der Sarbanes-Oxley Act nun die Einführung eines IKS für US-börsennotierte Unternehmen vorschreibt, soll an dieser Stelle definiert werden, was unter einem IKS zu verstehen ist. Da von der SEC die Verwendung des COSO Frameworks als Rahmenwerk empfohlen wird, richtet sich die folgende Definition, beziehungsweise die Erläuterungen, an den Aussagen und dem Verständnis von COSO aus. Detailliertere Ausführungen erfolgen anschließend in Kapitel 3.1 ff.

COSO definiert das IKS als Prozess, welcher Kontrollaktivitäten beinhaltet und sowohl von Aufsichtsgremien, Management, als auch den Mitarbeitern ausgeführt wird, um das Erreichen vorgegebener Unternehmensziele zu gewährleisten.^[11] Die Unternehmensziele resultieren aus unterschiedlichen Quellen, wie beispielsweise Unternehmensstrategie oder gesetzlichen Vorgaben, und lassen sich in die Bereiche Operations, Financial Reporting und Compliance untergliedern. Vorraussetzung für die ordnungsgemäße Umsetzung ist, dass Kontrollen in den elementaren Geschäftsprozessen integriert sind und somit permanent stattfinden.^[12]

Interne Kontrollen der Finanzberichterstattung stellen einen grundlegenden Bestandteil eines IKS dar.^[13] Besonders zu beachten sind in diesem Zusammenhang die wesentlichen Konten eines Unternehmens.^[14] Weitere Bereiche innerhalb eines Unternehmens die betrachtet werden sollen betreffen die Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, also konkret den Bereich Operations.^[15] Dabei soll unter Beachtung der Unternehmensstrategie die Effizienz und Effektivität der Geschäftsprozesse gewährleistet werden.^[16] Die Einhaltung von Gesetzen und Verordnungen soll durch die Zielkategorie Compliance Berücksichtigung finden. Beispielhaft sollen in Tabelle 1 einige Kontrollen für die jeweiligen Zielkategorien aufgeführt werden. Diese Darstellung ist jedoch keinesfalls erschöpfend.

Abbildung in dieser Leseprobe nicht enthalten

Tab.1 : Übersicht über mögliche Kontrollen innerhalb der Zielkategorien

Quelle: eigene Darstellung, in Anlehnung an Menzies, Sarbanes-Oxley Act, 2004

3. COSO

Das Committee of the Sponsoring Organizations of the Treadeway Comission (COSO) ist eine 1985 gegründete, gemeinsame Initiative privatwirtschaftlicher amerikanischer Wirtschaftsinstitute. Diese führten eine Studie bezüglich der Ursachen betrügerischer Finanzberichterstattung in den USA durch. Das Resultat brachte hervor, dass in den meisten Betrugsfällen das interne IKS entweder nicht umfassend genug war, oder durch das Management leicht umgangen werden konnte. Um dies in Zukunft zu verhindern, wurde mit dem 1992 erschienene COSO Internal Control - Integrated Framework ein Rahmenwerk geschaffen, welches den Begriff des IKS einheitlich definiert und sowohl als Basis für ein adäquates IKS dient, sowie zur Verbesserung der Corporate Governance beitragen kann.^[17] Die Verwendung von COSO als Rahmenwerk für eine Verbesserung der Corporate Governance ist sinnvoll, da es zum einen die Anforderungen des SOA erfüllt, zum anderen aber auch bereits vor Erscheinen des SOA als ein geeignetes Rahmenwerk zur Verbesserung der Corporate Governance akzeptiert wurde.^[18]

3.1 COSO Internal Control - Integrated Framework

COSO definiert ein IKS als Prozess^[19] und bestimmt drei konkrete Zielvorgaben. Es ist an dieser Stelle anzumerken, dass sich die Anforderungen des SOA hauptsächlich auf die Ausführungen der zweiten Zielvorgabe Financial Reporting beziehen. Die zwei Weiteren stellen Ergänzungen in Bezug auf die Organisationseinheit dar. Sie werden nicht ausdrücklich durch den SOA gefordert, sind aber notwendig für ein ordnungsgemäßes IKS.

Konkret sind die Zielvorgaben wie folgt definiert:

Operations

(Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit)

Financial Reporting

(Ordnungsmäßigkeit der Finanzberichterstattung)

Compliance

(Einhaltung von Gesetzen und Vorschriften)^[20]

Zur Erläuterung und Differenzierung des IKS werden in COSO die Zielvorgaben in fünf Komponenten integriert. Diese werden in den nachfolgenden Kapiteln einzeln und detailliert erläutert. Dabei handelt es sich um

- Control Environment
(Kontrollumfeld)
- Risk Assessment
(Risikobeurteilungen)
- Control Activities
(Kontrollaktivitäten)
- Information & Communication
(Information und Kommunikation)

Diese genannten Komponenten sichern gemeinsam das Erreichen der Ziele, welche durch die drei Zielkategorien bestimmt werden.^[21] Diese Ziele betreffen alle Unternehmenseinheiten und Unternehmensprozesse. Abb. 1 erläutert anschaulich die soeben dargestellten Zusammenhänge.

Abbildung in dieser Leseprobe nicht enthalten

Abb.1 : COSO Würfel

Quelle: COSO, Internal Control-Integrated Framework, 1992

[...]

---

^[1] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 7.

^[2] Vgl. Knolmeyer / Wermelinger, Der Sarbanes-Oxley Act und seine Auswirkungen auf die Gestaltung von Informationssystemen, 2006, S. 1.

^[3] Vgl. Knolmeyer / Wermelinger, Der Sarbanes-Oxley Act und seine Auswirkungen auf die Gestaltung von Informationssystemen, 2006, S. 1.

^[4] Vgl. Knolmeyer / Wermelinger, Der Sarbanes-Oxley Act und seine Auswirkungen auf die Gestaltung von Informationssystemen, 2006, S. 2.

^[5] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 75.

^[6] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 13.

^[7] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 75.

^[8] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 24.

^[9] Sarbanes-Oxley Act, 2002.

^[10] SEC, Final Rules Section 404, 2003.

^[11] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 76.

^[12] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 78.

^[13] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 74.

^[14] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 94.

^[15] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 74.

^[16] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 94.

^[17] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 76.

^[18] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 75.

^[19] Vgl. COSO, Internal Control-Integrated Framework, 1992, S. 14.

^[20] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 77.

^[21] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 78.