Der Sarbanes-Oxley Act und die Wirkung auf die IT


Diplomarbeit, 2006
137 Seiten, Note: 2,3

Leseprobe

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Corporate Governance

3 Sarbanes-Oxley Act
3.1 Geltungsbereich
3.2 Inhalt des Sarbanes-Oxley Acts
3.3 Anforderungen

4 Internal Control
4.1 Grundlagen
4.2 Enterprise Risk Management — Integrated Framework
4.3 IT-Kontrollen

5 IT-Governance
5.1 IT-Governance Frameworks
5.2 COBIT
5.3 Information Technology Infrastructure Library (ITIL)
5.4 Weitere Frameworks

6 IT Outsourcing
6.1 Einführung
6.2 IT-Sourcing Governance

7 Prüfung der IT im Unternehmen
7.1 Einführung
7.2 Planung und Organisation
7.3 IT Kontrollen
7.4 Entwicklung und Beschaffung
7.5 Sicherheitsmanagement
7.5.1 Logische Sicherheit
7.5.2 Physische Sicherheit
7.6 Rechtliches Umfeld
7.7 IT-Outsourcing

8 IT-Governance in China

9 Ausblick

Anhang

Literaturverzeichnis

Literaturempfehlungen

Abbildungsverzeichnis

Abbildung 1 ERM Framework

Abbildung 2 Kontrollarten

Abbildung 3 IT- Kontrollen

Abbildung 4 Die Wichtigkeit von IT für die allgemeine Unternehmensstrategie]

Abbildung 5 IT-Balance Scorecard

Abbildung 6 Entscheidungsstrukturen und Optimierungskriterien

Abbildung 7 IT bezogene Probleme

Abbildung 8 COBIT

Abbildung 9 Wasserfallmodell nach COBIT

Abbildung 10 Wasserfallmodell für das Kontrollziel DS-5

Abbildung 11 RACI Chart

Abbildung 12 Beziehung zwischen den einzelnen COBIT Komponenten

Abbildung 13 ITIL Framework

Abbildung 14 Frameworks Klassifikation

Abbildung 15 IT-Sourcing Lebenszyklus

Abbildung 16 Elemente eines Systems

Abbildung 17 Kontrollebenen

Abbildung 18 Beispiel für IT-Kontrollen

Abbildung 19 IT-Sicherheit

Abbildung 20 Bestimmung der Total Cost of Compliance

Abbildung 21 Befragung zur Automatisierung der Compliance Prozesse

Abbildung 22 Bedeutung der Kontrollkomponenten

Abbildung 23 IT Integration IT Audit und IT Risiko & Kontrollframeworks

Abbildung 24 IT-Governance Lebenszyklus

Abbildung 25 Primäre Aufgaben von IT-Governance

Abbildung 26 Von Unternehmen ausgewählte IT-Governance Frameworks

Abbildung 27 Erfolgsfaktoren beim Outsourcing

Abbildung 28 Auswahl IT-Outsourcing relevanter Compliance Regelungen

Abbildung 29 Outsourcing Beziehungen

Abbildung 30 IT-Governance Modell der Deutsche Leasing

Abbildung 31 Kontrollpunkte innerhalb von Geschäftsprozessen

Abbildung 32 Standardisierungsgrad von ITIL Komponenten

Abbildung 33 Automatisierte Prüfungstechniken

Tabellenverzeichnis

Tabelle 1 Prüfungsrisiko

Tabelle 2 Dateneingabekontrolle

Tabelle 3 Committees

Tabelle 4 IT-Governance Entscheidungsmatrix

Tabelle 5 Planung und Organisation

Tabelle 6 Beschaffung und Implementation

Tabelle 7 Auslieferung und Unterstützung

Tabelle 8 Überwachung und Bewertung

Tabelle 9 Maturity Modell nach COBIT

Tabelle 10 Vor- und Nachteile des Outsourcings

Tabelle 11 Aktuelle Gesetze und Regulierungen

Tabelle 12 Klassifikation der Frameworks

Tabelle 13 Outsourcing Formen

Tabelle 14 Outsourcing Formen bestimmen die Koordinationsform

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

In den letzten Jahren wurde die Finanzwelt immer wieder durch Bilanzskandale erschüttert. Der wohl spektakulärste Fall Enron hatte einen neuen Gesetzentwurf, den Sarbanes-Oxley Act, zur Folge. Aktuell steht das Gesetz im Mittelpunkt vieler Diskussionen, da es massiv in die Prozesse der Unternehmen eingegriffen hat. Der wohl am häufigsten genannte Begriff, den man im Zusammenhang mit dem Sarbanes-Oxley Act liest, ist „Compliance“. Eine direkte Übersetzung des Begriffes gibt es im Deutschen nicht. Menzies schreibt in seinen Artikel „Compliance kann Mehrwert für Unternehmen schaffen“

Compliance steht für ein ganzheitliches Organisationsmodell mit Prozessen und Systemen, das die Einhaltung von gesetzlichen Bestimmungen, interner Standards sowie die Erfüllung wesentlicher Ansprüche der Stakeholder sicherstellt. Compliance trägt dazu bei, die Beständigkeit des Geschäftsmodells, das Ansehen in der Öffentlichkeit und die finanzielle Situation eines Unternehmens zu verbessern.“[1]

Der Ansatz fordert, dass Unternehmen nicht nur einzelne Bereiche betrachten, sondern ein globales Konzept erarbeiten. Integraler Bestandteil ist die Informationstechnologie im Unternehmen. In der Vergangenheit wurden die Dienstleistungen im Bereich Informationstechnologie oft zu einem reinen Kostenfaktor degradiert. Der Zusammenhang zwischen einer ordnungsgemäßen Rechnungslegung und einer funktionierenden IT wurde nicht gesehen. Seit dem Sarbanes-Oxley Act wird hier ein Umdenken gefordert. Informationstechnologie muss stärker kontrolliert und gesteuert werden, damit sie den geforderten Mehrwert in Unternehmen generieren kann. Im Bereich der IT haben sich deswegen zahlreiche Institutionen gebildet, die den Begriff „IT-Governance“ inhaltlich gefüllt haben und Unternehmen Hilfestellung bei der Umsetzung der Anforderungen bieten. Im gleichen Maße haben Wirtschaftsprüfungsgesellschaften den Markt der IT-Prüfung stärker im Fokus. Auch im Bereich der prüfungsnahen Beratung sind inzwischen mehrere Institutionen tätig, die Standards im Bereich der IT-Prüfung veröffentlichen. Der Markt für solche Dienstleistung ist enorm gewachsen.

Ziel dieser Arbeit ist es, einen Überblick über IT-relevante Fragen bezüglich des Sarbanes-Oxley Acts zu geben. Dazu werden im ersten Teil den Begriff Corporate Governance kurz definieren und grundlegende Informationen zum Sarbanes-Oxley Act und seinen Anforderungen bezüglich des internen Kontrollsystems gegeben. Darauf aufbauend wird im nächsten Abschnitt die Bedeutung des Internen Kontrollsystems für den Bereich der Informationstechnologie hervorgehoben. In diesem Zusammenhang wird der Begriff IT-Governance definiert und erläutert, welche Bedeutung er für die Unternehmen heute hat. Zum besseren Verständnis werden zwei anerkannte Frameworks vorgestellt, die eine Orientierungshilfe für den Bereich IT-Governance bieten. Die Bestrebung der Unternehmen Dienstleistungen immer stärker zu zentralisieren, ist der Grund für den beständig wachsenden Markt des Outsourcings. Das Auslagern komplexer Prozesse und Strukturen birgt aber die Gefahr des Kontrollverlustes in sich. Deswegen werden, abgeleitet aus den Anforderungen für IT-Governance, die grundlegenden Prinzipien eines IT-Sourcing Governance Modells vorgestellt. Da der Sarbanes-Oxley Act Unternehmen und Wirtschaftsprüfungsgesellschaften gleichermaßen tangiert, wird im Anschluss eine Übersicht über prüfungsrelevante Aspekte einer IT-Prüfung gegeben. Basierend auf einer Studie werden die aktuellen Probleme von IT-Governance in China vorgestellt. Zum Schluss wird die aktuelle Diskussion über die Zukunft des Sarbanes-Oxley Act angesprochen und welche Fragen nach Meinung des Autors zukünftig weiter empirisch untersucht werden sollten.

2 Corporate Governance

In letzter Zeit stand der Begriff immer wieder im Zentrum heftiger Diskussionen. Kritik aufgrund, zu hoher Managementgehälter, Entlassungen, fehlendes Verantwortungsbewusstsein der Manager für ihre Angestellten zierten die Seiten der Informationsblätter. Der Ursprung dieser Diskussion liegt in der wirtschaftlichen Entwicklung Amerikas. Um die Beschaffung großen Mengen an Kapitals zu vereinfachen, organisierten sich viele Unternehmen als Kapitalgesellschaften.[2] Durch die steigende Anzahl von Kapitalgesellschaften und gleichzeitiger mangelnder gesetzlicher Vorgaben wurde der Bedarf eines „Code of Best Practices“ nötig. Initiiert wurden solche Regelwerke oft von Börsen oder großen Pensionsfonds, die von den Unternehmen an denen sie beteiligt waren die Beachtung eigener Kodizes verlangten.[3] Das Problem von Kapitalgesellschaften besteht in der Trennung von Eigentum und Kontrolle. Der Aktionär überträgt die Verantwortung für die Leitung des Unternehmens an Führungskräfte, die über spezielles Wissen verfügen. Im Gegenzug verlangt der Anteilseigner eine Beteiligung am Unternehmensgewinn. Doch wie kann der Aktionär sicher sein, dass das Management nur im Sinne des Aktionärs handelt und nicht nur seine eigenen Interessen vertritt. Für den Aktionär sind die Handlungen der Unternehmensführung nur schwer nachvollziehbar, da diese durch die Nähe zum Geschäft einen Informationsvorsprung besitzen. Corporate Governance sorgt für einen fairen Interessenausgleich zwischen den Anteilseignern und der Unternehmensführung. Es beinhaltet Mechanismen wie:[4]

- Anreizkompatiblen Vergütungsstrukturen
- Schaffung eines Marktes für Unternehmenskontrolle und Vergütung
- Organisation der Unternehmensführung
- Einflussmöglichkeiten weiterer Anspruchsgruppen (Stakeholder)
- Zusammensetzung von Überwachungs- und Kontrollgremien
- Interessenschutz der Eigenkapitalgeber

Den ersten staatlich initiierten Corporate Governance Kodex wurde in Großbritannien entwickelt der sogenannte „combined code“. Die anderen europäischen Staaten wie Frankreich, Italien, Belgien, Deutschland[5] etc. sind dem angelsächsischen Vorbild gefolgt und haben eigene Standards entwickelt. 1999 formulierte die OECD eigene Standards guter Unternehmensführung und –kontrolle. ICGN (International Corporate Governance Network) und die EASD (European Association of Securties Dealers) haben ähnliche Kodizes entwickelt. Im Folgenden wollen wir das amerikanische Gesetz den „Sarbanes-Oxley Act“ vorstellen, der den Verantwortungsbereich der Manager gegenüber den Aktionären deutlich verschärft hat.[6]

3 Sarbanes-Oxley Act

3.1 Geltungsbereich

Am 30. Juli 2002 wurde der Sarbanes-Oxley Act (SOA)[7] durch den US-Kongress verabschiedet. Seinen Namen verdankt das Gesetz seinen beiden Autoren dem Vorsitzenden des US-Bankauschusses Paul S. Sarbanes und dem Abgeordneten Micheal G. Oxley. Der Geltungsbereich des Gesetzes beschränkt sich auf die Unternehmen, die der Aufsicht der Securities- and Exchange Commission (SEC) unterstehen.[8] Dazu gehören sämtliche an der US-Börse gelisteten Unternehmen oder Unternehmen, die anderweitig Wertpapiere in den USA handeln.[9] Diese Bedingung schließt auch ausländische Gesellschaften mit ein, deren Stammsitz nicht in den USA liegt (Foreign private Issuers), aber deren Aktien an der US-Börse gehandelt werden. Auch Tochterunternehmen der an der US-Börse gelisteten Unternehmen sind verpflichtet, dem Gesetz zu entsprechen.[10] Die Unternehmen müssten sich schon von dem amerikanischen Markt zurückziehen und ihre Notierung löschen lassen, falls sie die Anforderungen nicht gewillt sind zu erfüllen. Dies ist aber nur unter der Bedingung möglich, falls weniger als 300 Personen mit dem Wohnsitz in den USA Aktien dieses Unternehmens halten.[11] Für viele Unternehmen bedeutet die Umstellung auf den SOA erhebliche Veränderungen, die eine Menge Kosten verursachen. Vor allem ausländische Firmen (foreign private issuer) haben Schwierigkeiten, den hohen Anforderungen gerecht zu werden. Kaum ein anderes Land hat so strenge Anforderungen an den Aktienmarkt wie die USA.[12] Darüber hinaus werden kleinen und mittelständischen Unternehmen Ausnahmen bei der Umstellung auf den Sarbanes-Oxley Act gewährt. Das neue System unterteilt die Unternehmen in sogenannte Microcap und Smallcap Unternehmen.[13] Mircocap Unternehmen sind die kleinsten an der amerikanischen Börse gehandelten Unternehmen, die eine Marktkapitalisierung von unter einem Prozent ausmachen. Smallcap Unternehmen liegen zwischen einem und sechs Prozent Marktkapitalisierung. Das Advisory Committee schlägt vor, dass kleinen Kapitalgesellschaften Ausnahmen bei der Dokumentation, Implementierung und externen Prüfung eines Internen Kontrollsystems nach Section 404 zu gewähren sind, solange kein adäquates Konzept zur Beurteilung interner Kontrollsysteme von kleineren Unternehmen erarbeitet ist.[14] Der entstehende Nutzen solcher Maßnahmen übersteigt oft bei weitem die Kosten. Die Ausnahmen sehen wie folgt aus:[15] [16]

- Unternehmen mit einem Umsatzvolumen von weniger als 125 Millionen US-Dollar sind ganz vom SOA 404 ausgenommen (Microcap-Segment)
- Unternehmen mit einem Umsatzvolumen zwischen 125 und 250 Millionen US-Dollar sind nur von den Vorschriften über die externe Prüfung des internen Kontrollsystems befreit (Microcap-Segment)
- Unternehmen mit weniger als 10 Millionen US-Dollar Umsatz sind ganz vom SOA 404 ausgenommen (Smallcap Segment)
- Unternehmen zwischen 10 und 250 Millionen US-Dollar Umsatz sind nur von den Vorschriften über die externe Prüfung des internen Kontrollsystems befreit (Smallcap Segment)

Zusätzlich werden die Fristen einzelner Kategorien immer wieder den Forderungen der Wirtschaft angepasst und nach hinten verschoben.[17] [18]

3.2 Inhalt des Sarbanes-Oxley Acts

Der SOA ist in elf unterschiedliche Abschnitte unterteilt, die alle verschiedenen Interessengruppen ansprechen. Sie werden im Folgenden näher erläutert:[19] [20]

- Abschnitt 1: Public Accounting Oversight Board

Um die Interessen der Investoren und das Vertrauen der Anleger in die Veröffentlichungen der jeweiligen Unternehmen zu stärken, wird die Einrichtung einer Aufsichtsbehörde, die Public Accounting Oversight Board (PCAOB) gefordert.[21] (Section 101). Das PCAOB ist rechtlich eine Nonprofit Organisation. Das Board besteht aus fünf Mitgliedern, von denen maximal zwei Wirtschaftsprüfer (certified Puplic Accountants, CPA) sein dürfen. Während der fünfjährigen Amtszeit dürfen sie keinen weiteren beruflichen Tätigkeiten nachgehen. Die Amtszeit kann einmalig durch eine Wiederwahl, um fünf Jahre verlängert werden.[22]

Nach der sog. Section 102 müssen sich Wirtschaftsprüfungsgesellschaften, welche an der amerikanischen Börse notiert sind, bei der PCAOB registrieren lassen. Hauptaufgabe des PCAOB ist die Entwicklung von Prüfungsstandards, sowie die Überwachung und Einhaltung der Vorschriften der registrierten Gesellschaften.[23]

- Abschnitt 2: Auditor Independence

In diesem Abschnitt wird erläutert, welche Faktoren die Unabhängigkeit der jeweiligen Wirtschaftsprüfer gefährden.[24] Zentraler Fokus liegt in der Trennung von Prüfung und Beratung. Abschnitt zwei enthält einen Katalog von Dienstleistungen, die als unvereinbar gelten:[25]

- Buchführung oder andere Leistungen im Zusammenhang mit der Buchführung oder dem Abschluss des Mandanten
- Entwicklung oder Implementierung von Finanzinformationssystemen
- Versicherungsmathematische Leistungen
- Schätz- und oder Bewertungsdienstleistungen, Fairness opinions und oder Prüfung von Sacheinlagen
- Übernahme von Managementfunktionen oder Personaldienstleistungen
- Beratung als Finanzmakler, Investments, Händler
- Beratung in Fragen der internen Revision
- Es dürfen keine Rechtsberatung oder Gutachtertätigkeiten ohne einen erkennbaren Zusammenhang zur Prüfung durchgeführt werden
- Sämtliche anderen festgelegten Tätigkeiten, die durch das PCAOB als unzulässig gelten

Darüber hinaus wird eine Prüferrotation alle fünf Jahre gefordert, um keine zu enge Beziehung zwischen Mandanten und Prüfer entstehen zu lassen.[26] IT-Dienstleistungen nach diesem Anforderungskatalog dürfen nicht mehr in Verbindung mit der Erstellung des Jahresabschlusses stehen und müssen vom Audit Committee genehmigt werden.[27]

- Abschnitt 3: Corporate Responsibilty

Wichtigster Bestandteil ist die Einrichtung von sogenannten „Audit Committees“ innerhalb des board of directors (Vorstand) sowie die Installation interner Kontrollen, die die Erstellung verlässlicher finanzrelevanter Daten gewährleisten. Sämtliche finanzrelevanten publizierten Informationen sind seitens der Verantwortlichen (CFO, CEO) zu unterschreiben. Zusätzlich wird eine Bestätigung über die Effektivität von Kontrollen und Verfahren durch eine eidesstattliche Erklärung gefordert. Es muss sichergestellt sein, dass sämtliche Finanzinformationen seitens der Unternehmen rechtzeitig und periodisch veröffentlicht werden.[28] [29]

- Abschnitt 4: Enhanced Financial Disclosure

Dieser Abschnitt regelt:

- Die Offenlegung bilanzunwirksamer Geschäftsvorgänge und Verpflichtungen
- das Verbot der Darlehensvergabe an Mitglieder des Verwaltungsrates
- Verkürzte Fristen für die Meldung von Finanztransaktionen an denen Vorstandsmitglieder oder Großaktionäre (Kapitalanteil ≤ 10%) beteiligt sind

Wesentlicher Bestandteil ist die Section 404 – Management assesment of internal control- . Unternehmen müssen sogenannte „internal controls“ einführen, deren Wirksamkeit bewerten sie und durch den WP bestätigen lassen.[30]

- Abschnitt 5: Analyst Conflicts of Interest

Regelt die Vorschriften für Finanzanalysten, um Interessenkonflikte zu vermeiden.

- Abschnitt 6: Commission Resources and Authority

Hier werden die einzelnen Aufgabengebiete der SEC sowie die Finanzierung dieser Institution geregelt.

- Abschnitt 7: Studies and Report

Um den Überblick über den Markt nicht zu verlieren, wird hier festgelegt, zu welcher Art von Themen die US-Behörden Studien veröffentlichen müssen.

- Abschnitt 8: Corporate and Criminal Fraud Accountability

Section 802 führt härtere Strafen bei Veränderungen von Dokumenten ein (Informationsschutz). Darüber hinaus werden Aufbewahrungsfristen für Dokumente und Arbeitspapiere, die der Prüfung oder Review gedient haben, neu überarbeitet.

- Abschnitt 9: White-Collar Crime Penalty Enhancements

Die haftungsrechtliche Verschärfung bei Zertifizierung falscher Finanzinformationen wird in diesem Abschnitt geregelt.

- Abschnitt 10: Corporate Tax Returns

Fordert die Unterzeichnung der Steuererklärung durch den CEO.

- Abschnitt 11: Corporate Fraud Accountability

Regelt die Verantwortlichkeit der Geschäftsführung im Falle von publizierten falschen Informationen.

Relevant für das Management sind vor allen Dingen die Abschnitte eins bis vier sowie acht und neun.

3.3 Anforderungen

Es wird deutlich, dass die Umsetzung des Sarbanes-Oxley Act sämtliche Bereiche des Unternehmens betrifft. Dies ist wohl der Grund, dass das Gesetz für reichliche Diskussionen gesorgt hat, da es massiv in die Prozesse der Unternehmen eingegriffen hat. Im Folgenden werden zunächst die gesetzlichen Anforderungen beschrieben, bevor später auf den Begriff der internen Kontrollen detaillierter eingegangen wird.

Der SOA fordert die Installation von Kontrollen, welche die Ordnungsmäßigkeit der finanzrelevanten Informationen sicherstellen (Section 302).[31] Verantwortlich für Finanzberichte sind in der Regel der Corporate Financial Officer (CFO) und der Corporate Executive Officer (CEO), die auch die Installation und die Aufrechterhaltung der erforderlichen Kontrollen gewährleisten. Diese haben die Verantwortung für die Generierung fristgerechter und qualitativ hochwertiger Informationen.[32] In einem Bericht (certification) an die SEC wird vom CFO und CEO die Ordnungsmäßigkeit der internen Kontrollen nochmals bestätigt. Hieraus wird auch die spätere Haftungsgrundlage abgeleitet, falls fehlerhafte Informationen seitens des Unternehmens an die Öffentlichkeit dringen. Sie müssen bestätigen, dass die Finanzberichte:[33] [34] [35]

- kritisch überprüft sind
- keine irreführenden Aussagen enthalten und
- die Vermögens-Finanz und Ertragslage des Unternehmens widerspiegeln

Zusätzlich wird gefordert, dass

- die Effektivität der Kontrollen gewährleistet ist. Das schließt die Kenntnis über die Prozesse und Strukturen ein, ohne die das Management keine zuverlässigen Informationen liefern kann. Die Bestätigung der Wirksamkeit muss innerhalb von 90 Tagen vor dem Einreichen des Berichtes erfolgen.[36]

Jegliche Änderungen, die die Aussagen der Unternehmensführung über die Finanz-Vermögens- und Ertragslage des Unternehmens wesentlich beeinflussen, sind publizitätspflichtig. Sollte eine Änderung erfolgen, aufgrund einer vorherigen festgestellten Schwäche, sind diese Änderungen ebenfalls zu veröffentlichen.[37]

Die Section 404 ähnelt in vielen Fällen der Section 302. [38] Auch hier wird die Aufrechterhaltung und Installation von internen Kontrollen (Installation eines internen Kontrollsystems kurz IKS) für das Unternehmen gefordert.[39] Zentraler Fokus der Section 404 bildet die Bewertung der internen Kontrollen durch das Management. Es muss nachgewiesen werden, dass die Kontrollen effektiv arbeiten. Das zur Bewertung benutzte Rahmenwerk[40] muss in dem Jahresabschlussbericht erwähnt werden. Der unabhängige WP muss am Schluss nochmals die Bewertung des Managements überprüfen. Wesentliche Schwächen sind publizitätspflichtig. Eine Unterlassung hat empfindliche Strafen zur Folge.[41] [42]

Im folgenden Abschnitt wollen wir den Begriff Internal Control näher beschreiben. Als Orientierungshilfe wird das COSO Framework vorgestellt, das die wesentlichen Aspekte in diesem Zusammenhang vorstellt.

4 Internal Control

4.1 Grundlagen

Der Begriff Internal Control (IC) hat seinen Ursprung im angelsächsischen Raum. Der Begriff control wird im Deutschen mit Lenken, Steuern, Überwachen, Planen und Kontrollieren übersetzt. Der Begriff control geht in seiner Bedeutung über den im Überwachungstheoretischen Ansatz definierten Begriff „Kontrolle“ hinaus.[43] [44]. Dabei wird ein Soll-Objekt (gewünschtes Resultat) mit dem Ist-Objekt (Resultat) verglichen. Im Falle von Abweichungen muss der verantwortliche Faktor für die Abweichung identifiziert, analysiert und bewertet werden.[45] Heutzutage sind Unternehmen bestrebt, Abweichungen schon vor ihrem Auftreten zu eliminieren (präventive Kontrollen statt korrektive Kontrollen). Der Begriff darf nicht als ein statischer Ablauf interpretiert werden. Vielmehr beinhaltet er einen dynamischen Prozess, indem versucht wird, durch lenkende Maßnahmen sich seinem Ziel approximativ zu nähern.[46] Der Begriff „Internal“ begrenzt Kontrollen räumlich oder auf ein Objekt, das zu einer bestimmten Struktur gehört.[47]

Der U.S. Auditing Standard 319 (consideration of internal control in a Financial Statement Audit) definiert IC als eine von der Unternehmensleitung und anderen Mitarbeitern bewirkten Prozess, der darauf abzielt,

- Die Zuverlässigkeit der Rechnungslegung
- Zweckmäßigkeit und effiziente ausgeführte Arbeitsabläufe und
- die Einhaltung relevanter Gesetze und Vorschriften hinreichend sicher zu erreichen.

Bevor der Sarbanes-Oxley Act in Kraft getreten ist, gab es keine gesetzliche Verpflichtung ein wirksames Internes Kontrollsystem (IKS) durch eine extra Erklärung durch das Management bestätigen zu lassen. Ein Wirksames IKS hatte aber schon damals einen erheblichen Einfluss auf den Umfang einer ergebnisorientierten Prüfungshandlung. Wirksame interne Kontrollen in einem Prüffeld reduzieren das Kontrollrisiko. Aufgrund der Größe und Komplexität der heutigen Unternehmen werden nur Teile (meist in Form von Stichproben) der einzelnen Posten geprüft. Eine Hundert prozentige Sicherheit, dass der Jahresabschluss keine Fehler enthält, wäre nur mit unverhältnismäßigem Aufwand zu erreichen. Deswegen wurde der „Risikoorientierte Prüfungsansatz“entwickelt. Grundlegendes Kriterium für Art und Umfang der bevorstehenden Prüfung ist daher das sogenannte Prüfungsrisiko (Audit Risk AR). Risiken in diesem Zusammenhang sind z. B. Verstöße gegen die Rechnungslegung, Vorschriften und Gepflogenheiten in den einzelnen Prüfungsgebieten. Am Ende besteht die Gefahr, dass der Abschlussprüfer unwissentlich versäumt, den Bestätigungsvermerk einzuschränken, zu ergänzen oder zu versagen, obwohl der Jahresabschluss wesentliche Mängel enthält. Das Prüfungsrisiko (AR) setzt sich aus dem Kontrollrisiko (CR), inhärenten Risiko (IR) und dem Aufdeckungsrisiko (DR) zusammen (s. SAS 47 oder ISA 400.3-6 ; das deutsche Äquivalent findet sich im PS 260).[48]

Inhärentes Risiko (inherent Risk IR)

Das inhärente Risiko ist die Wahrscheinlichkeit des Auftretens von Fehlern in einer Abschlussposition oder Transaktionsart, die Fehlaussagen enthält, die allein oder zusammen mit Prüffeldern, wesentlich sein können und zwar ungeachtet bestehender interner Kontrollen. Die Höhe des Risikos hängt von verschiedenen Risikofaktoren ab, wie z. B. Vermögen Finanz- und Ertragslage des Unternehmens oder Unternehmensgröße.

Kontrollrisiko (Control Risk CR)

Wesentliche Mängel oder Verstöße bei Transaktionen oder Beständen werden durch das IKS nicht rechtzeitig entdeckt oder korrigiert

Aufdeckungsrisiko (Detection Risk DR)

Bezeichnet das Risiko, dass die ergebnisorientierte Prüfungshandlung des Abschlussprüfers Mängel oder Fehlaussagen zu einer Abschlussposition nicht aufdeckt, die einzeln oder zusammen mit anderen Positionen wesentlich sein können.

Die Abhängigkeit der einzelnen Risiken wird anhand einer mathematischen Gleichung deutlich.[49]

AR = IR*CR*DR

Die multiplikative Abhängigkeit verdeutlicht, dass die Risiken nicht separat betrachtet werden können, sondern sich gegenseitig beeinflussen. Ein mögliches Szenario könnte folgendermaßen aussehen. Ein Prüfer strebt ein Prüfrisiko (AR) von einem Prozent an. Er ermittelt ein niedriges inhärentes Risiko (IR), dass er mit 20% bewertet und ein mittleres Kontrollrisiko das er mit 40 % bewertet. Somit darf das Aufdeckungsrisiko (DR) nicht größer sein als 12,5 Prozent.

Das sogenannte Prüfrisiko oder Audit Risk ist vom jeweiligen Prüfer vor Beginn der Prüfung festzulegen. Die Abhängigkeit lässt sich anhand folgender Grafik verdeutlichen.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1 Prüfungsrisiko

Quelle [Treuhandkammer (2005) S.99]

Kommt der Abschlussprüfer zu dem Schluss, dass das Inhärente Risiko und das Kontrollrisiko gering sind, so kann er ein hohes Aufdeckungsrisiko in Kauf nehmen, um trotzdem noch ein akzeptables Prüfungsrisiko zu erlangen.[50]

Seit dem Sarbanes-Oxley Act wurden die Anforderungen verschärft. Vor dem Gesetz war das Management nicht verpflichtet, die Existenz oder die Effektivität interner Kontrollen zu bestätigen. Deswegen haben viele Unternehmen massive Probleme gehabt dem Gesetz zu entsprechen, da ein internes Kontrollsystem erst entwickelt werden musste.

Die Section 404 fordert das Management dazu auf, das für den Aufbau verwendete Framework zu beschreiben.[51] Als Hilfestellung und um einen einheitlichen Aufbau interner Kontrollen langfristig im Markt zu etablieren, wurde das COSO (Committee of Sponsoring Organisation of the Treadway Commission) Framework entworfen. Die (SEC) als auch das Public Accounting Oversight Board (PCAOB) akzeptieren beide, neben vielen anderen Organisationen, COSO als allgemeingültige Definition.[52] Der folgende Abschnitt erläutert die aktuelle zweite Version des COSO Framework, das im September 2004 veröffentlicht wurde.[53] Die Ergänzungen werden an gegebener Stelle erwähnt. An dieser Stelle wird darauf hingewiesen, dass COSO II (Enterprise Risk Management Integrated Framework) noch nicht dieselbe internationale Bedeutung hat wie COSO I. Die Publikationen der IDW und andere Standards haben bisher nur COSO I als Referenzwerk ausdrücklich erwähnt. Es wird aber erwartet, dass COSO II genauso akzeptiert wird wie COSO I.[54]

4.2 Enterprise Risk Management — Integrated Framework

Das ERM basiert auf zwei Prinzipien. (A) Jedes Unternehmen, ob nun gewinnorientiert oder nicht, hat die Aufgabe einen wachsenden Unternehmenswert für die einzelnen Anteilseigner zu generieren. (B) Jegliche Unternehmenswertveränderungen resultieren aus strategischen und operativen Entscheidungen, die das Management getroffen hat. Ziel von COSO ist es, dem Management ein Werkzeug in die Hand zu geben, das sie in die Lage versetzt, selbstbewusst statt unsicher mit zukünftigen Ereignissen umzugehen.[55]

COSO spannt verschiedene Perspektiven auf, die in einem dreidimensionalen Würfel dargestellt werden. Sämtliche Komponenten werden von der Unternehmensebene auf die einzelnen Geschäftsebenen heruntergebrochen. Die Zielkategorien des IKS nach COSO werden wie folgt unterschieden:[56]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1 ERM Framework

[Quelle COSO (2004) S.5]

- Strategic Ziele auf oberster Unternehmensebene, die es zu unterstützen gilt
- Operations Effektive (Wirksamkeit) und Effektivität (Wirtschaftlichkeit) Nutzung der internen Ressourcen
- Reporting Verlässlichkeit des Berichtswesens
- Compliance Einhaltung interner Richtlinien und Vorschriften sowie der maßgeblichen Gesetze

Sollte eines der oben genannten Ziele nicht erreicht werden, stellt das im Sinne von COSO ein Risiko dar, das durch das interne Kontrollsystem verhindert werden muss. Zur Umsetzung eines funktionierenden IKS ist es fundamental, ein gewisses Grundverständnis innerhalb des Unternehmens für interne Kontrollen zu schaffen.[57] Vor allen Dingen sollten die Vorteile eines funktionierenden IKS jedem Mitarbeiter verständlich vermittelt werden, sodass der Sinn solcher Maßnahmen nachvollziehbar bleibt und ständig angewendet wird.[58]

Laut COSO gibt es 5 Komponenten, die das Erreichen der genannten Zielkategorien sichern sollen.[59] [60]

- Kontrollumfeld (Internal Environment) – Dieser Punkt betrifft den „tone of the top“ innerhalb des Unternehmens. Gemeint ist der Führungsstil des Managements, Unternehmenskultur, Risikobewusstsein, Integrität des Managements, sowie deren fachliche Kompetenz. Ein elementarer Bestandteil eines ordnungsgemäß funktionierenden IKS.

- Einstellung der Instanzen (Objective Setting) – Hier werden Toleranzwerte der einzelnen Instanzen auf die Risikokultur des Unternehmens abgestimmt. In dem Grad der Sensibilisierung spiegelt sich die Risikoeinstellung des Führungspersonals wider.

- Identifikation von Chancen und Risiken (Event Identification) – Das Management muss differenzieren zwischen Chancen und Risiken. Diese müssen in die Unternehmensstrategie mit aufgenommen werden.

- Risikobewertung (Risk Assessment) – Jede Gefährdung der oben stehenden Ziele stellt ein Risiko dar. Bei der Bestimmung von Risiken müssen sämtlichen Inputfaktoren (Güter, Dienstleistungen, Informationen) des jeweiligen Unternehmens untersucht werden. Risiken werden nach Eintrittswahrscheinlichkeit und Schadenshöhe kategorisiert. Toleranzgrenzen innerhalb des Unternehmens bestimmen, ab wann ein Risiko eine Bedrohung darstellt und eine dementsprechende Handlung nach sich zieht.

- (Risk Response) – Hier werden Strategien und Szenarien entwickelt, um bei Eintritt der Risiken adäquate Reaktionen einleiten zu können, oder deren Eintritt im vorneherein zu verhindern. Als Orientierungshilfe bei der Entwicklung dient die Risikokultur des Unternehmens, Kosten-Nutzen Analysen sowie der Wirkungsgrad der Strategien, mit denen Risiken vermieden werden können.

- Kontrollaktivitäten (Control activities) – Es wird überprüft, ob die installierten Maßnahmen korrekt ausgeführt werden, um den Risiken im Unternehmen zu begegnen. Im Bezug auf die IT spielen hier die IT General Controls (ITGC) (Allgemeine Kontrollen) und die Application Controls (Applikation Kontrollen) eine besondere Rolle, auf die wir später noch zu sprechen kommen. Kontrollarten können einmal durch die Organisationsstruktur gewährleistet werden, z. B. durch

- Funktionstrennung,
- Instanzengliederung,
- Regelung der Arbeitsabläufe und
- Systematisch eingebaute Kontrollen

Oder mittels technischer Hilfsmittel

- Messeinrichtungen,
- Sicherungsvorrichtungen und
- Datenverarbeitungssysteme.

- Information und Kommunikation (Information and Communication) – Voraussetzung für ein funktionierendes IKS ist ein ständiger Informationsfluss innerhalb des Unternehmens. Finanzrelevante Informationen spielen hierbei nur eine sekundäre Rolle. Primär wird gefordert, dass Informationen rechtzeitig an die Empfänger übermittelt werden, damit diese dann schnell und adäquat reagieren können. Entsprechende Kommunikations- und Informationswege müssen installiert werden (Bottom-Up, Across und Top-Down).[61]

- Überwachung (Monitoring) – Im Zeitablauf ändert sich die Umgebung, in der das IKS ständig arbeitet. Deshalb muss es einer kontinuierlichen Anpassung und Bewertung unterzogen werden, welche durch interne und externe Revision erfolgt.[62]

Das ERM-Framework bietet einen detaillierten, aber abstrakten Überblick über grundsätzliche Ausrichtung und Anpassung grundlegender Prozesse im Unternehmen. Aktuelle Anforderungen wurden in die neuere Version mit eingebaut. Zusammenfassend kann man sagen, dass das ERM-Framework COSO I in den folgenden Aspekten ergänzt:[63]

- Internes Umfeld: Die Beeinflussung von Risiko auf die Risikokultur des Unternehmens wird deutlicher hervorgestellt. Der Faktor Risikoneigung des Unternehmens wird neu eingeführt (wie viel Risiko ist das Unternehmen bereit einzugehen).
- Zielsetzung: Die Zielsetzung wird in dem ERM als eigene Komponente ausgewiesen.
- Identifikation von Ereignissen: ERM analysiert Ereignisse, die Einfluss auf Strategieumsetzung und Zielerreichung haben können.
- Antwort auf Risiken: Unterschiedliche Risikostrategien werden betrachtet (Reduktion, akzeptieren, übertragen) mit dem Ziel das restliche Risiko unter die Toleranzgrenze des Unternehmens zu drücken.

Die Umsetzung der geforderten Maßnahmen soll einerseits eine höherwertige Information liefern, die den Anlegern zugute kommt, aber auf der anderen Seite auch dem Unternehmen helfen, aus diesem Mehrwert Wettbewerbsvorteile zu erzielen.[64] [65] Dafür benötigt das Unternehmen allerdings Hilfe und zwar durch eine funktionierende IT-Infrastruktur. Heutzutage werden finanzrelevante Informationen in größeren Konzernen durch Finanzsoftware gesammelt, verarbeitet und erstellt. Bei der hohen Anzahl an Transaktionen im Unternehmen kann eine Überprüfung nicht mehr manuell durchgeführt werden. Deswegen müssen innerhalb von IT-Systemen, wie in allen anderen Bereichen auch ,IT-Kontrollen installiert werden.[66] Im folgenden Abschnitt wird näher auf diese Art der Kontrollen eingegangen.[67] [68]

4.3 IT-Kontrollen

Ohne IT-Systeme wären die Unternehmen heutzutage gar nicht mehr in der Lage die Masse an Daten, die täglich im Unternehmen verarbeitet werden müssen, zu bewältigen. Gleichzeitig stellt es die Unternehmen vor das Problem, wie sie die Erfassung, Speicherung, Verarbeitung der jeweiligen Daten kontrollieren können. Fehlerhafte Systeme können schnell Kettenreaktionen auslösen, da die Ausgabe von Daten einer Applikation von der nächsten Applikation wieder benutzt werden. Der Datenbestand wird inkonsistent und der Fehler schwierig nachvollziehbar[69]. Funktionierende IT-Systeme sind ein elementarer Bestandteil einer Sarbanes-Oxley Umgebung.[70] Der Audit Standard No. 2 Paragraf 77 des PCAOB hebt die Bedeutung funktionierender IT wie folgt hervor:

As part of understanding and evaluating the period-end financial reporting process, the auditor should evaluate

[among others]: The extent of information technology involvement in each period-end financial reporting process element;

In Deutschland schreibt der IDW im ERS FAIT 1 Absatz 2 über den Einsatz von IT im Unternehmen „Die gesetzlichen Vertreter haben die Verantwortung dafür, dass die Unternehmensziele in Übereinstimmung mit der von ihnen festgelegten Geschäftspolitik im Rahmen der gesetzlichen Vorschriften erreicht werden. Soweit IT eingesetzt wird, haben sie geeignete Regelungen einzuführen, um die Risiken aus dem Einsatz von IT zu bewältigen“.

Von beiden wird festgeschrieben, dass der Prüfer sich einen Überblick über die im Unternehmen vorhandenen Kontrollebenen verschafft, die mit der IT des Unternehmens vernetzt sind. Im Fokus stehen die Prozesselemente, mit deren Hilfe finanzrelevante Informationen erfasst, verarbeitet und gespeichert werden. Es gibt drei allgemeine Kontrollebenen einer Organisation:[71]

- Unternehmensleitung
- Geschäftsprozesse
- Shared Services – Gemeinsam genutzte Dienstleistungen (IT-Services)

Die Unternehmensleitung wandelt Strategien in Geschäftsprozesse um. Auf dieser Ebene werden Ziele definiert, Richtlinien eingeführt und Entscheidungen getroffen, wie die Ressourcen des Unternehmens verwendet werden. Hammer und Champy definieren in ihrem Buch Business Reengineering einen Geschäftsprozess als ein „Bündel von Aktivitäten, für das ein oder mehrere unterschiedliche Inputs benötigt werden und das für den Kunden ein Ergebnis von Wert erzeugt“.[72] Nach Meinung der Autoren profitieren nicht nur Kunden, sondern sämtliche Interessengruppen (Stakeholder) durch den Mehrwert von Geschäftsprozessen, da z. B. auch Lieferanten von höheren Gewinnen (steigende Auftragslage) profitieren. Geschäftsprozesse werden heutzutage zunehmend automatisiert durch die Integration in IT-Systeme, was zu einer stärkeren Fokussierung dieser Ebene geführt hat. Dienstleistungen werden heute zunehmend zentralisiert und von vielen verschiedenen Geschäftseinheiten gleichzeitig genutzt (Shared Services). Dadurch wird das Unternehmen stärker von IT-Dienstleistungen, wie z. B. Telekommunikation, Datenspeicherung und Verarbeitung abhängig. Auf sämtlichen drei Ebenen werden Kontrollstrukturen implementiert, die die Zielerreichung innerhalb der Unternehmen unterstützen.

Grundsätzlich unterscheidet man in automatisierte oder manuelle Kontrollen (im Zusammenhang mit der IT interessieren primär die von einer Anwendung automatisch durchgeführte Kontrollen (programmierte Kontrollen)).[73] Beide Kontrollarten spalten sich nochmals in aufdeckende und präventive Kontrollen. Aufdeckende Kontrollen können erst nach Eintritt des Ereignisses das Resultat auf Richtigkeit überprüfen. Im Gegensatz zu präventiven Kontrollen, die vor Eintritt des Ereignisses korrektiv wirken können.[74]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2 Kontrollarten

Quelle Brun (2006); S. 15.

IT-Kontrollen lassen sich grob in Unternehmenskontrollen (Company Level Controls), allgemeine Kontrollen (IT General Controls) und anwendungsbezogene Kontrollen (Applikationskontrollen) unterteilen. Abbildung 3 zeigt eine Übersicht der IT-Kontrollen in einem Unternehmen. Im Folgenden sollen sie näher vorgestellt werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3 IT- Kontrollen

Quelle [ITGI (2004) S.20 ]

Unternehmenskontrollen

Kontrollen die das Management unternehmensübergreifend installiert hat. Diese können in Form von Verhaltens und Sicherheitsrichtlinien kommuniziert werden. Sie gelten als besonders wichtig, denn ohne angemessenes Risiko- und ethisches Bewusstsein wird es kein effektives internes Kontrollsystem geben (s. COSO-Komponenten).[75]

Allgemeine Kontrollen

Allgemeine IT-Kontrollen sind in IT-Dienstleistungen und Prozesse integriert auf die Applikationen aufsetzen. Das Ziel dieser Kontrollen ist die ordnungsgemäße Entwicklung und Installation von Anwendungen, die Integrität von Programmen, Daten und Verarbeitungsvorgängen zu gewährleisten.[76]

Sie können ähnlich wie Anwendungskontrollen manuell oder programmiert sein. Allgemeine IT-Kontrollen beinhalten Kontrollen in den Bereichen:[77]

- IT-Kontrollumfeld
- Computerbetrieb
- Zugriffssteuerung
- Programmentwicklung
- Programmänderungen

Das Urteil des WP (Wirtschaftsprüfers) über das IT-Kontrollumfeld hat starken Einfluss auf die Tiefe der Prüfung der Kontrollen. Schwächen in diesem Bereich sind immer als wesentlich zu kategorisieren. Das Kontrollumfeld umfasst Kontrollen im Bereich IT-Governance (dieser Begriff wird in Abschnitt 4 näher erklärt), Überwachung und Dokumentation. Der IT-Governance Prozess entwickelt Sicherheitsstandards und Richtlinien, legt die langfristige IT-Strategie fest, handhabt Risiken (Risikomanagement) und stellt gesetzeskonforme Strukturen sicher.[78] Die Dokumentation und Überwachung gewährleistet, dass die IT in Übereinstimmung mit den Unternehmenszielen operiert. Für ein gesundes Kontrollumfeld benötigen wir auf den operativen Ebenen funktionierende Kontrollen. Im laufenden Computerbetrieb muss sichergestellt werden, dass in den Bereichen Einkauf, Installation, Konfiguration, Integration und der Aufrechterhaltung einer Infrastruktur Kontrollen, die den Informationsfluss im Unternehmen gewährleisten, implementiert werden. Ziel ist ein adäquater Einsatz von Soft- und Hardware, angepasst an die Bedürfnisse des Unternehmens, sowie regelmäßige Wartung der Systeme, um einen reibungslosen Ablauf zu gewährleisten.[79] Innerhalb dieses Bereiches ist das Incident und Problem Management angesiedelt (s. Abschnitt 4.1.3), das Probleme aufspürt, analysiert und beseitigt. Damit das im Unternehmen generierte Know-how nicht missbraucht wird, muss der Datenfluss kontrolliert werden (Gefahr der Industriespionage). Deswegen ist die Steuerung von Anwendungen und Datenzugriffen ein wichtiger Sicherheitsaspekt. Wie in Abschnitt 6.5.1 noch näher erläutert wird, muss jedes Unternehmen ein Zugriffsberechtigungskonzept entwickeln, die nur autorisierte Benutzer Zugriff auf sensible Daten oder Anwendungen gewährt. Einige Tätigkeiten dürfen nicht von ein und derselben Person durchgeführt werden (Prinzip der Funktionstrennung). Werkzeuge, die den Zugriff und Datenverkehr steuern können, sind z. B. Autorisationsprofile (Kombination aus Benutzername und Passwort), Internet, Firewalls und Verschlüsselung von Daten.[80] Werden solche Maßnahmen nicht im Unternehmen implementiert, können Mitarbeiter oder Eindringlinge von außen die Datenkonsistenz gefährden.[81] Es reicht aber nicht aus, einmalig ein Sicherheitskonzept zu entwerfen. Der rasante Entwicklungsprozess in der IT-Industrie zwingt die Unternehmen, ihre eigenen Programme ständig zu aktualisieren.[82] Neben dem Sicherheitsaspekt spielen dabei auch Effizienz und Effektivität der IT im Unternehmen eine wichtige Rolle. Dabei können Unternehmen ihre eigenen Programme selber entwickeln oder von Dritten hinzukaufen. Kontrollen in den Bereichen Programmänderungen und Programmentwicklung, stellen die ordnungsgemäße Implementation neuer Programme oder Programmkomponenten sicher. Viele Unternehmen haben Standards entwickelt die Anforderungen in den Bereichen Dokumentation, Design, Implementierung, Autorisation, Kostentransparenz, Schulung und Investitionen formulieren. Aufgrund der vernetzten Systeme können fehlerhafte Programme leicht den gesamten Computerbetrieb lahmlegen.[83]

Nicht ordnungsgemäß funktionierende Allgemeine IT-Kontrollen haben direkten Einfluss auf die operative Effektivität aller automatisierten Applikationskontrollen. Sie ermöglichen erst das Testen der Effektivität von Applikationskontrollen. Trotzdem müssen Mängel allgemeiner IT-Kontrollen nicht unbedingt zu falschen Informationen führen. Sie müssen immer im Zusammenhang mit Anwendungskontrollen betrachtet werden. Fehlerhafte finanzrelevante Informationen entstehen oft durch schlecht programmierte oder ineffektive Anwendungskontrollen.[84]

Applikationskontrollen

Komplett integriert in die Anwendung und vollautomatisch schützen sie das System vor nicht-autorisiertem Zugriff. Kombiniert mit anderen Kontrollen garantieren sie Vollständigkeit, Richtigkeit, Gültigkeit von Transaktionen und erhalten die Datenkonsistenz im Unternehmen.[85] Sie spüren Fehler bei der Dateneingabe, Verarbeitung oder der Ausgabe aus.[86]

Bei der Dateneingabe (Input) wird die vollständige und richtige Eingabe von Daten überprüft, damit nur gültige und autorisierte Informationen innerhalb der Transaktion verarbeitet werden. Darüber hinaus gewährleisten diese Kontrollen, dass Transaktionen nur einmalig durchgeführt werden. Tabelle 3 zeigt einen Überblick über die möglichen Kontrollen in diesem Bereich (s. IDW RS FAIT 2 und AU Section 319.43).

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2 Dateneingabekontrolle

[Quelle Treuhandkammer (2005) S. 81]

Verarbeitungskontrollen überprüfen, ob die Daten vollständig, korrekt mit der gewünschten Version verarbeitet und übertragen wurden. Sie sollen verhindern, dass Daten manipuliert, zerstört oder gelöscht werden. Ziel ist es, Fehler in der Berechnung, Übermittlung, Zuordnung und Totalisierung zu bereinigen, ohne die restliche Verarbeitung zu gefährden.[87] Wird eine Buchungsdatei von mehreren Anwendern gleichzeitig verwendet, so muss am Ende jedes Tages die Richtigkeit der Daten überprüft werden.[88] Zur Verdeutlichung ein Beispiel:

Ein Unternehmen liefert seiner Bank eine Zahlungsverkehrsdatei mit den Gehaltszahlungen für den Monat X. Diese Datei enthält Kontrollsummen (z. B. werden die Beträge und/oder die Kontonummern aufsummiert). Wenn die Bank diese Datei verarbeitet, kann sie die gelieferten Kontrollsummen mit ihrer Verarbeitung abgleichen, um festzustellen ob sie alle Datensätze verarbeitet hat.

Die Ausgabekontrolle überprüft, ob alle Informationen richtig, vollständig und korrekt an den richtigen Empfänger übermittelt wurden. Ein mögliches Kontrollinstrument besteht in der Versionskontrolle der übermittelten Daten. Allgemeines Versionsmerkmal ist das Datum einer Datei.[89] Windows beispielsweise speichert das Erstellungs-, Änderungsdatum und das letzte Zugriffsdatum ab. Mögliche Datenmanipulationen lassen sie z. B. durch das Änderungsdatum nachweisen.

Zugriffskontrollen dienen der Sicherheit und Vertraulichkeit von Informationen. Sie sorgen dafür, dass nicht-autorisierte Dritte keinen Zugriff auf Daten oder Anwendungen innerhalb des Systems haben. Ein Beispiel einer Zugriffskontrolle ist die eindeutige Identifikation eines Benutzers über ein Passwort und Benutzernamen, die einem Benutzerkonto zugewiesen sind.[90]

Im Zusammenhang mit ordnungsgemäßer funktionierender Informationstechnologie wird häufig der Begriff IT-Governance genannt. Dieser Begriff transformiert die abstrakten Forderungen des Sarbanes-Oxley Act in den Bereich der IT hinein. Im folgenden Abschnitt wollen wir den Begriff näher erläutern.

5 IT-Governance

Laut einer Studie von PriceWaterhouseCoopers (PWC) für das Jahr 2006 bewerten fast 90 % der Befragten IT als wichtigen Faktor für die allgemeine Unternehmensstrategie.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4 Die Wichtigkeit von IT für die allgemeine Unternehmensstrategie]

[Quelle ITGI–II- (2006) S.11]

Diese eindrucksvolle Zahl zeigt, wie wichtig es heutzutage ist, Informationstechnologie zu beherrschen und zu steuern.[91] Gegenwärtig zeichnen sich viele der IT-Organisationen aus durch:[92]

- Starre Organisationsstrukturen
- Steigende Komplexität der Dienstleistung und Prozesse
- Abstimmungsprobleme zwischen Geschäfts und IT-Prozessen
- Stetig fallende Lebenszyklen durch permanente Änderungen der Geschäftsanforderungen
- Geringe Integration der Prozesse zur Erbringung der Serviceleistungen

Gleichzeitig steigen die Anforderungen in der Geschäftswelt. Kostenreduktion, Produktivitätssteigerungen und verstärkter Wettbewerb sind nur einige Faktoren, mit der sich die IT heutzutage konfrontiert sieht.[93] Zentrale Herausforderungen bestehen darin:[94] [95]

- Ergebnisse mit konstanter Qualität und Sicherheit zu liefern
- Durch Standardisierung der zu erbringenden Leistungen Kosten zu reduzieren
- Durch stärkere Kundenorientierung den IT-Bedarf zu verstehen und flexibel anzupassen
- moderne Managementmethoden und Erfahrungen aus anderen Unternehmensbereichen nutzen (Qualitätsmanagement), um eigene Prozesse und Strukturen zu beherrschen und in bestehende Organisationsstrukturen zu integrieren[96]
- eine geeignete Infrastruktur bereitstellen, die Informationen im Unternehmen konserviert, verdichtet, verarbeitet und verteilt (Informationslogistik[97] )

Wissen, Transfer von Wissen und deren Konservierung ist einer der zentralen Wettbewerbsvorteile innerhalb der Unternehmen.[98] Trotzdem verstehen viele Unternehmen ihre IT als Technologie-Provider anstatt als einen Service-Provider.[99] Folglich wird die IT zur Kostenstelle degradiert, was zu fehlendem Verständnis und Transparenz führt.[100] Spätestens nach der New Economy Blase am Aktienmarkt muss die IT sich stärker wirtschaftlichen Kriterien unterwerfen, um langfristig die Effizienzsteigerung zu generieren, die von ihr gefordert wird. Sonst wird sie ihren Platz als strategischen Partner der Unternehmensführung verlieren.[101] Deswegen ist es richtig und notwendig, der IT einen eigenen Forschungsbereich im Bereich Corporate Governance zu schaffen, der sich speziell mit der Informationstechnologie befasst.

Der folgende Abschnitt soll Begriff, Zielsetzung und Rahmenbedingungen, in denen sich IT-Governance bewegt, näher erläutern. Zunächst werden die beteiligten Institutionen vorgestellt, die sich IT-Governance zu ihrem Forschungsgebiet erklärt haben. Darauf aufbauend wird die Definition und die Zielsetzung von IT-Governance aus den jeweiligen Publikationen der Institutionen abgeleitet.

Es gibt zwei Zentren, die IT-Governance zu ihrem Forschungsgebiet erklärt haben. Das IT-Governance Institut (ITGI www.itgi.org) und das Center for Information Systems Research (CISR).

Das ITGI wurde im Jahre 1998 gegründet und ist aus der Information Systems Audit and Control Association (ISACA www.isaca.org) hervorgegangen. Die ITGI hat gemeinsam mit der ISACA die Dokumentation für das Control Objectives for Information and Related Technology (COBIT) Framework publiziert.[102] Einer der wichtigsten Veröffentlichungen ist das „Board of Briefing“, das Begrifflichkeiten und Zielsetzungen im Zusammenhang zur IT-Governance näher erläutert.

IT-Governance is the responsibility of the board of directors and executives Management. IT is an integral part of enterprise governance and consist of the leadership and organisational structures and processes that ensure that the organisation´s IT sustains and extend the organisation´s strategies and objectives (COBIT 4.0). [103]

Die äquivalente deutsche Übersetzung aus der Publikation „IT-Governance für Geschäftsführer und Vorstände“ lautet:

IT-Governance liegt in der Verantwortung des Vorstandes und des Managements und ist wesentlicher Bestandteil der Unternehmensführung. IT-Governance besteht aus Führung Organisationsstrukturen und Prozesse, die sicherstellen, dass die IT die Unternehmensstrategie und –ziele unterstützt.[104]

Die Definition hebt die Unternehmensführung als wesentliches Element für erfolgreiches IT-Governance hervor. Trotzdem ist die Umsetzung ein gemeinsames Projekt was Management und Vorstand umsetzen müssen. Konkret bedeutet das für die Führungsebenen:[105] [106]

- Die Mitglieder des Vorstandes sollen eine aktive Rolle in der Entwicklung der IT-Strategie und in IT-Steuerungsgremien haben und für Fehlentwicklungen die Verantwortung tragen.
- Das Top-Management muss organisatorische Strukturen bereitstellen, die die Implementierung der IT-Strategie unterstützen.
- Der IT-Leiter soll geschäftsorientiert denken und eine Brücke zwischen IT und den Fachbereichen schlagen.
- Das Management der Fachbereiche soll in die IT Steuerungsprozesse oder Komitees miteinbezogen werden.

Wichtig ist eine reibungslose Kommunikation innerhalb des Unternehmens, damit das oberste Ziel, die Ausrichtung der IT auf die Unternehmensstrategie, immer gewährleistet bleibt. Meist werden sogenannte committees gebildet, die die einzelnen Projekte überwachen. Im Bereich IT werden IT-Strategy Committees und IT-Steering Committees gebildet. IT-Strategy Committees bestehen aus Vorstands und Nichtvorstandsmitgliedern, deren primäre Aufgabe es ist, dem Top-Management die Informationen bereitzustellen, die sie für IT-relevanten Entscheidungen benötigt. IT-Steering Committees arbeiten eher auf operativer Ebene. Sie sind an der Umsetzung der zuvor getroffenen Entscheidungen beteiligt und optimieren die Abläufe und Prozesse innerhalb des Unternehmens.[107] In der folgenden Übersicht werden die einzelnen Unterschiede zwischen Committees detailliert beschrieben.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 3 Committees

[Quelle ITGI (2003) S.73]

Ziele einer funktionierenden IT-Governance sind:[108]

- Die fortwährende Ausrichtung der IT auf Unternehmensziele und – prozesse
- Nutzengenerierung durch die IT
- Steuerung der IT Risiken
- Nachhaltiges Management der Unternehmensressourcen

Die sehr dynamische Umwelt mit denen Unternehmen heute konfrontiert werden, zwingen Sie die Unternehmensziele regelmäßig an die aktuelle Situation anzupassen. Veränderungen können Chance und zugleich Risiken bedeuten. Deswegen ist es für jedes Unternehmen Pflicht, ein Risikomanagementsystem zu installieren, das Risiken frühzeitig erkennt, steuert, bewältigt und minimiert.[109] [110] Da Veränderungen auch Einfluss auf die IT haben, muss das Management die Bereitstellung adäquater Ressourcen durch die entsprechenden Investitionen bereitstellen. Dabei müssen sich Investitionen innerhalb der IT denselben wirtschaftlichen Kriterien unterwerfen wie jede andere Investition.[111] Der Nutzen innerhalb der IT kann in einem ersten Schritt über Kennzahlen ermittelt werden, wie z. B. über den Return on Information.[112] Da aber oft auch ein indirekter Nutzen durch die Interdependenz der einzelnen Unternehmensbereiche entsteht, wird vorwiegend das Konzept der Balance Scorecard benutzt. Die von Kaplan, R.S. und D. P. Norton entwickelte Instrument erweitert die traditionelle finanzorientierte Betrachtung, um die Perspektiven Kundenzufriedenheit, interner Prozesse und Wissen\Wachstum. Im Zentrum dieser vier Perspektiven steht die Information, die als zentraler Knotenpunkt fungiert. Ziel dieses Ansatzes ist neben dem finanziellen Erfolg ein ausgeglichenes Wachstum aller Perspektiven und die Erreichung strategischer Ziele im Unternehmen. Für jede der Perspektiven werden Ziele und Messgrößen definiert, die ein ausgeglichenes Wachstum garantieren sollen.[113] Folgende Abbildung zeigt exemplarisch, wie ein IT-Balance Scorecard aussehen könnte.[114] [115]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5 IT-Balance Scorecard modifiziert entnommen aus [ITGI (2003) S.43]

Neben der Balance Scorecard gibt es noch andere Verfahren, wie die Key Performance Indicator (KPI) und Key Goal Indicator (s. Abschnitt 4.1.2).[116] [117] Darüber hinaus müssen die bestehenden Ressourcen gepflegt und ausgebaut werden. Besonders der Bereich Personal ist sehr sensibel. Schulungen sorgen dafür, dass Wissen innerhalb der Unternehmen konserviert und weiterentwickelt wird. Die Lebenszyklen IT-relevanter Investitionen sind oft kurz. Deswegen sind regelmäßige Schulungen elementar.[118] Die Empirie hat gezeigt, dass der größte Kostentreiber die Personalressource ist, die gleichzeitig das höchste Nutzenpotenzial aufweißt.[119]

Neben dem ITGI verfolgt das CISR einen ähnlichen Ansatz, der mit dem der ITGI harmoniert. Das CISR wurde 1974 an der MIT Sloan School of Management gegründet. Ziel ist es Unternehmen bei der Umsetzung von „Effective IT-Governance“ zu helfen. Von 1995 bis 2004 untersuchte das CISR IT-Governance theoretisch und praktisch in einer Studie. Peter Weill und Jeanne Ross veröffentlichten ein Buch zum Thema IT-Governance in den sämtliche Fallstudien und Ergebnisse enthalten sind.[120] Das Resultat der Studie belegt, dass es keine generelle Lösung für den Bereich IT-Governance gibt. Ähnlich wie das ITGI wird aber betont, das die Voraussetzung ein grundlegendes Verständnis für IT-relevante Fragen im Topmanagement vorhanden sein muss. Als Hilfestellung für Manager haben die Autoren eine Entscheidungsmatrix für IT-Governance entwickelt, die die verschiedenen Entscheidungsbereiche den möglichen IT-Entscheidungstypen gegenüberstellt. Generell gibt es sechs verschiedene Ansätze für IT-Entscheidungen:[121]

- Business Monarchie: Entscheidungen werden zentralisiert durch das Management gefällt
- IT-Monarchie: Die jeweiligen Experten auf diesem Gebiet entscheiden
- Föderalismus: operative Einheiten arbeiten mit der zentralen Einheit (z. B. Topmanagement) zusammen
- IT-Duopol: IT-Experten und das Topmanagement entscheiden gemeinsam
- Feudalismus: Führungsebenen von Bereichen Prozessen (Prozesseigentümer) entscheiden nach den aktuellen Anforderungen
- Anarchie: Jede der Anwender entscheidet selbst

Diese Typen werden den Entscheidungsbereichen

- IT-Prinzipen,
- IT-Architektur,
- IT-Infrastruktur,
- Identifizierung der wesentlichen Business Applikationen und
- IT-Investitionen und Priorisierung gegenübergestellt.

[...]


[1] Die Tabelle 12 im Anhang bietet eine Übersicht aktueller Gesetze und Regulierungen (Compliance)

[2] Vgl. Becht/Bolton/Röell (2003); S. 5.

[3] Vgl. Schwarz (2004); S. 23.

[4] Vgl. Steiger (2001); S. 531.

[5] Die Grundsatzkommission Corporate Governance 2000 definiert Coporate Governance als „Eine verantwortliche, auf langfristige Wertschöpfungausgerichtete Unternehmensleitung und -kontrolle.“

[6] Vgl. Green (2005); S. 16.

[7] Vgl. SOA (2002).

[8] Diese Institution kontrolliert den Wertpapierhandel an der amerikanischen Börse

[9] Vgl. Schreiter (2004); S. 3.

[10] Vgl. Schmidt (2002); S. 25.

[11] Vgl. Gruson/Kubicek (2003); S. 5.

[12] Vgl. Glaum et al (2006); S. 25.

[13] Vgl. KPMG (2006); S. 22.

[14] Vgl. COSO (2006)

[15] Vgl. KPMG (2006); S. 20.

[16] Vgl. SEC (2006); S. 14 ff.

[17] Vgl. KPMG (2005); S. 2.

[18] Die aktuellen Fristen können abgerufen werden unter http://www.sec.gov/rules/final/2006/33-8760.pdf

[19] Vgl. Schmidt (2002); S. 25

[20] Vgl. Menzies (2004); S. 15.

[21] Vgl. Gruson/Kubicek (2003); S. 12.

[22] Vgl. Menzies (2004); S. 24.

[23] s. http://www.pcaobus.org/

[24] Vgl. PCAOB Auditing Standard No. 2 S. 16

[25] Vgl. Menzies (2004); S. 17.

[26] Vgl. Treuhandkammer (2003); S. 11.

[27] Vgl. Menzies (2004); S. 60 ff..

[28] Vgl. Menzies (2004); S. 18.

[29] Vgl. Moritz/Gesse (2005); S. 10.

[30] Vgl. ITGI (2004); S. 13.

[31] Vgl. Menzies (2004); S. 43.

[32] Vgl. Ravi (2004); S. 1.

[33] s. SEC. 302. Corporate Responsibility for Financial Reports (SOA)

[34] Vgl. KPMG (2004); S. 1ff.

[35] Vgl. KPMG (2006); S. 55.

[36] Vgl. Biel (2005); S. 2.

[37] Vgl. Siebel (2005); S. 15.

[38] Vgl. Menzies (2004); S. 50.

[39] Vgl. Menzies (2004); S. 50.

[40] Im folgenden wird das COSO Framework (Rahmenwerk) vorgestellt.

[41] Vgl. KPMG (2004); S. 1 ff.

[42] Der Sarbanes-Oxley Act ist kostenlos runterladbar unter http://www.law.uc.edu/CCL/SOact/soact.pdf

[43] Vgl. Hömberg (2002); S. 1231.

[44] Vgl. Geib et al. (2006)

Ob der begriff internal control (IC) mit internen Kontrollsystem (IKS) übersetzt werden kann bleibt fraglich und wird kontrovers in der Literatur übersetzt. Der Einfachheit halber wird hier das IKS mit dem IC gleichgesetzt. Das WP Handbuch nennt COSO und IKS im gleichem Atemzug s. Geib et al. (2006)

[45] Vgl. Euler (1992); S. 12.

[46] Vgl. Freidank (2005); S. 3.

[47] Vgl. Widmer/Pfyffer (2004); S. 15.

[48] Vgl. Wiedmann (1993).

[49] Vgl. Marten/Quick/Ruhnke (2003); S. 203.

[50] Ziel ist das Risiko der Abschlussprüfung unter 5 % zu halten

[51] Vgl. Menzies (2004); S. 96.

[52] Beide, ISA 400 und IDW PS 260, nehmen direkt Bezug auf das COSO Report und unterstützen ihn ausdrücklich

[53] Vgl. COSO (2004).

[54] Vgl. KPMG-II- (2005); S. 20.

[55] Vgl. COSO (2004); S. 2.

[56] Vgl. COSO (2004); S. 3.

[57] Vgl. Widmer/Pfyffer (2004); S. 16.

[58] Vgl. KPMG (2004); S. 10.

[59] Vgl. COSO (2004); S. 3.

[60] Vgl. Menzies (2004); S. 119.

[61] Die Ausdrücke geben die Richtung der Kommunikation an. Bottom-Up z .B. bedeutet, dass Informationen von der operative Ebene auf die strategische Ebene (Vorstand) kommuniziert werden.

[62] Die Abbildung 22 im Anhang zeigt eine Übersicht über die Kontrollkomponenten und deren Bedeutung für Unternehmen.

[63] Vgl. Ruud (2004); S. 6.

[64] Vgl. Fahy/Roche/Weiner (2005); S. 270.

[65] Vgl. Sangiorgio/Frutig (2004); S. 2ff.

[66] Vgl. Musaji (2005); S. 1ff.

[67] Für weitere Details bezüglich der Anforderung an interne Kontrollen wird das Buch von Menzies (2004) empfohlen.

[68] Vgl. COSO (2004).

[69] Vgl. Hamaker/Hutton (2005); S. 1.

[70] Abbildung 23 im Anhang zeigt die Verbindung zwischen COSO und IT

[71] Vgl. ITGI (2004); S. 20.

[72] Vgl. Hammer/Champy (1996); S. 52.

[73] Vgl. Gorgoglione/Joseph (2002); S. 2.

[74] Vgl. Wagner/Dittmar (2006); S. 135.

[75] Vgl. Glaum et al (2006); S. 52.

[76] Vgl. KPMG (2004); S. 13.

[77] Vgl. ITGI-III- (2005); S. 24.

[78] Vgl. Brown/Nasuti (2005); S. 19.

[79] Vgl. ITGI (2004); S. 23.

[80] Mehr Hintergrundinformationen werden im Abschnitt 6.6 geboten

[81] Vgl. Butler/Richardson (2005); S. 3.

[82] Vgl. ITGI (2004); S. 23.

[83] Vgl. Gallegos (2002); S. 21.

[84] Vgl. ITGI-III- (2006); S. 25.

[85] Vgl. Shue (2004); S. 1.

[86] Vgl. Brown/Nasuti (2005); S. 19.

[87] Vgl. Knolmayer/Wermelinger (2006); S. 7.

[88] Vgl. ITGI (2006); S. 16.

[89] Vgl. Greene (2002); S. 47.

[90] Vgl. Kissoon (2006); S. 1ff.

[91] Die Disskussion über die Bedeutung von IT im Unternehmen wurde von Niclas, Carr (2003) erneut entfacht, der die IT zwar als notwendig erachtet, aber davon überzeugt ist, dass sie keinen strategischen Vorteil bieten kann. Grund ist das einheitliche Niveau der Prozesse. Dieser Artikel wird nur der Vollständigkeit halber erwähnt.

[92] Vgl. Wetzstein (2005); S. 7.

[93] Vgl. ITGI-CH-(2003); S. 14.

[94] Vgl. ITGI-CH- (2003); S. 33ff.

[95] Vgl. Wyser/Kyburz (2003); S. 1ff.

[96] Vgl. ITGI (2003); S. 8.

[97] Informationslogistik = ein Verfahren, die die optimale Bereitstellung der Informationsgüter zum Nutzer gewährleisten soll: die richtige Information, im richtigen Umfang, in der richtigen Qualität, zur richtigen Zeit, mit möglichst geringem Aufwand, bei der richtigen Person (s. Schoder (2005) S. 48)

[98] Vgl. Lainhart (2001); S. 1.

[99] Vgl. Bloem/Doorn/Mittal (2005); S. 52.

[100] Vgl. Eggenberger/Helbig/Klar(2004); S. 90ff.

[101] Vgl. Schirmbrand (2005); S. 5.

[102] s. www.itig.org

[103] Vgl. ITGI-I- (2003); S. 11.

[104] Vgl. ITGI (2003); S. 11.

[105] Vgl. ITGI (2003); S. 20.

[106] Vgl. Kordel (2004); S. 1.

[107] Vgl. De Haes/Van Grembergen (2004); S. 2.

[108] Vgl. IASACA-CH-(2004); S. 5.

[109] Vgl. Kordel (2004); S. 2.

[110] Durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wurde ein Riskomanagementsystem gesetzlich vorgeschrieben (s. 91 II AktG)

[111] Für die Bestimmung des Wertes von IT-Investitionen siehe ITGI-II- (2005)

[112] Für die Bewertungsmethoden von IT s. Unwala (2004); S. 1 ff.

[113] Informationen Über die Balance Scorecard auch unter http://de.wikipedia.org/wiki/Balanced_Scorecard

[114] Vgl. Blumenberg/Hinz (2006); S. 1ff.

[115] Vgl. Kordel (2004); S. 1.

[116] Interessant in diesem Zusammenhang ist die Entwicklung einer IT-Performance Scorecard in dem Artikel von Haering/von Arb(2004); S. 111.

[117] Näheres zum Bereich Governance Performance in Fahy/Roche/Weiner (2005) S.57

[118] Vgl. Altiris (2004); S. 8.

[119] Vgl. ITGI (2003); S. 39.

[120] Vgl. Weill/Ross (2004).

[121] Vgl. Weill/Ross (2004); S. 12.

Ende der Leseprobe aus 137 Seiten

Details

Titel
Der Sarbanes-Oxley Act und die Wirkung auf die IT
Hochschule
Universität Hamburg
Note
2,3
Autor
Jahr
2006
Seiten
137
Katalognummer
V83402
ISBN (eBook)
9783638872522
ISBN (Buch)
9783640138944
Dateigröße
1952 KB
Sprache
Deutsch
Schlagworte
Sarbanes-Oxley, Wirkung
Arbeit zitieren
Björn Nemnich (Autor), 2006, Der Sarbanes-Oxley Act und die Wirkung auf die IT, München, GRIN Verlag, https://www.grin.com/document/83402

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Der Sarbanes-Oxley Act und die Wirkung auf die IT


Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden