IT Governance und der Sarbanes-Oxley Act

Inhaltsverzeichnis

KURZFASSUNG

ABBILDUNGSVERZEICHNIS

TABELLENVERZEICHNIS

ABKÜRZUNGSVERZEICHNIS

1. EINLEITUNG
1.1. Problemstellung
1.2. Ziel
1.3. Aufbau

2. RAHMENBEDINGUNGEN IN ÖSTERREICH
2.1. Umwelt des Unternehmens
2.2. Internes Kontrollsystem
2.3. Corporate Governance
2.3.1. Aktiengesetz
2.3.2. ÖSTERREICHISCHER CORPORATE GOVERNANCE KODEX
2.3.3. Richtlinie über Abschlussprüfungen
2.3.4. Strafgesetzbuch
2.3.5. UNTERNEHMENSGESETZBUCH
2.3.6. Unternehmensreorganisationsgesetz
2.3.7. Wirtschaftstreuhandberufsgesetz
2.3.8. WIRTSCHAFTSTREUHANDBERUFS-AUSÜBUNGSRICHTLINIE
2.4. IT Governance
2.4.1. Bundesabgabenordnung
2.4.2. Datenschutzgesetz 2000
2.4.3. EMITTENTEN-COMPLIANCE-VERORDNUNG
2.4.4. INTERNATIONAL STANDARDS ON AUDITING - ISA 315
2.4.5. INTERNATIONAL STANDARDS ON AUDITING - ISA 330
2.4.6. Kammer-Fachgutachten - KFS DV1
2.4.7. Kammer-Fachgutachten - KFS DV2
2.4.8. UNTERNEHMENSGESETZBUCH
2.5. Konsequenz für die IT

3. SARBANES-OXLEY ACT
3.1. EINFÜHRUNG
3.1.1. Section 1
3.1.2. Section 2
3.1.3. Section 3
3.2. UMWELT DES UNTERNEHMENS
3.2.1. Securities and Exchange Commission
3.2.2. Public Company Accounting Oversight Board
3.2.3. Public Accounting Firms
3.2.4. Geltungsbereich
3.2.5. UMSETZUNGSFRIST
3.3. INTERNAL CONTROL STRUCTURE
3.4. Corporate Governance
3.4.1. Auditor independence
3.4.2. Corporate RESPONSIBILITY
3.4.3. Enhanced Financial Disclosures
3.4.4. Additional Requirements
3.5. IT Governance
3.5.1. Significant Accounts
3.5.2. Relevant Assertions
3.5.3. Process
3.5.4. Risk
3.5.5. Application Controls
3.5.6. IT GENERAL CONTROLS
3.6. Konsequenz für die IT

4. ANFORDERUNGS-ANALYSE
4.1. EINFÜHRUNG
4.2. Umwelt des Unternehmens
4.3. Allgemeine Anforderungs-Analyse
4.3.1. Auditor independence
4.3.2. Corporate Responsibility
4.3.3. Enhanced Financial Disclosures
4.3.4. Additional Requirements
4.4. Spezielle Anforderungs-Analyse
4.4.1. SIGNIFICANT ACCOUNTS
4.4.2. Relevant Assertions
4.4.3. process
4.4.4. Risk
4.4.5. Application Controls
4.4.6. IT General Controls

5. Auswirkungen auf das unternehmen
5.1. Allgemeine Auswirkungen
5.2. Spezielle Auswirkungen

6. Zusammenfassung

7. Ausblick

8. Literaturverzeichnis

9. GLOSSAR

10. Anhang
10.a. Section 302 Certification
10.B. Section 906 Certification
10.C. Financial Statement Assertions
10.D. Safeguarding of Assets
10. E. Fraud
10.F. Effectiveness
10.G. Material
10.H. Likelihood

Kurzfassung

Die aufgedeckten Finanzskandale großer Unternehmen in Amerika und Europa haben das Vertrauen der Öffentlichkeit in die Verlässlichkeit von Unternehmensinformationen negativ beeinflusst. Als Reaktion darauf wur­de durch den amerikanischen Gesetzgeber der Sarbanes-Oxley Act, mit dem Ziel, das öffentliche Vertrauen in die Kapitalmärkte wieder zu stärken, erlassen. Die zeitnahe Finanzberichterstattung börsennotierter Unterneh­men wird in dieser Form erst durch die IT ermöglicht. Als Folge hängt die Richtigkeit und Vollständigkeit veröffentlichter Informationen unter ande­rem von der Verlässlichkeit der IT ab. Das Managen der IT stellt somit ei­nen wesentlichen Bestandteil der Corporate Governance dar und wird durch eine angemessene IT Governance gewährleistet. IT Governance wird zu einem Asset des Unternehmens.

Das Ergebnis dieser Master Thesis ist die Identifizierung der allgemeinen und der speziell an die IT gerichteten Anforderungen des Sarbanes-Oxley Act aus Sicht der Finanzberichterstattung.

Abstract

The revealed financial scandals of large companies in America and Europe affected the confidence into the reliability of enterprise information negatively. Therefore the American legislator issued the Sarbanes-Oxley Act with the goal to strengthen the public confidence into the capital mar­kets again. The financial disclosure from quoted companies on a timely base is only made possible thereby the IT. As a consequence the correct­ness and completeness of published information depends on the reliability of the IT. Thus, the managing of the IT represents a substantial compo­nent of the Corporate Governance and is ensured by appropriate IT Gov­ernance. IT Governance becomes an asset of the enterprise.

The result of this Master Thesis is the identification of the general as well as the special requirements addressed to the IT of the Sarbanes-Oxley Act for financial reporting purposes.

Danksagung

An dieser Stelle möchte ich mich bei all jenen bedanken, die durch ihre persönliche und fachliche Unterstützung zum Gelingen dieser Master The­sis beigetragen haben.

Mein herzlicher Dank gebührt meiner Familie, die mich während des Stu­diums durch Zuspruch, Zutun und viel Verständnis unterstützt und so zum erfolgreichen Gelingen beigetragen hat.

Besonders möchte ich mich bei Herrn Univ. Prof. Dr. Andreas Wiebe, LL.M - Wirtschaftsuniversität Wien, für die Betreuung meiner Master The­sis und bei Frau Mag. Heike Strumpen - Donau-Universität Krems, für die zahlreichen wissenschaftlichen Ratschläge sowie die unkomplizierte Zu­sammenarbeit bedanken, welche stets zur Verbesserung dieser Arbeit beigetragen haben.

Abbildungsverzeichnis

Abbildung 1: Elemente des Internen Kontrollsystems

Abbildung 2: Certification gemäb Section 302 SOX

Abbildung 3: Certification gemäb Section 906 SOX

Tabellenverzeichnis

Tabelle 1: Regelkategorien des Österreichischen Corporate Governance Kodex

Tabelle 2: Sections des Sarbanes-Oxley Act

Tabelle 3: Titles des Sarbanes-Oxley Act

Tabelle 4: Zeitliche Wirksamkeit der Section 404 des Sarbanes-Oxley Act

Tabelle 5: Allgemeine Auswirkungen des Sarbanes-Oxley Act

Tabelle 6: Spezielle Auswirkungen des Sarbanes-Oxley Act

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

1.1. Problemstellung

Die Zusammenbrüche verschiedener großer Unternehmen in Amerika (Enron, WorldCom) und Europa (Parmalat), sowie die damit im Zusam­menhang aufgedeckten Finanzskandale haben das Vertrauen der Öffent­lichkeit und des Kapitalmarktes in die Verlässlichkeit von Unternehmensin­formationen negativ beeinflusst.^[1]Mangelhafte oder verfälschte Darstellun­gen der Vermögens- und Ertragslage großer börsennotierter Unternehmen haben die Frage nach der Richtigkeit verlautbarter Finanzdaten aufkom­men lassen. Durch die Beteiligung einer der ehemaligen Big-Five Wirt­schaftsprüfungsgesellschaften (Arthur Andersen) in einigen der größten Unternehmensskandale der US-Wirtschaft entstand der Eindruck, dass sowohl die internen als auch die externen Überwachungsprozesse von Unternehmen nicht in der Lage sind, Anleger vor fragwürdigen Bilanzie­rungspraktiken zu schützen. Als Reaktion auf das nachhaltig zerstörte Ver­trauen von privaten und institutionellen Anlegern in die Finanzberichter­stattung von Unternehmen wurde im Juli 2002 der so genannte Sarbanes- Oxley Act (SOX) durch US-Präsident George W. Bush unterzeichnet.^[2]

Ziel des Gesetzes ist es, das Vertrauen der Anleger in die Richtigkeit der veröffentlichten Finanzdaten von Unternehmen wiederherzustellen. Ob­wohl es sich beim SOX um ein US-amerikanisches Gesetz handelt, ist eine Auswirkung auch auf nicht amerikanische Unternehmen gegeben. Unabhängig vom Stammsitz des Unternehmens sind durch den SOX all jene Unternehmen betroffen, deren Aktien an amerikanischen Börsen no­tieren, sowie für deren Tochterunternehmen.

Der SOX stellt an Unternehmen erweiterte gesetzliche Anforderungen in den Bereichen Governance, Compliance und Finanzberichterstattung.

Heutzutage läuft ein Großteil der Unternehmensprozesse IT-gestützt ab. Auch im Bereich der Finanzberichterstattung hält der Trend zur Automati­sierung und Beschleunigung der Prozesse, im Zusammenhang mit der Erstellung des Jahresabschlusses, ungebrochen an.

Die Finanzberichterstattung wird, wie sie von börsennotierten Unterneh­men durchgeführt wird (Fast Close), überhaupt erst durch die Informati­onstechnologie (IT) in dieser Form ermöglicht. Somit ist im heutigen Wirt­schaftsleben eine kritische Abhängigkeit des Unternehmenserfolges und der Finanzberichterstattung vom Funktionieren der IT gegeben. Dadurch ist es notwendig, den mit dem Betrieb von IT einhergehenden inhärenten IT-Risiken wirksam zu begegnen. Das Managen der IT und der damit ver­bundenen Risiken stellt einen wesentlichen Bestandteil der Corporate Go­vernance dar und wird durch eine angemessene IT Governance sicherge­stellt.

Für die IT dieser Unternehmen treten neben die klassischen Sicherheits­anforderungen (Vertraulichkeit, Verfügbarkeit und Integrität) weitere, wie die Ordnungsmäßigkeit und Zuverlässigkeit der Finanzberichterstattung, der Vermögensschutz, Qualitätsanforderungen (Effektivität und Effizienz) und die Einhaltung der rechtlichen Erfordernisse (Compliance) hinzu.

Die Herausforderung für ein Unternehmen besteht darin:

- die erweiterten gesetzlichen Anforderungen, die durch SOX an ein Un­ternehmen gestellt werden, zu identifizieren,
- daraus die Anforderungen an die IT abzuleiten und
- zu erkennen, wie das Interne Kontrol lsystem (IKS) eines Unterneh­mens gestaltet sein muss, um die an die IT gestellten Anforderungen des SOX zu erfüllen.

Nicht US-amerikanische Unternehmen stehen dabei vor einer zusätzlichen Herausforderung. Es sind die aus dem SOX abzuleitenden Vorgaben in ein bereits bestehendes und nach nationalem Recht aufgebautes Internes Kontrollsystem einzubinden.

Die Master Thesis beschäftigt sich mit den allgemeinen Anforderungen des SOX an eine österreichische Aktiengesellschaft und im speziellen mit den aus SOX abgeleiteten Anforderungen an die Informationstechnologie im Hinblick auf die Finanzberichterstattung.

1.2. Ziel

Ziel dieser Master Thesis ist es, aus Sicht eines österreichischen Unter­nehmens die allgemeinen Anforderungen des SOX darzustellen sowie die speziellen, aus dem Bereich der Finanzberichterstattung kommenden An­forderungen des SOX, an die IT aufzuzeigen.

Aus Sicht eines SOX-pflichtigen Unternehmens sind die in Österreich bzw. in Amerika existierenden Rahmenbedingungen, die im Zusammenhang mit der Schaffung sowie Aufrechterhaltung eines IKS gelten, zu untersu­chen. Auf Basis der Ergebnisse der durchgeführten Anforderungs-Analyse der Gesetzeslagen haben österreichische Unternehmen die Möglichkeit, auf notwendige Adaptierungen im Bereich der IKS-Ausgestaltung rück zu schließen.

Das Ergebnis dieser Arbeit wird die allgemeine und spezielle Anforde­rungs-Analyse der betrachteten Rahmenbedingungen aus Sicht eines ös­terreichischen Unternehmens sein. Es werden die Unterschiede der Rah­menbedingungen in Österreich und in Amerika dargestellt.

1.3. Aufbau

In dieser Master Thesis werden die allgemeinen Anforderungen an das Unternehmen und die spezielle Anforderungen, die ausschließlich für die IT des Unternehmens gelten, jeweils getrennt betrachtet.

Am Anfang erfolgt eine Darstellung der betrachteten allgemeinen und speziellen Rahmenbedingungen eines in Österreich börsennotierten Un­ternehmens.

Anschließend werden die wesentlichen allgemeinen und speziellen Anfor­derungen des SOX, die für ein in Amerika börsennotiertes Unternehmen gelten, erläutert.

Darauf aufbauend werden die Unterschiede der Anforderungen in Öster­reich und in Amerika analysiert und in einer Anforderungs-Analyse darge­stellt.

Abschließend werden die Ergebnisse in einer Zusammenfassung präsen­tiert und auf mögliche zukünftige Entwicklungen und Tendenzen einge­gangen.

2. Rahmenbedingungen in Österreich

Es werden im folgenden ausgewählte rechtliche Rahmenbedingungen, die für eine österreichische Aktiengesellschaft im Zusammenhang mit der Ausgestaltung eines Internen Kontrollsystems gelten, betrachtet.

Dabei werden die in diesem Kapitel dargestellten Anforderungen an eine österreichische Aktiengesellschaft zur besseren Übersicht in zwei Grup­pen unterteilt. Es wird in Regulative, die allgemeine Rahmenbedingungen für das Unternehmen darstellen, und in spezielle Rahmenbedingungen für die IT unterschieden. Die Gruppe der allgemeinen Rahmenbedingungen umfasst dabei Normen, die in den Bereich der Corporate Governance fal­len. Demgegenüber beinhaltet die Kategorie der speziellen Rahmenbe­dingungen Vorgaben, die der IT Governance zuzurechnen sind.

2.1. Umwelt des Unternehmens

Unternehmen, die für das ,Prime Market’-Marktsegment der Wiener Börse zugelassen werden möchten, verpflichten sich zur Einhaltung erhöhter Transparenz- und Publizitätskriterien und unterliegen im Interesse einer Vielzahl von Gruppen (u.a. Stakeholder, Shareholder, Kunden) dem Öster­reichischen Corporate Governance Codex. Durch den österreichischen Arbeitskreis für Corporate Governance wurde der österreichische Corpora­te Governance Kodex als Regelwerk für die verantwortungsvolle Führung und Leitung von Unternehmen in Österreich geschaffen. Das Themenfeld Corporate Governance berührt wiederum die Finanzmarktaufsicht als Auf­sichtsbehörde der Emittenten.^[3]

Entsprechend der in Österreich geltenden Normen ist der Vorstand als gesetzlicher Vertreter einer Aktiengesellschaft verpflichtet, den Jahresab­schluss sowie den Lagebericht zu erstellen und dem Aufsichtrat zur Billi­gung vorzulegen. Dabei hat das Unternehmen den Jahresabschluss und den Lagebericht in Übereinstimmung mit den Standards, wie sie in der EU anzuwenden sind in Übereinstimmung mit den österreichischen handels­rechtlichen Vorschriften, zu erstellen. Der Abschlussprüfer hat die Verant­wortung, ein Prüfungsurteil zu diesem Abschluss abzugeben. Dies hat un­ter Beachtung der in Österreich für Abschlussprüfer geltenden gesetzli­chen Vorschriften, Fachgutachten und Berufsgrundsätzen sowie den In­ternational Standards on Auditing zu erfolgen.^[4]

2.2. Internes Kontrollsystem

Ein wirksames Instrument um bestehenden Governance-Verpflichtungen zu entsprechen stellt für Unternehmen der Einsatz eines effektiven Inter­nen Kontrollsystems dar. Das IKS dient zur Sicherstellung der Wirksamkeit und Effizienz der operativen Geschäftstätigkeit einschließlich dem Schutz des Vermögens, Ordnungsmäßigkeit und Verlässlichkeit der internen als auch externen Rechnungslegung sowie Einhaltung der für das Unterneh­men maßgeblichen rechtlichen Vorschriften (Compliance).^[5]

Dabei besteht das Interne Kontrollsystem eines Unternehmens aus dem Internen Überwachungssystem und dem Internen Steuerungssystem.^[6]

Das Interne Überwachungssystem beinhaltet dabei prozessintegrierte („organisatorische Sicherungsmaßnahmen“ sowie „Kontrollen") und pro­zessunabhängige Überwachungsmaßnahmen, die typischer Weise von der internen Revision wahrgenommen werden (vgl. Abbildung 1: Elemente des Internen Kontrollsystems).^[7]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Elemente des Internen Kontrollsystems [Menzies (2004), 89]

Die für diese Arbeit wesentliche prozessintegrierte Überwachungsmaß­nahme der Kontrolle hat aufdeckenden oder vorbeugenden Charakter. Vorbeugende Kontrollen haben das Ziel, Fehler oder Betrug, die zu fal­schen Angaben im Jahresabschluss führen könnten, zu verhindern, bevor diese entstehen. Aufdeckende Kontrollen sollen, Fehler oder Betrug, die bereits passiert sind und sich in einer wesentlichen Falsch-Darstellung des Jahresabschlusses niederschlagen könnten, aufdecken.^[8]

2.3. Corporate Governance

Nachfolgend werden die für eine österreichische Aktiengesellschaft acht wichtigsten Rahmenbedingungen dargestellt:

- Aktiengesetz
- Österreichischer Corporate Governance Kodex
- Richtlinie über Abschlussprüfungen
- Strafgesetzbuch
- Unternehmensgesetzbuch
- Unternehmensreorganisationsgesetz
- Wirtschaftstreuhandberufsgesetz
- Wirtschaftstreuhandberufs-Ausübungsrichtlinie

Auf die wesentlichen Inhalte wird getrennt für jedes Regulativ bzw. für jede Vorschrift in den folgenden Kapiteln eingegangen.

2.3.1. Aktiengesetz

Das Aktiengesetz kann für dieses Thema als eine der bestimmenden Quellen in Bezug auf die Themen Corporate Governance und Internes Kontrollsystem bezeichnet werden.

2.3.1.1. Bericht an den Aufsichtsrat

Der Vorstand einer Aktiengesellschaft ist dazu verpflichtet, dem Aufsichts­rat zumindest einmal im Jahr über grundsätzliche Fragen der künftigen Geschäftspolitik des Unternehmens zu berichten und die künftige Entwick­lung der Vermögens-, Finanz- und Ertragslage anhand einer Vorschau­rechnung darzustellen. Bei wichtigem Anlass ist dem Aufsichtsratsvorsit­zenden direkt, und über Umstände, die für die Rentabilität oder Liquidität der Gesellschaft von erheblicher Bedeutung sind, ist dem gesamten Auf­sichtsrat unverzüglich zu berichten.^[9]

2.3.1.2. Rechnungswesen

Im Aktiengesetz sind die Verantwortungen hinsichtlich der Funktion eines entsprechenden Internen Kontrollsystems klar geregelt. „Der Vorstand hat dafür zu sorgen, daß ein Rechnungswesen und ein internes Kontrollsys­tem geführt werden, die den Anforderungen des Unternehmens entspre­chen.“^[10]

2.3.1.3 Verantwortlichkeit des Vorstands

Vorstandsmitglieder haben „[...] bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden.“^{[11] [12]} Im Falle, dass Vorstandsmitglieder ihre Obliegenheiten verletzen, sind sie der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Ge­samtschuldner verpflichtet und können sich von der Schadenersatzpflicht ausschließlich durch den Gegenbeweis, dass sie die Sorgfalt eines ordent­lichen und gewissenhaften Geschäftsleiters angewendet haben, befrei- en.

2.3.1.4 INNERE ORDNUNG DES AUFSICHTSRATS

Börsennotierte Aktiengesellschaften haben zur Prüfung und Vorbereitung der Feststellung des Jahresabschlusses, des Vorschlags für die Gewinn­verteilung und des Lageberichts einen Prüfungsausschuss einzurichten, der gegebenenfalls auch einen allfälligen Konzernabschluss zu prüfen hat. Der Prüfungsausschuss hat zusätzlich einen Vorschlag für die Auswahl des Abschlussprüfers zu erstatten und darüber dem Aufsichtsrat zu be­richten.^[13]

Vorsitzender des Prüfungsausschusses darf nicht sein, wer in den letzten drei Jahren Vorstandsmitglied oder leitender Angestellter oder Abschluss­prüfer der Gesellschaft war oder den Bestätigungsvermerk der Aktienge­sellschaft unterfertigt hat.^[14]

2.3.1.5. Strafbestimmung

Gemäß Aktiengesetz ist mit „[...] Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 360 Tagessätzen [...] vom Gericht zu bestrafen, wer als Mitglied des Vorstandes oder des Aufsichtsrates, Beauftragter oder Ab­wickler [...]‘‘^[15]

- in Darstellungen und Übersichten betreffend die Gesellschaft oder mit ihr verbundene Unternehmen die an die Öffentlichkeit oder an die Ge­sellschafter gerichtet sind wie insbesondere der Jahresabschluss und der Lagebericht,
- in Vorträgen oder Auskünften in der Hauptversammlung,
- in Auskünften, die an einen Abschlussprüfer oder die sonstigen Prüfern der Gesellschaft zu geben sind, oder
- in Berichten, Darstellungen und Übersichten an den Aufsichtsrat oder den Aufsichtsratsvorsitzenden die Verhältnisse der Gesellschaft oder mit ihr verbundener Unternehmen oder erhebliche Umstände, auch wenn sie nur einzelne Geschäftsfälle betreffen, unrichtig wiedergibt, verschleiert oder verschweigt.^[16]

2.3.2. ÖSTERREICHISCHER CORPORATE GOVERNANCE KODEX

Entsprechend des Regelwerkes des Prime Market der Wiener Börse ist ein Emittent verpflichtet für Geschäftsjahre, die am oder nach dem 1. Jän­ner 2004 beginnen, jährlich in seinem Geschäftsbericht eine Erklärung bezüglich der Einhaltung respektive Nichteinhaltung des Österreichischen Corporate Governance Kodex aufzunehmen.^[17]

Der Österreichischen Corporate Governance Kodex beinhaltet 80 Regeln. Diese Regeln entsprechen gesetzlichen Vorgaben und international übli­chen Vorschriften, deren Nichteinhaltung erklärt und begründet werden muss.^[18]Jede Regel ist einer der drei nachfolgend dargestellten Kategorien zugeordnet.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Regelkategorien des Österreichischen Corporate Governance Kodex [Autor, 2006]

Für diese Arbeit sind sechs Regeln maßgeblich. Sie werden im folgenden dargestellt, wobei die Kategorie der jeweiligen Regel in Klammer angeführt wird.

2.3.2.1. Zusammenwirken von Vorstand und Aufsichtsrat

Der Vorstand hat den Aufsichtsrat regelmäßig, zeitnah und umfassend über alle Fragen der Geschäftsentwicklung sowie Risikolage und des Risi­komanagements zu informieren [L].^[19]

2.3.2.2. Kompetenzen und Verantwortung des Vorstand

Signifikante Abweichungen von Planwerten sind dem Aufsichtsrat unver­züglich durch den Vorstand zu berichten [L].^[20]

Im Unternehmen ist, abhängig von der Größe des Unternehmens, eine Interne Revision als Stabstelle des Vorstands einzurichten oder an eine dementsprechende Institution auszulagern [C].^[21][22]

2.3.2.3. Ausschüsse

Bei börsennotierten Unternehmen ist „unabhängig von der Größe des Auf­sichtsrats [...] ein Prüfungsausschuss einzurichten.“22 Dieser Prüfungs­ausschuss ist für die Feststellung des Jahresabschlusses, des Vorschlags für die Gewinnverteilung, des Lageberichts sowie des Abschlussprüfers zuständig [L].^[23]

2.3.2.4. Rechnungslegung

Der Konzernabschluss ist durch das Unternehmen nach den gültigen in­ternationalen Rechnungslegungsstandards durchzuführen [L].^[24]

2.3.2.5. Investor Relations

Das unternehmen ist verpflichtet Insider-Informationen, die sie unmittelbar betreffen, sowie erhebliche Veränderungen dieser Informationen ad hoc der Öffentlichkeit bekannt zu geben [L].^[25]

2.3.2.6. Abschlussprüfung

Der Abschlussprüfer muss sicherstellen, dass existierende zusätzliche Geschäftsbeziehungen mit dem zu prüfenden Unternehmen, wie etwa Be­ratungsaufträge, seine Unabhängigkeit nicht beeinflussen [L].^[26]

Ebenso muss der Abschlussprüfer vor seiner Wahl durch die Gesellschaf­ter seine Befugnisse zur Prüfung einer Aktiengesellschaft bestätigen und über seine Einbeziehung in ein gesetzliches Qualitätssicherungssystem berichten [L].^[27]

Neben dem gesetzlich vorgeschriebenen Prüfbericht und der Ausübung der Redepflicht verfasst der Abschlussprüfer einen Management Letter an den Vorstand. Dieser Management Letter mit Hinweisen auf Schwachstel­len im Unternehmen ist auch dem Aufsichtsratsvorsitzenden zur Kenntnis zu bringen [C].^[28]

„Darüber hinaus hat der Abschlussprüfer auf Grundlage der vorge­legten Dokumente und der zur Verfügung gestellten Unterlagen die Funktionsfähigkeit des Risikomanagements zu beurteilen und dem Vorstand zu berichten.“^[29]

Der Bericht ist dem Aufsichtsratsvorsitzenden zu übermitteln [C].^[30]

2.3.3. Richtlinie über Abschlussprüfungen

Auf Grund der Verpflichtung von Unternehmen zur Bestellung eines Ab­schlussprüfers ist für diese Master Thesis die so genannte Abschlussprü­ferrichtlinie^[31]relevant. Dabei wird in diesem Kapitel unter dem Begriff Un­ternehmen, ein Unternehmen von öffentlichem Interesse im Sinne der Ab­schlussprüferrichtlinie verstanden.^[32]

2.3.3.1. Geltungsbereich

Betroffen von der Richtlinie über Abschlussprüfungen sind Unternehmen von öffentlichem Interesse wie insbesondere börsennotierte Unternehmen, Kreditinstitute (mit Ausnahmen), Versicherungen (mit Ausnahmen) sowie die jeweiligen Abschlussprüfer dieser Unternehmen.^[33]

2.3.3.2. Umsetzungsfrist

Die Mitgliedstaaten der EU haben bis 29. Juni 2008 Rechtsvorschriften zu erlassen und zu veröffentlichen, die geeignet sind, die Richtlinie über Ab­schlussprüfungen umzusetzen.^[34]

2.3.3.3. Registrierung und Entzug der Zulassung

Die Abschlussprüfungen der Unternehmen von öffentlichem Interesse dür­fen nur mehr von Abschlussprüfern, die vom jeweiligen Mitgliedstaat zuge­lassen wurden, durchgeführt werden.^[35]

Wirtschaftsprüfungsgesellschaften oder Abschlussprüfer, die die Voraus­setzungen zur Zulassung nicht erfüllen oder wenn „der Ruf eines Ab­schlussprüfers oder einer Prüfungsgesellschaft ernsthaft beschädigt ist“^[36], wird die Zulassung entzogen.^[37]Die Registrierung der Prüfungsgesell­schaften hat in einem öffentlichen Register zu erfolgen.^[38]

2.3.3.4. Unparteilichkeit

Die Mitgliedstaaten müssen sicherstellen, dass Abschlussprüfer und Prü­fungsgesellschaften eine Abschlussprüfung nicht durchführen, wenn zwi­schen der Prüfungsgesellschaft und dem geprüftem Unternehmen unmit­telbare oder mittelbare finanzielle oder geschäftliche Beziehungen beste­hen „aus der ein objektiver, verständiger und informierter Dritter den Schluss ziehen würde, dass ihre Unabhängigkeit gefährdet ist.“^[39].

2.3.3.5. Beauftragung

Der Abschlussprüfer oder die Wirtschaftsprüfungsgesellschaft ist von der Mitglieder- oder Gesellschafterversammlung zu bestellen.^[40]

2.3.3.6. Prüfungsausschuss

Jedes Unternehmen hat einen Prüfungsausschuss einzurichten. Die Auf­gabe der Mitglieder dieses Ausschusses besteht unter anderem darin den Rechnungslegungsprozess, die Wirksamkeit des Internen Kontrollsys- tems, gegebenenfalls des internen Revisionssystems, und des Risikoma­nagementsystems des unternehmens, die Abschlussprüfung des Jahres­abschlusses und die Unabhängigkeit des Abschlussprüfers oder der Prü­fungsgesellschaft, insbesondere die von diesen für das geprüfte Unter­nehmen erbrachten zusätzlichen Leistungen, zu überprüfen und zu über­wachen.^[41]

Dabei hat der Abschlussprüfer dem Prüfungsausschuss über die wichtigs­ten Erkenntnisse, insbesondere über wesentliche Schwächen bei der in­ternen Kontrolle des Rechnungslegungsprozesses zu berichten.^[42]

2.3.3.7. UNABHÄNGIGKEIT

Der Abschlussprüfer, der eine Abschlussprüfung im Auftrag einer Prü­fungsgesellschaft durchgeführt hat, darf mindestens zwei Jahre, nachdem er von dem Prüfungsmandat zurückgetreten ist, keine wichtige Führungs­position in dem geprüften Unternehmen einnehmen.^[43]

2.3.4. STRAFGESETZBUCH

Unter dem Blickpunkt der Corporate Governance sind im österreichischen Strafgesetzbuch(StGB) zwei Punkte relevant. Diese werden nachfolgend dargestellt.

2.3.4.1. BEEINTRÄCHTIGUNG VON GLÄUBIGERINTERESSEN

Personen, die grob fahrlässig die Zahlungsunfähigkeit durch die Tatsache, dass sie kridaträchtig handeln, herbeiführen werden mit einer Freiheits­strafe bis zu zwei Jahren bestraft.^[44]

2.3.4.2 KRIDATRÄCHTIG

Kridaträchtig handelt insbesondere, wer gegen die Grundsätze des or­dentlichen Wirtschaftens verstößt. Gegen die Grundsätze handelt wer es trotz Verpflichtung unterlässt, Geschäftsbücher oder Jahresabschlüsse zu führen oder so führt, dass ein zeitnaher Überblick über seine wahre Ver­mögens-, Finanz- und Ertragslage erheblich erschwert wird.^[45]

2.3.5. Unternehmensgesetzbuch

Im Unternehmensgesetzbuch werden die Pflichten des ordentlichen Un­ternehmers dargestellt. Das ehemalige Handelsgesetzbuch wurde wäh­rend des Erstellungszeitraumes dieser Master Thesis - per 1. Jänner 2007 - durch das Unternehmensgesetzbuch abgelöst. Die dargestellten Inhalte beziehen sich auf die Regelungen des Unternehmensgesetzbuches.

2.3.5.1. Buchführungspflicht

Ein Unternehmen hat Bücher zu führen aus denen die Lage des Vermö­gens nach den Grundsätzen ordnungsmäßiger Buchführung ersichtlich ist. Die aufscheinenden Geschäftsvorfälle müssen sich in ihrer Entstehung als auch Abwicklung nachverfolgen lassen.^[46]Dabei sind die Eintragungen vollständig, richtig, zeitgerecht und geordnet durchzuführen.^[47]

2.3.5.2. Inhalt des Jahresabschlusses

Durch die gesetzlichen Vertreter einer Kapitalgesellschaft ist innerhalb der ersten fünf Monate des Geschäftsjahrs für das vorangegangene Ge­schäftsjahr ein Jahresabschluss inklusive Anhang sowie ein Lagebericht zu erstellen und dem Aufsichtsrat vorzulegen.^[48]

Dabei muss der Jahresabschluss „[...] ein möglichst getreues Bild der Vermögens-, Finanz- und Ertragslage des Unternehmens [...] vermitteln. Wenn dies aus besonderen Umständen nicht gelingt, sind im Anhang die erforderlichen zusätzlichen Angaben zu machen.“^[49]

2.3.5.3. Lagebericht

Entsprechend dem UGB sind im Lagebericht der Geschäftsverlauf sowie das Geschäftsergebnis und die Lage des Unternehmens so darzustellen, dass ein möglichst getreues Bild der Vermögens-, Finanz- und Ertragslage vermittelt wird. Die wesentlichen Risiken und Ungewissheiten, denen das Unternehmen ausgesetzt ist, sind darzulegen.^[50]

Abhängig von der Größe des Unternehmens sowie von der Komplexität des Geschäftsbetriebs hat die Analyse zusätzlich auf die für die jeweilige Geschäftstätigkeit wichtigsten finanziellen Leistungsindikatoren wie Ren­tabilitätskennzahlen, Kennzahlen der Vermögens- und Kapitalstruktur, Fi­nanzierungskennzahlen und eine Geldflussrechnung einzugehen und sie unter Bezugnahme auf die im Jahresabschluss ausgewiesenen Beträge und Angaben zu erläutern. Die Auswahl der Kennzahlen obliegt grund­sätzlich dem Management.^[51]Als wichtig und in Folge angabepflichtig gilt eine Kennzahl jedenfalls dann, wenn sie für das Verständnis des Ge­schäftsverlaufs sowie -ergebnisses und der Lage des Unternehmens er­forderlich ist.^[52]

Zusätzlich hat der Lagebericht auch auf den Punkt der voraussichtlichen Entwicklung des Unternehmens einzugehen.^[53]Bei ,großen Kapitalgesell­schaften’^[54]hat die Analyse auch die wichtigsten nichtfinanziellen Leis­tungsindikatoren, einschließlich informationen über Umwelt- und Arbeit­nehmerbelange zu umfassen.^[55]

2.3.5.4. Pflicht zur Abschlussprüfung

Der Jahresabschluss als auch der Lagebericht von Kapitalgesellschaften sind von einem Abschlussprüfer zu prüfen.^[56]

2.3.5.5. Auskunftsrecht

Es sind dem Abschlussprüfer unmittelbar nach der Erstellung durch die gesetzlichen Vertreter der Kapitalgesellschaft, der Jahresabschluss und der Lagebericht vorzulegen. Der Abschlussprüfer hat das Recht die Bü­cher und Schriften des Unternehmens sowie die Vermögensgegenstände und Schulden zu prüfen.^[57]Er kann von den gesetzlichen Vertretern alle Aufklärungen und Nachweise verlangen, die er für eine sorgfältige Prüfung als notwendig ansieht.^[58]

2.3.5.6. Prüfungsbericht

Über das Ergebnis der Prüfung ist durch den Abschlussprüfer schriftlich zu berichten.

“Im Bericht ist insbesondere festzustellen, ob die Buchführung, [...] der Konzernabschluß und der Konzernlagebericht den gesetzlichen Vorschriften entsprechen und die gesetzlichen Vertreter die ver­langten Aufklärungen und Nachweise erbracht haben.“^[59]

Wird durch den Abschlussprüfer festgestellt, dass der Bestand des Unter­nehmens gefährdet ist, die Entwicklung wesentlich beeinträchtig wird oder das schwerwiegende Verstöße der gesetzlichen Vertreter erkennbar sind, hat der Abschlussprüfer darüber unverzüglich dem Aufsichtsrat zu berich­ten.^[60]

Der Abschlussprüfer hat den Aufsichtsrat unverzüglich zu informieren, wenn bei der Jahresabschlussprüfung die Vermutung eines Reorganisati­onsbedarfs festgestellt wird.^[61]

Wird keine der oben angeführten Tatsachen durch den Abschlussprüfer festgestellt, so ist dies im Bericht ausdrücklich festzuhalten.^[62]Schlussend­lich hat der Abschlussprüfer den Bericht zu unterzeichnen und den gesetz­lichen Vertretern und dem Aufsichtsrat vorzulegen.^[63]

2.3.5.7. Verantwortlichkeit des Abschlussprüfers

Gemäß Unternehmensgesetzbuch ist der „[...] Abschlussprüfer [...] zur gewissenhaften und unparteiischen Prüfung verpflichtet [...].‘^[64]

2.3.6. Unternehmensreorganisationsgesetz

Das Unternehmensreorganisationsgesetz (URG) enthält zwei Bestimmun­gen zur Mitglieder-Haftung vertretungsbefugter Organe von Gesellschaf­ten.

2.3.6.1. Voraussetzungen der Haftung

Wird über das Vermögen einer Aktiengesellschaft der Konkurs eröffnet haften die Mitglieder, wenn sie innerhalb der letzten zwei Jahre vor dem Konkurs- oder Ausgleichsantrag:

- einen Bericht des Abschlussprüfers erhalten haben, wonach die Ei­genmittelquote weniger als 8% und die fiktive Schuldentilgungsdauer mehr als 15 Jahre beträgt d.h. die Vermutung des Reorganisationsbe­darfs besteht und nicht unverzüglich ein Reorganisationsverfahren be­antragt oder gehörig fortgesetzt haben oder^[65]

-„einen Jahresabschluß nicht [...] aufgestellt oder nicht unverzüglich den Abschlußprüfer mit dessen Prüfung beauftragt haben.“^[66]

2.3.6.2. Umfang der Haftung

Die Mitglieder des vertretungsbefugten Organs haften im oben genannten Fall gegenüber der juristischen Person zur ungeteilten Hand je Person bis zu EUR 100.000, für die durch die Konkursmasse nicht gedeckten Ver­bindlichkeiten.^[67]

2.3.7. Wirtschaftstreuhandberufsgesetz

Das Wirtschaftstreuhandberufsgesetz (WTBG) definiert u.a. die Rechte und Pflichten eines Wirtschaftstreuhänders, gemäß deren der Wirtschafts­prüfer Abschlussprüfungen bei prüfungspflichtigen Unternehmen durchzu­führen hat.^[68]

2.3.7.1. Allgemeines

Der Wirtschaftstreuhänder ist verpflichtet, seinen Beruf gewissenhaft, sorgfältig, eigenverantwortlich und unabhängig, unter Beachtung der im WTBG und in der Wirtschaftstreuhandberufs-Ausübungsrichtlinie^[69]enthal­tenen Bestimmungen, auszuüben.^[70]

2.3.7.2. Verschwiegenheitspflicht

Über die ihm anvertrauten Angelegenheiten ist der Berufsberechtigte zur Verschwiegenheit verpflichtet. Hierbei ist es ohne Bedeutung, ob die Kenntnis dieser Umstände und Tatsachen auch anderen Personen zu­gänglich ist oder nicht.^[71]

Die Verschwiegenheitspflicht der Berufsberechtigten erstreckt sich auch auf Betriebs- oder Geschäftsgeheimnisse, die ihnen bekannt werden. Über die Verbindlichkeit zur Ablegung eines Zeugnisses, zur Einsichtgewährung in Geschäftspapiere oder zur Erteilung von Auskünften in einem Verwal- tungs-, Abgaben-, Zivil- und Strafverfahren, die im Zuge der Berufsaus­übung bekannt geworden sind, bestimmen die Verwaltungs- und Abga­benverfahrensgesetze sowie die Zivil- und Strafprozessordnung.^[72]

2.3.8. Wirtschaftstreuhandberufs-Ausübungsrichtlinie

Die Wirtschaftstreuhandberufs-Ausübungsrichtlinie (WT-ARL) enthält jene Bestimmungen, die von einem Wirtschaftstreuhänder u.a. bei einer Ab­schlussprüfung einzuhalten sind, um sich standesgemäß zu verhalten.^[73]

2.3.8.1. Aufträge

Die Berufsberechtigten sind verpflichtet bei den übernommenen Angele­genheiten und Vertretungen „die anerkannten fachlichen Regeln, insbe­sondere die Fachgutachten der Kammer der Wirtschaftstreuhänder, zu beachten“.^[74]

2.3.8.2. Externe Qualitätsüberwachung

Der Wirtschaftsprüfer ist zumindest alle vier Jahre zu einer externen Quali­tätsüberwachung verpflichtet.^[75]Die Prüfung umfasst insbesondere die Be­reiche Sicherungsmaßnahmen zur Wahrung der Unabhängigkeit, Auswahl und Einsatz von Mitarbeitern, die Aus- und Weiterbildung von Mitarbeitern und die Prüfauftrags-Abwicklung.^[76]

Die externe Qualitätsüberwachung der Wirtschaftsprüfer wird nach erfolg­ter Umsetzung der Abschlussprüferrichtlinie durch die Qualitätskontrollbe- hörde im Wirtschaftsministerium durchgeführt.^[77]

2.4. IT Governance

Dieses Kapitel widmet sich den speziellen Rahmenbedingungen, denen die IT einer betroffenen Aktiengesellschaft zu entsprechen hat. Der für diese Arbeit wesentliche Teilbereich der Corporate Governance, die IT Governance, zielt u.a darauf ab, die an die Informationstechnologie ge­stellten Erwartungen zu erfüllen und inhärente Risiken in der IT zu mana­gen und stellt dadurch einen wesentlichen Bestandteil der Unternehmens­führung dar.^[78]Dies ergibt sich dabei nicht zuletzt durch die Tatsache, dass im Zuge der Prüfung des Jahresabschlusses durch den Wirtschaftsprüfer auch die Informationstechnologie des Unternehmens zu prüfen ist.

Folgende relevante Regulative werden in diesem Kapitel näher betrachtet:

- Bundesabgabenordnung
- Datenschutzgesetz 2000
- Emittenten-Compliance-Verordnung
- International Standards on Auditing
- Kammer-Fachgutachten
- Unternehmensgesetzbuch

2.4.1. Bundesabgabenordnung

Die Bundesabgabenordnung (BAO) enthält zwei, für die IT wichtige, Punk­te. Diese werden im folgenden erläutert.

2.4.1.1. Führung von Büchern und Aufzeichnungen.

Entsprechend den Vorschriften der Bundesabgabenordnung hat, wer nach Handelsrecht oder anderen gesetzlichen Vorschriften zur Führung und Aufbewahrung von Büchern oder Aufzeichnungen verpflichtet ist, dieser Verpflichtung auch im Interesse der Abgabenerhebung nachzukommen.^[79]

2.4.1.2. ORDNUNGSMÄßIGE BUCHFÜHRUNG

Zur Gewährleistung einer ordnungsmäßigen Buchführung werden durch die Bundesabgabenordnung die Anforderungen an die IT folgendermaßen definiert:

„Zur Führung von Büchern und Aufzeichnungen können Datenträ­ger verwendet werden, wenn die inhaltsgleiche, vollständige und geordnete Wiedergabe bis zum Ablauf der gesetzlichen Aufbewah­rungsfrist jederzeit gewährleistet ist; die vollständige und richtige Erfassung aller Geschäftsvorfälle soll durch entsprechende Einrich­tungen gesichert werden.“^[80]

Das Unternehmen ist damit verpflichtet sämtliche Geschäftsvorfälle zu erfassen und die Daten über die gesetzliche Aufbewahrungsdauer voll­ständig, richtig und geschützt aufzubewahren. Dabei muss gewährleistet werden, dass der ursprüngliche Inhalt nicht (elektronisch) radiert oder ver­ändert werden kann.^[81]

2.4.2. Datenschutzgesetz 2000

Gemäß des Datenschutzgesetzes (DSG 2000) sind für alle Organisations­einheiten eines Unternehmens oder Dienstleisters, die Daten verwenden, Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dies hat in Abhängigkeit von der Art der verwendeten Daten und nach dem Um­fang und Zweck der Verwendung zu erfolgen. Dabei ist unter Bedacht- nahme auf den Stand der technischen Möglichkeiten und auf die wirt­schaftliche Vertretbarkeit sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt, und dass die Daten Unbefugten nicht zugänglich sind.^[82]

Die zu setzenden Maßnahmen müssen unter den beiden Aspekten (Be­rücksichtigung des Standes der Technik und der Wirtschaftlichkeit) ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten entsprechend angemessen ist.^[83]

2.4.3. Emittenten-Compliance-Verordnung

Die in der Emittenten-Compliance-Verordnung (ECV) enthaltenen Be­stimmungen dienen dazu, den Insiderhandel innerhalb börsennotierten Gesellschaften zu verhindern.^[84]

2.4.3.1. Vertraulichkeitsbereiche

Eine Auswirkung auf die IT Governance ergibt sich insbesondere durch die Notwendigkeit Vertraulichkeitsbereiche im Sinne der ECV zu definieren und diese in geeigneter Weise abzugrenzen. IT-gestützte Zugriffs- und Zutrittsbeschränkungen stellen besonders geeignete Maßnahmen zur Ab­grenzung (d.h. zur Verhinderung einer missbräuchlichen Verwendung o­der Weitergabe von Insiderinformationen) dar.^[85]

2.4.3.2. UMGANG MIT INSIDER-INFORMATIONEN

Weiters sind Schriftstücke, Datenträger und elektronisch gespeicherte Da­ten, inklusive E-Mails, die Insiderinformationen enthalten, derart aufzube­wahren, dass sie Unberechtigten nicht zugänglich sind und vor unberech­tigten Zugriff geschützt werden.^[86]

2.4.4. International Standards on Auditing - ISA 315

Die von der International Federation of Accountants (IFAC) veröffentlich­ten International Standards on Auditing (ISA) stellen den Prüfungsstan­dard für sämtliche Mitgliedsorganisationen der IFAC dar. Diese Standards sind von den Mitgliedern unter Berücksichtigung lokaler Begebenheiten einzuhalten.^[87]Üblicherweise sind die Standards derart gestaltet, dass lo­kale Begebenheiten wie etwa Gesetze nicht entgegenstehen können.

Sowohl die Kammer der Wirtschaftstreuhänder (KWT) als auch das Institut für Wirtschaftsprüfer (IWP) sind Mitglieder der IFAC. Folglich sind die ver­öffentlichten Standards jedenfalls für Wirtschaftsprüfer in Österreich bei der Abschlussprüfung maßgeblich.

Die für diese Arbeit relevanten Standards sind nachfolgend dargestellt. Sie stellen die Auffassung der IFAC über die Beurteilung des Internen Kon- trollsystems im Rahmen von Jahresabschlussprüfungen dar.

Die Prüfung der IT gemäß dem International Auditing Standard 315 „Un­derstanding the entity and it’s environment and assessing the risks of ma­terial misstatement“88 liefert dem Abschlussprüfer einen wichtigen Beitrag zum geforderten Verständnis über das zu prüfende Unternehmen. Der Standard teilt dabei das Interne Kontrollsystem in fünf Bereiche ein:

- The control environment
- The entity’s risk assessment process
- The information system, including the related business processes, relevant to financial reporting, and communication
- Control activities and
- Monitoring of controls^[89]

Speziell bei der Beurteilung des Risikos von wesentlichen Fehlern im Rechnungsabschluss und bei der Planung der Prüfungshandlungen zur Abdeckung der festgestellten Fehlerrisiken weist ISA 315 wiederholt auf die Bedeutung der Informationstechnologie für das Finanzreporting und den Jahresabschluss des Unternehmens hin.^[90]

Dabei gestattet die IT dem Unternehmen die Bearbeitung großer Daten­mengen und erweitert die Möglichkeiten des Unternehmens, die Wirksam­keit der Kontrollen zu überprüfen und eine effektive Funktionstrennung zu implementieren.^[91]

[...]

---

^[1] Vgl. Menzies (2004), 7-9

^[2] Vgl. Schirmbrand (2004), 112f

^[3] Vgl. Österreichischer Arbeitskreis für Corporate Governance (2006), 5-11

^[4]

^[5] Vgl. Österreichischer Arbeitskreis für Corporate Governance (2006), Anhang 2

^[5] Vgl. Menzies (2004), 70-100

^[6] Vgl. Menzies (2004), 89

^[7] Vgl. Menzies (2004), 74

^[8] Vgl. § 11 PCAOB (2004)

^[9] Vgl. § 81 Abs 1 AktG

^[10] § 82 AktG

^[11] § 84 Abs 1 AktG

^[12] Vgl. § 84 Abs 2 AktG

^[13] Vgl. § 92 Abs 4 lit a AktG

^[14] Vgl. § 92 Abs 4 lit a AktG

^[15] § 255 Abs 1 AktG

^[16] Vgl. § 255 Abs 1 Z 1,3, 4 und 5 AktG

^[17] Vgl. Wiener Börse (2005), 12

^[18]

^[19] Vgl. Österreichischer Arbeitskreis für Corporate Governance (2006), 12

^[20] Vgl. Regel 14 Österreichischer Arbeitskreis für Corporate Governance (2006)

^[21] Vgl. Regel 18 Österreichischer Arbeitskreis für Corporate Governance (2006)

^[22] Regel 40 Österreichischer Arbeitskreis für Corporate Governance (2006)

^[23] Vgl. Regel 40 Österreichischer Arbeitskreis für Corporate Governance (2006)

^[24] Vgl. Regel 63 Österreichischer Arbeitskreis für Corporate Governance (2006)

^[25] Vgl. Regel 63 Österreichischer Arbeitskreis für Corporate Governance (2006)

^[26] Vgl. Regel 63 Österreichischer Arbeitskreis für Corporate Governance (2006)

^[27] Vgl. Regel 77 Österreichischer Arbeitskreis für Corporate Governance (2006)

^[28] Vgl. Regel 79 Österreichischer Arbeitskreis für Corporate Governance (2006)

^[29] Regel 80 Österreichischer Arbeitskreis für Corporate Governance (2006)

^[30] Vgl. Regel 80 Österreichischer Arbeitskreis für Corporate Governance (2006)

^[31] Vgl. Amtsblatt der Europäischen Union (2006)

^[32] Vgl. Art 2 Abs 13 Amtsblatt der Europäischen Union (2006)

^[33] Vgl. Art 2 Abs 13 Amtsblatt der Europäischen Union (2006)

^[34] Vgl. Art 53 Abs 1 Amtsblatt der Europäischen Union (2006)

^[35] Vgl. Art 3 Abs 1 Amtsblatt der Europäischen Union (2006)

^[36] Art 5 Abs 1 Amtsblatt der Europäischen Union (2006)

^[37] Vgl. Art 5 Abs 1 und 2 Amtsblatt der Europäischen Union (2006)

^[38] Vgl. Art 15 Amtsblatt der Europäischen Union (2006)

^[39] Art 22 Abs 2 Amtsblatt der Europäischen Union (2006)

^[40] Vgl. Art 37 Amtsblatt der Europäischen Union (2006)

^[41] Vgl. Art 41 Abs 1 und 2 Amtsblatt der Europäischen Union (2006)

^[42] Vgl. Art 41 Abs 4 Amtsblatt der Europäischen Union (2006)

^[43] Vgl. Art 42 Abs 3 Amtsblatt der Europäischen Union (2006)

^[44] Vgl. § 159 Abs 1 und 2 StGB

^[45] Vgl. § 159 Abs 5 Z 2, 3, 4 und 5 StGB

^[46] Vgl. § 190 Abs 1 UGB

^[47] Vgl. § 190 Abs 3 UGB

^[48] Vgl. § 222 Abs 1 UGB

^[49] § 222 Abs 2 UGB

^[50] Vgl. § 243 Abs 1 UGB

^[51] Vgl. § 243 Abs 2 UGB

^[52] Vgl. Erläuternde Bemerkungen zum ReLAG

^[53] Vgl. § 243 Abs 3 UGB

^[54] Nach § 221 Abs 3 UGB gilt eine Kapitalgesellschaft stets als groß (große Kapitalge­sellschaft), wenn Aktien oder andere von ihr ausgegebene Wertpapiere an einem gere­gelten Markt im Sinne des § 2 Z 37 BWG oder an einem anerkannten, für das Publikum offenen, ordnungsgemäß funktionierenden Wertpapiermarkt in einem Vollmitgliedstaat der OECD zum Handel zugelassen sind.

^[55] Vgl. § 243 Abs 5 UGB

^[56] Vgl. § 268 Abs 1 UGB

^[57] Vgl. § 272 Abs 1 UGB

^[58] Vgl. § 272 Abs 2 UGB

^[59] § 273 Abs 1 UGB

^[60] Vgl. § 273 Abs 2 UGB

^[61] Vgl. § 273 Abs 2 UGB; § 22 Abs 1 Z 1 URG; In diesem Fall sind im Bericht die Eigen­mittelquote (§ 23 URG) und die fiktive Schuldentilgungsdauer (§ 24 URG) anzugeben.

^[62] Vgl. § 273 Abs 1 UGB

^[63] Vgl. § 273 Abs 3 UGB

^[64] § 275 Abs 2 UGB; Näheres, über die Verantwortlichkeit des Abschlussprüfers, wird in den Kapiteln 2.3.7 Wirtschaftstreuhandberufsgesetz und 2.3.8 Wirtschaftstreuhandberufs­Ausübungsrichtlinie dargestellt.

^[65] Vgl. § 22 Abs 1 Z 1 URG

^[66] § 22 Abs 1 Z 2 URG

^[67] Vgl. § 22 Abs 1 URG

^[68]Vgl. 1. Abschnitt WTBG

^[69]Vgl. § 83 Abs 1 und insbesondere Abs 2 Z 1 WTBG

^[70]Vgl. § 82 Abs 1 WTBG

^[71]Vgl. § 91 Abs 1 WTBG

^[72]Vgl. § 91 Abs 2 und 3 WTBG

^[73]Vgl. Vorbemerkungen WT-ARL

^[74] § 2 Abs 1 WT-ARL

^[75] Vgl. § 14 WT-ARL; § 16 Abs 1 WT-ARL

^[76] Vgl. § 15 Abs 2 WT-ARL

^[77] Vgl. Amtsblatt der Europäischen Union (2006)

^[78] Vgl. IT Governance Institute (2003), 54

^[79] Vgl. § 124 BAO

^[80] § 131 Abs 3 BAO

^[81] Vgl. § 131 Abs 6 BAO

^[82] Vgl. § 14 Abs 1 DSG 2000

^[83] Vgl. § 14 Abs 2 DSG 2000

^[84] Vgl. § 1 ECV

^[85] Vgl. § 4 insbesondere Abs 4 ECV

^[86] Vgl. § 5 Abs 3 und 4 ECV

^[87] Vgl. § 12 ISA 200, IFAC (2006)

^[88] ISA 315, IFAC (2006)

^[89] Vgl. § 43 ISA 315, IFAC (2006)

^[90] Vgl. §§ 49, 52, 57, 58, 81,90 und 91 ISA 315, IFAC (2006)

^[91] Vgl. § 56 ISA 315, IFAC (2006)