Sarbanes-Oxley-Act (SOA) Flashcards

1
Q

Für was enthält der SOA Vorschriften?

A
  • betrifft wahrheitsgem. Erstellung von Finanzberichten wenn Aktien an US-Börsen gehandelt, sowie für Service-Provider
  • auch detaillierte Vorschriften für IT-Prozesse, soweit diese Einfluss auf Korrektheit Finanberichterstattung
  • Kontrollmechanismen gegen aufgeführte Risiken
  • in Abschnitten 302 - 404 Vorschriften für IKS
  • hat maßgebich EURO-SOX geprägt (EU-Regelung für Unternehmsabschlüsse) ; gilt für alle Kapitalgesellschaften
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Was muss jährlicher Bericht des Managements über die Bewertung des IKS für die Finanzberichterstattung enthalten?

A
  • Erklärung über Zuständigkeit Management für Implementierung und Wartung angemessenes IKS
  • Nachweis über verwendetes Framework zur Ermittlung Effektivität IKS
  • Bewertung Effektivität IKS für letztes fiskalisches Jahr + Erklärung, dass IKS effektiv
  • Erklärung, dass registrierter Wirtschaftsprüfer, der auditiert, Bericht über Bewertung IKS anfertigt
  • Empfehlung: zusätzlich schriftliche Kurzfassung für Auditor über Effekitivität IKS
  • bei festgestellten Schwächen bis Jahresende beseitigen
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Vor- und Nachteile SOA

A

Vorteile
- Schutz vor Bilanzfälschungen
- Transparenz der Prozesse (mit Ansätzen für Redesigns und Outsourcing)
- gesteigerte Sensibilität für Mitarbeiter

Nachteile
- Kosten
- mangelnde Motivation wegen erheblichem Aufwand

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Das COSO (Committee of Sponsoring Organizations of the Treadway Commission) hat IKS definiert:

A

a process, affected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achivement of objectives in the following categories:
1. effectivenes and efficiency of operations
2. reliability and financial reporting
3. compliance with applicable laws and regulations

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

fünf wesentliches Bestandteiles eines IKS nach der COSO
(Committee of Sponsoring Organizations of the Treadway Commission)
nach dem SOA

A
  1. Kontrollumfeld (Control Environment, CE)
  2. Risikobeurteilung (Risk Assesment, RA)
  3. Kontrollaktivitäten (Control Activities, CA)
  4. Information + Kommunikation (Information + Communication, IC)
  5. Überwachung (Monitoring, M)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q
  1. Kontrollumfeld

(Control Environment, CE)

(Bestandteil IKS nach COSO)

A
  • Handlungsrahmen, innerhalb dessen IKS implementiert
  • Unternehmensleitbild, Führungsstil, Code of Conduct, Code of Ethics, Kommunikation und Funktionstrennung -> auf Ebene oberes Management
  • auf Ebene Mitarbeiter: Integrität, Werte- und NOrmvorstellungen, fachliche Kompetenz
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

3.. Kontrollaktivitäten

(Control Activities)

(Bestandteil IKS nach COSO)

A
  • Maßnahmen, damit definierte Ziele nicht gefährdet und relevante Risiken gesteuert
  • präventive Kontrollen (z.B. Passwörter, Vier-Augen-Prinzip)
  • detektive Aktivitäten (frühzeitige Aufklärung von Fehlentwicklungen) zB Inventur
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

4.. Information + Kommunikation

(Information + Communication, IC)

(Bestandteil IKS nach COSO)

A
  • Informations- und Kommunikationskanäle, um kontrollrelevante Daten zeitnah zu erfassen
  • top-down und bottom-up
  • steuerungsrelevant Infos
  • functional approach (zw. Prozessverantwortlichen)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

5.. Überwachung

(Monitoring, M)

(Bestandteil IKS nach COSO)

A
  • Überwachung Umsetzung IKS
  • permanent, Stichproben und interne Revision
  • auch Maßnahmen zur Sicherstellung Qualität und Kontrollaktivitäten (interne Audits)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

SOA-404 Compliance-Zyklus

Ziele der Dokumentation:

A
  • Verständnis dokumentierter Prozesse vom Anfang bis zum Ende
  • Verständnis Transaktionsfluss (Aktivitäten und Daten - Initiierung, Aufzeichnung, Autorisierung, Durchführung, Berichterstattung)
  • Prüfung der Dokumentation jedes Risikos und jeder Kontrollaktivität
  • Prüfung dass Kontrollaktivitäten Kontrollziele Erfüllen (Completeness, Accuracy, Validity, Restricted Access - CAVR)
  • Beurteilung der Fähigkeit, wesentliche Fehler bei Finanzberichterstattung zu verhinden (Design Effevtiveness Evaluation)
  • Einschätzung Angemessenheit Dokumentation
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

jährlicher SOA-404 Compliance-Zyklus:

A
  1. Gegenstand der Compliance
  2. Risiken und Prozesse
  3. Dokumentation der den Risiken zugeordneten Kontrollen
  4. Design Effectiveness Evaluation (DEE)
  5. Operation Effectiveness Testing (OET)
    -> funktioniert Kontrolle wie gedacht?
  6. Issue Evaluation and Remediation/Retesting
    -> Schachstellen festgestellt
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Was macht amerikanische SEC?

A

SEC = US-Wertpapieraufsicht

fordert von Untern. innerhalb der Prozesse, die für Finanzberichterstattung relevant, dokumentierte Kontrollen

diese sollen anhand von COSO-Framework

gilt insb. für IT

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

verschiedene Kontrollschwächen innerhalb COSO

A

bedeutsame Kontrollschwäche: Significant Deficiency
(nicht belangloser Betrag)

wesentliche Kontrollschwäche: Material Weakness
(Falschbetrag von erheblicher Höhe)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Was muss SOA-404-Prüfung dokumentieren?

A
  • wer kontrolliert
  • warum
  • wie (Ablauf)
  • wann/wie oft
  • welche Nachweise über Durchführung
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Rollen bei Prozessdokumentation und Dokumentationsprüfung

A

Prozessverantwortlicher
dokumentiert Prozessschritte und bestätigt durch Unterschrift

Dokumentationsverantwortlicher
belegt Prozesse
+ kontrolliert + Verbesserungen

Prozessverantwortlicher attestiert, dass Angorderungen aus COSO-Framework erfüllt (zB ab wann Vorgesetzter zustimmen muss oder wann 4-Augen-Prinzip)

Prüfung ob IKS sorgfältig angewandt, Prüdung ob funktioniert ; beides auch unterjährig und testweise Durchführung

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Prozessverantwortlicher -> Qualitätssicherung

diese hat zwei Phasen

A
  1. Dokumentationsverantwortlicher macht Porzess- und Kontrolldokumentation; Prozessveranwortlicher prüft, ob vollständig und Realität widerspiegelt
  2. Prüfung ob Dokumentation interne globale Standards erfüllt
    + ob Sichtweise den globalen Kontext repräsentiert

all dies obliegt dem Prozessverantwortlichen; dieser bestimmte zuständige Personen

wenn bei Effektivitätsbeurteilung Mangel –> Issue Management (IM)
dies ist eigene Einheit bei SOA-Umsetzung, die nur dafür zuständig

17
Q

Wofür gilt Peer-to-Peer - Risikoabschätzung?

(Peer-to-Peer Risk Assessment)

A

gilt für IT-Service-Provider (bspw. Cloud Services) bei der Kunden Teile der Infrastruktur verwalten und administrieren

= gemeinsame Risikoabschätzung aller an der Prozessbearbeitung beteiligten Partner

betrifft Kernprozesse und unterstützende Software-Tools

wichtig: präzise die Risikobjekte festlegen und zentralen Risikokatalog erstellen

insb für solche Daten, die abgebildet in Finanzberichterstattung

muss gemeinsam mit Kunden festgelegt, welche Kontrollziele mit welchen defektiven oder präventiven Kontrollen überwacht werden und wie entsprechende Tests aussehen

18
Q

Durchführung Risk Assessment bei Peer-to-Peer

A

zunächst Umfang Assessment festlegen

dabei beachten:

Organisation:
- Policies
- Prozesse
- Dokumente (Inventare, Konzepte)
Technik:
- physische Sicherheit
- Netzwerksicherheit
- -Systemsicherheit
- Applikationssicherheit

idealerweise orientieren sich Kunden bei Beschaffung Infrakstruktur an Sicherheitsstandards(Zertifizierungen (diese Zertifikate lassen sich idR für SOA-404-Compliance verwenden)

19
Q

Prüfungsstandard SAS 70

A
  • Statement on Auditing Standards No. 70
  • US-Standard; bescheinigut, dass Untern funktionierendes Kontrollsystem für IT
  • muss von allen IT-Untern erfüllt, oder von deren IT-Dienstleistern
  • entwickelt von American Institute of Certified Public Accountants (AICPA)
  • Untern. kann zwischen zwei Formen wählen:
  1. im Abschlussbericht des Prüfungs Beschreibung und Bewertung IKS
  2. Tests der relevanten Prozesse und Dokumentation ihrer Effektivität

Nachteile und Gefahren:
- Unterschlagung SOA-relevanter Prozesse (vorsätzlich oder fahrlässig)
- Abhängigkeit zw. Prüfer und Geprüften
- Umsetzungskosten

Vorteile:
- Abschreckung
- Proessoptimierung