Sarbanes-Oxley-Act (SOA)

Question 1

Für was enthält der SOA Vorschriften?

Answer 1

• betrifft wahrheitsgem. Erstellung von Finanzberichten wenn Aktien an US-Börsen gehandelt, sowie für Service-Provider
• auch detaillierte Vorschriften für IT-Prozesse, soweit diese Einfluss auf Korrektheit Finanberichterstattung
• Kontrollmechanismen gegen aufgeführte Risiken
• in Abschnitten 302 - 404 Vorschriften für IKS
• hat maßgebich EURO-SOX geprägt (EU-Regelung für Unternehmsabschlüsse) ; gilt für alle Kapitalgesellschaften

Question 2

Was muss jährlicher Bericht des Managements über die Bewertung des IKS für die Finanzberichterstattung enthalten?

Answer 2

• Erklärung über Zuständigkeit Management für Implementierung und Wartung angemessenes IKS
• Nachweis über verwendetes Framework zur Ermittlung Effektivität IKS
• Bewertung Effektivität IKS für letztes fiskalisches Jahr + Erklärung, dass IKS effektiv
• Erklärung, dass registrierter Wirtschaftsprüfer, der auditiert, Bericht über Bewertung IKS anfertigt
• Empfehlung: zusätzlich schriftliche Kurzfassung für Auditor über Effekitivität IKS
• bei festgestellten Schwächen bis Jahresende beseitigen

Question 3

Vor- und Nachteile SOA

Answer 3

Vorteile
- Schutz vor Bilanzfälschungen
- Transparenz der Prozesse (mit Ansätzen für Redesigns und Outsourcing)
- gesteigerte Sensibilität für Mitarbeiter

Nachteile
- Kosten
- mangelnde Motivation wegen erheblichem Aufwand

Question 4

Das COSO (Committee of Sponsoring Organizations of the Treadway Commission) hat IKS definiert:

Answer 4

a process, affected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achivement of objectives in the following categories:
1. effectivenes and efficiency of operations
2. reliability and financial reporting
3. compliance with applicable laws and regulations

Question 5

fünf wesentliches Bestandteiles eines IKS nach der COSO
(Committee of Sponsoring Organizations of the Treadway Commission)
nach dem SOA

Answer 5

1. Kontrollumfeld (Control Environment, CE)
2. Risikobeurteilung (Risk Assesment, RA)
3. Kontrollaktivitäten (Control Activities, CA)
4. Information + Kommunikation (Information + Communication, IC)
5. Überwachung (Monitoring, M)

Question 6

1. Kontrollumfeld

(Control Environment, CE)

(Bestandteil IKS nach COSO)

Answer 6

• Handlungsrahmen, innerhalb dessen IKS implementiert
• Unternehmensleitbild, Führungsstil, Code of Conduct, Code of Ethics, Kommunikation und Funktionstrennung -> auf Ebene oberes Management
• auf Ebene Mitarbeiter: Integrität, Werte- und NOrmvorstellungen, fachliche Kompetenz

Question 7

3.. Kontrollaktivitäten

(Control Activities)

(Bestandteil IKS nach COSO)

Answer 7

• Maßnahmen, damit definierte Ziele nicht gefährdet und relevante Risiken gesteuert
• präventive Kontrollen (z.B. Passwörter, Vier-Augen-Prinzip)
• detektive Aktivitäten (frühzeitige Aufklärung von Fehlentwicklungen) zB Inventur

Question 8

4.. Information + Kommunikation

(Information + Communication, IC)

(Bestandteil IKS nach COSO)

Answer 8

• Informations- und Kommunikationskanäle, um kontrollrelevante Daten zeitnah zu erfassen
• top-down und bottom-up
• steuerungsrelevant Infos
• functional approach (zw. Prozessverantwortlichen)

Question 9

5.. Überwachung

(Monitoring, M)

(Bestandteil IKS nach COSO)

Answer 9

• Überwachung Umsetzung IKS
• permanent, Stichproben und interne Revision
• auch Maßnahmen zur Sicherstellung Qualität und Kontrollaktivitäten (interne Audits)

Question 10

SOA-404 Compliance-Zyklus

Ziele der Dokumentation:

Answer 10

• Verständnis dokumentierter Prozesse vom Anfang bis zum Ende
• Verständnis Transaktionsfluss (Aktivitäten und Daten - Initiierung, Aufzeichnung, Autorisierung, Durchführung, Berichterstattung)
• Prüfung der Dokumentation jedes Risikos und jeder Kontrollaktivität
• Prüfung dass Kontrollaktivitäten Kontrollziele Erfüllen (Completeness, Accuracy, Validity, Restricted Access - CAVR)
• Beurteilung der Fähigkeit, wesentliche Fehler bei Finanzberichterstattung zu verhinden (Design Effevtiveness Evaluation)
• Einschätzung Angemessenheit Dokumentation

Question 11

jährlicher SOA-404 Compliance-Zyklus:

Answer 11

1. Gegenstand der Compliance
2. Risiken und Prozesse
3. Dokumentation der den Risiken zugeordneten Kontrollen
4. Design Effectiveness Evaluation (DEE)
5. Operation Effectiveness Testing (OET)
   -> funktioniert Kontrolle wie gedacht?
6. Issue Evaluation and Remediation/Retesting
   -> Schachstellen festgestellt

Question 12

Was macht amerikanische SEC?

Answer 12

SEC = US-Wertpapieraufsicht

fordert von Untern. innerhalb der Prozesse, die für Finanzberichterstattung relevant, dokumentierte Kontrollen

diese sollen anhand von COSO-Framework

gilt insb. für IT

Question 13

verschiedene Kontrollschwächen innerhalb COSO

Answer 13

bedeutsame Kontrollschwäche: Significant Deficiency
(nicht belangloser Betrag)

wesentliche Kontrollschwäche: Material Weakness
(Falschbetrag von erheblicher Höhe)

Question 14

Was muss SOA-404-Prüfung dokumentieren?

Answer 14

• wer kontrolliert
• warum
• wie (Ablauf)
• wann/wie oft
• welche Nachweise über Durchführung

Question 15

Rollen bei Prozessdokumentation und Dokumentationsprüfung

Answer 15

Prozessverantwortlicher
dokumentiert Prozessschritte und bestätigt durch Unterschrift

Dokumentationsverantwortlicher
belegt Prozesse
+ kontrolliert + Verbesserungen

Prozessverantwortlicher attestiert, dass Angorderungen aus COSO-Framework erfüllt (zB ab wann Vorgesetzter zustimmen muss oder wann 4-Augen-Prinzip)

Prüfung ob IKS sorgfältig angewandt, Prüdung ob funktioniert ; beides auch unterjährig und testweise Durchführung

Question 16

Prozessverantwortlicher -> Qualitätssicherung

diese hat zwei Phasen

Answer 16

1. Dokumentationsverantwortlicher macht Porzess- und Kontrolldokumentation; Prozessveranwortlicher prüft, ob vollständig und Realität widerspiegelt
2. Prüfung ob Dokumentation interne globale Standards erfüllt
   + ob Sichtweise den globalen Kontext repräsentiert

all dies obliegt dem Prozessverantwortlichen; dieser bestimmte zuständige Personen

wenn bei Effektivitätsbeurteilung Mangel –> Issue Management (IM)
dies ist eigene Einheit bei SOA-Umsetzung, die nur dafür zuständig

Question 17

Wofür gilt Peer-to-Peer - Risikoabschätzung?

(Peer-to-Peer Risk Assessment)

Answer 17

gilt für IT-Service-Provider (bspw. Cloud Services) bei der Kunden Teile der Infrastruktur verwalten und administrieren

= gemeinsame Risikoabschätzung aller an der Prozessbearbeitung beteiligten Partner

betrifft Kernprozesse und unterstützende Software-Tools

wichtig: präzise die Risikobjekte festlegen und zentralen Risikokatalog erstellen

insb für solche Daten, die abgebildet in Finanzberichterstattung

muss gemeinsam mit Kunden festgelegt, welche Kontrollziele mit welchen defektiven oder präventiven Kontrollen überwacht werden und wie entsprechende Tests aussehen

Question 18

Durchführung Risk Assessment bei Peer-to-Peer

Answer 18

zunächst Umfang Assessment festlegen

dabei beachten:

Organisation:
- Policies
- Prozesse
- Dokumente (Inventare, Konzepte)
Technik:
- physische Sicherheit
- Netzwerksicherheit
- -Systemsicherheit
- Applikationssicherheit

idealerweise orientieren sich Kunden bei Beschaffung Infrakstruktur an Sicherheitsstandards(Zertifizierungen (diese Zertifikate lassen sich idR für SOA-404-Compliance verwenden)

Question 19

Prüfungsstandard SAS 70

Answer 19

• Statement on Auditing Standards No. 70
• US-Standard; bescheinigut, dass Untern funktionierendes Kontrollsystem für IT
• muss von allen IT-Untern erfüllt, oder von deren IT-Dienstleistern
• entwickelt von American Institute of Certified Public Accountants (AICPA)
• Untern. kann zwischen zwei Formen wählen:

1. im Abschlussbericht des Prüfungs Beschreibung und Bewertung IKS
2. Tests der relevanten Prozesse und Dokumentation ihrer Effektivität

Nachteile und Gefahren:
- Unterschlagung SOA-relevanter Prozesse (vorsätzlich oder fahrlässig)
- Abhängigkeit zw. Prüfer und Geprüften
- Umsetzungskosten

Vorteile:
- Abschreckung
- Proessoptimierung