Sarbanes-Oxley-Act (SOA) Flashcards
Für was enthält der SOA Vorschriften?
- betrifft wahrheitsgem. Erstellung von Finanzberichten wenn Aktien an US-Börsen gehandelt, sowie für Service-Provider
- auch detaillierte Vorschriften für IT-Prozesse, soweit diese Einfluss auf Korrektheit Finanberichterstattung
- Kontrollmechanismen gegen aufgeführte Risiken
- in Abschnitten 302 - 404 Vorschriften für IKS
- hat maßgebich EURO-SOX geprägt (EU-Regelung für Unternehmsabschlüsse) ; gilt für alle Kapitalgesellschaften
Was muss jährlicher Bericht des Managements über die Bewertung des IKS für die Finanzberichterstattung enthalten?
- Erklärung über Zuständigkeit Management für Implementierung und Wartung angemessenes IKS
- Nachweis über verwendetes Framework zur Ermittlung Effektivität IKS
- Bewertung Effektivität IKS für letztes fiskalisches Jahr + Erklärung, dass IKS effektiv
- Erklärung, dass registrierter Wirtschaftsprüfer, der auditiert, Bericht über Bewertung IKS anfertigt
- Empfehlung: zusätzlich schriftliche Kurzfassung für Auditor über Effekitivität IKS
- bei festgestellten Schwächen bis Jahresende beseitigen
Vor- und Nachteile SOA
Vorteile
- Schutz vor Bilanzfälschungen
- Transparenz der Prozesse (mit Ansätzen für Redesigns und Outsourcing)
- gesteigerte Sensibilität für Mitarbeiter
Nachteile
- Kosten
- mangelnde Motivation wegen erheblichem Aufwand
Das COSO (Committee of Sponsoring Organizations of the Treadway Commission) hat IKS definiert:
a process, affected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achivement of objectives in the following categories:
1. effectivenes and efficiency of operations
2. reliability and financial reporting
3. compliance with applicable laws and regulations
fünf wesentliches Bestandteiles eines IKS nach der COSO
(Committee of Sponsoring Organizations of the Treadway Commission)
nach dem SOA
- Kontrollumfeld (Control Environment, CE)
- Risikobeurteilung (Risk Assesment, RA)
- Kontrollaktivitäten (Control Activities, CA)
- Information + Kommunikation (Information + Communication, IC)
- Überwachung (Monitoring, M)
- Kontrollumfeld
(Control Environment, CE)
(Bestandteil IKS nach COSO)
- Handlungsrahmen, innerhalb dessen IKS implementiert
- Unternehmensleitbild, Führungsstil, Code of Conduct, Code of Ethics, Kommunikation und Funktionstrennung -> auf Ebene oberes Management
- auf Ebene Mitarbeiter: Integrität, Werte- und NOrmvorstellungen, fachliche Kompetenz
3.. Kontrollaktivitäten
(Control Activities)
(Bestandteil IKS nach COSO)
- Maßnahmen, damit definierte Ziele nicht gefährdet und relevante Risiken gesteuert
- präventive Kontrollen (z.B. Passwörter, Vier-Augen-Prinzip)
- detektive Aktivitäten (frühzeitige Aufklärung von Fehlentwicklungen) zB Inventur
4.. Information + Kommunikation
(Information + Communication, IC)
(Bestandteil IKS nach COSO)
- Informations- und Kommunikationskanäle, um kontrollrelevante Daten zeitnah zu erfassen
- top-down und bottom-up
- steuerungsrelevant Infos
- functional approach (zw. Prozessverantwortlichen)
5.. Überwachung
(Monitoring, M)
(Bestandteil IKS nach COSO)
- Überwachung Umsetzung IKS
- permanent, Stichproben und interne Revision
- auch Maßnahmen zur Sicherstellung Qualität und Kontrollaktivitäten (interne Audits)
SOA-404 Compliance-Zyklus
Ziele der Dokumentation:
- Verständnis dokumentierter Prozesse vom Anfang bis zum Ende
- Verständnis Transaktionsfluss (Aktivitäten und Daten - Initiierung, Aufzeichnung, Autorisierung, Durchführung, Berichterstattung)
- Prüfung der Dokumentation jedes Risikos und jeder Kontrollaktivität
- Prüfung dass Kontrollaktivitäten Kontrollziele Erfüllen (Completeness, Accuracy, Validity, Restricted Access - CAVR)
- Beurteilung der Fähigkeit, wesentliche Fehler bei Finanzberichterstattung zu verhinden (Design Effevtiveness Evaluation)
- Einschätzung Angemessenheit Dokumentation
jährlicher SOA-404 Compliance-Zyklus:
- Gegenstand der Compliance
- Risiken und Prozesse
- Dokumentation der den Risiken zugeordneten Kontrollen
- Design Effectiveness Evaluation (DEE)
- Operation Effectiveness Testing (OET)
-> funktioniert Kontrolle wie gedacht? - Issue Evaluation and Remediation/Retesting
-> Schachstellen festgestellt
Was macht amerikanische SEC?
SEC = US-Wertpapieraufsicht
fordert von Untern. innerhalb der Prozesse, die für Finanzberichterstattung relevant, dokumentierte Kontrollen
diese sollen anhand von COSO-Framework
gilt insb. für IT
verschiedene Kontrollschwächen innerhalb COSO
bedeutsame Kontrollschwäche: Significant Deficiency
(nicht belangloser Betrag)
wesentliche Kontrollschwäche: Material Weakness
(Falschbetrag von erheblicher Höhe)
Was muss SOA-404-Prüfung dokumentieren?
- wer kontrolliert
- warum
- wie (Ablauf)
- wann/wie oft
- welche Nachweise über Durchführung
Rollen bei Prozessdokumentation und Dokumentationsprüfung
Prozessverantwortlicher
dokumentiert Prozessschritte und bestätigt durch Unterschrift
Dokumentationsverantwortlicher
belegt Prozesse
+ kontrolliert + Verbesserungen
Prozessverantwortlicher attestiert, dass Angorderungen aus COSO-Framework erfüllt (zB ab wann Vorgesetzter zustimmen muss oder wann 4-Augen-Prinzip)
Prüfung ob IKS sorgfältig angewandt, Prüdung ob funktioniert ; beides auch unterjährig und testweise Durchführung
Prozessverantwortlicher -> Qualitätssicherung
diese hat zwei Phasen
- Dokumentationsverantwortlicher macht Porzess- und Kontrolldokumentation; Prozessveranwortlicher prüft, ob vollständig und Realität widerspiegelt
- Prüfung ob Dokumentation interne globale Standards erfüllt
+ ob Sichtweise den globalen Kontext repräsentiert
all dies obliegt dem Prozessverantwortlichen; dieser bestimmte zuständige Personen
wenn bei Effektivitätsbeurteilung Mangel –> Issue Management (IM)
dies ist eigene Einheit bei SOA-Umsetzung, die nur dafür zuständig
Wofür gilt Peer-to-Peer - Risikoabschätzung?
(Peer-to-Peer Risk Assessment)
gilt für IT-Service-Provider (bspw. Cloud Services) bei der Kunden Teile der Infrastruktur verwalten und administrieren
= gemeinsame Risikoabschätzung aller an der Prozessbearbeitung beteiligten Partner
betrifft Kernprozesse und unterstützende Software-Tools
wichtig: präzise die Risikobjekte festlegen und zentralen Risikokatalog erstellen
insb für solche Daten, die abgebildet in Finanzberichterstattung
muss gemeinsam mit Kunden festgelegt, welche Kontrollziele mit welchen defektiven oder präventiven Kontrollen überwacht werden und wie entsprechende Tests aussehen
Durchführung Risk Assessment bei Peer-to-Peer
zunächst Umfang Assessment festlegen
dabei beachten:
Organisation:
- Policies
- Prozesse
- Dokumente (Inventare, Konzepte)
Technik:
- physische Sicherheit
- Netzwerksicherheit
- -Systemsicherheit
- Applikationssicherheit
idealerweise orientieren sich Kunden bei Beschaffung Infrakstruktur an Sicherheitsstandards(Zertifizierungen (diese Zertifikate lassen sich idR für SOA-404-Compliance verwenden)
Prüfungsstandard SAS 70
- Statement on Auditing Standards No. 70
- US-Standard; bescheinigut, dass Untern funktionierendes Kontrollsystem für IT
- muss von allen IT-Untern erfüllt, oder von deren IT-Dienstleistern
- entwickelt von American Institute of Certified Public Accountants (AICPA)
- Untern. kann zwischen zwei Formen wählen:
- im Abschlussbericht des Prüfungs Beschreibung und Bewertung IKS
- Tests der relevanten Prozesse und Dokumentation ihrer Effektivität
Nachteile und Gefahren:
- Unterschlagung SOA-relevanter Prozesse (vorsätzlich oder fahrlässig)
- Abhängigkeit zw. Prüfer und Geprüften
- Umsetzungskosten
Vorteile:
- Abschreckung
- Proessoptimierung
