Sarbanes-Oxley-Act (SOA) Flashcards
Für was enthält der SOA Vorschriften?
- betrifft wahrheitsgem. Erstellung von Finanzberichten wenn Aktien an US-Börsen gehandelt, sowie für Service-Provider
- auch detaillierte Vorschriften für IT-Prozesse, soweit diese Einfluss auf Korrektheit Finanberichterstattung
- Kontrollmechanismen gegen aufgeführte Risiken
- in Abschnitten 302 - 404 Vorschriften für IKS
- hat maßgebich EURO-SOX geprägt (EU-Regelung für Unternehmsabschlüsse) ; gilt für alle Kapitalgesellschaften
Was muss jährlicher Bericht des Managements über die Bewertung des IKS für die Finanzberichterstattung enthalten?
- Erklärung über Zuständigkeit Management für Implementierung und Wartung angemessenes IKS
- Nachweis über verwendetes Framework zur Ermittlung Effektivität IKS
- Bewertung Effektivität IKS für letztes fiskalisches Jahr + Erklärung, dass IKS effektiv
- Erklärung, dass registrierter Wirtschaftsprüfer, der auditiert, Bericht über Bewertung IKS anfertigt
- Empfehlung: zusätzlich schriftliche Kurzfassung für Auditor über Effekitivität IKS
- bei festgestellten Schwächen bis Jahresende beseitigen
Vor- und Nachteile SOA
Vorteile
- Schutz vor Bilanzfälschungen
- Transparenz der Prozesse (mit Ansätzen für Redesigns und Outsourcing)
- gesteigerte Sensibilität für Mitarbeiter
Nachteile
- Kosten
- mangelnde Motivation wegen erheblichem Aufwand
Das COSO (Committee of Sponsoring Organizations of the Treadway Commission) hat IKS definiert:
a process, affected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achivement of objectives in the following categories:
1. effectivenes and efficiency of operations
2. reliability and financial reporting
3. compliance with applicable laws and regulations
fünf wesentliches Bestandteiles eines IKS nach der COSO
(Committee of Sponsoring Organizations of the Treadway Commission)
nach dem SOA
- Kontrollumfeld (Control Environment, CE)
- Risikobeurteilung (Risk Assesment, RA)
- Kontrollaktivitäten (Control Activities, CA)
- Information + Kommunikation (Information + Communication, IC)
- Überwachung (Monitoring, M)
- Kontrollumfeld
(Control Environment, CE)
(Bestandteil IKS nach COSO)
- Handlungsrahmen, innerhalb dessen IKS implementiert
- Unternehmensleitbild, Führungsstil, Code of Conduct, Code of Ethics, Kommunikation und Funktionstrennung -> auf Ebene oberes Management
- auf Ebene Mitarbeiter: Integrität, Werte- und NOrmvorstellungen, fachliche Kompetenz
3.. Kontrollaktivitäten
(Control Activities)
(Bestandteil IKS nach COSO)
- Maßnahmen, damit definierte Ziele nicht gefährdet und relevante Risiken gesteuert
- präventive Kontrollen (z.B. Passwörter, Vier-Augen-Prinzip)
- detektive Aktivitäten (frühzeitige Aufklärung von Fehlentwicklungen) zB Inventur
4.. Information + Kommunikation
(Information + Communication, IC)
(Bestandteil IKS nach COSO)
- Informations- und Kommunikationskanäle, um kontrollrelevante Daten zeitnah zu erfassen
- top-down und bottom-up
- steuerungsrelevant Infos
- functional approach (zw. Prozessverantwortlichen)
5.. Überwachung
(Monitoring, M)
(Bestandteil IKS nach COSO)
- Überwachung Umsetzung IKS
- permanent, Stichproben und interne Revision
- auch Maßnahmen zur Sicherstellung Qualität und Kontrollaktivitäten (interne Audits)
SOA-404 Compliance-Zyklus
Ziele der Dokumentation:
- Verständnis dokumentierter Prozesse vom Anfang bis zum Ende
- Verständnis Transaktionsfluss (Aktivitäten und Daten - Initiierung, Aufzeichnung, Autorisierung, Durchführung, Berichterstattung)
- Prüfung der Dokumentation jedes Risikos und jeder Kontrollaktivität
- Prüfung dass Kontrollaktivitäten Kontrollziele Erfüllen (Completeness, Accuracy, Validity, Restricted Access - CAVR)
- Beurteilung der Fähigkeit, wesentliche Fehler bei Finanzberichterstattung zu verhinden (Design Effevtiveness Evaluation)
- Einschätzung Angemessenheit Dokumentation
jährlicher SOA-404 Compliance-Zyklus:
- Gegenstand der Compliance
- Risiken und Prozesse
- Dokumentation der den Risiken zugeordneten Kontrollen
- Design Effectiveness Evaluation (DEE)
- Operation Effectiveness Testing (OET)
-> funktioniert Kontrolle wie gedacht? - Issue Evaluation and Remediation/Retesting
-> Schachstellen festgestellt
Was macht amerikanische SEC?
SEC = US-Wertpapieraufsicht
fordert von Untern. innerhalb der Prozesse, die für Finanzberichterstattung relevant, dokumentierte Kontrollen
diese sollen anhand von COSO-Framework
gilt insb. für IT
verschiedene Kontrollschwächen innerhalb COSO
bedeutsame Kontrollschwäche: Significant Deficiency
(nicht belangloser Betrag)
wesentliche Kontrollschwäche: Material Weakness
(Falschbetrag von erheblicher Höhe)
Was muss SOA-404-Prüfung dokumentieren?
- wer kontrolliert
- warum
- wie (Ablauf)
- wann/wie oft
- welche Nachweise über Durchführung
Rollen bei Prozessdokumentation und Dokumentationsprüfung
Prozessverantwortlicher
dokumentiert Prozessschritte und bestätigt durch Unterschrift
Dokumentationsverantwortlicher
belegt Prozesse
+ kontrolliert + Verbesserungen
Prozessverantwortlicher attestiert, dass Angorderungen aus COSO-Framework erfüllt (zB ab wann Vorgesetzter zustimmen muss oder wann 4-Augen-Prinzip)
Prüfung ob IKS sorgfältig angewandt, Prüdung ob funktioniert ; beides auch unterjährig und testweise Durchführung