Sie sind hier: Home » Fachartikel » Hintergrund

SOX: Nachhaltigkeit ist gefragt


Ein SOX-relevantes Kontrollsystem sollte die IT- und die Fachbereichsseite abdecken - Detaillierte Bewertung der Systeme aus Basis- und Anwendungssicht
Speziell der integrierte Ansatz für SAP-Applikationen, der durch die Einbindung von Virsa verfolgt wird, befindet sich derzeit in der Reifephase

Von Otto Schell*

(20.02.08) - Was gilt es, bei GRC-Projekten zu beachten? Für eine erfolgreiche Umsetzung ist ein gemeinsames Grundverständnis Voraussetzung. Ein weiterer Erfolgsfaktor besteht in der Vorgabe des Managements hinsichtlich einer "permanenten" oder "Audit-Stichtagsbezogenen" Vorgehensweise.

Bevor GRC-Projekte (Governance, Risk & Compliance) starten, muss ein Grundverständnis über das Thema innerhalb eines Unternehmens bestehen. Redet man über GRC, ist in erster Linie die Richtigkeit und Nachvollziehbarkeit der Finanzberichtserstattung sicherzustellen. Das sind die Vorgaben, denen an der US-Börse notierte Unternehmen (Sarbannes-Oxley Act - SOX-Compliance) gerecht werden müssen. Die Verflechtung von Finanzprozessen mit IT-Lösungen zwingt zum integrativen Ansatz. Dem Zusammenhang mit den SOX-Abschnitten 302 und 404 ist daher besondere Beachtung zu schenken.

Keine Hauruck-Aktionen
Wie bereits angedeutet, sollte ein SOX-relevantes Kontrollsystem die IT- und die Fachbereichsseite abdecken. Das erfordert eine detaillierte Bewertung der Systeme aus Basis- und Anwendungssicht. Dabei sollten GRC-Projekte als permanente und nicht als kurzfristige, auf Audits abzielende Aktivitäten angesehen werden. Dann erst lässt sich im Unternehmen ein dauerhaftes Bewusstsein dafür etablieren.

In engem Zusammenhang stehen dabei die Effektivität des Kontrollsystems und der damit verbundene unternehmensinterne Aufwand. Ratsam ist es, ein Team zu etablieren, das sich ausschließlich um Compliance-Fragestellungen kümmert. Damit werden "Hauruck-Aktionen" vermieden und Nachhaltigkeit in dieses Thema gebracht. Das Team kann außerdem als "interner Berater" für die verschiedensten internen Audits agieren. Damit sind auch die wichtigsten Forderungen seitens SOX und der Auditoren erfüllt: das Monitoring des Systems, periodische Reviews von Zugriffen oder die Dokumentation von Prozesserweiterungen. Das Ganze wird über entsprechend erarbeitete Vorlagen dokumentiert und für interne Management-Reviews vorgehalten.

Aufklärung – Aufklärung – Aufklärung
Neben der koordinierten Vorgehensweise zwischen Fachbereich und IT ist "das tatsächlich Umsetzbare" mit dem Management abzustimmen und unter Umständen noch während eines Audits zu vereinbaren. Manche Kontrollen lassen sich aufgrund organisatorischer oder technischer Rahmenbedingungen nicht umsetzen, ohne dass übermäßig hohe Investitionen getätigt werden müssten (Verhältnismäßigkeit zum tatsächlichen Risiko, z. B. Vertreterregelung).

Die Frage ist doch: Was kann ein Unternehmen an Kontrollen tatsächlich zugestehen, ohne dass der Ablauf der Geschäftsprozesse zu stark beeinflusst wird? In der Abstimmung der Prozesse mit den entsprechenden Compliance-Anforderungen, d. h. der Implementierung der Controls und deren Nachprüfbarkeit, steckt der eigentliche Aufwand eines solchen Projekts. Zusätzlich muss eine einheitliche Vereinbarung zum eingesetzten Tool-Portfolio getroffen werden, um ein Lösungs-Patchwork innerhalb des Unternehmens und entsprechende Redundanzen zu vermeiden. Außerdem zählen "Aufklärung – Aufklärung – Aufklärung" zu den Aufgaben, die es zu erfüllen gilt.

Denn: Ein Internes Kontrollsystem (IKS) gab es in einer Art und Weise schon immer. Durch die Prozessabwicklung innerhalb einer Systemlandschaft ist die Komplexität jedoch gestiegen, nicht aber die individuelle Verantwortung oder die Integrität, die vorausgesetzt werden muss.

Klare Linie seitens SAP gewünscht
Genau hier sollte GRC mit SAP ansetzen. Sehr schnell muss eine integrierte Produktplattform etabliert werden, um mit der Einführung und Nutzung eines Standardsystems Compliance möglichst im Standard abzudecken. Speziell der integrierte Ansatz für SAP-Applikationen, der durch die Einbindung von Virsa verfolgt wird, befindet sich derzeit in der Reifephase. Eine Automatisierung und Monitoring-Fähigkeit solcher Tools wird zunehmend wichtiger. Zusätzliche Produkte drängen auf den Markt, was an Zeiten erinnert, in denen im Berechtigungskonzept-Umfeld jedes Tool willkommen war, was einigermaßen Transparenz versprach.

Ein Grund mehr, weshalb eine klare Linie und umfassende Positionierung seitens SAP zu diesem Thema erwartet werden können. Zudem steht die Prozess-Auditierung erst am Anfang und muss schnell nachkommen, da die SAP-Basis aufgrund vergangener Fokussierung seitens der Auditoren zunehmend erschöpft ist und man sich Richtung Business-Applikation ausrichtet. Eine Komplettierung der Produktportfolios ist daher dringend angeraten, von der Anfrage einer Benutzerberechtigung bis hin zur Prozess- Konformität.

Hintergrund
SOX Abschnitt 302 schreibt Strafen für den Fall vor, dass Chief Executive Officer (CEO) und Chief Financial Officer (CFO) wissentlich oder fahrlässig unrichtige Angaben gemacht haben. Chief Information Officer (CIO) werden in diesem Zusammenhang dazu aufgefordert, die Zuverlässigkeit und Sicherheit der Systeme zu gewährleisten.

SOX Abschnitt 404 bezieht sich auf die Dokumentation und Bewertung von Kontrollmechanismen. Das Management wird hier verpflichtet, Erklärungen über die Einführung angemessener, interner Kontrollmechanismen zur Finanzberichterstattung abzugeben. (DSAG: ra)

* Otto Schell ist Sprecher des DSAG-Arbeitskreises Globalization und SAP Program Manager bei General Motors Powertrain Europe.

Lesen Sie auch:
Corporate Compliance Zeitschrift, Zeitschrift zur Haftungsvermeidung im Unternehmen.

Hier geht's zur Kurzbeschreibung der Zeitschrift

Hier geht's zum Schnupper-Abo
Hier geht's zum regulären Abo

Hier geht's zum pdf-Bestellformular (Normal-Abo) [20 KB]
Hier geht's zum pdf-Bestellformular (Schnupper-Abo) [20 KB]

Hier geht's zum Word-Bestellformular (Normal-Abo) [41 KB]
Hier geht's zum Word-Bestellformular (Schnupper-Abo) [41 KB]



Meldungen: Hintergrund

  • Künstliche Intelligenz ist kein No-Brainer

    Gartner geht davon aus, dass Generative KI bis 2026 bei 80 Prozent der Unternehmen weltweit die Mitarbeitenden bei ihren Tätigkeiten unterstützt. Obwohl Künstliche Intelligenz zweifelsfrei als eine der wichtigsten Schlüsseltechnologien für die digitale Transformation gilt, hemmen rechtliche Unsicherheiten und mangelndes Fachwissen Unternehmen noch, im Arbeitsalltag stärker auf KI zu setzen.

  • Tokenisierung könnte erhöhte Liquidität bringen

    Schwache Konjunkturdaten, eine hartnäckige Inflation und die andauernde Energiekrise prägen aktuell das Bild der deutschen Wirtschaft. Die Banken reagieren zunehmend restriktiv bei der Vergabe von Finanzierungen und sehen bei vielen Unternehmen ein gestiegenes Kreditrisiko. Das verschlimmert die Lage weiter. Denn nach wie vor ist der Kredit ein Vehikel für Investitionen und somit zugleich Motor von Wachstum und Wohlstand.

  • Digital Twin der Lieferkette

    Fällt das Wort Lieferkettensorgfaltspflichtengesetz (LkSG), schießt einem meist zeitgleich der Begriff Transparenz in den Kopf. Denn darum geht es doch, oder? Auch! Aber nur Transparenz über die eigene Lieferkette zu erhalten, bringt erstmal wenig. Der Trick ist, zeitgleich eine flexible, optimierte Lieferkette anzustreben - sowohl operativ als auch strategisch.

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

Von der Kameralistik zur Doppik Compliance Management in der Praxis

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen