Sie sind hier: Home » Fachartikel » Hintergrund

SOX: Nachhaltigkeit ist gefragt


Ein SOX-relevantes Kontrollsystem sollte die IT- und die Fachbereichsseite abdecken - Detaillierte Bewertung der Systeme aus Basis- und Anwendungssicht
Speziell der integrierte Ansatz für SAP-Applikationen, der durch die Einbindung von Virsa verfolgt wird, befindet sich derzeit in der Reifephase


Von Otto Schell*

(20.02.08) - Was gilt es, bei GRC-Projekten zu beachten? Für eine erfolgreiche Umsetzung ist ein gemeinsames Grundverständnis Voraussetzung. Ein weiterer Erfolgsfaktor besteht in der Vorgabe des Managements hinsichtlich einer "permanenten" oder "Audit-Stichtagsbezogenen" Vorgehensweise.

Bevor GRC-Projekte (Governance, Risk & Compliance) starten, muss ein Grundverständnis über das Thema innerhalb eines Unternehmens bestehen. Redet man über GRC, ist in erster Linie die Richtigkeit und Nachvollziehbarkeit der Finanzberichtserstattung sicherzustellen. Das sind die Vorgaben, denen an der US-Börse notierte Unternehmen (Sarbannes-Oxley Act - SOX-Compliance) gerecht werden müssen. Die Verflechtung von Finanzprozessen mit IT-Lösungen zwingt zum integrativen Ansatz. Dem Zusammenhang mit den SOX-Abschnitten 302 und 404 ist daher besondere Beachtung zu schenken.

Keine Hauruck-Aktionen
Wie bereits angedeutet, sollte ein SOX-relevantes Kontrollsystem die IT- und die Fachbereichsseite abdecken. Das erfordert eine detaillierte Bewertung der Systeme aus Basis- und Anwendungssicht. Dabei sollten GRC-Projekte als permanente und nicht als kurzfristige, auf Audits abzielende Aktivitäten angesehen werden. Dann erst lässt sich im Unternehmen ein dauerhaftes Bewusstsein dafür etablieren.

In engem Zusammenhang stehen dabei die Effektivität des Kontrollsystems und der damit verbundene unternehmensinterne Aufwand. Ratsam ist es, ein Team zu etablieren, das sich ausschließlich um Compliance-Fragestellungen kümmert. Damit werden "Hauruck-Aktionen" vermieden und Nachhaltigkeit in dieses Thema gebracht. Das Team kann außerdem als "interner Berater" für die verschiedensten internen Audits agieren. Damit sind auch die wichtigsten Forderungen seitens SOX und der Auditoren erfüllt: das Monitoring des Systems, periodische Reviews von Zugriffen oder die Dokumentation von Prozesserweiterungen. Das Ganze wird über entsprechend erarbeitete Vorlagen dokumentiert und für interne Management-Reviews vorgehalten.

Aufklärung – Aufklärung – Aufklärung
Neben der koordinierten Vorgehensweise zwischen Fachbereich und IT ist "das tatsächlich Umsetzbare" mit dem Management abzustimmen und unter Umständen noch während eines Audits zu vereinbaren. Manche Kontrollen lassen sich aufgrund organisatorischer oder technischer Rahmenbedingungen nicht umsetzen, ohne dass übermäßig hohe Investitionen getätigt werden müssten (Verhältnismäßigkeit zum tatsächlichen Risiko, z. B. Vertreterregelung).

Die Frage ist doch: Was kann ein Unternehmen an Kontrollen tatsächlich zugestehen, ohne dass der Ablauf der Geschäftsprozesse zu stark beeinflusst wird? In der Abstimmung der Prozesse mit den entsprechenden Compliance-Anforderungen, d. h. der Implementierung der Controls und deren Nachprüfbarkeit, steckt der eigentliche Aufwand eines solchen Projekts. Zusätzlich muss eine einheitliche Vereinbarung zum eingesetzten Tool-Portfolio getroffen werden, um ein Lösungs-Patchwork innerhalb des Unternehmens und entsprechende Redundanzen zu vermeiden. Außerdem zählen "Aufklärung – Aufklärung – Aufklärung" zu den Aufgaben, die es zu erfüllen gilt.

Denn: Ein Internes Kontrollsystem (IKS) gab es in einer Art und Weise schon immer. Durch die Prozessabwicklung innerhalb einer Systemlandschaft ist die Komplexität jedoch gestiegen, nicht aber die individuelle Verantwortung oder die Integrität, die vorausgesetzt werden muss.

Klare Linie seitens SAP gewünscht
Genau hier sollte GRC mit SAP ansetzen. Sehr schnell muss eine integrierte Produktplattform etabliert werden, um mit der Einführung und Nutzung eines Standardsystems Compliance möglichst im Standard abzudecken. Speziell der integrierte Ansatz für SAP-Applikationen, der durch die Einbindung von Virsa verfolgt wird, befindet sich derzeit in der Reifephase. Eine Automatisierung und Monitoring-Fähigkeit solcher Tools wird zunehmend wichtiger. Zusätzliche Produkte drängen auf den Markt, was an Zeiten erinnert, in denen im Berechtigungskonzept-Umfeld jedes Tool willkommen war, was einigermaßen Transparenz versprach.

Ein Grund mehr, weshalb eine klare Linie und umfassende Positionierung seitens SAP zu diesem Thema erwartet werden können. Zudem steht die Prozess-Auditierung erst am Anfang und muss schnell nachkommen, da die SAP-Basis aufgrund vergangener Fokussierung seitens der Auditoren zunehmend erschöpft ist und man sich Richtung Business-Applikation ausrichtet. Eine Komplettierung der Produktportfolios ist daher dringend angeraten, von der Anfrage einer Benutzerberechtigung bis hin zur Prozess- Konformität.

Hintergrund
SOX Abschnitt 302 schreibt Strafen für den Fall vor, dass Chief Executive Officer (CEO) und Chief Financial Officer (CFO) wissentlich oder fahrlässig unrichtige Angaben gemacht haben. Chief Information Officer (CIO) werden in diesem Zusammenhang dazu aufgefordert, die Zuverlässigkeit und Sicherheit der Systeme zu gewährleisten.

SOX Abschnitt 404 bezieht sich auf die Dokumentation und Bewertung von Kontrollmechanismen. Das Management wird hier verpflichtet, Erklärungen über die Einführung angemessener, interner Kontrollmechanismen zur Finanzberichterstattung abzugeben. (DSAG: ra)

* Otto Schell ist Sprecher des DSAG-Arbeitskreises Globalization und SAP Program Manager bei General Motors Powertrain Europe.

Lesen Sie auch:
Corporate Compliance Zeitschrift, Zeitschrift zur Haftungsvermeidung im Unternehmen.

Hier geht's zur Kurzbeschreibung der Zeitschrift

Hier geht's zum Schnupper-Abo
Hier geht's zum regulären Abo

Hier geht's zum pdf-Bestellformular (Normal-Abo) [19 KB]
Hier geht's zum pdf-Bestellformular (Schnupper-Abo) [20 KB]

Hier geht's zum Word-Bestellformular (Normal-Abo) [41 KB]
Hier geht's zum Word-Bestellformular (Schnupper-Abo) [42 KB]



Meldungen: Hintergrund

  • Was ist ein Selbst-Audit & warum ist es notwendig?

    Eine der üblichen Fallen, in die Unternehmen tappen, ist die Annahme, dass Cybersicherheitslösungen über Standard-Risikobewertungen gepflegt und gemanagt werden. Eine gefährliche Annahme, denn die rasche technologische Entwicklung und der Einsatz dieser Technologien in der Wirtschaft hat den Bereich einer allgemeinen Risikobewertung längst überschritten. Hier beschäftigen wir uns mit einigen Schritten, die nötig sind, um eine eingehende, weitreichende Sicherheitsrisikobewertung zu erstellen, die für genau Ihr Unternehmen gilt. Eine Cybersicherheitsbewertung spielt eine entscheidende Rolle, beim Wie und Warum man bestimmte Technologien in einem Unternehmen einsetzt. Anhand eines Assessments lassen sich Ziele und Parameter festlegen, die Ihnen die Möglichkeit geben.

  • Mit Analytik Betrug erkennen

    Zahlungsanweisungen über SWIFT gelten im Allgemeinen als sicher. Doch es gibt Schlupflöcher im System, durch die es Kriminelle regelmäßig schaffen, Betrug zu begehen. Banken nutzen vermehrt KI-Tools wie User Entity Behaviour Analytics (UEBA) um sich und ihre Kunden zu schützen. SWIFT ist eine Plattform, die selbst keine Konten oder Guthaben verwaltet und über die Finanzinstitute aus aller Welt Finanztransaktionen unter einander ausführen. Ursprünglich wurde die Plattform lediglich gegründet, um Treasury- und Korrespondenzgeschäfte zu erleichtern. Das Format entpuppte sich in den Folgejahren jedoch als sehr sicher und praktisch, sodass immer mehr Teilnehmer die Plattform nutzten. Neben Notenbanken und normalen Banken wird Swiftnet heute auch von Großunternehmen, Wertpapierhändlern, Clearingstellen, Devisen- und Geldmaklern und zahlreichen weiteren Marktteilnehmern genutzt.

  • Haftung für Behauptungen "ins Blaue hinein"

    Landauf Landab beklagen Versicherungsmakler, freie Finanzdienstleister und Bankberater, dass sie auf Vertriebsveranstaltungen von Schulungsleitern eigentlich nur positiv erscheinende Produkteigenschaften durch bunte Bilder, hübsche Flyer und nette Worte erfahren. Negative Produkteigenschaften, vor allem Risiken und Nebenwirkungen, erfährt man dort kaum. So ist es nicht verwunderlich, dass es Vertriebsleitern und -vorständen nur allzu gelegen kommt, wenn primär unkritische Finanzvermittler gesucht werden. Eine allzu gute Vorbildung könnte Skrupel bedeuten, und damit den schmerzfreien Produktverkauf behindern. Wer sich dann etwa die Mühe macht, auch noch das Kleingedruckte einmal selbst nachzulesen, wird am Ende kaum noch zum Vermitteln kommen, und nichts mehr verdienen? Denn wo der Trend zur sprichwörtlichen Blondine im Callcenter oder Vertrieb noch nicht durchgesetzt wurde, hilft Druck durch die Vertriebsführung nur beschränkt weiter.

  • Pluspunkt der No-Code-Methode

    Fragen Sie Geschäftsführer, CEOs oder Vorstände: Das Thema ‚digitale Transformation' steht mittlerweile bei fast allen Unternehmen ganz oben auf der Prioritätenliste. Den Protagonisten der Digitalisierung ist dringlich klar geworden, dass die Modellierung und Automatisierung von Geschäftsprozessen ein wesentlicher Baustein für den Erfolg eines Unternehmens ist. Eine digitale Prozess- und Entscheidungsautomatisierung ermöglicht es Unternehmen, schnell, flexibel und kostensparend am Markt zu agieren. Und in dynamischen Marktumfeldern müssen Entscheidungsprozesse schnell ablaufen und ebenso schnell an neue Anforderungen anpassbar sein. Das Potenzial für die digitale Prozess- und Entscheidungsautomatisierung in den Unternehmen ist enorm: Viele Ablauf- und Entscheidungsprozesse im Unternehmen wiederholen sich oder ähneln sich, sie sind standardisiert und folgen festen, eindeutigen Regeln. Das manuelle Abarbeiten ist sehr zeitintensiv und bindet wertvolle personelle Ressourcen, die dem Unternehmen für andere, wertschöpfendere Tätigkeiten verloren gehen. Der Effizienzgewinn, der durch eine Prozessautomatisierung erzielt werden kann, ist dementsprechend hoch. Und im regulatorisch Bereich noch oft ungenutzt.

  • Compliance 2.0: Ergebnis einer dynamischen Welt

    Wir leben heute in einer digitalen Welt, in der die Faktoren Gesellschaft, Technologie, Business und Recht eine dynamische Einheit bilden. Sie bedingen und beeinflussen einander: So ermöglichen neue Technologien neue Business-Modelle und der Mensch wird durch die Möglichkeit des mobilen Arbeitens zu einem Smart Worker. Diese Entwicklung krempelt nach und nach auch bestehende Gesetze und Richtlinien um. Für Organisationen - darunter fallen Unternehmen, Behörden und Institutionen - bedeutet dies, die eigenen Compliance-Vorschriften kontinuierlich auf die neuen, digitalen Gegebenheiten anpassen zu müssen. Dabei gilt es vor allem Verantwortlichkeit und Nachweisbarkeit klar zu definieren.