Erfahrung aus „SOA (SOX)“ Projekten

Erfahrung aus „SOA (SOX)“ Projekten
CISA 16. Februar 2005
Anuschka Küng, Partnerin Acons AG
Inhaltsverzeichnis
Schwachstellen des IKS in der finanziellen
Berichterstattung
Der Sarbanes Oxley Act (SOA)
Die SOA Anforderungen
Die Framework Komponenten
Auswirkungen SOA auf das Unternehmen
Lessons Learnt der Schnittstelle Business - IT
Schwachstellen finanzielle Berichterstattung
“Off-Balance” Transaktionen: nicht im Abschluss
erwähnt
Revenue Recognition: Aufblähung Umsatz- und Ertrag
Fehlender Einbezug von Gesellschaften in
Konsolidierung
Interpretation / Auslegung der Rechnungslegungsstandards
„Pro-Forma“ Reporting: Irreführung von Shareholders /
Investoren
CISA Training
February 2006
3
Der SOA Act
I.
Public Company Accounting Oversight Board
II.
Auditor independence
III.
Corporate Responsibility (incl. Audit Committee)
IV. Enhanced Financial Disclosures (inc. Section 404)
V.
Analyst Conflicts of Interest (security analysts)
VI. Commission Resources and Authority
VII. Studies and Reports
VIII. Corporate and Criminal Fraud Accountability
IX. White-Collar Crime Penalty Enhancements
CISA Training
February 2006
X.
Corporate Tax Returns
XI. Corporate Fraud and Accountability
4
Section 404 Anforderungen 1/3
Dokumentation und Testen der Prozesse, Risiken und
Kontrollen über die finanzielle Berichterstattung.
Der Jahresbericht beinhaltet:
Aussage über die Verantwortung der GL bezüglich des
Internen Kontrollsystems
Beurteilung des Managements über die Effektivität der
Internen Kontrollen inkl. der entsprechenden
Schwachstellen
Aussage über die Anwendung einen Kontroll Frameworks
CISA Training
February 2006
5
Section 404 Anforderungen 2/3
Attestierung der Aussagen und der Offenlegung des
Managements durch die Revisionsstelle von:
der Erfüllung der SOA Anforderungen
dem SOA Framework
dem Beurteilungsprozess des Managements
der Effektivität der Internen Kontrollen über die finanzielle
Berichterstattung
CISA Training
February 2006
6
Section 404 Anforderungen 3/3
Welche Unternehmungen müssen die Anforderungen des
Sarbanes-Oxley Act erfüllen?
alle US-amerikanischen, SEC-registrierten Unternehmen und
deren Tochtergesellschaften
allen internationalen SEC-gelisteten Unternehmungen
(„foreign issuer“)
CISA Training
February 2006
7
Die COSO Framework Komponenten
Information
Information &
&
communication
communication
Control
Control
activities
activities
C
Unit A
A
Unit
Unit B
B
Unit
Activity 11
Activity
Activity 22
Activity
Monitoring
Monitoring
CO
M
PL
E IAN
FI
RE NAN
PO CI
R A
G T IN L
OP
ER
A
S T IO
N
Monitoring
Information &
communication
Control
activities
Risk
Risk
Assessment
Assessment
Control
Control
Environment
Environment
CISA Training
February 2006
Entity level Controls
IT general controls
Risk
assessment
Control
environment
Kontrollen, die übergreifend überwacht werden.
Kontrollen für die Sicherung der Effektivität der IT
Systeme
Process level controls
Kontrollen in den Prozessen, Applikationen, EndUser Tools
8
Auswirkungen SOA auf das Unternehmen (1/2)
Erhöhung der Effektivität des Internen Kontrollsystems
für die finanzielle Berichterstattung
Definition der Verantwortlichkeiten für das IKS
Verstärkung des Risiko-Bewusstseins
Erhöhung der Transparenz über Schwachstellen und
Konsequenzen
Beeinflussung der Unternehmenskultur und
Kommunikation
Veränderung der Rolle der Internen Revision
CISA Training
February 2006
Verbesserung des Prozessverständnisses
Beeinflussung das IT-Systemumfeldes
9
Lessons Learnt: Schnittstelle Business – IT (1/3)
Ausbildung, Schulung: das Business spricht andere
Sprache, IT ebenfalls. Frühe Involvierung der
betroffenen Ansprechpartner
Fehlender Aufbau auf bestehenden Strukturen der
Unternehmung, bspw. Prozess oder IT Framework
(Prozess Modell, Kontroll-Modelle: COSO/COBIT)
Projekt Überwachung: Steering Committee muss
Business und IT Vertreter ausweisen
SOA = Ist-Aufnahme! und kein Re-engineering, kein
IT Governance Projekt
CISA Training
February 2006
SOA als formalistisch Übung. Effektive Kontrollen sind
dokumentierte Kontrollen?
10
Lessons Learnt: Schnittstelle Business – IT (2/3)
Festlegung der Verantwortlichkeiten IT – Business in
Startphase:
Projekt Organisation: was wird abgedeckt durch
Process Controls, Applikation Controls, IT General
Controls
Business und IT:
Prozess Eigner ist nicht Applikationseigner;
Applikationseigner sitzt nicht immer dort wo der
Prozess ist;
Sicherstellen der „Internal Control“ Kompetenz und
Ressourcen im Projekt: Business und IT
CISA Training
February 2006
11
Lessons Learnt: Schnittstelle Business – IT (3/3)
Analyse des Entity Level Assessment: fehlende
Abstimmung mit Process Level und IT General Controls
Frühzeitige Festlegung des Umfangs: Prozesse und
Applikationen (Transparenz in den Kriterien)
Frühzeitige Analyse der IT Projekte > System roll-out‘s
beeinflussen das Testen
Identifikation der Abhängigkeiten in den Business und
IT Betriebsprozessen: IT General Controls > Application
Controls > Manual Controls
CISA Training
February 2006
12