Sie sind hier: Home » Fachartikel » Hintergrund

SOX: Nachhaltigkeit ist gefragt


Ein SOX-relevantes Kontrollsystem sollte die IT- und die Fachbereichsseite abdecken - Detaillierte Bewertung der Systeme aus Basis- und Anwendungssicht
Speziell der integrierte Ansatz für SAP-Applikationen, der durch die Einbindung von Virsa verfolgt wird, befindet sich derzeit in der Reifephase

Von Otto Schell*

(20.02.08) - Was gilt es, bei GRC-Projekten zu beachten? Für eine erfolgreiche Umsetzung ist ein gemeinsames Grundverständnis Voraussetzung. Ein weiterer Erfolgsfaktor besteht in der Vorgabe des Managements hinsichtlich einer "permanenten" oder "Audit-Stichtagsbezogenen" Vorgehensweise.

Bevor GRC-Projekte (Governance, Risk & Compliance) starten, muss ein Grundverständnis über das Thema innerhalb eines Unternehmens bestehen. Redet man über GRC, ist in erster Linie die Richtigkeit und Nachvollziehbarkeit der Finanzberichtserstattung sicherzustellen. Das sind die Vorgaben, denen an der US-Börse notierte Unternehmen (Sarbannes-Oxley Act - SOX-Compliance) gerecht werden müssen. Die Verflechtung von Finanzprozessen mit IT-Lösungen zwingt zum integrativen Ansatz. Dem Zusammenhang mit den SOX-Abschnitten 302 und 404 ist daher besondere Beachtung zu schenken.

Keine Hauruck-Aktionen
Wie bereits angedeutet, sollte ein SOX-relevantes Kontrollsystem die IT- und die Fachbereichsseite abdecken. Das erfordert eine detaillierte Bewertung der Systeme aus Basis- und Anwendungssicht. Dabei sollten GRC-Projekte als permanente und nicht als kurzfristige, auf Audits abzielende Aktivitäten angesehen werden. Dann erst lässt sich im Unternehmen ein dauerhaftes Bewusstsein dafür etablieren.

In engem Zusammenhang stehen dabei die Effektivität des Kontrollsystems und der damit verbundene unternehmensinterne Aufwand. Ratsam ist es, ein Team zu etablieren, das sich ausschließlich um Compliance-Fragestellungen kümmert. Damit werden "Hauruck-Aktionen" vermieden und Nachhaltigkeit in dieses Thema gebracht. Das Team kann außerdem als "interner Berater" für die verschiedensten internen Audits agieren. Damit sind auch die wichtigsten Forderungen seitens SOX und der Auditoren erfüllt: das Monitoring des Systems, periodische Reviews von Zugriffen oder die Dokumentation von Prozesserweiterungen. Das Ganze wird über entsprechend erarbeitete Vorlagen dokumentiert und für interne Management-Reviews vorgehalten.

Aufklärung – Aufklärung – Aufklärung
Neben der koordinierten Vorgehensweise zwischen Fachbereich und IT ist "das tatsächlich Umsetzbare" mit dem Management abzustimmen und unter Umständen noch während eines Audits zu vereinbaren. Manche Kontrollen lassen sich aufgrund organisatorischer oder technischer Rahmenbedingungen nicht umsetzen, ohne dass übermäßig hohe Investitionen getätigt werden müssten (Verhältnismäßigkeit zum tatsächlichen Risiko, z. B. Vertreterregelung).

Die Frage ist doch: Was kann ein Unternehmen an Kontrollen tatsächlich zugestehen, ohne dass der Ablauf der Geschäftsprozesse zu stark beeinflusst wird? In der Abstimmung der Prozesse mit den entsprechenden Compliance-Anforderungen, d. h. der Implementierung der Controls und deren Nachprüfbarkeit, steckt der eigentliche Aufwand eines solchen Projekts. Zusätzlich muss eine einheitliche Vereinbarung zum eingesetzten Tool-Portfolio getroffen werden, um ein Lösungs-Patchwork innerhalb des Unternehmens und entsprechende Redundanzen zu vermeiden. Außerdem zählen "Aufklärung – Aufklärung – Aufklärung" zu den Aufgaben, die es zu erfüllen gilt.

Denn: Ein Internes Kontrollsystem (IKS) gab es in einer Art und Weise schon immer. Durch die Prozessabwicklung innerhalb einer Systemlandschaft ist die Komplexität jedoch gestiegen, nicht aber die individuelle Verantwortung oder die Integrität, die vorausgesetzt werden muss.

Klare Linie seitens SAP gewünscht
Genau hier sollte GRC mit SAP ansetzen. Sehr schnell muss eine integrierte Produktplattform etabliert werden, um mit der Einführung und Nutzung eines Standardsystems Compliance möglichst im Standard abzudecken. Speziell der integrierte Ansatz für SAP-Applikationen, der durch die Einbindung von Virsa verfolgt wird, befindet sich derzeit in der Reifephase. Eine Automatisierung und Monitoring-Fähigkeit solcher Tools wird zunehmend wichtiger. Zusätzliche Produkte drängen auf den Markt, was an Zeiten erinnert, in denen im Berechtigungskonzept-Umfeld jedes Tool willkommen war, was einigermaßen Transparenz versprach.

Ein Grund mehr, weshalb eine klare Linie und umfassende Positionierung seitens SAP zu diesem Thema erwartet werden können. Zudem steht die Prozess-Auditierung erst am Anfang und muss schnell nachkommen, da die SAP-Basis aufgrund vergangener Fokussierung seitens der Auditoren zunehmend erschöpft ist und man sich Richtung Business-Applikation ausrichtet. Eine Komplettierung der Produktportfolios ist daher dringend angeraten, von der Anfrage einer Benutzerberechtigung bis hin zur Prozess- Konformität.

Hintergrund
SOX Abschnitt 302 schreibt Strafen für den Fall vor, dass Chief Executive Officer (CEO) und Chief Financial Officer (CFO) wissentlich oder fahrlässig unrichtige Angaben gemacht haben. Chief Information Officer (CIO) werden in diesem Zusammenhang dazu aufgefordert, die Zuverlässigkeit und Sicherheit der Systeme zu gewährleisten.

SOX Abschnitt 404 bezieht sich auf die Dokumentation und Bewertung von Kontrollmechanismen. Das Management wird hier verpflichtet, Erklärungen über die Einführung angemessener, interner Kontrollmechanismen zur Finanzberichterstattung abzugeben. (DSAG: ra)

* Otto Schell ist Sprecher des DSAG-Arbeitskreises Globalization und SAP Program Manager bei General Motors Powertrain Europe.

Lesen Sie auch:
Corporate Compliance Zeitschrift, Zeitschrift zur Haftungsvermeidung im Unternehmen.

Hier geht's zur Kurzbeschreibung der Zeitschrift

Hier geht's zum Schnupper-Abo
Hier geht's zum regulären Abo

Hier geht's zum pdf-Bestellformular (Normal-Abo) [20 KB]
Hier geht's zum pdf-Bestellformular (Schnupper-Abo) [20 KB]

Hier geht's zum Word-Bestellformular (Normal-Abo) [41 KB]
Hier geht's zum Word-Bestellformular (Schnupper-Abo) [41 KB]



Meldungen: Hintergrund

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Audit-Druck ebnet Weg hin zu Abo-Modellen

    Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

  • Digitale Verwaltungsdienste ohne Datengrundlage?

    Deutsche Behörden tun sich schwer, ihre Angebote für Bürger und Bürgerinnen digital anzubieten. Das aktuelle Onlinezugangsgesetz (OZG) macht aber Bund, Ländern und Kommunen jetzt kräftig Druck. Geht es nach dem Gesetzgeber, sollen bis Jahresende rund 600 Verwaltungsdienstleistungen in digitaler Form bereitstehen - und zwar bundesweit.

Von der Kameralistik zur Doppik Compliance Management in der Praxis

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen