Sie sind hier: Home » Fachartikel » Hintergrund

SOX: Nachhaltigkeit ist gefragt


Ein SOX-relevantes Kontrollsystem sollte die IT- und die Fachbereichsseite abdecken - Detaillierte Bewertung der Systeme aus Basis- und Anwendungssicht
Speziell der integrierte Ansatz für SAP-Applikationen, der durch die Einbindung von Virsa verfolgt wird, befindet sich derzeit in der Reifephase


Von Otto Schell*

(20.02.08) - Was gilt es, bei GRC-Projekten zu beachten? Für eine erfolgreiche Umsetzung ist ein gemeinsames Grundverständnis Voraussetzung. Ein weiterer Erfolgsfaktor besteht in der Vorgabe des Managements hinsichtlich einer "permanenten" oder "Audit-Stichtagsbezogenen" Vorgehensweise.

Bevor GRC-Projekte (Governance, Risk & Compliance) starten, muss ein Grundverständnis über das Thema innerhalb eines Unternehmens bestehen. Redet man über GRC, ist in erster Linie die Richtigkeit und Nachvollziehbarkeit der Finanzberichtserstattung sicherzustellen. Das sind die Vorgaben, denen an der US-Börse notierte Unternehmen (Sarbannes-Oxley Act - SOX-Compliance) gerecht werden müssen. Die Verflechtung von Finanzprozessen mit IT-Lösungen zwingt zum integrativen Ansatz. Dem Zusammenhang mit den SOX-Abschnitten 302 und 404 ist daher besondere Beachtung zu schenken.

Keine Hauruck-Aktionen
Wie bereits angedeutet, sollte ein SOX-relevantes Kontrollsystem die IT- und die Fachbereichsseite abdecken. Das erfordert eine detaillierte Bewertung der Systeme aus Basis- und Anwendungssicht. Dabei sollten GRC-Projekte als permanente und nicht als kurzfristige, auf Audits abzielende Aktivitäten angesehen werden. Dann erst lässt sich im Unternehmen ein dauerhaftes Bewusstsein dafür etablieren.

In engem Zusammenhang stehen dabei die Effektivität des Kontrollsystems und der damit verbundene unternehmensinterne Aufwand. Ratsam ist es, ein Team zu etablieren, das sich ausschließlich um Compliance-Fragestellungen kümmert. Damit werden "Hauruck-Aktionen" vermieden und Nachhaltigkeit in dieses Thema gebracht. Das Team kann außerdem als "interner Berater" für die verschiedensten internen Audits agieren. Damit sind auch die wichtigsten Forderungen seitens SOX und der Auditoren erfüllt: das Monitoring des Systems, periodische Reviews von Zugriffen oder die Dokumentation von Prozesserweiterungen. Das Ganze wird über entsprechend erarbeitete Vorlagen dokumentiert und für interne Management-Reviews vorgehalten.

Aufklärung – Aufklärung – Aufklärung
Neben der koordinierten Vorgehensweise zwischen Fachbereich und IT ist "das tatsächlich Umsetzbare" mit dem Management abzustimmen und unter Umständen noch während eines Audits zu vereinbaren. Manche Kontrollen lassen sich aufgrund organisatorischer oder technischer Rahmenbedingungen nicht umsetzen, ohne dass übermäßig hohe Investitionen getätigt werden müssten (Verhältnismäßigkeit zum tatsächlichen Risiko, z. B. Vertreterregelung).

Die Frage ist doch: Was kann ein Unternehmen an Kontrollen tatsächlich zugestehen, ohne dass der Ablauf der Geschäftsprozesse zu stark beeinflusst wird? In der Abstimmung der Prozesse mit den entsprechenden Compliance-Anforderungen, d. h. der Implementierung der Controls und deren Nachprüfbarkeit, steckt der eigentliche Aufwand eines solchen Projekts. Zusätzlich muss eine einheitliche Vereinbarung zum eingesetzten Tool-Portfolio getroffen werden, um ein Lösungs-Patchwork innerhalb des Unternehmens und entsprechende Redundanzen zu vermeiden. Außerdem zählen "Aufklärung – Aufklärung – Aufklärung" zu den Aufgaben, die es zu erfüllen gilt.

Denn: Ein Internes Kontrollsystem (IKS) gab es in einer Art und Weise schon immer. Durch die Prozessabwicklung innerhalb einer Systemlandschaft ist die Komplexität jedoch gestiegen, nicht aber die individuelle Verantwortung oder die Integrität, die vorausgesetzt werden muss.

Klare Linie seitens SAP gewünscht
Genau hier sollte GRC mit SAP ansetzen. Sehr schnell muss eine integrierte Produktplattform etabliert werden, um mit der Einführung und Nutzung eines Standardsystems Compliance möglichst im Standard abzudecken. Speziell der integrierte Ansatz für SAP-Applikationen, der durch die Einbindung von Virsa verfolgt wird, befindet sich derzeit in der Reifephase. Eine Automatisierung und Monitoring-Fähigkeit solcher Tools wird zunehmend wichtiger. Zusätzliche Produkte drängen auf den Markt, was an Zeiten erinnert, in denen im Berechtigungskonzept-Umfeld jedes Tool willkommen war, was einigermaßen Transparenz versprach.

Ein Grund mehr, weshalb eine klare Linie und umfassende Positionierung seitens SAP zu diesem Thema erwartet werden können. Zudem steht die Prozess-Auditierung erst am Anfang und muss schnell nachkommen, da die SAP-Basis aufgrund vergangener Fokussierung seitens der Auditoren zunehmend erschöpft ist und man sich Richtung Business-Applikation ausrichtet. Eine Komplettierung der Produktportfolios ist daher dringend angeraten, von der Anfrage einer Benutzerberechtigung bis hin zur Prozess- Konformität.

Hintergrund
SOX Abschnitt 302 schreibt Strafen für den Fall vor, dass Chief Executive Officer (CEO) und Chief Financial Officer (CFO) wissentlich oder fahrlässig unrichtige Angaben gemacht haben. Chief Information Officer (CIO) werden in diesem Zusammenhang dazu aufgefordert, die Zuverlässigkeit und Sicherheit der Systeme zu gewährleisten.

SOX Abschnitt 404 bezieht sich auf die Dokumentation und Bewertung von Kontrollmechanismen. Das Management wird hier verpflichtet, Erklärungen über die Einführung angemessener, interner Kontrollmechanismen zur Finanzberichterstattung abzugeben. (DSAG: ra)

* Otto Schell ist Sprecher des DSAG-Arbeitskreises Globalization und SAP Program Manager bei General Motors Powertrain Europe.

Lesen Sie auch:
Corporate Compliance Zeitschrift, Zeitschrift zur Haftungsvermeidung im Unternehmen.

Hier geht's zur Kurzbeschreibung der Zeitschrift

Hier geht's zum Schnupper-Abo
Hier geht's zum regulären Abo

Hier geht's zum pdf-Bestellformular (Normal-Abo) [20 KB]
Hier geht's zum pdf-Bestellformular (Schnupper-Abo) [20 KB]

Hier geht's zum Word-Bestellformular (Normal-Abo) [41 KB]
Hier geht's zum Word-Bestellformular (Schnupper-Abo) [41 KB]



Meldungen: Hintergrund

  • Transparenz in die Supply Chain bringen

    Erschreckende Nachrichten über brennende Fabriken, zerstörte Regenwälder und furchtbare Arbeitsbedingungen in vermeintlich weit entfernten Ländern machen seit Jahren die Runde. Was jedoch häufig durch das Raster der Katastrophen-Berichterstattung fällt, ist die Frage nach der (Mit-)Verantwortung deutscher Unternehmen. Dabei sind hiesige Firmen direkt und indirekt an Menschenrechtsverletzungen im Ausland beteiligt.

  • Bedarf an Compliance-Schulungen

    Am 25. Mai 2022 sind es genau vier Jahre seit der Einführung der General Data Protection Regulation (GDPR) - also der EU-Datenschutz-Grundverordnung (EU-DSGVO). Sie regelt und vereinheitlicht die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Organisationen in der EU zum besseren Schutz dieser sensiblen Informationen. Vier Jahre nach dem Start stellen sich Fragen wie: Haben Unternehmen die Vorgaben erfolgreich umgesetzt? Welche positiven Auswirkungen hat die Umstellung bewirkt? Und was sind heute noch die größten Herausforderungen?

  • Datennutzung und ethische Verantwortung

    Große Datenmengen und die Erkenntnisse, die darin verborgen liegen, sind aus der deutschen Wirtschaft nicht mehr wegzudenken. Wie eine Bitkom-Umfrage ergab, sammelt die überwiegende Mehrheit der Unternehmen bereits Informationen, um sie zu analysieren und die Ergebnisse zur Optimierung interner Prozesse und zur Steigerung des Geschäftswerts zu nutzen. Gleichzeitig übersehen jedoch die meisten, dass mit diesem Erfolg eine neue Verantwortung einhergeht.

  • Entzug der Rechtsgrundlage

    Das vom Europäischen Gerichtshof (EuGH) gefällte Urteil "Schrems II" vom 16. Juli 2020 ist in aller Munde, da es nicht unerhebliche Auswirkungen auf denUmgang und den Schutz von Personendaten in international tätigen Unternehmen hat. Welche praktischen Folgen hat die Rechtsprechung des EuGH auf den internationalen Datentransferaber im Detail? Mit dem Urteil des Europäischen Gerichtshofes Mitte letzten Jahres wurde die als Privacy Shield bekannte Rahmenvereinbarung zwischen den USA und der EU für ungültig erklärt. Demnach dürfen personenbezogene Daten von EU-Bürgern nur an Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt werden, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat der EuGH ein solches Schutzniveau verneint.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen