Erfahrung aus "SOA (SOX)" Projekten - CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Die Seite wird erstellt Till Barthel

Wissenschaft

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

Erfahrung aus "SOA (SOX)" Projekten - CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus „SOA (SOX)“ Projekten

         CISA 16. Februar 2005
          Anuschka Küng, Partnerin Acons AG

Inhaltsverzeichnis
 Schwachstellen des IKS in der finanziellen
  Berichterstattung
 Der Sarbanes Oxley Act (SOA)
 Die SOA Anforderungen
 Die Framework Komponenten
 Auswirkungen SOA auf das Unternehmen
 Lessons Learnt der Schnittstelle Business - IT

Schwachstellen finanzielle Berichterstattung
                 “Off-Balance” Transaktionen: nicht im Abschluss
                  erwähnt
                 Revenue Recognition: Aufblähung Umsatz- und Ertrag
                 Fehlender Einbezug von Gesellschaften in
                  Konsolidierung
                 Interpretation / Auslegung der Rechnungslegungs-
                  standards
                 „Pro-Forma“ Reporting: Irreführung von Shareholders /
                  Investoren

CISA Training
February 2006

                                                                          3

Der SOA Act
                 I.     Public Company Accounting Oversight Board
                 II.    Auditor independence
                 III.   Corporate Responsibility (incl. Audit Committee)
                 IV. Enhanced Financial Disclosures (inc. Section 404)
                 V.     Analyst Conflicts of Interest (security analysts)
                 VI. Commission Resources and Authority
                 VII. Studies and Reports
                 VIII. Corporate and Criminal Fraud Accountability
                 IX. White-Collar Crime Penalty Enhancements
CISA Training
                 X.     Corporate Tax Returns
February 2006
                 XI. Corporate Fraud and Accountability
                                                                             4

Section 404 Anforderungen 1/3
                Dokumentation und Testen der Prozesse, Risiken und
                Kontrollen über die finanzielle Berichterstattung.

                Der Jahresbericht beinhaltet:
                 Aussage über die Verantwortung der GL bezüglich des
                  Internen Kontrollsystems
                 Beurteilung des Managements über die Effektivität der
                  Internen Kontrollen inkl. der entsprechenden
                  Schwachstellen
                 Aussage über die Anwendung einen Kontroll Frameworks
CISA Training
February 2006

                                                                          5

Section 404 Anforderungen 2/3
                Attestierung der Aussagen und der Offenlegung des
                Managements durch die Revisionsstelle von:

                 der Erfüllung der SOA Anforderungen
                 dem SOA Framework
                 dem Beurteilungsprozess des Managements
                 der Effektivität der Internen Kontrollen über die finanzielle
                  Berichterstattung

CISA Training
February 2006

                                                                                  6

Section 404 Anforderungen 3/3
                Welche Unternehmungen müssen die Anforderungen des
                Sarbanes-Oxley Act erfüllen?

                 alle US-amerikanischen, SEC-registrierten Unternehmen und
                  deren Tochtergesellschaften
                 allen internationalen SEC-gelisteten Unternehmungen
                  („foreign issuer“)

CISA Training
February 2006

                                                                        7

Die COSO Framework Komponenten

                                                            Monitoring                   Entity level Controls

                                                                              Kontrollen, die übergreifend überwacht werden.
                                                           Information &
                 G T IN L

                                  C

                                                          communication
           N

                    R A

                               E IAN
    S T IO

                 PO CI
               RE NAN

                                PL
      A
   ER

                              M
                FI

                            CO
 OP

                                           Activity 22

         Monitoring
                                                                                          IT general controls
         Monitoring
                                           Activity

                                                              Control
                                      Activity 11
                                     Activity

       Information
        Information &
                    &
                                         B

      communication
                                   Unit B

      communication
                                                             activities
                                 Unit AA
                                  Unit

           Control
                                 Unit

           Control
          activities
          activities
                                                                              Kontrollen für die Sicherung der Effektivität der IT
           Risk
           Risk
        Assessment
        Assessment                                                             Systeme
                                                              Risk
          Control
          Control
        Environment
        Environment

                                                           assessment                   Process level controls

                                                                              Kontrollen in den Prozessen, Applikationen, End-
CISA Training
                                                             Control           User Tools
February 2006                                              environment
                                                                                                                                      8

Auswirkungen SOA auf das Unternehmen (1/2)
                 Erhöhung der Effektivität des Internen Kontrollsystems
                  für die finanzielle Berichterstattung
                 Definition der Verantwortlichkeiten für das IKS
                 Verstärkung des Risiko-Bewusstseins
                 Erhöhung der Transparenz über Schwachstellen und
                  Konsequenzen
                 Beeinflussung der Unternehmenskultur und
                  Kommunikation
                 Veränderung der Rolle der Internen Revision
                 Verbesserung des Prozessverständnisses
CISA Training
February 2006
                 Beeinflussung das IT-Systemumfeldes
                                                                           9

Lessons Learnt: Schnittstelle Business – IT (1/3)
                 Ausbildung, Schulung: das Business spricht andere
                  Sprache, IT ebenfalls. Frühe Involvierung der
                  betroffenen Ansprechpartner
                 Fehlender Aufbau auf bestehenden Strukturen der
                  Unternehmung, bspw. Prozess oder IT Framework
                  (Prozess Modell, Kontroll-Modelle: COSO/COBIT)
                 Projekt Überwachung: Steering Committee muss
                  Business und IT Vertreter ausweisen
                 SOA = Ist-Aufnahme! und kein Re-engineering, kein
                  IT Governance Projekt
                 SOA als formalistisch Übung. Effektive Kontrollen sind
CISA Training
February 2006     dokumentierte Kontrollen?
                                                                           10

Lessons Learnt: Schnittstelle Business – IT (2/3)
                 Festlegung der Verantwortlichkeiten IT – Business in
                  Startphase:
                    Projekt Organisation: was wird abgedeckt durch
                     Process Controls, Applikation Controls, IT General
                     Controls
                    Business und IT:
                     Prozess Eigner ist nicht Applikationseigner;
                     Applikationseigner sitzt nicht immer dort wo der
                     Prozess ist;
                 Sicherstellen der „Internal Control“ Kompetenz und
                  Ressourcen im Projekt: Business und IT
CISA Training
February 2006

                                                                          11

Lessons Learnt: Schnittstelle Business – IT (3/3)
                 Analyse des Entity Level Assessment: fehlende
                  Abstimmung mit Process Level und IT General Controls
                 Frühzeitige Festlegung des Umfangs: Prozesse und
                  Applikationen (Transparenz in den Kriterien)
                 Frühzeitige Analyse der IT Projekte > System roll-out‘s
                  beeinflussen das Testen
                 Identifikation der Abhängigkeiten in den Business und
                  IT Betriebsprozessen: IT General Controls > Application
                  Controls > Manual Controls

CISA Training
February 2006

                                                                            12

Sie können auch lesen