Sarbanes Oxley Projekterfahrungen - May 5, 2005
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Sarbanes Oxley
Projekterfahrungen
May 5, 2005Dieses Dokument ist Eigentum von Deloitte. Es enthält vertrauliche Informationen und
darf nicht außerhalb Ihrer Firma veröffentlicht werden. Wir möchten darauf hinweisen,
dass das ausschließliche Lesen dieses Dokumentes nicht die Anwesenheit bei unserer
Präsentation ersetzen kann. Jegliche Verwendung oder Reproduktion dieses Dokumentes
– als Ganzes oder in Auszügen –, die nicht dem Zweck der Angebotsbeurteilung dient, ist
ohne unsere ausdrückliche schriftliche Einverständniserklärung untersagt.
Sollte das Projektangebot nicht angenommen werden, erklären Sie sich einverstanden,
alle Kopien dieses Dokumentes an Deloitte zurückzugeben und zu bestätigen, dass keine
Kopien dieses Dokumentes oder jegliche Auszüge aus dem Inhalt dieses Dokumentes in
Ihrer Firma verblieben sind.
© 2004 Deloitte & Touche GmbH, Deutschland 1Agenda
1. Was ist der Sarbanes Oxley Act – was ist neu?
2. Beratungsansatz Sarbanes-Oxley 404
3. Erwartungen des Abschlussprüfers / wiederkehrende Arbeiten
4. Lessons Learned – typische Probleme
5. Chancen in Sarbanes Oxley - Was kommt als nächstes?
© 2004 Deloitte & Touche GmbH, Deutschland 2Chronologie des Sarbanes-Oxley Act (SOX)
30. Juli 2002 Präsident Bush unterzeichnet den SOX
29. August 2002 SEC erlässt Anwendungsbestimmungen zur Umsetzung von SOX 302
Okt. 2002 – Jan. 2003 SEC schlägt Anwendungsbestimmungen zur Implementierung
verschiedener Bestimmungen des SOX
Januar - Juli 2003 SEC veröffentlicht Anwendungsbestimmungen zur Umsetzung der
zentralen Bestimmungen des SOX
26. April 2003 Gründung des Public Company Accounting Oversight Board (PCAOB)
22. Oktober 2003 Registrierungszeitpunkt für alle US-WP-Gesellschaften beim PCAOB
19. April 2004 Registrierungszeitpunkt für ausländische WP-Gesellschaften beim
PCAOB
15. November 2004 Erstmalige Anwendbarkeit SOX 404 auf US-Unternehmen
15. Juli 2005 Erstmalige Anwendbarkeit SOX 404 auf ausländische Unternehmen
© 2004 Deloitte & Touche GmbH, Deutschland 3SOX im Kontext bedeutender US-Kapitalmarktgesetze
Ziel: Schutz der Investoren durch Registrierung von Ziel: Schutz der Investoren durch Registrierung der
Wertpapieren (FK/EK) sowie Festlegung von Wertpapieremittenten und periodische
Mindestinformationsanforderungen bei der Emission Berichterstattung
von Wertpapieren Fokus: 1. Definition relevanter Emittenten sowie der
Berichterstattung (10-K, 10-Q, 8-K, etc.)
Fokus: 1. Definition der Wertpapiere, die bei der SEC 2. Anti-Fraud-Bestimmungen für Käufer und
registriert werden müssen Verkäufer von Wertpapieren (Insidergeschäfte)
2. Definition der Prospekt- 3. Regelungen zur Übertragung
information von Stimmrechten
3. Definition der SEC Securities Act Securities Act 4. Offenlegungspflichten bei
Emissionsinformationen (1933) (1934) Aktienübernahmen
SOX
(2002)
Ziel: Wiederherstellung des Vertrauens der Investoren
durch neue Regelungen zu Disclosures und Coporate
Governance
Fokus: 1. Disclosure Kontrollen und Interne Kontrollen
2. Audit Committee
3. Public Accounting Oversight Board
4. Prüfungsqualität und Unabhängigkeit
© 2004 Deloitte & Touche GmbH, Deutschland 4Die vier Eckpunkte des SOX
SOX aus der Sicht des Unternehmens SOX aus der Sicht des WP
Regeln/Verantwortlichkeit
Disclosure Kontrollen und Interne Prüfungsqualität und Unabhängigkeit
Kontrollen
• Regelungen zum Bereich der internen • Verbot bestimmter Nicht-Prüfungs-
Kontrollen im Rahmen des Financial leistungen
Reporting • Regelungen zur Sicherstellung der
• Regelungen zu Disclosure Kontrollen Prüfungsqualität
• Weitere Regelungen • Prüferrotation und weitere Bestimmungen
Audit Committee PCAOB
Institutionen
• Unabhängigkeit und Qualifikation der • Aufgabe des PCAOB
Mitglieder des Audit Committee • Verantwortlichkeiten des PCAOB
• Durchführung der Arbeit des Audit • Pflichten der beim PCAOB registrierten
Committee WP-Gesellschaften
• Verantwortlichkeiten des Audit Committee
© 2004 Deloitte & Touche GmbH, Deutschland 5Sarbanes-Oxley - Überblick
Anforderung Auswirkung
302 CEO and CFO Certification of Periodic Accuracy issues resulting in criminal prosecution of company
SEC Filings officers must be identified and removed
Sektionen (Sections)
404 CEO & CFO Certification of Internal Controls Requires ongoing documentation, evaluation, testing, and
With Auditor Attestation remediation of financial reporting controls
409 Rapid and Current Basis Disclosure Monitoring, prevention, and real-time disclosure of material
of Financial and Operating Events changes must be systematic and ongoing
802 Retention and Protection of Audit Digital vaulting and ready access to historical records,
Documents and Related Records including correspondence and emails, must be implemented
Andere verpflichtende Anforderungen:
403 >10% Ownership Disclosures Within Two Business Days
103 Audit Record Retention and Security 406 Code of Ethics Creation and Disclosure
201 Monitoring and Pre-Approval of Non-Audit Services 407 Disclosure of Financial Expertise on the Audit Committee
301 Audit Committee Monitoring and Complaint/Issue 408 Facilitation of SEC Reviews
Process 501 Security Analyst Monitoring and Disclosure
306 Monitoring and Prevention of Insider Trading 806 Whistle Blower Communications and Response
401 Financial Reporting Disclosure 906 Certifications by CEO and CFO subject to criminal
402 Monitoring and Prevention of Personal Loans to penalties
Executives 1102 Record Retention and Security
© 2004 Deloitte & Touche GmbH, Deutschland 6SOX 302 – Anforderungen hinsichtlich der Disclosure Kontrollen SOX aus der Sicht des WP
SOX aus der Sicht des Unternehmens
Disclosure Kontrollen und Interne Prüfungsqualität und Unabhängigkeit
Regeln/Verantwortlichkeit
Kontrollen
• Verbot, bestimmte Nicht -Prüfungs -
• Regelungen zum Bereich der internen
leistungen zu erbringen
Kontrollen sowie der Disclosure Kontrollen
(d.h. Kontrollen hinsichtlich des Zustande - • Regelungen zur Sicherstellung der
kommens aller gemäß den SEC -Regeln Prüfungsqualität
notwendigen Veröffentlichungen)
• Neue Prüfungsanforderungen innerhalb
• Sonstige Regelungen des SOX
Audit Committee Public Accounting Oversight Board
• Regelungen zur Unabhängigkeit und
IInstitutionen
• Zweck des PCAOB
Qualifikation der Mitglieder des A udit
Sektion 302 fordert vom CEO und CFO der Gesellschaft, quartalsweise sowie jährlich
C ommittee • Verantwortlichkeiten des PCAOB
• Pflichten der beim PCAOB registrierten
• Regelungen zur Durchführung der Arbeit
Wirtschaftsprüfungsgesellschaften
des Audit Committee
• Verantwortlichkeiten des Audit C ommittee
zu bestätigen, dass sie:
hinsichtlich aller wesentlichen Sachverhalte keine falschen Aussagen getroffen
haben oder einen wesentlichen Sachverhalt nicht erwähnt haben
die im Abschluss sowie in sonstigen veröffentlichten Unterlagen enthaltenen
Angaben in allen wesentlichen Aspekten richtig dargestellt haben
für die Prozesse und Kontrollen hinsichtlich des Zustandekommens der Angaben
verantwortlich sind
Gültig ab:
die Kontrollverfahren so aufgebaut haben, dass ihnen alle wesentlichen 29. August 2002
Informationen bekannt geworden sind
die Beurteilung der Wirksamkeit der Disclosure Kontrollen am Ende der
jeweiligen Periode durchgeführt haben
gegenüber dem Audit Committee sowie dem WP alle Fälle wesentlicher
Kontroll-Defizite sowie Fraud-Fälle (Unterschlagungen etc.) dargelegt haben
in den zu veröffentlichenden Unterlagen die wesentlichen Änderungen in den
internen Kontrollverfahren beschrieben haben
© 2004 Deloitte & Touche GmbH, Deutschland 7SOX 404 – Anforderungen hinsichtlich der Kontrollen über
das Financial Reporting
SOX aus der Sicht des Unternehmens SOX aus der Sicht des WP
Disclosure Kontrollen und Interne Prüfungsqualität und Unabhängigkeit
Regeln/Verantwortlichkeit
Kontrollen
• Verbot, bestimmte Nicht -Prüfungs -
• Regelungen zum Bereich der internen
leistungen zu erbringen
Kontrollen sowie der Disclosure Kontrollen
(d.h. Kontrollen hinsichtlich des Zustande - • Regelungen zur Sicherstellung der
kommens aller gemäß den SEC -Regeln Prüfungsqualität
notwendigen Veröffentlichungen)
• Neue Prüfungsanforderungen innerhalb
• Sonstige Regelungen des SOX
Audit Committee Public Accounting Oversight Board
• Regelungen zur Unabhängigkeit und
IInstitutionen
• Zweck des PCAOB
Qualifikation der Mitglieder des A udit
C ommittee • Verantwortlichkeiten des PCAOB
Jeder Financial Report muss einen Bericht über die vorhandenen internen Kontrollen
• Pflichten der beim PCAOB registrierten
• Regelungen zur Durchführung der Arbeit
Wirtschaftsprüfungsgesellschaften
des Audit Committee
• Verantwortlichkeiten des Audit C ommittee
mit folgenden Punkten enthalten:
Erklärung über die Verantwortung des Managements hinsichtlich der
Einrichtung und Aufrechterhaltung angemessener interner Kontrollstrukturen
und -aktivitäten für das Financial Reporting
Erklärung zu den Ergebnissen der vom Management durchgeführten
Wirksamkeitsprüfung Gültig ab:
WP-Bericht über die Prüfung der Erklärungen des Managements US-Unternehmen:
15. November 2004
Ziel der Sektion 404 ist die Verpflichtung der Unternehmen, Prozesse zu implemen- US-
tieren, die folgende zentralen Elemente abdecken: Kleinunternehmen /
Nicht-US-
angemessene Genehmigungsverfahren für Geschäftsvorfälle Unternehmen:
Schutz des Gesellschaftsvermögens gegen unerlaubte 15. Juli 2005
Vermögensschädigungen
Korrekte Erfassung der Geschäftsvorfälle der Gesellschaft und
Berichterstattung in Übereinstimmung mit den geltenden
Rechnungslegungsvorschriften
© 2004 Deloitte & Touche GmbH, Deutschland 8Zusammenspiel von SOX 302 und 404
Anforderungen aus SOX COSO Framework
302 Interne Kontrollen zur
Sicherstellung:
Kontrollen, die sicherstellen,
dass Reportinginhalte in • der Zuverlässigkeit des
Übereinstimmung mit Financial Reporting
SEC -Vorschriften erfasst, • der Effektivität und Effizienz
Disclosure Controls
verarbeitet und berichtet der betrieblichen Prozesse
werden, um somit ein reales • der Übereinstimmung mit
Bild der Unternehmenslage geltenden Gesetzen und
zu liefern Vorschriften
Financial
Controls
Laws and
Operations
Regulations
Anforderungen aus SOX 404 Alle Kontrollen, die im Zusammenhang mit der Erstellung
des Financial Reporting dazu beitragen, ein den tatsächlichen Verhältnissen
entsprechendes Bild des Unternehmens im Einklang mit US-GAAP zu vermitteln
© 2004 Deloitte & Touche GmbH, Deutschland 9Der Rahmen für das interne Kontrollsystem: COSO
Die Verpflichtung auf Rahmenvorgaben für das interne Kontrollsystem ist ein neuer Aspekt
The process to determine
whether internal control is
adequately designed and
executed. Includes governance,
monitoring, IT audits.
The process to ensure that Policies & procedures to
relevant information is ensure that actions identified to
identified and communicated manage risk are executed and
timely - includes reporting timely- including application,
systems, communications, security, infrastructure &
whistleblower process. information integrity controls.
The evaluation of internal
and external factors that The control conscience of
impact an organization’s an organization- “tone at the
performance top” includes code of ethics,
policies, responsibilities,
organizational structure.
© 2004 Deloitte & Touche GmbH, Deutschland 10Deloitte-Guidance: Ist-Analyse
Häufige Erwartungshaltung in deutschen Unternehmen
Das vorhandene Risikomanagement erfüllt die SOX Anforderungen
Ansatz
Zu Projektbeginn wird das Risk Management einem Compliance Check unterzogen
Lessons Learned
Bestehende Risikomanagementsysteme erfüllen nicht die SOX-Anforderungen
Am häufigsten fehlen in deutschen Unternehmen:
Eine Definition der „Significant Controls“
Definition und Anwendung eines zugelassenen Standards (z.B. COSO)
Vorkehrungen / Möglichkeiten zur jährlichen Überprüfung aller Significant Controls
Vollständige Dokumentation von Kontrollzielen und Kontrollaktivitäten für die
betroffenen Prozesse
© 2004 Deloitte & Touche GmbH, Deutschland 11Agenda
1. Was ist der Sarbanes Oxley Act – was ist neu?
2. Beratungsansatz Sarbanes-Oxley 404
3. Erwartungen des Abschlussprüfers / wiederkehrende Arbeiten
4. Lessons Learned – typische Probleme
5. Chancen in Sarbanes Oxley - Was kommt als nächstes?
© 2004 Deloitte & Touche GmbH, Deutschland 12Sarbanes Oxley Readyness Projekt: Top Down / Bottom Up Approach
Audit
WP
Committee
Prüfung CEO/ Interne Überwachung
• Definition der CFO • Zusammenführen
internen Kontroll- Erklärung der Ergebnisse
umgebung/des des Self-
Standard Setting: Top down
Kontrollkonzeptes Disclosure Assessment und
Self-Assessment: Bottom up
Committee regelmäßige
• Auswahl relevanter Durchsicht Compliance -
Reports Berichterstattung
Unternehmens-
Diskussion Disclosure-Themen
einheiten Diskussion Kontrollstandards • Durchführung der
Self-Assessment
• Definition der
Unternehmenseinheiten
wesentlichen • Übernahme des
Zusammenführung der Berichterstattung
Prozesse des „Top-down-
Koordination des Self-Assessment
Ansatzes“ und
• Definition von Zuordnung Kontrolle/Verantwortlichkeit pro
ggf. Anpassung
Referenzprozessen Prozess
an spezifische
und -kontrollen
Kontrollverantwortliche pro Prozess Gegebenheiten
• Festlegung des Berichterstattung über Self-Assessment
Self-Assessment- Durchführung des Self-Assessment
Prozesses Anstoßen von Diskussionen zu Handlungsbedarfen und zur
Weiterentwicklung des Control Designs
© 2004 Deloitte & Touche GmbH, Deutschland Report on Self-assessment (standardized) 13Agenda
1. Was ist der Sarbanes Oxley Act – was ist neu?
2. Beratungsansatz Sarbanes-Oxley 404
3. Erwartungen des Abschlussprüfers / wiederkehrende Arbeiten
4. Lessons Learned – typische Probleme
5. Chancen in Sarbanes Oxley - Was kommt als nächstes?
© 2004 Deloitte & Touche GmbH, Deutschland 14Erwartungen des Abschlußprüfers
PCAOB Regeln
!" #
! $ %
$& '
$ ( $
) * #( +#
, ( - *
( +
*% + #
© 2004 Deloitte & Touche GmbH, Deutschland 15Erwartungen des Abschlußprüfers
Wichtige Aufgaben im Rahmen von SOX-Prüfungen
• Der Abschlußprüfer hat zu bestätigen (wen möglich), dass angemessene Kontrollen
für das Finanzberichtswesen vorhanden sind und diese funktionieren
• Der Abschlußprüfer hat zu bestätigen, dass das Unternehmen seine Kontrollen
getestet und bei Schwachstellen Gegenmaßnahmen eingeleitet hat
• Der Abschlußprüfer wird folgende Schritte durchführen
Walkthrough Test von Prozessen und Kontrollen (einschl. Dokumentation)
Die Tests des Unternehmens nachvollziehen (einschließlich einer Prüfung der
Testdokumentation des Unternehmens)
Eigene Tests durchführen
• IT-Anwendungen werden auf Prozeßebene berücksichtigt – als wichtige Ergänzung
hierzu ist eine Prüfung der sog. General Computer Controls (GCC) erforderlich
• Er wird sog. Entity Level Controls überprüfen und ausgelagerte Einheiten / Prozesse
(z.B. Rechenzentrumsbetrieb)
• Er wird das sog. Control Environment (tone from the top) überprüfen
© 2004 Deloitte & Touche GmbH, Deutschland 16Sarbanes Oxley – regelmäßig wiederkehrende Aufgaben
Änderungen des Änderungen in
IKS (1) SOX? Prozessen / IT?
Anpassung Doku- Archivierung der
mentation Prozesse Testdokumen-tation
/ Kontrollen
Zeitraum:
1 Jahr
Tests mit
Dokumentation
Abdeckung 365
der Tests
Tage p.a.
Planung der Tests durchfüh-
Tests ren (SOX/ IKS)
Vorbereitung
(1) Internes Kontrollsystem (IKS)
Musterformulare
© 2004 Deloitte & Touche GmbH, Deutschland 17Sarbanes Oxley – Dokumentation und Vorgehen beim Test
Was ist zu tun?
Kontroll-Elemente Design-Perspektive Wirksamkeits-Perspektive
Erforderliche Tests: Erforderliche Tests:
Kontrollziel:
Kontrollziele beschreiben den 3. Bewertung des Kontroll-Design: 2. Bewertung der Wirksamkeit:
angestrebten Zustand der bei
Stimmt das Kontroll-Design? Ist die Kontrolle wirksam
korrekt designten und wirksamen
(funktioniert)?
Kontrollen erreicht werden soll.
Kontrollaktivität 1
2. Design Dokumentation: 1. Dokumentation des Tests der
Kontrollaktivität 2 Sind die Mindestanforderungen an die Wirksamkeit:
Kontrollaktivitäten beschreiben Dokumentation der Key Controls Dokumentation, ob die designten Key
Prozeßschritte / Kontrollschritte die erfüllt? Controls eingesetzt werden und
zur Erreichung des Kontrollziels wirksam sind.
erforderlich sind. 1. Answer Key Control Question:
Sind Key Controls bestimmt?
Key Control 1
Sind Key Controls für alle relevanten
Key Control 2
Ausweisrisiken (Assertions) bestimmt?
Key Control 3
Key Controls beschreiben detailliert
die Kontrollschritte und Mindest-
Dokumentation die im Rahmen der
Kontrollaktivität erforderlich sind.
© 2004 Deloitte & Touche GmbH, Deutschland 18Agenda
1. Was ist der Sarbanes Oxley Act – was ist neu?
2. Beratungsansatz Sarbanes-Oxley 404
3. Erwartungen des Abschlussprüfers / wiederkehrende Arbeiten
4. Lessons Learned – typische Probleme
5. Chancen in Sarbanes Oxley - Was kommt als nächstes?
© 2004 Deloitte & Touche GmbH, Deutschland 19Typische Herausforderungen für das Unternehmen und den Abschlußprüfer
Die Überprüfung des Kontroll-Designs sowie der Wirksamkeit der Kontrollen
führen oft zu typischen Verbesserungsmöglichkeiten
1. Konsistenz zwischen Prozesssdokumentation, gewählten Key-Controls, Assertions und durchgeführten Tests
2. Änderungen in den Prozessstrukturen oder der Risikostruktur werden nicht nachvollzogen
3. Dokumentation von durchgeführten Kontrollen und durchgeführten Tests der Kontrollen Tests ist nicht ausreichend
4. Anzahl der Stichproben ist zu gering
5. Anwendungskontrollen werden nicht einbezogen
6. General Cmputer Controls werden nicht berücksichtigt
7. Es werden keine Mitigating Activities oder Controls beschrieben (und getestet) falls Kontrollen unwirksam sind
8. Die Einschätzung der Schwere / Bedeutung von Feststellungen ist nicht konsistent im Konzern
© 2004 Deloitte & Touche GmbH, Deutschland 20Typische Potentiale bei von uns untersuchten SOX-Projekten (1/2)
• Bestimmte Ausprägungen einzelner Faktoren fördern nach unserer Erfahrung die Verlässlichkeit und
Effizienz des Projekts und späteren Betriebs entscheidend – eine Feinjustierung muss stets individuell
auf das Unternehmen angepasst werden.
. / 0
) &
%
3
1 # 1 )
1
) )
3
1 # 1 ) 2
345
1
) )
3
, ( % '
, 6 ,
3
© 2004 Deloitte & Touche GmbH, Deutschland 21Typische Potentiale bei von uns untersuchten SOX-Projekten (2/2)
$ #
$
3
$ # 0
$
3
7 "- 8 " 0 9
) &
3
$ 6 % 3
6 "
3 "
3 3 "
6
• Weitere Potentiale sind häufig nicht eindeutige Definition von Kontrollen und Aufgaben, keine Definition
von Maßnahmen bei entdeckten Schwachstellen, keine Einbeziehung späterer Verantwortlicher etc.
© 2004 Deloitte & Touche GmbH, Deutschland 22Agenda
1. Was ist der Sarbanes Oxley Act – was ist neu?
2. Beratungsansatz Sarbanes-Oxley 404
3. Erwartungen des Abschlussprüfers / wiederkehrende Arbeiten
4. Lessons Learned – typische Probleme
5. Chancen in Sarbanes Oxley - Was kommt als nächstes?
© 2004 Deloitte & Touche GmbH, Deutschland 23Chancen im Sarbanes Oxley Prozess
• Sarbanes Oxley zu befolgen ist keine einmalige Aktivität – es ist vielmehr ein Prozess
• Sarbanes Oxley kann dauerhafte Verbesserungen in der Unternehmensüberwachung
und der Transparenz von Geschäftsprozessen sowie de Zahlenwerks von
Unternehmen bewirken
– Verbesserung der Zuverlässigkeit von Prozessen und Erweiterung des
Verantwortungsbereichs für Prozessverantwortliche
– Verbesserungen der Informationsqualität führen zu fundierteren Entscheidungen
– Verbesserung bei der Nutzung von IT-Anwendungen in den betroffenen Prozessen
– Sarbanes Oxley leistet einen Beitrag zur Befolgung anderer
Corporate Governance Codes sowie zur Vorbereitung
Process
auf Basel II
– Verhindert den Abfluss von Mitteln durch oder den
Verlust von Vermögen durch Fokussierung von
Kontrollen auf Risikobereiche
Sustained
Compliance
le Te
op ch
P e no
log
y
© 2004 Deloitte & Touche GmbH, Deutschland 24Was kommt nach Sarbanes Oxley?
Die Zeit nach dem Sarbanes Oxley Readyness Projekt ist geprägt durch
Verbesserungen im Sarbanes Oxley Prozess und der Integration mit anderen
Corporate Governance Anforderungen
1. Stärkere Fokussierung von Kontrollen auf Risiken
2. Verbesserungen in der Dokumentation
3. Integration mit IT zur Effizienzsteiegrung bei den Kontrollprüfungen
4. Stärkere Integration mit anderen Berichtswesen oder Corporate Governance Anforderungen
(z.B. Risikomanagement, Revision, CG-Codes anderer Länder etc.)
© 2004 Deloitte & Touche GmbH, Deutschland 25Ansprechpartner:
Andreas Herzig
Partner
0711-16554-7160
0174-3458444
© 2004 Deloitte & Touche GmbH, Deutschland 26Sie können auch lesen
