SOX: Nachhaltigkeit ist gefragt
Ein SOX-relevantes Kontrollsystem sollte die IT- und die Fachbereichsseite abdecken - Detaillierte Bewertung der Systeme aus Basis- und Anwendungssicht
Speziell der integrierte Ansatz für SAP-Applikationen, der durch die Einbindung von Virsa verfolgt wird, befindet sich derzeit in der Reifephase
Von Otto Schell*
(20.02.08) - Was gilt es, bei GRC-Projekten zu beachten? Für eine erfolgreiche Umsetzung ist ein gemeinsames Grundverständnis Voraussetzung. Ein weiterer Erfolgsfaktor besteht in der Vorgabe des Managements hinsichtlich einer "permanenten" oder "Audit-Stichtagsbezogenen" Vorgehensweise.
Bevor GRC-Projekte (Governance, Risk & Compliance) starten, muss ein Grundverständnis über das Thema innerhalb eines Unternehmens bestehen. Redet man über GRC, ist in erster Linie die Richtigkeit und Nachvollziehbarkeit der Finanzberichtserstattung sicherzustellen. Das sind die Vorgaben, denen an der US-Börse notierte Unternehmen (Sarbannes-Oxley Act - SOX-Compliance) gerecht werden müssen. Die Verflechtung von Finanzprozessen mit IT-Lösungen zwingt zum integrativen Ansatz. Dem Zusammenhang mit den SOX-Abschnitten 302 und 404 ist daher besondere Beachtung zu schenken.
Keine Hauruck-Aktionen
Wie bereits angedeutet, sollte ein SOX-relevantes Kontrollsystem die IT- und die Fachbereichsseite abdecken. Das erfordert eine detaillierte Bewertung der Systeme aus Basis- und Anwendungssicht. Dabei sollten GRC-Projekte als permanente und nicht als kurzfristige, auf Audits abzielende Aktivitäten angesehen werden. Dann erst lässt sich im Unternehmen ein dauerhaftes Bewusstsein dafür etablieren.
In engem Zusammenhang stehen dabei die Effektivität des Kontrollsystems und der damit verbundene unternehmensinterne Aufwand. Ratsam ist es, ein Team zu etablieren, das sich ausschließlich um Compliance-Fragestellungen kümmert. Damit werden "Hauruck-Aktionen" vermieden und Nachhaltigkeit in dieses Thema gebracht. Das Team kann außerdem als "interner Berater" für die verschiedensten internen Audits agieren. Damit sind auch die wichtigsten Forderungen seitens SOX und der Auditoren erfüllt: das Monitoring des Systems, periodische Reviews von Zugriffen oder die Dokumentation von Prozesserweiterungen. Das Ganze wird über entsprechend erarbeitete Vorlagen dokumentiert und für interne Management-Reviews vorgehalten.
Aufklärung – Aufklärung – Aufklärung
Neben der koordinierten Vorgehensweise zwischen Fachbereich und IT ist "das tatsächlich Umsetzbare" mit dem Management abzustimmen und unter Umständen noch während eines Audits zu vereinbaren. Manche Kontrollen lassen sich aufgrund organisatorischer oder technischer Rahmenbedingungen nicht umsetzen, ohne dass übermäßig hohe Investitionen getätigt werden müssten (Verhältnismäßigkeit zum tatsächlichen Risiko, z. B. Vertreterregelung).
Die Frage ist doch: Was kann ein Unternehmen an Kontrollen tatsächlich zugestehen, ohne dass der Ablauf der Geschäftsprozesse zu stark beeinflusst wird? In der Abstimmung der Prozesse mit den entsprechenden Compliance-Anforderungen, d. h. der Implementierung der Controls und deren Nachprüfbarkeit, steckt der eigentliche Aufwand eines solchen Projekts. Zusätzlich muss eine einheitliche Vereinbarung zum eingesetzten Tool-Portfolio getroffen werden, um ein Lösungs-Patchwork innerhalb des Unternehmens und entsprechende Redundanzen zu vermeiden. Außerdem zählen "Aufklärung – Aufklärung – Aufklärung" zu den Aufgaben, die es zu erfüllen gilt.
Denn: Ein Internes Kontrollsystem (IKS) gab es in einer Art und Weise schon immer. Durch die Prozessabwicklung innerhalb einer Systemlandschaft ist die Komplexität jedoch gestiegen, nicht aber die individuelle Verantwortung oder die Integrität, die vorausgesetzt werden muss.
Klare Linie seitens SAP gewünscht
Genau hier sollte GRC mit SAP ansetzen. Sehr schnell muss eine integrierte Produktplattform etabliert werden, um mit der Einführung und Nutzung eines Standardsystems Compliance möglichst im Standard abzudecken. Speziell der integrierte Ansatz für SAP-Applikationen, der durch die Einbindung von Virsa verfolgt wird, befindet sich derzeit in der Reifephase. Eine Automatisierung und Monitoring-Fähigkeit solcher Tools wird zunehmend wichtiger. Zusätzliche Produkte drängen auf den Markt, was an Zeiten erinnert, in denen im Berechtigungskonzept-Umfeld jedes Tool willkommen war, was einigermaßen Transparenz versprach.
Ein Grund mehr, weshalb eine klare Linie und umfassende Positionierung seitens SAP zu diesem Thema erwartet werden können. Zudem steht die Prozess-Auditierung erst am Anfang und muss schnell nachkommen, da die SAP-Basis aufgrund vergangener Fokussierung seitens der Auditoren zunehmend erschöpft ist und man sich Richtung Business-Applikation ausrichtet. Eine Komplettierung der Produktportfolios ist daher dringend angeraten, von der Anfrage einer Benutzerberechtigung bis hin zur Prozess- Konformität.
Hintergrund
SOX Abschnitt 302 schreibt Strafen für den Fall vor, dass Chief Executive Officer (CEO) und Chief Financial Officer (CFO) wissentlich oder fahrlässig unrichtige Angaben gemacht haben. Chief Information Officer (CIO) werden in diesem Zusammenhang dazu aufgefordert, die Zuverlässigkeit und Sicherheit der Systeme zu gewährleisten.
SOX Abschnitt 404 bezieht sich auf die Dokumentation und Bewertung von Kontrollmechanismen. Das Management wird hier verpflichtet, Erklärungen über die Einführung angemessener, interner Kontrollmechanismen zur Finanzberichterstattung abzugeben. (DSAG: ra)
* Otto Schell ist Sprecher des DSAG-Arbeitskreises Globalization und SAP Program Manager bei General Motors Powertrain Europe.
Lesen Sie auch:
Corporate Compliance Zeitschrift, Zeitschrift zur Haftungsvermeidung im Unternehmen.
Hier geht's zur Kurzbeschreibung der Zeitschrift
Hier geht's zum Schnupper-Abo
Hier geht's zum regulären Abo
Hier geht's zum pdf-Bestellformular (Normal-Abo) [74 KB]
Hier geht's zum pdf-Bestellformular (Schnupper-Abo) [73 KB]
Hier geht's zum Word-Bestellformular (Normal-Abo) [45 KB]
Hier geht's zum Word-Bestellformular (Schnupper-Abo) [41 KB]
|
|
