Schnellere SOX-Compliance durch Standards
Schnellere SOX-Compliance durch Standards Unternehmen beklagen den Millionen verschlingenden Aufwand für die SOX-Einführung. Standardisierte Prozessmodelle wie CObIT können den Aufwand jedoch deutlich reduzieren.
Stolze 76 Prozent der von den Vorgaben des Sarbanes-Oxley-Act (SOX) betroffenen europäischen Unternehmen haben die Einführungskosten der Richtlinien unterschätzt. Zu diesem Ergebnis kam eine von der Managementberatung Detecon International und der Wirtschaftsprüfungsgesellschaft Rölfs WP Partner durchgeführte Studie. Die Berater hatten 21 börsennotierte Aktiengesellschaften befragt, die SOX-Prüfungsverfahren implementiert haben. Der Studie zufolge beziffern 30 Prozent der befragten Unternehmen ihren Einführungsaufwand für SOX auf mehr als 20 Millionen US-Dollar. Die jährlich laufenden Kosten nehmen derzeit mindestens 25 Prozent der Einführungskosten ein, wobei alle Unternehmen zudem von einem steigenden Prüfungsaufwand in der Zukunft ausgehen. Die Effizienz der Prozesse mit ihren Kontrollen, die Dokumentation und das Prüfungsprozedere bietet demnach noch erhebliches Optimierungspotenzial. Als Auslöser für die Kontrollmängel nannten 15 Unternehmen die fehlende Dokumentation. Die erforderliche Nacharbeit erzeugte vor allem Zeitaufwand für die eigenen Mitarbeiter, was 20 Unternehmen bemängelten. »Die meisten unterschätzten vor allem den Aufwand für die Control Self Assessments, also die vorab erforderlichen internen Prüfungen. Viele übersahen, dass diese teilweise täglich durchzuführen sind und insgesamt mehrere Tage Aufwand für einen Mitarbeiter anfallen«, so Anne Bernzen, Senior Consultant und verantwortlich für Corporate Governance und Performance bei Detecon. Ihrer Meinung nach muss das Ziel nun darin bestehen, den Kontroll- und Prüfungsaufwand zu reduzieren und SOX besser mit dem internen Kontrollsystem und der Corporate Governance zu integrieren. Welche Instrumente stehen Unternehmen zur Verfügung, um den Prüfungsaufwand zu reduzieren? Für das Erreichen der SOX-Compliance empfiehlt die amerikanische Börsenaufsichtsbehörde SEC zusammen mit weiteren Gremien wie dem PCAOB (Public Company Accounting Oversight Board) und der ISACA, einem weltweiten Berufsverband für IT-Revisoren und -Sicherheitsmanager, den Einsatz der beiden Frameworks COSO und CObIT. CObIT (Control Objectives for Information and Related Technology) stellt ein anerkanntes Regelmodell für IT-Prozesse dar, das vom US-amerikanischen IT Governance Institute veröffentlicht und weiterentwickelt wird. Es fungiert als Framework für die gesamte IT-Governance und deckt alle Bereiche der IT ab. COSO (Committee of Sponsoring Organizations of the Treadway Commission) soll hingegen die Finanzberichterstattung, das Risk Management und die Unternehmensführung qualitativ verbessern. Die anerkannten Standards dienen daher SOX-relevanten Unternehmen als Framework für die Kontrolle aller Fachprozesse wie Anlagevermögen, Konzernfinanzierung, Verkauf, Einkauf oder Personal. Denn die IT stellt nur eine von insgesamt mehreren SOX-relevanten Prozessgruppen dar, wobei sie durch ihre Systemunterstützung für die anderen Bereiche als Schlüsselfeld gilt.
ITIL hat sich in Europa etabliert
In Europa hat sich mittlerweile ITIL (IT Infrastructure Library), eine Verfahrensbibliothek von Best Practices zur Organisation des IT Service Management etabliert. Die IT-bezogenen SOX-Kontrollen gehen jedoch weit über ein IT Service Management hinaus und betrachten auch die Funktionsfähigkeit der Technik. Wolfram Hohaus, Managing Consultant bei Detecon meint daher: »Wenn ein Unternehmen CObIT bereits implementiert hat, dann reicht dies aus SOX-Sicht völlig aus und ITIL braucht nicht zusätzlich eingeführt zu werden. Falls ITIL schon vorhanden ist, sollte man die Best Practices aber mitnutzen. Die ITIL-Prozesse können dann mit relevanten CObIT-Prozessen ergänzt werden.« Problematisch sei aber, dass bei den wenigsten Unternehmen ein Angleichen zwischen ITIL, CObIT und SOX vorhanden ist. »Folglich entstehen dann meist unter erheblichem Mehraufwand unterschiedliche Dokumentationsebenen und nicht aufeinander abgestimmte Kontrollen.« Kritisch sieht Anne Bernzen den Aufbau völlig unternehmensindividueller und von CObIT und COSO weit abgekoppelter Modelle: »Insbesondere bei Fusionen, wenn beide Partner ihre unterschiedlichen Prozessmodelle erneut anpassen müssen, wird dadurch zusätzlicher Aufwand erzeugt.«
Üblicher Zeitaufwand beträgt ein Jahr
Der zeitliche Aufwand für die Einführung von CObIT beträgt – abhängig von der Größe eines Unternehmens – üblicherweise etwa ein Jahr. Da das Framework aus den USA stammt, sind viele Begriffe nicht direkt übersetzbar. Zudem müssen viele Prozesse interpretiert werden, damit sie auf die eigenen Anforderungen passen. Dennoch zeichnet sich das Framework durch seine Praxisnähe aus, da letztlich eine Checkliste mit 34 Prozessen und 215 Kontrollzielen entsteht, die ein Unternehmen durchgehen kann. Typische Kontrollziele prüfen etwa die Vorgaben für die Batch- und Schnittstellenverarbeitung, Aufbewahrungsfristen, den Genehmigungsprozess für das User-Account-Management oder den zeit- und qualitätsgerechten Eingang von Konformitätsbescheinigungen der IT-Dienstleister. Auch COSO verlangt Kontrollaktivitäten: Dabei lassen sich beispielhaft für die Prozessgruppe Einkauf Kriterien wie korrekte Verarbeitungsfreigaben für Bestellanforderungen, das Monitoring von Einkaufsumgehungen, die Klärung von Bestandsdifferenzen oder die korrekte Prüfung von Anzahlungen und Währungen ableiten. Da COSO zudem auch als Framework für das Risk Management dient, greift es weiter als SOX und berücksichtigt auch externe Risiken. Folglich eignen sich damit sowohl COSO als auch CObIT nicht nur, um die SOX-Compliance zu erfüllen, sondern gestalten auch das Interne Kontrollsystem insgesamt leistungsfähiger. Generell empfiehlt Anne Bernzen, frühzeitig mit den potenziellen Wirtschaftsprüfern in Kontakt zu treten und zu vereinbaren, dass diese CObIT und ITIL als Standard für die Prüfung der SOX-Anforderungen anerkennen. »Ansonsten laufen Unternehmen Gefahr, dass die Wirtschaftsprüfer höhere Anforderungen stellen als eigentlich notwendig sind.« Mit CObIT kann hingegen der Aufwand im IT-Umfeld von vornherein klar beschränkt werden. Dies lässt sich zudem erhärten, wenn unabhängige Beratungsgesellschaften mit CObIT-Know-how herangezogen werden. Auch in der Detecon-Studie wurden der Beratungsaufwand und die Abschlussprüfungsgebühren als Kostentreiber identifiziert: So beträgt der Anteil von Wirtschaftsprüfern und Beratern an den Gesamtkosten für die Einführung von SOX durchschnittlich 42 Prozent.
Nicht nur Aufwand, sondern auch Nutzen
In jedem Falle entstehe durch SOX und CObIT nicht nur Aufwand, sondern auch Nutzen: »Bisher glaubten die Verantwortlichen lediglich, ihre Risiken zu kennen. Jetzt beginnen die Unternehmen tatsächlich, sie systematisch aufzuzeichnen und mit gezielten Maßnahmen zu mildern«, führt Berater Wolfram Hohaus aus. Damit sei auch ein geschärftes Bewusstsein entlang eines Prozesses entstanden und Mitarbeiter würden sich gegenseitig auf unterlassene Kontrollen aufmerksam machen. Die Notwendigkeit, flexible Dokumentationssysteme einzuführen, sei in jedem Falle Pflicht für zukunftsorientierte Unternehmen, zumal die achte EU-Richtlinie bis Juni 2008 ähnliche Vorgaben wie SOX einfordere. »Der künftige Prüfungsaufwand wird auch deshalb steigen, weil die Halbwertszeiten von Umorganisationen immer kürzer werden. Wenn Dokumentationen dann nicht auf dem aktuellen Stand sind, erhält ein Unternehmen nicht nur keine SOX-Compliance, sondern es entgleitet ihm auch die Kontrolle über die eigenen Prozesse«, erklärt Hohaus.
Gerhard Auer ist Journalist in Köln
