Im Jahre 1939 prägte der amerikanische Soziologe/Kriminologe Edwin Sutherland den Begriff des White Collar Crime. Seit 1921 beschäftigter er sich mit Kriminologie und politischer Ökonomie. Mit White Collar Crime bezeichnete er Straftaten, die von „Personen mit hohem Status im Rahmen ihrer beruflichen Tätigkeit“ begangen würden..Dabei geht es um Kreditbetrug, Bilanzfälschung, Bilanzverschleierung und andere Delikte. Bis heute reißen derartige Finanzskandale nicht ab; ganz im Gegenteil, sie scheinen sich zu häufen und immer größere Ausmaße anzunehmen.
Nach diversen Finanz- und Börsenskandalen trat 1934 der Securities Exchange Act 1934 in Kraft und die Aufsichtsbehörde SEC (Securities Exchange Commission) wurde ins Leben gerufen.
ICS – Internal Control System
Eine erste Definition des Begriffs „internal control“, dessen Ausprägung mehrere Jahrzehnte dauerte, findet sich einer Veröffentlichung des AICPA, American Institute of Certified Public Accountants (etwa: vereidigte Buch- bzw. Wirtschaftsprüfer) im Jahre 1949 (internal control – elements of a coordinated system).
Unter einem ICS sind alle Maßnahmen und Vorkehrungen mit folgenden Zielen zu verstehen:
- Bewahrung des Unternehmensvermögens
- Sicherung der Zuverlässigkeit des Rechnungswesens
- Verbesserung der Effizienz betrieblicher Abläufe
- Sicherung der Einhaltung der Geschäftspolitik
Bedingt durch die seinerzeit marktbeherrschende Rolle Amerikas kam es bei der Vertretung von Wirtschaftinteressen im Ausland fortlaufend zu Korruptionsfällen; das führte zum Foreign Corrupt Practices Act of 1977 (FCPA), der zwei Kernthemen adressierte:
a) Transparenz in der Buchführung (auch elektronische Buchführung) gem. den Forderungen des Securities Exchange Act von 1934, der den Börsenhandel mit Securities (Wertpapiere, Anleihen, Schuldverschreibungen) regulieren sollte, und
b) Bestechung ausländischer Amtsträger (foreign officials).
In dem Bundesgesetz der FCPA erscheint zum ersten Mal der Begriff „system of internal accounting controls“ in folgendem Zusammenhang: “…require corporations covered by the provisions to make and keep books and records that accurately and fairly reflect the transactions of the corporation and to devise and maintain an adequate system of internal accounting controls”. (erstes Auftreten in einem Gesetzestext).
Zielsetzung: Anlegerschutz.
Bedingt durch den wachsenden Einsatz Computer-gestützter Buchführung wurde es für die CPAs (Certified Public Accountant: Berufstitel für US-amerikanischer Wirtschaftsprüfer) zusehends schwieriger, ihrer Aufgabe nachzukommen; dies insbesondere durch das Fehlen von Prüfungsstandards.
Als Initiative der Privatwirtschaft wurde im Jahre 1985 die National Commission on Fraudulent Financial Reporting (betrügerische Finanzberichterstattung), gestützt von 5 Berufsverbänden [1] ins Leben gerufen: ...an independent private-sector initiative which studied the causal factors that can lead to fraudulent financial reporting.
Im selben Jahre wurde COSO gegründet als Sponsor der National Commission on Fraudulent Financial Reporting (nach ihrem ersten Präsidenten auch Treadway Commission genannt).
COSO Mission Statement liest sich folgendermaßen: …provide thought leadership through the development of comprehensive frameworks and guidance on enterprise risk management, internal control and fraud deterrence designed to improve organizational performance and governance and to reduce the extent of fraud in organizations.
COSO manifestiert damit seinen Anspruch auf “geistige Führerschaft” (thought leadership) bei der Entwicklung umfassender “Modelle” (frameworks) in Sachen Risikomanagement, Interne Kontrolle und Betrugssprävention (fraud deterrence ist eher Betrugsabschreckung).
Im Jahre 1987 erschien der Bericht der Treadway Commission und untersuchte auch die Rolle von „Computern und Informationssystemen“ im Zusammenhang mit betrügerischer Finanzberichterstattung. Der erste Absatz im Original: “The increasing power and sophistication of computers and computer-based information systems may contribute even more to the changing nature of fraudulent financial reporting. The last decade has seen the decentralization and the proliferation of computers and information systems into almost every part of the company. This development has enabled management to make decisions more quickly and on the basis of more timely and accurate information. Yet by doing what they do best-placing vast quantities of data within easy reach-computers multiply the potential for misusing or manipulating information, increasing the risk of fraudulent financial reporting.
Zielsetzung: Anlegerschutz; Hauptursache: Betrügerische Rechnungslegung.
[1] the American Accounting Association (AAA), the American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Institute of Internal Auditors (IIA), and the National Association of Accountants (now the Institute of Management Accountants [IMA]). Wholly independent of each of the sponsoring organizations, the Commission contained representatives from industry, public accounting, investment firms, and the New York Stock Exchange.
In Deutschland wird der Berufsstand der Wirtschaftsprüfer faktisch durch das IDW e.V. als Berufsverband repräsentiert. Die Geschichte des IDW lässt sich bis 1890, das Jahr der Gründung der Deutschen Treuhandgesellschaft, zurückverfolgen, die 1932 in Institut der Wirtschaftsprüfer umbenannt wurde. Das IDW beschreibt die Aufgabe des Wirtschaftsprüfers wie folgt: „Seine Vorbehaltsaufgabe ist es - gemäß § 2 Abs. 1 der Wirtschaftsprüferordnung (WPO) - "die betriebswirtschaftliche Prüfung, insbesondere von Jahresabschlüssen wirtschaftlicher Unternehmen, durchzuführen und Bestätigungsvermerke über die Vornahme und das Ergebnis solcher Prüfungen zu erteilen". Diese Zielsetzung schlägt sich auch in den vom IDW herausgegebenen Definitionen und Standards nieder, die eine methodische Prüfung der Ordnungsmäßigkeit des Jahresabschlussberichts in den Vordergrund stellen. Hierbei wird die Ordnungsmäßigkeit durch gesetzliche Vorgaben bestimmt
In Anlehnung
an die Grundsätze der Internal Control haben Wirtschaftsprüfer (Mitglieder des
IDW) im WPH (Wirtschaftsprüferhandbuch) auf notwendige und angemessene
Kontrollen zur sachgerechten Beurteilung der Ordnungsmäßigkeit des
Jahresabschlusses hingewiesen. Das IDW selbst publizierte im Juli 2001 den Prüfungsstandard
260 „Das interne Kontrollsystem im Rahmen der
Abschlussprüfung“
Zielsetzung: Prüfbarkeit der Rechnungslegung.
Bereits die Reichsabgabenordnung von 1919, die erst 1977 durch die Abgabenordnung abgelöst wurde, formuliert erste Grundsätze der Ordnungsmäßigkeit der Buchführung. 1978 erscheinen die GoS, die „Grundsätze ordnungsmäßiger Speicherbuchführung“ und schließlich 1995 die GoBS, die zu Einsatz und Nachweis eines Internen Kontrollsystems verpflichten.
Die GoBS, als Erlass unter der AO veröffentlicht, adressieren alle „Buchführungspflichtigen“, also eine wesentlich breitere Klientel als das amerikanische Internal Control System.
Zielsetzung: Gestaltungsvorgaben für die
Buchführung zur Gewährleistung der Prüfbarkeit unter steuerlichen Aspekten
(Steuer-/Betriebsprüfung).
Obwohl die
Hinweise auf das IKS in den GoBS nicht kodifiziert (konkretisiert) sind, weisen
die GoBS auf ein Grundsatz-basiertes (principle based versus rule based) IKS
hin, wie es heute noch beim
DIIR als
Überbetriebliches
Prüfungshandbuch für Interne Revision in Bausparkassen zu finden ist.
Trotz dieser
unterschiedlichen Ansätze hat sich unter dem Einfluss der Corporate Governance
der Begriff des IKS mehr und mehr in Richtung des ICS verschoben und auch die
Rolle des Controlling für börsennotierte Unternehmen verändert (Freidank,
Uni Hamburg). Das COSO-Modell hat sich fast als Quasi-Standard für ein ICS/IKS international durchgesetzt.
Im Jahre 1992 hat COSO einen inzwischen von der SEC anerkannten Standard für das Internal Control Systeme veröffentlicht. Dieses Kontrollmodell dient der Dokumentation, Analyse und Gestaltung des internen Kontrollsystems; Ziel war es, um die Qualität (Ehrlichkeit/Zuverlässigkeit) der Finanzberichterstattung börsennotierter Unternehmen zu verbessern. 1994 erschien nach einer Auseinandersetzung mit dem U.S. Government Accountability Office (GAO) über die Anwendbarkeit im öffentlichen Bereich eine leicht geänderte zweite Auflage des Modells.
Die Bestandteile (Komponenten/Operationsfelder) des internen Kontrollsystems nach dem COSO-Modell sind:
-
Kontrollumfeld
-
Risikobewertung
-
Kontrollaktivitäten
-
Information und Kommunikation
-
Überwachung
Als Kontroll(ziel)felder werden formuliert:
-
Wirksamkeit und Effizienz betrieblicher Abläufe (operations)
-
Verlässlichkeit der finanziellen Berichterstattung (financial reporting)
-
Einhaltung der geltenden Gesetze und Vorschriften (compliance)
Eine umfängliche Einführung in COSO ICS im Vergleich zu deutschen Ansätzen des IKS und Risikomanagements im Hinblick auf neuere Gesetze stammt ebenfalls vom Lehrstuhl Freidank, Hamburg.
Wie funktioniert COSO? In COSO stellt Internal Control ( des Öfteren als Überwachung und weniger oft als Kontrolle bzw. Steuerung zu übersetzen) einen Prozess dar. Das Management (Geschäftsleitung) ist der Owner des Prozesses.
Die COSO Definition hierfür: “a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:
-
Effectiveness and efficiency of operations
-
Reliability of financial reporting
-
Compliance with applicable laws and regulations."
Die Beziehung der Kontrollzielfelder und Operationsfelder zu Unternehmenseinheiten veranschaulicht der COSO-Würfel; die COSO Pyramide soll die Beziehung zwischen Kontrollumgebung, Risikobewertung, Kontrollaktivitäten und Monitoring darstellen, die alle von Information und Kommunikation geklammert werden.
Der COSO-Prozess wird in dem unten stehen Bild durch die farbigen
Blockpfeile am Beispiel des Financial Reporting dargestellt.
Control Objective ist das zentrale Element im
COSO-Prozess, meist mit Kontrollziel übersetzt, obgleich das oft nicht passt,
da control objectives auch durch Imperativ/Infinit-Sätze bzw. Aussagen
ausgedrückt werden, die verdeutlichen sollen, was zu tun ist. Man muss also
ständig auf den Kontext bzw. die Semantik des Satzes achten, um klar zu
verstehen, was jeweils gemeint ist (semantische Wolke). COSO Control Objectives
werden für Prozesse als Ziele definiert, die durch die Kontrolle / Überwachung
erreicht werden sollen.
-
Schritt: Zunächst wird ein Prozess aus einem Kontrollzielfeld ausgewählt (ganzer Geschäftsprozess oder ein Teilprozess oder Geschäftsvorfall (Typ). (Die strategischen Zielsetzungen der Unternehmensleitung müssen bereits vorliegen.)
-
Schritt: Im Rahmen der Risikoerkennung (-feststellung) werden möglichst klare Kontrollziele formuliert. Diese Kontrollziele werden durch die Vorgaben des Management bestimmt (Sicherheit, Effizient, evtl. Schnelligkeit (beim Schreiben von Rechnungen), usw.);
-
Schritt: Als Ergebnis der Bearbeitung werden ein oder mehrere Instrumente (controls) definiert, mit Hilfe derer das oder die gewünschten Ziele erreicht werden können. Jedes Instrument gehört einem der Operationsfelder an. Nach dem sogen. Reifegradmodell (eigentlich kein Modell, sonder eine Maßzahl zwischen 0 und 6) wird dem Instrument ein Reifegrad zugeordnet, für den es eine Kriterienliste gibt.
-
Zur Implementierung müssen diese „controls“ den entsprechenden Mitarbeitern kommuniziert werden.
-
In der letzten Phase wird festgestellt, ob die Instrumente wirklich greifen, wirksam und effizient sind, ob die anvisierten Ziele wirklich erreicht werden. Sollte dies nicht der Fall sein, kommt es zu einer neuerlichen Überarbeitung. (z.B. kann durch gewisse Überwachungen, Kontrollen ein Prozess langsamer, kostenintensiver werden oder die eingeführte Kontrolle wirtschaftlich nicht vertretbar sein.). Das Reporting über das Verhalten und Wirken der Instrumente fällt in das Operationsfeld Information (hier Information des Management).
Eine zwar nicht explizit auf COSO abgestimmte, aber exzellente Ausarbeitung zu Prüf- und Kontrollhandlungen speziell für SAP stammt von Marie-Luise Wagener.
Sarbanes-Oxlex Act of 2002 - COSO/CobiT
Als Reaktion auf den Enron-Skandal (und Worldcom-Skandal) wurde 2002 der Sarbanes-Oxley Act (US-Bundesgesetz, auch als SOX, SOA abgekürzt) verabschiedet.
Ziel des Gesetzes war es, das Vertrauen der Anleger in die Richtigkeit und Verlässlichkeit der veröffentlichten Finanzdaten von Unternehmen wiederherzustellen, die auf dem öffentlichen Kapitalmarkt der USA agieren. Zur Durchsetzung des Gesetzes wurde die Bundesüberwachungsbehörde PCAOB ins Leben gerufen. Abschnitt 404(a) des Gesetzes verlangt eine Beurteilung der Wirksamkeit des ICS für die Rechnungslegung durch die Geschäftsleitung; Abschnitt 404(b) fordert die Prüfung der Wirksamkeit (effectiveness) des ICS für die Rechnungslegung durch einen Wirtschaftsprüfer.
Nach der Erhebung der Anklage im Enron-Fall wurde offenbar Mengen von Papierdokumenten geschreddert, aber auch digitale Aufzeichnungen, andere digitale Dokumenten und E-Mails vernichtet/gelöscht. Das war ein Signal für die Information Systems Audit and Control Association (ISACA), das ITGI (IT Governance Institute) auf eine Erweiterung (eher Nutzung) des COSO-Modell auf IT-Governance anzusetzen; das bisherige CobiT-Modell mit dem COSO-Modell zu „verheiraten“. Nach der ersten Fassung 2003 erschien eine zweite in 2006. Dieses IT-Governance „Korsett“ für das IT-Management übernimmt die Kontrollziele des ICS bzgl. der Gestaltung und Kontrolle der IT nach Governance Vorgaben.
COSO/Cobit ist sehr griffig, pragmatisch und relativ übersichtlich zu implementieren. Außerdem umfasst es alles Ressourcen (auch Personal, Räume, Gebäude etc.) und bietet viele beispielhaften Kontrollziele für Geschäftsprozesse und lässt sich zum IKS erweitern.
Nach Meinung einiger Etymologen stammt das Wort Risiko vom Altitalienischen risicare, das viel wie wagen oder eine mögliche Gefahr in Kauf nehmen bedeutet. Die mögliche Gefahr sollte bekannt sein bzw. die Wahrscheinlichkeit, dass ein Risikoereignis eintritt. Demnach ist ein Ansatz, der nicht von der Erkennung aller möglichen Risiken ausgeht, sonder zunächst Ziele für bekannte Objekte vorgibt, eher Audit- als Unternehmensorientiert. Diese häufig formulierte Kritik führte dazu, dass COSO ICS deutlich umgekrempelt wurde, die Zahl der Operationsfelder erweitert und das gesamte Konzept zwei Jahre nach Sarbanes-Oxley auf Risikomanagement-Füße gestellt wurde. COSO II oder COSO ERM (enterprise resource management).
Das Monitoring der Kontrollen war anfängliche eine Schwachstelle in den ersten COSO ERM Versionen. 2009 erschienen 3 dicke Guidance Bände zum Monitoring.
Anmerkung: COSO ist Sponsoren-finanziert und benötigt die Einnahmen
aus den Veröffentlichungen. Daher sind diese alle kostenpflichtig.
Interview
mit Dr. Rittenberg, ( Ernst & Young), COSO Chairman..
Der neue
COSO-Würfel hat nunmehr 8 Ebenen bzw. Operationsfelder. Hinzugekommen sind: "Setzen von
Zielen, Identifizierung von Ereignissen und Reaktion auf Risiken".
als die neuen Operationsfelder zur Erweiterung eines internen
Kontrollsystems zu einem unternehmensweiten Risikomanagement
Modell.
COSO ERM hat sich zu einem echten Governance Instrumentatrium entwickelt und
ist über die Ziele der Anti-Fraud Auditing Konzepte hinausgewachsen. Eine
derart ausgefeilte Überwachungs- und Gestaltungssystematik hat allerdings ihren
Preis.
Die TU Wien hat ein umfängliches
Anwendungsbeispiel
des COSO-ERM zu einer virtuellen
Firma erstellt.
Einen guten und kompakten Überblick zu COSO ERM (in Deutsch) verschafft die Ausarbeitung des DIIR.
BSI – ausgefeilte Terminologie
Die CobiT Termini zur Klassifizierung der Ressourcen wirken im Vergleich zur Terminologie des BSI-Grundschutzes etwas hemdsärmelig (people, technology, application systems, data, facilities). Die Begrifflichkeit des BSI ist straffer, schärfer definiert, umfasst aber naturgemäß keine Prozesse (Geschäftsprozesse). Von besonderer Eleganz ist das Baustein-Konzept. Bausteine wirken wie Operatoren auf Kontrollobjekte und liefern als Ergebnis einen Satz von Paaren aus Gefahr und Maßnahme. Gefahren (potentielle Risiken) und Maßnahmen sind jeweils in eigenständigen Katalogen zusammengefasst.
Beim Aufbau eines eigenen IKS bzw. ERM ist in jedem Fall zu empfehlen, beim Aufbau des hauseigenen Wörterbuchs diese stringente Terminologie zu nutzen.
Prinzipiell wäre es möglich und auf längere Sicht auch effizient, ein Baustein-ähnliches Konzept für IKS oder ERM zu entwickeln. Leider fehlt eine derartige vervollständigte Systematik beim Arbeiten mit COSO und control objectives.
Falls in einem geplanten IKS Datenschutzgesetze zu beachten sind, kann sich der Baustein zum Datenschutz als äußerst nützlich erweisen.
In jedem
Unternehmen (mit Buchhaltung und IT)
gibt es Kontrollen, Richtlinien, Policies, Berichte, evtl. Qualitätssicherung,
eingerichtete Standards nach denen es zertifiziert wurde etc. Vor dem Start
grundlegender Aktivitäten in Richtung IKS/ICS sollte das evtl. bestehende Risiko-Management
begutachtet werden; das RM durchweg wird durchweg als der umfassendere Ansatz
angesehen und bessere Ausgangspunkt (KPGM, Combined Code, Turnbull). Ziel der Corporate
Governance soll ja möglichst das Management aller Geschäftsrisiken sein und nicht
nur derer rund um die Rechnungslegung. "RM
mit IKS als Untermenge oder IKS mit
Risikohandling ausgerichtet auf die Prozesse der Rechnungslegung" ist die erste und wichtigste
Entscheidung des Managements, bevor ein Projektplan in Angriff genommen wird.
Erster Weg: Ohne oder wenig externe Unterstützung
- Schritt: Bilden einer Gruppe
aus Geschäftsleitung, Rechnungswesen, Organisation, IT und evtl. innere Revision
·
Aufgabe1:
Festlegen des Sprachgebrauchs ( rein deutsch, gemischt oder englisch) für die wichtigsten Begriffe;
einer wird zum Owner des Firmen-Wörterbuchs / Dictionary’s / Glossars / Definitionensammlung.
(Das soll kein DATA DICTIONARY sein, wie es zum Arbeiten mit Repositories
genutzt wird,!) Ein solches Wörterbuch ist insbesondere für verteilte
Unternehmen (Holdings) mit jährlichen Konsolidierungsaufgaben von Bedeutung.
·
Aufgabe2:
Sammeln von Policies & Unternehmenswirksamen Gesetzen (GL/IR),
Arbeitsanweisungen (IT und FIBU), Organisationsanweisungen (Org), Richtlinien
der Haus-IT (IT). Je ein OWNER wird festgelegt. Die Owner-Org/Fibu werden prozess-integrierte
/prozess-unabhängige Kontrollen
identifizieren/notieren; dies ist die wohl wichtigste und umfangreichste
Aufgabe, die sich für SAP-Anwender als nicht ganz so schwierig stellt; einerseits
hat SAP ein eigenes
IKS-Konzept
und Produkt entwickelt, andererseits findet sich hierzu umfangreiches
Material in der Literatur.
·
2
Personen (extern oder intern, wahlweise aus der Wirtschaft oder dem
akademischen Umfeld) werden ausgesucht: a) Vortrag/Workshop COSO/COSO-ERM und
COSO/Cobit (Folien gibt es im Netz zu Hauf);
·
Festlegen
Kommunikationsmodus (einrichten einer Intranet Site
·
Zugelassenen
Dokument-Arten (WORD, EXCEL, POWERpoint etc.)
·
Danach
Zieltermin internes Folgemeeting: nach einer Woche
- Schritt: Gemeinsamer
Wissenstand/gemeinsame Sprache
·
Präsentation COSO/COSO-ERM/CobiT
Modelle
·
GL:
Berichte über gesammelte Policies/ Feststellen was fehlt!!!
·
Owner-Dictionary:
Kurzvortrag/ Verteilen des Bericht/Einstellen in Intranet
·
Owner-Arbeitsanweisungen.
Bericht
·
Owner-Richtlinien
IT: Bericht über IT-Prozesse (evtl. Kontrollobjekte);
·
Owner-Organweisungen/FIBU:
Anweisungen und identifizierte Geschäftsprozesse (evtl. Tool vorhanden,
Grafiken, Beschreibungen ??)
·
Festlegen
eindeutiger Bezeichner für Prozesse,
Kontrollen, Richtlinien, Anweisungen Policies etc, die erste Identifikation von
Kontrollobjekten.
·
Aufnahme
der Bezeichner ins Dicitonary
·
Diskussion:
Modellwahl (COSO/COSO-ERM/Cobit); (Anmerkung:
Falls Sie KonTraG, BilMoG unterliegen, ist COSO(-ERM) ohnehin die kanonische
Wahl! Falls Sie auch nach IFRS Rechnung legen, gilt dasselbe.)
·
Gruppenbildung:
IT/FIBU: Versuchen, Risiken zu identifizieren in Prozessen; Gruppenbildung
ORG/REV: Versuchen Risiken in der Organisation und Umgebungsrisiken zu finden;
(danach internes Brainstorming mit „Unbeteiligten“).
- Schritt Für alle kritischen Geschäftsprozesse
und Geschäftsrisiken sind die Kontrollen zu identifizieren, zu
klassifizieren und zu dokumentieren
·
Dokumentationsformat
festlegen (Risikokontrollmatrix oder ähnlich zum identifizieren, klassifizieren,
Zuordnungen von Kontrollzielen etc)
·
Einführung
eines gemeinsamen IKS-Kalenders (Intranet)
·
Brainstorming:
Offene Posten-Liste: Operationsfelder Kontrollziele und Risiko- bzw. Kontrollobjekte
·
Schwachstellenanalyse
mit dem Ziel, das existierende System der internen Kontrollen zu verbessern.
- Schritt: Empfehlungen entsprechender Maßnahmen, prüfen ob die Nutzung von SW-Anwendungen zur Unterstützung der Projekt- und späteren IKS-Betriebsaufgaben und Anwendungen zum Audit-orientierten Datenhandling (business audit platform speziell für verteilte Organisationen, Konzerne, Holdings etc.). Planung der Folgeaktivitäten (IKS-Kalender).
- Schritt: Reporting der Ergebnisse an ein geeignetes GL-Gremium
-
Schritt: Jahresreport IKS/RM
(geordnet nach Kalenderaktivitäten, und Zusammenfassung)
(Anmerkung: Dieser erste Weg entspricht in etwa der Vorgehensweise von
PWC).
.
Zweiter Weg: Eigenvorbereitung durch Literatur und akademische Beratung
Nach Vorbereitung der eigenen Entscheidungsgremien (Vorlagen aus Literaturstudium und Recherchen) wird ein Workshop unter akademischer Ägide (Lehrstuhl Wirtschaftsprüfung) durchgeführt. Das verschafft den Beteiligten ein neutrales Bild und eine Übersicht zum status quo in Sachen RM/IKS im Zusammenhang mit der Gesetzgebung und den methodisch geeigneten Ansätzen.
Begründung: PWC ist seit Jahren ein wichtiger Sponsor von COSO; Rittenberg ist Ernst & Young Professor; KPMG verfolgt eigenes Modell;
Einen interessanten
Weg hat die Bayer AG beschritten, der schon am Ende des Abschnitts COSO/CobiT
angedeutet wurde.
Das interne Kontrollsystem der Finanzberichterstattung des Bayer-Konzerns basiert auf dem COSO (Committee of the Sponsoring Organisations of the Treadway Comission)-Rahmenwerk. Für die IT-Prozesse wurde eine Überleitung zum COBIT (Control Objectives for Information and related Technology)-Rahmenwerk hergestellt. Die konzernweit verbindlichen Internal-Control-System-(ICS-) Standards wurden daraus abgeleitet, zentral vorgegeben und in den Konzerngesellschaften umgesetzt. Das Management in den Gesellschaften des Konzerns trägt die Verantwortung für die Umsetzung und Überwachung des lokalen ICS. In einem konzernweit genutzten System werden alle ICS-relevanten Geschäftsprozesse, deren Risiken und Kontrollen einheitlich und prüfungssicher dokumentiert und in einem zentralen IT-System auf Konzernebene transparent dargestellt.
Nach einer Untersuchung, die in 2007 von der Financial Executives Research Foundation veröffentlicht wurde, betrugen die Kosten für SOX compliance, und das bedeutet nicht nur den Aufwand für interne Kontrolle, im Durchschnitt ca. $1.2 Millionen für ein börsennotiertes Unternehmen, um das Testat des Wirtschaftprüfers zu erhalten. Geschätzt waren durch SEC/PCAOB ursprünglich ca. $ 91.000 je Unternehmen. Im Schnitt ist der Aufwand ca. 10 Mal höher als erwartet. Die Klagen der Unternehmen häufen sich massiv und bei der SEC denkt man offenbar über Lockerungen nach.
Deutsche Unternehmen, die auf dem amerikanischen Kapitalmarkt vertreten sind, machten ähnliche Erfahrungen. Bezifferte Angaben zu Kosten und Personalaufwand finden sich in einem Papier der Universität Magdeburg.