Sarbanes-Oxley Act

Transcription

Sarbanes-Oxley Act
Christof Menzies (Hrsg.)
Sarbanes-Oxley Act
Professionelles Management
interner Kontrollen
Sehr geehrte Leserin, sehr geehrter Leser,
vielen Dank, dass Sie dieses E-Book erworben haben. Damit Sie
das Produkt optimal nutzen können, möchten wir Sie gerne auf
folgende Navigationsmöglichkeiten hinweisen:
Die Verlinkungen im Text ermöglichen Ihnen eine schnelle und
komfortable Handhabung des E-Books. Um eine gewünschte
Textstelle aufzurufen, stehen Ihnen im Inhaltsverzeichnis und
im Register als Link gekennzeichnete Kapitelüberschriften bzw.
Seitenangaben zur Verfügung.
Zudem können Sie über das Adobe-Digital-Editions-Menü
»Inhaltsverzeichnis« die verlinkten Überschriften direkt
ansteuern.
Erfolgreiches Arbeiten wünscht Ihnen
der Schäffer-Poeschel Verlag
Christof Menzies (Hrsg.)
Sarbanes-Oxley Act
Professionelles Management
interner Kontrollen
2004
Schäffer-Poeschel Verlag Stuttgart
Weitere Informationen zu den Themen Sarbanes-Oxley Act, Corporate Governance, Enterprise Risk Management, aktuellen regulatorischen Veränderungen und deren Auslegung finden Sie auf unserer Internetseite.
Besuchen Sie http://www.pwc.com/de/sarbanes-oxley
Bibliografische Information Der Deutschen Bibliothek
Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.ddb.de>
abrufbar
e-book ISBN 978-3-7992-6126-5
Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung
des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
© 2010 Schäffer-Poeschel Verlag für Wirtschaft · Steuern · Recht GmbH & Co. KG
www.schaeffer-poeschel.de
[email protected]
Einbandgestaltung: Willy Löffelhardt
Satz: Johanna Boy, Brennberg
Schäffer-Poeschel Verlag Stuttgart
Ein Tochterunternehmen der Verlagsgruppe Handelsblatt
Vorwort
Globalisierung verlangt neue Konzepte
Der Kapitalmarkt und die Öffentlichkeit sind auf die Verlässlichkeit der
ihnen zur Verfügung gestellten Unternehmensinformationen angewiesen.
Schließlich beeinflussen diese Nachrichten maßgeblich das Investitionsverhalten privater und institutioneller Anleger. Verschiedene Unternehmenszusammenbrüche und Finanzskandale der vergangenen Jahre haben das
Vertrauen der Anleger in vielerlei Hinsicht nachhaltig gestört. Fragwürdige Bilanzierungspraktiken und unzureichende oder verfälschende Darstellungen stellten die Verlässlichkeit von Informationen in Frage. Dadurch
entstand der Eindruck, dass sowohl die internen als auch die externen
Überwachungsprozesse von Unternehmen nicht das gewünschte Maß an
Sicherheit zu leisten vermögen.
Der im Juli 2002 verabschiedete Sarbanes-Oxley Act (SOA) stellt die Reaktion des US-Kongresses auf diesen Vertrauensverlust dar. Obwohl es sich
um ein US-Gesetz handelt, ist seine Tragweite größer, als zunächst zu vermuten wäre. Unabhängig vom Stammsitz des Unternehmens sind von den
Regelungen alle Gesellschaften betroffen, deren Aktien an amerikanischen
Börsen notiert sind. Darüber hinaus erstreckt sich der Einfluss des Gesetzes
auf Tochtergesellschaften von Unternehmen, deren Anteile am US-Kapitalmarkt gehandelt werden. Daher sind auch zahlreiche deutsche Gesellschaften von den Regelungen des Sarbanes-Oxley Act betroffen und verpflichtet, die umfassenden Anforderungen binnen relativ kurzer Zeit zu
erfüllen.
Die Verabschiedung des Sarbanes-Oxley Act in den USA ist kein »amerikanisches Phänomen«, sondern Teil einer globalen Entwicklung, um dem
Vertrauensverlust hinsichtlich der Verlässlichkeit von Kapitalmarktinformationen und der Wirksamkeit von Unternehmensüberwachung zu begegnen. Weltweite Initiativen zielen vor allem auf eine Verbesserung der Corporate Governance sowie die Sicherstellung der Unabhängigkeit von Wirtschaftsprüfern gegenüber ihren Mandanten ab. Ein wesentliches Element
der Corporate Governance eines Unternehmens ist die Erhöhung der Transparenz für alle Stakeholder. Vor diesem Hintergrund ist das Management
unter anderem aufgefordert, die Wirksamkeit des internen Kontrollsystems
sicherzustellen und dieses gegenüber der Öffentlichkeit verbindlich zu
erklären. Ein funktionierendes internes Kontrollsystem trägt entscheidend
zur zeitnahen Bereitstellung korrekter Informationen bei; dies betrifft insbesondere die Finanzberichterstattung.
VI
Vorwort
Die Globalisierung der Märkte verlangt nach neuen Konzepten zur Steuerung und Überwachung von Unternehmen. In einem modernen Unternehmen sind das Rechnungswesen und das interne Kontrollsystem eng mit
der Gesamtorganisation verzahnt. Effektivität und Effizienz dieser Verzahnung müssen sichergestellt werden. Die Unternehmensführung hat interne
Kontrollen in diesem veränderten Umfeld neu zu bewerten und gegebenenfalls entsprechende Maßnahmen zur Verbesserung unternehmenskritischer Steuerungsinstrumente und zur Sicherstellung wirksamer Überwachungsverfahren einzuleiten, um nicht nur den Anforderungen des Sarbanes-Oxley Act oder anderer gesetzlicher Regelungen, sondern auch den
Erwartungen verunsicherter Kapitalmärkte zu entsprechen. Sie dabei zu
unterstützen und zu begleiten, ist die Aufgabe dieses Buchs.
Frankfurt, den 15. März 2004
Professor Dr. Georg Kämpfer
Mitglied des Vorstands
PwC Deutsche Revision AG
Inhaltsverzeichnis
Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V
Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVII
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
I
Regulatorisches Umfeld . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1
Vertrauensverlust in die Kapitalmärkte durch Finanzskandale . . . 7
2
Der Sarbanes-Oxley Act . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1 Geltungsbereich des Gesetzes . . . . . . . . . . . . . . . . . . . . . . . .
2.2 Maßnahmen und Inhalt des Gesetzes . . . . . . . . . . . . . . . . . .
2.2.1 Abschnitt I: Public Company Accounting Oversight
Board . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.2 Abschnitt II: Auditor Independence . . . . . . . . . . . . . .
2.2.3 Abschnitt III: Corporate Responsibility . . . . . . . . . . . .
2.2.4 Abschnitt IV: Enhanced Financial Disclosures . . . . . .
2.2.5 Abschnitte V bis XI . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
13
14
15
16
18
20
22
3
Final Rule zu internen Kontrollen der Finanzberichterstattung . . 23
4
Das Public Company Accounting Oversight Board . . . . . . . . . . . 24
4.1 Organisation des PCAOB . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.2 Aufgabenbereiche des PCAOB . . . . . . . . . . . . . . . . . . . . . . . . 25
5
Gesetze und Initiativen in Europa . . . . . . . . . . . . . . . . . . . . . . . . . .
5.1 Bestrebungen auf EU-Ebene . . . . . . . . . . . . . . . . . . . . . . . . . .
5.1.1 Mitteilung zur Stärkung der Abschlussprüfung
in der EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.1.2 Aktionsplan zur Modernisierung des Gesellschaftsrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2 Bestrebungen in Deutschland . . . . . . . . . . . . . . . . . . . . . . . . .
5.2.1 Maßnahmenkatalog zur Stärkung der Unternehmensintegrität und des Anlegerschutzes . . . . . . . . . .
5.2.2 Gesetzesentwurf zur Stärkung der Rolle
des Abschlussprüfers . . . . . . . . . . . . . . . . . . . . . . . . . .
27
27
27
28
29
29
32
VIII
Inhaltsverzeichnis
5.3
5.2.3 Gesetzesentwurf zur Überwachung der Rechtmäßigkeit konkreter Unternehmensabschlüsse . . . . 33
Bestrebungen in Österreich und der Schweiz . . . . . . . . . . . . 34
6
Zusammenfassende Betrachtung des regulatorischen
Umfelds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
II
Auswirkungen auf das Unternehmen . . . . . . . . . . . . . . . . . . . 37
1
Sarbanes-Oxley im Unternehmensfokus . . . . . . . . . . . . . . . . . . . . . 37
2
Transparenz interner Kontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1 Einrichtung von Disclosure Controls and Procedures . . . . . .
2.1.1 Definition und Anwendungsbereich . . . . . . . . . . . . . .
2.1.2 Pflicht zur eidesstattlichen Bestätigung
von Berichten (Certification) . . . . . . . . . . . . . . . . . . . .
2.1.3 Ausgestaltung von Disclosure Controls
and Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1.4 Aufgaben eines Disclosure Committee . . . . . . . . . . . .
2.2 Einrichtung von Internal Control over Financial
Reporting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.1 Gesetzliche Anforderungen . . . . . . . . . . . . . . . . . . . . .
2.2.2 Auswirkungen auf das Management . . . . . . . . . . . . .
2.2.2.1 Bericht über das interne Kontrollsystem
der Finanzberichterstattung . . . . . . . . . . . . .
2.2.2.2 Identifizierung von internen Kontrollen
der Finanzberichterstattung . . . . . . . . . . . . .
2.2.2.3 Vorschriften zur Bewertung von internen
Kontrollen der Finanzberichterstattung . . . .
2.3 Abgrenzungen zwischen Disclosure Controls and
Procedures und Internal Control over Financial
Reporting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
Ethics & Corporate Governance. . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1 Das Audit Committee und die Stärkung
von Corporate Governance . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.1 Entwicklung von Audit Committees . . . . . . . . . . . . . .
3.1.2 Anforderungen an das Audit Committee gemäß
Sarbanes-Oxley Act . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.3 Mitglieder eines Audit Committees . . . . . . . . . . . . . . .
3.1.3.1 Unabhängigkeit der Audit CommitteeMitglieder . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.3.2 Anforderungen an einen Financial Expert .
38
38
38
39
42
44
45
45
46
46
47
48
49
54
55
55
57
59
59
60
Inhaltsverzeichnis
3.2
3.3
3.4
3.1.4 Das Verhältnis zwischen Audit Committee
und Wirtschaftsprüfer . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.4.1 Wahl und Vergütung der Wirtschaftsprüfer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.4.2 Überwachung der Unabhängigkeit
der Wirtschaftsprüfer . . . . . . . . . . . . . . . . . . .
3.1.5 Zusammenfassende Betrachtung des Audit
Committees . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Code of Ethics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.1 Gesetzliche Anforderungen . . . . . . . . . . . . . . . . . . . . .
3.2.2 Auswirkungen auf das Management . . . . . . . . . . . . .
Verhinderung und Aufdeckung von Fraud . . . . . . . . . . . . . .
3.3.1 Fraud im Rahmen des Sarbanes-Oxley Act . . . . . . . .
3.3.2 Kontrollen des Managements . . . . . . . . . . . . . . . . . . .
3.3.3 Kontrollen des Audit Committees . . . . . . . . . . . . . . . .
3.3.4 Kontrollen des Abschlussprüfers . . . . . . . . . . . . . . . . .
Whistleblower Protection – Informantenschutz . . . . . . . . . . .
3.4.1 Einrichtung eines Incident Management-Systems . . .
3.4.2 Richtlinien für den Umgang mit Fehlverhalten . . . . .
IX
60
61
61
62
63
63
64
64
65
66
66
67
68
68
70
4
Zusammenfassung der wichtigsten Auswirkungen . . . . . . . . . . . . 71
III
Das interne Kontrollsystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
1
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
2
Definition des internen Kontrollsystems (IKS) . . . . . . . . . . . . . . . .
2.1 Grundlegende Definition . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2 COSO als Rahmenwerk für das interne Kontrollsystem . . . .
2.2.1 Zweck und Auftrag von COSO . . . . . . . . . . . . . . . . . .
2.2.2 Die Definition des IKS nach COSO . . . . . . . . . . . . . . .
2.2.3 Komponenten des internen Kontrollsystems. . . . . . . .
2.2.4 COSO und die Finanzberichterstattung . . . . . . . . . . .
2.2.5 Die praktische Bedeutung von COSO . . . . . . . . . . . .
2.3 Internal Controls nach internationalen und nationalen
Prüfungsstandards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.1 Die internationalen Prüfungsstandards (ISA) . . . . . . .
2.3.2 Die deutschen Prüfungsstandards (PS) . . . . . . . . . . . .
3
74
74
75
76
76
78
81
81
84
85
87
Analyse und Bewertung der Effektivität des IKS. . . . . . . . . . . . . . 91
3.1 Definition der Effektivität des internen Kontrollsystems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
3.1.1 Ziele interner Kontrollsysteme . . . . . . . . . . . . . . . . . . . 92
X
Inhaltsverzeichnis
3.1.1.1
3.2
4
5
Interne Kontrollen der Finanzberichterstattung (Financial Reporting) . . . . . . . . . . 92
3.1.1.2 Interne Kontrollen der Geschäftstätigkeit
(Operations) . . . . . . . . . . . . . . . . . . . . . . . . . . 94
3.1.1.3 Interne Kontrollen zur Sicherstellung
der Einhaltung von Gesetzen und
Vorschriften (Compliance) . . . . . . . . . . . . . . . 96
3.1.2 Bewertungskriterien für die Design- und
Operating Effectiveness . . . . . . . . . . . . . . . . . . . . . . . . 97
3.1.2.1 Design Effectiveness . . . . . . . . . . . . . . . . . . . 98
3.1.2.2 Operating Effectiveness. . . . . . . . . . . . . . . . . 99
3.1.3 Effizienz des internen Kontrollsystems . . . . . . . . . . . 100
Relevante Prüfungsstandards zur Beurteilung
der Effektivität interner Kontrollen . . . . . . . . . . . . . . . . . . . . 100
3.2.1 Überprüfung der Effektivität des IKS
nach Section 404 SOA und PCAOB . . . . . . . . . . . . . 102
3.2.1.1 Die Vorgehensweise des Abschlussprüfers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
3.2.1.2 Auswirkungen des PCAOB-Standards
auf das Management . . . . . . . . . . . . . . . . . . 107
3.2.2 Prüfung und Beurteilung des IKS nach ISA 315 . . . 108
3.2.3 Prüfung und Beurteilung des IKS nach
IDW PS 260 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
3.2.4 Prüfung und Beurteilung der IT-Kontrollen . . . . . . . 112
Der Sarbanes-Oxley Act und Enterprise Risk Management . . . .
4.1 Interne Kontrollen und Enterprise Risk Management . . . .
4.2 Das ERM-Rahmenwerk (COSO II) . . . . . . . . . . . . . . . . . . . .
4.2.1 Das IKS nach COSO als Baustein für ERM . . . . . . .
4.2.2 Ziele und Komponenten von ERM . . . . . . . . . . . . . .
4.3 ERM in der Praxis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3.1 Voraussetzungen für ERM . . . . . . . . . . . . . . . . . . . . .
4.3.2 Prozesse und Schlüsselelemente bei der
Einführung von ERM . . . . . . . . . . . . . . . . . . . . . . . . .
4.3.3 Aufbau von ERM-Kompetenzen . . . . . . . . . . . . . . . .
4.3.4 Erfolgsfaktoren für ERM . . . . . . . . . . . . . . . . . . . . . . .
4.4 Vorteile von ERM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
116
116
118
118
119
122
122
123
123
124
125
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Inhaltsverzeichnis
XI
IV
Methodik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
1
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
2
Projektorganisation und Scope festlegen . . . . . . . . . . . . . . . . . . .
2.1 Regulatorische Anforderungen verstehen . . . . . . . . . . . . . .
2.2 Projektziele und -struktur definieren . . . . . . . . . . . . . . . . . .
2.2.1 Projektziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.2 Projektstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3 Projekt-Scope festlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.1 Erstellung des Unternehmensüberblicks . . . . . . . . .
2.3.2 Identifizierung der wesentlichen Elemente
der Rechnungslegung und Zuordnung
der Assertions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.3 Festlegung des Abdeckungsgrads . . . . . . . . . . . . . . .
2.3.4 Unternehmenseinheiten für den Projekt-Scope
auswählen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.5 Weitere Aspekte des Scopings auf Unternehmensebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.6 Identifizierung der Unternehmensprozesse . . . . . . .
2.4 Vorgehensweise und Dokumentationsstandards
festlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.5 Projektplan und Ressourcen festlegen . . . . . . . . . . . . . . . . .
2.6 Tool auswählen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.7 Scope, Vorgehensweise und Projektplan
kommunizieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
131
132
132
132
136
142
144
Prozess- und Kontrolldesign dokumentieren und bewerten . . . .
3.1 Zentralen Organisations- und Prozesskatalog
aufbauen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.1 Organisations- und Prozessstruktur aufnehmen . . .
3.1.2 Risiken und Kontrollziele pro Prozess definieren . . .
3.1.3 Bilanz- und GuV-Positionen Prozessen zuordnen . .
3.1.4 Prozesse den Organisationseinheiten zuordnen . . . .
3.2 Tool und Methode einführen . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.1 Tool installieren und testen . . . . . . . . . . . . . . . . . . . .
3.2.2 Tool- und Methodenschulung konzipieren . . . . . . . .
3.2.3 Pilotprojekt vorbereiten und durchführen . . . . . . . .
3.2.4 Tool und Methoden-Roll-out . . . . . . . . . . . . . . . . . . .
3.3 Dokumentation und Bewertung des internen
Kontrollsystems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3.1 Aufnahme der übergeordneten COSOKomponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3.2 Prozessschritte und Kontrollen dokumentieren . . . .
183
3
144
146
147
151
153
161
167
170
182
185
186
190
192
194
196
196
201
204
204
206
207
210
XII
Inhaltsverzeichnis
3.3.3 Kontrolldesign analysieren und bewerten . . . . . . . . 219
3.3.4 Kontrollschwächen identifizieren, dokumentiere
und validieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
4
5
6
7
Kontrollschwächen beheben . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1 Maßnahmen zur Behebung der Kontrollschwächen
festlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2 Umsetzung der Maßnahmen überwachen . . . . . . . . . . . . . .
4.3 Kontrolldesign erneut bewerten bzw. Kontrolltest
erneut durchführen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
224
224
226
226
Wirksamkeit des internen Kontrollsystems testen . . . . . . . . . . .
5.1 Umfang der Kontrolltests festlegen . . . . . . . . . . . . . . . . . . .
5.2 Zeitraum der Kontrolltests planen und Ressourcen
bereitstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.3 Kontrolltests durchführen . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4 Ergebnisse der Kontrolltests dokumentieren
und bewerten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
227
228
Sign-off und Managementberichterstattung . . . . . . . . . . . . . . . . .
6.1 Auswertung des Designs und der Wirksamkeit
der Kontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.1.1 Analyse auf Basis der Prozess-Sicht . . . . . . . . . . . . .
6.1.2 Analyse auf Basis der festgelegten Kontrollziele . . .
6.1.3 Analyse auf Basis der Konten-Sicht . . . . . . . . . . . . .
6.2 Bericht über identifizierte Kontrollschwächen . . . . . . . . . . .
6.3 Bericht über die Beseitigung der Kontrollschwächen . . . . .
6.4 Sign-off-Prozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.5 Managementbericht über das interne Kontrollsystem . . . .
6.6 Externe Berichterstattung . . . . . . . . . . . . . . . . . . . . . . . . . . .
239
Attestieren und Berichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.1 SOA 404 Prüfungsplanung und -vorgehen . . . . . . . . . . . . .
7.2 Beurteilung der Vorgehensweise des Managements . . . . .
7.3 Beurteilung der COSO-Elemente und der Kontrollen
auf der Unternehmensebene (Company-level Controls) . .
7.4 Prüfung interner Kontrollen durch einen externen
Prüfer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.5 Einschätzung und Bericht des Abschlussprüfers . . . . . . . . .
233
236
237
240
241
242
243
244
245
246
248
249
250
251
252
253
254
259
8
Projektmanagement/Project Support Office . . . . . . . . . . . . . . . . . 260
9
Projektbegleitende Prüfung/Qualitätssicherung. . . . . . . . . . . . . . 264
9.1 Ziele der projektbegleitenden Qualitätssicherung . . . . . . . 266
Inhaltsverzeichnis
9.2
9.3
9.4
XIII
Planung und Durchführung der projektbegleitenden
Qualitätssicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Informationsweitergabe und Kommunikation . . . . . . . . . . . 281
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
10
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
V
Praxisberichte aus Sarbanes-Oxley-Projekten . . . . . . . . . . 285
1
Projektstruktur und Vorgehensmodell der Bayer AG
zur Umsetzung der Anforderungen des Sarbanes-Oxley Act
(Section 404) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.1 Zentrales Kernteam mit dezentralen Gesellschaftsteams . .
1.2 Projektleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3 Vertretung der Teilkonzerne und Servicegesellschaften . .
1.4 Teilprojektstruktur (Subteams) . . . . . . . . . . . . . . . . . . . . . . .
1.4.1 Subteam Processes . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.2 Subteam Self-Assessment . . . . . . . . . . . . . . . . . . . . . .
1.4.3 Subteam Monitoring of ICS . . . . . . . . . . . . . . . . . . . .
1.4.4 Subteam Software Infrastructure . . . . . . . . . . . . . . . .
1.4.5 Subteam General IS Controls . . . . . . . . . . . . . . . . . .
1.4.6 ICS – Requirements. . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.7 Project-Office . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5 Regionale Koordination . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6 Einbindung des Wirtschaftsprüfers . . . . . . . . . . . . . . . . . . . .
2
Die Bedeutung des Sarbanes-Oxley Act für die Interne
Revision der DaimlerChrysler AG . . . . . . . . . . . . . . . . . . . . . . . .
2.1 Aktivitäten im Rahmen der Umsetzung des
Sarbanes-Oxley Act . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1.1 Bildung von Projektgruppen und Committees . . . . .
2.1.2 Neuordnung der Berichtswege . . . . . . . . . . . . . . . . .
2.1.3 Aktualisierung der Geschäftsordnung
des Prüfungsausschusses . . . . . . . . . . . . . . . . . . . . . .
2.1.4 Herausgabe eines Ethik-Kodex für die oberen
Führungskräfte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1.5 Zertifizierung und Subzertifizierung . . . . . . . . . . . . .
2.1.6 Projektgruppe »Internal Control over Financial
Reporting« . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1.7 Dokumentation der Internen Kontrollsysteme . . . . .
2.1.8 Prüfung der Wirksamkeit der Internen Kontrollsysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1.9 Erstellung des Internen Kontrollberichts . . . . . . . . .
285
285
286
287
287
287
287
288
288
288
289
289
289
291
292
293
293
294
294
295
295
296
297
298
298
XIV
Inhaltsverzeichnis
2.2
2.3
3
Auswirkungen auf die Interne Revision als Abteilung . . . . 298
Die Bedeutung des Sarbanes-Oxley Act für die Interne
Revision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
Projekt S-OX 404 – Umsetzung der Section 404 bei der
Deutschen Telekom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1 Projekt Set-up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2 Projektorganisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3 Scoping aus Sicht der Deutschen Telekom . . . . . . . . . . . . .
3.4 Die quantitative Auswahl . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.5 Die qualitative Auswahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.6 Auswahl von Prozessen und Pilotierung . . . . . . . . . . . . . . .
3.7 Schlusswort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
300
300
300
302
303
304
304
305
4
Praxisbericht zum SOX-Projekt der Dresdner Bank . . . . . . . . . .
4.1 Überblick über das Projekt . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2 Perspektive des Sarbanes-Oxley-Projektleiters . . . . . . . . . .
4.2.1 Projektstruktur und Projekt-Set-up . . . . . . . . . . . . . .
4.2.2 Scoping-Prozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2.3 Tool-Auswahl und Pilotierung . . . . . . . . . . . . . . . . . .
4.2.4 Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
306
306
307
307
309
309
310
5
Die Initiierung und Konzeption eines konzernweiten
Sarbanes-Oxley Act Section 404 Readiness-Projektes
bei E.ON. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.1 Ausgangslage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2 Projektvorgehen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2.1 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2.2 Projektinitiierung und -konzeption . . . . . . . . . . . . . .
5.2.3 Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2.4 Kritische Erfolgsfaktoren . . . . . . . . . . . . . . . . . . . . . .
5.3 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
311
311
312
312
312
320
320
321
6
Die Umsetzung des Sarbanes-Oxley Act bei der SAP AG,
Fokus Internes Kontrollsystem (Sec. 404, 302 SOA) . . . . . . . . . .
6.1 Projektstruktur: Verteilte Verantwortung bei zentraler
Koordination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.2 Aufwändigste Anforderung: Dokumentation, Testing
und Zertifizierung des Internen Kontrollsystems
gemäß Sec. 404, 302 SOA . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.3 Herausforderungen des »Regelbetriebs«:
Systemtechnische Unterstützung durch das SAP-Tool
»Management of Internal Controls (MIC)« . . . . . . . . . . . . .
323
323
324
326
Inhaltsverzeichnis
XV
7
Erfahrungen von Xerox als Tochter einer US-Firma . . . . . . . . . .
7.1 Projektstart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.2 Definition des Projektumfangs . . . . . . . . . . . . . . . . . . . . . . .
7.3 Dry Run . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.4 Empfehlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
331
332
333
334
334
VI
Unterstützung von SOA- und anderen IKS-Projekten
durch SAP’s »Management of Internal Controls« . . . . . . . 335
1
IT-Unterstützung für das Management interner Kontrollen . . . . 336
1.1 Erwartungen an eine SOA-Anwendung . . . . . . . . . . . . . . . 336
1.2 SAP-Anwendung Management of Internal Controls . . . . . 337
2
Die SAP-Anwendung MIC im Detail . . . . . . . . . . . . . . . . . . . . . .
2.1 Phasen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2 Organisationseinheiten, Prozesse, Kontrollziele,
Risiken und interne Kontrollen . . . . . . . . . . . . . . . . . . . . . .
2.2.1 Zentrale Definition von Organisationseinheiten,
Prozessen, Kontrollzielen und Risiken . . . . . . . . . . .
2.2.2 Organisationseinheiten-spezifische Definition
von Prozessen und internen Kontrollen . . . . . . . . . .
2.3 MIC-Aufgaben- und Rollenkonzept . . . . . . . . . . . . . . . . . . .
2.4 MIC-Workflow-Konzept . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.5 Beurteilung des Designs interner Kontrollen . . . . . . . . . . . .
2.6 Test der Effektivität interner Kontrollen. . . . . . . . . . . . . . . .
2.7 Interne Kontrollen auf Management-Ebene . . . . . . . . . . . .
2.8 Berichtswesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.9 Sign-off . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
338
338
338
338
340
341
343
344
346
347
348
350
3
mySAP ERP und Packaged Solution . . . . . . . . . . . . . . . . . . . . . . . 351
4
Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . 351
VII
Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . 353
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Glossar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Die Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
XVI
Inhaltsverzeichnis
Abkürzungsverzeichnis
AICPA
AktG
AMEX
AU
American Institute of Certified Public Accountants
Aktiengesetz
American Stock Exchange
Auditing Standard
BaFin
BilReG
Bundesanstalt für Finanzdienstleistungsaufsicht
Bilanzrechtsreformgesetz
CEO
CFO
COSO
Chief Executive Officer
Chief Financial Officer
Committee of the Sponsoring Organisations of the Treadway
Commission
ERM
EU
Enterprise Risk Management
Europäische Union
FAS
Financial Accounting Standards
GAAP
GAAS
GAO
Generally Accepted Accounting Principles
Generally Accepted Auditing Standards
General Accounting Office
HFA
HGB
Hauptfachausschuss
Handelsgesetzbuch
IAS
IDW
IFAC
IFRS
IKS
ISA
IT
International Accounting Standards
Institut der Wirtschaftsprüfer
International Federation of Accountants
International Financial Reporting Standards
Internes Kontrollsystem
International Standards on Auditing
Informationstechnologie
KonTraG
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
NASD
NASDAQ
National Association of Securities Dealers
National Association of Securities Dealers Automated Quotation
New York Stock Exchange
NYSE
XVIII
Abkürzungsverzeichnis
PCAOB
PH
PS
PwC
Public Company Accounting Oversight Board
Prüfungshinweis
Prüfungsstandard
PricewaterhouseCoopers
QS
Qualitätssicherung
SAS
SEC
Sec.
SOA
SSC
Statement on Auditing Standards
Securities and Exchange Commission
Section
Sarbanes-Oxley Act
Shared Service Center
TK
Tz.
Telekommunikation
Textziffer
WP
Wirtschaftsprüfer
ZGPM
Zielgerichtetes Projektmanagement
Einleitung
Kontrolle als Wettbewerbsvorteil
Sarbanes-Oxley Act – Professionelles Management interner Kontrollen ist
ein Leitfaden für Unternehmen für das Management interner Kontrollen
und den Aufbau eines wirksamen, unternehmensweiten internen Steuerungs- und Überwachungssystems. Es unterstützt Unternehmen zunächst,
ihre Ziele effektiver und effizienter zu erreichen. Die hierzu notwendigen
neuen Prozessstrukturen tragen dazu bei, Fehler zu vermeiden oder Unregelmäßigkeiten aufzudecken. So leisten sie einen wertvollen Beitrag zum
gesamten Unternehmenserfolg.
Darüber hinaus steht das interne Kontrollsystem im Fokus nationaler und
internationaler Gesetzgebungen – allen voran dem Sarbanes-Oxley Act
(SOA). Das Gesetz verfolgt im Wesentlichen zwei Ziele: Zum einen haben
Unternehmen nach Section 302 SOA sicherzustellen, dass die erforderlichen
Veröffentlichungen vollständig und richtig sind. Darüber hinaus verpflichtet Section 404 SOA Unternehmen dazu, die Wirksamkeit des internen
Kontrollsystems für die Finanzberichterstattung explizit zu bestätigen. Das
Gesetz formuliert für beide Ziele konkrete Anforderungen und verknüpft
deren Einhaltung mit einer persönlichen Haftung von Vorstandsvorsitzenden und Finanzvorständen.
Die indirekten Auswirkungen von Sarbanes-Oxley auf Kapitalmärkte außerhalb der USA können bislang lediglich vermutet werden. Nationale
Gesetze stellen vielfach andere Anforderungen an Unternehmen, die an
den Börsen des jeweiligen Landes notiert sind. Unternehmen haben bestehende Regelungen zu erfüllen und sind oftmals zusätzlich motiviert, den
erweiterten Bestimmungen des SOA zu entsprechen. Es ist denkbar, dass
die globalen Kapitalmärkte die Gestaltung des internen Kontrollsystems
auch unabhängig von gesetzlichen Regulierungen fordern werden. Die
freiwillige Erfüllung der SOA-Anforderungen unterstützt die internationale Vergleichbarkeit von Unternehmen und stellt einen Wettbewerbsvorteil
aus Sicht der einzelnen Gesellschaft dar.
Vor diesem Hintergrund schildert dieses Buch die elementaren Veränderungen im deutschen Unternehmensumfeld. Maßgeblich sind hierbei die
Bestimmungen des SOA sowie die Ausführungsbestimmungen der SEC.
Hierbei geht dieses Buch sowohl auf entsprechende nationale Regelungen
als auch auf deren Unterschiede zum SOA ein.
2
Einleitung
Section 302 SOA »Corporate responsibility for financial reports« fordert die
Einrichtung und Ausführung von Kontrollen und Verfahren zur Offenlegung
von Unternehmensinformationen (Disclosure Controls and Procedures) sowie eine eidesstattliche Erklärung (Certification) durch den Vorstandsvorsitzenden und den Finanzvorstand für bei der SEC eingereichte Berichte.
Section 404 SOA »Management assessment of internal control« verlangt,
dass jeder Jahresabschluss einen Bericht über das interne Kontrollsystem
enthält. Dieser Report legt die Verantwortung des Managements für die
Einrichtung und den Betrieb eines internen Kontrollsystems für die Abschlusserstellung dar. Darüber hinaus beinhaltet er eine Beurteilung des
Managements über die Wirksamkeit dieses Systems. Section 103 SOA »Auditing, quality control, and independence standards and rules« regelt die
diesbezüglichen Pflichten des Prüfers und fordert vom Public Company
Accounting Oversight Board (PCAOB) die Etablierung geeigneter Prüfungsstandards.
Interne Kontrollen brauchen professionelles Management
Anhand von Erfahrungen und Praxisbeispielen der vergangenen Jahre wird
illustriert, welches Vorgehen geeignet erscheint, die SOA-Anforderungen
nach Section 302 und 404 zu erfüllen. Die beschriebenen Verfahrensweisen
richten sich insbesondere an Unternehmen, die sich aktiv mit dem Thema
»interne Kontrollen« und deren professionellem Management beschäftigen
möchten bzw. müssen. Dieser Ansatz greift auf, dass sich speziell in Deutschland zahlreiche, nicht bei der SEC registrierte Unternehmen ebenfalls der
Thematik annehmen. So wurden bereits Projekte initiiert, um diesen komplexen Sachverhalt in naher Zukunft und in strukturierter Form im eigenen
Unternehmen umzusetzen. Aktiv und professionell gemanagte interne Kontrollen werden mehr und mehr ein Muss für alle Unternehmen in Deutschland.
Um das Verständnis für den Gesamtzusammenhang zu erleichtern, beschäftigt sich das erste Kapitel zunächst mit zwei weitreichenden Finanzskandalen in den USA, die vielerorts als »Auslöser« für Sarbanes-Oxley gelten.
Die Fälle »Enron« und »Worldcom« lassen beispielhaft erkennen, welche
Folgen die Nichteinhaltung von Corporate Governance-Richtlinien und
eine unzureichende Selbstregulierung der Wirtschaftsprüfer haben können.
Der Sarbanes-Oxley Act beinhaltet zahlreiche Regelungen, worüber die
kurze Darstellung der entsprechenden Abschnitte des Gesetzes einen Überblick bietet. Darüber hinaus wird der Inhalt der Ausführungsbestimmungen
zu internen Kontrollen der Finanzberichterstattung zusammengefasst. Ergänzend erläutert Kapitel I, welche Bestrebungen in Europa und speziell
in Deutschland erkennbar sind, um das Thema Corporate Governance zu
adressieren.
Die Bedeutung interner Kontrollsysteme
3
Kapitel II erläutert die beiden für Unternehmen wesentlichen Bestimmungen des Sarbanes-Oxley Act – Disclosure Controls and Procedures (Section
302) und Internal Control over Financial Reporting (Section 404). Für beide Abschnitte werden sowohl die gesetzlichen Grundlagen als auch die
daraus abgeleiteten Anforderungen an das Unternehmen bzw. das Management dargestellt. Dies schafft eine regulatorische Basis für die später
beschriebene, methodische Umsetzung der Anforderungen.
Corporate Governance und Unternehmensethik thematisiert der SarbanesOxley Act ebenfalls, weshalb wesentliche Aspekte hier näher untersucht
werden. Insbesondere Prüfungsausschüsse (Audit Committees) und verbindliche Code of Ethics besitzen außerhalb des Einflussbereichs von Sarbanes-Oxley eine große Bedeutung. Neben den gesetzlichen Bestimmungen
schildert dieses Buch daher auch die Anforderungen an das Management.
Die Bedeutung interner Kontrollsysteme
Das dritte Kapitel widmet sich der Bedeutung interner Kontrollsysteme.
Zunächst geht es auf die Definition eines solchen Systems ein. Basis hierfür bildet das COSO-Rahmenwerk des Committee of Sponsoring Organizations of the Treadway Commission, das weltweit anerkannt und verbreitet ist. Neben COSO existieren weitere Standards zur Beschreibung des
internen Kontrollsystems. Dazu gehören die International Standards on
Auditing (ISA) sowie – aus deutscher Sicht – insbesondere die Prüfungsstandards des Instituts der Wirtschaftsprüfer (IDW). Das Buch erläutert Gemeinsamkeiten und Unterschiede der verschiedenen Definitionen.
Weitere Teile des dritten Kapitels beschäftigen sich mit der Frage, anhand
welcher Kriterien die Effektivität eines internen Kontrollsystems ermittelt
wird und welche Standards hierbei zu erfüllen sind.
Ein wirksames internes Kontrollsystem stellt einen wichtigen Baustein für
den Aufbau eines unternehmensweiten Risikomanagementsystems dar.
COSO formuliert zu diesem Zweck einen Entwurf eines entsprechenden
Rahmenwerks für Enterprise Risk Management, welches ebenfalls in Kapitel III vorgestellt wird.
Methodik zur Erhebung und Stärkung interner Kontrollsysteme
Während die bisherigen Ausführungen in erster Linie regulatorische Hintergründe beleuchteten, zeigt Kapitel IV die methodische Vorgehensweise
für die Aufnahme, Dokumentation, Analyse, Bewertung und Verbesserung
von internen Kontrollsystemen. Dies erfolgt auf Basis von Erfahrungen,
die in den vergangenen Jahren sowohl im Rahmen von Sarbanes-OxleyProjekten als auch bei Projekten zur Analyse und Verbesserung von Ge-
4
Einleitung
schäftsprozessen und internen Kontrollen gesammelt wurden. Speziell
letztere führte PricewaterhouseCoopers und insbesondere das PwC Internal
Control Advisory Team, zu dem auch die Autoren und Beitragenden gehören, schon lange vor Verabschiedung des Sarbanes-Oxley Act in unterschiedlichen Ausprägungen durch.
Diesbezüglich ist erneut zu betonen, dass die Ausführungen des US-Gesetzes die beschriebene Vorgehensweise wesentlich bestimmen. Weitere
Initiativen aus den Bereichen Corporate Governance, Management-Transparenz, Kontrolle über operative Prozesse und Finanzberichterstattung
werden als Rahmenwerk und Ideengeber ebenso berücksichtigt.
Das Buch kann keine universelle Methodik bereitstellen, die in allen Situationen bei jedem Unternehmen in der gleichen Art und Weise anzuwenden ist. Neben dem jeweils spezifischen, angemessen zu berücksichtigenden Unternehmensumfeld verfolgt jedes Projekt unterschiedliche Ziele mit
individuellen Schwerpunkten. So dient die vorgestellte Methodik als Anregung für Initiativen und Projekte, um durch eine strukturierte Vorgehensweise die Ziele innerhalb eines definierten Zeitraums zu erreichen.
Da sich eine Reihe prominenter deutscher Unternehmen bereit erklärt hat,
uns einen Einblick in derzeit laufende Sarbanes-Oxley-Projekte zu gewähren, stellt Kapitel V deren wertvolle Erfahrungen beispielhaft zusammen.
Besonderes Augenmerk liegt hierbei auf den kritischen Erfolgsfaktoren der
beschriebenen Großprojekte.
Kapitel V zielt darauf, den Erfahrungsaustausch unter den Unternehmen
zu fördern, da gerade zum jetzigen Zeitpunkt nicht alle Anforderungen
des Sarbanes-Oxley Act vollständig definiert sind bzw. einen Interpretationsspielraum zulassen. Unser herzlichster Dank für die für dieses Buch
formulierten, exzellenten Beiträge geht insbesondere an Christoph Saalfeld,
Konzernbetriebswirtschaft/Biltrolling, Risk Management, Projektmanagement REX II, Bayer AG, Hubertus M. Buderath, Vice President Corporate
Audit, DaimlerChrysler AG, Ansgar Gerken, Leiter Corporate Business
Control, Deutsche Telekom AG, Dieter Schwarz, Leiter SEC Reporting/US
GAAP, Dresdner Bank AG, Dr. Michael Holtmann, Bereichsleiter Konzernrevision, E.ON AG, Luka Mucic, Director Corporate Risk Management,
SAP AG, Gundolf Zimmermann, Chief Accountant und SOA Project Manager, Xerox GmbH.
Schließlich zeigt Kapitel VI, wie die vorgestellte Methodik und der gesamte Prozess der Managementberichterstattung durch den Einsatz eines Softwaretools unterstützt werden kann. Dies erfolgt anhand der am Markt
verfügbaren SAP-Software MIC (Management of Internal Controls). Marcus
Wefers, Director Solution Management mySAP ERP, SAP AG, erklärt detailliert dieses Softwaresystem und dessen grundlegende Methodik. Sein
Methodik zur Erhebung und Stärkung interner Kontrollsysteme
5
Beitrag verdeutlicht, wie das System hilft, sämtliche Schritte eines Projekts
zu verwalten und eine Erhöhung der Transparenz und eine Verbesserung
des internen Kontrollsystems zu erreichen.
So liefert das Autorenteam dieses Buchs, bestehend aus praxiserprobten
Beratern und Prüfern der PwC Deutsche Revision – PricewaterhouseCoopers, einen Überblick über die Herausforderungen und Chancen des Managements interner Kontrollen im Umfeld des SOA für zukunftsorientierte
Unternehmen. Die nächsten Jahre werden zeigen, wie die Öffentlichkeit
und die weltweiten Kapitalmärkte auf die damit verbundenen Initiativen
und Umwälzungen innerhalb der Unternehmen reagieren werden.
Dieses Buch wäre ohne die tatkräftige Unterstützung aller Mitglieder unseres engagierten Autorenteams nicht möglich gewesen. Wir danken vor
allem Alan Martin, Catherine Jourdan, Michael Koch, Anja Strohm, Thomas
Heinze und Marcus Wefers. Wertvolle Beiträge lieferten zudem Siegfried
Filla, Bernd Reimer, Holger Herbert, Jörg Tüllner, Thomas Klunk, KarlJosef Ruland, Marc Grohall, Björn Vogt und Oliver Sander. Herzlicher Dank
für die tatkräftige Unterstützung geht auch an Kirsten Raab, Susanne Geiling, Stefanie Senfleben und Sven Degens. Angesichts der neuen Herausforderungen, die der Sarbanes-Oxley Act an Kontrolle und Berichterstattung
stellt, freuen wir uns, unsere Mandanten mit dem hier vorliegenden Buch
zu begleiten und zu unterstützen.
Klaus Heese
Partner,
Mitglied des Country Leadership Teams
PwC Deutsche Revision AG
Düsseldorf, den 15. März 2004
Christof Menzies
Partner
PwC Deutsche Revision AG
Frankfurt, den 15. März 2004
6
Einleitung
I
Regulatorisches Umfeld
Die weitreichenden Finanzskandale in den Vereinigten Staaten in den vergangenen Jahren führten in einer ersten Reaktion zur Verabschiedung des
Sarbanes-Oxley Act durch den US-Kongress im Juli 2002. Der SarbanesOxley Act steht nun als einer der Treiber für eine stärkere Regulierung von
Unternehmen und Märkten, um nach diesen Vorfällen das Vertrauen der
Anleger in die Kapitalmärkte wieder zu stärken. In den bedeutenden Kapitalmärkten außerhalb der USA werden bestehende Gesetze an dieses
veränderte Umfeld angepasst und neue Regulierungen verabschiedet. Als
Sinnbild für diese Bewegung fasst dieses Kapitel die Entstehung und den
Inhalt des SOA zusammen. Er bildet den Hintergrund für die zahlreichen
Regulierungs- und Unternehmensinitiativen in den Bereichen Corporate
Governance, Transparenz und Internal Control.
1
Vertrauensverlust in die Kapitalmärkte
durch Finanzskandale
In den jüngsten, bis dato bekannten Finanzskandalen waren es vornehmlich die Vorstände und Mitarbeiter der betroffenen Unternehmen, die in
die Kritik gerieten, wobei vermuteter Betrug, mangelhafte Informationspolitik und fehlendes Verantwortungsbewusstsein zu den Hauptvorwürfen
zählen. Um in der Zukunft ähnlich geartete Vorfälle zu vermeiden, richten
sich die Ausführungen des Sarbanes-Oxley Act sowohl an Unternehmen
selbst als auch an deren Wirtschaftsprüfer, um ein Umfeld der erhöhten
Regulierung und Kontrolle zu stärken und somit die Wahrscheinlichkeit
des Eintretens von ähnlich gelagerten Fällen, soweit möglich, zu verringern.
Um das Verständnis für die z.T. weitreichenden Regelungen zu erleichtern,
erfolgt zunächst ein kurzer Abriss über die beiden größten Skandale »Enron« und »Worldcom«.
Enron: größter Bankrott der US-Geschichte
Das US-Unternehmen Enron wurde durch die Fusion zweier Gasunternehmen als Energiekonzern 1985 gegründet und zählte bis zu seinem Zusammenbruch im Dezember 2001 zu den sieben größten Unternehmen der
8
Kapitel I: Regulatorisches Umfeld
USA.1 Der Börsenwert von Enron war seit 1996 um 50 Mrd. US$ gestiegen.
Begeisternd feierten Analysten steigende Gewinne in 20 aufeinander folgenden Quartalen.
Enrons Hauptgeschäft bestand im Handel mit Rohstoffen, wobei über eine
eigene Internet-Plattform in erster Linie ein Vertrieb von Terminkontrakten
auf Gas oder Strom erfolgte. Im späteren Verlauf fand eine Ausdehnung
des Angebots u.a. auf Breitbandkapazitäten zur Datenübertragung und
Absicherungskontrakten auf die Wetterlage des kommenden Sommers statt.
Der damalige CEO Skilling verfolgte mit Enron die Grundidee des »Asset
light«-Unternehmens, was bedeutet, dass Vermögenswerte, die nicht zwingend für die Geschäftstätigkeit erforderlich sind, ausgelagert werden. Dies
sollte einer Schmälerung des Gewinns durch ausbleibende Renditen vorbeugen. Während der Online-Handel mit Energie zufrieden stellend verlief,
erwiesen sich andere Bereiche, wie beispielsweise die Vermittlung von
Breitbandkapazitäten, als wenig profitabel. Dies erregte jedoch in der Öffentlichkeit wenig Aufmerksamkeit, solange Enron steigende Gewinne
vermeldete und als »Liebling der Investoren« gehandelt wurde.
Arthur Andersen LLP zählte zum damaligen Zeitpunkt zu den »Big Five«
der Wirtschaftsprüfungsgesellschaften in den USA und erbrachte über 16
Jahre lang unter anderem Prüfungsleistungen für Enron. Der Energiekonzern zählte zu den weltweit größten Kunden von Arthur Andersen.
618 Mio. US$ Verlust im dritten Quartal 2001
Am 16. Oktober 2001 veröffentlichte Enron eine Pressemeldung und gab
für das dritte Quartal 2001 überraschenderweise einen Verlust von 618
Mio. US$ bekannt. Darüber hinaus wurde am gleichen Tag eine Senkung
des Eigenkapitals um ca. 1,2 Mrd. US$ angekündigt.2 Die Finanzmärkte
reagierten auf diese Meldungen umgehend und der Aktienkurs des Unternehmens brach zusammen. Im Folgemonat korrigierte Enron sein Betriebsergebnis der vergangenen vier Jahre rückwirkend um 586 Mio. US$
nach unten und beantragte am 2. Dezember 2001 Gläubigerschutz. Der
Vorfall wurde zum bislang größten Bankrott der US-Geschichte.
In der rückwirkenden Betrachtung wird deutlich, dass in der Öffentlichkeit
größtenteils Unkenntnis und Unverständnis über die Geschäftstätigkeit von
Enron herrschte. Dies bezieht sich sowohl auf die eingangs erwähnte Profitabilität einzelner Bereiche als auch auf Intransparenzen infolge der verschachtelten Finanzstruktur. Letzteres betrifft insbesondere die von CFO
Fastow etablierten Offshore-Partnerschaften mit tausenden von Unterneh-
1
2
Vgl. Spiegel (2002).
Vgl. FindLaw (2002).
Vertrauensverlust in die Kapitalmärkte durch Finanzskandale
9
men.3 Über diese Partnerschaften bestanden für Enron Verbindlichkeiten
von mehr als 1 Mrd. US$, die in der eigenen Konzernbilanz nicht ausgewiesen wurden. Infolgedessen war es dem Unternehmen möglich, in vergangenen Perioden überhöhte Gewinne zu melden und von einer euphorischen Haltung der Analysten zu profitieren. Mit der Aufdeckung des
komplexen Finanzkonstrukts und dem Zusammenbrechen des eigenen Aktienkurses verweigerten Banken weitere Kredite, was letztlich zur Insolvenz
von Enron führte.
Kritik bezüglich unzureichender Informationspolitik und fragwürdiger Bilanzierungspraktiken richtete sich ebenfalls an Arthur Andersen in seiner
Tätigkeit als unabhängiger Abschlussprüfer. Arthur Andersen attestierte
bis zur Aufdeckung des Skandals die Finanzberichterstattung und ließ die
Öffentlichkeit bezüglich der finanziellen Situation Enrons im Unklaren.
Trotz interner Diskussionen, wurden die Risiken des Finanzkonstrukts nicht
publiziert.4 Bezüglich Arthur Andersen liegt die Vermutung nahe, dass das
eigene Verhalten durch die hohen Umsätze mit Enron als Kunden gerechtfertigt wurde.
Verstärkt wird die Skandalwirkung des Bankrotts durch die aufgedeckte,
nachträgliche Vernichtung von Beweismitteln, an der Arthur Andersen beteiligt war. In verschiedenen Niederlassungen der Wirtschaftsprüfungsgesellschaft wurden ermittlungsrelevante Dokumente gesammelt und vernichtet. Deshalb wurde Arthur Andersen im März 2002 von einem USBundesgericht wegen Behinderung der Justiz für schuldig befunden.5
Worldcom: Unternehmenswert sinkt von 150 Mrd. auf 150 Mio. US$
Der zweite große Wirtschaftsskandal betrifft das US-Telekommunikationsunternehmen Worldcom, das in den neunziger Jahren nach zahlreichen
Akquisitionen zum zweitgrößten US-Anbieter von Fernverbindungen im
Telefoniebereich aufstieg. Durch die Übernahme von Unternehmen wie
UUNet, CompuServe und der Datennetze von AOL wuchs Worldcom gleichzeitig zum führenden Betreiber von Internet-Infrastrukturen. Im Jahr 2001
betrugen die ausgewiesenen Umsätze 39,2 Mrd. US$.6
Analog zu anderen Unternehmen der Telekommunikationsbranche sah sich
Worldcom ebenfalls finanziellen Schwierigkeiten ausgesetzt. Prognosen
bezüglich des zu erwartenden Kapazitätsbedarfs erwiesen sich als deutlich
zu optimistisch, weshalb die Gewinne aus umfangreichen Investitionen
3
4
5
6
Vgl.
Vgl.
Vgl.
Vgl.
PolarisInstitute (2002).
FindLaw (2002).
FindLaw (2002).
CRS Report (2002), S. 2.
10
Kapitel I: Regulatorisches Umfeld
nicht die Erwartungen erfüllten. Der am Aktienmarkt ermittelte Wert des
Unternehmens reduzierte sich von 150 Mrd. US$ im Januar 2000 auf weniger als 150 Mio. US$ im Juli 2002.
3,8 Mrd. US$ als Anlagevermögen statt als Aufwand ausgewiesen
In einer Meldung vom 25. Juni 2002 gab Worldcom bekannt, in den Jahren
2001 und 2002 irrtümlich 3,8 Mrd. US$ für die Nutzung fremder TK-Infrastruktur7 als Anlagevermögen statt als laufenden Aufwand ausgewiesen
zu haben. Als Folge dieser Aktivierung von Aufwänden konnte der gesamte Verlust des Jahres 2001 und des ersten Quartals 2002 kompensiert und
ein Bilanzgewinn vermeldet werden. Diese von CFO Sullivan veranlasste
Bilanzierungspraxis wurde durch eine Überprüfung der Internen Revision
aufgedeckt.8
Nach der Insolvenzanmeldung am 21. Juli 2002 sorgte eine weitere Meldung vom 8. August 2002 für eine Ausweitung des Skandals. Im Rahmen
einer internen Überprüfung stellte sich heraus, dass infolge von Manipulationen bei der Bildung von Rückstellungen irrtümlich 3,3 Mrd. US$ als
zusätzlicher Gewinn für die Jahre 1999 bis 2002 ausgewiesen wurden.9 In
einer ergänzenden Meldung gab Worldcom bekannt, dass bei einer rückwirkenden Korrektur der Bilanzen eine Gesamtsumme von 50,6 Mrd. US$
des Anlagevermögens abgeschrieben werden könnte, was einer Halbierung
des Buchwerts entspricht.10
Bleibt der unzulässige Ausweis von Aufwand als langfristige Investition
unentdeckt, ist es möglich, diese über einen Zeitraum von bis zu zehn
Jahren abzuschreiben und mit zukünftigen Gewinnen zu verrechnen. Es
handelt sich hierbei jedoch um ein Vorgehen, welches gegen grundlegende Bilanzierungsregeln verstößt und eine strafbare Handlung darstellt. Als
Konsequenz wurden vor US-Gerichten Anklage gegen Sullivan und weitere Mitarbeiter von Worldcom erhoben.
Erneut stand die Prüfungsgesellschaft Arthur Andersen, die seit 1989 und
bis zum 16. Mai 2002 als Wirtschaftsprüfer von Worldcom beauftragt war,
in der Kritik. Wie im Fall Enron stellt sich auch hier die Frage, aus welchem
Grund Bilanzmanipulationen in Milliardenhöhe unentdeckt bzw. unveröffentlicht blieben. Arthur Andersen vermeldete, dass sie bezüglich der Bilanzierung von laufenden Ausgaben als Investitionen nicht zu Rate gezogen
wurden.
7 Vgl. CRS Report (2002), S. 2 – Es handelt sich hierbei um Zugangs- und Durchleitungsgebühren für die Nutzung fremder Kommunikationsnetze.
8 Vgl. WSJ (2002).
9 Vgl. Guardian (2002).
10 Vgl. CRS Report (2002), S. 5: Dies umfasst zusätzlich u.a. den Goodwill sowie weitere,
immaterielle Vermögensgegenstände.
Vertrauensverlust in die Kapitalmärkte durch Finanzskandale
11
Die beschriebenen Vorfälle bei Enron und Worldcom stellen die beiden
gravierendsten Finanzskandale in jüngster Vergangenheit dar, wobei die
Liste der Beispiele zusätzlich um zahlreiche Unternehmen aus dem amerikanischen und inzwischen auch europäischen Raum erweitert werden
kann.11,12
Eine wesentliche Gemeinsamkeit der Vorfälle bildet die Beteiligung von
Vorstandsmitgliedern an fragwürdigen und z.T. betrügerischen Handlungen. Die Tatsache, dass solche Verhaltensweisen über längere Zeiträume
unentdeckt blieben, lässt mehrere Vermutungen zu. Auf der Ebene der
einzelnen Entscheidungsträger scheint das ethische und moralische Verantwortungsbewusstsein gegenüber den Stakeholdern an Bedeutung verloren zu haben. Darüber hinaus zeigt sich, dass insbesondere Reportingund Kontrollmechanismen im Sinne eines Corporate Governance Kodex
nicht wirksam dazu beitragen, die Handlungen und Entscheidungen der
Unternehmensleitung zu überwachen.
Eine weitere Gemeinsamkeit der beschriebenen Skandale stellt die eingeschränkte Funktion des externen Wirtschaftsprüfers als Kontrollinstanz dar.
Während in Bezug auf Worldcom noch über unzureichende Informationspolitik des Unternehmens und fehlendes Verantwortungsbewusstsein des
Prüfers spekuliert werden kann, ist offensichtlich, dass die Vernichtung
von Beweismitteln die Unabhängigkeit des Abschlussprüfers gegenüber
seinem Mandanten in Frage stellt.
Die Tragweite der jüngsten Finanzskandale ist weitaus größer, als dass von
Einzelfällen gesprochen werden kann. Investoren beanstanden einen generellen Vertrauensverlust als Folge von Korruption auf Vorstandsebene,
der letztendlich zu einer Schwächung des Finanzmarkts führt. Sie befürchten, dass vor allem der Bilanzbetrug weiter zunehmen wird und fordern,
dieser Entwicklung mit neuen Gesetzen zu begegnen.13
Neue Pflichten für Unternehmen und Wirtschaftsprüfer
Vor diesem Hintergrund stellt der Erlass des Sarbanes-Oxley Act in den
USA am 30. Juli 2002 eine konsequente Reaktion auf die beschriebene
Situation dar.14 Ohne auf die Einzelregelungen an dieser Stelle näher ein-
11 Vgl. FAZ (2003): Der niederländische Einzelhandelsriese Royal Ahold N.V. hat seinen
Gewinn in den Jahren 2001 und 2002 um 500 Mio. EUR zu hoch ausgewiesen.
12 Vgl. Handelsblatt (2003): Der insolvente italienische Nahrungsmittelkonzern Parmalat hat
durch Verschleierung von Tatsachen und Fälschung von Dokumenten einen Fehlbetrag
von mehr als 10 Mrd. EUR über Jahre hinweg verschwiegen.
13 Vgl. PwC (2003), S. 2.
14 Anm.: Wie in späteren Kapiteln näher ausgeführt, betreffen die Regelungen des SarbanesOxley Act den US-amerikanischen Kapitalmarkt. Sie beschränken sich nicht auf Firmen
mit Sitz in den USA.
12
Kapitel I: Regulatorisches Umfeld
zugehen, lassen sich einige wesentliche Aspekte des Gesetzes skizzieren.
Neben der Schnelligkeit der Verabschiedung fällt auf, dass der SarbanesOxley Act im Gegensatz zu zahlreichen Regulierungen der Vergangenheit
nicht direkt darauf abzielt, die Macht und den Einflussbereich der Anleger
zu stärken. Fokussiert wird vielmehr, Unternehmen und Wirtschaftsprüfern
neue Pflichten und Verantwortungen aufzuerlegen, um den Anforderungen
der Investoren gerecht zu werden. Auf diesem Weg soll einer in der Vergangenheit unzureichenden Selbstregulierung der Wirtschaftsprüfer und
der Nichteinhaltung von Corporate Governance-Richtlinien begegnet werden. Das Gesetz besitzt in erster Linie einen präventiven Charakter, um in
der Zukunft potentielle Schadensfälle frühzeitiger erkennen bzw. vermeiden zu können. Neben der eingeführten Registrierungspflicht für Wirtschaftsprüfer bei einem unabhängigen US-Organ sowie der Überwachungspflicht von internen Kontrollmechanismen formuliert Sarbanes-Oxley erweiterte Verantwortlichkeiten in den Unternehmen und in deren Umfeld.
Corporate Governance Voraussetzung für erfolgreiche Strategie
»›Corporate Governance‹ beschreibt eine der zentralen Führungsaufgaben
der Unternehmensleitung. Natürlich ist eine passende Strategie Voraussetzung für den Unternehmenserfolg. Aber ohne wirksame Corporate Governance wird sich keine Strategie umsetzen lassen. Der Sarbanes-Oxley
Act ist eine Reaktion auf die U.S.-Bilanzskandale der letzten beiden Jahre,
die ihrerseits mit Schwächen der US-GAAP zu tun haben. Selbst wenn man
die Antwort darauf in Form des Sarbanes-Oxley Act kritisch sieht, wird doch
die Ausstrahlung auf Nicht-U.S.-Firmen klar. »Interne Kontrollen« umfassen
alles, was das Management zur Steuerung von Unternehmensrisiken unternimmt. Jede Anstrengung, hier zu systematisieren und Best-Practices zu
verbreiten, ist uns hoch willkommen.«
Dr. Herbert Meyer, Finanzvorstand, Heidelberger Druckmaschinen AG
Der Sarbanes-Oxley Act
2
Der Sarbanes-Oxley Act
2.1
Geltungsbereich des Gesetzes
13
Als Reaktion auf die beschriebenen Finanzskandale wurde der SarbanesOxley Act of 2002 am 30. Juli 2002 durch den US-Kongress verabschiedet.
Im Fokus der Gesetzgebung stehen Corporate Governance15 sowie die
Selbstregulierung der Wirtschaftsprüfer als Antwort auf die beiden dargestellten, wesentlichen Kritikpunkte. Vor allem durch Änderungen des Securities and Exchange Act of 1934 soll der Anlegerschutz durch umfangreiche und verbindliche Publizitätspflichten gestärkt werden.
Einzelne Regelungen sind sofort per Erlass des Gesetzes wirksam geworden.
In vielen Paragraphen wird jedoch die Securities and Exchange Commission (SEC) aufgefordert, Rechtsverordnungen zu verabschieden. Die Fristen
hierfür waren nicht einheitlich und variieren vom 29. August 2002 bis 23.
Oktober 2003.
Der Sarbanes-Oxley Act gilt für alle Unternehmen, die bei der SEC registrierungspflichtig sind und somit deren Aufsicht unterstehen. Hierzu zählen
Firmen, deren Wertpapiere entweder an den amerikanischen Wertpapierbörsen (NYSE16, NASDAQ, AMEX) gehandelt werden, oder die Wertpapiere anderweitig öffentlich in den USA anbieten. Diese Unternehmen
werden als Emittenten (Issuer) bezeichnet. Die Regelungen des SarbanesOxley Act sind vom Gesetzgeber für ausländische Unternehmen, so genannte Foreign Private Issuer, nicht eingeschränkt worden. Als Foreign
Private Issuer gelten bei der SEC registrierungspflichtige Unternehmen mit
Stammsitz außerhalb der USA. Ebenfalls dem Sarbanes-Oxley Act unterworfen, sind im Ausland ansässige Tochterunternehmen von SEC-registrierten Gesellschaften.17
15 Anm.: Leitlinien für die gute Unternehmensführung, verantwortlich und fair sowohl gegenüber Anteilseignern als auch gegenüber anderen Interessen und gegenüber der Allgemeineinheit zu handeln.
16 Anm.: Die Aktien folgender Unternehmen aus dem deutschsprachigen Raum sind an der
New York Stock Exchange (NYSE) notiert (Stand: 01/2004):
Deutschland: Allianz AG, Altana AG, BASF AG, Bayer AG, Celanese AG, DaimlerChrysler AG, Deutsche Bank AG, Deutsche Telekom AG, E.ON AG, Epcos AG, Fresenius Medical Care AG, Infineon Technologies AG, Pfeiffer Vacuum Technologies AG, SAP AG,
Schering AG, SGL Carbon AG, Siemens AG.
Österreich: Telekom Austria AG.
Schweiz: ABB Ltd., Adecco SA, Alcon, Inc., Ciba Specialty Chemicals Holding, Inc., Converium Finance SA/Holding, Credit Suisse Group, Mettler Toledo International Inc., Novartis, Serono SA, Swisscom AG, Syngenta AG, UBS AG.
Die genannten Unternehmen stellen somit Emittenten im Sinne des SOA dar.
17 Vgl. Sarbanes-Oxley Act (2002).
14
Kapitel I: Regulatorisches Umfeld
Den Regelungen kann nur entgangen werden, indem sich die betroffenen
Unternehmen vom amerikanischen Kapitalmarkt zurückziehen und sich
delisten18 lassen. Die Streichung der Registrierung kann allerdings erst
dann erfolgen, wenn weniger als 300 Personen mit Wohnsitz in den USA
Aktien dieses Unternehmens halten, was für fast alle deutschsprachigen
SEC-registrierten Unternehmen kaum zu erfüllen ist.19
Konzernweites Projekt für SOA
»Die Deutsche Telekom steht voll hinter den Zielen des Sarbanes-Oxley Act,
das Vertrauen der Anleger in den Kapitalmarkt zurückzugewinnen und langfristig zu stabilisieren. Unsere Entschlossenheit zu größtmöglicher Integrität, Transparenz und Offenheit unterstreichen wir mit diesen Kernbegriffen,
die Teil des Telekom-Leitbildes sind. Für die Umsetzung der Section 404
des Sarbanes-Oxley Act hat die Deutsche Telekom ein konzernweites Projekt aufgesetzt. Dieses hat einen sehr hohen Stellenwert im Unternehmen.
Vorstandsvorsitzender und Finanzvorstand sind Sponsoren des Projekts.«
Jürgen Johnen,
Leiter Zentralbereich Corporate Control, Deutsche Telekom AG
2.2 Maßnahmen und Inhalt des Gesetzes
Der Sarbanes-Oxley Act sieht Maßnahmen mit Auswirkungen auf verschiedene Zielgruppen wie Unternehmen, das Management und Wirtschaftsprüfer vor, die in elf Abschnitten beschrieben werden. Eine Übersicht über
die Bestimmungen des Sarbanes-Oxley Act zeigt die folgende Tabelle 1.
Die wesentlichen einzelnen Abschnitte werden im weiteren Textverlauf
näher erörtert.
Abschnitt
Oberthema (Originaltext)
Erläuterung
I
Public Company Accounting Oversight Board (PCAOB)
Festlegung von Organisation und Aufgabenbereichen des Aufsichtsgremiums über die
Rechnungslegung der in den USA gelisteten
Unternehmen
II
Auditor Independence
Bestimmungen zur Unabhängigkeit der Wirtschaftsprüfer
18 Anm.: Notierungslöschung eines an der Börse gelisteten Wertpapiers.
19 Vgl. Gruson/Kubicek (2003), S. 340.
Der Sarbanes-Oxley Act
15
Abschnitt
Oberthema (Originaltext)
Erläuterung
III
Corporate Responsibility
Erläuterungen und Erweiterung der Verantwortlichkeiten der einzelnen Unternehmen
IV
Enhanced Financial Disclosures
Festlegung von erweiterten Veröffentlichungspflichten für Finanzinformationen
V
Analyst Conflicts of Interests
Vorschriften zur Verhinderungen von Interessenskonflikten bei Finanzanalysten
VI
Commission Resources and
Authority
Einzelregelungen bezüglich Finanzierung und
Befugnissen der SEC
VII
Studies and Reports
Festlegung der Themen, zu denen US-Behörden Studien und Berichte zu erstellen haben
VIII
Corporate and Criminal Fraud
Accountability
Regelungen zu Informantenschutz (Fraud)
und erweiterten Aufbewahrungspflichten für
Dokumente
IX
White-Collar Crime Penalty Enhancements
Verschärfung der strafrechtlichen Bestimmungen bei unrichtiger eidesstattlicher Bestätigung
X
Corporate Tax Returns
Festlegung zur Unterzeichnung der Steuererklärung durch den CEO
XI
Corporate Fraud Accountability
Bestimmungen zur Verantwortlichkeit der
Geschäftsleitung im Falle von Unregelmäßigkeiten
Tab. 1: Abschnitte des Sarbanes-Oxley Act
2.2.1 Abschnitt I: Public Company Accounting Oversight Board
Der erste Abschnitt des Sarbanes-Oxley Act befasst sich mit der Einrichtung
einer Aufsichtsbehörde über die Rechnungslegung, dem Public Company
Accounting Oversight Board (PCAOB). Darin wird das Ziel verfolgt, das
Interesse der Investoren zu schützen und das öffentliche Vertrauen in Prüfungsberichte zu stärken. 20 Bei dem PCAOB muss sich jede Wirtschaftsprüfungsgesellschaft registrieren lassen, die in den USA notierte Unternehmen im Rahmen des Jahresabschlusses prüft.21 Die SEC verfügt über
ein Aufsichtsrecht und über Durchsetzungsbefugnisse gegenüber dem PCAOB.22
20 Vgl. Sarbanes-Oxley Act (2002), Section 101.
21 Vgl. Sarbanes-Oxley Act (2002), Section 102.
22 Vgl. Sarbanes-Oxley Act (2002), Section 107.
16
Kapitel I: Regulatorisches Umfeld
Das PCAOB ist gemäß Section 103 SOA aufgefordert, Bestimmungen zu
einheitlichen Standards für Prüfungen und Testate zu verabschieden.23 Das
Gesetz schreibt vor, welche einzelnen Themengebiete von den Bestimmungen abzudecken sind. Das PCAOB ist insbesondere dazu berechtigt, Teile
bereits bestehender und anerkannter Prüfungsstandards zu übernehmen.
Die Rolle des PCAOB als Aufsichts- und Standardisierungsgremium wird
in Kapitel I.4 näher betrachtet.
2.2.2 Abschnitt II: Auditor Independence
Der zweite Abschnitt des Sarbanes-Oxley Act befasst sich mit der Unabhängigkeit der Abschlussprüfer. In Section 201 SOA werden alle prüfungsfremden Dienstleistungen aufgeführt, die nicht durch den Abschlusssprüfer erbracht werden dürfen. Ausschlaggebend für das Verbot bestimmter
Dienstleistungen ist, dass der Abschlussprüfer anderenfalls seine eigene
Arbeit im Rahmen der Abschlussprüfung prüft, und seine Unabhängigkeit
nicht mehr gewährleistet ist. Die nachfolgende Tabelle 2 stellt eine Übersicht über die verbotenen Dienstleistungen dar. Ein Großteil war bereits in
der Vergangenheit von der SEC verboten. Das PCAOB hat des Weiteren
die Möglichkeit, den Umfang bislang erlaubter Dienstleistungen durch neue
Regelungen weiter einzuschränken.24
Spätestens alle fünf Jahre muss der Prüfer wechseln
Alle Prüfungs- und prüfungsfremden Dienstleistungen, die ein Unternehmen in Anspruch nimmt, müssen durch das unternehmenseigene Audit
Committee25 genehmigt werden.26
Weiterhin regelt dieser Abschnitt, dass spätestens alle fünf Jahre ein Wechsel des unterzeichnenden Abschlussprüfers zu erfolgen hat, um einer zu
engen Bindung zwischen Prüfungsverantwortlichem und geprüftem Unternehmen vorzubeugen.
Für den Fall, dass eine Wirtschaftsprüfungsgesellschaft Prüfungsleistungen
für einen Mandanten erbringt und ein Mitglied des Prüfungsteams in eine
Schlüsselposition (Financial Reporting Oversight Role) des geprüften Unternehmen wechselt, enthält Section 206 SOA Regelungen zur Vermeidung
eines Interessenkonflikts.27 Zwischen dem Zeitpunkt des Wechsels und
23 Vgl. Sarbanes-Oxley Act (2002), Section 103.
24 Vgl. Sarbanes-Oxley Act (2002), Section 201.
25 Anm.: Das Audit Committee bezeichnet i.d.R. einen Ausschuss des Aufsichtsrats. Eine
detailliertere Erläuterung erfolgt im Zusammenhang mit Abschnitt III des SOA.
26 Vgl. Sarbanes-Oxley Act (2002), Section 202.
27 Vgl. Sarbanes-Oxley Act (2002), Section 206.
Der Sarbanes-Oxley Act
17
dem Datum, an dem Prüfungsleistungen erbracht werden, muss mindestens
ein Jahr vergangen sein (Cooling-Off Period).28 Schlüsselpositionen stellen
z.B. die Rolle des CEO/CFO, Aufsichtsratmitglied, Leiter Finanzen, Leiter
Innenrevision, Leiter Finanzberichterstattung, Treasurer oder Controller
dar.29
Originaltext
Übersetzung/Erläuterung
Bookkeeping or other services related to
the accounting records or financial statements of the audit client
Buchführung oder weitere Dienstleistungen, die im
Zusammenhang mit dem Rechnungswesen oder
der Erstellung des Jahresabschlusses stehen. Vor
allem werden hier Dienstleistungen ausgeschlossen, die sich auf die Aufbereitung von abschlussrelevanten Daten beziehen.
Financial information systems design and
implementation
Entwicklung und Implementierung von Finanzinformationssystemen, insbesondere durch eine
Beratungsabteilung der Wirtschaftsprüfungsgesellschaft. Nicht verboten sind jedoch projektbegleitende Prüfungen.
Appraisals or valuation services, fairness
opinions, or contribution-in-kind-reports
Bewertungs- und Schätzungsdienstleistungen,
Fairness Opinions oder Gutachten zur Bewertung
von Sacheinlagen. Nicht verboten ist jedoch die
Überprüfung von Schätzungen und Bewertungen
des Kunden durch eigene Spezialisten des Abschlussprüfers.
Actuarial services
Versicherungsmathematische Dienstleistungen
sind untersagt.
Internal audit outsourcing services
Outsourcing der Internen Revision an den Wirtschaftsprüfer. Dienstleistungen für die Interne
Revision sind jedoch zulässig.
Management functions and human resources
Der Abschlussprüfer darf keine Managementaufgaben und Personaldienstleistungen für das zu
prüfende Unternehmen übernehmen.
Broker or dealer, investment adviser or
investment banking services
Makler- und Händlertätigkeiten, Investmentberatung und -bankdienstleistungen dürfen nicht erbracht werden.
Legal and expert services unrelated to the
audit
Rechtsberatung und Dienstleistungen eines Sachverständigen ohne Zusammenhang zur Prüfung
sind nicht erlaubt.
Tab. 2: Verbotene prüfungsfremde Dienstleistungen nach Section 201 SOA
28 Anm.: Hieraus resultiert, dass ein bestehendes Prüfungsmandat für mindestens ein Jahr
unterbrochen werden müsste, falls ein Mitarbeiter in das geprüfte Unternehmen wechselt.
29 Vgl. PwC (2003a), S. 11.
18
Kapitel I: Regulatorisches Umfeld
Die SEC wurde aufgefordert, zur Unabhängigkeit der Wirtschaftsprüfer so
genannte Final Rules zu erlassen30. Die Final Rules konkretisieren bzw.
verschärfen unter anderem die bisherigen SEC-Regelungen zu prüfungsfremden Dienstleistungen und schreiben vor, wie Leistungen genehmigt
werden müssen. Außerdem führen sie die beschriebene Pflicht, den Prüfungsleiter regelmäßig zu wechseln und die Cooling-Off Period genauer
aus.31
2.2.3 Abschnitt III: Corporate Responsibility
Dieser zentrale Abschnitt regelt die Themen bezüglich der Corporate Governance von Unternehmen. Er beinhaltet primär Regelungen zur Einrichtung eines Audit Committees sowie zur Gestaltung von Disclosure Controls
and Procedures hinsichtich der Berichterstattung eines Unternehmens. Beide Aspekte werden an dieser Stelle kurz umrissen und in Kapitel II näher
beschrieben.
Section 301 SOA definiert das Audit Committee als übergeordnetes Gremium, das ausschließlich aus unabhängigen Mitgliedern des Board of Directors32 besteht. Es übernimmt die Verantwortung für eine ordnungsgemäße Rechnungslegung und Auswahl, Kontrolle und Vergütung des
Abschlussprüfers. Darüber hinaus ist das Audit Committee verpflichtet, als
Anlaufstelle für Beschwerden hinsichtlich Buchführung und Rechnungslegung des Unternehmens zu dienen. Von Mitarbeitern oder Dritten gemeldete Vorfälle sind anonym entgegenzunehmen und angemessen zu bearbeiten.33 Der Prozess zur Meldung von Unstimmigkeiten ist jedoch bislang
nicht konkret formuliert.34
SOA verlangt eidesstattliche Erklärungen von CEOs und CFOs
Für deutsche Unternehmen haben auch die Regelungen des Section
302 SOA weitreichende Bedeutung. Demnach sind CEO und CFO verpflichtet, eine eidesstattliche Erklärung (Certification) für periodisch bei
der SEC eingereichte Berichte abzugeben und dadurch die Korrektheit der
darin enthaltenen Angaben zu bestätigen. 35
30 Anm.: Die Final Rule »Strengthening the Commission’s Requirements Regarding Auditor
Independence« ist unter http://www.sec.gov/rules/final/33-8183.htm abrufbar.
31 Vgl. Sarbanes-Oxley Act (2002), Section 208.
32 Anm.: In den USA gibt es keine formale Trennung zwischen dem Aufsichtsrat und dem
das Unternehmen leitende Vorstand.
33 Vgl. Sarbanes-Oxley Act (2002), Section 301.
34 Anm.: Die Final Rule »Standards Relating To Listed Company Audit Committees« ist
unter http://www.sec.gov/rules/final/33-8220.htm abrufbar.
35 Anm.: Foreign Private Issuer, die Zwischenmeldungen bei der SEC mit dem Formular
Der Sarbanes-Oxley Act
19
Des Weiteren sind CEO und CFO für die Einrichtung, Ausgestaltung und
Pflege von Disclosure Controls and Procedures (Kontrollen und Verfahren
zur Offenlegung) verantwortlich. Sie haben sicherzustellen, dass wesentliche, das Unternehmen betreffende Ereignisse, rechtzeitig nach Außen
gemeldet werden. Die Effektivität der Disclosure Controls and Procedures
muss bewertet und das Ergebnis in der abgegebenen Certification aufgeführt werden.36 Darüber hinaus sind alle identifizierten Schwachstellen an
Audit Committee und Wirtschaftsprüfer zu melden. Zu den Ausführungen
bezüglich der Offenlegungspflichten hat die SEC Final Rules erlassen, die
seit August 2002 in Kraft sind.37
Weitere Corporate Governance-Vorschriften aus Abschnitt III des SarbanesOxley Act umfassen unter anderem das (an sich selbstverständliche) Verbot,
den Wirtschaftsprüfer dahingehend zu beeinflussen, dass er einen fehlerhaften Jahresabschluss testiert.38 Die SEC hat zu diesem Sachverhalt ebenfalls Final Rules erlassen.39
CEO und CFO sind des Weiteren verpflichtet, erhaltene Bonuszahlungen,
Abfindungen und durch Verkauf von Unternehmensaktien realisierte Gewinne zurückzuzahlen, wenn der Jahresabschluss im Nachhinein korrigiert
werden muss.40 Gemäß Section 306 SOA ist zudem der Insiderhandel während einer Pension Black-Out Period verboten. Innerhalb dieser Periode
dürfen Mitarbeiter nicht auf ihre Pensionskasse zugreifen. Das Management
kann in diesem Zeitraum ebenfalls keine Wertpapiere des Unternehmens
kaufen oder verkaufen.41 Die SEC hat zu dem Thema Insiderhandel im
Januar 2003 Final Rules erlassen.42
Weiterhin werden im Sarbanes-Oxley Act Corporate Governance-Regelungen für das angemessene Verhalten von Anwälten des Unternehmens getroffen. Demnach sind Anwälte verpflichtet, Verstöße gegen Gesetze und
36
37
38
39
40
41
42
6-K einreichen, was auf freiwilliger Basis geschieht und somit keine SEC Anforderung
darstellt, müssen keine Certification für diese Zwischenmeldungen abgeben. Lediglich
bei der von der SEC vorgeschriebenen jährlichen Meldung in Form des 20-F wird diese
Certification verlangt. Aufgrund des freiwilligen Charakters des 6-K, der inhaltlich aber
dem Pflichtformular 10-Q entspricht, wird dieser nicht als periodische Meldung im Sinne
des Section 302 SOA gewertet.
Vgl. Sarbanes-Oxley Act (2002), Section 302.
Anm. Die Final Rule »Certification of Disclosures in Companies’ Quarterly and Annual
Reports« ist unter http://www.sec.gov/rules/final/33-8124.htm abrufbar.
Vgl. Sarbanes-Oxley Act (2002), Section 303.
Anm.: Die Final Rule »Improper Influence on Conduct of Audits« ist unter http://www.
sec.gov/rules/final/34-47890.htm abrufbar.
Vgl. Sarbanes-Oxley Act (2002), Section 304.
Vgl. Sarbanes-Oxley Act (2002), Section 306.
Anm.: Die Final Rule »Filing Guidance Related To: Conditions for Use of Non-GAAP Financial Measures; and Insider Trades During Pension Fund Blackout Periods« ist unter
http://www.sec.gov/rules/final/33-8216htm abrufbar.
20
Kapitel I: Regulatorisches Umfeld
Vorschriften der Wirtschaftsprüfung, dem CEO oder dem Rechtsvorstand
zu melden. Falls diese nicht angemessen auf die Meldung reagieren, muss
dies der Anwalt an das Audit Committee berichten.43 Auch zu diesem
Sachverhalt hat die SEC Final Rules erlassen.44
2.2.4 Abschnitt IV: Enhanced Financial Disclosures
Abschnitt IV regelt die Erweiterung der Offenlegungspflichten von Finanzinformationen. Section 401 SOA schreibt vor, dass wesentliche, bilanzunwirksame Geschäfte und vertragliche Verpflichtungen (Off-Balance Sheet
Arrangements) in periodisch und jährlich einzureichenden Berichten veröffentlicht werden müssen. Im Fall Enron wurden solche Off-Balance-Sheet
Arrangements nicht veröffentlicht. Deshalb herrschte über die verschachtelte Finanzstruktur mit Offshore-Partnerschaften wenig Klarheit, sodass
Enron nicht ausgewiesene Verbindlichkeiten von mehr als 1 Mrd. US$
eingehen konnte.
Zu den bilanzunwirksamen Geschäften ist ein gesonderter Abschnitt in die
Management Discussion and Analysis mit aufzunehmen, in dem Art und
Höhe dieser Geschäfte anzugeben sind. Zusätzlich muss eine Aufstellung
über alle vertraglichen Verpflichtungen abgegeben werden.45 Die SEC wird
in diesem Paragraphen verpflichtet, Final Rules zu erweiterten Offenlegungspflichten für Pro-forma Finanzdaten zu verfassen. Diese sollen festlegen, dass Pro-forma Finanzdaten nur dann veröffentlicht werden dürfen,
wenn sie auf US-GAAP46 Angaben übergeleitet werden können und somit
für den Anleger nicht irreführend sind.47
Keine Darlehen für Vorstand und Aufsichtsrat
Eine weitere Regelung des Abschnitt IV des Sarbanes-Oxley Act stellt das
Verbot jeglicher Vergabe von Darlehen an Mitglieder des Board of Directors, also den Vorstand und Aufsichtsrat, dar.48 Des Weiteren regelt Section
403 SOA eine Verkürzung der Meldefristen für Transaktionen, an denen
das Management des Unternehmens oder Personen, die mehr als 10% der
43 Vgl. Sarbanes-Oxley Act (2002), Section 307.
44 Anm.: Die Final Rule »Implementation of Standards of Professional Conduct for Attorneys«
ist unter http://www.sec.gov/rules/final/33-8185.htm abrufbar.
45 Vgl. Sarbanes-Oxley Act (2002), Section 401.
46 Anm.: US Generally Accepted Accounting Principles.
47 Anm.: Die Final Rule »Disclosure in Management’s Discussion and Analysis about OffBalance Sheet Arrangements and Aggregate Contractual Obligations« ist unter http://www.
sec.gov/rules/final/33-8182.htm abrufbar.
48 Vgl. Sarbanes-Oxley Act (2002), Section 402.