Riskmanagement war eigentlich schon immer ein Thema in Unternehmen. Es erlangte allerdings eine völlig neue und bedeutendere Rolle denn je, als nach den Bilanzskandalen der amerikanischen Unternehmen Worldcom und Enron der berühmte Sarbanes-Oxley Act verabschiedet wurde.  Seinen Namen verdankt das Gesetz seinen beiden Initiatoren, dem Senator Paul Sarbanes und Congressman Mike Oxley. Ziel war es, das Anlegervertrauen wieder herzustellen. Um dieses Ziel zu erreichen, ist von amerikanischen börsennotierten Unternehmen, sowie all ihren Tochtergesellschaften ein internes Kontrollsystem zu implementieren und zu dokumentieren. Sofern (Dienst-)Leistungen, die rechnungslegungsrelevant sind, an Dritte outgesourct werden, sind auch diese Aktivitäten im Scope von SOX. Im einzelnen geht es im Sarbanes-Oxley Act um: 

  • Die Implementierung eines internen Kontrollsystems (IKS), das die Einhaltung der Forderungen von Section 302 ermöglicht sowie die Dokumentation dieses IKS (Section 404)
  • Die Bestätigung der Vollständigkeit und Richtigkeit aller Angaben in den regelmäßigen Unternehmensreportings sowie das Aufzeigen bekannt gewordener Schwachstellen im IKS und durchgeführte Änderungen am  IKS gegenüber den Wirtschaftsprüfern und dem Audit Committee (Section 302 durch CEO und CFO).
  • Alle Geschäftsprozesse, im Kern allerdings um die (Kontroll-)Prozesse, die in unmittelbarem Zusammenhang mit der Rechnungslegung stehen.

In Deutschland gewinnt das Thema J-SOX in der jüngeren Vergangenheit an Bedeutung. Grund ist, dass die Japaner die Chinesen als aktivste Aufkäufer deutscher und anderer europäischer Unternehmen abgelöst haben. Alle von japanischen Gesellschaften übernommenen Unternehmen unterliegen den Regularien von J-Sox. Einzige Ausnahme: sollte der Umsatz- und/oder Gewinnanteil und/oder das Immobilienvermögen einer aufgekauften Gesellschaft im Vergleich zum Gesamtkonzernumsatz/-gewinn „vernachlässigbar sein“ kann eine solche Gesellschaft mit Einverständnis ihres Wirtschaftsprüfers als „out of scope“ definiert werden.

Der Aufbau eines Internen Kontrollsystems ist interlektuell betrachtet nicht so schwer. Was das Thema anstrengend macht, ist die Definition geeigneter Kontrollen und die Dokumentation der Durchführung solcher Kontrollen. Erschwerend kommt hinzu, dass im Vergleich zu den ersten Jahren dieses Jahrtausends die IT-technische Durchdringung operativer Prozesse heute deutlich höher ist als vor 17 Jahren. In fast jedem Unternehmen, wird der jeweilige IT-Verantwortliche auf Nachfrage über einen Mangel an Ressourcen klagen. Aus dem Business kommen immer häufiger Anforderungen, durch weitere Systeme Prozessabläufe schneller und sicherer zu machen. In Großunternehmen mit mehreren Hundert oder sogar tausenden IT-Systemen fehlt nicht selten die Zeit, alle Systeme für sich und in ihrem Zusammenspiel zu dokumentieren. Da gilt dann oft die Weisheit: „Never touch a running system“. 

Aber soweit muss man gar nicht gehen. Das global am weitesten verbreitete „ERP-System“ war und ist Excel. Wir haben noch kein Unternehmen kennengelernt, in dem die von uns befragten Personen auf unsere Frage nach der Bedeutung von Excel die Antwort gaben „das kann eigentlich weg“. Mit Excel werden teilweise sehr umfangreiche Berechnungen und Analysen durchgeführt, auch rechnungslegungsrelevante Berechnungen. Das „Changemanagement“ bei solchen selbstgestrickten Excelanwendungen ist aber um Klassen schlechter ausgeprägt als das Changemanagement bei einem Wechsel des ERP-Systems.
Aus diesem Grund dauert gerade der erstmalige Aufbau eines SOX-konformen Kontrollsystems oft länger, als die Betroffenen annehmen und man sollte so ein Projekt nicht erst auf den letzten Drücker starten.

J-SOX, die japanische Variante des amerikanischen Originals

Beim Begriff „J-Sox handelt es sich um einen inoffiziellen Terminus. Hinter ihm verbirgt sich eine Gesetzesinitiative der japanischen Regierung, das „Securities and Exchange Law“. Das Gesetz bezieht sich auf in Japan gelistete Unternehmen, einschließlich ihrer weltweiten Töchter und umfasst Anforderungen, die denen des amerikanischen Vorläufers sehr ähnlich sind. Gültigkeit erlangte diese Regelung für Geschäftsjahre, die nach dem 1. April 2008 oder später beginnen.Wie bei US-SOX unterscheidet auch J-Sox zwischen Kontrollen auf Entity und Transaction Ebene. Zu den weiteren Gemeinsamkeiten gehören:

  • dass das Management eines Unternehmens auf Grundlage eines Referenzmodells für interne Kontrollsysteme eine Bewertung der eigenen internen Kontrollen vornehmen muss und
  •  dass zusätzlich die Managementbewertung von einem externen Auditor geprüft werden muss

Im zweiten Punkt  zeigt sich allerdings auch ein Unterschied zu den amerikanischen Anforderungen:  Während in den USA der externe Auditor zu einer Meinung über die Effektivität des internen Kontrollsystems kommen soll, wird der Auditor eine Meinung über die Managementbewertung abgeben und zwar an das Management. In Analogie zu den amerikanischen Auditing Standards 2 und 5 existiert auch ein mit 134 Seiten umfangreicher japanischer Auditing Standard. Dieser „Evaluation and Auditing Standard for Internal Control for Financial Reports“ besteht aus drei Teilen. Der erste Teil „Basic Framework of internal control“ führt u.a. folgendes aus: „Internal control is basically a process that is carried out by all members of the company in order to fulfill four corporate objectives:

  • Effectiveness and efficiency of operations 
  • Reliability of financial reports 
  • Compliance with laws and regulations relating to business activities
  • Safeguarding of assets

Im Unterschied zum COSO Framework benennen die Japaner explizit „Safeguarding of assets als vierte Zielkategorie. Allerdings wurde dieser Aspekt in der Vergangenheit auch bei US-SOX Kontrollsystemen betrachtet, auch wenn er bei COSO nicht explizit im berühmten Würfel aufgeführt wird. Auch ein Blick auf die Elemente des japanischen Rahmenwerkes zeigt, dass dieses im wesentlichen mit dem COSO-Ansatz übereinstimmt. Eine nennenswerte Abweichung gibt es allerdings: Die explizite Erwähnung des Bereichs IT. Allerdings spielt die IT auch im amerikanischen Pendant mit Blick auf die IT General Controls und die Application controls eine gleichgewichtige Rolle.

J-SOX stellt im Vergleich zu US-SOX keine grundlegend anderen Anforderungen an Aufbau und Umsetzung eines internen Kontrollsystems. Möglicherweise ist der Detaillierungsgrad mit Blick auf die IT-Themen höher als bei US-SOX. Diesen Punkt sollten Sie als betroffenes Unternehmen frühzeitig mit Ihren Wirtschaftsprüfern klären. Das gilt auch und vor allem für die Frage, welche Bedeutung Ihr Wirtschaftsprüfer operativen Risiken beimisst. Die Aussagen zu diesem Aspekt sind im japanischen Auditing-Standard nämlich widersprüchlich und lassen unterschiedliche Interpretationen zu. 

Wenn Sie sich einen guten Überblick verschaffen wollen, was auf Sie im Einzelnen zukommt, dann empfehlen wir Ihnen unser eintägiges Inhouse-Seminar. Nach diesem Tag wissen Sie ganz genau:

  • Was Sie tun müssen
  • Wie Sie die notwendigen Arbeiten möglichst schnell und effizient durchführen und
  • was Sie auf jeden Fall vermeiden sollten

Was noch hilfreicher ist: Sie erhalten alle erforderlichen Templates für die erfolgreiche Dokumentation Ihres internen Kontrollsystems, also Prozessdokumentationsbeispiele in Word- und Visio-Format, das Template für eine Risk-Control Matrix, Templatebeispiele für Tests und eine Segregation of Duty Matrix, mit deren Hilfe Sie prüfen können, inwieweit ihr bisheriges ERP-Berechtigungskonzept den Anforderungen dieser Matrix gerecht wird. Vielleicht am wichtigsten:  die gemeinsame Erstellung einer möglichst vollständigen Risiko-Kontroll-Matrix am Beispiel eines Businessprozesses.

[contact-form-7 404 "Not Found"]