DIErektSOX — DIErektBERATUNG AG

SOX-Consulting

SOX (Sarbanes-Oxley Act) ist ein US-Gesetz, das Bilanzmanipulationen erschweren und das Vertrauen der Anleger stärken soll. An US-Börsen gelistete Unternehmen und deren deutsche Tochterfirmen müssen bis spätestens 31.12.2005 "compliant" mit SOX sein. Besondere Bedeutung für die IT hat SOX Section 404. Diese regelt die Beurteilung der Effektivität interner Kontrollen über die Finanzberichterstattung.

Da sämtliche Prozesse im Rahmen der Bilanzerstellung auch durch IT unterstützt werden, spielt IT eine wichtige Rolle bei der Umsetzung von SOX. Die DIErektBERATUNG AG ist bereits erfahren in der Analyse bestehender, bilanzrelevanter IT-Prozesse, der Identifizierung der sogenannten Key Controls und hat ihre Kunden auch bei der Umsetzung unterstützt.

Beratungsleistungen

Hilfestellung leisten unsere Berater bereits bei der Auswahl der SOX-relevanten Prozesse (Scoping). Bei der anschließenden Analyse der bestehenden, bilanzrelevanten IT-Prozesse (Entwicklung, Deployment, Betrieb, Support) identifizieren wir damit verbundene mögliche Risiken und entwickeln geeignete Kontrollgerüste. Besonderer Fokus wird auf die sogenannten "Key Controls" gelegt, die eine fehlerfreie und zuverlässige Bilanz garantieren. Diese werden dokumentiert und evaluiert, um den Nachweis der operativen Effektivität und Effizienz zu leisten.

Werkzeuge: CobiT und COSO

Um sicherzustellen, dass der Kontrollumfang allen SOX-Anforderungen gerecht wird, orientieren wir uns z.B. an dem IT-Kontrollframework CobiT (Control Objectives for Information and Related Technology), ein Modell, das Kontrollziele und Geschäftsziele für jeden IT-Prozess festlegt. Beim Tailoring (Maßschneidern) von CobiT passen wir die IT-Kontrollziele unternehmensspezifisch (Größe und Komplexität) an.

Als ein weiteres Hilfsmittel verwenden wir das von SOX empfohlene COSO-Framework (Committee of Sponsoring Organizations of the Treadway Commission), von dem auch die Entwicklung von CobiT beeinflusst wurde. Es kann als Rahmenwerk für die nicht IT-spezifischen internen Kontrollsysteme angesehen werden.

Externe Prüfung

Bei der abschließenden Prüfung des internen Kontrollsystems durch unabhängige Wirtschaftsprüfer werden mittels "Walkthrough" die Prozesse und Kontrollen durchlaufen, um mögliche Fehlerrisiken zu identifizieren und die Kontrollen zu beurteilen. Wir unterstützten die Erstellung solcher "Systemführer" durch die Betonung essentieller Darstellungsziele und die Anwendung von "Best Practices" im Bereich der dokumentativen SOX-Tätigkeiten.