Als wir uns Ende des Sommers dem „Sweet Sixteen“ des Sarbanes-Oxley Act nähern, gaben die Unternehmenscontroller einen Überblick darüber, wie sich die Bemühungen zur Einhaltung der SOX-Vorschriften im Laufe der Zeit verändert haben und mit welchen Herausforderungen sie weiterhin konfrontiert sind. „Ich habe im Laufe der Jahre einige SOX-Änderungen und Verbesserungen der internen Kontrollen seit der Einführung des ursprünglichen COSO-Frameworks im Jahr 1992 gesehen“, sagte Cheryl Kerr, CPA, Controllerin beiPursuit Kollektion, ein in Denver ansässiges Unternehmen, das Attraktionen, Lodges und Hotels sowie Besichtigungstouren in Alaska, Montana und Westkanada betreibt. „Interne Kontrollen sind notwendig, um Risiken zu minimieren, und wenn sie gut konzipiert sind, geben sie Ihnen die Gewissheit, dass Ihre Finanzen korrekt sind. Der Rahmen bietet ein einheitliches Modell zur Förderung effizienter und wirksamer Kontrollen.“

Gerangel um die Einhaltung der Vorschriften

Brian Christensen, Executive Vice President für globale interne Revision und Finanzberatung beim Beratungsunternehmen Protiviti, sagte, dass die meisten Unternehmen derzeit ziemlich gut auf die Anforderungen der SOX-Anforderungen reagieren. „Ich denke, wir sind an einem Punkt angelangt, an dem die Leute verstehen und schätzen, was da ist“, sagte er. „Es geht jetzt darum, wie wir die Effizienz weiter verbessern können.“ Aber damals, als SOX am 30. Juli 2002 Gesetz wurde, war Debbie Smith, PMP, Unternehmenscontrollerin der in Phoenix ansässigen FirmaJenseits von Vertrauen, ein Anbieter von Software für das Management von Cybersicherheitsbedrohungen, erinnert sich an Unternehmen, die sich bemühten, herauszufinden, wie sie die Vorschriften einhalten können. „Es gab viel Unsicherheit und Widerstand. Ich würde also sagen, dass in den ersten Jahren der Schwerpunkt und die Bemühungen hauptsächlich auf der Einhaltung von Vorschriften lagen „, sagte sie. „Wahrscheinlich drei bis fünf Jahre nach dem Inkrafttreten begannen die Organisationen, sich zu einigen und eine Perspektive zu gewinnen. Der Ton änderte sich. Die Unternehmen erfüllten die für die Einhaltung der Vorschriften erforderlichen Mindestanforderungen, und das Umfeld verlagerte sich zunehmend in Bereiche, in denen Effizienz und Verbesserung erforderlich waren, wie z. B. die Standardisierung wichtiger Prozesse und Kontrollen, die Reduzierung der Komplexität, die Erweiterung der Dokumentation und Schulung sowie die Gewährleistung einer effektiven Kontrollumgebung. Die Einhaltung der Vorschriften wurde das Ergebnis dieser Bemühungen, nicht die treibende Kraft.“

AS 5- und SOX-Audits

Nach Ansicht von CPA David Lloyd kam es 2007 zu einer bedeutenden Entwicklung der SOX-Compliance, als der Prüfungsstandard Nr. 5 vom Public Company Accounting Oversight Board verabschiedet wurde, der als Teil von SOX.AS 5 gegründet wurde, der von Wirtschaftsprüfern bei der Prüfung interner Kontrollen der Finanzberichterstattung verwendet wird, den Prüfungsstandard Nr. 2 ersetzte, der berücksichtigt wurde.“übermäßig teuer und ineffizient.“ „In den ersten Jahren [von SOX] waren die Ansätze ziemlich streng, aber mit AS 5 hat sich das etwas gelockert“, sagte Lloyd, Vice President, Corporate Financial Controller und Schatzmeister vonGreif Inc., ein in Delaware, Ohio, ansässiges Unternehmen, das industrielle Verpackungsprodukte und -dienstleistungen herstellt und verkauft. „AS 5 sah einen stärker von oben nach unten gerichteten, risikobasierten Ansatz für das SOX-Audit vor. AS 5 wurde entwickelt, um die Kosten zu senken, indem es den Auditoren ermöglicht, sich auf die wichtigsten Themen zu konzentrieren und ihre Verfahren zu vereinfachen. „Er wies auch darauf hin, dass die Anforderungen, die den Unternehmen im Rahmen des PCAOB-Inspektionsprozesses und der aktualisierten2013 COSO Interne Kontrolle — Integrierter Rahmenhaben in den letzten Jahren die Messlatte für die SOX-Konformität höher gelegt. „Beides hat die Komplexität und den Aufwand, der für die Einhaltung der Vorschriften erforderlich ist, erheblich erhöht“, sagte Lloyd. „Ein aktuelles Beispiel aus den letzten Jahren bezieht sich auf wichtige Berichte, die bei der Bedienung von Steuerungen verwendet werden. In letzter Zeit wurde der Dokumentation von Parametern wie korrekten Daten und korrekten Entitäten mehr Aufmerksamkeit geschenkt, als nur dem Testen der Berichtslogik.“

Auswirkungen des COSO-Frameworks

Der ursprüngliche Rahmen von COSO, der 1992 veröffentlicht wurde, entsprach den Regeln der U.S. Securities and Exchange Commission für die Durchführung interner Kontrollen der Finanzberichterstattung gemäß SOX Abschnitt 404. Der Kern des Rahmens von 1992 waren die fünf Komponenten der internen Kontrollen: Kontrollumgebung, Risikobewertung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachungstätigkeiten. Kerr und andere zufolge begann das Framework jedoch in die Jahre gekommen zu sein. „Der COSO-Rahmen wurde veröffentlicht und als einheitlicher Rahmen für interne Kontrollen verabschiedet. Als Unternehmen begannen, auf ein ähnliches Kontrollsystem umzusteigen, stellten Sie fest, dass die Kontrollen konsistent waren „, sagte Kerr. „Wir hatten dieses ursprüngliche COSO-Framework viele Jahre lang, bevor es überarbeitet wurde. Es war veraltet und berücksichtigte keine wesentlichen geschäftlichen Änderungen, insbesondere im Bereich der allgemeinen IT-Kontrollen und der Einhaltung von Vorschriften. Als sie es 2013 überarbeiteten, wurde das Framework robuster und für das heutige Geschäftsklima geeigneter. „Das COSO-Framework von 2013 enthält 17 Prinzipien, die die Konzepte erläutern, die mit den fünf Hauptkomponenten des Frameworks verknüpft sind. Eine davon, Nr. 11, ist „die Auswahl und Entwicklung allgemeiner Technologiekontrollen“. Und im Gegensatz zum Rahmen von 1992 beinhaltet der Rahmen von 2013 das Konzept, das Betrugsrisiko bei der Bewertung der Risikoziele des Unternehmens zu berücksichtigen. „Der COSO-Rahmen von 2013 hat dem Management im Bereich der Betrugsbekämpfung im überarbeiteten Rahmen etwas mehr Verantwortung auferlegt“, sagte Kerr. „Sie haben also vor einigen Jahren diese große Umstellung auf das neue COSO-Framework gesehen, und Unternehmen mussten ihre Kontrollen identifizieren und sie dem neuen Framework zuordnen.“

Bessere Zusammenarbeit

Aus operativer Sicht sagte Kerr, dass eine der größten Veränderungen, die sie in den letzten 15 Jahren erlebt hat, neben dem Einfluss von COSO auf den Rahmen, die Art und Weise ist, wie Unternehmen und Prüfer zusammenarbeiten, um sicherzustellen, dass der Kontrollrahmen richtig dimensioniert ist. „Sie wollen keine Zunahme übermäßiger Kontrollen, die nicht wirklich zur Risikominderung beitragen, oder einen zu minimalen Kontrollrahmen“, sagte sie. „Es geht darum, Ihren Kontrollrahmen richtig zu dimensionieren und die Kontrollen zu identifizieren, die innerhalb des Rahmens von entscheidender Bedeutung sind, um eine falsche Darstellung von Jahresabschlüssen zu verhindern“, fuhr Kerr fort. „Früher hast du oft gehört: 'Die Auditoren haben mich dazu gezwungen'. Nun, Auditoren zwingen uns zu nichts, was wir nicht tun sollten. Dies sind unsere Kontrollen, und wir sind für sie verantwortlich, wir entwerfen sie und wir arbeiten mit den Auditoren zusammen, um sicherzustellen, dass unser Framework unser Risiko mindert. „Sie merkte auch an, dass es zu einem einheitlicheren Rahmen führen würde, wenn die Mitarbeiter von IT und Geschäftsprozessen auf derselben Wellenlänge sind. „Was ich in den letzten Jahren erlebt habe, ist eine intensivere Zusammenarbeit, bei der sowohl IT-Verantwortliche als auch Inhaber der Geschäftsprozesskontrolle in derselben Komplettlösung vertreten sind, da die Systeme so stark in die Geschäftsprozesse integriert sind“, so Kerr. „Sie arbeiten wirklich zusammen am Kontrollrahmen und entwerfen keine Systemsteuerungen im luftleeren Raum von Geschäftsprozesssteuerungen und keine Geschäftsprozesssteuerungen im luftleeren Raum von Systemsteuerungen. Das zum Laufen zu bringen war eine Herausforderung, aber wenn es gut funktioniert, macht es den gesamten Prozess viel reibungsloser und effizienter.“

Die wichtigsten SOX-Herausforderungen für Controller

„Abgesehen von den ständig neuen Kontrollanforderungen und technischen Compliance-Anforderungen im Zusammenhang mit der Verwaltung von SOX betreffen die größten Probleme, mit denen Unternehmen konfrontiert sind, die erforderlichen Zeit- und Kostenauswirkungen, die für die Einhaltung der Vorschriften, die kontinuierliche Bewertung der Kontrollen, die Bewältigung einer Vielzahl neuer Probleme im Zusammenhang mit Akquisitionen und die Bewältigung der zunehmenden Intensität der Cybersicherheit erforderlich sind“, sagte Steve Rinaldi, CPA, US-Unternehmenskontroller beiInterSystems, ein globaler Anbieter von Gesundheits-IT mit Sitz in Cambridge, Massachusetts. In der Tat wurden viele der von Rinaldi genannten Probleme in der jüngsten Studie von Protiviti hervorgehobenUmfrage zur SOX-Konformität.Kosten für die Einhaltung der Vorschriften:Laut der Umfrage waren die jährlichen SOX-Compliance-Kosten im Geschäftsjahr 2016 im Vergleich zum Vorjahr leicht rückläufig. Ein Grund dafür ist, dass die meisten Organisationen die Implementierungsarbeiten im Zusammenhang mit dem COSO-Framework von 2013 abgeschlossen haben — das in der Regel zwischen 50.000 und 100.000 US-Dollar kostet. Dieser Kostenrückgang wurde jedoch nicht von allen öffentlichen Unternehmen wahrgenommen. Zwar geben mehr Unternehmen jährlich 500.000$ oder weniger für die SOX-Compliance aus als in den Vorjahren, aber viele geben immer noch mehr als 2 Millionen $ aus. „Ich denke, wir haben gesehen, dass etablierte Unternehmen, die den SOX-Prozess Jahr für Jahr durchlaufen haben, ihre Effizienz gesteigert haben und einen Reifegrad erreicht haben, der ihnen eine bessere Rendite beschert und letztendlich die Kosten der Bemühungen aufrechterhalten oder senken“, sagte Christensen. „Diejenigen, die sich relativ früh in ihrer SOX-Reise befinden, sehen jedoch immer noch die Möglichkeit, diese Reifekurve hochzubewegen — von einem eher ad hoc-Zustand zu einem besser definierten Level überzugehen. Und ich würde erwarten, dass sie diese Effizienzsteigerungen in naher Zukunft sehen werden.“Öffnungszeiten für die Einhaltung der Vorschriften:Der Zeitaufwand für SOX-Compliance-Aktivitäten stieg im Geschäftsjahr 2016 bei den meisten Unternehmen an, und bei zwei von drei dieser Unternehmen stiegen die Arbeitsstunden laut der Umfrage um mehr als 10 Prozent.Cybersicherheit: Im Geschäftsjahr 2016 gab es einen ziemlich starken Anstieg der Angaben zur Cybersicherheit (33%) im Vergleich zum Vorjahr (20%). „Ich spreche mit vielen Prüfungsausschüssen und internen Auditoren darüber, was auf den Listen auf Makroebene steht, über die die Geschäftsleitung und der Vorstandssaal nachdenken, und offensichtlich stand Cybersicherheit in den letzten ein oder zwei Jahren ganz oben auf der Liste“, sagte Christensen.

Die Zukunft der SOX-Konformität

Eine große Frage für die Zukunft, so Christensen, lautet: Wie werden SOX der nächsten Generation aussehen? „Zu den Themen, mit denen wir uns befassen, gehört die Einführung einer gewissen robotergestützten Prozessautomatisierung. RPA ist ein aktuelles Thema, und ich glaube nicht, dass die Leute diesen Weg eingeschlagen haben, aber es gibt enorme Möglichkeiten und das wird Teil der Zukunft sein „, sagte er. „Einige der größeren Fortschritte werden durch automatisierte Techniken erzielt werden, die es gibt, insbesondere bei fortschrittlichen Technologien“, fuhr Christensen fort. „Große Datenmengen und unterschiedliche Datensysteme kommunizieren und bestätigen Informationen und fügen Elemente und Dinge hinzu, die Sie in die Cloud und in die verschiedenen Cloud-Umgebungen übertragen können. Das ist wahrscheinlich die nächste Grenze, in die SOX gehen kann, aber das ist wahrscheinlich noch zwei bis drei Jahre entfernt. Unternehmen, die in Bezug auf SOX auf dem neuesten Stand sind, beginnen jedoch erst heute, diese zu implementieren und damit zu experimentieren. Das weckt also einige Aufregung und Interesse daran, wohin sich SOX entwickelt. „Technologische Fortschritte bei der SOX-Konformität werden im Mittelpunkt eines zukünftigen Artikels stehen, da diese Controller über Technologietrends, Automatisierung und die Möglichkeit sprechen, künstliche Intelligenz und Blockchain bei ihren Compliance-Bemühungen einzusetzen.

Erfahren Sie in diesem Artikel, wie Close-Management-Software Controllern und Chief Accounting Officers helfen kann, die SOX-Konformität zu erreichen On-Demand-Webinar — SOX-Konformität bei Reconciliation Reviews: So lindern Sie die Probleme.

Eine Version dieses Artikels erschien zuerst auf Going Concern.