Die Einrichtung moderner interner Kontrollsysteme in Unternehmen mit US-amerikanischem Listing

Diplomarbeit von Florian Frugier

Einleitung:

Auslöser der wohl größten Baisse am Kapitalmarkt seit 1929 waren die Bilanzskandale um Unternehmen wie Enron und Worldcom. Aufbauend auf einem System der Manipulation und Verschleierung wurden Umsätze aufgebläht und Gewinne ausgewiesen, die nie existiert haben sowie Beweise für diese betrügerischen Handlungen vernichtet. Allein Enron hatte von 1997 bis 2001 Gewinne in Höhe von ca. 586 Mio. USD ausgewiesen, die keiner reellen Grundlage entsprachen. Als diese Tatsachen nicht mehr zu verheimlichen waren und die US-Börsenaufsicht (‘Securities and Exchange Commission’, kurz SEC) zu ermitteln begann, ging man bei Enron und der für die Bilanzprüfungen verantwortlichen Prüfungsgesellschaft (Arthur Anderson) dazu über, brisante Daten, die Fehlbuchungen belegten, zu vernichten. Letztendlich musste Enron Gläubigerschutz beantragen. Der Aktienkurs war vom Hoch bei über 100 USD auf ein Tief bei 0,67 USD gefallen, bevor die Aktie im Januar 2002 vom Handel ausgeschlossen wurde. Eine katastrophale Kapitalvernichtung, die sich mit weiteren Skandalen fortsetzte. Das Vertrauen der Anleger war durch diese Ereignisse, in die Manager wie Prüfungsgesellschaften involviert waren, schockartig geschwunden. Offensichtlich haben sämtliche internen wie externen Kontrollmechanismen versagt, welche die Anleger vor solchen Auswüchsen schützen sollten.

Die Antwort der Legislativen folgte umgehend. Noch im Jahr 2002 wurde eine Gesetzesinitiative auf den Weg gebracht. Nur wenige Monate nach der ersten Anhörung des Gesetzesentwurfs im Repräsentantenhaus, wurde dieser vom Kongress gebilligt und letztendlich am 30. Juli 2002 von Präsident G.W. Bush unterzeichnet. Das Ergebnis ist der ‘Sarbanes Oxley Act of 2002’ (im Folgenden: Sarbanes Oxley Act oder SOX), der von vielen als die weitreichenste gesetzliche Maßnahme seit den ‘Securities and Exchange Act of 1934’ gesehen wird. Erklärtes Ziel der Verfasser ist die Wiederherstellung des Anlegervertrauens in den US-amerikanischen Kapitalmarkt. Dazu werden die Hauptkritikpunkte im Zusammenhang mit den Bilanzskandalen aufgegriffen. So betrifft der Sarbanes Oxley Act auch Wirtschaftsprüfergesellschaften bzw. Abschlussprüfer und US-Börsen notierende Unternehmen gleichermaßen. Für die Wirtschaftsprüfungsgesellschaften bedeuten die neuen Regelungen vor allem das Ende der Selbstkontrolle und verstärkte Anforderungen an die Unabhängigkeit der Prüfer. Der Großteil der Ausführungen, nämlich Abschnitt III bis XI, beinhaltet Bestimmungen für eine verbesserte Corporate Governance und richtet sich somit an die Unternehmen. Für die betroffenen Unternehmen und deren Management ergeben sich daraus eine Vielzahl von neuen Herausforderungen. So werden die Pflichten und Verantwortlichkeiten des Managements konkretisiert und ausgeweitet. Diese sind vor allem an Bestimmungen geknüpft, welche die Transparenz des Unternehmens sicherstellen sollen. So sind erweiterte Berichts- und Veröffentlichungspflichten maßgeblicher Bestandteil der neuen Regelungen (§ 302 SOX). Diese betreffen vor allem Finanz- und Bilanzinformationen, für deren Richtigkeit das Management, auf Gefahr hoher Strafen hin, einstehen muss. Deshalb hat das Management ein adäquates internes Kontrollsystem einzurichten, welches die ordnungsgemäße Rechnungslegung sicherstellt (§ 404 (a) SOX). Neben der Einrichtung und Aufrechtherhaltung eines solchen Systems ist das Management des weiteren dazu verpflichtet, dessen Wirksamkeit regelmäßig zu überprüfen und über etwaige Fehlfunktionen zu berichten. Dieser Bericht muss zudem vom Abschlussprüfer testiert werden ( § 404 (b) SOX). Paragraph 404 SOX kann somit als das Kernstück des Gesetzes angesehen werden, da dessen Implikationen am weiteichensten sind.

Der Geltungsbereich ist dabei nicht nur auf US-amerikanischen Unternehmen beschränkt. Vielmehr sind alle, also auch ausländische Unternehmen, die an US Börsen notieren bzw. für solche Prüfungsleistungen erbringen, von den Regelungen betroffen. Nicht zuletzt dadurch entfaltet das Gesetz eine nicht zu vernachlässigende Strahlwirkung auf die Legislative der EU bzw. Deutschlands.

Zunächst sollen die Auswirkungen des Sarbanes Oxley Act auf deutsche Unternehmen (Wirtschaftsprüfungsgesellschaften wie Unternehmen mit einer Zweitnotiz an einer US-Börse) untersucht werden. Dabei sind der Auswirkungen zweierlei zu betrachten. Zum einen die direkten Auswirkung des Sarbanes Oxley Act auf die Unternehmen und zum anderen die indirekten, die Gesetzesänderungen auf EU-Ebene und in Deutschland mit sich bringen. Der Schwerpunkt liegt in der Betrachtung der § 404 und § 302 SOX, den Anforderungen die sich hieraus für die Unternehmen ergeben und den Möglichkeiten diesen Anforderungen gerecht zu werden. Dabei stehen die Herausforderungen, welche die neuen Regelungen rund um das interne Kontrollsystem mit sich bringen und deren effiziente Umsetzung, im Mittelpunkt. Vor diesem Hintergrund und den gezeigten Auswirkungen auf die Unternehmen, wird der Frage nachgegangen, ob die Regelungen des Sarbanes Oxley Act zielführend sind. D.h. sind die Maßnahmen geeignet, die intendierten Ziele der Verfasser, zu erreichen?

Gang der Untersuchung:

Um ein umfassendes Bild der Auswirkungen des Sarbanes Oxley Act aufzuzeigen, werden im zweiten Kapitel zunächst die Auswirkungen auf die Wirtschaftsprüfungsgesellschaften untersucht. Damit einhergehend wird die exterritorialeStrahlwirkung des ‘Acts’ auf die Legislative der EU und Deutschland betrachtet.

Im dritten Kapitel wird dann die Auswirkung auf an US-Börsen notierten Unternehmen dargestellt. Dabei sind vor allem die beiden weitereichensten Regelungen (§ 302 und § 404 SOX) von Interesse. Darauf aufbauend wird auf den Begriff des IKS eingegangen sowie auf die im Gesetzt verlangten Ausgestaltungsanforderungen der internen Kontrollen.

Im vierten Kapitel steht die effiziente Umsetzung der im vorangegangen Teil erläuterten Anforderungen im Mittelpunkt.

Im fünften Kapitel wird vor dem Hintergrund der weitreichenden Anforderungen an die Unternehmen und Wirtschaftsprüfungsgesellschaften untersucht, inwieweit die erlassenen Regelungen des Gesetzgebers zielführend sind.

Inhaltsverzeichnis:

	Inhaltsverzeichnis	I
	Abkürzungsverzeichnis	II
	Abbildungsverzeichnis	III
1.	Einleitung	1
1.1	Hintergrund	1
1.2	Ziele	3
1.3	Aufbau der Arbeit	3
2.	Wirtschaftsprüfungsgesellschaften und der Sarbanes Oxley Act	4
2.1	Der Systemwechsel der Qualitätskontrolle nach SOX - vom Peer-Review zum Monitoring	4
2.2	Auswirkungen der neuen Regelungen auf die Wirtschaftsprüfungsgesellschaften	7
2.3.	Die Unabhängigkeit der Abschlussprüfer	11
3.	Deutsche Unternehmen und der Sarbanes Oxley Act17
3.1	Regulatorische Anforderungen in Deutschland vor dem Sarbanes Oxley Act	17
3.2	Einrichtung und Aufgaben des Audit Committee nach SOX (§ 301)	19
3.3	Anforderungen an der Managementberichterstattung nach SOX (§ 302)	21
3.4	Anforderungen an das interne Kontrollsystem nach SOX (§ 404)	24
3.4.1	Aufbau und Ziele von § 404 SOX	26
3.4.2	Abgrenzung von § 302 und § 404 SOX	26
3.4.3	Das interne Kontrollsystem	27
3.4.4	Das Rahmenwerk der Treadway Kommission	30
3.4.4.1	Entstehung und Ziele des Rahmenwerkes	30
3.4.4.2	Die COSO-Komponenten	32
3.4.4.3	Weiterentwicklung	39
4.	Ein Modernes internes Kontrollsystem -Methodische Umsetzung des Sarbanes Oxley Act in deutschen Unternehmen	43
4.1.	Das SOX-Projekt	43
4.2	Einrichtung	44
4.2.1	Projektziele	44
4.2.2	Projektorganisation	46
4.2.3	Projektumfang	46
4.2.4	Ziele, Risiken und Kontrollen	50
4.2.5	Dokumentation	54
4.3	Kontrolltests	56
4.4	Kontrollschwächenbeseitigung	60
4.5	Die Berichterstattung über das IKS nach SOX - Der Managementbericht	60
4.6	Zwischenfazit	63
5.	Sind die Maßnahmen des Sarbanes Oxley Act zielführend?	64
5.1	Die Unabhängigkeit der Prüfer und SOX	64
5.2	Kann das Anlegervertrauen durch § 302/§404 SOX gestärkt werden?	73
6.	Zusammenfassung	78
7.	Literaturverzeichnis	81
8.	Anhang	101

Textprobe:

Kapitel 4.3 Kontrolltests:

Neben der Dokumentation der wesentlichen Prozesse und der dazugehörigen Kontrollen ist die Effektivität des IKS durch entsprechende Tests sicherzustellen. Die Testergebnisse bilden die Grundlage für die Bewertung der Wirksamkeit des IKS durch das Management (Managementbericht). Da dieser Bericht am Jahresende im Zuge der Abschlussprüfung vom Prüfer zertifiziert werden muss, ist der Testverlauf und dessen Ergebnisse ebenfalls zu dokumentieren, um die Aussagen belegen zu können.

Die Kontrollen lassen sich sowohl auf ihre konzeptionelle Gestaltung (‘Design of Controls’ bzw. ‘Control Effectiveness) als auch auf ihre operationale Wirksamkeit (‘Operating Effectiveness’) hin testen und bewerten. Hierzu schreibt die SEC keine bestimmte Testmethode oder kein bestimmtes Verfahren vor. Diese zu entwickeln und umzusetzen liegt in der Verantwortlichkeit des Managements.

Die Auswahl der zu testenden Kontrollen erfolgt nach der Relevanz des zugrunde liegenden Prozesses für die Finanzberichterstattung. D.h. es sollten vor allem diejenigen Kontrollen getestet werden, die Prozesse überprüfen, die den am Anfang des Projekts identifizierten ‘significant accounts’ zugrunde liegen. Dabei ist es empfehlenswert zunächst die unternehmensweiten Kontrollen (‘Company Level Controls’) zu testen. Ausgehend von den dort erkannten Schwachstellen können dann gezielter Tests für Einzelkontrollen entwickelt werden.

Beim Kontroll-Design ist zu überprüfen, ob die Kontrolle theoretisch dazu geeignet ist das Kontrollziel zu erreichen und somit zu einer Reduktion des Risikos führt. Für die Effektivität des Kontrolldesigns sind verschiedene Faktoren verantwortlich. So z.B.:

- Die Platzierung der Kontrolle im Prozessablauf bzw. die Positionierung im Gesamtprozess.

- Die Geeignetheit der Kontrolle das Kontrollziel zu erfüllen.

- Die Informations- und Kommunikationsstrukturen.

- Die Überwachung wesentlicher Kontrollen durch das Management.

Die Kontrollen sollten adäquat dokumentiert werden, um die Leistungsfähigkeit derselben zu gewährleisten. Eine wesentliche Rolle spielt dabei der Kontrollverantwortliche, der aufgrund der ihm zur Verfügung stehenden Informationen gegebenenfalls Schritte zur Verbesserung oder Modifizierung der Kontrollen einleiten kann. Hierbei wird deutlich, wie wichtig die Umsetzung der einzelnen COSO-Komponenten in Form der unternehmensweiten Kontrollen (‘Company Level Controls’) für ein effektives IKS ist. Ohne ein adäquates Kontrollumfeld, in dem das Management seine Mitarbeiter für Risiken sensibilisiert und ohne geeignete Informations -und Kommunikationsstrukturen sowie Monitoringmaßnahmen sind effektive Kontrollen nicht zu gewährleisten.

Neben der Prüfung der theoretischen Ausgestaltung der Kontrollen sind diese auch auf ihre Funktionsfähigkeit hin zu testen. Dazu stehen verschiedene Testverfahren zur Verfügung. So können Umfragen der Mitarbeiter Aufschluss über das Kontrollumfeld geben bzw. über den Akzeptanzgrad der vom Management geschaffenen Richtlinien. Um ein repräsentatives Ergebnis zu erhalten, sollten möglichst viele Mitarbeiter in diesen Test miteinbezogen werden.

Gefragt werden kann z.B. ob der Verhaltenskodex (‘Code of Conduct’) gelesen und verstanden wurde oder ob ein allgemeines Risikobewusstsein vorhanden ist. Es können auch direkt Befragungen von Kontrollverantwortlichen durchgeführt werden, welche die Kontrollen auf operativer Ebene ausführen. Dabei kann gefragt werden ob, die Kontrollziele sowie die Kontrollrisiken bekannt sind. Allerdings bieten Befragungen allein keine adäquate Beurteilungsmöglichkeit, ob eine Kontrolle effektiv funktioniert oder nicht, da die Antworten willkürlich gegeben werden können.

Eine weitere Möglichkeit besteht in der Beobachtung der Kontrollprozesse bzw. der ausführenden Mitarbeiter in der Praxis. Für automatische Kontrollen kann hierdurch eine akzeptable Aussage bzgl. der Effektivität getroffen werden. Für manuell ausgeführte Kontrollen ist dies allerdings nicht der Fall. Die ausführenden Personen können durch das Wissen, beobachtet zu werden ihrer Tätigkeit sorgfältiger nachkommen als im unbeobachteten Zustand.

Die Durchsicht von Dokumenten, welche die Kontrolltätigkeit aufzeigen, kann vor allem bei manuellen Kontrollen eingesetzt werden, um sicherzustellen, dass Kontrollen überhaupt durchgeführt wurden. Einen Aufschluss über die Qualität der Kontrolldurchführung kann diese Methode allerdings nicht liefern.

Durch die wiederholte Durchführung der Kontrolle zu Testzwecken kann für manuelle Kontrollen nur eine sehr vage Aussage bzgl. der Effektivität getroffen werden. Der einbahnfreie Testlauf einer manuellen Kontrolle kann nämlich nicht die Effektivität von vergangenen oder zukünftigen Kontrolldurchläufen garantieren. Für IT-gestützte Kontrollen ist diese Art des Tests allerdings mit Abstand die sicherste Möglichkeit die Effektivität einer Kontrolle zu testen.

Idealerweise wird eine Kombination verschiedener eben dargestellter Methoden angewendet, um zu einer Bewertung zu gelangen.

Die Häufigkeit der Tests hängt von verschiedenen Faktoren ab. So ist hierfür die Kontrollart, die Signifikanz des zugrunde liegenden Prozesses sowie die Fehlerhäufigkeit in der Vergangenheit ausschlaggebend. Grundsätzlich gilt, dass manuelle Kontrollen häufiger getestet werden müssen als automatisierte. Je häufiger eine manuelle Kontrolle durchgeführt wird, desto häufiger sollte sie auch getestet werden. Automatisierte Kontrollen hingegen brauchen nur einmal auf ihre Effektivität hin überprüft werden, zumindest solange keine Programmänderungen durchgeführt wurden.

Entscheidend ist, die Tests in vollem Umfang zu dokumentieren. Denn die getroffenen Aussagen bzgl. der Effektivität des IKS müssen dem Abschlussprüfer auch ‘bewiesen’ werden. Die Dokumentation umfasst die Beschreibung der relevanten Kontrollen, die Risiken die die Kontrolle überwachen soll, die verwendete Testmethode und deren Ablauf sowie Angaben wie Datum und verantwortlicher Mitarbeiter. Das Testergebnis sowie eine Referenz auf die explizite Kontrolldokumentation kann in der Kontroll-Matrix vermerkt werden. Sollten bei den Tests Mängel bzw. Kontrollschwächen zu Tage treten, müssen diese ebenfalls dokumentiert werden.

Auf dieser Grundlage ist die Kontrollschwäche zu bewerten und gegebenenfalls zu beheben. Laut PCOAB liegt eine Kontrollschwäche dann vor, wenn die Ausgestaltung oder die Funktionalität einer Kontrolle es dem Management oder den Mitarbeitern nicht erlaubt, auftretende Fehler frühzeitig zu erkennen und zu verhindern. Dabei bezieht sich das PCOAB vor allem auf Fehler, die den Jahresabschluss verfälschen könnten. Bei der Bewertung der Kontrollschwächen muss eine Klassifizierung vorgenommen werden. Das PCOAB unterscheidet dabei zwischen ‘einfachen’ (‘control deficency’), ‘signifikanten’ (‘significant deficency’) und ‘wesentlichen’ (‘material weakness’) Kontrollschwächen. Während einfache Kontrollschwächen unter Umständen noch tolerierbar sind, ist die Gefahr einer Beeinflussung der Finanzberichterstattung durch signifikante Kontrollschwächen im erhöhten Maße gegeben. Die ‘material weakness’ stellt die schwerste Form einer Kontrollschwäche dar, da hierbei eine negative Beeinflussung der Finanzberichterstattung als wahrscheinlich gilt.

Die Klassifizierung der Kontrollschwächen ist insofern relevant, als dass die daraus folgenden Konsequenzen unterschiedlich stark ausgeprägt sind. So sind signifikante und wesentliche Kontrollschwächen dem Audit Komitee zu melden und letztere auch in den Managementbericht aufzunehmen. Dabei darf das Management bei einer oder mehreren bestehenden wesentlichen Kontrollschwächen nicht schlussfolgern, dass das IKS effektiv ist.

Kontrollschwächenbeseitigung:

Sind die Kontrollschwächen identifiziert und klassifiziert, gilt es Maßnahmen zu entwickeln, um diese zu beseitigen. Allerdings muss das weitere Vorgehen vom Lenkungsausschuss (‘Steering Committee’) autorisiert werden. Dazu ist dem Ausschuss ein Bericht über die Kontrollschwächen vorzulegen. In diesem wird die Form der Kontrollschwäche ( D.h ist die ‘design effectiveness’ oder die ‘operating effectiveness’ betroffen), das Umfeld der Kontrollschwäche und deren Auswirkungen beschrieben. Danach kann der Ausschuss eine Prioritätenliste erstellen und Maßnahmen erlassen. Diese Maßnahmen können dann von der Änderung oder Einführung einzelner Kontrollaktivitäten bis zur Modifikation bzw. Einführung unternehmensweiter Kontrollen reichen. Konkrete Maßnamen können eine ausführlichere Dokumentation oder aber auch die Zusammenlegung der Trennung von Prozessen mit sich bringen. Für die im Maßnahmenplan enthaltenen Aufgaben werden Mitarbeiter ausgewählt die für die adäquate Umsetzung verantwortlich sind. Die Kontrollschwäche gilt als behoben, wenn nach Umsetzung sämtlicher Maßnamen erneute Tests* keine Schwachstellen zu Tage fördern.

Die Berichterstattung über das IKS nach SOX - Der Managementbericht:

Neben der Verantwortung zur Einrichtung eines internen Kontrollsystems der Finanzberichterstattung gemäß § 404 (a) 1 SOX ist zusätzlich jährlich vom Management ein Bericht über die Wirksamkeit des IKS zu erstellen. Dieser Bericht ist Teil des Jahresabschlusses und muss folgende Angaben enthalten:

- Ein Statement des Managements bzgl. der Verantwortung ein adäquates IKS einzurichten und zu erhalten.

- Eine Erläuterung des verwendeten Rahmenwerkes.

- Die Ergebnisse der Wirksamkeitsprüfung sowie Aussagen über das Vorgehen und die Feststellung, ob das IKS effektiv ist oder nicht.

- Eine Aussage über die Prüfung des Managementberichts durch den Abschlussprüfer sowie über das erteilte Testat.

Die Wirksamkeit des Kontrollsystems darf nicht festgestellt werden, wenn eine oder mehrere wesentliche Kontrollschwächen (‘material weaknes’) vorliegen.

Es werden zwar keine Angaben bzgl. der zu verwendenden Formulierungen gemacht, aber es ist darauf zu achten, dass die getroffenen Aussagen unmissverständlich, klar und objektiv nachvollziehbar sind.

Wesentlicher Bestandteil der Aussage zur Wirksamkeit sind beigefügte ‘Beweismaterialien’, d.h. Unterlagen, die das Vorgehen und die Ergebnisse der Bewertung beinhalten. Nur eine lückenlose Dokumentation der Vorgänge erlauben es dem Abschlussprüfer den Managementbericht angemessen zu beurteilen. Als Grundlage hierfür können die in Kap. 4.3 vorgestellten Kontrollmatrizen dienen.

Da das Management nicht jede Kontrolle im Unternehmen persönlich testen soll, sollte die Bestätigung der Wirksamkeit ‘...entlang der Organisationshierarchie...’ erfolgen. Dazu müssen sämtliche Kontrollbewertungen der einzelnen Organisationsbereiche aggregiert und vom jeweiligen Verantwortlichen (z.B. der Geschäftseinheiten) auf Fehler hin überprüft und abgezeichnet werden. In diesem ‘Sign-Off-Prozess’ werden die Bestätigungsvermerke sukzessive bis an die Unternehmensspitze hochgereicht, wobei jede Hierarchieebene noch einmal die Ergebnisse der vorhergehenden Stellen überprüft.