Der Sarbanes-Oxley Act von 2002 ist ein US-Gesetz zur verbindlichen Regelung der Unbernehmensberichtserstattung. Das Ziel des Gesetztes ist es, das Vertrauen der Anleger in die Richtigkeit und Verlässlichkeit der veröffentlichten Finanzdaten von Unternehmen wieder herzustellen und diese gleichzeitig zu schützen. Nach der Sektion 404 des Sorbanes-Oxley Act muss jeder Jahresbericht eine Beurteilung der Wirksamkeit des internen Kontrollsystems für die Rechnungslegung durch die Geschäftsleitung des Unternehmens und ein Urteil des Wirtschaftsprüfers über diese Beurteilung enthalten. Ein internes Kontrollsystem, umfasst alle Massnahmen, die die Qualität der mit der Rechnungslegung erstellten Quartals- und Jahresabschlüsse sicherstellen sollen. Insgesamt führt das Gesetz zu weitreichenden Veränderungen der Corporate Governance.

Um der Sorbanes-Oxley Gesetzgebung gerecht zu werden, entschied sich eine grössere kommerzielle Bank in Genf dazu, 2005 ein umfangreiches „Compliance Testing“ Program einzuführen, um die „Compliance Requirements“ für Sox Ende 2006 zu erreichen.

Um dies zu gewährleisten, initialisierte die Bank eine globale Test- und Sanierungsinitiative, um dem SOX Standard nach Sektion 404 gerecht zu werden. Diese Initiative erstreckte sich über zwei verschiedene Kontrollebenen, eine eher taktische Ebene -die IT Governance Controls - und eine eher operationelle Ebene - die IT General Controls for IT Operations.

Die Vorgehensweise wurde in 4 verschiedene Phasen unterteilt:

1. Identifikation
2. Lokalisierung
3. Kontrolle
4. Sanierung

 

 

Das Ziel dieser Phase war es eine Dokumentation über “IT General Control Processes” für alle Bereiche der Bank zu erstellen. Dieses Dokument bildete die Basis für das Gesamtprojekt und enthielt folgende Informationen:

• Die “IT General Control Objectives” der Bank bezüglich des Sarbanes – Oxley Acts
• Wie sich diese in die Gesamthaftigkeit der Standards und Instruktionsmanuale der Bank einfügten
• Wie sich das CobiT Konzept in den Sarbances – Oxley Act einfügte
  Testpläne und Arbeitsdokument für jedes Kontrollziel.

Die Lokalisationsphase war mehr oder weniger die erste Vorbereitungsphase. In dieser Phase war das Ziel:

• Sich mit der generischen Prozessdokumentation vertraut zu machen
• Das Festlegen der “in- & out-scope” Applikationen mit dem Gesamtunternehmen und dem lokalen Applikationsbesitzer
• Der Vergleich der generischen Dokumentation mit den lokalen Prozessen, umzu bestätigen, dass alle Schlüsselkontrollen in den lokalen Prozessen vorhanden sind und, dass diese messbar sind
• Das Abgleichen der lokalen Terminologie mit den Begriffen der generischen Prozesse
• Das Festhalten in den “Arbeitsdokumenten Templates”, der lokalen- und applikationsspezifischen Information, die ein unabhängiger Prüfer benötigte, um die Tests zu machen.

Nachdem die “Arbeitsblätter” alle ausgefüllt waren, sollte der regionale IT Koordinator die Leistung testen und sicherstellen, dass alle dokumentierten Nachweise in einer dafür geeigneten Bibliothek oder Datenbank aufbewahrt wurden, und dem Auditorenteam zur Verfügung standen.

• Das Testing musste vor Abschluss des Jahres 2005 beendet werden.
• Die Prüfer mussten unabhängig von den Personen oder Teams sein, welche die Kontrolle während den Tests ausübten. Das Management musste vorzeigen können, dass dies zwei „unabhängige“ Entitäten sind.
• Abhängig von der Art der Prüfung war es möglich diese während des ganzen Jahres zu machen, in Fällen in denen der Test effektiv in einem periodisch immer wiederkehrenden Zeitrahmen gemacht werden konnte.

Wenn der Test “Kontrolldiskrepanzen” und Unzulänglichkeiten aufwies, war der IT Koordinator dafür verantwortlich, sicherzustellen, dass allfällige “Konrolldiskrepanzen” und Unzulänglichkeiten prioritisiert wurden, etwas unternommen wurde und bis zur Behebung verfolgt wurden, einschliesslich der periodischen Nachweisprüfung. Die Umsetzung der Pläne musste in einer Reihenfolge geschehen, die sich auf die Wichtigkeit der festgestellten „Kontrolldiskrepanzen“ und Unzulänglichkeiten stützte, wobei die hochriskanten Probleme zuerst erledigt werden mussten.

Dieses Vorgehen hatte verschiedene Vorzüge, die grösste Gewinnbringung aber liess sich daraus ableiten, dass diese Bank die SOX/404 Standardeinhaltung in weniger als 2 Jahren schaffte.

• Beenden der Identifikationsphase Mitte 2005
• Beenden der Lokalisations- und Testphase Ende 2005
• Das Fertigstellen aller Sanierungsaktivitäten bis Mitte des Jahre 2006

Das Erreichen der SOX Standardeinhaltung bis Ende 2006, wie vom Sarbanes – Oxley Act gefordert. Gestützt auf die Erfahrungen, welche die Bank während dieser 4 Stadien in Zusammenarbeit mit uns gemacht hatte, war diese im Stande dieses Vorgehen jährlich zu wiederholen.