SOX - Ganymed & GoBScape Compliance Dokumentation Das Modell © h& p Consulting 2005, 2006, 2007

Beratung/Projektbegleitung bei der Ausrichtung interner Kontrollsysteme Durch den Sarbanes-Oxley Act (SOX) soll das Vertrauen von Aktionären und anderen Interessengruppen in die Finanzbericht-erstattung der gelisteten Unternehmen wieder gewonnen werden. Sarbanes-Oxley nimmt das Management stärker für die Vollständigkeit und Richtigkeit der Angaben bei der Quartalsweisen und jährlichen Berichterstattung in die Pflicht. Zusätzlich ergeben sich neue Anforderungen an das Management, indem fortlaufend über die Funktionsfähigkeit des internen Kontrollsystems im Rahmen des periodischen Unternehmensreportings zu berichten ist. Sarbanes-Oxley ist von deutschen Unternehmen mit US-amerikanischem Listing zu beachten. Es wird davon ausgegangen, dass sich für alle Unternehmen steigende Anforderungen an die Ausgestaltung der internen Kontrollsysteme ergeben werden.

Sarbanes-Oxley Section 302 Gemäß Section 302 muss das Management (CEO und CFO) in Verbindung mit dem Quartalsweisen und jährlichen Reporting bestätigen, dass die Angaben in der Bericht-erstattung vollständig sind und den tatsächlichen wirtschaftlichen Verhältnissen des Unternehmens entsprechen. Darüber hinaus sind sowohl der Jahresabschlussprüfer als auch das Audit Committee über wesentliche Schwachstellen oder Unregelmäßigkeiten der Finanzbericht-erstattung zu informieren.

Sarbanes-Oxley Section 404 Sarbanes-Oxley Section 404 verlangt die Einrichtung eines funktionsfähigen internen Kontrollsystems (IKS) und dessen Dokumentation. Dabei sind sämtliche interne Kontrollen, die im Zusammenhang mit der Rechnungs-legung stehen, Gegenstand dieser Regelung. Zusammen mit der Quartalsweisen und jährlichen Berichterstattung ist die Einschätzung und Bewertung der Zweckmäßigkeit dieses Kontrollsystems durch das Management zu veröffentlichen. Der Jahresabschlussprüfer bestätigt und berichtet über die regelmäßige Einschätzung der Unternehmensleitung.

Sarbanes-Oxley-Prozess Die neuen gesetzlichen Vorschriften erfordern die Implementierung eines Sarbanes-Oxley-Prozesses (Section 404), der wie folgt strukturiert sein sollte: Auswahl und Beurteilung eines Regelwerks für das interne Kontrollsystem Dokumentation des internen Kontrollsystems Überwachung des internen Kontrollsytems h & p Consulting kann sie wie folgt unterstützen:

IKS Internes Kontroll-System Compliance Dokumentation SOX Forderungen an die Buchführung und IT (GAAP & COSO/CobiT Forderungen an die Compliance Dokumentation Zweck: Prüfbarkeit des Financial Reportings IKS Internes Kontroll-System SOX Prüfbarkeit Compliance Dokumentation Verfahrensdokumentation

Fragestellung Wie gelangt man von SOX zu einer konkreten Compliance Dokumentation (Verfahrensdokumentation)? SOX Compliance Dokumentation

R e a l i t ä t : D i n g e u n d E r e i g n i s s e Antwort Durch Aufzeichnungen über die Realität in einem Modell zur Dokumentation derselben! M o d e l l A u f z e i c h n u n g R e a l i t ä t : D i n g e u n d E r e i g n i s s e Zeit

Ganymed* - Das Modell Governance Ereignisse Ressourcen Company Objekt Modell Governance - Ereignisse – Ressourcen XML basierte Paradigmen Governance Ereignisse Ressourcen *) General analysis and modelling of enterprise documentation

Informationen über die Realität Modell und Metamodell der Aufzeichnung von Geschäftsvorfällen Informationen über die Realität füllen das zum Verständnis und zur Prüfbarkeit Metamodell Ganymed und liefern - ein Modell der Realität - Compliance Dokumentation (Verfahrensdokumentation)

Compliance Dokumentation I Geordnete Sammlung von Dokumentationsobjekten XML DTD/Schema

Compliance Dokumentation II Ressourcen Ereignisse Governance IT-Verbund Organisation Daten-Objekte Geschäftsvorf. Leistungsproz. IT-Ereignisse IKS & Risiko IT-Management Policies

Momentaufnahme der Verfahrenswelt Das Verfahren Ressourcen Wer oder was spielt eine Rolle im Verfahren? Welche Teilnehmer liefert eine Momentaufnahme? Momentaufnahme der Verfahrenswelt IT-Verbund Organisation Datenobjekte Abteilungen Mitarbeiter Rollen Stammdaten Belege Dokumente Konten Journale Gebäude Raum Schrank IT-Systeme Vernetzung IT IT-Anwendungen

Ereignisse in der „Verfahrenswelt“ Das Verfahren Ereignisse Was geschieht im Unternehmen? Was geschieht im Verfahren? Ereignisse in der „Verfahrenswelt“ Geschäftsvorfälle IT-Ereignisse Leistungsprozesse

Das Verfahren Governance: Lenkung & Kontrolle Wie wird gedacht - geplant - gelenkt - kontrolliert? Wie lauten die Unternehmensdaten? IT-Management IT-Richtlinien IT-Journal IT-Kalender IT-Grundschutz IKS – Internes Kontrollsystem IKS-Berichte IKS-Kalender IKS-Anwendungen IKS-Hinweise Policies und Risiken Richtlinien Risikohandling Anweisungen Qualität & Stnds. Unternehmensdaten

Dokumentationsobjekt I Elementare Attribute (D & R) Biographie erstellt von erstellt am gültig seit Version (D) Bezeichnung Spezielle Attribute (D & R) Methoden (R & T) Eingebettete Referenzen auf andere D-Objekte Stichpunkte (D & T) Legende: D:=Direktwert, R:=Referenz; T:=Tabelle;

Dokumentationsobjekt II Eigenschaften Schnelle bottom-up Konstruktion D-Objekt als DTD/Schema darstellbar XML-Datenbasis Programm-unabhängig Nutzung von XML DB-Reporting-Tools Teilmodelle strikt nach Struktur des D-Objekts Import/Export via XML Gesamte Comliance Dokumentation als DTD darstellbar

XML-Darstellung aller D-Objekte Teilmodelle IT-Verbund Räume Systeme Netzwerk Anwendungen Ereignisse Geschäftsvofall Leistungsprozeß IT-Ereignis Governance Risko (FERMA) IT- Proz.(CobiT) IKS (COSO) XML-Darstellung aller D-Objekte

SOX & Ganymed - GoBScape Drachentöter der SOX SOX Ganymed GoBScape