[USA] Die SOX-Matrix zur Aufgabentrennung

Die Finanzskandale einiger amerikanischer Unternehmen Anfang der 2000er Jahre (Enron ist das bekannteste Beispiel) haben die USA dazu veranlasst, die Rechnungslegung von börsennotierten Unternehmen zu reformieren, um die Anleger zu schützen. Dieses 2002 vom US-Kongress verabschiedete Gesetz, das als Sarbacane-Oxley Act (oder SOX) bekannt ist, schreibt den Unternehmen neue Finanzstandards vor, um die Finanzberichterstattung zuverlässiger zu machen. Einer dieser Standards ist die SOX-Matrix.
Wir werden gleich auf die SOX-Matrix eingehen, aber lassen Sie mich zunächst eine Frage eines unserer Leser beantworten.

Selbstverständlich freue ich mich über alle Kommentare, einschließlich eines kürzlich abgegebenen Kommentars zu meinem Artikel Aufgabentrennung und ihre Rolle in Fragen der Sarbanes-Oxley-Compliance :

Hankewicz erwähnte Abschnitt 404 in seinem Artikel "Job Separation and its Role in Sarbanes-Oxley Compliance Issues" (Aufgabentrennung und ihre Rolle bei Fragen der Einhaltung von Sarbanes-Oxley). Er sagte, dass "dieser Abschnitt (404) eine vollständige Liste der zulässigen internen Kontrollen ist, die Unternehmen eingerichtet haben müssen, um als SOX-konform zu gelten. Die Liste zielt auf die internen Kontrollen der Anwendung ab und beleuchtet die Bereiche, in denen betrügerische Berichte wahrscheinlich vorkommen". Wir LIEBEN es, dass es sich um eine "umfassende Liste" handelt. Tatsächlich ist die Angemessenheit der Kontrollen Gegenstand individueller Interpretationen. Es gibt in diesem Abschnitt KEINE "Schlüsselhinweise [zur] Aufgabentrennung".

Ich glaube, dass die Einführung von SOX und Abschnitt 404 (Bewertung der internen Kontrolle) ein Versuch war, das Vertrauen der Anleger in börsennotierte Organisationen nach den medienwirksamen Vorfällen im Zusammenhang mit betrügerischen Meldeaktivitäten wiederherzustellen. Abschnitt 404 besagt, dass ein Bericht über die interne Kontrolle die Finanzberichte für alle börsennotierten Organisationen umfassen muss. Ich stimme zu, dass Abschnitt 404 viel Raum für individuelle Interpretationen lässt, indem er recht allgemein formuliert, dass die Unternehmensleitung für die Einrichtung einer "angemessenen internen Kontrollstruktur" verantwortlich ist und dass alle Prüfer in der Lage sein müssen, das Niveau der "internen Kontrolle" der Organisation zu bescheinigen.

Offensichtlich war Section 404 der am schwierigsten zu handhabende Teil von SOX. Das Public Company Accountability Oversight Boardle (PCAOB) hat jedoch versucht, die zweideutigsten Elemente des Abschnitts zu entmystifizieren. In diesem Sinne veröffentlichte das PCAOB 2004 seinen Verifizierungsstandard Nr. 2 und 2007 den Orientierungsbericht AS 5.

Diese Orientierungsberichte wurden nach den Standards modelliert, die vom seit langem (seit 1965) etablierten Committee of Sponsoring Organization of the Treadway Commission (COSO) festgelegt wurden.

Zu den wichtigsten Bestimmungen gehören:

1. Identifizierung wichtiger Elemente der Finanzberichterstattung
2. Identifizierung der Risiken, die mit wichtigen Elementen der Finanzberichterstattung in diesen Abschlüssen oder Offenlegungen verbunden sind.
3. Bestimmung, welche Kontrollen auf Transaktionsebene diesen Risiken begegnen werden, wenn keine präzisen Kontrollen mit ausreichendem Genauigkeitsgrad vorhanden sind.
4. bestimmen, welche Kontrollen auf Transaktionsebene diesen Risiken begegnen würden, wenn es keine genauen Kontrollen auf Unternehmensebene gibt
5. Art, Umfang und zeitliche Abfolge der Fakten bestimmen, die zur Vervollständigung der Bewertung der internen Kontrollen gesammelt wurden.

Weitere Informationen finden Sie auf den COSO- und PCAOB-Websites.

Alle Compliance Software ansehen

Die SOX-Matrix zur Aufgabentrennung

Alle Compliance Software ansehen

Ein grundlegendes Element der internen Kontrolle ist die Trennung bestimmter Schlüsselaufgaben. Der Grundgedanke hinter der Aufgabentrennung ist, dass kein Mitarbeiter oder keine Gruppe in der Lage sein sollte, im normalen Arbeitsablauf systemische Fehler oder Betrügereien zu begehen. Im Allgemeinen sind die wichtigsten unvereinbaren Aufgaben, die getrennt werden sollten, :

• die Verwahrung von Vermögenswerten
• die Genehmigung oder Zustimmung zu damit verbundenen Transaktionen, die sich auf diese Vermögenswerte auswirken
• die Aufzeichnung oder Meldung von damit verbundenen Transaktionen
• die Durchführung der Transaktion(en).

Ein wesentliches Merkmal der Trennung von Aufgaben/Verantwortlichkeiten innerhalb einer Organisation ist, dass kein Mitarbeiter oder keine Gruppe von Mitarbeitern einer US-Gesellschaft die uneingeschränkte Kontrolle über eine Transaktion oder eine Gruppe von Transaktionen hat.

Auf der Grundlage der oben genannten Kriterien habe ich eine Matrix erstellt, um die von einer Einzelperson oder einer Gruppe von Personen ausgeübten Aufgaben hervorzuheben, die zu einer unangemessenen Aufgabentrennung führen könnten.

Die Matrix ist in drei Teile gegliedert:

1. Die Buchführungs- und Bestandskontrolle
2. Die Ausgaben- und Finanzkontrolle
3. Die IT-Organisation und -Infrastruktur.

Jede Registerkarte enthält vier Hauptbereiche :

• Von links nach rechts listet jeder Bereich eine Reihe von Aktivitäten auf, insgesamt 98 Aktivitäten in den drei Registerkarten.
• Die Spalte ganz links listet die einzelnen Rollen für die Personen auf, die die Aktivitätskriterien in der Regel ausführen.
• Ich habe die Zellen überprüft, in denen sich die Rollen an den Aktivitäten orientieren - so können Sie potenzielle Konfliktbereiche leicht ermitteln.
• Am Ende jedes Tabs habe ich die Gesamtzahl der sich überschneidenden Verantwortlichkeiten zusammengefasst und einen Risikofaktor zugewiesen:

Hoch: 0-4 sich überschneidende Verantwortlichkeiten.
Mittel: 5-9 sich überschneidende Verantwortlichkeiten
Niedrig: mehr als 9 sich überschneidende Verantwortlichkeiten.

Die Risikofaktoren basieren auf den allgemein anerkannten Grundsätzen der Rechnungslegung sowie auf den SOX-Grundsätzen in Abschnitt 404. Sie sind als Richtlinie zur Bewertung von Organisationen und zur Hervorhebung von Bereichen gedacht, die einer weiteren Anpassung bedürfen.

Je mehr Personen eine Aktivität überprüfen, desto geringer ist das Risiko für Ihre Organisation, dass betrügerische Aktivitäten festgestellt werden. Ich habe einen Abschnitt (dunkelblau) eingerichtet, in dem Sie Ihre eigene Organisation bewerten können.

Ziel ist es, sicherzustellen, dass eine ausreichende Aufgabentrennung vorhanden ist und dass es mehrere Kontrollen und Gegengewichte gibt, um das Betrugsrisiko zu minimieren.