Seit im Jahr 2002 der Sarbanes-Oxley-Act verabschiedet wurde, haben alle von diesem Gesetz betroffenen Unternehmen einen enormen zeitlichen und finanziellen Aufwand auf sich genommen, um den Anforderungen dieses Gesetzes zu entsprechen.
An Unmutsbekundungen hat es seither nicht gefehlt. Verschiedene Unternehmen haben sogar die Möglichkeiten eines Delistings geprüft, aber mangels Realisierungschance wieder verworfen.
Die SEC hat bereits in der Vergangenheit versucht, durch Fristverlängerungen und punktuelle Erleichterungen den Druck auf die Unternehmen zu mildern. Weitergehende Erleichterungen sind angekündigt. Was aber wohl bleiben wird, ist die Grundforderung, ein internes Kontrollsystem aufzubauen und zu dokumentieren, mit dem das Risiko von Bilanzskandalen wie bei Enron und Worldcom minimiert werden soll.
Alle SOX-Projekte, die wir direkt oder indirekt miterlebt haben, standen unter einem erheblichen Zeitdruck. Vielleicht ist das die Hauptursache dafür, dass in den meisten SOX-Projekten eine eindimensionale Sichtweise durch die "SOX-Brille" vorherrschte und mit dieser Sichtweise Prozesse beschrieben und Kontrollen definiert wurden. Das Ziel, das von der Geschäftsführung ausgegeben wurde, lautete ungefähr: "Wir müssen compliant sein - egal was es kostet". Und da gerade in den Anfangsjahren nicht klar war, wieviel erforderlich ist, um compliant zu sein, wurde im Zweifelsfall eher zuviel als zu wenig gemacht. Der letzte Teil der Aussage (egal was es kostet) wurde angesichts der akkumulierten Kosten schnell in Frage gestellt, ohne allerdings einen schlüssigen Weg zu finden und zu gehen, der die Kosten reduziert hätte. Die Grosskopf-Consulting GmbH hat stets die Auffassung vertreten, dass der Umfang der SOX-Projekte sich dem Kontrollumfeld anpassen muss. Neue Entwicklungen greifen jetzt auch bei der SEC diesen Ansatz auf und bestätigen uns in der Annahme, dass ein effizientes Kontrollsystem nicht allein durch den Umfang der Kontrollen definiert wird. Unsere Beobachtungen zeigen sogar, dass ein zu umfangreiches Kontrollsystem dem eigentlichen Zweck entgegengestellt ist.
Entsprechend groß ist inzwischen die "Governance-Müdigkeit" unter den Betroffenen. Dennoch ist gerade für die SOX-betroffenen Unternehmen die Einrichtung und Aufrechterhaltung eines zuverlässigen internen Kontrollsystems von großer Bedeutung, denn bei Verstößen müssen auch ausländische Unternehmen die Erfahrung machen, dass die Macht der SEC groß ist und ihr Arm weit reicht.
Mittlererweile haben die meisten Unternehmen eine oder mehrere SOX-Prüfungen hinter sich. Damit wird der Blick frei für neue Herausforderungen: War im ersten Jahr die Implementierung des IKS der Kostentreiber, so sind es heute und in den Folgejahren die Pflege- und Auditkosten, die die Unternehmen belasten.
Gleichzeitig hat der Zeitdruck tendenziell abgenommen. Damit bietet sich die Chance, den Blick zu weiten und die dokumentierten SOX-Prozesse und Kontrollen unter Effektivitäts-, Effizienz- und Qualitätsgesichtspunkten kritisch zu hinterfragen, auf das notwendige Maß zu reduzieren und eine einheitliche Prozessdokumentation zu schaffen, die den Ansprüchen der unterschiedlichen Stakeholder - Kunden, ISO-Prüfern, Wirtschaftsprüfern, SEC u.A. - gleichermaßen gerecht wird und dabei den alljährlichen Pflegeaufwand minimiert.
Der seit dem Jahr 2007 in Kraft getretene Auditing Standard 5 greift diese Problematik auf und erlaubt einen skalierteren, risikobasierten Ansatz, welcher in den nächsten Jahren zu einem, gerade für kleine und mittelständische Unternehmen, effizienteren und bei längerer Betrachtung kostengünstigeren SOX-Prozess führen kann.
Unsere Ziele:
· Reduktion auf das Wesentliche, d.h. keine Verschwendung durch unnötige Kontrollen, unnötige Kontrolldokumentationen, unnötige Prozessschritte
· Minimierung des IKS-Pflegeaufwands und der damit verbundenen Kosten
· Minimierung des Aufwands für Internal Audits
· Minimierung des SOX-Prüfungsaufwands durch Wirtschaftsprüfer
bei gleichzeitiger Einführung bzw. Pflege des internen Kontrollsystems und des Dokumentation gemäss der gesetzlichen Richtlinien, um dem Management ein zusätzliches Tool zur Optimierung der Geschäftsprozesse an die Hand zu geben.
Kontakt: info@grosskopf-consulting.de
International Contact: info@grosskopf-consulting.com