Automatisierung der Prüfung von SOX-Kontrollen

Von:

6. Juni 2019

Jedes Jahr befragt KPMG Teams, die für die internen Kontrollen zur Finanzberichterstattung (ICFR) und/oder Sarbanes-Oxley (SOX) in 100 Unternehmen unterschiedlicher Branchen und Größenordnungen zuständig sind, insbesondere die Teams, die für die internen Kontrollen zur Finanzberichterstattung (ICFR) und/oder Sarbanes-Oxley (SOX) verantwortlich sind. Die Ergebnisse wurden kürzlich in derKPMG-Umfrage zu internen Kontrollen 2018 veröffentlicht. 

Da ERP-Systeme wie SAP und die Oracle E-Business Suite (EBS) das Herzstück Ihres Unternehmens bilden, müssen diese Systeme auch im Mittelpunkt Ihrer SOX-Prüfung stehen. Geschäftskritische Anwendungen, einschließlich Ihrer Finanzdaten, werden von Ihren ERP-Systemen unterstützt, und Probleme können leicht zu Feststellungen mit potenziellen Offenlegungspflichten führen. Daher ist es notwendig, sich stets darüber auf dem Laufenden zu halten, was verschiedene Branchen unternehmen, um die Integrität von Jahresabschlüssen zu schützen und gleichzeitig die Kosten für die Implementierung und Prüfung der internen Kontrollen zu senken.

Einige der wichtigsten Schlussfolgerungen des KPMG-Berichts, die ich hier hervorheben möchte, betreffen die Automatisierung von Kontrollmechanismen und die Minimierung der Kosten für die Prüfung dieser Mechanismen. Ich werde auch darauf eingehen, inwiefern dies mit ERP-Systemen zusammenhängt.

  • 71 % der befragten Unternehmen möchten control
  • 60 % der Befragten geben an, dass die Minimierung der Kosten für die Prüfung von Kontrollen oberste Priorität hat 

Prüfkontrollen

Die Steuerung kann manuell oder automatisch erfolgen. In den meisten Fällen wird die automatische Steuerung durch ERP-Systeme gewährleistet, während die verbleibenden manuellen Steuerungsvorgänge in der Regel subjektive Aufgaben betreffen, die menschliches Urteilsvermögen erfordern.

In beiden Fällen müssen die Kontrollen auch von Wirtschaftsprüfern oder (in diesem Fall) von SOX-Teams geprüft werden. Die Prüfung des ICFR ist die anspruchsvollste Aufgabe im Rahmen der gesamten ICFR-Bewertung. Diese wird jährlich von unabhängigen externen Wirtschaftsprüfern durchgeführt. Interne Teams verfolgen jedoch in der Regel einen proaktiveren Ansatz und assess mindestens vierteljährlich.

Laut dem „North American Pulse of Internal Audit Report“ aus dem Jahr 2019 widmen börsennotierte Unternehmen 30 % ihres Prüfungsplans ausschließlich dem ICFR. Darüber hinaus stellt Protiviti in seinem Bericht „Benchmarking SOX Costs, Hours and Controls“ fest, dass die Prüfung der operativen Wirksamkeit von Schlüsselkontrollen am zeitaufwändigsten ist. Die Ergebnisse der KPMG-Umfrage in Verbindung mit diesen Quellen stützen die Aussage der KPMG-Umfrage, dass„die Prüfung des ICFR in den meisten Unternehmen nach wie vor die zeitaufwändigste Tätigkeit ist“.

Der Fokus auf ERP

Ihre ERP-Systeme sind wahrscheinlich der wichtigste zu prüfende Vermögenswert, da sich die meisten Schlüsselkontrollen in diesen Systemen befinden. Daher erfolgt der Großteil der Prüfung der internen Kontrollen zur Verhinderung von Fehlern (ICFR) manuell, beispielsweise in Ihrem SAP-System. Je nach Art der control können die Prüfer diese möglicherweise selbst testen, oder sie benötigen Unterstützung von anderen Teams wie der IT- und der Informationssicherheitsabteilung, die Zugriff auf bestimmte Daten haben und über die erforderlichen SAP-Kenntnisse verfügen, um diese Daten ordnungsgemäß abzurufen und zu analysieren. 

Dabei handelt es sich nicht nur um eine Reihe von aufwändigen manuellen Aufgaben, sondern auch um sehr repetitive Tätigkeiten. Die meisten Schlüsselkontrollen werden im Rahmen des ICFR vierteljährlich geprüft. Und dabei sind andere Compliance-Vorschriften oder interne Initiativen, die auf denselben oder sehr ähnlichen Kontrollen basieren, noch nicht einmal berücksichtigt. Dieses Problem verschärft sich noch, wenn Sie eine komplexe Organisation mit Dutzenden von ERP-Systemen haben, die unter den Geltungsbereich von SOX fallen. Sie können sich ausrechnen, wie viele Stunden sich da summieren!

Die Notwendigkeit der Automatisierung

Wenn wir dieses Problem genauer betrachten, lässt sich die interne Kontrolle über die Finanzberichterstattung (ICFR) nach Geschäftsprozessen unterteilen. KPMG hat diese Unternehmen zudem zur durchschnittlichen Anzahl der Kontrollmaßnahmen pro Prozess befragt (z. B. Anlagevermögen, Order-to-Cash, Procure-to-Pay, Personalwesen und Gehaltsabrechnung, Treasury usw.). Das Ergebnis dieser Frage unterstreicht die Bedeutung und die entscheidende Rolle der Technologie, die wir unternehmensweit einsetzen.

ITGCs* (IT-Grundkontrollen) umfassen die meisten wesentlichen ICFR-Kontrollen aller Organisationen.

*ITGCs umfassen in der Regel Sicherheitsmaßnahmen (Verschlüsselung, Patch-Management), Zugriffskontrollen (Passwortrichtlinien, Zugriff auf sensible Anwendungen und Daten usw.), Aufgabentrennung, Änderungsmanagement sowie Maßnahmen zur Datenwiederherstellung.

ERP-Systeme bilden die wichtigste Grundlage für alle zentralen Geschäftsprozesse. Daher gewinnen IT-Leitungsgremien nicht nur in quantitativer, sondern auch in qualitativer Hinsicht erheblich an Bedeutung. 

Derzeit ist das Testen von ITGC in ERP-Systemen eine sehr mühsame Aufgabe. Prüfer (und oft auch Systemadministratoren) müssen bestimmte Schritte wiederholen, Screenshots erstellen und diese als Nachweis für die korrekten Schritte in Word-Dokumente einfügen. 

Es erscheint kontraproduktiv, dass wir diese manuellen Schritte im Jahr 2019 immer noch durchführen. Es gibt genügend Belege aus der Praxis, um zu verstehen, dass eine Reihe von Screenshots, die in ein Word-Dokument eingefügt werden, kein zuverlässiger Prozess ist. Noch besorgniserregender ist der Gedanke, dass diese Art von „Beweismaterial“ bei der Prüfung der Jahresabschlüsse börsennotierter Unternehmen überhaupt akzeptiert wird. Das oberste Ziel von SOX ist es, sicherzustellen, dass die Zuverlässigkeit jedes einzelnen börsennotierten Unternehmens zur Zuverlässigkeit der gesamten US-Finanzmärkte beiträgt.

Das Management sollte sich auf die Automatisierung der Prüfung der ICFR-Kontrollen konzentrieren, insbesondere im Bereich der ITGCs. Dies ist eine Win-Win-Situation, da dadurch nicht nur die Kosten für manuelle Arbeiten gesenkt werden, sondern es den Wirtschaftsprüfern auch ermöglicht wird, wertschöpfendere Tätigkeiten auszuüben, und die Zuverlässigkeit der Finanzberichterstattung börsennotierter Unternehmen erhöht wird.

Wie hilft Onapsis?

Onapsis bietet eine führende ERP-Lösung für Sicherheit und Compliance, die Führungskräften und Wirtschaftsprüfern dabei hilft, den Prozess der Prüfung und Validierung von Kontrollmechanismen zu automatisieren. Die Onapsis Security Platform die Bewertung und Analyse von Daten aus Ihren ERP-Systemen. Wir helfen Ihnen dabei, den Ressourcen- und Zeitaufwand für die manuelle Prüfung von ICFR-Kontrollmechanismen zu reduzieren – wodurch menschliche Fehler vermieden werden und Sie genauere Ergebnisse erhalten. 

Die Automatisierung Ihres Prüfungsprozesses für ERP-Systeme bietet zahlreiche Vorteile. Nehmen Sie an unserem kommenden Webinar„End SOX Audit Fatigue with Automation“teil, um mehr darüber zu erfahren.

Stichworte, , , ,
Über den Autor

Sergio Abraham

Sergio Abraham ist ein Experte für Cybersicherheit mit umfassender Erfahrung in der Absicherung geschäftskritischer Systeme und Unternehmensanwendungen. Als Spezialist für Schwachstellenmanagement und Risikominimierung hat Sergio maßgeblich dazu beigetragen, Unternehmen beim Schutz ihrer IT-Umgebungen vor sich ständig weiterentwickelnden Cyberbedrohungen zu unterstützen. Seine Fachkenntnisse im Bereich SAP-Sicherheit und sein praxisorientierter Ansatz beim Schutz komplexer Systeme machen ihn zu einer wertvollen Ressource für die Umsetzung robuster Cybersicherheitsstrategien und die Gewährleistung der Widerstandsfähigkeit von Unternehmen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Der Leitfaden für Versorgungsunternehmen zu SAP RISE: Umgang mit geteilter Verantwortung und Sicherheit

Energieversorger agieren in einem stark regulierten Umfeld. Während Unternehmen wie Oklahoma Gas and Electric (OG&E) ihre ERP-Umgebungen modernisieren, erfordert die Umsetzung einer sicheren Geschäftstransformation im Rahmen von „RISE with SAP“ einen grundlegenden Wandel in der Sicherheitsstrategie. Um den Kern des Unternehmens zu schützen, müssen Sicherheitsverantwortliche verstehen, dass die Migration zu einem Hyperscaler nicht bedeutet, dass…

Weiterlesen
Blog

Die SAP-Sicherheitsprüfungscheckliste 2026

Die Durchführung einer umfassenden SAP-Sicherheitsbewertung ist für moderne Unternehmen eine unverzichtbare betriebliche Anforderung. Da Unternehmen zunehmend auf SAP setzen und sich in immer komplexeren RISE-, S/4HANA- und BTP-Landschaften zurechtfinden müssen, ist das Bedrohungsumfeld bis zum Jahr 2026 aktiver und unerbittlicher denn je. Die Durchführung einer strukturierten SAP-Risikobewertung bietet genau den erforderlichen Überblick…

Weiterlesen