Verwaltung von Spreadsheet-Risiken und Governance im Rahmen von SOX - ein optimaler Ansatz
Es mag vielen seltsam erscheinen, dass das Thema Sarbanes-Oxley (SOX) so viele Jahre nach der Verabschiedung des ursprünglichen Gesetzes im Jahr 2002 wieder auftaucht, nachdem Milliarden von Dollar in die Systeme, Prozesse und Technologien investiert wurden, die Unternehmen zur Einhaltung der Vorschriften implementiert haben.
Nichtsdestotrotz ist der Aufwand, die Ressourcen und die Kosten für die Einhaltung der SOX-Vorschriften in den letzten Jahren stetig gestiegen, da sich das Management, die Wirtschaftsprüfer und das Public Company Accounting Oversight Board (PCAOB) des Ausmaßes und der Bedeutung von Tabellenkalkulationen in den wichtigsten Geschäftsanwendungen und -prozessen bewusst geworden sind.
Auch wenn das Spreadsheet-Risiko ein neuer Schwerpunkt der SOX ist, bleiben die Grundprinzipien unverändert. Die von den in den USA börsennotierten Unternehmen gemeldeten Quartals- und Jahresergebnisse müssen das zugrunde liegende Geschäft angemessen widerspiegeln, und die Unternehmensleitung, in der Regel der CEO und der CFO, muss bereit sein, dies zu bestätigen.
Dies bedeutet, dass für die neue Tabellenkalkulationsumgebung dasselbe Maß an Managementkontrolle, Transparenz und Prüfbarkeit gelten muss wie für die IT-Umgebung des Unternehmens, die die Grundlage für die übrige SOX-Umgebung bildet.
Unternehmen sind in der Regel sehr daran interessiert, die Verwendung von Tabellenkalkulationen beizubehalten, da deren Leistungsfähigkeit und Flexibilität zu ihrer Flexibilität und Dynamik beiträgt. Viele erkennen zunehmend, dass SOX bedeutet, dass sie die gleiche Governance und Kontrolle wie der Rest ihres IT-Bestands haben müssen.
In Anbetracht der Herausforderungen bei der Verwaltung von Tabellenkalkulationsrisiken im Rahmen von SOX und der Bedeutung der Ergebnisse müssen die Institutionen sorgfältig darüber nachdenken, wie sie die Leistungsfähigkeit von Tabellenkalkulationen am besten nutzen und gleichzeitig die damit verbundenen Risiken mindern können. Sie müssen die von der Geschäftsleitung, den Wirtschaftsprüfern und den Aufsichtsbehörden erwartete Datenkontrolle sicherstellen.
Ein Best-Practice-Ansatz für das Spreadsheet-Risikomanagement im Rahmen der SOX-Compliance
Basierend auf den Erfahrungen, die wir bei der Unterstützung einer Vielzahl von Unternehmen bei der Verwaltung von Spreadsheet-Risiken im Rahmen verschiedener Compliance-Regelungen gesammelt haben, ist dies ein Best-Practice-Ansatz zur Verwaltung von Spreadsheet-Risiken im Rahmen von SOX.
Identifizieren Sie die SOX-Tabellenblätter
Identifizieren Sie die SOX-TabellenblätterEine wirksame SOX-Berichterstattung hängt von einer angemessenen Grundlage ab, und es ist von entscheidender Bedeutung, alle wichtigen SOX-Tabellenblätter zu identifizieren. Diese Tabellenkalkulationen können eine Reihe von Geschäftsbereichen und Funktionen abdecken: Umsatzmanagementprozesse, Kostenmanagementmodelle, Abschreibungsmodelle, Umsatzrealisierungsmodelle, Vertragsunterlagen oder Auftragsmanagement zum Beispiel. Tabellenkalkulationen spielen auch eine wichtige Rolle bei Konsolidierungsmodellen und bei der Berichterstattung über die letzte Meile. In Kombination mit Daten aus einer Reihe von Unternehmenssystemen liefern sie die endgültigen SOX-Ergebnisse, die bescheinigt werden müssen.
Diese Tabellenkalkulationen befinden sich in verschiedenen Abteilungen, Geschäftsbereichen und sogar Ländern. In ein und demselben Geschäftsbereich können unterschiedliche Versionen, Formate und Definitionen verwendet werden, was sich bei mehreren Geschäftsbereichen noch verschärft. Dies bietet reichlich Spielraum für die Entstehung von Tabellenkalkulationsrisiken im weiteren Verlauf der Einführung und Berichterstattung.
Risikobewertung Ihrer SOX-Kalkulationstabellen
Risikobewertung Ihrer SOX-KalkulationstabellenIn einem SOX-Rahmenwerk, in dem Tabellenkalkulationen verwendet werden, sind die Tabellenkalkulationen von unterschiedlicher Bedeutung. Die Bedeutung einer Tabellenkalkulation kann beispielsweise davon abhängen, wie viele andere Tabellenkalkulationen mit ihr verknüpft sind, wie viele Formeln und Arbeitsblätter sie enthält und wie komplex ihre Formeln und Makros sind. Auch wenn dies ein nützlicher Maßstab ist, können andere, viel einfachere Tabellenkalkulationen ebenso wichtig für die SOX-Berichterstattung sein.
Ein systematisches Risikobewertungsmodell für die Einhaltung der SOX-Vorschriften ermöglicht es den Mitarbeitern im gesamten Unternehmen, sich objektiv darauf zu einigen, welche Tabellenkalkulationen am genauesten geprüft werden müssen. Dies kann die Grundlage für ein effektives SOX-Tabellenmanagement-Projektimplementierungsmodell bilden und dazu dienen, den von den Institutionen benötigten Rahmen für Risikomanagement, Audit und Governance zu entwickeln.
Es stellt auch sicher, dass der Schwerpunkt des Risikomanagements auf den richtigen Bereichen liegt, anstatt dass der Aufwand durch die Bewertung zu vieler falscher Arbeitsblätter vergeudet wird.
Überwachen und prüfen Sie Ihre SOX-Kalkulationstabellen
Überwachen und prüfen Sie Ihre SOX-KalkulationstabellenDer letzte Schritt besteht darin, Ihre wichtigsten SOX-Kalkulationstabellen genau zu überwachen, um Änderungen an ihnen und ihre möglichen Auswirkungen auf die SOX-Ergebnisse und das gesamte Unternehmen zu erkennen. Es ist wichtig, dass Änderungen an den Tabellenkalkulationen - z. B. an Formeln, Datenquellen, einzelnen Arbeitsblättern und Makros - leicht zu erkennen sind, da sie sich erheblich auf die endgültigen SOX-Ergebnisse auswirken können.
Diese Änderungen müssen leicht identifizierbar, überprüfbar und berichtspflichtig sein, damit das Risikomanagement und der Governance-Rahmen, die für die Einhaltung der SOX-Vorschriften von zentraler Bedeutung sind, voll unterstützt werden.
Wie auch immer eine Institution an diese Herausforderung herangeht, es ist wichtig, dass das Risiko- und Governance-Management-Modell als eine Voraussetzung für ein SOX-Tabellenmanagement-Implementierungsmodell betrachtet wird, neben dem Datenmanagement sowie der Systemintegration und -gestaltung. Dieser Ansatz gewährleistet nicht nur die Genauigkeit der Endergebnisse, sondern stellt auch sicher, dass die endgültigen SOX-Ergebnisse, die aus kalkulationsbasierten Prozessen gewonnen werden, vollständig mit den Audit- und Data-Governance-Anforderungen von SOX übereinstimmen.
Die Bereitstellung dieser Funktionen mit manuellen Prozessen ist, gelinde gesagt, eine Herausforderung. Es gibt Möglichkeiten, diese Funktionen mit Hilfe von ClusterSeven effizient und effektiv zu implementieren und dabei die Automatisierung zu nutzen.
PolicyHub entdecken
Es handelt sich um eine benutzerfreundliche Lösung für das Richtlinienmanagement, mit der Sie die Einhaltung von Vorschriften verbessern können.
