Der Sarbanes-Oxley-Akt (SOX) ist nach wie vor ein Top-Thema für die Unternehmen, obwohl seine Einführung bereits 15 Jahre zurück liegt. Doch auch unter den derzeitigen politischen Rahmenbedingungen bleibt das regulatorische Umfeld extrem dynamisch. Das Audit Management und die Geschäftsführung suchen daher weiterhin nach Entlastungsmöglichkeiten im Bereich des Compliance Managements und der damit verbundenen Kosten.
Die Kosten für Compliance spiegeln die Unternehmensgröße wider
Sowohl die Kosten für SOX-Compliance als auch die dadurch entstehende zeitliche Beanspruchung von Mitarbeitern sind von großer Bedeutung für Unternehmen.
Laut einer Studie von Protiviti liegt der durchschnittliche Betrag, der jährlich für SOX-Compliance ausgegeben wird, bei etwa $1.100.000 ($1,3 Mio. bei Finanzdienstleistern mit $1,3 Mio. und $0,96 Mio. bei Konsumgüter-/Handelsunternehmen). Es besteht zudem ein linearer Zusammenhang zwischen den Kosten, abhängig von der Größe des Unternehmens. Für Unternehmen über 20 Mrd. $ Umsatz liegen die Kosten für die SOX-Compliance bei 2,0 Mio. $ und für Unternehmen mit weniger als 100 Mio. $ bei ca. 0,8 Mio. $.
Darüber hinaus verbringen Unternehmen weiterhin unverhältnismäßig viel Zeit mit Aufgaben zur Sicherstellung von SOX-Compliance. Dies beinhaltet die laufende Bewertung von Kontrollen, das Management unternehmensübergreifender, prozess- und IT-bezogener Kontrollen, die Steuerung des Unternehmenswachstums durch Joint Ventures und Akquisitionen, die Auswirkungen des PCAOB-Berichts (Public Company Accounting Oversight Board), Cybersicherheit und den neuen Rechnungslegungs-Standard der FASB (Financial Accounting Standards Board).
Effizienz- und Wertsteigerung durch Technologie
Für das Compliance Management der Organisationen erweist sich Software als unverzichtbarer Bestandteil, insbesondere für SOX. So ist beispielsweise eine der wichtigsten Aufgaben der ersten und zweiten Verteidigungslinie die Überprüfung und Validierung der Kontrollumgebung. Die Aktivitäten umfassen Kontrollwirksamkeitstests sowie ggf. das erneute Testen, falls die Wirksamkeit der Kontrollen unzureichend ist. Software bietet hier neben einem soliden Prüfpfad auch Prozessschritte und andere förderliche Details, um die wechselnde Kontrollumgebung zu unterstützen.
Darüber hinaus könnte die Anzahl der Schlüsselkontrollen leicht über 125 Kontrollen steigen, je nachdem wie viele Standorte das Unternehmen hat. Hier kann Technologie der SOX-Konformität einen Mehrwert verleihen, indem sie die Zeit für Tests reduziert, die Kontrollüberwachung automatisiert, eine zentrale Aufzeichnung von Kontrolldaten und des Prüfpfads erstellt und aggregierte und detaillierte Kontrollinformationen für Dashboards und Berichte erstellt. Zudem kann Software die Kontrolldaten aus unterschiedlichen Datenquellen automatisch migrieren, um das Compliance-Risikoprofil vollständig zu bewerten.
Unabhängig davon, welcher Verteidigungslinie sie angehören, können Nutzer mit Hilfe der von Software die Kontrollumgebung verstehen und nachvollziehen, wie sie sich in Bezug auf Risikoappetit und Toleranzgrößen des Unternehmens verändert. Außerdem erstellt eine Software Beweise für nachhaltige Compliance auf Knopfdruck.
Jede dieser Möglichkeiten kann – bei richtiger Anwendung – die Kosten der durchschnittlich für die Prüfung der Kontrollumgebung verwendeten Zeit deutlich reduzieren. Umgerechnet in Dollar ergeben sich so mögliche Einsparungen im sechsstelligen Bereich.
Richard Jansen ist seit mehr als 20 Jahren in der Software-Branche aktiv und hat hier Erfahrungen in verschiedenen Positionen gesammelt. Bereits seit 2001 ist er für Nasdaq BWise tätig und hat zurzeit die Verantwortung für den Ausbau des deutschsprachigen Marktes. Als Spezialist in den Bereichen Governance, Risikomanagement und Compliance kennt er die Herausforderungen, Bedürfnisse und Lösungsansätze rund um Interne Kontrollsysteme, Interne Revision, Informationssicherheit (IT-GRC), Risiko- und Compliance Management sowie Datenanalyse eingehend.