Back
SOX vs. EuroSOX - qualitative Unterschiede

SOX vs. EuroSOX – qualitative Unterschiede

Einführung:

Im Mai 2006 wurde die Richtlinie 2006/43/EG vom Europäischen Parlament und Rat beschlossen und ist seit September 2008 in Kraft. Sie befasst sich mit der Prüfung von Jahresabschlüssen und wird daher umgangssprachlich 8. EU-Richtlinie, EuroSOX oder Jahresabschlussprüfungsrichtlinie genannt. Die Richtlinie soll Finanzskandalen wie jene des bekannten italienischen Milch- und Nahrungsmittelherstellers Parmalat (im Jahr 2003) vorbeugen. Das Prüfungswesen in der Europäischen Union wurde damit harmonisiert und Unternehmens-Abschlussprüfungen mit jenen der USA gleichgestellt. Bereits vier Jahre zuvor, 2002, wurde als Reaktion auf die Bilanzskandale des US-Energiekonzerns Enron (2001) und des US-Telekommunikationsunternehmens WorldCom (2002) in den USA der Sarbanes-Oxley Act of 2002 (auch SOX oder SOA genannt) eingeführt.

Beides, die EU-Richtlinie und das US-Bundesgesetz erfüllen denselben Zweck. Anleger sollen sich auf die Richtigkeit von veröffentlichten Finanzdaten verlassen können und damit Vertrauen in den Markt gewinnen als auch die Pflicht zur externen Qualitätskontrolle einführen. Prüfungsunternehmen und deren Prüfer müssen unabhängig vom Unternehmen sein und dürfen nicht gleichzeitig zum Beispiel in beratender Tätigkeit in das Treffen von Entscheidungen eingebunden sein.

Unterschiede zwischen SOX und EuroSOX:

Die untenstehende Grafik veranschaulicht die qualitativen Unterschiede zwischen der europäischen und US-amerikanischen Gesetzeslage.

qualitativer Unterschied zwischen US-SOX und EuroSOX
  • Prüfungsurteil des Abschlussprüfers:

Der PCAOB (Public Company Accounting Oversight Board) Audit Standard AS 2101 verlangt dem US-SOX nach ein “Integrated Audit”. Das heißt, die Jahresabschlussprüfung ist nicht nur ein Testat der Bilanz wie bisher, sondern auditiert zusätzlich die Finanzberichterstattung, das Interne Kontrollsystem (IKS) und prüft die Bewertung des Managements (Management Testing).

In Europa hat der Prüfer die Berichtspflicht zu wesentlichen Schwachstellen in der Finanzberichterstattung des geprüften Unternehmens.

  • Berichterstattung:

Der EuroSOX verpflichtet den Prüfungsausschuss im Aufsichtsrat das IKS zu überwachen.

Die US-Börsenaufsichtsbehörde (SEC -United States Securities and Exchange Commission) nimmt mit der Regelung SEC 17 CFR 271 zusätzlich das Management in die Pflicht Risiken im Unternehmen zu identifizieren, interne Tests durchzuführen und die betriebliche Wirksamkeit zu bewerten und zu berichten.

  • IKS-Umfeld:

Kontrollumfeld, Risikobewertung, Kontrolldurchführung und Überwachung sind die vier Eckpfeiler eines funktionierenden IKS. Genaue Aufzeichnungen, in allen relevanten Unternehmensbereichen, stellen sicher, dass die verschiedenen Kontrollinstanzen ausreichend Einsicht nehmen können, um das IKS und das Management zu überwachen. Da im SOX-Umfeld Führungskräfte explizit dazu verpflichtet sind wirksame Kontrollen über die Finanzberichterstattung einzurichten, ist die Kontrolllandschaft größer.

  • Behebung von Schwachstellen

Schwachstellen (eng. deficiency) die in der Finanzberichterstattung während einer Prüfung aufgedeckt werden, müssen in einem angemessenen Zeitraum behoben werden. Je nach Größe und Reifegrad des Kontrollumfeldes werden mehr oder weniger Schwachstellen aufgedeckt und müssen damit behoben werden (eng. remediation).

  • Gesetzliche Regelungen:

In Europa gelten die gesetzlichen Regelungen wie die Direktive 2006/43/EC (Abschlussprüfungsrichtlinie) und 2006/46/EC (Jahresabschluss von Gesellschaften bestimmter Rechtsformen) des Europäischen Parlaments und Audit Standards. Für amerikanische Unternehmen bestimmter Rechtsformen und verbundene Unternehmen gelten die PCAOB Audit Standards und unter anderem Gesetze wie SOX Section 302, 404 und 906 sowie die Regeln der SEC.

  • Framework und Standards:

Weit verbreitet unter den Standards sind die COSO und COBIT Rahmenwerke (COSO – Committee of Sponsoring Organizations of the Treadway Commission; COBIT – Control Objectives for Information and Related Technology). Diese können, müssen aber nicht verwendet werden. ITIL (IT Infrastructure Library) ist eine weitere Sammlung vordefinierter Prozesse, Funktionen und Rollen welche in der IT-Infrastruktur von Unternehmen vorkommen und in Europa häufig verwendet wird.

Conclusio:

Die Umsetzung sowohl vom US-SOX als auch der 8. EU-Richtlinie (EuroSOX) stellt für ein Unternehmen einen erheblichen Mehraufwand dar. Dieser birgt aber auch Chancen, denn durch ein verbessertes Standing am Kapitalmarkt, durch die Implementierung von Kontrollsystemen, kommt das Unternehmen unter anderem zu günstigeren Finanzierungsmöglichkeiten. Durch die Pflicht des Managements Risiken im Unternehmen zu identifizieren, interne Tests durchzuführen und die betriebliche Wirksamkeit zu bewerten und zu berichten, besteht für Unternehmen unter dem US-SOX ein erheblicher Mehraufwand im Gegensatz zu jenen die unter der EuroSOX stehen. Die Verpflichtung des Managements sichert ein Unternehmen aber nicht nur in Haftungsfragen im Schadensfall ab, sondern zwingt die Unternehmensführung sich mit Schwachstellen jeglicher Art in der Finanzberichterstattung auseinander zu setzen. Betrügerisches Verhalten und kriminelle Energie kann trotz funktionierendem IKS nicht verhindert, aber zumindest erschwert werden.

Für weitere Informationen zum Thema Interne Kontrollsysteme, emfehlen wir unsere Präsenz Trainingskurse zu den folgenden Themen:

Tag:, , , , , , , , , , , , , , , , , , ,

Gregor Nussbaumer

Mag. Gregor Nussbaumer ist Manager bei Graser Consulting. Neben der Durchführung von klassischen Management Consulting Tätigkeiten umfasst sein Aufgabengebiet die Organisation und Durchführung von IT- und Kontrollprüfungen nationaler und internationaler Unternehmen sowie die Abwicklung von Projekten im Bereich Interne Revision, Interne Kontrollsysteme, Governance, Risk & Compliance sowie IT Security, Sales, Customer Service und Asset Management.

error: Content is protected !!