Vor fünfzehn Jahren wurde der Sarbanes-Oxley Act (SOX) zum Gesetz. Bald darauf gab es einen massiven Ansturm von Unternehmen, die eine Möglichkeit zur Einhaltung des Gesetzes benötigten. Dies löste auch eine Welle von Softwareimplementierungen aus, die notwendig waren und sehr schnell funktionieren mussten. Natürlich musste dafür die damals verfügbare Technologie eingesetzt werden. Für viele ist die Bindung an diese Technologie bis heute ungebrochen. Sicherlich gab es Upgrades und für einige auch die Migration auf neue Versionen und in jüngster Zeit auf Cloud-basierte Systeme, aber für viele (etwa die Hälfte, wenn wir die typische Generationsdauer von etwa 30 Jahren zugrunde legen) wurde das System, das sie verwenden, von einer früheren Generation von Wirtschaftsprüfern eingeführt, und für diejenigen, die den Aufzeichnungs- und Berichtspflichten des SOX unterliegen. In jüngster Zeit wurde mehr Wert auf risikobasierte Ansätze gelegt. Es ist oft nicht möglich, alles zu tun, was erforderlich ist (und es ist sicherlich nicht kosteneffektiv), daher haben viele Unternehmen risikobasierte Ansätze entwickelt. Im Jahr 2002 lag der Schwerpunkt noch nicht so sehr auf dem Risiko. Der wichtigste Risikostandard zu dieser Zeit war wahrscheinlich AS:NZS4360:1999 und erst 2009 erschien die ISO 31000, die heute die Grundlage für das Risiko in vielen anderen Standards bildet (Anmerkung: ISO 31000 wird derzeit überarbeitet und ein neuer Entwurf des internationalen Standards wurde am 17. Februar 2017 veröffentlicht). Zwar wird eine Reform des SOX in Erwägung gezogen, doch scheint der allgemeine Konsens zu sein, dass sich diese eher auf Reformen für Finanzinstitute konzentrieren wird. Doch was auch immer geschieht, die Veränderungen könnten ebenso plötzlich eintreten wie die tsunamiartigen Veränderungen, die das SOX im Jahr 2002 auslöste. Es gibt jedoch technologiebedingte Veränderungen, die diese nächste Welle für diejenigen, die darauf vorbereitet sind, einfacher zu bewältigen machen könnten. Erstens, die Cloud. Während viele immer noch darüber diskutieren, ob es richtig oder falsch ist, SOX-Daten in der Cloud zu speichern, hat sich die Nutzung der Cloud zunehmend durchgesetzt. Zu den wichtigsten Vorteilen gehören:
– Schnelligkeit bei der Umsetzung.
– Geschwindigkeit der Aktualisierung.
– Sicherheit.
Denken Sie an die großen Cloud-Anbieter, die im Vergleich zu den IT-Ressourcen der meisten Unternehmen über Hunderte, wenn nicht Tausende von hochspezialisierten Mitarbeitern und Systemen zum Schutz des Systems und der Daten verfügen.
Kosten.
Die gemeinsamen Kosten für die Cloud-Infrastruktur sind in der Regel viel geringer als bei einer Implementierung vor Ort. Zweitens hat die Integration des SOX-Prozesses in alle Nischen des Unternehmens zu einem integrierten Risikomanagement geführt, bei dem Risiken in jedem Teil des Unternehmens einheitlich verwaltet werden und sich auf die miteinander verknüpften Daten stützen, um sicherzustellen, dass es nur eine einzige Instanz der Fakten gibt, so dass eine bessere Entscheidungsfindung möglich ist und potenzielle Probleme aufgedeckt werden können, bevor sie zu größeren Vorfällen werden. Drittens: „Big Data“ ist da. Dies kann zwar an sich schon eine Herausforderung sein, aber der Schlüssel liegt in der Schichtung von Datenvisualisierungstools, die über den Daten liegen und Einblicke in diesen riesigen Datenpool gewähren und diese Einblicke auf eine Art und Weise präsentieren, die leicht verständlich ist und es den Entscheidungsträgern ermöglicht, fundierte Entscheidungen auf der Grundlage der aktuellen Daten zu treffen. Vor-Ort-Implementierungen sind jedoch möglicherweise nicht in der Lage, die Vorteile dieser Welle so effektiv zu nutzen wie cloudbasierte Systeme. Die Cloud ist auf dem Vormarsch, und jetzt könnte der beste Zeitpunkt sein, um einen Wechsel zu erwägen.
Warum ist die Einhaltung der SOX-Vorschriften so zeitaufwändig?
Selbst nach 15 Jahren geben Führungskräfte großer börsennotierter Unternehmen an, dass sie immer noch damit zu kämpfen haben, die Kosten zu stabilisieren und die für die Einhaltung des Sarbanes-Oxley-Gesetzes (SOX) aufgewendeten Arbeitsstunden zu reduzieren, so eine Studie von Protiviti’s 2017 Sarbanes-Oxley Compliance Umfrage.
Zu den wichtigsten Ergebnissen der Studie gehören:
Sich entwickelnde Vorschriften erhöhen den Zeitaufwand für die Einhaltung der SOX-Vorschriften
Die meisten Unternehmen – unabhängig von ihrer Größe – haben im vergangenen Jahr mehr Zeit für die Einhaltung der SOX-Vorschriften aufgewendet, und bei zwei Dritteln dieser Unternehmen stieg der Zeitaufwand um mehr als 10 Prozent. Veränderte Vorschriften wie der Prüfungsstandard AS.18 (neu kodifiziert als AS.2410), Non-GAAP-Offenlegungen und die damit verbundenen Kontrollen, eine verstärkte Dokumentation im Bereich der Cybersicherheit und eine stärkere Konzentration auf ausgelagerte SOC-Berichte sind laut der Studie wahrscheinlich die treibenden Faktoren. Die damit verbundenen regulatorischen Anforderungen werden sich wahrscheinlich weiterhin ändern, so dass es schwierig ist, die Anzahl der Stunden vorherzusagen, die Unternehmen – vor allem große, komplexe Unternehmen – von Jahr zu Jahr für die Einhaltung der Vorschriften aufwenden müssen.
Komplexe Unternehmen verbringen mehr Zeit mit der Einhaltung von SOX
Es überrascht nicht, dass es eine Korrelation zwischen der Anzahl der Standorte und den jährlichen Kosten für die Einhaltung der SOX-Richtlinien gibt, wobei zwischen den am wenigsten komplexen und den am meisten komplexen Unternehmen ein durchschnittlicher Unterschied von fast 1 Million Dollar besteht. Genauer gesagt, stellt die Umfrage fest, dass die Anzahl der Kontrollen umso größer ist, je mehr Standorte das Unternehmen hat. Fast 43 Prozent der Unternehmen mit mehr als 12 Standorten gaben an, dass zwischen 78 und 100 Prozent der Kontrollen als Schlüsselkontrollen eingestuft wurden – deutlich mehr als bei Unternehmen mit 4-12 Standorten.
Outsourcing bietet Erleichterung bei der Einhaltung von SOX
Immer mehr Unternehmen lagern ihre SOX-Compliance-Arbeiten aus – wahrscheinlich wegen der zeitlichen Beschränkungen, die sie einem Unternehmen auferlegen. Infolgedessen stellen sie fest, dass die Kosten sinken. Allerdings werden diese Kosten für Dritte in der Regel nicht im Budget für die SOX-Compliance erfasst, sondern über die Budgets der Geschäftsbereiche verteilt. Für größere Unternehmen wird es dadurch noch schwieriger, genau zu erfassen, wie viel für die SOX-Compliance ausgegeben wird.
Lesen Sie „Kosten externe Audits, sparen Unternehmen Geld?“
SOX-Compliance-Arbeit wird von Führungskräften immer noch positiv bewertet
Trotz der Kosten berichteten Führungskräfte, dass die Einhaltung der SOX-Vorschriften ihnen geholfen hat, ihre Prozesse zu straffen und zu verschlanken, was nicht nur Vorteile bei der Einhaltung der Vorschriften mit sich bringt. Um jedoch einen langfristigen Nutzen aus ihren Bemühungen zu ziehen, müssen sie sich vielleicht genauer ansehen, wie sie die Einhaltung der Vorschriften mit anderen Aspekten der Risikokontrolle verknüpfen.
Die Rolle der Risikomanagement-Technologie bei der Einhaltung des SOX
Diese Umfrageergebnisse sollten die Führungskräfte großer – und wachsender – Unternehmen dazu veranlassen, darüber nachzudenken, was sie tun können, um den Zeitaufwand und die Kosten für die Einhaltung der SOX-Vorschriften in den Griff zu bekommen. Die meisten großen Unternehmen haben wahrscheinlich bereits in die eine oder andere Art von Technologielösung zur Unterstützung der SOX-Compliance-Bemühungen, aber diese Technologie könnte in die Jahre gekommen sein.
Führungskräfte müssen prüfen, ob ihre Technologielösungen flexibel genug sind, um Zeit und Kosten auch in Zukunft zu kontrollieren. Erfahren Sie, wie SaaS-Risikomanagement-Technologie kann komplexen, globalen Unternehmen helfen, mit den sich ändernden Vorschriften Schritt zu halten und die SOX-Compliance in ihr gesamtes ERM-Programm zu integrieren.
