Endgültiger Countdown zu Sarbanes-Oxley Compliance

Wie es oder nicht, ist die Uhr tickt für Nicht-US-Unternehmen, die zu einem der am meisten gesprochenen Elemente des Sarbanes-Oxley (SOX) Act im Jahr 2002 gegründet werden müssen.

Mit der Verabschiedung des kritischen 15. Juli-Meilensteins für ausländische Unternehmen, die in den USA aufgeführt sind, um gemäß Section 404 unter SOX konform zu sein, haben sie nun von einigen Wochen bis zu fast einem Jahr die Regelungen einzuhalten oder mit den Konsequenzen zu konfrontieren. Gemäß § 404 müssen öffentlich gehandelte Unternehmen über interne Richtlinien und Kontrollen verfügen, um Informationen für die Finanzberichterstattung zu schützen, zu dokumentieren und zu verarbeiten.

Das Gesetz verlangt, dass betroffene Unternehmen bis zum Ende des jeweiligen Geschäftsjahres nach dem 15. Juli 2006 einwilligen. Das Datum ist eine Verlängerung der ursprünglichen Frist vom 15. Juli 2005, die von der US Securities and Exchange Commission (SEC) festgelegt wurde. Öffentliche US-Unternehmen mussten im November 2004 konform sein.

Für die meisten nicht-amerikanischen Unternehmen, würde die Reise im Jahr 2004 begonnen haben, sagte Philip Chong, Direktor bei Deloitte & Touche Enterprise Risk Services. Auch Unternehmen hätten vor etwa zwölf Monaten begonnen, “über die Beurteilung und Umsetzung der internen Kontrollen nachzudenken”, sagte er.

Für Software-Riese SAP wurde der Prozess der Konformität in wenigen Jahren gestreckt. Dirk Metzger, Leiter des Risikomanagements bei SAP Asia-Pacific, teilte mit, dass das Unternehmen seine SOX-Reise im Jahr 2002 begonnen habe.

Neben der Beteiligung von Prozess-Besitzern, hat SAP auch SOX-Champions, die SOX 404 verwandte Aufgaben wie Effizienz-Tests, sagte Metzger. Etwa 30 Geschäftsbereiche und 30 Prozessgruppen waren an den verschiedenen Projektphasen beteiligt, von denen jede “von 300 auf 6000 Manntage” reichte.

Der Softwareriese arbeitete auch daran, SOX-erforderliche interne Steuerungselemente in die Risikomanagementfunktion von SAP einzubeziehen, die auf dem COSO Enterprise Risk Management Framework basiert.

Metzger sagte: “SAP hat den SOX 404-Risikobewertungsprozess über interne Kontrollmechanismen in ein ganzheitliches Enterprise Risk Management erweitert und entwickelt derzeit ein konsolidiertes Compliance- und Governance-Framework für das gesamte Unternehmen Und es wurde ein Themenauswertungsausschuss eingerichtet, der sich mit den Ergebnissen von SOX 404-Prüfungen und Audits befasst und dem SOX-Thema Topmanagement-Exposition und -Aufmerkung vermittelt. ”

Innovation, Brasilien und Großbritannien unterzeichnen Tech-Innovation-Abkommen, Regierung: Großbritannien, Blockchain-as-a-Service für den Einsatz in der britischen Regierung genehmigt Sicherheit, diese Zahlen zeigen, dass Internetkriminalität ist eine viel größere Bedrohung als jeder zuvor dachte, Sicherheit, Internet der Dinge Sicherheit Ist schrecklich: Hier ist, was zu tun, um sich zu schützen

Laut Metzger unterliegt SAP derzeit einem halben Jahr SOX 404-Audit durch seinen externen Prüfer KPMG und erwartet, dass es im nächsten Jahr die erste Zertifizierung der Compliance erhält.

Am Nasdaq-notierten Pacific Internet (Pa) begannen Mitte 2004 die Vorbereitungen für SOX-Compliance. Sein Vorstandsvorsitzender und Präsident Phey Teck Moh stellte fest, dass das Unternehmen, dessen laufendes Geschäftsjahr am 31. Dezember 2006 enden wird, die Anforderungen am Ende dieses Jahres erfüllen wird.

Der in Singapur ansässige ISP setzte ein Führungsteam zusammen, um den Prozess zu managen, und legte Land-Geschäftsführer und Finanzkontrolleure verantwortlich für ihre jeweiligen Bereiche. Dedizierte Arbeitsgruppen wurden in einigen Landesbüros eingerichtet, um an der Erfüllung von Compliance zu arbeiten. Pathis Website schätzt, dass mehr als 30 Prozent seiner Mitarbeiter – dedizierte Ressourcen oder sonst – an den bisherigen Compliance-Arbeiten beteiligt waren.

Das Projekt wurde intensiv “in Bezug auf Ressourcen und Engagement”, aber es hat auch das Unternehmen profitiert, fügte Phey. “Der Compliance-Prozess hat uns die Möglichkeit gegeben, unsere Finanzkontrolle weiter zu verbessern, die unsere Geschäftsprozesse gestärkt und verbessert hat”, sagte Phey.

Jeffrey Hoo, Bereichsdirektor für Dienstleistungen und Management-Systeme bei Symantecs regionaler Produktmarketing-Abteilung, stellte fest, dass Unternehmen, die vom SOX-Gesetz betroffen sind, bereits über Prozesse verfügen und auf deren Einhaltung arbeiten.

Hoo sagte Unternehmen in der Banken-und Finanzbranche sind erfahrener, da “Compliance ist eine alltägliche Angelegenheit”, im Gegensatz zu Unternehmen in anderen Branchen, wo es mehr Arbeit zu tun ist. “Es wird viel Zeit verbraucht, um die Politik und die Prozesse zu definieren, bevor sie in den Einsatz von Technologie und die Menschen zu verstehen und zu kooperieren, um zu entsprechen”, sagte er.

Deloitte & Touche Chong wies darauf hin, dass es diejenigen, die zu warten, bis die letzte Minute, um ihre Compliance handeln zusammen zu warten. Mit einer “unbeweglichen Frist” müssen diejenigen, die spät anfangen, “mehr Engagement aus dem Management” setzen und auch mehr Humanressourcen pumpen, sagte er.

Symantecs Hoo stimmte zu und sagte, dass Top-Management “volle Unterstützung für Compliance” anbieten und es als “Muss” und nicht als “gut zu haben” betrachten muss.

Hoo fügte hinzu, dass für Spätantriebe, ein guter Anfang ist, um auf der ISO 27001 und ISO 17799 Standards lesen, “die sehr umfassende Richtlinien bieten”. Unternehmen sollten auch herausfinden, welche Instrumente auf dem Markt verfügbar sind, die “wiederholbare IT-bezogene Aufgaben automatisieren können, um die Compliance-Kosten überschaubar zu halten”, sagte er.

Am Ende des Tages gibt es einfach kein Raum, um die Anforderungen zu verfehlen. Nicht-Einhaltung “ist keine Option”, sagte Deloitte & Touche’s Chong. Die [US] SEC “nimmt ernsthafte Ansicht” der Nichteinhaltung, und eine solche Situation würde auch “verursachen Anleger, Glauben zu verlieren” in der Firma, fügte er hinzu.

Vivian Yeo schreibt für die Website Asien

Brasilien und Großbritannien unterzeichnen Tech-Innovation-Abkommen

Blockchain-as-a-Service für den Einsatz in der britischen Regierung zugelassen

Diese Zahlen zeigen Cyberkriminalität ist eine viel größere Bedrohung als jeder vorher dachte

Internet der Dinge Sicherheit ist schrecklich: Hier ist, was zu tun, um sich zu schützen