Governance, Risikomanagement und Compliance

Kurzfassung In der vorliegenden Arbeit werden die Begriffe Governance, Riskmanagement and Compliance (GRC) und im speziellen Financial GRC, sowie die zugrunde liegenden Komponenten, definiert und analysiert. Zudem werden internationale- und nationale regulatorischen Anforderungen beschrieben, wie zum Beispiel der amerikanische Sarbanes Oxley Act (SOX) und die 8. Richtlinie der Europäischen Union (EuroSOX), welche das aktive Management von GRC für die Unternehmensleitung erforderlich machen. Die wünschenswerten Komponenten einer ganzheitlichen Financial Governance Softwarelösung werden aufgezeigt und die Abdeckung dieser anhand einer Analyse der Software des Herstellers Tagetik überprüft. Schlagwörter: GRC, Corporate Governance, Risikomanagement, Compliance, Financial Governance Abstract This thesis defines the terms Governance, Riskmanagement and Compliance (GRC) and especially Financial GRC and analyses the underlying components. Furthermore, it describes international- and national regulations, for example the American Sarbanes Oxley Act (SOX) and the 8. Directive of the European Union (EuroSOX), which are the main purpose for an active management of GRC. Additionally, it identifies the desirable components of a holistic Financial Governance solution and analyses their implementation in the software Tagetik. Keywords: GRC, Corporate Governance, Riskmanagement, Compliance, Financial Governance Danksagung Folgenden Personen möchte ich meinen Dank aussprechen: Nico Racz, Betreiber der Onlineplattform www.grc-resource.com, für das hilfreiche Interview und die Bereitstellung der Ergebnisse seiner Erhebung. Mag. Claus Koppensteiner, für die Unterstützung bei Fragen zur Funktionalität der Software Tagetik. Michael Gfrorner, für seine Hilfe bei technischen Fragen bezüglich der Software Tagetik. Inhaltsverzeichnis 1 Einleitung ............................................................................................................. 1 1.1 Aufgabenstellung............................................................................................ 1 1.2 Aufbau der Arbeit ........................................................................................... 1 2 Grundlagen: Governance, Risikomanagement und Compliance .......................... 2 2.1 Governance .................................................................................................... 2 2.1.1 OECD Grundsätze der Corporate Governance ....................................... 4 2.1.2 Der österreichische Corporate Governance Kodex ................................. 4 2.1.3 Ein neuer Ansatz für Corporate Governance ........................................... 6 2.2 Risikomanagement ......................................................................................... 9 2.2.1 Die Risikoberichterstattung .................................................................... 12 2.2.2 Das COSO-Framework .......................................................................... 13 2.3 Compliance .................................................................................................. 17 3 Definition von Governance, Risikomanagement und Compliance (GRC) .......... 20 3.1 Zusammenspiel der Bereiche Governance, Risikomanagement und Compliance ............................................................................................................ 20 3.2 Kurzdefinition von GRC ................................................................................ 25 3.3 Funktionen und Prozesse von GRC ............................................................. 27 3.4 Financial GRC und Financial Governance ................................................... 30 4 Gesetzliche Anforderungen als Treiber von GRC .............................................. 34 4.1 Sarbanes Oxley Act 2002 (SOX) .................................................................. 34 4.1.1 Anlass und Notwendigkeit des Sarbanes-Oxley Act .............................. 34 4.1.2 Geltungsbereich des Sarbanes-Oxley Act ............................................. 37 4.1.3 Inhalt des Sarbanes-Oxley Act .............................................................. 37 4.2 Die 8. Richtlinie der Europäischen Union (“EuroSOX”) ................................ 40 4.3 Nationale Gesetzgebung – Österreich ......................................................... 41 4.3.1 Die allgemeinen Sorgfaltspflichten der Geschäftsführung ..................... 41 4.3.2 Insolvenzrechtsänderungsgesetz (IRÄG) .............................................. 41 4.3.3 Rechnungslegungsänderungsgesetz 2004 (ReLÄG) ............................. 41 4.3.4 Unternehmensrechts-Änderungsgesetz 2008 (URÄG) .......................... 42 4.3.5 Der Corporate Governance Kodex ........................................................ 44 5 Financial Governance in Tagetik 3.0 .................................................................. 45 5.1 Tagetik – Das Unternehmen......................................................................... 45 5.2 Unterstützung von Financial Governance in Tagetik 3.0 .............................. 46 5.3 Funktionale Softwareanalyse – Tagetik 3.0 .................................................. 49 5.3.1 Allgemeine Administration und Details .................................................. 50 5.3.2 Financial Consolidation .......................................................................... 53 5.3.3 Reconciliation of intercompany transactions & Reconciliation management ...................................................................................................... 73 5.3.4 Financial controls and compliance ......................................................... 75 5.3.5 Financial close management ................................................................. 82 5.3.6 Access and segregation of duties controls............................................. 84 5.3.7 Financial analytics ................................................................................. 89 5.3.8 Fazit – Abdeckung von Financial Governance durch Tagetik ................ 91 6 Diskussion .......................................................................................................... 93 Literaturverzeichnis ................................................................................................... 95 Abbildungsverzeichnis ............................................................................................... 97 Tabellenverzeichnis ................................................................................................... 99 Abkürzungsverzeichnis............................................................................................ 100 2 1 Einleitung Es ist eine vielversprechende Entwicklung, Corporate Governance, Risiko- management und Compliance zu dem gemeinsamen Akronym GRC zusammenzufassen und diese Bereiche als ein einheitliches Ganzes zu sehen. Dadurch ist ein neuer Aufgabenbereich in Unternehmen entstanden, dessen Verwaltung ohne die Unterstützung durch Software undenkbar ist. Software- entwickler unterschiedlicher Kategorien haben es sich daher zur Aufgabe gemacht in dieses Zukunftsthema zu investieren und ganzheitliche Lösungen zu entwickeln. 1.1 Aufgabenstellung Ziel dieser Arbeit ist es unter Anderem, den Begriff GRC und dessen Teilbereich Financial GRC bzw. Financial Governance möglichst zutreffend zu definieren und abzugrenzen. Des Weiteren soll die Frage beantwortet werden, was die eigentlichen Auslöser für die Entstehung von GRC sind, und dabei die Anforderungen der Gesetzgeber und Stakeholder aufgezeigt werden. Eine weitere Problemstellung liegt in der Betrachtung wie eine ganzheitliche Softwarelösung für Financial GRC umgesetzt werden kann. Hierfür sollen die notwendigen Komponenten einer solchen Lösung ermittelt und der Status der Umsetzung anhand einer Analyse der Software eines Anbieters in diesem Bereich überprüft werden. Zudem soll die Frage beantwortet werden, welchen Nutzen Unternehmen aus der Implementierung einer solchen Software ziehen können. 1.2 Aufbau der Arbeit Die vorliegende Arbeit gliedert sich in 4 Bereiche: In Kapitel 2 werden die Grundlagen für GRC, durch eine Betrachtung von Governance, Risikomanagement und Compliance, erläutert. In Kapitel 3 soll der Begriff GRC genau definiert sowie der Teilbereich Financial GRC abgegrenzt werden. Kapitel 4 soll auf die gesetzlichen Anforderungen sowie deren Notwendigkeit und Auswirkungen eingehen. In Kapitel 5 soll abschließend der Stand der Umsetzung einer ganzheitlichen Financial GRC Lösung anhand einer Softwareanalyse überprüft werden. 1 2 Grundlagen: Governance, Risikomanagement und Compliance An sich ist der Begriff GRC kein neues Phänomen. Die aktive Kontrolle der einzelnen Teilbereiche Governance, Risiko und Compliance waren für Unternehmen seit jeher von großer Bedeutung. Zusammengefasst unter dem Begriff GRC, mangelt es diesem jedoch an einer allgemein anerkannten und gültigen Definition.