Für Unternehmen heutzutage ist die Compliance mit Sarbanes-Oxley Section 404 eine sehr wichtige Angelegenheit. Es ist jedoch oft recht schwierig zu entscheiden, welches Maß an Kontrolle wirklich notwendig ist. Compliance mit SOX kann ohne den richtigen top-down Ansatz umständlich werden. Daher muss man fragen:
- Welche Kontrollelemente versuchen wir zu konkretisieren?
- Wie können und diese Kontrollen gelingen?
Dies alles können Sie mit dem ActiveModeler Avantage SOX Inspector!
Solche Kontrollverfahren müssen zusammen mit dem Geschäftsprozessmodell Ihres Unternehmens geplant werden um Dinge am Platz zu halten. Stellen Sie sich vor was wäre, wenn Sie Ihre Geschäftsprozesse nach internationalen BPMN-Standards und dann als Erweiterung dieses Geschäftsmodelles die Kontrollelemente im vollständigen COSO Standard festlegen könnten ...
Der SOX Inspector ermöglicht es Ihnen, Ihre
Geschäftsprozessen auf der Aufgabenebene und, auch das ist
wichtig, auf höheren Entitätsebenen Kontrollprüfpunkte
hinzuzufügen. Für Ihre Analyse wird ein Bericht aller
Kontrollpunkte im Excel-Format ausgegeben. Sie können sehen
wann die Kontrollpunkte zum letzten mal aktualisiert und von internen
oder externe Revisoren überprüft wurden.
Eine integrierte Lösung |
Vollständige Verknüpfung mit dem BPMN
Corporate Modell. Auf diese Weise kann Ihr Unternehmen von Ihren SOX
Bemühungen auch in anderen Bereichen profitieren z.B. Effizienz,
Prozessanalyse usw. Ungleiche SOX Dokumente, die mit Excel, Visio
oder anderen Programmen erstellt wurden sind schwer zu
sammeln, abzugleichen oder abzurufen und können leicht
verlegt werden. |
Ein zentrales gemeinsames Repository |
Ein sicherer, zentraler Sicherungsort mit Versionenkontrolle zur Verfolgung von Änderungen. |
Kosteneffektiv |
Ein einfach zu verwendendes System in dem
Benutzer innerhalb des Unternehmens teilnehmen können um die
Inanspruchnahme teure Beratungstätigkeiten zu reduzieren. |
Workflow |
ActiveModeler Avantage ermöglicht es Tests durch das integrierte ActiveFlow Workflow System optional zu Verifizieren. |
Lassen sie uns sehen wie das in der Anwendung aussieht.
1. Zuerst definieren Sie Ihren Geschäftsprozess mit Avantage im BPMN Standard.
(Zum Vergrößern klicken sie bitte auf das Bild)
2. Dann die Daten an den entsprechenden Punkten im Prozessmodell erfassen – eine solche Erfassung sieht folgendermaßen aus:
Sie können ein Element im Diagramm (oder dem
BP-Baum) auswählen und dann die SOX Eigenschaften direkt mit der
SOX-Inspector-Ansicht verändern.
Sie können ganz einfach einen Bericht über diese Kontrollelemnte erstellen:
und alle Berichte werden als Excel-Tabelle dargestellt. (Bitte klicken Sie auf das untenstehende Bild um ein detailierteres Bild zu sehen)
Es gibt viele Berichte die besagen, dass Unternehmen erheblich mehr als vorausberechnet für die SOX 404 Compliance ausgeben. Unternehmen suchen immer mehr nach Möglichkeiten, der SOX Compliance gerecht zu werden, aber zu niedrigerern Kosten.
Der Avantage SOX Inspector, erstellt auf Basis Ihres Firmenprozessmodells, kann Ihnen dabei helfen sowohl die Kosten für die Compliance zu reduzieren, als auch bessere Compliance Kontrollinformationen zur Hand zu haben.
In der Anfangszeit der SOX 404 Compliance:
◆ Teure Berater von außerhalb werden normalerweise engagiert um besondere Expertise, die so nicht im Unternehmen vorhanden ist, hereinzubringen.
◆ Interne Berater werden zum SOX Team hinzugefügt um die internen Resourcen nicht zu sehr zu belasten.
◆ Wirtschaftsprüfungsunternehmen werden genutzt um die Bemühungen um Compliance zu überprüfen.
◆ Auch das interne Management wird stark miteinbezogen, oft verbunden mit beträchtlichen Kosten für die gesamte Business Performance.
◆ Standardisierte Tools werden oft nicht verwendet.
Während ein solcher Ansatz in der Anfangszeit der SOX Compliance
noch nützlich war, muss eine nachhaltigere, langfristige
Lösung vorgestellt werden.
Während wir immer noch einen internen SOX
Spezialisten und sicher auch die Berichte der interen/externen
Revisoren benötigen, besteht der Avantage Ansatz darin, dass viele
Aspekte, die von von einem unabhängigen
und zweckbestimmte Team bearbeitet werden, zu einem Bestandteil des
täglichen Geschäfts werden können. Auf diese Weise
sind die Prozesseigner verantwortlich für eine große Menge
der Compliance Dokumentation und der Prüfung der Kontrollen.
Interne Revisoren oder SOX Spezialisten werden die SOX Compliance
Initiative überwachen und sind verantwortlich für die
Qualität des Prozesses durch Revisionen auf hoher Ebene um die
Effektivität der Kontrollen und Verfahren zu gewährleisten.
Ein weiterer Vorteil dieser Herangehensweise ist der, dass der
Prozessverantwortliche beginnt die Prozesse besser zu verstehen. Wir
werden so das Konzept des Re-Engineering oder der Umwandlung von
Geschäftsprozessen in das Unternehmen einbringen.
Als erstes brauchen sie ein standardisiertes Tool zur
Prozessdefinition, das einfach zu benutzen ist und überall im
Unternehmen eingesetzt werden kann. Eine solche Standardisierung sichert, dass Prozessdefinitionen und –kontrollen
von verschiedenen Prozessteams innerhalb eines Unternehmens nicht
missgedeutet werden können, wenn die Dokumentations- oder
Prüfungsverantwortung auf den Prozesseigner übergeht.
ActiveModeler Avantage hat den Vorteil, dass es ein leicht zu
verwendendes Tool ist, das zu 100% den internationalen BPMN
Standars entspricht, so dass die gesamte Prozessdokumentation des
Unternehmens in einem aktzeptierten Standard gehalten ist.
Schulen Sie Ihre Mitarbeiter, damit die Processverantwortlichen Ihre eigenen Prozesse dokumentieren können und, dass ist wichtig, so detailiert wie nötig. Mit Avantage ist das ganz einfach. Sie können sich auch sicher sein, dass alle Angestellten die Prozesse in der gleichen Art und Weise dokumentieren werden. Nach einer eintägigen Schulung können Ihre Mitarbeiter Prozesse im internationalen Standard dokumentieren. Alle graphischen Elemente sind streng kontrolliert und definiert. Auch Dokumente und technische Spezifikationen können erfasst werden.
Um zu gewährleisten, dass nur dazu Berechtigte Dokumente aktualisieren und durchsehen können, muss Ihr Unternehmen eine verständliche Dokumentenkontrolle mit richtig definiertem Review-Prozess einsetzen. Das ist unerlässlich um Sicherzustellen, dass die Prozess- und die Kontrolldokumentation immer korrekt ist. Eine solche Prozessdokumentation kann, falls notwendig, zwecks Versionenkontrolle in einem CVS Repository aufbewahrt werden. Dieses Repository dient als ein elektronisches Daten-Tresor und ist besonders für größere Unternehmen nützlich. Aktualisierungen dieser Dokumentation können genauestens geprüft werden. Avantage hat eine einfache Verbindung zum CVS Repository, mit simplen Check in/Check out Befehlen.
Nach der Prozessdokumentation müssen wir
Kontrollen hinzufügen. An dieser Stelle kommen die internen SOX
Experten ins Spiel, um den Prozessverantwortlichen, top-down,
anzuleiten und zu schulen, dass er weiß, welche Arten von
Kontrolle notwendig sind und wie diese internen Kontrollen getestet
werden können. Man muss bedenken, dass es bei SOX um
Kontrollpunkte geht und nicht nur um das Dokumentieren von Verfahren.
Avantage erlaubt Ihnen diese Kontrollpunkte zu beleuchten und die
Kontrollverfahren zu dokumentieren. Alle Kontrollpunkte können
etwa in rot auf der Prozesskarte dargestellt werden. Früher
haben viele Unternehmen eine zu große Zahl von SOX Kontrollen und
Beurteilungen eingesetzt.
Deswegen ist eine top-down Herangehensweise notwendig, um exakt zu
entscheiden welche Art von Kontrollen notwendig sind. Avantage
erlaubt Kontrollen auf der Ebene der zu bearbeitenden
Prozesse oder auf höheren Entitätsebenen.
Nach der Schulung können die Prozesseigner gute
und schlechte interne Kontrollen erkennen, ebenso wie gute
bzw. nicht zufrieden stellende Dokumentationen. Sie sollten ein klares
Verständnis der gesamten Vorraussetzungen von Prozessdokumentation
haben und Kenntnisse aller internen Kontrollen der Prozesse die sie
bearbeiten. Ein Verfahren sollte vorhanden sein, um den Compliance
Prozess zu verbessern, normalerweise durch die Prüfung mit
internen Revisoren und SOX Spezialisten. Schulungen für
Prozessverantwortliche und Mitglieder der Teams sollten automatisch
abgebrochen werden, wenn Mängel in der internen Kontrolle erkannt
werden, damit der Prozess oder eine bestimmte Zeitspanne seit dem
letzten Schulungskurs vergangen ist.
Avantage verwendet eine Standard für die Berichte der Prozesskontrollen und Prüfungsergebnisse, um zu gewährleisten, dass interne Kontrollen beständig in der gleichen Art und Weise über alle Operationen innerhalb des Unternehmens und über die Zeit geprüft werden. Diese Bedingung ist entscheidend dafür, den Complianceprozess erfolgreich innerhalb des Unternehmens einrichten zu können. Nur berechtigte Personen wie etwa interne Revisoren oder Prozessmanager sollten dazu ermächtigt sein diese Tests zu aktualisieren. Wenn eine Prüfungsmethode zur internen Kontrolle auf den neuesten Stand gebracht ist, dann sollte nur die neueste Version zum Testen der internen Kontrolle einer jeden Operation innerhalb des Unternehmens verwendet werden.
Avantage erlaubt eine einfache Sichtbarkeit der untere Barrierenwerte zum Zweck interner Kontrollen in Excel. Diese können automatisch als Mängel gekennzeichnet und innerhalb des Unternehmens zurückverfolgt werden. Wichtige Prozessverantwortliche und interne Revisoren können solche Mängel durchschauen.
Korrekturen für alles was unter Nennwert der
Kontrolle ist, müssen innerhalb des Unternehmens rückverfolgt
werden um zu gewährleisten, dass die Mängel in
einem genehmigten zeitlichen Rahmen behoben wurden.
Hohe Funktionalität |
Risiken, Kontrollpunkte, Erklärungen, COSO
Attribute, Ratings, Tests und Evaluationen können alle für
einen BPMN-Prozess erfasst werden. |
Risiken in verschiedenen Entitätsebenen |
Risiken können auf der Ebene von Diagramm, Pool, Verantwortlichkeitsbereich oder Aufgabe definiert werden. |
Tabelleneditoren |
Standardisierte Einstellungen von Risiken, Kotrollpunkten, Erklärungen, COSO Attributen, Ratings und Tests können bearbeitet werden und genau so eingestellt werden wie es Ihr Unternehmen braucht. |
Farbkodierung und Präfixmarkierung |
Aufgaben mit einem Risiko können, je nach
Ihren Vorlieben, mit einer Farbe hervorgehoben werden. Ein
zusätzliches Symbol kann zugeordnet werden. (besonders
nützlich für organisatorische Einheiten und
schwarz-weiß Druck) |
Prüfpfad |
Updates und interne und externe Revisionen werden aufgezeichnet und mit der Zeit versehen und Versionen davon können im CVS Repository aufbewahrt werden. |
Excel Risikokontroll Matrix |
Der RCM wird in Excel ausgegeben. Die Analyse
kann für einen oder mehrere Prozesse erfolgen, abhängig vom
ausgewählten Analysepunkt im Prozessbaum. |
Excelformatierung |
Das RCM-Blatt kann, entsprechend Ihrer Präferenzen, so erstellt, formattiert werden wie Sie es wünschen. |
