Compliance-Vorgaben erfüllt: Umsetzung von SOX bei einem Unternehmen aus der Kraftwerksbranche

Alle Unternehmen, deren Wertpapiere an US-Börsen gehandelt werden, müssen die Vorgaben des Sarbanes-Oxley-Acts (SOX) erfüllen. Das im Jahr 2002 verabschiedete Gesetz soll die Verlässlichkeit der Berichterstattung von Unternehmen, die den Kapitalmarkt in Anspruch nehmen, verbessern. PwC hat einen Kraftwerksbauer mit japanischer Muttergesellschaft dabei unterstützt, die Prozesse im Unternehmen mit den Anforderungen aus dem SOX in Einklang zu bringen. Das interne Kontrollsystem wurde dabei auf eine solide Basis gestellt.

Ausgangssituation

Mitte 2007 erreichte die Hitachi Power Europe GmbH (HPE) mit Sitz in Duisburg eine wichtige Nachricht von der Konzernmuttergesellschaft Hitachi Ltd. in Japan: Für das Geschäftsjahr 2007 müsse HPE die Vorgaben des Sarbanes-Oxley-Acts (SOX) erfüllen. Um ein Projekt dieser Größenordnung in wenigen Monaten erfolgreich durchführen zu können, ist externe Unterstützung nötig. HPE beauftragte PwC, das Unternehmen in allen Phasen des SOX-Projekts zu begleiten.

In kürzester Zeit mussten 45 Prozesse mit den zugehörigen Kontrollen dokumentiert und beurteilt werden. Zudem galt es, im Unternehmen ein breites Verständnis für die Anforderungen des SOX zu schaffen und dieses Bewusstsein in der täglichen Arbeit zu verankern. Die größte Schwierigkeit: Die Projektaufbau- und Ablauforganisation mussten berücksichtigen, dass HPE seit einigen Jahren kontinuierlich und rasant wächst.

Herangehensweise

Ein je nach Projektphase 15- bis 20-köpfiges PwC-Team unter der gemeinsamen Leitung von HPE und PwC setzte das Projekt nach einem anspruchsvollen Zeitplan um. Im ersten Schritt analysierte das Team die unternehmensspezifischen Risiken nach dem Top-down-Ansatz des AS5, dem Auditing Standard des Public Company Accounting Oversight Board.

Anschließend wurden Prozesse und Kontrollen dokumentiert und evaluiert, wie effektiv sie sind. Für bereichsübergreifende Kontrollen wurde ein Fragebogen entwickelt, um die wichtigsten SOX-Anforderungen zu adressieren. Traten dabei Schwachstellen zutage, gab das PwC-Team eine Empfehlung ab, wie sie beseitigt werden können.

In der IT musste eine vollständig neue Prozesslandschaft etabliert werden. Denn für viele Vorgänge gab es keine standardisierten Prozesse. Der Outsourcing-Partner von HPE wurde erstmals nach SAS-70 zertifiziert. Für das Kerngeschäft des Unternehmens - das Projektmanagement - wurden wichtige Kontrollen ergänzt und erweitert, um die SOX-Vorgaben zu erfüllen. Rollenspezifische Schulungen der HPE-Mitarbeiter haben dazu beigetragen, ein breites Verständnis für die Anforderungen zu schaffen.

Ergebnis

Seit dem Jahr 2007 hat der Abschlussprüfer der Geschäftsführung von HPE testiert, dass ein intaktes internes Kontrollsystem vorliegt. Der Prüfer kann seitdem jedes Jahr auf das HPE- interne Management Assessment zurückgreifen. Dadurch reduziert sich der Testaufwand. So kann HPE bei der Abschlussprüfung Kosten einsparen.

Seit 2006 sind Auftragsvolumen, Umsatz und Mitarbeiterzahl von HPE stark gestiegen. Prozesse und Kontrollen innerhalb der gewachsenen Organisation mussten zeitnah implementiert werden. Bei den SOX-Projekten der Jahre 2008 und 2009 hat das PwC-Projektteam deshalb Prozessschwachstellen analysiert und behoben, um das interne Kontrollsystem noch weiter zu optimieren. Dabei identifizierte das Team Potenzial zur operativen Prozessverbesserung: So sind wichtige Abläufe - zum Beispiel zwischen dem Finanzwesen und der operativen Projektabwicklung - verbessert worden. Im Fokus stand, Überschneidungen und Ineffizienzen zu vermeiden und - wo möglich - Prozesse zu automatisieren.

Die bei HPE dokumentierten Prozesse wurden zudem als Grundlage für den Aufbau der Tochtergesellschaft Hitachi Power Africa und deren Vorbereitung für die SOX-Compliance verwendet. Dadurch konnte HPE von den bereits dokumentierten Prozessen und Kontrollen profitieren und eigene Kosten reduzieren.

"Ab dem Finanzjahr 2010 wird HPE erstmals alle SOX-Aufgaben mit einem eigenen Team ohne externe Unterstützung bewältigen. Das ist für uns ein Zeichen, dass wir gut gearbeitet haben", berichtet der PwC-Projektleiter Martin Bork. Der Erfolg des Projekts habe auf der guten Zusammenarbeit mit HPE und der japanischen Muttergesellschaft basiert. "Entscheidend für den Erfolg waren aber auch die Branchenexpertise innerhalb des Projektteams und die bewährte SOX-Methodik von PwC. Nur so konnten wir schnell und effizient pragmatische Lösungen in guter Qualität für unseren Kunden entwickeln, um den SOX-Anforderungen gerecht zu werden."

Auch HPE ist mit dem Ergebnis zufrieden: "Wir arbeiten seit mehreren Jahren in verschiedenen Projekten mit PwC zusammen. Sowohl bei strategischen Fragestellungen als auch bei der Weiterentwicklung unserer Organisation schätzen wir die pragmatische und ergebnisorientierte Arbeitsweise der PwC-Teams. Ihre sehr gute Branchenkenntnis, die hohe Akzeptanz im Top-Management unseres Hauses und ein hervorragendes Key Account Management seitens PwC sorgen für sichere Umsetzungserfolge", sagt Martin Michler von HPE.