Sarbanes-Oxley (SOX) ist mittlerweile zum Synonym für den Begriff "Compliance" geworden. Nach den im Juli 2002 von der US-amerikanischen Regierung erlassenen Bilanzierungs-, Prüfungs- und Haftungsregeln müssen nicht nur einheimische, sondern auch ausländische, am US-Markt aktive Firmen nachweisen, dass sie mittels geeigneter Prozesskontrolle Fehler im Jahresabschlussbericht ausschließen können. Das Regelwerk ist tatsächlich der "Gorilla" unter den Vorschriftensammlungen. "Bei SOX dürfte es sich für die Betroffenen um die umfangreichsten Anforderungen im gesamten Compliance-Umfeld handeln", schätzt Friedrich Augenstein, Principal Finance & Employee Transformation beim IT-Beratungs- und Dienstleistungsunternehmen Capgemini.

Der Regulierungswald wird immer dichter

Doch ist dies bei weitem nicht die einzige Compliance-Hürde, mit der sich Unternehmen konfrontiert sehen. Um nur einige Beispiele zu nennen: Für viele amerikanische Firmen gilt es, sich parallel zu SOX unter anderem mit der Einhaltung des USA Patriot Act, der Börsenaufsichts-Regulierungen nach SEC 17a-3 und 17a-4 oder des Health Insurance Portability and Accountability Act (HIPAA) zu befassen. Auch in Europa ist SOX nur eine von vielen Herausforderungen: So hat das Gros der börsennotierten EU-Unternehmen gerade die seit 2005 vorgeschriebene Rechnungslegung nach den International Financial Reporting Standards (IFRS) eingeführt. Banken müssen die neuen Richtlinien zur Kreditvergabe nach Basel II erfüllen, während die voraussichtlich ab 2008 geltenden EU-Vorgaben Solvency II der Versicherungsbranche neue Regeln zum Risiko-Management auferlegen.

Darüber hinaus brodelt es derzeit rund um die dritte EU-Geldwäscherichtlinie zur Bekämpfung der Terrorismusfinanzierung. Dies ist ein Thema, das laut Oliver Schwendinger, Solution-Manager Anti Money Laundering beim Beratungshaus Bearingpoint, nach den Terroranschlägen in den Vereinigten Staaten und Madrid an Bedeutung gewonnen hat.

Vor diesem Hintergrund überrascht es nicht, dass das Beratungshaus Gartner heute im Vergleich zu den vergangenen Jahren das Zehnfache an Com- pliance-bezogenen Anfragen von Seiten seiner Klientel verzeichnet. Nach den Prognosen der Consultants müssen sich die Unternehmen in naher Zu- kunft nicht nur auf Revisionen bestehender Vorschriften, sondern auch auf zahlreiche neue Bestimmungen - sei es hin- sichtlich Desaster Recovery, Transportsicherheit, Transparenz in der Wertschöpfungskette oder in Bezug auf erweiterte Privacy-Vorschriften - gefasst machen.

Auch europäische CIOs stehen vor schwierigen Aufgaben: Wie lässt sich die Vielfalt an Com- pliance-Vorgaben, die auf die Firmen einprasseln, in ein Gesamtkonzept bringen und mit einer integrierten Lösung abdecken? Als großes Manko sehen die Berater, dass das Gros der Einführungsprojekte zu spät angegangen und dann übereilt wird. Das Resultat seien kurzfristige und nur bedingt zukunftsfähige Übergangslösungen, die bald für viel Geld geändert werden müssten.

In Anbetracht der zunehmenden Regulierungsdichte, aber auch der Schwierigkeit, künftige Bestimmungen zu antizipieren, könnten es sich Unternehmen nicht länger leisten, die jeweiligen Initiativen einzeln in Angriff zu nehmen. Firmen, die für jede regulative Anforderung eine Extralösung basteln, müssen im Schnitt mit zehnmal höheren Kosten für Compliance-Projekte rechnen als diejenigen, die proaktiv vorgehen, so die Einschätzung von Gartner. "Wir haben festgestellt, dass Compliance-Projekte teilweise unabhängig voneinander gefahren werden", kritisiert Ralf Temporale den Mangel an ganzheitlichen Ansätzen. Er zeichnet bei Bearingpoint für Compliance-Lösungen in Europa verantwortlich. "Was den meisten Unternehmen fehlt, ist eine übergreifende Compliance- und IT-Strategie, die einen Bebauungsplan sowohl auf technischer als auch auf prozessualer Ebene für die kommenden fünf bis zehn Jahre vorgibt", bemängelt der Experte.

Dabei weist das Gros der komplexen Bestimmungen durchaus auch Gemeinsamkeiten auf, die sich nutzen lassen, um die Compliance-Last zu verringern. Hierzu gilt es, die einzelnen Regulierungen auf ihre Basisanforderungen zu reduzieren und auf diese Weise den größten gemeinsamen Nenner zu ermitteln. Der ist laut John Hagerty, Vice President bei ARM Research, nicht in den betroffenen Kerngeschäftsprozessen zu finden, da diese naturgemäß je nach Branche variieren. "Die allen gemeinsame Basis ist die IT - es sind stets dieselben Technikprozesse betroffen", erläutert er. Nahezu jede Regulierung stelle Anforderungen im Hinblick auf die folgenden vier IT-Bereiche:

- Sicherheit,

- Prozess-Management, sprich: Reglementierung des Informationsflusses,

- Berichtswesen (Reporting) beziehungsweise Risiko-Management,

- Dokumenten- oder Record-Management respektive Vorhaltung bestimmter Daten.

Wer eine Umgebung geschaffen hat, die diesen vier Aspekten angemessen Rechnung trägt, wird laut Hagerty auf künftige Bestimmungen schneller, effektiver und kostengünstiger reagieren können.

Überschneidungen ermitteln und nutzen

Nach Ansicht von Temporale lässt sich die gesamte Compliance-Thematik im Prinzip auf bestimmte IT-Probleme in Sachen Datenqualität, Datenintegrität und Datenverfügbarkeit zurückführen. Als zentrale proaktive Maßnahme erachtet er es demnach, die Datenhaltung so umzugestalten, dass ein möglichst homogener Daten-Pool entsteht, aus dem sich die für alle Belange benötigten Reports ziehen lassen. Im Fall von IFRS und Basel II ergebe sich beispielsweise eine Reihe von Überschneidungen in Sachen Offenlegung.

Temporales Kollege Ronald Frey wiederum, Bearingpoint-Spezialist für Risk-Management-Lösungen, verweist auf eine beachtliche Schnittmenge hinsichtlich des operativen Risiko-Managements zwischen Basel II und SOX. "Bei beiden Themen geht es um Prozesse und Prozesskontrollen", erläutert Frey. Einige Unternehmen hätten dies bereits erkannt und ihre SOX- und Operational-Risk-Management-Projekte konsequent zusammengelegt.

Transparenz und Verfügbarkeit sind gefordert

Die meisten Regulierungen fordern, jederzeit und schnell In- formationen transparent auf- bereiten zu können. Hilfreich ist eine durchgehende transparente IT-Plattform. "Das beginnt bei der einheitlichen Definition von Kennzahlen und hört auf bei der durchgängigen Verfügbarkeit der Daten", erläutert Augenstein von Capgemini. Angesichts der starken Zersplitterung vieler Konzerne in prozessual und technisch heterogen aufgestellte Töchter empfiehlt er zudem Elemente wie ein Shared-Service-Center und Business-Process-Outsourcing sowie verstärkte Investments in standardisierte einheitliche IT-Systeme, um künftigen Compliance-Anforderungen gewachsen zu sein.

Eine Voraussetzung für den Geschäftserfolg

Nach Ansicht der Consultants erfordert nahezu jedes Compliance-Projekt nach der Einführung eine anhaltende Betreuung. "Compliance-Themen sollten nicht als einmalige Projekte etwa wie die Jahr-2000-Umstellung angegangen, sondern als konstante Veränderung im Bezug auf den Betrieb des eigenen Geschäfts verstanden werden", mahnt etwa der AMR-Analyst Hagerty.

Nach dem anfänglichen Bestreben, die jeweiligen Einführungsprojekte fristgerecht abzuschließen - was in vielen Fällen mit "quick and dirty" gleichzusetzen ist - müssen viele Unternehmen jedoch offenbar erst einmal begreifen, dass es die einzelnen Compliance-Anforderungen nicht nur um ihrer selbst willen zu erfüllen gilt. "Noch fehlt weitgehend das Verständnis, dass Compliance vor allem auch eine Chance bietet, bestimmte Probleme in IT- und Prozesslandschaft fundiert zu lösen und damit die eigene Wettbewerbs- fähigkeit zu erhöhen", kritisiert Temporale die bislang unzu- reichende Konvergenz von Compliance und Business. Wer über eindeutig definierte Abläufe, eine klare IT-Architektur und einen integrierten Datenpool verfüge, sei einfach leistungsfähiger.

Regulierungsanforderungen bieten auch Chancen

Capgemini-Berater Augenstein ist jedoch zuversichtlich, dass Firmen die Gelegenheit beim Schopf packen und etwa ihre Rechnungslegungssysteme nach der ersten IFRS-Einführungswelle effizienter gestalten werden. Ein Beispiel für potenzielle Synergien: Ein im Rahmen der EU-Bestimmungen vorgeschriebenes Instrument, das die bilanzielle Aktivierung von Entwicklungsleistungen bei der Erfüllung bestimmter IFRS-Anforderungen vorschreibe, erfordere die enge Zusammenarbeit zwischen Finanzchef und Entwicklungsabteilung. "Auf dieser Basis würde sich - quasi als Nebeneffekt der Regulierungsanforderung - der Ausbau zu einem Entwicklungs-Controlling anbieten, das heute beim Gros der Firmen noch in den Kinderschuhen steckt", so der Capgemini-Experte.

Organisatorisch ist das Thema Compliance in den meisten Unternehmen beim Finanzchef aufgehängt. Einige große Konzerne haben bereits eigene, ebenfalls im Finanzbereich angesiedelte Stabsstellen eingerichtet, die mehrere Compliance-Themen vereinen. Auch wurden schon ein paar Chief Compliance Officers (CCOs) ernannt.

Nach Ansicht von Augenstein mangelt es aber noch an Methodenabteilungen, die von zentraler Stelle aus klare Anleitungen geben, so dass Töchter und Einzelbereiche die Vorgaben eindeutig und transparent umsetzen könnten. Für Tempora- le wiederum besteht noch Handlungsbedarf im Hinblick auf das Programm-Management. Als Steuerungsinstrument für sämtliche Compliance-Projekte würde es ermöglichen, verwandte Themen entsprechend ihrer Überschneidungen zu adressieren.

Risiko-Management: Europäer haben die Nase vorn

Nach den Erfahrungen von AMR-Analyst Hagerty verfügen Unternehmen auf dem alten Kontinent über ein ungleich tieferes Verständnis in Sachen Risiko-Management, einem der Kernbereiche der großen Compliance-Themen als US-Firmen. "Wer seine Denkweise bereits dahingehend ausgerichtet hat, tut sich mit Compliance weitaus leichter." Augenstein führt diesen besonders in Deutschland spürbaren Vorsprung nicht zuletzt auf das seit 1998 geltende "Gesetz zur Kontrolle und Transparenz im Unternehmensbereich" (Kontrag) zurück. Es macht Manager haftbar, wenn sie keine Vorsorge oder Frühwarnung im Rahmen des unternehmensweiten Risiko-Managements betreiben.