Web

Sarbanes-Oxley-Deadline: Die Zeit wird knapp

19.10.2004

Für das Gros der an US-Börsen notierten Unternehmen greifen Ende 2004 die neuen Bilanzierungs-, Prüfungs- und Haftungsregeln nach dem Sarbanes-Oxley-Act (SOA), der vor zwei Jahren vom US-Kongress als Reaktion auf die zahlreichen Firmenskandale und -pleiten verabschiedet worden war. Die Einhaltung der neuen Vorschriften erfordert eine Anpassung der unternehmensinternen Prozesse sowie eine entsprechende Überarbeitung der IT-Systeme. Das Bemühen, die SOA-Deadline einzuhalten und den damit einhergehenden technischen Anforderungen gerecht zu werden, gerät für viele große Unternehmen zum Wettlauf mit der Zeit. Die akute Hektik führen Analysten und betroffene Firmen auf eine Fehleinschätzung des damit einhergehenden Arbeitsaufwands und die mangelhafte Kommunikation zwischen IT- und Finanzchefs zurück. Letztere zeichnen in der Regel verantwortlich für Projekte rund um die Erfüllung der SOA-Normen.

Weit verbreitet - insbesondere seit dem zweiten Quartal dieses Jahres - sei derzeit der Ansatz, alles stehen und liegen zu lassen und sich ausschließlich der SOA-Thematik zu widmen, hat AMR-Research-Analyst John Hagerty beobachtet. Er und andere Experten gehen aber davon aus, dass die meisten Unternehmen ihre diesbezüglichen Hausaufgaben rechtzeitig erledigen werden. Einige Analysten rechnen allerdings damit, dass Anfang 2005 bei etwa 25 Prozent der Firmen, die "10-K"-Berichte abgeben, Nachbesserungen erforderlich sind. Letztere wiederum könnten - je nach Art der Probleme - Geldstrafen von Seiten der US-amerikanischen Börsenaufsicht Securities and Exchange Commission (SEC) nach sich ziehen.

Bedenken, Abschnitt 404 des SOA - dieser schreibt den Firmen ein umfangreiches internes Kontrollsystem zur Gewährleistung der korrekten Rechnungslegung vor - fristgerecht umsetzen zu können, äußerte etwa Zebra Technologies. "Wir haben erst vor drei Monaten damit angefangen, uns mit den allgemeinen IT-Kontrollen zu befassen", so Todd Naughton, Vice President und Controller bei dem Anbieter von Druckerkomponenten. Zuvor habe man sich unternehmensweit auf die Dokumentierung und Sanierung sowie das Testen von Kontrollen auf Applikationsebene konzentriert. Zwar seien mittlerweile Policen etwa für das Change-Management, die Systementwicklung sowie geschäftkritische IT-Operationen dokumentiert, eine Herausforderung dürfte es nach Angaben des Unternehmens jedoch sein, diese bis zu Ablauf der Frist sorgfältig zu testen und gegebenenfalls nachzubessern.

Wie streng die externen Rechnungsprüfer bei der Evaluierung der Kontrollen vorgehen werden, steht nach Meinung der Analysten noch in Sternen. Der US-amerikanische Büromöbelproduzent Hermann Miller setzt hier auf Prophylaxe: Seit diesem Frühjahr orientiert sich das Unternehmen an Corbit (Control Objectives for Information and Related Technologies), einem Richtlinienkatalog zur Überprüfung von IT-Kontrollen, den das IT Governance Institute gemeinsam mit dem Information Systems Audit and Control Association entwickelt hat. "Wir haben gemeinsam mit unseren Rechnungsprüfern festgelegt, welche Corbit-Prozesse für den SOA-Abschnitt 404 in Frage kommen, und darauf konzentrieren wir uns", schildert Rich Russell, Leiter Applikationsentwicklung bei Hermann Miller, die Vorgehensweise seiner Firma.

Etwas mehr Zeit bleibt kleineren Unternehmen und ausländischen Firmen: Sie müssen die neuen Kriterien nach SOA erst für nach dem 15. Juli 2005 vorgelegte Bilanzen erfüllen. (kf)