Sarbanes-Oxley: Die Zeit wird knapp

22.10.2004
IT unter Hochdruck: Die Technikorganisationen vieler US-amerikanischer Unternehmen müssen die mit den Bilanzierungsregeln nach Sarbanes-Oxley verbundenen Anforderungen bis Ende des Jahres erfüllen.

Für das Gros der an heimischen Börsen notierten US-amerikanischen Unternehmen greifen ab dem 15. November 2004 die neuen Bilanzierungs-, Prüfungs- und Haftungsregeln nach dem Sarbanes-Oxley-Act (SOA). Dieser war vor gut zwei Jahren vom US-Kongress als Reaktion auf zahlreiche Firmenskandale und -pleiten verabschiedet worden. Unternehmen, deren Fiskaljahr am oder nach dem genannten Stichtag ausläuft, haben bei ihrer Geschäftsberichterstattung unter anderem Folgendes zu beachten: Sowohl Finanzchef als auch CEO müssen schriftlich bestätigen, dass die zur Vermögens-, Finanz- und Ertragslage veröffentlichten Daten korrekt und mittels dokumentierter Kontrollen abgesichert sind - gemäß SOA-Abschnitt 302. Abschnitt 404 wiederum verpflichtet Firmen zu einem "Internal Control Report", der jeweils zeitgleich mit dem Jahresabschlussbericht vorzulegen ist. Dieses Dokument schreibt die Verantwortung der Geschäftsführung für die Entwicklung und Anwendung eines angemessenen Systems interner Kontrollmechanismen fest, das eine korrekte Rechnungslegung gewährleistet. Darüber hinaus muss darin die Wirksamkeit der etablierten Prüfungsverfahren vom Management bewertet werden.

Mangelnde Kommunikation

In der Praxis erfordert die Erfüllung dieser Vorschriften eine Anpassung der unternehmensinternen Prozesse sowie eine Überarbeitung der IT-Systeme. Das Bemühen, die SOA-Deadline einzuhalten und den damit einhergehenden technischen Anforderungen gerecht zu werden, gerät für viele große Unternehmen zum Wettlauf mit der Zeit. Analysten und betroffene Firmen führen die akute Hektik auf eine Fehleinschätzung des Arbeitsaufwands und die mangelhafte Kommunikation zwischen IT- und Finanzchefs zurück. Letztere zeichnen in der Regel verantwortlich für Projekte rund um die Einhaltung der SOA-Normen.

Weit verbreitet - insbesondere seit dem zweiten Quartal dieses Jahres - ist derzeit der Ansatz, alles stehen und liegen zu lassen und sich ausschließlich der SOA-Thematik zu widmen. Das hat beispielsweise AMR-Research-Analyst John Hagerty beobachtet. Er und andere Experten gehen davon aus, dass die meisten Unternehmen ihre diesbezüglichen Hausaufgaben rechtzeitig erledigen werden. Einige Analysten rechnen allerdings damit, dass bei etwa 25 Prozent der Firmen, deren Jahresbilanzen Anfang 2005 fällig sind, Nachbesserungen erforderlich sein werden. Diese könnten - je nach Art der Probleme - Geldstrafen von Seiten der US-amerikanischen Börsenaufsicht Securities and Exchange Commission (SEC) nach sich ziehen.

Bedenken, Abschnitt 404 des SOA fristgemäß umsetzen zu können, äußerte etwa Todd Naughton, Vice President und Controller bei Zebra Technologies. "Wir haben erst vor drei Monaten damit angefangen, uns mit den allgemeinen IT-Kontrollen zu befassen", so der Finanz-Manager bei dem Anbieter von Druckerkomponenten. Im vergangenen Jahr habe sich das Unternehmen vielmehr auf die unternehmensweite Dokumentierung und Sanierung sowie das Testen von Kontrollmechanismen auf Applikationsebene konzentriert. Zwar seien mittlerweile auch Policen für das Change-Management, die Systementwicklung sowie geschäftkritische IT-Operationen dokumentiert, eine Herausforderung dürfte es jedoch sein, diese bis zum Ablauf der Frist sorgfältig zu testen und gegebenenfalls nachzubessern, so Naughton.

Im Vorfeld prüfen

Wie streng die externen Prüfer bei der Evaluierung der Kontrollen vorgehen werden, steht nach Meinung der Analysten noch in Sternen. Der US-amerikanische Büromöbelproduzent Hermann Miller setzt jedoch lieber auf Prophylaxe: Seit diesem Frühjahr orientiert sich das Unternehmen an Corbit (Control Objectives for Information and Related Technologies), einem Richtlinienkatalog zur Überprüfung von IT-Kontrollen, den das IT Governance Institute gemeinsam mit der Information Systems Audit and Control Association entwickelt hat. "Wir haben gemeinsam mit unseren Rechnungsprüfern festgelegt, welche Corbit-Prozesse für den SOA-Abschnitt 404 von Belang sind, und konzentrieren uns darauf", schildert Rich Russell, Leiter des Bereichs Applikationsentwicklung bei Hermann Miller, die Vorgehensweise seiner Firma.

Aber nicht nur amerikanische Unternehmen sind betroffen: Auch für ausländische Firmen, die an Kapitalmärkten in den Vereinigten Staaten aktiv sind, greifen die Regeln. Allerdings bleibt diesen noch etwas mehr Zeit: Sie müssen die SOA-Kriterien erst für Bilanzen nach dem 15. Juli 2005 vorweisen.

Auf den ersten Blick scheint die Schar der hierzulande Betroffenen übersichtlich: Gerade einmal 18 deutsche Konzerne sind derzeit an der New York Stock Exchange beziehungsweise an der US-Technologiebörse Nasdaq gelistet. Dazu zählen unter anderen die Deutsche Bank, Siemens, SAP, Infineon, die Deutsche Telekom sowie die Allianz, BASF, Bayer, Daimler-Chrysler und Schering.

Eltern haften für ihre Kinder

Nach Angaben von Ulrich Bach gelten die Vorschriften allerdings nicht nur für gelistete Firmen (siehe "Die Betroffenen"). Quasi nach dem Prinzip "Eltern haften für ihre Kinder" greifen die Regeln auch für Tochtergesellschaften von Unternehmen, deren Anteile am US-Kapitalmarkt gehandelt werden und vice versa. "In dieser Situation befindet sich zum Beispiel der Wella-Konzern, der zu Procter & Gamble gehört", erklärt der SOA-Spezialist, der als Consulting-Manager bei dem in St. Gallen ansässigen Beratungshaus The Information Management Group (IMG) für den Bereich Gesamtbanksteuerung zuständig ist.

Oft zeigten sich Firmen aber durchaus motiviert, über die im jeweiligen heimatlichen Kapitalmarkt bestehenden Regelungen hinaus den erweiterten Bestimmungen nach SOA zu entsprechen. "Die Erfüllung des SOA unterstützt nicht zuletzt die internationale Vergleichbarkeit von Unternehmen und kann daher einen großen Wettbewerbsvorteil bedeuten, an dem sich voraussichtlich auch die Rating-Agenturen orientieren werden", erläutert Bach. Grundsätzlich hält er es für denkbar, dass die globalen Kapitalmärkte Regelungen bezüglich eines internen Kontrollsystems über kurz oder lang auch unabhängig von gesetzlichen Vorschriften einfordern werden.