Sarbanes-Oxley und die Folgen

In die Sarbanes-Oxley-Thematik ist die IT, genau genommen, doppelt involviert: Zum einen stellt sie die Systeme für die Prozesskontrolle und deren Dokumentation bereit, zum anderen hat sie ihre eigenen Prozesse hieb- und stichfest zu machen. "Die Kontrollen über die Applikationen und die Infrastruktur eines Betriebs müssen in die Attestierung nach SOX Section 404 einbezogen werden", konstatiert Monika Josi, IT Compliance Manager bei Novartis Animal Health und Mitglied des konzernweiten SOX-Teams.

Die in Basel ansässige Novartis AG darf sich mit Fug und Recht als Sarbanes-Oxley-Pionier feiern lassen. "Wir haben das erste SOX-Jahr schon hinter uns", wirft sich Josi in die Brust. Heuer werden bereits 75 Prozent der Einheiten nach den SOX-Vorgaben berichten, im kommenden Jahr sollen es 95 Prozent sein.

In der IT wurde zwar erst im laufenden Jahr damit begonnen, die Systeme zu "soxifizieren", wie Josi es ausdrückt. Doch bereits Ende September seien die abschließenden Tests beendet gewesen. Die Compliance-Managerin räumt allerdings ein, dass auch das Novartis-Team lediglich hoffen kann, ins Schwarze getroffen zu haben. Als Orientierungshilfe hätten die Control Objectives for Information and Related Technology (Cobit) gedient, die vom internationalen IT-Prüfer-Verband Information Systems Audit and Control Association (Isaca) kostenfrei zur Verfügung gestellt weden. Weitergehende Hilfestellung kann das Risiko-Management-Framework "Enterprise Risk Management" (ERM) des Committee of Sponsoring Organizations of the Treadway Commission (Coso) leisten. Ein Kochbuch sei das eine jedoch so wenig wie das andere, warnt Josi: "Cobit und Coso geben Anregungen, aber die spezifische Übersetzung muss erst noch geschehen."