Nur zweimal habe ich in den vergangenen 25 Jahren Angst in den Augen der CIOs gesehen: zum ersten Mal, als dieses unbekannte Gerät in die Unternehmen kam, mit dem sie nichts anfangen konnten - der PC -, und zum zweiten Mal jetzt, da sie mit Sarbanes-Oxley konfrontiert sind." Soweit die Beobachtung von Walter Brenner, geschäftsführender Direktor am Institut für Wirtschaftsinformatik der Universität St. Gallen. Der Sarbanes-Oxley Act, kurz: SOX, drohe nicht nur mit dem Zivil-, sondern auch mit dem Strafrecht, erläutert der Hochschullehrer. Wer dagegen verstoße, könne mit Freiheitsentzug bestraft werden. Das ist umso beunruhigender, als die IT-Verantwortlichen bislang keineswegs sicher sind, was genau von ihnen verlangt wird.

Derzeit müssen lediglich die börsennotierten US-Unternehmen die Vorgaben des Gesetzes erfüllen. Den deutschen Konzerntöchtern und nicht in den USA beheimateten Global Playern bleibt eine Gnadenfrist bis zum 15. Juli 2005. Darüber hinaus gibt es jedoch ähnliche Bestrebungen auf EU-Ebene - insbesondere die Revision der achten Richtlinie des Europarats, die auf mehr Qualität und Transparenz der Abschlussprüfungen durch Corporate Governance zielt.

Die gute Nachricht: Zumindest einige europäische Unternehmen haben ihre Hausaufgaben gemacht - so gut es ihnen beim derzeitigen Wissensstand möglich ist. Drei davon hatten die St. Gallener Hochschule, die aus ihr hervorgegangene Unternehmsberatung IMG und das auf IT-Governance- und -Compliance-Themen spezialisierte Beratungsunternehmen Wildhaber Consulting kürzlich zum Erfahrungsaustausch geladen.

Die Credit Suisse wird ihr Projekt "Financial Controls Initiative" Ende dieses Jahres abgeschlossen haben, versicherte Philippe Clémencon, Chief Financial Officer (CFO), Programm-Direktor SOX und Chef-Controller des Private-Banking-Bereichs. Auf die Informationstechnik angesprochen, seufzte der Finanzmann allerdings, dies sei ein "Riesenthema". Um den verschärften Controlling-Bestimmungen zu genügen, hat die in Zürich heimische Bank ein eigenes Tool entwickelt, das, so Clémencon, "auf dem besten Weg" sei zu funktionieren.

Fixpunkte im Nebel

Andreas Görwitz, Finanzchef und Vorstandsmitglied der Altana Pharma AG, räumte ein, dass auch er, was die konkreten Anforderungen des Sarbanes-Oxley Act betrifft, "im Nebel stochert". Dabei setzt sich das seit 2002 an der New York Stock Exchange (NYSE) gelistete Unternehmen schon seit 2003 mit den Vorschriften des SOX-Artikels 404 auseinande, die sich der "internen Kontrolle über die Finanzberichte" widmen (siehe "Stichwort").

Für die Abbildung, Analyse und Dokumentation der Prozesse setzt Altana die "Aris"-Werkzeuge von IDS Scheer ein. Im Vergleich zu anderen Produkten sei Aris sehr flexibel und mache die Change-Control-Prozesse handhabbar, begründet Görwitz die Entscheidung für die Software aus Saarbrücken.

Im Zusammenhang mit Sarbanes-Oxley sind viele Entscheidungen zu treffen. Dazu zählt die Frage, inwieweit Zulieferer, beispielsweise Outsourcing-Partner, in die Pflicht genommen werden müssen oder können. "Viele von ihnen werden sich wohl nicht mitkontrollieren lassen", befürchtet Görwitz.

In die Sarbanes-Oxley-Thematik ist die IT, genau genommen, doppelt involviert: Zum einen stellt sie die Systeme für die Prozesskontrolle und deren Dokumentation bereit, zum anderen hat sie ihre eigenen Prozesse hieb- und stichfest zu machen. "Die Kontrollen über die Applikationen und die Infrastruktur eines Betriebs müssen in die Attestierung nach SOX Section 404 einbezogen werden", konstatiert Monika Josi, IT Compliance Manager bei Novartis Animal Health und Mitglied des konzernweiten SOX-Teams.

Die in Basel ansässige Novartis AG darf sich mit Fug und Recht als Sarbanes-Oxley-Pionier feiern lassen. "Wir haben das erste SOX-Jahr schon hinter uns", wirft sich Josi in die Brust. Heuer werden bereits 75 Prozent der Einheiten nach den SOX-Vorgaben berichten, im kommenden Jahr sollen es 95 Prozent sein.

In der IT wurde zwar erst im laufenden Jahr damit begonnen, die Systeme zu "soxifizieren", wie Josi es ausdrückt. Doch bereits Ende September seien die abschließenden Tests beendet gewesen. Die Compliance-Managerin räumt allerdings ein, dass auch das Novartis-Team lediglich hoffen kann, ins Schwarze getroffen zu haben. Als Orientierungshilfe hätten die Control Objectives for Information and Related Technology (Cobit) gedient, die vom internationalen IT-Prüfer-Verband Information Systems Audit and Control Association (Isaca) kostenfrei zur Verfügung gestellt weden. Weitergehende Hilfestellung kann das Risiko-Management-Framework "Enterprise Risk Management" (ERM) des Committee of Sponsoring Organizations of the Treadway Commission (Coso) leisten. Ein Kochbuch sei das eine jedoch so wenig wie das andere, warnt Josi: "Cobit und Coso geben Anregungen, aber die spezifische Übersetzung muss erst noch geschehen."

Im Großen und Ganzen sei die IT eigentlich überhaupt nicht "speziell", konstatiert die SOX-Expertin. Vielmehr komme sie den Kontrollanforderungen dadurch entgegen, dass die Prozesse dort viel stärker standardisiert seien als in anderen Unternehmensbereichen.

Zehn Thesen zu Sarbanes-Oxley

Den wissenschaftlichen Überbau zu den Praxisbeispielen lieferte Professor Brenner selbst, indem er versuchte, das Phänomen Sarbanes-Oxley in zehn Thesen zu fassen:

1. Die Spielregeln ändern sich: Die Unternehmen müssen sich auf immer mehr und immer tiefer gehende Regulierungen einrichten.

2. SOX muss im Kontext behandelt werden. Wer sich nur auf Sarbanes-Oxley konzentriert, leistet doppelte Arbeit. Vieles von dem, was mit dem Etikett SOX versehen ist, lässt sich beispielsweise auch für die Risikobeschränkungsregeln nutzen, die unter dem Stichwort "Basel II" bekannt geworden sind, oder auch für Qualitätsoffensiven wie "Six Sigma".

3. Ein zentrales Thema ist die Prozessmodellierung. Die Erfordernisse nach dem Sarbanes-Oxley Act lassen derzeit die Re-Engineering-Diskussionen wieder aufflackern.

4. Es gibt einen Nutzen außerhalb von SOX. Die Schwachstellen, die jetzt zu beheben sind, hätten eigentlich längst in Angriff genommen werden müssen.

5. Der CIO bekommt eine neue Bedeutung. Weil die Erfüllung der Sarbanes-Oxley-Regeln in hohem Maße von der IT abhängt, stärken sie die Position des IT-Chefs. Er wird ernst genommen - bis hin zur strafrechtlichen Verfolgung, wenn er fehlerhafte Informationen liefert.

6. Best Practices sind Mangelware, dadurch entsteht Unsicherheit. Das Gesetz ist schwammig formuliert. Welche Prozesse zu seiner Erfüllung notwendig sind, wird nicht definiert. Die hauptsächlichen Kontrollpunkte ("Key Controls") muss jedes Unternehmen für sich selbst finden.

7. SOX-Compliance ist nicht kompetitiv. Davon, dass sie die Bestimmungen nach dem Sarbanes-Oxley Act einhalten, haben die Unternehmen keinen direkten Wettbewerbsvorteil. Deshalb können sie hier mit anderen zusammenarbeiten. Die Universität St. Gallen bietet sich an, eine Plattform für die unternehmensübergreifende Entwicklung von Best Practices zu schaffen.

8. SOX verändert die Kultur in den Unternehmen. Die Forderung nach einer kontinuierlichen Verbesserung der Kontrolle gipfelt in dem Verdikt: Was nicht in den Akten steht, gibt es nicht.

9. Es werden neue Prozesse entstehen, die zu definieren sind. Altana-CFO Görwitz nannte beispielsweise den "Whistle-Blower-Prozess": Die Mitarbeiter sollen anonym melden können, wenn sie den Eindruck haben, dass Informationen im Sinne des Sarbanes-Oxley Act nicht korrekt sind. Ohne strikte Regeln droht hier der Missbrauch.

10. Die Unternehmen sollten von fremden Branchen lernen.

In der Arzneimittelindustrie und der Flugsicherung sind Regulierungen, wie sie im Sarbanes-Oxley Act gefordert werden, gang und gäbe. Federal Drug Administration (FDA) und Federal Aviation Administration (FAA) haben internationale Standards durchgesetzt. Warum sollte das im Finanzwesen nicht gelingen?