Sarbanes-Oxley und die Folgen

18.11.2004
Von 
Karin Quack arbeitet als freie Autorin und Editorial Consultant vor allem zu IT-strategischen und Innovations-Themen. Zuvor war sie viele Jahre lang in leitender redaktioneller Position bei der COMPUTERWOCHE tätig.

Im Großen und Ganzen sei die IT eigentlich überhaupt nicht "speziell", konstatiert die SOX-Expertin. Vielmehr komme sie den Kontrollanforderungen dadurch entgegen, dass die Prozesse dort viel stärker standardisiert seien als in anderen Unternehmensbereichen.

Zehn Thesen zu Sarbanes-Oxley

Den wissenschaftlichen Überbau zu den Praxisbeispielen lieferte Professor Brenner selbst, indem er versuchte, das Phänomen Sarbanes-Oxley in zehn Thesen zu fassen:

  1. Die Spielregeln ändern sich: Die Unternehmen müssen sich auf immer mehr und immer tiefer gehende Regulierungen einrichten.

  2. SOX muss im Kontext behandelt werden. Wer sich nur auf Sarbanes-Oxley konzentriert, leistet doppelte Arbeit. Vieles von dem, was mit dem Etikett SOX versehen ist, lässt sich beispielsweise auch für die Risikobeschränkungsregeln nutzen, die unter dem Stichwort "Basel II" bekannt geworden sind, oder auch für Qualitätsoffensiven wie "Six Sigma".

  3. Ein zentrales Thema ist die Prozessmodellierung. Die Erfordernisse nach dem Sarbanes-Oxley Act lassen derzeit die Re-Engineering-Diskussionen wieder aufflackern.

  4. Es gibt einen Nutzen außerhalb von SOX. Die Schwachstellen, die jetzt zu beheben sind, hätten eigentlich längst in Angriff genommen werden müssen.

  5. Der CIO bekommt eine neue Bedeutung. Weil die Erfüllung der Sarbanes-Oxley-Regeln in hohem Maße von der IT abhängt, stärken sie die Position des IT-Chefs. Er wird ernst genommen - bis hin zur strafrechtlichen Verfolgung, wenn er fehlerhafte Informationen liefert.

  6. Best Practices sind Mangelware, dadurch entsteht Unsicherheit. Das Gesetz ist schwammig formuliert. Welche Prozesse zu seiner Erfüllung notwendig sind, wird nicht definiert. Die hauptsächlichen Kontrollpunkte ("Key Controls") muss jedes Unternehmen für sich selbst finden.

  7. SOX-Compliance ist nicht kompetitiv. Davon, dass sie die Bestimmungen nach dem Sarbanes-Oxley Act einhalten, haben die Unternehmen keinen direkten Wettbewerbsvorteil. Deshalb können sie hier mit anderen zusammenarbeiten. Die Universität St. Gallen bietet sich an, eine Plattform für die unternehmensübergreifende Entwicklung von Best Practices zu schaffen.

  8. SOX verändert die Kultur in den Unternehmen. Die Forderung nach einer kontinuierlichen Verbesserung der Kontrolle gipfelt in dem Verdikt: Was nicht in den Akten steht, gibt es nicht.

  9. Es werden neue Prozesse entstehen, die zu definieren sind. Altana-CFO Görwitz nannte beispielsweise den "Whistle-Blower-Prozess": Die Mitarbeiter sollen anonym melden können, wenn sie den Eindruck haben, dass Informationen im Sinne des Sarbanes-Oxley Act nicht korrekt sind. Ohne strikte Regeln droht hier der Missbrauch.

  10. Die Unternehmen sollten von fremden Branchen lernen.