Sarbanes-Oxley (SOX) ist mittlerweile zum Synonym für den Begriff "Compliance" geworden. Nach den im Juli 2002 von der US-amerikanischen Regierung erlassenen Bilanzierungs-, Prüfungs- und Haftungsregeln müssen nicht nur einheimische, sondern auch ausländische, am US-Markt aktive Firmen nachweisen, dass sie mittels geeigneter Prozesskontrolle Fehler im Jahresabschlussbericht ausschließen können. Das Regelwerk ist tatsächlich der "Gorilla" unter den Vorschriftensammlungen. "Bei SOX dürfte es sich für die Betroffenen um die umfangreichsten Anforderungen im gesamten Compliance-Umfeld handeln", schätzt Friedrich Augenstein, Principal Finance & Employee Transformation beim IT-Beratungs- und Dienstleistungsunternehmen Capgemini.

Der Regulierungswald wird immer dichter

Doch ist dies bei weitem nicht die einzige Compliance-Hürde, mit der sich Unternehmen konfrontiert sehen. Um nur einige Beispiele zu nennen: Für viele amerikanische Firmen gilt es, sich parallel zu SOX unter anderem mit der Einhaltung des USA Patriot Act, der Börsenaufsichts-Regulierungen nach SEC 17a-3 und 17a-4 oder des Health Insurance Portability and Accountability Act (HIPAA) zu befassen. Auch in Europa ist SOX nur eine von vielen Herausforderungen: So hat das Gros der börsennotierten EU-Unternehmen gerade die seit 2005 vorgeschriebene Rechnungslegung nach den International Financial Reporting Standards (IFRS) eingeführt. Banken müssen die neuen Richtlinien zur Kreditvergabe nach Basel II erfüllen, während die voraussichtlich ab 2008 geltenden EU-Vorgaben Solvency II der Versicherungsbranche neue Regeln zum Risiko-Management auferlegen.