582 MAL musste die amerikanische Aufsichtsbehörde SEC im letzten Jahr aktiv werden. Auditoren von Price Waterhouse Coopers, Ernst & Young und KPMG vermeldeten „material weaknesses" in den US-Unternehmen. Das sind Unregelmäßigkeiten in ihren Zahlen und Büchern – wenn etwa Einträge nicht richtig eingebucht sind oder erfasste Lagerbestände erheblich von den tatsächlichen abweichen. Solche Bekanntmachungen sind nicht gut für den Börsenkurs – und auch nicht für den CFO. Jeder zweite Finanzchef musste bereits innerhalb weniger Monate nach einer „weakness disclosure" seinen Schreibtisch räumen, so eine Analyse der Finanzberater von ARC Morgan und dem CFO Executive Board in London. Das bringt wiederum den CIO in Bedrängnis: „Was der CFO rapportiert, hat der CIO geschaffen", sagt Walter Brenner, Direktor des Instituts für Wirtschaftsinformatik der Universität St. Gallen. „Es gibt keinen Prozess, in dem der CIO nicht gefordert ist."
Seit Anfang 2004 ist klar, dass die Sektion 404 des Sarbanes-Oxley Act (siehe Kasten) von europäischen und an der New Yorker Börse notierten Unternehmen erfüllt werden muss. Darin bestätigen die Finanz- und Unternehmenschefs, dass sämtliche Kontrollen korrekt sind, sie sich darüber persönlich versichert haben und es keine Schwachstellen („weaknesses") gibt. Den ersten Termin, Mitte 2005, konnten die europäischen Konzerne und auch die ebenfalls betroffenen mittelständischen US-Unternehmen noch kippen. „Man hat den Aufwand für Sarbanes-Oxley unterschätzt", sagt Michael Schirmbrandt, Berater bei der Consultinggesellschaft KPMG Austria, der ein großes finanzielles Opfer für die IT ausmacht – aufgrund der höheren Transparenz der Finanzdaten steige der Aufwand für die IT um fünf bis zehn Prozent. Bis zu 0,7 Prozent vom Umsatz fallen nach Angaben von ARC Morgan für SOX an, 19 Prozent der Kosten kommen einer Analyse von BARC und Cognos zufolge auf die IT zu, die zudem einen Teil der zusätzlichen Personalkosten von 44 Prozent tragen muss (siehe Grafik). Derzeit sei nur jedes fünfte Unternehmen für die Einführung der Sektion 404 in Europa gerüstet, so Schirmbrandts Schätzung – eine Verschiebung des Ursprungstermins wurde möglich gemacht. Ende 2006 gibt es jedoch keine Ausreden mehr.
Konzerne wie der Pharmagigant Altana, Elektronik-Riese Siemens und dem Stahl- und Dienstleistungsunternehmen Thyssen Krupp sind über eine Verzögerung nicht traurig – und hüllen sich über SOX in Schweigen. Siemens nennt einen Grund dafür: „Nicht weil wir nicht vorbereitet sind, doch sollte das Regelwerk vereinfacht werden. Da stehen wir in Gesprächen mit dem SEC, der Securities and Exchange Commission", so ein Siemens-Sprecher. „Es herrscht große Unsicherheit", so der Eindruck von Uniprofessor Brenner, „da redet kaum jemand offen drüber – erst wenn die Mikrofone ausgeschaltet sind. Viele Manager haben Angst vor drakonischen Strafen und suchen nach Bestätigung durch Auditoren – CEOs, CFOs und CIOs gleichermaßen."
Anders einige Schweizer Konzerne. Der Baseler Agrochemiekonzern Syngenta etwa will erstmals für 2005 kein herkömmliches Audit, sondern ein Audit auf Basis von SOX machen und folgt damit dem Pharmakonzern Novartis, der bereits Anfang dieses Jahres ein SOXAudit durchführen ließ und damit weit vor der Frist Ende 2006 fertig wurde. „Material weaknesses sind unter allen Umständen zu vermeiden", sagt Andreas Schneeberger, Leiter der Group Compliance und des Risk Management beim Spezialisten für Pflanzenschutzmittel und Saatgut Syngenta. „Sie dürfen SOX nicht als bürokratische Übung verkaufen, denn dann läuft niemand mit", rät Schneeberger, der von vornherein die „Management-Practice" in der Vordergrund gestellt hat. Sein Motto: über KPIs und Prozessoptimierung zu mehr Qualität. „Sie müssen klar machen, was eine signifikante Deficiency ist und welche Mängel zu verantworten sind", sagt er. „Wenn ein Flieger mit einer Lampe weniger landen, ist das in der Regel ja auch kein Problem."
Schlüsselentscheidung Scoping
Die Kernentscheidung, sagt Fritz Leuenberger (58), bei Syngenta für die globale IS-Compliance verantwortlich, sei das „Scoping", also die Frage: „Was kommt rein und was geht raus?"
Exakt bedeutet Scoping die Auswahl der Gesellschaften, Konten, Systeme und Prozesse. Im Mittelpunkt standen zunächst die Geschäftsprozesse, die das Accounting und Reporting unterstützen, wo allerdings – so Leuenbergers Einschätzung – bereits eine sehr gute Übersicht da war. Ganz anders die Situation im Bereich „General Computer Controls": „Eine konzernweite Übersicht über die betroffenen IS-Systeme und -Prozesse war nicht möglich", so Leuenberger. Es stellte sich deshalb die Frage, welche Server, Netzwerke, Anwendungen und unterstützenden IS-Komponenten in den Scope mit hineingenommen werden.
Unklarheit herrscht, wie weit die geforderte „Segregation of Duties" nötig ist – also die Unterteilung des Geschäfts in Prozesse, Teilprozesse und immer kleinere Arbeitsschritte. Christoph Maeder aus der Syngenta-Geschäftsleitung sieht in der geforderten kleinteiligen Aufsplittung einen Rückfall in den Taylorismus – eine tradierte Organisationsform, in der jeder Arbeiter für ausschließlich einen kleinen Teilprozess zuständig war, vom Rest des Geschäfts jedoch nichts mitbekam. Und auch bei Schneeberger drängt sich der Eindruck auf, dass die Auditoren in dieser Hinsicht manchmal zu hart interpretieren. Verantwortlich dafür ist die Aufsichtsbehörde PCAOB (Public Company Accounting Oversight Board), die den Auditoren, autorisiert von der SEC, gewissermaßen das Besteck in die Hand gibt. „Erst waren die Vorgaben schön kompakt, inzwischen wurden sie ein ums andere Mal erweitert", so Schneeberger. „Die Kreativität der Prüfer ist sehr groß."
Mit Kritik sollte der Compliance-Verantwortliche bei Syngenta vorsichtig sein, denn die Börse reagiert darauf sensibel: Da beklagt sich der Musikkonzern Vivendi öffentlich über die US-amerikanische Börsenaufsicht SEC, und augenblicklich sackt der Kurs um 30 Prozent. Andere versuchen, den neuen Gesetzgebungen zu entkommen: Das als erstes deutsches Unternehmen an der New Yorker Börse (NYSE) kotierte Unternehmen, der Graphitspezialist SGL Carbon, denkt über einen Rückzug von der NYSE nach, offiziell, weil die US- gegenüber der Frankfurter Börse bei weitem nicht so wichtig sei. Der Vorstandsvorsitzende Robert Köhler gibt zu bedenken, dass sich der Kontroll- und Berichtsaufwand durch SOX vervielfachen würde und neben einmaligenKosten von zwei bis drei Millionen Euro jährlich zusätzlich drei Millionen Euro an laufenden Kosten aufgebracht werden müssten. Das sei den Aktionären nicht zuzumuten. Das Verwaltungsratsmitglied des Schweizer Pharmakonzerns Syngenta Felix A. Weber geht gar von Kosten von mehr als 13 Millionen Euro und einer Verdopplung der jährlichen Revisionskosten aus.
Einen Trend hin zu mehr Regulation sieht IT-Managementexperte Brenner: „Die Herausforderung für die Unternehmen ist, die regulatorischen Anforderungen zu erfüllen und trotzdem nicht an Produktivität zu verlieren." Da geht es ihm nicht nur um SOX, sondern auch um die Kreditvergaberichtlinie Basel II (Termin Ende 2006) und die 8. EU-Audit-Richtlinie, das EUPendant zu SOX, das in Brüssel derzeit diskutiert wird und voraussichtlich bis 2007 ebenfalls auf europäische Unternehmen zukommt. Brenner: „Mit einer Dekotierung in den USA kann man dem nicht entgehen."
CIO als Risikomanager in den Vorstand
Für den CIO bedeutet das, eine neue Rolle einzunehmen. „Die IT war bis dato nicht am Risikomanagement der Unternehmen beteiligt", konstatiert Ragnar Nilsson, Ex-CIO von Bertelsmann und Aventis und nun Inhaber der Beratungsfirma CIO Consults in Mülheim. „Neben IT-Security-Aspekten kommen nun immer mehr prozessgetriebene Risiken auf Unternehmen zu", so Nilsson, „Zahlen müssen richtig generiert werden, ordnungsgemäß und aktuell und transparent gehalten werden." Der CIO nimmt also eine Schlüsselposition ein: „Fehler in der Dokumentation liegen in seiner Verantwortung – und die haben Auswirkungen auf das Gesamtgeschäft", so Nilsson, der den CIO wegen dieser Verantwortung organisatorisch im Vorstand als Risikomanager verankern und unterstützen will. Doch jetzt, wo CIOs den Karrieresprung schlechthin machen könnten, ziehen viele zurück.
CIOs scheuen Compliance-Verantwortung
Die gestiegene Verantwortung bringt den CIO in die Zwickmühle: „Einerseits hat er sich immer gewünscht, in die obere Ebene hineinzugelangen, doch jetzt kommen die regulatorischen Anforderungen auf oberster Führungsebene ... ", so Brenner. Für Nilsson ist das Zögern der CIOs ein Zeichen dafür, dass sie in der IT-Organisation noch nicht im Risikomanagement angekommen sind. „Da allerdings Unternehmensziele zu IT-Zielen werden müssen, wird die Entwicklung des CIO unweigerlich in die Ebene des Risikomanagements gehen", ist Nilsson überzeugt.
Im mittelständischen und an der New Yorker Börse notierten Unternehmen Pfeiffer Vacuum Technologie fühlt sich der IT-Leiter für dieses Thema überhaupt nicht zuständig: „Das ist Sache des Controllings." Und ansonsten gibt man sich gelassen. „SOX passt in unser Revisionsschema", sagt die Leiterin der Abteilung Finanzen und Controlling Nathalie Benedikt. „Zudem weiß man später, was eine Prozessoptimierung wirklich bringt."
Vergleichsweise einfach hat es auch Joachim Jagomast, der alle Verantwortung an den Mutterkonzern zurückgibt. Der IT-Chef der mittelständischen Tochter des US-Pharmakonzerns Bausch & Lomb, von Gerhard Mann Pharma, bekommt regelmäßig „Technical Rise Bulletins" (TRGs) aus den USA übermittelt, die er dann umsetzt. Zusammen mit dem Corporate Audit hat er einen Aktionsplan entworfen, um die US-Vorgaben zu erfüllen. Inzwischen hat er 39 Prozesse festgeschrieben. Zehn Prozent der ursprünglichen Kosten fallen nun für SOX an – Geld, das von IT-Projekten abgeht. „Ich gehe davon aus, dass damit alle Anforderungen erfüllt sind", sagt Jagomast, der die Verantwortung postwendend wieder in die USA zurückschickt.
Syngenta-CIO Steve Holt setzte bereits in der Vergangenheit darauf, dass Business- und IS-Leute eng zusammenarbeiten. Und doch gibt es gravierende Unterschiede: „Die IT ist gewohnt, mit Deficiencies umzugehen", erläutert Schneeberger, „Betriebswirtschaftler neigen zur Ansicht: Irgendwer merkt das schon, wenn ich einen Fehler gemacht habe und nicht jeder formale Mangel ist Match-entscheidend." Deshalb setzt Syngenta nun auf stärkere Kontrolle und Null-Fehler-Toleranz.
Einige spezielle Vorkehrungen musste IT-Manager Leuenberger für SOX treffen. Formalismen und Dokumentationen über die Segregation of Duties (SODs) existierten nur rudimentär. IS-Compliance-Mann Leuenberger: „Das Loch, das SOD im Security-Bereich geschaffen hat, mussten wir noch mit einem Tool stopfen." Und in Hinsicht auf die Struktur und Organisation musste er ebenfalls nachlegen: „Die Hauptherausforderung bei SOD war, die Prozessorientierung mit den Anforderungen des Wirtschaftsprüfers in Übereinstimmung zu bringen." Je kleinteiliger die Prozesse sind, umso mehr Schnittstellen entstehen und desto länger dauern tendenziell die Prozesse.
Ein weiteres Problem ist die „Arbeit nach Vorschrift": „Spontane Anforderungen können nicht mehr problemlos bewältigt werden", erläutert Leuenberger. Rabatte etwa könnten nicht schnell mal eingepflegt werden, wenn ein Kollege im Urlaub ist, Aufträge nicht spontan freigegeben werden. Leuenberger: „Es gilt, nach Vorschrift zu agieren" – mögliche „Shortcuts" in den Prozessen zur Bewältigung solcher Ausnahmesituationen müssen rechtzeitig angedacht und dokumentiert werden. Schneeberger: „Es darf zum Schluss niemand sagen: Ich habe davon nichts gewusst."
SOX als Qualitätsmanagement begreifen
Der bewussten Fälschung von Büchern wie im Falle Enron und auch signifikanten Schwächen im Kontrollsystem kann so vorgebeugt werden. Die Syngenta-Verantwortlichen versuchen SOX als lückenloses Qualitäts-Management zu begreifen und nicht so sehr als reines Finanzkontrollinstrument. „Die Stringenz der Interpretation von SOX durch die Prüfer bereitet uns ab und zu Bauchschmerzen", sagt der Compliance-Verantwortliche Schneeberger. „Es macht doch keinen Sinn, jedes Jahr aufs Neue sämtliche Prozesse wieder durchzugehen." Und er fügt hinzu: „Man sollte sich vielmehr auf die kritischen und geänderten Prozesse konzentrieren, um den Verwaltungsaufwand zu reduzieren – auch für die Wirtschaftsprüfer."
Die Outsourcing-Partner von Syngenta ziehen ebenfalls bald mit: Ab 2006 sollen British Telecom, Hewlett-Packard und Infosys SOX-fähig sein – und das anhand des SAS-70-Typ-II-Zertifikats belegen. Derzeit macht Leuenberger regelmäßig seinen „Management Workthrough" bei den Partnern – schließlich endet die Kontrolle nicht direkt an den Firmentoren. Und auch nicht nach dem ersten SOX-Audit Anfang 2006. Denn der nächste Auditor kommt bestimmt. Dann heißt es wieder, so Leuenberger: „Same procedure as last year" – mit oder ohne den alten CFO.