Gut gemeint und teuer: SOX in IT und Organisation

Im Schnitt braucht es fast anderthalb Jahre Arbeit, bis ein Unternehmen den Anforderungen des Sarbanes Oxley Act (SOX) genügt. Etwa die Hälfte aller US-Unternehmen, die eigentlich bis zum 1. Januar 2005 SOX-fähig hätten sein müssen, haben es bis zu diesem Zeitpunkt nicht geschafft, schätzen führende Wirtschaftsprüfer, von PriceWaterhouseCoopers über Ernst & Young bis Deloitte. Eine Maschinerie aus Software-Tools, Beratung und Prüfung hat sich in Gang gesetzt.

Die genannten Wirtschaftsprüfungsunternehmen sind Partner von IDS Scheer und deshalb wichtige Sprecher auf der Konferenz ‘Risk – Audit und Control’ (RAC), die der Softwarehersteller kürzlich in Paris abhielt. Anlass war die Vorstellung der Version 2.1 des Audit-Workflow-Produkts ‘Aris SOX Audit Manager’. Aris gehört wie etwa auch Anbieter von Business-Intelligence-Software zu den Unternehmen, die an SOX verdienen werden. “SOX ist das Beste, was uns passieren konnte”, strahlt Wolfram Jost, Produktvorstand bei IDS-Scheer. Zumal nun das Thema Prozess-Management im Top-Management aufschlage. Denn dieses sei persönlich haftbar: “Jetzt stehen sie selber in der Bütt.”

Tatsächlich kontrolliert üblicherweise der Finanzvorstand (Chief Financial Officer, CFO) den SOX-Prozess. SOX 404 regelt darüber hinaus, dass CEO (Chief Executive Officer) und CFO getrennt voneinander überprüfen und abzeichnen müssen, und dass die Angaben den SOX-Reporting-Anforderungen entsprechen. Abschnitt 906 legt die möglichen Strafen in den USA fest: Geld- und Gefängnisstrafen.

Unterschätzt: Aufwand für interne Kontrollen

Die Konferenzteilnehmer jedenfalls nehmen das Thema ernst, sehr ernst. Das Zielpublikum bestand aus europäischen Unternehmen, die in den USA börsennotiert sind und innerhalb des laufenden Jahres SOX-fähig sein müssen, um dort weiterhin gelistet bleiben zu können. Sie investieren Millionen, um die internen Kontrollsysteme auf Vordermann zu bringen und das Berichtswesen auf die SOX-Begrifflichkeiten zu trimmen, wie insbesondere Abschnitt 404 vorschreibt.

Bisher haben US-Behörden, Firmen und Wirtschaftprüfer den Aufwand für die internen Kontrollsysteme offenbar unterschätzt, so dass kleineren US-Unternehmen bereits Aufschub erteilt wurde. Eigentlich sollten alle börsennotierten US-Firmen sowie deren Tochtergesellschaften seit letztem Jahr jedes Vierteljahr den Nachweis eines funktionsfähigen internen Kontrollsystems in Bezug auf die Finanzberichterstattung erbringen können. Für Firmen außerhalb der USA gelten die Bestimmungen ab 2005, einmal pro Jahr.

Allerdings dürfen europäische Firmen kaum mit vergleichbarer Toleranz rechnen, was einen Aufschub betrifft. Dafür sorgen vor allem zwei Ergänzungen, die seit kurzem zur Verfügung stehen und Spielräume einschränken: ein 200-Seiten starker Kodex für Aufsichtssysteme der Wirtschaftprüfer, erstellt von der Branchenausfsicht PCAOB (Public Company Accounting Oversight Board, PCAOB) sowie die Empfehlung der Börsenaufsicht Security Exchange Commission (SEC) für das interne Kontrollsystem ‘Coso’. Diese Bezeichnung kommt vom Committee of Sponsoring Organizations of the Treadway Commission, abgekürzt Coso.

SOX ist Hype

Hier zeigt sich, welch riesige Industrie sich um SOX aufbaut. In Deutschland sind zwar nur etwa 30 Firmen direkt betroffen von dem US-Gesetz. Doch rechnen Wirtschaftprüfer und Marktforscher damit, dass es bald schon in der EU sowie weltweit ähnliche Gesetze geben wird. Outsourcing und Unternehmenspartnerschaften sorgen zudem dafür, dass SOX auch in Firmen hineinreicht, die nicht an US-Börsen notiert sind.

Auslöser für das Gesetz, das am 30. Juli 2002 verabschiedet wurde und den Namen des republikanischen Abgeordneten Paul Sarbanes und des Demokraten Michael Oxley trägt, waren eine Reihe von Finanzskandalen, etwa Worldcom und Enron, die Firmenpleiten bisher unbekannten Ausmaßes nach sich zogen. Rund 8 Milliarden Dollar an Kapital wurde vernichtet, rechnet Michael Moe vor, Vorstandsvorsitzender und CEO des amerikanischen Finanzhauses Think Equity Partners. Das Gesetz soll gravierende Mängel im Finanzberichts- und Meldewesen ausmerzen.

Für Wirtschaftsprüfer wie Klaus-Michael Thelemann von Ernst & Young ist SOX nur der Auftakt einer weltweiten Beliebigkeit von Begriffen und Interpretationen. Diese schlägt sich etwa in den verschiedenen nationalen Rechnungslegungsvorschriften und Gesetzen nieder. In der Folge waren viele Berichte und interne Kontrollen freiwillig. Zudem gab es Tausende Varianten davon. Ob das in Zukunft weniger wird, darf bezweifelt werden.

Wie IDS-Scheer-Vorstand Jost sagt, ist SOX ein “Hype”. Hersteller von Security-Software, von Business-Process-Werkzeugen, von Reporting-Tools und ERP-Systemen und System-Management-Produkten – alle wollen von SOX profitieren. Und vermutlich können sie es auch, da jeder interne Kontrollpunkt auf seine Wirksamkeit hinsichtlich der Finanzberichterstattung definiert, installiert und getestet werden muss. Das geschieht nicht einmal, sondern fortwährend. Thelemann schätzt, dass während der Dokumentationsaufwand mit der Zeit sinkt, das Testen in den Folgejahren nach der Einführung von SOX noch 50 bis 60 Prozent des ursprünglichen Aufwands betragen wird.

Das perfekte Perpetum Mobile

Laut Finanzanalyst Moe verbringen CFOs amerikanischer Firmen derzeit 40 Prozent ihrer Zeit mit SOX. Das kommt seiner Ansicht nach einer gigantischen Vernichtung von Marktkapital gleich. Allein die 30 größten und profitablesten Firmen koste die SOX-Fähigkeit demnach grob geschätzt 2 Millionen pro Unternehmen. So kommt der Finanzexperte auf rund 60 Millionen Dollar. Moe weitet die Rechnerei aber auf die Top-1000-Companies. Ihre Ausgaben liegen bei schätzungsweise 5 Milliarden für SOX. Insgesamt schätzt Moe, dass SOX bereits einen Betrag von 75 Milliarden Dollar an Marktwerten verschlungen habe.

Allein die Anstrengungen, die IT-Abteilungen unternehmen müssen, dürften erheblich sein. Jedes Risiko im Sinne des Finanzreporting muss identifiziert, klassifiziert und bewertet werden. Es sind Fragen zu stellen wie: Welche Art von Schaden kann ein Ausfall einer IT-Komponente herbeiführen: Produktionsausfall, Unerreichbarkeit, Rechnungen können nicht verschickt oder storniert werden? Wie lässt sich der Schadensfall verhindern oder ausgleichen? Welche Wirkungen hat das Unglück? Zum Beispiel müssen 48 Prozent der Firmen, die mittelbar oder unmittelbar von einem Brand betroffen waren, direkt nach Eintritt des Schadensfalls schließen. Dazu kommen 28 Prozent, die in den drei Jahren danach aufgeben müssen. Auch die Schädigung der Reputation kann ins K.O. führen, wie ein Repräsentant die Luxemburger Dependance der Dresdner Bank auf der RAC-Konferenz vorrechnete.

Für jedes Risiko müssen zudem Indikatoren her sowie Messgrößen und Messverfahren. Diese wiederum sind zu dokumentieren und auf ihre Wirksamkeit zu testen. Transparenz a la SOX reicht laut Wirtschaftsprüfer bis ins letzte Unternehmenszipfelchen. Wohl der Firma, die bereits über ein Prozess-Management verfügt und über Tools, die auch den Wirtschaftprüfern genehm sind, erläutert Thelemann. Denn SOX bedarf durchaus der Interpretation. Coso und PCAOB bieten Belege dafür. Deshalb schließen die Softwarehersteller von IDS Sheer bis Symantec Partnerschaften und lassen sich bescheinigen, dass die externen Prüfer die vom Tool dargelegte Transparenz anerkennen. Offenbar ist nun endlich das wirtschaftliche Perpetuum Mobile erfunden worden.

Kommentar
Stellt lieber Massenentlassungen unter Strafe!

Unglaublich aber wahr: Rund 16 Monate und Millionen, Milliarden Dollar kostet es bis ein Unternehmen den Finanz-Reporting-Ansprüchen der US-Börsenaufsicht genügt. Die Finanzskandale von Enron und Worldcom haben für das Gesetz Sarbanes Oxley Act gesorgt. Mehr Transparenz in den unternehmensinternen Prozessen soll her, da wo Informationen für die Bilanz erzeugt werden, inklusive Risiko-Bewertung – um Anleger zu schützen.

Es geht um etwas, das eigentlich selbstverständlich sein sollte: die Bücher sauber zu führen. Es geht nicht darum, Firmenpleiten und Massenentlassungen zu verhindern oder gar korrigierend in Management-Fehler einzugreifen. Wie Wirtschaftsprüfer unisono einräumen, kann nicht einmal Betrug mit Hilfe von parallel geführten Büchern und Prozessen vermieden werden. Es geht allein um die Dokumentation und Administration von Risiken, nicht deren Vermeidung. Durchzusetzen ist das trotz Unsummen an Kosten, nicht Investitionen, weil das Top-Management nun dafür gerade stehen muss, dass das Finanzwesen den Begrifflichkeiten der Bilanzgesetzgebung entspricht. Das ist alles – als würde beim Aufsatz die Schönschrift benotet, nicht der Inhalt.

Der gemeine Mann könnte jedoch glauben: Endlich tut sich was, damit Top-Manager in die Pflicht genommen werden können, wenn sie Unternehmen platt machen, Armut und sozialen Abstieg bei anderen riskieren, selbst jedoch Abfindungen und Provisionen kassieren. Mitnichten. Da müssten Gesetzte inhaltlicher Art her, keine administrativen Vorschriften. Wie wäre es, Massenentlassungen unter Strafe zu stellen?

Sarbanes Oxley ist Herumdoktern. Dieses Gesetz taugt allein dazu, Wirtschaftsprüfern und Juristen ein gesichertes Einkommen zu verschaffen.