Der Sarbanes-Oxley Act wurde 2002 verabschiedet. Er enthält ein umfangreiches neues Regelwerk, das Aktiengesellschaften in den USA beim Berichtswesen zu beachten haben. Bereits ab 2003 mussten die Unternehmen die Auflagen der Sektion 302 einhalten. Diese verpflichteten Vorstandsvorsitzende und Finanzvorstände, für die Richtigkeit der der US-Börsenaufsicht SEC (Securities and Exchange Commission) vorgelegten Quartals- und Jahreszahlen eidesstattlich zu bürgen. Diesen ersten Teil des Gesetzeswerks umzusetzen forderte der IT nur einige kleinere Upgrades und minimale Änderungen der Geschäftsprozesse ab. In manchen Fällen war ein Upgrade der Dokumentenverwaltung oder des Finanzsystems ausreichend. Mit SAP Whistle Blower, dem Audit Information System und SAP R/3, auch bei vielen US-Unternehmen installiert, ließen sich einige der Anforderungen des Sarbanes-Oxley-Act unmittelbar abdecken.

Doch nun im Jahr 2004 stehen die Sektionen 404 und 409 des Sarbanes-Oxley Act an. Allen Orts sind die Unternehmen bemüht, Konformitätsprojekte in Gang zu bringen und die IT-Systeme auf die neue Gesetzeslage einzustellen. In manchen Fällen steht jedoch eine Komplett-Renovierung der IT ins Haus. Nach Aussage von John Hagerty, Vice President bei AMR Research in Boston, Massachusetts, “kann (die neue Gesetzeslage) wesentliche Änderungen in der IT-Architektur zur Folge haben, mit der ein Unternehmen seine Entscheidungsfindung unterstützt”.

Testate externer Wirtschaftsprüfer

Laut Hagerty wird es im Vergleich zu früheren Auflagen schwieriger sein, den Anforderungen der Sektionen 404 und 409 zu genügen. Sektion 404 fordert die Testierung finanzieller Kontrollsysteme durch einen externen Wirtschaftsprüfer. Bis zum 15. Juni 2004 oder bis zum Ende ihres Geschäftsjahres in 2004 bleibt den Unternehmen Zeit, diese Bedingung zu erfüllen – je nachdem, welcher Termin früher liegt. Für nicht wenige Firmen steht damit der kritische Zeitpunkt unmittelbar ins Haus.
Ebenso heikel ist Sektion 409. Unternehmen sind dazu aufgefordert, finanziell relevante Ereignisse in Echtzeit im Berichtswesen wiederzugeben. Zwar hat die SEC für 409 noch keinen Termin festgesetzt, die Sektion bereitet den Betroffenen aber schon jetzt eine Menge Kopfzerbrechen. Laut Hagerty sind die Auswirkungen von Sektion 409 noch weitreichender als die der Sektion 404. Denn: Sektion 409 zieht mit großer Sicherheit Konsequenzen und möglicher Weise sogar tief greifende Veränderungen in der IT nach sich. Beispielweise gilt es Analysefunktionen zu implementieren und integrieren, mit der sich die “finaziell relevanten Ereignisse” identifizieren und deren Auswirkungen bewerten lassen. “Aus Sicht der IT eine große und schwierige Angelegenheit”, bewertet Hagerty.
Soweit die schlechte Nachricht. Die gute Nachricht ist, dass die meisten Fortune-1000-Unternehmen mit ihren Konformitätsprojekten bereits gut vorangekommen sind. Ende 2003 waren Zahlen von AMR Research zufolge 86 Prozent der Unternehmen damit beschäftigt, Lösungen für die Anforderungen der Sektion 404 zu evaluieren oder sogar zu implementieren. Hagerty ergänzt, dass drei Viertel dieser Firmen davon ausgehen, die entsprechenden Maßnahmen bis Mitte des Jahres abgeschlossen zu haben.
Was Abschnitt 409 betrifft, so sind derzeit 77 Prozent der Fortune-1000-Unternehmen dabei, Lösungen zu diskutieren oder einzuführen. Rund 19 Prozent diese Firmen haben laut AMR Research sogar bereits eine funktionsfähige Lösung etabliert. Um die Anforderungen der Sektionen 404 und 409 zu erfüllen, ziehen es satte 80 Prozent aller Unternehmen in Erwägung, Unterstützung von ihrem ERP-Anbieter, beispielsweise also von SAP, in Anspruch zu nehmen.

Unterstützung von SAP

Das SAP Compliance Management for Sarbanes-Oxley Act ermöglicht es Unternehmen, zuverlässige Kontrollmechanismen zu etablieren, genaue und zeitnahe Finanzberichte zu erstellen sowie Risiken zu mindern und zu überwachen. Die SAP-Lösung für das Finanzwesen, mySAP Financials, enthält beispielsweise das Audit Information System (AIS), mit dem sich interne Kontrollsysteme verwalteen lassen, und die so genannte Whistle-Blowing-Funktionalität. Diese Werkzeuge sind eng mit SAP R/3 und mit allen Lösungen der mySAP Business Suite integriert, mit mySAP Enterprise Resource Planning, mySAP Customer Relationship Management oder auch mySAP Human Resources.
Was genau sind nun in Kürze die zentralen Inhalte der Sektionen 404 und 409?

• Sektion 404, Bericht der Geschäftsleitung über das interne Kontrollsystem für die Finanzberichterstattung. Diese Sektion fordert, dass finanzielle Kontrollmechanismen von einem externen Wirtschaftsprüfer testiert werden müssen. Darüber hinaus ist gefordert, dass die Geschäftsführung eines Unternehmens jährlich die Finanzberichterstattung und das interne Kontrollsystem bewertet und entsprechende Berichte erstellt. Das SAP Management of Internal Controls (MIC) ermöglicht es, die Wirksamkeit von Kontrollmechanismen zu dokumentieren, zu bewerten und zu testen. SAP AIS ermöglicht es, das Berichtswesen strukturiert zu überwachen. Auch SAP R/3, SAP Business Information Warehouse (SAP BW) und SAP Strategic Enterprise Management (SAP SEM) können helfen, die Auflagen der Sektion 404 zu erfüllen.
• Sektion 409, Offenlegung in Echtzeit. Dieser Abschnitt fordert eine Echtzeit-Berichterstattung hinsichtlich aller Ereignisse, die sich auf das Unternehmensergebnis auswirken könnten. Die SEC hat eine 48-Stunden-Meldefrist für 8-K-Formulare vorgeschlagen. Mit dem 8-K-Formular der SEC müssen Unternehmen all diejenigen Ereignisse oder Änderungen im Unternehmen melden, die für Investoren wichtig sind. Das 8-K-Formular bietet aktuellere Informationen als die 10-Q-Quartalsberichte oder 10-K-Jahresberichte. Mit SAP SEM ließen sich die Anforderungen der Sektion 409 erfüllen.

Alle Geschäftseinheiten beteiligen

Hagerty gibt Tipps im Zusammenhang mit Budgets und operativen Abläufen. Beispielsweise sollten sich die Unternehmen darüber im Klaren sein, dass alle Geschäftseinheiten von den Projekten rund um Sarbanes-Oxley betroffen sein werden. Gleich ob Finanzwesen, IT, Kundenservice, Sicherheit oder andere Bereiche – die notwenigen Änderungen der Geschäftsprozesse und Arbeitsabläufe werden für alle zu spüren sein. Daher sollten auch Vertreter aller Geschäftseinheiten mit in die Planung und Durchführung dieser Projekte einbezogen sein.
Die IT-Abteilungen warnt Hagerty davor, in die Planung der Budgets für 2004 die Zeit von Mitarbeitern für die Beteiligung an Projektgruppen, eventuelle Softwarekäufe und Implementierungskosten einzubeziehen. Bei manchen Unternehmen könnten die Kosten im Jahr 2004 explodieren, wenn diese zu der Entscheidung kommen, dass sich die Auflagen des Gesetzes nur mit einer komplett neuen IT erfüllen lassen.
Sollte tatsächlich eine komplett neue IT notwendig sein, dann müssen die damit verbundenen Kosten in den aktuellen und künftigen Budgets enthalten sein. Auf jeden Fall aber müssen die IT-Budgets die künftigen Verwaltungskosten für Sarbanes-Oxley-konforme Systeme beinhalten, so Hagerty. Sarbanes-Oxley erfordert eine dauerhafte, langfristige Lösung, keinen einmaligen Schnellschuss.
Als bewährtes Verfahren schlägt Hagerty den Unternehmen vor, ein System zu etablieren, dass er als “Active Compliance Framework” bezeichnet. Führungskräfte, Mitarbeiter, Compliance-Beauftragte und externe Regulierer sollen alle permanent mit Sarbanes-Oxley beschäftigt sein. Die Bereiche Reporting und Risiko, Dokumente und Belege, sowie Sicherheit und Revision sollten in verschiedenen Prozessschichten rigoros überwacht werden.

Auf dem Weg zum Stichtag

Im Hinblick auf die Anforderungen der Sektion 404 und den immer näher rückenden Stichtag zu deren Erfüllung unterscheidet Hagerty auf dem Weg zu diesem Ziel vier Phasen: Die Dokumentation der Kontrollmechanismen, deren Überwachung und Evaluierung, die Testierung durch externe Wirtschaftsprüfer und zu guter Letzt die Aufrechterhaltung und Durchsetzung dieser Kontrollmechanismen auf lange Sicht.
Bis zum Ende des Geschäftsjahres haben die Wirtschaftsprüfer Zeit, die Konformität mit der Sektion 404 zu prüfen. Ginge es nach Hagertys Willen, hätten die Unternehmen damit allerdings nicht bis zum Ende des vergangenen Jahres warten sollen. Mindestens drei Monate vor Ablauf der Frist sollten seiner Ansicht nach Projekte rund um die Sektion 404 abgeschlossen und den Wirtschaftprüfern die entsprechenden Daten übermittelt worden sein. Mittlerweile ein enormer Wettlauf mit der Zeit.
Um das Projektziel zu erreichen sollten die Unternehmen auf interne Teams und zusätzlich die Hilfe externer Experten setzen, so Hagerty. Auf diese Weise lässt sich verhindern, dass ein Unternehmen darauf verzichtet, auch Tatsachen in das Berichtswesen mit aufzunehmen, die für die SEC überhaupt nicht relevant sind. “Die Zusammenarbeit mit externen Experten kann helfen herauszufinden, was genau für die SEC relevant ist und was nicht”, sagt Hagerty.
Immerhin arbeiteten Ende 2003 51,6 Prozent der Unternehmen in Sarbanes-Oxley-Projekten mit einem externen Wirtschaftsprüfer zusammen – oder hatten diese zumindest vor. Laut AMR Research setzten die Unternehmen dabei auf IT-Anbieter, auf Rechtsberater oder auf Unternehmensberater.
Die Sektion 404 rückt unaufhaltsam näher und Sektion 409 ist auch nicht mehr allzu weit entfernt: Für Hagerty Grund genug, die Jahre 2004 und 2005 für Unternehmen als schwierige Jahre zu deklarieren. Darüber sollte auch die Galgenfrist nicht hinweg täuschen, die den Firmen bleibt weil für die Sektion 409 der Startschuss noch nicht genau festgelegt ist.
Doch Hagerty rechnet damit, dass die SEC in dieser Sache eher früher als später deutliche Worte sprechen wird. Seiner Ansicht nach sollte sich niemand auf eine allzu lange Galgenfrist verlassen. Unternehmen, die Hagerty als vorausschauend bezeichnet, sind ohnehin bereits mittendrin, die Anforderungen zu erfüllen. “Es gilt möglicherweise, die gesamte Infrastruktur für die Übermittlung von Informationen von einer Stelle zur anderen zu ändern”, argumentiert Hagerty. “Die Sektionen 404 and 409 des Sarbanes Oxley Act bringen nicht nur Anforderungen an das Finanzwesen mit sich, sondern auch IT-technische Herausforderungen, auf die sich Unternehmen lieber vorbereiten sollten.”