76 Prozent der von den Vorgaben des Sarbanes-Oxley-Act (SOX) betroffenen europäischen Unternehmen haben die Einführungskosten der Richtlinien unterschätzt. Zu diesem Ergebnis kam kürzlich eine von der Management-Beratung Detecon International und der Wirtschaftsprüfungsgesellschaft Rölfs WP Partner AG durchgeführte Studie. Die Berater hatten 21 börsennotierte Aktiengesellschaften befragt, die SOX-Prüfungsverfahren implementiert haben. Der Studie zufolge beziffern 30 Prozent aller befragten Unternehmen ihren Einführungsaufwand für SOX auf mehr als 20 Millionen US-Dollar. Die jährlich laufenden Kosten nehmen derzeit mindestens 25 Prozent der Einführungskosten ein, wobei alle Unternehmen zudem von einem steigenden Prüfungsaufwand in der Zukunft ausgehen. Die Effizienz der Prozesse mit ihren Kontrollen, die Dokumentation und das Prüfungsprozedere bietet demnach noch erhebliches Optimierungspotenzial. Als Auslöser für die Kontrollmängel nannten 15 Unternehmen die fehlende Dokumentation. Die erforderliche Nacharbeit erzeugte vor allem Zeitaufwand für die eigenen Mitarbeiter, was 20 Unternehmen bemängelten. „Die meisten unterschätzten vor allem den Aufwand für die Control Self Assessments, also die vorab erforderlichen internen Prüfungen. Viele übersahen, dass diese teilweise täglich durchzuführen sind und insgesamt mehrere Tage Aufwand für einen Mitarbeiter anfallen“, so Anne Bernzen, Managing Consultant und verantwortlich für Corporate Governance und Performance bei Detecon. Ihrer Meinung nach muss das Ziel nun darin bestehen, den Kontroll- und Prüfungsaufwand zu reduzieren und SOX besser mit dem internen Kontrollsystem und der Corporate Governance zu integrieren.

Börsenaufsicht empfiehlt CObIT
Welche Instrumente stehen Unternehmen zur Verfügung, um den Prüfungsaufwand zu reduzieren? Für das Erreichen der SOX-Compliance empfiehlt die amerikanische Börsenaufsichtsbehörde SEC zusammen mit weiteren Gremien wie dem PCAOB (Public Company Accounting Oversight Board) und der ISACA, einem weltweiten Berufsverband für IT-Revisoren und -Sicherheitsmanager, den Einsatz der beiden Frameworks COSO und CObIT. CObIT (Control Objectives for Information and Related Technology) stellt ein anerkanntes Governance-Modell für IT-Prozesse dar, das vom US-amerikanischen IT Governance Institute veröffentlicht und weiterentwickelt wird. Es fungiert als Framework für die gesamte IT-Governance und deckt alle Bereiche der IT ab. COSO (Committee of Sponsoring Organizations of the Treadway Commission) soll hingegen die Finanzberichterstattung, das Risk Management und die Unternehmensführung qualitativ verbessern. Die anerkannten Standards dienen daher SOX-relevanten Unternehmen als Framework für die Kontrolle aller Fachprozesse wie Anlagevermögen, Konzernfinanzierung, Verkauf, Einkauf oder Personal. Denn die IT stellt nur eine von insgesamt mehreren SOX-relevanten Prozessgruppen dar, wobei sie durch ihre Systemunterstützung für die anderen Bereiche als Schlüsselfeld gilt. In Europa hat sich mittlerweile ITIL (IT Infrastructure Library), eine Verfahrensbibliothek von Best Practices zur Organisation des IT Service Management etabliert. Die IT-bezogenen SOX-Kontrollen gehen jedoch weit über ein IT Service Management hinaus und betrachten auch die Funktionsfähigkeit der Technik. Wolfram Hohaus, Managing Consultant bei Detecon meint daher: „Wenn ein Unternehmen CObIT bereits implementiert hat, dann reicht dies aus SOX-Sicht völlig aus und ITIL braucht nicht zusätzlich eingeführt werden. Falls ITIL schon vorhanden ist, sollte man die Best Practices aber mitnutzen. Die ITIL-Prozesse können dann mit relevanten CObIT-Prozessen ergänzt werden.“ Problematisch sei aber, dass bei den wenigsten Unternehmen ein Mapping zwischen ITIL, CObIT und SOX vorhanden ist. „Folglich entstehen dann meist unter erheblichem Mehraufwand unterschiedliche Dokumentationsebenen und nicht aufeinander abgestimmte Kontrollen.“ Kritisch sieht Anne Bernzen den Aufbau völlig unternehmensindividueller und von CObIT und COSO weit abgekoppelter Modelle: „Insbesondere bei Fusionen, wenn beide Partner ihre unterschiedlichen Prozessmodelle erneut anpassen müssen, wird dadurch zusätzlicher Aufwand erzeugt.“