582 MAL musste die amerikanische Aufsichtsbehörde SEC im letzten Jahr aktiv werden. Auditoren von Price Waterhouse Coopers, Ernst & Young und KPMG vermeldeten „material weaknesses" in den US-Unternehmen. Das sind Unregelmäßigkeiten in ihren Zahlen und Büchern – wenn etwa Einträge nicht richtig eingebucht sind oder erfasste Lagerbestände erheblich von den tatsächlichen abweichen. Solche Bekanntmachungen sind nicht gut für den Börsenkurs – und auch nicht für den CFO. Jeder zweite Finanzchef musste bereits innerhalb weniger Monate nach einer „weakness disclosure" seinen Schreibtisch räumen, so eine Analyse der Finanzberater von ARC Morgan und dem CFO Executive Board in London. Das bringt wiederum den CIO in Bedrängnis: „Was der CFO rapportiert, hat der CIO geschaffen", sagt Walter Brenner, Direktor des Instituts für Wirtschaftsinformatik der Universität St. Gallen. „Es gibt keinen Prozess, in dem der CIO nicht gefordert ist."

Seit Anfang 2004 ist klar, dass die Sektion 404 des Sarbanes-Oxley Act (siehe Kasten) von europäischen und an der New Yorker Börse notierten Unternehmen erfüllt werden muss. Darin bestätigen die Finanz- und Unternehmenschefs, dass sämtliche Kontrollen korrekt sind, sie sich darüber persönlich versichert haben und es keine Schwachstellen („weaknesses") gibt. Den ersten Termin, Mitte 2005, konnten die europäischen Konzerne und auch die ebenfalls betroffenen mittelständischen US-Unternehmen noch kippen. „Man hat den Aufwand für Sarbanes-Oxley unterschätzt", sagt Michael Schirmbrandt, Berater bei der Consultinggesellschaft KPMG Austria, der ein großes finanzielles Opfer für die IT ausmacht – aufgrund der höheren Transparenz der Finanzdaten steige der Aufwand für die IT um fünf bis zehn Prozent. Bis zu 0,7 Prozent vom Umsatz fallen nach Angaben von ARC Morgan für SOX an, 19 Prozent der Kosten kommen einer Analyse von BARC und Cognos zufolge auf die IT zu, die zudem einen Teil der zusätzlichen Personalkosten von 44 Prozent tragen muss (siehe Grafik). Derzeit sei nur jedes fünfte Unternehmen für die Einführung der Sektion 404 in Europa gerüstet, so Schirmbrandts Schätzung – eine Verschiebung des Ursprungstermins wurde möglich gemacht. Ende 2006 gibt es jedoch keine Ausreden mehr.

Konzerne wie der Pharmagigant Altana, Elektronik-Riese Siemens und dem Stahl- und Dienstleistungsunternehmen Thyssen Krupp sind über eine Verzögerung nicht traurig – und hüllen sich über SOX in Schweigen. Siemens nennt einen Grund dafür: „Nicht weil wir nicht vorbereitet sind, doch sollte das Regelwerk vereinfacht werden. Da stehen wir in Gesprächen mit dem SEC, der Securities and Exchange Commission", so ein Siemens-Sprecher. „Es herrscht große Unsicherheit", so der Eindruck von Uniprofessor Brenner, „da redet kaum jemand offen drüber – erst wenn die Mikrofone ausgeschaltet sind. Viele Manager haben Angst vor drakonischen Strafen und suchen nach Bestätigung durch Auditoren – CEOs, CFOs und CIOs gleichermaßen."