Anders einige Schweizer Konzerne. Der Baseler Agrochemiekonzern Syngenta etwa will erstmals für 2005 kein herkömmliches Audit, sondern ein Audit auf Basis von SOX machen und folgt damit dem Pharmakonzern Novartis, der bereits Anfang dieses Jahres ein SOXAudit durchführen ließ und damit weit vor der Frist Ende 2006 fertig wurde. „Material weaknesses sind unter allen Umständen zu vermeiden", sagt Andreas Schneeberger, Leiter der Group ComplianceCompliance und des Risk Management beim Spezialisten für Pflanzenschutzmittel und Saatgut Syngenta. „Sie dürfen SOX nicht als bürokratische Übung verkaufen, denn dann läuft niemand mit", rät Schneeberger, der von vornherein die „Management-Practice" in der Vordergrund gestellt hat. Sein Motto: über KPIs und Prozessoptimierung zu mehr Qualität. „Sie müssen klar machen, was eine signifikante Deficiency ist und welche Mängel zu verantworten sind", sagt er. „Wenn ein Flieger mit einer Lampe weniger landen, ist das in der Regel ja auch kein Problem." Alles zu Compliance auf CIO.de

Schlüsselentscheidung Scoping

Die Kernentscheidung, sagt Fritz Leuenberger (58), bei Syngenta für die globale IS-Compliance verantwortlich, sei das „Scoping", also die Frage: „Was kommt rein und was geht raus?"

Exakt bedeutet Scoping die Auswahl der Gesellschaften, Konten, Systeme und Prozesse. Im Mittelpunkt standen zunächst die Geschäftsprozesse, die das Accounting und ReportingReporting unterstützen, wo allerdings – so Leuenbergers Einschätzung – bereits eine sehr gute Übersicht da war. Ganz anders die Situation im Bereich „General Computer Controls": „Eine konzernweite Übersicht über die betroffenen IS-Systeme und -Prozesse war nicht möglich", so Leuenberger. Es stellte sich deshalb die Frage, welche Server, NetzwerkeNetzwerke, Anwendungen und unterstützenden IS-Komponenten in den Scope mit hineingenommen werden. Alles zu Netzwerke auf CIO.de Alles zu Reporting auf CIO.de

Unklarheit herrscht, wie weit die geforderte „Segregation of Duties" nötig ist – also die Unterteilung des Geschäfts in Prozesse, Teilprozesse und immer kleinere Arbeitsschritte. Christoph Maeder aus der Syngenta-Geschäftsleitung sieht in der geforderten kleinteiligen Aufsplittung einen Rückfall in den Taylorismus – eine tradierte Organisationsform, in der jeder Arbeiter für ausschließlich einen kleinen Teilprozess zuständig war, vom Rest des Geschäfts jedoch nichts mitbekam. Und auch bei Schneeberger drängt sich der Eindruck auf, dass die Auditoren in dieser Hinsicht manchmal zu hart interpretieren. Verantwortlich dafür ist die Aufsichtsbehörde PCAOB (Public Company Accounting Oversight Board), die den Auditoren, autorisiert von der SEC, gewissermaßen das Besteck in die Hand gibt. „Erst waren die Vorgaben schön kompakt, inzwischen wurden sie ein ums andere Mal erweitert", so Schneeberger. „Die Kreativität der Prüfer ist sehr groß."

Mit Kritik sollte der Compliance-Verantwortliche bei Syngenta vorsichtig sein, denn die Börse reagiert darauf sensibel: Da beklagt sich der Musikkonzern Vivendi öffentlich über die US-amerikanische Börsenaufsicht SEC, und augenblicklich sackt der Kurs um 30 Prozent. Andere versuchen, den neuen Gesetzgebungen zu entkommen: Das als erstes deutsches Unternehmen an der New Yorker Börse (NYSE) kotierte Unternehmen, der Graphitspezialist SGL Carbon, denkt über einen Rückzug von der NYSE nach, offiziell, weil die US- gegenüber der Frankfurter Börse bei weitem nicht so wichtig sei. Der Vorstandsvorsitzende Robert Köhler gibt zu bedenken, dass sich der Kontroll- und Berichtsaufwand durch SOX vervielfachen würde und neben einmaligenKosten von zwei bis drei Millionen Euro jährlich zusätzlich drei Millionen Euro an laufenden Kosten aufgebracht werden müssten. Das sei den Aktionären nicht zuzumuten. Das Verwaltungsratsmitglied des Schweizer Pharmakonzerns Syngenta Felix A. Weber geht gar von Kosten von mehr als 13 Millionen Euro und einer Verdopplung der jährlichen Revisionskosten aus.

Einen Trend hin zu mehr Regulation sieht IT-Managementexperte Brenner: „Die Herausforderung für die Unternehmen ist, die regulatorischen Anforderungen zu erfüllen und trotzdem nicht an Produktivität zu verlieren." Da geht es ihm nicht nur um SOX, sondern auch um die Kreditvergaberichtlinie Basel II (Termin Ende 2006) und die 8. EU-Audit-Richtlinie, das EUPendant zu SOX, das in Brüssel derzeit diskutiert wird und voraussichtlich bis 2007 ebenfalls auf europäische Unternehmen zukommt. Brenner: „Mit einer Dekotierung in den USA kann man dem nicht entgehen."