Einige spezielle Vorkehrungen musste IT-Manager Leuenberger für SOX treffen. Formalismen und Dokumentationen über die Segregation of Duties (SODs) existierten nur rudimentär. IS-Compliance-Mann Leuenberger: „Das Loch, das SOD im Security-Bereich geschaffen hat, mussten wir noch mit einem Tool stopfen." Und in Hinsicht auf die Struktur und Organisation musste er ebenfalls nachlegen: „Die Hauptherausforderung bei SOD war, die Prozessorientierung mit den Anforderungen des Wirtschaftsprüfers in Übereinstimmung zu bringen." Je kleinteiliger die Prozesse sind, umso mehr Schnittstellen entstehen und desto länger dauern tendenziell die Prozesse.

Ein weiteres Problem ist die „Arbeit nach Vorschrift": „Spontane Anforderungen können nicht mehr problemlos bewältigt werden", erläutert Leuenberger. Rabatte etwa könnten nicht schnell mal eingepflegt werden, wenn ein Kollege im Urlaub ist, Aufträge nicht spontan freigegeben werden. Leuenberger: „Es gilt, nach Vorschrift zu agieren" – mögliche „Shortcuts" in den Prozessen zur Bewältigung solcher Ausnahmesituationen müssen rechtzeitig angedacht und dokumentiert werden. Schneeberger: „Es darf zum Schluss niemand sagen: Ich habe davon nichts gewusst."

SOX als Qualitätsmanagement begreifen

Der bewussten Fälschung von Büchern wie im Falle Enron und auch signifikanten Schwächen im Kontrollsystem kann so vorgebeugt werden. Die Syngenta-Verantwortlichen versuchen SOX als lückenloses Qualitäts-Management zu begreifen und nicht so sehr als reines Finanzkontrollinstrument. „Die Stringenz der Interpretation von SOX durch die Prüfer bereitet uns ab und zu Bauchschmerzen", sagt der Compliance-Verantwortliche Schneeberger. „Es macht doch keinen Sinn, jedes Jahr aufs Neue sämtliche Prozesse wieder durchzugehen." Und er fügt hinzu: „Man sollte sich vielmehr auf die kritischen und geänderten Prozesse konzentrieren, um den Verwaltungsaufwand zu reduzieren – auch für die Wirtschaftsprüfer."

Die Outsourcing-Partner von Syngenta ziehen ebenfalls bald mit: Ab 2006 sollen British Telecom, Hewlett-Packard und Infosys SOX-fähig sein – und das anhand des SAS-70-Typ-II-Zertifikats belegen. Derzeit macht Leuenberger regelmäßig seinen „Management Workthrough" bei den Partnern – schließlich endet die Kontrolle nicht direkt an den Firmentoren. Und auch nicht nach dem ersten SOX-Audit Anfang 2006. Denn der nächste Auditor kommt bestimmt. Dann heißt es wieder, so Leuenberger: „Same procedure as last year" – mit oder ohne den alten CFO.