Compliance: Kostenfaktor oder Chance für die IT?

Compliance steht derzeit ganz oben auf der Agenda von Wirtschaft und IT. Im deutschen fehlt dafür eine griffige Übersetzung, doch hinter der „Einhaltung gesetzlicher Vorschriften“ verbergen sich mediale Dauerbrenner wie Sarbanes-Oxley (SOX) oder IFRS (International Financial Reporting Standards). Fest steht, dass diese und einige weitere im Raum stehende Regelwerke für mehr Transparenz und Planungssicherheit in Unternehmen sorgen sollen. Doch angesichts der Flut internationaler wie nationaler Verordnungen regt sich in der Wirtschaft auch Unmut über deren Nebenwirkungen. So ist etwa der Würzburger Professor für BWL und Wirtschaftsinformatik, Rainer Thome, der Ansicht, dass viele Vorschriften über das Ziel hinausschießen: „Dass die staatlichen Institutionen nach spektakulären Pleitefällen wie Enron oder Worldcom darauf bedacht sind, dies zu unterbinden, ist nachvollziehbar. Allerdings kann man ein anständiges Verhalten nicht nur durch gesetzliche Regelungen und umständliche Kontrollvorschriften herbeiführen.“

Thome befürchtet eine Überregulierung, die letztlich der Wirtschaft schadet: „Der Sarbanes-Oxley Act verursacht Milliardenkosten und hat daher bereits mehrere nicht-US-amerikanische Unternehmen zum Rückzug aus diesem Kapitalmarkt bewogen.“ Dass Compliance den Firmen enorme Zusatzausgaben aufbürdet, bestätigt auch Frank Wiethoff, Partner Advisory Services bei KPMG: „Der Unternehmerverband FEI (Financial Executives International) beziffert allein die Kosten für die Implementierung der SOX-Section 404 in den USA auf durchschnittlich 4,36 Millionen US-Dollar. In Europa kann die erstmalige SOX-Compliance bei großen Unternehmen sogar Kosten im hohen zweistelligen Millionen-Bereich verursachen.“

Immerhin müssen sich IT-Manager nicht mit der gesamten Komplexität des Sarbanes-Oxley-Regelwerks herumschlagen, so die Analysten von Gartner. Wichtig sei ein Grundverständnis, außerdem sollte man den Abschnitten 302 und 404 besondere Beachtung schenken. Section 302 schreibt Strafen für den Fall vor, dass CEO und CFO wissentlich oder fahrlässig unrichtige Angaben gemacht haben. CIOs werden in diesem Zusammenhang dazu aufgefordert, die Zuverlässigkeit und Sicherheit der Systeme zu gewährleisten. Der Abschnitt SOX 404 bezieht sich auf die Dokumentation und Bewertung von Kontrollmechanismen. Das Management wird hier verpflichtet, Erklärungen über die Einführung angemessener interner Kontrollmechanismen zur Finanzberichterstattung abzugeben. Da die Prozesse und Kontrollmechanismen üblicherweise mittels IT-Systemen implementiert sind, ist eine detaillierte Bewertung dieser Systeme erforderlich. Somit spielt der CIO eine Hauptrolle in Compliance-Projekten.