In den vergangenen Jahren wurde der IT oft die Rolle eines Wettbewerbsfaktors in Punkto technischer Innovation sowie als Effizienzkriterium bei der Automatisierung von Geschäftsprozessen zugesprochen. Im täglichen Umgang mit der IT wurde die «technische Abteilung» jedoch selten als echter Business-Enabler sondern vielmehr als interner Dienstleiter für das Business betrachtet. Diese Sichtweise hat sich in vielen Unternehmen geändert, seit Wirtschaftprüfungsgesellschaften an der amerikanischen Börse notierte Unternehmen sowie deren Zulieferer hinsichtlich Ihrer SOX (Sarbanes Oxley Act) -Compliance genauer unter die Lupe nehmen.
Der Sarbanes-Oxley Act of 2002 - (SOX) benannt nach seinen Verfassern, dem Senator Paul S. Sarbanes (Democrates) und dem Abgeordneten Michael Oxley (Republican) ist ein US-Gesetz zur Verschärfung der Rechnungslegungsvorschriften in Folge der Bilanzskandale von Unternehmen wie Enron oder Worldcom. Ziel des Gesetzes ist es, das Vertrauen der Anleger in die Richtigkeit der veröffentlichten Finanzdaten von Unternehmen wiederherzustellen.
Seit Anfang 2004 ist klar, dass die Sektion 404 des Sarbanes-Oxley Act (siehe Grafik) von europäischen und an der New Yorker Börse notierten Unternehmen erfüllt werden muss. Darin bestätigen die Finanz- und Unternehmenschefs, dass sämtliche Kontrollen korrekt sind, sie sich darüber persönlich versichert haben und es keine Schwachstellen gibt.
Für den CIO bedeutet das, eine neue Rolle einzunehmen, da die IT bisher in der Regel nicht am Risikomanagement der Unternehmen beteiligt war. Neben IT-Security-Aspekten kommen nun immer mehr prozessgetriebene Risiken auf Unternehmen zu, wie beispielsweise Fehler in der Dokumentation, die im Verantwortungsbereich des CIOs liegt.
Bei den gemeldeten Schwachstellen entfallen mehr als die Hälfte auf die «Finanzsysteme und –prozesse», einen Bereich, in dem die Unterstützung der Prozesse durch die IT von besonders großer Bedeutung ist.
Um dieses Risiko zu minimieren wird von IT Organisationen gefordert transparente, nachvollziehbare und «sichere» Prozesse bei der Erbringung von IT Dienstleistungen zu betreiben. Sinnvollerweise stützen sich die meisten IT Organisationen bei der Beschreibung und Implementierung von IT Betriebsprozessen auf bewährte Vorgehensmodelle – in der Regel ITIL (Information Technologie Infrastructure Library) und CObIT (Control Objectives for Information and related Technology) – für die es auch im Rahmen der SOX-Compliance eine ganze Reihe von erfolgreichen Vorgehensweisen gibt und die nicht nur den Anforderungen von SOX genüge tun, sondern der IT auch die Möglichkeit geben, Ihre Prozesse und Abteilungen hinsichtlich ihrer unternehmerischen Führung neu auszurichten. Das bedeutet für den CIO eine stärker an Prozessen, Rollen und Verantwortlichkeiten orientierte IT Organisation zu schaffen, die Transparenz schafft, eine Kontrolle der Prozessqualität zulässt und nicht zuletzt den gesetzlichen Vorschriften Rechnung trägt.
Dabei gilt es die verschiedenen Elemente wie Menschen, Prozesse und Technologie in Einklang zu bringen. Denn nur wenn Organisation, Prozesse und IT Mitarbeiter gut zusammenarbeiten werden Mehrwerte geschaffen, die die Investitionen in eine Neuausrichtung der IT vor dem Hintergrund der Erfüllung der SOX-Compliance rechtfertigen.
Der CIO ist in seiner Rolle als Manager eines bedeutenden Unternehmensbereichs auf Steuerungswerkzeuge angewiesen, die ihm auf der Basis der abgebildeten Prozesse nicht nur Aufschluss über die Verfügbarkeit und Kapazität der Technologie, sondern auch über Qualität und Performance der betriebsunterstützenden Prozesse sowie der Auslastung verfügbarer Ressourcen und Finanzmittel geben.
Mit SOX beschäftigen sich aber nicht nur die Unternehmen, deren Werte direkt an der amerikanischen notiert sind. Auch die Zulieferer dieser Unternehmen werden mit der Dienstleisternorm SAS70 (Statement on Auditing Standards No. 70) vor die Herausforderung gestellt, ihre Prozesse gemäß den in SOX beschriebenen Anforderungen abzusichern und zu dokumentieren. SAS70 ist somit Thema für nahezu jedes Unternehmen.
Die Erfüllung der Anforderungen des Sarbanes-Oxley Act (SOX) ist im Jahr 2006 sicher ein wichtiges Ziel, wenn es um die Beschränkung der Haftung des Managements geht. Die IT spielt bei der Erfüllung eine entscheidende Rolle. Und in der Zukunft wird die Erfüllung gesetzlicher oder branchenorientierter Normen wie ISO 20000 durch die IT Organisation weiter an Bedeutung gewinnen. Derzeit arbeitet die EU-Kommission an der 8. EU-Audit-Richtlinie, einem europäischen Pendant zu SOX. In jedem Fall werden in der Zukunft die Prozesse, die zur Erbringung einer IT Dienstleistung benötigt werden sowie deren Dokumentation und Absicherung eine immer größere Rolle spielen – zum Vorteil der Unternehmen selbst, wenn die Chance zur Weiterentwicklung der IT Organisation sinnvoll genutzt wird.
