Universität Hamburg Fakultät Wirtschafts- und
Sozialwissenschaften
Institut für Wirtschaftsinformatik

Diplomarbeit

Der Sarbanes-Oxley Act und die Wirkung auf die IT

Bjoern Nemnich
Abgabe: 16.02.2007

Inhaltsverzeichnis

Abbildungsverzeichnis ... IV

Tabellenverzeichnis ... V

Abkürzungsverzeichnis ... VI

1 Einleitung ... 1

2 Corporate Governance ... 2

3 Sarbanes-Oxley Act ... 3

3.1 Geltungsbereich ... 3
3.2 Inhalt des Sarbanes-Oxley Act ... 5
3.3 Anforderungen ... 8

4 Internal Control ... 9

4.1 Grundlagen ... 9
4.2 Enterprise Risk Management — Integrated Framework ... 12
4.3 IT-Kontrollen ... 16

5 IT-Governance ... 24

5.1 IT-Governance Framework ... 33
5.2 COBIT ... 35
5.3 Information Technology Infrastructure Library (ITIL) ... 47
5.4 Weitere Framework ... 56

6 IT Outsourcing ... 58

6.1 Einführung ... 58
6.2 IT-Sourcing Governance ... 62

7 Prüfung der IT im Unternehmen ... 68

7.1 Einführung ... 68
7.2 Planung und Organisation ... 68
7.3 IT Kontrollen ... 74
7.4 Entwicklung und Beschaffung ... 79
7.5 Sicherheitsmanagement ... 82
7.5.1 Logische Sicherheit ... 82
7.5.2 Physische Sicherheit ... 85
7.6 Rechtliches Umfeld ... 86
7.7 IT-Outsourcing ... 87

8 IT-Governance in China ... 91

9 Ausblick ... 95

Anhang ... 101
Literaturverzeichnis ... 111
Literaturempfehlungen ... 130

1 Einleitung

In den letzten Jahren wurde die Finanzwelt immer wieder durch Bilanzskandale erschüttert. Der wohl spektakulärste Fall Enron hatte einen neuen Gesetzentwurf, den Sarbanes-Oxley Act, zur Folge. Aktuell steht das Gesetz im Mittelpunkt vieler Diskussionen, da es massiv in die Prozesse der Unternehmen eingegriffen hat. Der wohl am häufigsten genannte Begriff, den man im Zusammenhang mit dem Sarbanes-Oxley Act liest, ist „Compliance“. Eine direkte Übersetzung des Begriffes gibt es im Deutschen nicht. Menzies schreibt in seinen Artikel „Compliance kann Mehrwert für Unternehmen schaffen“

„Compliance steht für ein ganzheitliches Organisationsmodell mit Prozessen und Systemen, das die Einhaltung von gesetzlichen Bestimmungen, interner Standards sowie die Erfüllung wesentlicher Ansprüche der Stakeholder sicherstellt. Compliance trägt dazu bei, die Beständigkeit des Geschäftsmodells, das Ansehen in der Öffentlichkeit und die finanzielle Situation eines Unternehmens zu verbessern.“¹

Der Ansatz fordert, dass Unternehmen nicht nur einzelne Bereiche betrachten, sondern ein globales Konzept erarbeiten. Integraler Bestandteil ist die Informationstechnologie im Unternehmen. In der Vergangenheit wurden die Dienstleistungen im Bereich Informationstechnologie oft zu einem reinen Kostenfaktor degradiert. Der Zusammenhang zwischen einer ordnungsgemäßen Rechnungslegung und einer funktionierenden IT wurde nicht gesehen. Seit dem Sarbanes-Oxley Act wird hier ein Umdenken gefordert. Informationstechnologie muss stärker kontrolliert und gesteuert werden, damit sie den geforderten Mehrwert in Unternehmen generieren kann. Im Bereich der IT haben sich deswegen zahlreiche Institutionen gebildet, die den Begriff „IT-Governance“ inhaltlich gefüllt haben und Unternehmen Hilfestellung bei der Umsetzung der Anforderungen bieten. Im gleichen Maße haben Wirtschaftsprüfungsgesellschaften den Markt der IT-Prüfung stärker im Fokus. Auch im Bereich der prüfungsnahen Beratung sind inzwischen mehrere Institutionen tätig, die Standards im Bereich der ITPrüfung veröffentlichen. Der Markt für solche Dienstleistung ist enorm gewachsen.

Ziel dieser Arbeit ist es, einen Überblick über IT-relevante Fragen bezüglich des Sarbanes- Oxley Acts zu geben. Dazu werden im ersten Teil den Begriff Corporate Governance kurz definieren und grundlegende Informationen zum Sarbanes-Oxley Act und seinen Anforderungen bezüglich des internen Kontrollsystems gegeben. Darauf aufbauend wird im nächsten Abschnitt die Bedeutung des Internen Kontrollsystems für den Bereich der Informationstechnologie hervorgehoben. In diesem Zusammenhang wird der Begriff IT-Governance definiert und erläutert, welche Bedeutung er für die Unternehmen heute hat. Zum besseren Verständnis werden zwei anerkannte Frameworks vorgestellt, die eine Orientierungshilfe für den Bereich IT-Governance bieten. Die Bestrebung der Unternehmen Dienstleistungen immer stärker zu zentralisieren, ist der Grund für den beständig wachsenden Markt des Outsourcings. Das Auslagern komplexer Prozesse und Strukturen birgt aber die Gefahr des Kontrollverlustes in sich. Deswegen werden, abgeleitet aus den Anforderungen für IT-Governance, die grundlegenden Prinzipien eines IT-Sourcing Governance Modells vorgestellt. Da der Sarbanes-Oxley Act Unternehmen und Wirtschaftsprüfungsgesellschaften gleichermaßen tangiert, wird im Anschluss eine Übersicht über prüfungsrelevante Aspekte einer IT-Prüfung gegeben. Basierend auf einer Studie werden die aktuellen Probleme von IT-Governance in China vorgestellt. Zum Schluss wird die aktuelle Diskussion über die Zukunft des Sarbanes-Oxley Act angesprochen und welche Fragen nach Meinung des Autors zukünftig weiter empirisch untersucht werden sollten.

2 Corporate Governance

In letzter Zeit stand der Begriff immer wieder im Zentrum heftiger Diskussionen. Kritik aufgrund, zu hoher Managementgehälter, Entlassungen, fehlendes Verantwortungsbewusstsein der Manager für ihre Angestellten zierten die Seiten der Informationsblätter. Der Ursprung dieser Diskussion liegt in der wirtschaftlichen Entwicklung Amerikas. Um die Beschaffung großen Mengen an Kapitals zu vereinfachen, organisierten sich viele Unternehmen als Kapitalgesellschaften. ² Durch die steigende Anzahl von Kapitalgesellschaften und gleichzeitiger mangelnder gesetzlicher Vorgaben wurde der Bedarf eines „Code of Best Practices“ nötig. Initiiert wurden solche Regelwerke oft von Börsen oder großen Pensionsfonds, die von den Unternehmen an denen sie beteiligt waren die Beachtung eigener Kodizes verlangten.³ Das Problem von Kapitalgesellschaften besteht in der Trennung von Eigentum und Kontrolle. Der Aktionär überträgt die Verantwortung für die Leitung des Unternehmens an Führungskräfte, die über spezielles Wissen verfügen. Im Gegenzug verlangt der Anteilseigner eine Beteiligung am Unternehmensgewinn. Doch wie kann der Aktionär sicher sein, dass das Management nur im Sinne des Aktionärs handelt und nicht nur seine eigenen Interessen vertritt. Für den Aktionär sind die Handlungen der Unternehmensführung nur schwer nachvollziehbar, da diese durch die Nähe zum Geschäft einen Informationsvorsprung besitzen. Corporate Governance sorgt für einen fairen Interessenausgleich zwischen den Anteilseignern und der Unternehmensführung. Es beinhaltet Mechanismen wie:⁴

• Anreizkompatiblen Vergütungsstrukturen
• Schaffung eines Marktes für Unternehmenskontrolle und Vergütung
• Organisation der Unternehmensführung
• Einflussmöglichkeiten weiterer Anspruchsgruppen (Stakeholder)
• Zusammensetzung von Überwachungs- und Kontrollgremien
• Interessenschutz der Eigenkapitalgeber

Den ersten staatlich initiierten Corporate Governance Kodex wurde in Großbritannien entwickelt der sogenannte „combined code“. Die anderen europäischen Staaten wie Frankreich, Italien, Belgien, Deutschland ⁵ etc. sind dem angelsächsischen Vorbild gefolgt und haben eigene Standards entwickelt. 1999 formulierte die OECD eigene Standards guter Unternehmensführung und –kontrolle. ICGN (International Corporate Governance Network) und die EASD (European Association of Securties Dealers) haben ähnliche Kodizes entwickelt. Im Folgenden wollen wir das amerikanische Gesetz den „Sarbanes-Oxley Act“ vorstellen, der den Verantwortungsbereich der Manager gegenüber den Aktionären deutlich verschärft hat.⁶

3 Sarbanes-Oxley Act

3.1 Geltungsbereich

Am 30. Juli 2002 wurde der Sarbanes-Oxley Act (SOA)⁷ durch den US-Kongress verabschiedet. Seinen Namen verdankt das Gesetz seinen beiden Autoren dem Vorsitzenden des USBankauschusses Paul S. Sarbanes und dem Abgeordneten Micheal G. Oxley. Der Geltungsbereich des Gesetzes beschränkt sich auf die Unternehmen, die der Aufsicht der Securitiesand Exchange Commission (SEC) unterstehen.⁸ Dazu gehören sämtliche an der US-Börse gelisteten Unternehmen oder Unternehmen, die anderweitig Wertpapiere in den USA handeln. ⁹ Diese Bedingung schließt auch ausländische Gesellschaften mit ein, deren Stammsitz nicht in den USA liegt (Foreign private Issuers), aber deren Aktien an der US-Börse gehandelt werden. Auch Tochterunternehmen der an der US-Börse gelisteten Unternehmen sind verpflichtet, dem Gesetz zu entsprechen.¹⁰ Die Unternehmen müssten sich schon von dem amerikanischen Markt zurückziehen und ihre Notierung löschen lassen, falls sie die Anforderungen nicht gewillt sind zu erfüllen. Dies ist aber nur unter der Bedingung möglich, falls weniger als 300 Personen mit dem Wohnsitz in den USA Aktien dieses Unternehmens halten.¹¹ Für viele Unternehmen bedeutet die Umstellung auf den SOA erhebliche Veränderungen, die eine Menge Kosten verursachen. Vor allem ausländische Firmen (foreign private issuer) haben Schwierigkeiten, den hohen Anforderungen gerecht zu werden. Kaum ein anderes Land hat so strenge Anforderungen an den Aktienmarkt wie die USA.¹² Darüber hinaus werden kleinen und mittelständischen Unternehmen Ausnahmen bei der Umstellung auf den Sarbanes-Oxley Act gewährt. Das neue System unterteilt die Unternehmen in sogenannte Microcap und Smallcap Unternehmen.¹³ Mircocap Unternehmen sind die kleinsten an der amerikanischen Börse gehandelten Unternehmen, die eine Marktkapitalisierung von unter einem Prozent ausmachen. Smallcap Unternehmen liegen zwischen einem und sechs Prozent Marktkapitalisierung. Das Advisory Committee schlägt vor, dass kleinen Kapitalgesellschaften Ausnahmen bei der Dokumentation, Implementierung und externen Prüfung eines Internen Kontrollsystems nach Section 404 zu gewähren sind, solange kein adäquates Konzept zur Beurteilung interner Kontrollsysteme von kleineren Unternehmen erarbeitet ist.¹⁴ Der entstehende Nutzen solcher Maßnahmen übersteigt oft bei weitem die Kosten. Die Ausnahmen sehen wie folgt aus:¹⁵¹⁶

• Unternehmen mit einem Umsatzvolumen von weniger als 125 Millionen USDollar sind ganz vom SOA 404 ausgenommen (Microcap-Segment)
• Unternehmen mit einem Umsatzvolumen zwischen 125 und 250 Millionen USDollar sind nur von den Vorschriften über die externe Prüfung des internen Kontrollsystems befreit (Microcap-Segment)
• Unternehmen mit weniger als 10 Millionen US-Dollar Umsatz sind ganz vom SOA 404 ausgenommen (Smallcap Segment)
• Unternehmen zwischen 10 und 250 Millionen US-Dollar Umsatz sind nur von den Vorschriften über die externe Prüfung des internen Kontrollsystems befreit (Smallcap Segment)

Zusätzlich werden die Fristen einzelner Kategorien immer wieder den Forderungen der Wirtschaft angepasst und nach hinten verschoben. ¹⁷¹⁸

[...]

1 Die Tabelle 12 im Anhang bietet eine Übersicht aktueller Gesetze und Regulierungen (Compliance)

2 Vgl. Becht/Bolton/Röell (2003); S. 5.

3 Vgl. Schwarz (2004); S. 23.

4 Vgl. Steiger (2001); S. 531.

5 Die Grundsatzkommission Corporate Governance 2000 definiert Coporate Governance als „Eine verantwortliche, auf langfristige Wertschöpfungausgerichtete Unternehmensleitung und -kontrolle.“

6 Vgl. Green (2005); S. 16.

7 Vgl. SOA (2002).

8 Diese Institution kontrolliert den Wertpapierhandel an der amerikanischen Börse

9 Vgl. Schreiter (2004); S. 3.

10 Vgl. Schmidt (2002); S. 25.

11 Vgl. Gruson/Kubicek (2003); S. 5.

12 Vgl. Glaum et al (2006); S. 25.

13 Vgl. KPMG (2006); S. 22.

14 Vgl. COSO (2006)

15 Vgl. KPMG (2006); S. 20.

16 Vgl. SEC (2006); S. 14 ff.

17 Vgl. KPMG (2005); S. 2.

18 Die aktuellen Fristen können abgerufen werden unter http://www.sec.gov/rules/final/2006/33-8760.pdf