Der Sarbanes-Oxley Act (SOA), im Juli 2002 vom US-Kongress als Reaktion auf eine Reihe von Finanzskandalen und Unternehmenszusammenbrüchen verabschiedet, hat auf eine ganze Reihe deutscher Aktiengesellschaften erhebliche Auswirkungen. Das Gesetz schreibt vor, wie Konzerne die Verlässlichkeit ihrer Kapitalmarktinformationen und die Wirksamkeit ihrer internen Kontrollen sicherzustellen haben, um das Vertrauen der Anleger in die Unternehmen und Kapitalmärkte wieder zu stärken. Die Vorschriften des Sarbanes-Oxley Act betreffen alle an den US-Börsen gelisteten Unternehmen sowie Tochtergesellschaften von Unternehmen, deren Anteile dort gehandelt werden. PricewaterhouseCoopers (PwC) hat zahlreiche Projekte im Zusammenhang mit der Umsetzung der Vorschriften durchgeführt und die hieraus gewonnenen Erfahrungen in einem Leitfaden zusammengefasst, welcher aktuell im Fachverlag Schäffer-Poeschel erschienen ist: Sarbanes-Oxley Act - Professionelles Management interner Kontrollen. Das Buch befasst sich neben Erläuterungen d es regulatorischen Umfelds vor allem mit den Auswirkungen des SOA auf die Unternehmen sowie mit der Durchführung von Projekten zur Analyse und Verbesserung interner Kontrollsysteme. Zahlreiche Praxisbeispiele namhafter deutscher Unternehmen zeigen auf, wie die Vorschriften des SOA in Deutschland umgesetzt werden. "Unternehmen, die die Anforderungen des SOA erfüllen, haben im Hinblick auf die von internationalen Kapitalmärkten geforderte Transparenz und Vergleichbarkeit von Unternehmensinformationen sicherlich einen Wettbewerbsvorteil", so Christof Menzies, einer der Autoren des Buches und Partner im Bereich PwC Advisory.
Section 302 - Kontrollen und Verfahren für korrekte Veröffentlichungen
Vorrangig verfolgt der Sarbanes-Oxley Act (SOA) in Bezug auf das interne Kontrollsystem zwei Ziele, die in den Abschnitten 302 und 404 des Gesetzes dargelegt sind: Nach Section 302 (Disclosure Controls and Procedures) sind Chief Executive Officer (CEO) und Chief Financial Officer (CFO) eines Unternehmens dazu verpflichtet, sicherzustellen, dass alle relevanten Meldungen eines Unternehmens korrekt erfasst, verarbeitet, gesammelt und letztendlich fristgerecht veröffentlicht werden. "CEO und CFO übernehmen damit die Verantwortung für die Einrichtung und Pflege eines internen Kontrollsystems. Sie müssen in einer eidesstattlichen Erklärung bestätigen, dass die finanzielle Situation des Unternehmens korrekt und vollständig dargestellt wurde", erläutert Christof Menzies. Im Unterschied zu dem bislang in Deutschland geltenden Gesetz zur Kontrolle und Transparenz im Unternehmen (KonTraG) bezieht sich die Section 302 des SOA nicht nur auf bestandsgefährdende, sondern auf alle veröffentlichungspflichtigen Informationen.
Section 404 - Internes Kontrollsystem für die Finanzberichterstattung
Section 404 des SOA (Internal Control over Financial Reporting) hat weitreichende Konsequenzen für das Management eines Unternehmens, da die Wirksamkeit des internen Kontrollsystems von einem unabhängigen Abschlussprüfer testiert werden muss - im Gegensatz zu den Vorschriften der Section 302. Der Aufbau des internen Kontrollsystems für die Finanzberichterstattung ist im Rahmen der Umsetzung der SOA-Vorschriften mit dem größten Aufwand für die Unternehmen verbunden, so das Fazit des Leitfadens von PwC.
Ein den Anforderungen der Section 404 angemessenes internes Kontrollsystem beinhaltet zum Beispiel folgende Kontrollen: die Überwachung unregelmäßiger und unsystematischer Vorgänge, die Auswahl und Anwendung angemessener Rechungslegungsstandards sowie Vorbeugung, Identifizierung und Nachweis von Unterschlagungen. Das Management muss die Wirksamkeit der eingerichteten Kontrollen zur Finanzberichterstattung jährlich bewerten und darlegen sowie durch Beweismaterial und Dokumentationen belegen.
E.ON - positive Ergebnisse durch die Umsetzung des SOA
Der Energiekonzern E.ON zum Beispiel hat im Frühjahr 2003 die Umsetzung der Vorgaben der Section 404 eingeleitet - innerhalb von sechs Phasen soll zum Ablauf des Geschäftsjahres 2004 eine konzernweite Dokumentation bereits bestehender interner Kontrollen sowie die Einführung gegebenenfalls zusätzlich erforderlicher Kontrollinstrumente abgeschlossen sein. "Im Rahmen der Umsetzung der Vorgaben des SOA sehen wir für E.ON auch positive Ergebnisse, die wir zukünftig nutzen können, so Dr. Michael Holtmann, Bereichsleiter Corporate Audit bei der E.ON AG. "Durch die interne Kontrolle der Finanzberichterstattung werden Fehler bereits am Ursprung vermieden, zeitaufwändige nachträgliche Fehlerkorrekturen sind somit überflüssig. Zudem hat das Management nun einen noch besseren Überblick über die Geschäftsprozesse und Optimierungspotenziale".
SOA erfordert spezielle Software-Unterstützung
Der Aufbau eines internen Kontrollsystems zur Finanzberichterstattung ist in großen Konzernen nicht ohne Unterstützung einer Software möglich - so das Fazit der Praxiserfahrungen von PwC. Um eine lückenlose und unternehmensweite Dokumentation eines internen Kontrollsystems zu gewährleisten, hat die SAP AG mit Unterstützung von PwC ein eigenes System mit dem Namen Management of Internal Controls (MIC) entwickelt. "Der Aufbau von MIC hat deutlich gezeigt, dass Unternehmen für eine Umsetzung der Vorgaben des SOA nicht bis zur letzten Minute warten sollten", erläutert Luka Mucic, Director Corporate Risk Management bei SAP. "Ein derartiges Projekt für ein Unternehmen der Größe SAPs wird nach unseren Erfahrungen mindestens ein Jahr in Anspruch nehmen".
SEC verlängert Fristen zur Umsetzung der SOA-Vorgaben
Die amerikanische Finanzaufsicht SEC (Securities and Exchange Commission) hat mittlerweile die Fristen zur Umsetzung der SOA-Vorgaben für Unternehmen verlängert. Unternehmen, die zwar an US-Börsen gelistet sind, ihren Hauptsitz aber nicht in den Vereinigten Staaten haben, müssen die Anforderungen für Geschäftsjahre erfüllen, die am oder nach dem 15. Juli 2005 enden.