Ende Juni soll es so weit sein: Mit dem Gesetz zur Modernisierung des Bilanzrechts (Bilmog) setzt die Bundesregierung die 8. EU-Richtlinie (im Volksmund "EuroSOX" genannt) in nationales Recht um. Doch die deutsche Wirtschaft zeigt sich davon noch wenig beeindruckt. Zu diesem Ergebnis kommt die in Kerpen ansässige Unternehmensberatung Exagon, die 174 IT-Manager in Firmen mit einem Umsatz von mehr als 200 Millionen Euro befragte.
Die Regelungen greifen für Geschäftsjahre, die nach dem 5. September 2008 begonnen werden. Betroffen sind Unternehmen von "öffentlichem Interesse". Dazu zählen neben den börsennotierten Gesellschaften auch Versicherungsvereine auf Gegenseitigkeit, Kliniken, Versorgungsunternehmen und Monopolbetriebe - zumindest nach dem vorliegenden Gesetzentwurf; aber der kann sich noch ändern.
Ein Drittel ist noch ahnungslos
Viele deutsche Unternehmen sind unsicher, wer eigentlich was bis wann zu leisten hat. Nur 19 Prozent der von Exagon befragten IT-Verantwortlichen rechnen sich definitiv dem Kreis derjenigen zu, die unter die Bilmog-Regelungen fallen. 26 Prozent vermuten, dass sie betroffen sein könnten. Jeder fünfte IT-Manager sieht sich in jedem Fall außen vor. Ein Drittel der Umfrageteilnehmer vermag noch nicht einzuschätzen, ob Aktion angesagt ist oder nicht.
Exagon warnt vor Blauäugigkeit - zumal eine ganze Reihe von Unternehmen ihre Fähigkeit, den rechtlichen Anforderungen zu genügen, als unzureichend beurteilt. Drei von fünf der Befragten schenken immerhin dem eigenen Revisionssystem Vertrauen. Hingegen bezweifeln 53 Prozent, dass ihr internes Kontrollsystem hohen Ansprüchen gerecht würde. Und nur jeder zweite glaubt, dass das hauseigene Risiko-Management nicht "EuroSox-fähig" sei.
Durchgängige Kontrollsysteme sind eher die Ausnahme als die Regel, so Andreas Herzig, Partner beim Prüfungs- und Beratungsunternehmen Deloitte. Selten seien diese Systeme auf die tatsächlichen Risiken des Unternehmens ausgerichtet. Und mit Ausnahme der wenigen deutschen Unternehmen, die dem Sarbanes-Oxley Act (SOX) unterworfen seien, fehle den meisten Betrieben ein internes Kontroll-Rahmenwerk, wie es das COSO-Modell biete.
Allerdings werde das EuroSOX-Thema nicht ganz so heiß gegessen wie gekocht, räumt Herzig ein. Das Gesetz fordere zwar von den betroffenen Unternehmen, dass sie im jährlichen Lagebericht Stellung zum internen Kontroll- und Risiko-Management-System nehmen. Es schreibe jedoch nicht dessen konkrete Ausprägungen vor. Der Druck komme hier weniger vom Gesetzgeber als vielmehr vom Aufsichtsrat und den Aktionären.