Mit dem Gesetz zur Modernisierung des Bilanzrechts (Bilmog) hat das Bundesministerium der Justiz (BMJ) nun die Forderungen der 8. EU-Richtlinie (vulgo "Eurosox") umgesetzt. Für die Mehrzahl der betroffenen Unternehmen bedeutet das: Ihr nächster Geschäftsabschluss muss sich in einigen Punkten deutlich transparenter darstellen als der letzte.

Die Berater wittern hier das Geschäft des Jahres. Doch jenseits des Hypes sollten sich vor allem börsennotierte Unternehmen, aber auch Kliniken, Versorgungsdienstleister und Monopolbetriebe ernsthaft mit dem Thema beschäftigen. Wie Exagon Consulting mit Sitz in Kerpen herausgefunden hat, tun sie das bislang eher lustlos. Dabei müssten vor allem die IT-Verantwortlichen allmählich mit den Vorbereitungen beginnen.

Der Schnelltest zeigt eine Tendenz an

Um die Unternehmen für das EuroSOX-Thema zu sensibilisieren, hat Exagon einen zwölf Fragen umfassenden "Schnelltest" entwickelt, der, so Geschäftsführer Joachim Fremmer, "tendenziellen Aufschluss" darüber geben soll, wie dringend und umfangreich der Handlungsbedarf des jeweiligen Unternehmens ist. Er sieht folgendermaßen aus:

1. Kennen Sie eigentlich die genauen Anforderungen von EuroSOX, und wissen Sie, ob sie auf Ihr Unternehmen zutreffen?

2. Gibt es bei Ihnen eine interne Projektgruppe für EuroSOX, in der konforme Finanzberichts-Prozesse geplant und umgesetzt werden?

3. Reichen Ihre bestehenden Revisionsverfahren für die Anforderungen von EuroSOX aus?

4. Herrscht innerhalb Ihrer IT ein ausreichendes Verständnis für die internen Kontrollverfahren und für die Prozesse zur Finanzberichterstattung?

5. Sind Ihre IT-Organisation und die IT-Prozesse ausreichend transparent, damit sich wirksame Kontrollen implementieren lassen?

6. Haben Sie bereits alle IT-Systeme identifiziert, die für die Erfüllung der EuroSOX-Anforderungen von Bedeutung sind?

7. Wurden diese IT-Systeme ausreichend daraufhin analysiert, welches Risikopotenzial sie bergen und wie damit umzugehen ist?

8. Wissen Sie genau, wo Sie in der IT die Controls für die verschiedenen Kontrollebenen (General IT Controls, Application Controls, Company Level Controls) setzen müssen?

9. Sind diese Controls inhaltlich bereits im Hinblick auf die Anforderungen definiert?

10. Haben Sie die Zuständigkeit und Qualifizierung der damit befassten Mitarbeiter genau genug geplant?

11. Bestehen präzise Verfahren zur Dokumentation und zum Testing aller Controls?

12. Sind die Controls hinsichtlich Lokalisierung, Wirksamkeit und Dokumentation detailliert mit dem Wirtschaftsprüfer abgestimmt?

Wie Exagon-Chef Fremmer einschränkt, kann der Test nur "initiale Bedeutung" haben. Er dürfe also nicht als umfassendes Bewertungsraster missverstanden werden. Allerdings könnten die IT-Verantwortlichen ihn nutzen, um intern und gegenüber den Wirtschaftsprüfern die richtigen Fragen zu stellen. (qua)