Ende des laufenden Monats ist es soweit: Die EuroSOX-Richtlinien werden nationales Gesetzt. Doch die deutsche Wirtschaft zeigt sich davon weitgehend unbeeindruckt. Einem Großteil der Unternehmen ist offenbar noch nicht klar, ob sie selbst den damit verbundenen Pflichten unterliegen. Entsprechend wenig Engagement legen die deutschen Unternehmen an den Tag, um die gesetzlichen Anforderungen zu erfüllen - obschon sie auf Nachfrage einräumen, schlecht vorbereitet zu sein. Zu diesen Ergebnissen kam die in Kerpen ansässige Unternehmensberatung Exagon, indem sie 174 IT-Manager in Firmen mit einem Umsatz von mehr als 200 Millionen Euro befragte.
Die 8. EU-Richtlinie, die unter dem Kürzel EuroSOX bekannt wurde, soll für mehr Transparenz hinsichtlich wichtiger Unternehmensinformationen sorgen und auf diese Weise helfen, Finanzskandale zu verhindern. Von den Regelungen betroffen sind alle Unternehmen von "öffentlichem Interesse" mit einer gewissen Mindestbilanzsumme (zirka 90 Millionen Euro). Dazu gehören unter anderen die DAX-notierten Firmen sowie Banken, Versicherungen, Energieversorger oder Monopolunternehmen.
Ein Drittel ist noch ahnungslos
Angesichts dieser gravierenden Auswirkungen ist es doch erstaunlich, dass sich nur 19 Prozent der von Exagon befragten IT-Verantwortlichen definitiv dem Kreis derjenigen zurechnen, die den EuroSOX-Richtlinien gerecht werden müssen. 26 Prozent vermuten, dass sie ebenfalls betroffen seien, wissen es aber nicht genau. Jeder fünfte IT-Manager sieht sich außen vor. Ein Drittel der Umfrageteilnehmer kann offenbar auch wenige Wochen vor dem Stichtag noch nicht einschätzen, ob der eigene Betrieb den neuen Richtlinien unterliegt oder nicht.
Das ist umso bedenklicher, als eine ganze Reihe von Unternehmen ihre Fähigkeit, den rechtlichen Anforderungen zu genügen, als unzureichend beurteilen. Drei von fünf der Befragten schenken immerhin dem eigenen Revisionssystem Vertrauen. Hingegen bezweifeln 53 Prozent, dass ihr internes Kontrollsystem hohen Ansprüchen gerecht würde. Und nur jeder zweite glaubt, dass das hauseigene Risiko-Management den EuroSOX-Vorgaben nicht entspricht.
Kontrollsysteme zu optimistisch bewertet
Wer nun erwartet, dass die Unternehmen mit Feuereifer daran arbeiten würden, diese Lücken zu schließen, sieht sich getäuscht. Der Enthusiasmus für dieses Thema lässt zu wünschen übrig. Nur 28 Prozent der Befragten arbeiten an entsprechenden Projekten oder planen sie zumindest für die nächsten Monate. 46 Prozent haben noch keine Entscheidung über derartige Maßnahmen getroffen. Der Rest sieht keinen Handlungsbedarf.
"Die Unternehmen scheinen sehr leichtfertig mit dem Thema EuroSOX umzugehen", interpretiert Exagon-Geschäftsführer Joachim Fremmer die Umfrageergebnisse. Aus seiner Sicht schätzen viele Firmen die Wirksamkeit der Revisions- und Kontrollsysteme allzu optimistisch ein. In Wirklichkeit sei der Handlungsbedarf größer, als die Befragten annähmen.
Es läuft auf ISO 20000 oder 27001 hinaus
Um seine Einschätzung zu belegen, verweist Fremmer auf ein weiteres Ergebnis der Studie: Demnach misst nur jeder zehnte Verantwortliche dem IT-Service-Management (ITSM) eine wesentliche Rolle bei der Bewältigung der EuroSOX-Anforderungen bei. Der Exagon-Geschäftsführer hält das für einen Fehler: Offenbar sei noch zu wenig bekannt, dass im Rahmen von EuroSox besonderes Augenmerk auf die Informationssicherheit und Dokumentation der IT-Infrastruktur und ihrer Prozesse gelegt werde. Zudem verlange die EU-Richtlinie, dass die Abschlussprüfer ihre Bewertung nach "internationalen Standards" vornähmen: "Diese Anforderung läuft letztlich darauf hinaus, dass die Unternehmen in Richtung einer Zertifizierung der Informationstechnik denken müssen - etwa durch ISO 27001 oder ISO/IEC 20000." (qua)