IT-Manager nehmen Euro-SOX noch zu wenig ernst

Die Wirtschaft nimmt die ab Ende Juni des Jahres gültigen Richtlinien Euro-SOX offenbar noch nicht ernst. So ist einem Großteil der Unternehmen noch nicht klar, ob sie selbst den damit verbundenen Pflichten unterliegen. Gleichzeitig fühlen sich viele Firmen auch nicht ausreichend darauf vorbereitet, legen aber trotzdem kein besonders großes Engagement an den Tag, um die gesetzlichen Anforderungen zu erfüllen. Zu diesen Ergebnissen kommt eine Studie der Unternehmensberatung exagon unter mehr als 174 IT-Managern in Firmen mit mehr als 200 Mio. Euro Umsatz.

Euro-SOX soll dazu dienen, durch eine höhere Transparenz wichtiger Unternehmensinformationen Finanzskandale wie in der Vergangenheit zu vermeiden. Diese Richtlinie betrifft alle Unternehmen von so genanntem öffentlichem Interesse mit einer Bilanzsumme von knapp 90 Mio. Euro Euro. Dazu gehören etwa die DAX-notierten Firmen ebenso wie Banken, Versicherungen, Energieversorger oder Monopolunternehmen.

Im Widerspruch dazu ordnet sich nach der Erhebung jedoch nur jeder zweite IT-Verantwortliche in den Kreis derer ein, die schon bald den Euro-SOX-Richtlinien gerecht werden müssen. Weitere 26 Prozent vermuten lediglich, dass sie dort einbezogen werden. Ein Drittel der Befragten hat allerdings auch wenige Wochen vor dem Termin der neuen Richtlinien noch keine genaue Einschätzung, ob sie auf den eigenen Betrieb anzuwenden sind. Jeder fünfte IT-Manager verneint diese Frage und sieht sich vollständig außerhalb der Verpflichtungen gegenüber den EU-Vorgaben.
 
Viele Unternehmen würden den rechtlichen Anforderungen nach eigener Einschätzung allerdings auch nicht entsprechen. Während zwar immerhin zwei von fünf der Befragten dem eigenen Revisionssystem großes Vertrauen schenken, glauben nur 47 Prozent, dass das interne Kontrollsystem hohen Ansprüchen gerecht werden könnte. Auch das Riskmanagement sieht jeder Zweite nicht auf einem Level, das den Anforderungen von Euro-SOX entsprechen würde. Dennoch bestehen derzeit nur geringe Bestrebungen, sich diesem Thema mit besonderem Engagement zu widmen, um die gesetzlichen Vorschriften fristgerecht zu erfüllen. Lediglich 28 Prozent befinden sich gegenwärtig in entsprechenden Projekten oder haben sie für die nächsten Monate geplant, der Rest sieht keinen Handlungsbedarf oder es ist noch keine Entscheidung (46 Prozent) über Maßnahmen erfolgt.

„Die Unternehmen scheinen sehr leichtfertig mit dem Thema Euro-SOX umzugehen“, interpretiert exagon-Geschäftsführer Joachim Fremmer die Zurückhaltung bei den Planungen. Zudem glaubt er, dass seitens der Firmen die Wirksamkeit der Revisions- und Kontrollsysteme zu optimistisch eingeschätzt wird und demzufolge ein größerer als von den Firmen erwarteter Handlungsbedarf besteht. Er weist zur Begründung auf ein weiteres Ergebnis der Studie, nach der nur jeder zehnte Verantwortliche dem IT Service Management (ITSM) bei der Bewältigung der Euro-SOX-Anforderungen eine wesentliche Rolle beimisst. „Offenbar ist noch zu wenig bekannt, dass auf die Informationssicherheit und Dokumentation der IT-Infrastruktur samt ihrer Prozesse ein besonderes Augenmerk gelegt wird“, urteilt Fremmer.

Außerdem komme dem ITSM deshalb eine herausragende Bedeutung zu, weil es in alle Kontrollsysteme hineinspiele. Er verweist zudem darauf, dass Euro-SOX zur Pflicht macht, dass bei der Bewertung durch Abschlussprüfer „internationale Standards“ anzulegen sind. „Diese Anforderung läuft letztlich darauf hinaus, dass die Unternehmen in Richtung einer Zertifizierung der Informationstechnik etwa durch ISO 27001 oder ISO/IEC 20000 denken müssen“, urteilt der Unternehmensberater von exagon.