Compliance-Vorgaben
Deutsche Firmen unterschätzen SOX
Die europäische SOX Richtlinie soll ab Ende des Monats mehr Transparenz bei Unternehmensinformationen bringen. Doch die meisten Firmen und ihre IT-Manager sind noch nicht, oder nur unzureichend, auf ihre Pflichten aus der Richtlinie vorbereitet.
Mit SOX ist keineswegs die amerikanische Baseballmannschaft der Boston Red Sox gemeint, auch wenn mancher IT-Verantwortliche das wohl denken mag.
Der Name bezieht sich auf den Sarbanes-Oxley Act (SOX), der 2002 vom US-Kongress eingeführt wurde, um durch mehr Transparenz der Unternehmen das Vertrauen in Wertpapiere nach dem Platzen der Dotcom-Blase wieder herzustellen.
Ab Ende Juni gilt auch bei uns die Euro-SOX Richtlinie für alle Firmen öffentlichen Interesses mit einer Bilanzsumme von rund 90 Millionen Euro. Dazu zählen neben den DAX-Unternehmen auch viele Banken, Versicherungen, Energieversorger und Monopolisten.
Doch laut einer Umfrage der Unternehmensberatung Exagon glaubt nur knapp jeder zweite IT-Verantwortliche, dass auch er der Euro-SOX Richtlinie gerecht werden muss. Die Hälfte davon glaubt außerdem, dass sie bei der Umsetzung höchstens mit einbezogen werden.
Die restlichen knapp 60 Prozent haben auch kurz vor der Einführung entweder noch keine Einschätzung, ob auch sie Euro-SOX anwenden müssen, oder gehen gleich davon aus, nicht betroffen zu sein. »Die Unternehmen scheinen sehr leichtfertig mit dem Thema Euro-SOX umzugehen«, interpretiert Exagon-Geschäftsführer Joachim Fremmer die Zurückhaltung bei den Planungen. Nur die Hälfte der Verantwortlichen geht davon aus, dass ihre internen Systeme auch SOX erfüllen.
Dabei wissen viele Firmen um die Schwächen ihrer eigenen Revisions- und Kontrollsysteme. Obwohl knapp 40 Prozent der 174 befragten IT-Verantwortlichen ihrem eigenen Revisionssystem und Risikomanagement großes Vertrauen entgegenbringen, geht knapp die Hälfte davon aus, dass die eigenen Systeme den hohen internationalen Ansprüchen von SOX nicht gerecht würden. Der Handlungsbedarf ist also oft größer, als von den Unternehmen erkannt.
So gesteht auch nur jeder zehnte Verantwortliche dem IT-Service-Management (ITSM) eine wesentliche Rolle bei der Umsetzung der Euro-SOX Anforderungen zu.
»Offenbar ist noch zu wenig bekannt, dass auf die Informationssicherheit und Dokumentation der IT-Infrastruktur samt ihrer Prozesse ein besonderes Augenmerk gelegt wird«, urteilt Fremmer. ITSM spielt der Umsetzung von Euro-SOX eine wichtige Rolle, da es in alle Kontrollsysteme mit hineinspielt.
