IT-Schwächen gefährden Controlling-Erfolg

IT macht Unternehmen verwundbar

21. September 2010
Werner Kurzlechner lebt als freier Journalist in Berlin und stellt regelmäßig Rechtsurteile vor, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.
Viele Unternehmen setzen unrealistische Implementierungsfristen an oder versäumen die Aktivierung von automatisch generierten Kontrollberichten. Das führt dazu, dass die hauseigene IT mittlerweile zu einer veritablen Schwachstelle im Controlling geworden ist.

Die Compliance-Vorschriften an Großunternehmen werden seit Jahren rigider – und die Firmen haben sich mittlerweile gut darauf eingestellt. Die meisten Schwierigkeiten macht inzwischen die Kontrolle der internen IT-Schwächen.

Wie dereinst Achill tauchen die Firmen gleichsam in ein Unverwundbarkeitsbad. Ebenso wie der antike Held lassen sie dabei aber offenbar eine Stelle bedeckt, die Angriffsfläche bietet. Das zeigt eine Studie von Audit Analytics unter US-amerikanischen Unternehmen mit einem Streubesitz von mehr als 75 Millionen US-Dollar. Demnach gelang es den Firmen im Finanzjahr 2009 zwar, auch ihre IT-Schwächen besser zu kontrollieren. Jedoch hält dieser Posten nicht Schritt mit den Auditing-Fortschritten insgesamt.

Audit Analytics beschreibt hier einen Effekt des Sarbanes-Oxley-Acts – also des US-amerikanischen Pendants zu Basel II in Europa. Das 2002 als Reaktion auf diverse Bilanzskandale verabschiedete Gesetz zwingt Aktiengesellschaften zu wirksamerem internen Controlling und zur jährlichen Kontrolle durch Wirtschaftsprüfer. Laut Studie sank in der Folge der Anteil ineffektiver Kontrollen seit 2004 insgesamt von 15,8 auf 3,3 Prozent – und das stetig.

Der Anteil der von der IT verursachten Reporting- und Controlling-Schwächen ging in diesem Zeitraum ebenfalls zurück: von 3,6 auf 0,9 Prozent. Was auf den ersten Blick wie eine vernachlässigbare Größe wirken mag, ist in Wirklichkeit das Gegenteil. Beide Entwicklungen zusammen betrachtet führen laut Audit Analytics dazu, dass mittlerweile fast jede dritte Schwachstelle von der IT verursacht ist. 2004 war es nicht einmal jede vierte.