EuroSOX: Sind Sie vorbereitet?

19.02.2008
Von Andrea Grün
In fünf Monaten ist die EU-Richtlinie nationales Recht - höchste Zeit, dass sich die IT darauf einstellt.

Nur wenige Unternehmen wissen konkret, was die 8. EU-Richtlinie (vulgo "EuroSOX") für sie bedeutet. Dabei soll sie bereits Ende Juni dieses Jahres auch in Deutschland Gesetz werden. Kapitalgesellschaften müssen sich deshalb schnellstens einen Überblick darüber verschaffen, was auf sie zukommt. Welche Regelungen greifen wann? Welche Ansprüche stellt der Wirtschaftsprüfer beim nächsten Auditing an die Bilanzierung? Und was muss die IT jetzt tun, um für EuroSOX gewappnet zu sein?

Was ist EuroSOX und worauf zielt es ab?

Bereits 2002 reagierte der US-Gesetzgeber mit dem Sarbanes-Oxley Act (SOX) auf die Bilanzskandale in den Vereinigten Staaten. Die von der Europäischen Union (EU) verabschiedete 8. EU-Richtlinie erfüllt im Prinzip denselben Zweck. Ihr Ziel besteht darin, das Prüfwesen für den europäischen Markt zu harmonisieren und die Abschlussprüfungen in der europäischen Gemeinschaft mit denen in den USA gleichzustellen. Sie ist seit dem 29. Juni 2006 in Kraft; spätestens am 29. Juli 2008 muss sie in nationales Recht umgewandelt sein.

Daraus ergeben sich für alle Kapitalgesellschaften innerhalb der EU, ob sie nun an der Börse notiert sind oder nicht, ähnliche Auswirkungen, wie SOX sie seinerzeit mit sich brachte. Unter anderem werden EU-weit verschärfte Regeln in Bezug auf die Dokumentation der IT- und TK-Infrastruktur greifen. Deshalb muss sich vor allem die IT so aufstellen, dass alle relevanten Daten jederzeit verfügbar sind und Regelverstöße schon im Vorfeld erkannt werden können.

Welche Regeln betreffen direkt die IT?

Zum einen muss die IT regelkonforme Systeme bereitstellen, zum anderen lässt sich die Compliance nur mit Hilfe der IT-Systeme durchsetzen. In Deutschland haben die Unternehmen noch ein halbes Jahr Zeit, die Dokumentation für alle abschlussnahen Prozesse zu erstellen sowie ein Risiko-Management und die zugehörigen Kontrollsysteme einzuführen. Nur ein halbes Jahr!

Die Verantwortlichen in den Unternehmen müssen sich überlegen, wo die Daten entstehen, mit welchen Applikationen sie unterstützt werden und auf welchen Plattformen diese Anwendungen laufen. Die IT-Landschaft, die dahinter liegenden Prozesse (Firewall-Sicherung, Updates, Zugriffe, Berechtigungen etc.) sowie die Infrastruktur sind im Detail zu betrachten.

Dass die Richtlinien eingehalten werden, muss auch im Zusammenspiel unterschiedlicher komplexer Systeme gewährleistet sein. Es ist möglich, dass Berechtigungen innerhalb eines Systems oder bei systemübergreifenden Prozessen zu SoD-Konflikten (Segregation of Duties, Aufgabentrennung oder Vieraugenprinzip) führen. Dabei müssen vor allem die Prozesse unter die Lupe genommen werden, die externe Geldflüsse regeln, zum Beispiel P2P (Purchase to Pay) oder O2C (Order to Cash).

Die wichtigsten Anforderungen von EuroSOX an die IT sind:

  • Steuerung der Infrastruktur, der Organisation, der Applikationsentwicklung und Pflege,

  • Kontrolle und Steuerung der logischen Sicherheit (Berechtigungswesen), der physikalischen Verbindungen und der umfeldbedingten Sicherheit,

  • Planung für den langfristigen Erhalt des Betriebs und Erstellung eines Notfallkonzepts,

  • Überwachung der Systempflege und Weiterentwicklung, der Verarbeitungsdaten, des täglichen Geschäfts sowie der Projekte bis hin zur

  • Archivierung aller relevanten Daten und Dokumente.

    Checkliste bis zum Stichtag

    Welche vorbereitenden Maßnahmen lassen sich heute schon treffen- ohne dem deutschen Recht vorzugreifen?
    1. Beschäftigung mit den Themen Governance und Compliance.

    2. Compliance-Team einrichten.

    3. Einführung von Projekt-, Risiko- und Qualitäts-Management.

    4. Kritische Betrachtung beziehungsweise Einführung von Berechtigungskonzept und Change-Management.

    5. Analyse, gegebenenfalls Aufbau, Verbesserung oder Anpassung der bestehenden IT-Prozessstrukturen.

    6. Ausbau der IT-Security.

    7. Marktsondierung im Hinblick auf unterstützende Tools und Hilfsmittel.

Was droht säumigen Unternehmen?

Alle Kapitalgesellschaften müssen ab Juli 2008 ein IT-Sicherheitskonzept vorweisen. Bei Versäumnissen haften die Geschäftsführer, es drohen Sanktionen von Banken und Versicherungen. Für grobe Fahrlässigkeit, zum Beispiel Delegation von Aufgaben oder Projekten ohne Review, Vernachlässigung von Überwachungspflichten oder fehlende Security- und Notfallkonzepte, muss der Geschäftsführer oder Vorstand in vollem Umfang geradestehen.

Werden die Bestimmungen nicht eingehalten, können Haftungsklagen (analog zum KonTraG), Marktzugangsbarrieren (wie nach SOX) oder Schwierigkeiten bei der Kreditaufnahme (siehe Basel II) die Folge sein. Vor allem aber werden die Wirtschaftsprüfer das Testat verweigern.

Welche Bestimmungen sind "Commodity"?

Die meisten ERP-Systeme, beispielsweise die von SAP, haben bereits Sicherheitskonzepte integriert. Zudem kann die Mehrzahl der Unternehmen eigene Sicherheitsvorkehrungen vorweisen. Rudimentäre Security-Policies wie Logfiles, regelmäßige systemgesteuerte Aufforderung zur Passwortänderung oder Anweisungen zum Umgang mit Passwörtern sowie mit internen Daten und Informationen sind ebenfalls gang und gäbe. Dasselbe gilt für Berechtigungskonzepte mit zugehörigen Genehmigungs- und Freigabeprozessen.

Worauf müssen die CIOs besonders achten?

Der CIO und der Compliance-Manager sollten gemeinsam festlegen, welche Prozesse wann zu automatisieren sind. Enge Zusammenarbeit zwischen IT, Prozessverantwortlichen und Compliance-Team ist unerlässlich.

Möglichkeiten der Daten- und Prozessmanipulation müssen systemübergreifend unterbunden werden. Nur so lässt sich die Garantie dafür übernehmen, dass die zu schützenden Informationen vor unberechtigtem Zugriff sicher sind und kein Anwender in der Lage ist, einen Cashflow-auslösenden Prozess in alleiniger Verantwortung auszuführen. Beispielsweise sollte er nicht die Bankverbindung im Kreditor ändern und die Zahlung freigeben können. Zumindest muss diese Tatsache in den Prozessen definiert und dokumentiert sein ("Mitigations").

Der IT-Verantwortliche sollte sich auch die IT-eigenen Prozesse anschauen. Nicht zu vernachlässigen sind hier die Softwarewartung, die Einführung neuer Software, das Transportwesen und die Behandlung von Change Requests im Hinblick auf die Abläufe, die Dokumentation und die jeweiligen Berechtigungen.

Wie lassen sich Defizite feststellen?

Um herauszufinden, welche Unternehmensprozesse von Compliance-Regeln betroffen und wie sie zu behandeln sind, müssen diese Regeln zunächst einmal definiert sein. In diesem Zusammenhang sind auch die Verfahrensweisen für den Zugriff auf besonders schützenswerte Daten festzulegen. Parallel ist ein User-Konzept für den Notfall zu erstellen. Daran schließt sich die Untersuchung des unternehmensweiten Berechtigungskonzepts im Hinblick auf Vieraugenprinzip (SoD) oder kritischen Zugriff an. Diese Untersuchung gibt unmittelbar Aufschluss über potenzielle Schwachstellen.

Die Anforderungen, die sich daraus ergeben, lassen sich auf die manuellen und IT-gestützten Abläufe herunterbrechen. Prozesse und Kontrollen werden dementsprechend modelliert und dokumentiert. Zudem sind Schulungskonzepte zu erarbeiten. Darauf folgen dann die Integration sowie - nicht zu vergessen - regelmäßige Audits.

Projekt-, Risiko-, Qualitäts- und Change-Management sind unerlässlich. Sie sollten durch ein Dokumenten-Management unterstützt werden, um alle Schritte und Entscheidungen erstens begründen und zweitens nachverfolgen zu können.

Helfen können Beratungsunternehmen, die Know-how in Sachen GRC (Governance Risk & Compliance) aufgebaut haben. Sinnvoll ist auch die Unterstützung durch einen Rechtsanwalt, der sich mit dem Thema auskennt. Das tut zum Beispiel Michael Schmidl von der Münchner Kanzlei Baker & McKenzie, dessen Fachwissen auch in diesen Artikel eingeflossen ist.

An welcher Ecke sollte man anfangen?

Die Unternehmen müssen vermeiden, dass sie an unterschiedlichen Stellen dieselben Aufgaben erfüllen. Ein gemeinsamer, unternehmensweiter Ansatz hilft, gleiche Arbeitsschritte zu standardisieren. Die Empfehlung lautet: "Benutze, was vorhanden ist, und starte mit dem, was unbedingt erforderlich ist!"

Im Hinblick auf EuroSOX muss das Unternehmen global betrachtet werden. Jeder einzelne Bereich ist betroffen, trägt deshalb Mitverantwortung und hat folglich einen Beitrag zur Umsetzung zu leisten. Aus diesem Grund ist es nur gerecht, auch die Kosten auf das gesamte Unternehmen umzulegen, sie also nicht dem IT-Bereich allein anzulasten. (qua)