computerwoche.de
Newsletter  |   CW-TV  |   Bilder-Galerien  |   Blogs & Forum  |   CW mobil  |   RSS  |   Aboshop
 
Premium/Vorteile 


Compliance & Recht
IT-Compliance

Wieso ist EuroSOX eigentlich ein IT-Problem?

23.09.2008
Autor(en): Jürgen Obermann, CEO der GFT Inboxx GmbH in Hamburg..
Die IT-Abteilungen sollten sich nicht um Gesetzestexte kümmern, sondern darum, generische Voraussetzungen für alle Compliance-Themen zu schaffen.

Am 29. Juni dieses Jahres hat die Bundesregierung die unter dem Namen "EuroSOX" bekannt gewordenen 8. Richtlinie der Europäischen Kommission in nationales Recht umgesetzt. In letzter Zeit konnte man in der Presse und verschiedenen Firmenveröffentlichungen immer wieder lesen, dass mit der Einführung von EuroSOX auch drastische Vorgaben für die Unternehmens-IT zu erfüllen seien. Doch weder im EU-Richtlinientext noch im kürzlich verabschiedeten Bundesgesetz wird ein "IT-System" erwähnt. Vergebens sucht man dort nach konkreten Vorgaben zur IT.

Deshalb ist der durch die Berichte ausgelöste aktuelle Hype bezüglich "EuroSOX-Compliance der IT" offensichtlich völlig überzogen. Die Unternehmen waren hierzulande schließlich - nach den einschlägigen Vorschriften des Handelsgesetzbuches - schon immer verpflichtet, Jahresabschlüsse in geordneter Form zu erstellen und prüfen zu lassen. Global agierende Konzerne müssen sich unter anderem streng an die "International Financial Reporting Standards" (FRS) oder die "United States Generally Accepted Accounting Principles" (US-GAAP) halten, wenn sie international gültige Vorschriften einhalten wollten.

Der EuroSOX-Hype - ausgelöst von Beratern und Herstellern

Jürgen Obermann, Inboxx: Die IT hat keine Chance, jemals einen vollständigen Überblick zu bekommen.
Jürgen Obermann, Inboxx: Die IT hat keine Chance, jemals einen vollständigen Überblick zu bekommen.

Sicher ergeben sich aus den EuroSOX-Gesetzen indirekte Anforderungen an die IT. Sie leiten sich aus den Anforderungen her, welche die Wirtschaftsprüfer erfüllen müssen. Es handelt sich dabei meist um generelle Anforderungen an die Qualität der Systeme, Prozesse und Datenhaltung, wie sie bereits seit Jahren vorgeschrieben sind. Compliance ist für die IT ohne Frage ein wichtiges Thema, weil letztlich so gut wie alle Prozesse eines Unternehmens mit IT abgebildet, umgesetzt und gesteuert werden. Deshalb stehen hinter den Compliance-Richtlinien in der Regel durchaus definierte Anforderungen an die IT. (Siehe auch den COMPUTERWOHE-Quickcheck zum EuroSOX-Knowhow.)

EuroSOX allerdings ist ein schönes Beispiel dafür, dass - ausgelöst durch den Hype, den Beratungsfirmen und Hersteller derzeit um das Thema machen - das Pferd mit viel Aktionismus von der falschen Seite aufgezäumt wird.


Inhalt dieses Artikels
Seite 1: Wieso ist EuroSOX eigentlich ein IT-Problem?
Seite 2: Zu viele Compliance-Regeln verhindern den Überblick
Seite 3: Was die IT für EuroSOX leisten kann - und muss
Seite: 1 2 3 weiter
Mehr zum Thema:
EuroSOX, IT-Compliance, US-GAAP, GdPdU

Drucken Empfehlen Kommentar als PDF in mein Archiv
Link setzen bei:
Wie geht das?
Leserkommentare 
(1 Beitrag), 
Kommentieren
HerrB
Sie schreiben: "Die erste Aufgabe ist sehr stark interpretierbar. Im Zweifelsfall wird das Unternehmen deshalb etwaige Schwachstellen im Audit oder in einer Prüfung wegdiskutieren können." Wie lässt sich die Blöße, hier keine belastbaren Antworten auf berechtigte Frage geben zu können, wegdiskutieren? Zum Beispiel: ?Wer alles ist auf das Verzeichnis ?Geschäftsbericht 2008? berechtigt?" Es fehlen mir die Argumente. Oder: Von wem kam die Genehmigung, einem Benutzer für das Verzeichnis "Gehaltsabrechnung" Schreibrechte zu erteilen? Ist die Nachvollziehbarkeit aller Abläufe bei der Rechtevergabe garantiert? Bleibt es unentdeckt, wenn unter Umgehung der definierten Prozesse Rechte vergeben wurden? Ich würde Schwachstellen im Berechtigungsmanagement nicht kleinreden wollen. Ereignisse auf Grund von Sicherheitsverstößen auf diesem heiklen Gebiet führten vermehrt in letzter Zeit zu Schlagzeilen und hohem finanziellen Schaden. Vom Image- und Vertrauensverlust z. B. bei Banken ganz zu schweigen. zum Beitrag


Beitrag schreiben

Noch kein Forums-Mitglied?
Dann gleich hier anmelden.

COMPLIANCE: CW-REDAKTEURE EMPFEHLEN
Stiefkind Datenschutz Stiefkind Datenschutz Viele IT-Verantwortliche verstoßen täglich gegen Gesetze, sagt der Arbeitsrechts- und Datenschutz-Experte Peter Wedde. Wehe, wenn der Prüfer kommt! weiter
Zeitbombe Bildrechte Zeitbombe Bildrechte Wer fremde Fotos oder Grafiken zur Illustration von Internet-Präsenzen nutzen, sollten peinlich auf die Bildrechte achten. Er könnte sonst draufzahlen ... weiter
Die Sicht des Juristen Die Sicht des Juristen Zu den Compliance-Pflichten der Unternehmen gehört unbedingt auch ein IT-Risiko-Management. Aber was fordern Gesetzgeber und Aufsichtsbehörden? weiter
ISO-konformes Itil V3 ISO-konformes Itil V3 Wer sich mit der ISO/IEC-Norm 20 000 beschäftigt, hat die Voraussetzungen für Version 3 der IT Infrastructure Library (Itil V3) zum Großteil erfüllt ... weiter
Das neue Urheberrecht Das neue Urheberrecht Was müssen Unternehmen nach der Änderung des Gesetzes zum Schutz des geistigen Eigentums beachten? - Das Wichtigste im Überblick. weiter
Stiefkind Datenschutz Zeitbombe Bildrechte Die Sicht des Juristen ISO-konformes Itil V3 Das neue Urheberrecht
MEHR ZUM THEMA COMPLIANCE & RECHT
  • Artikel
  • Whitepaper
FEATURED LINKS

KOSTENLOSE NEWSLETTER VON COMPUTERWOCHE
Nachrichten morgens
Whitepaper
Nachrichten mittags
CW-Mittelstand
Highlights der Woche
Hardware
Neu: SAP-Newsletter
Software
Job + Karriere
Open-Source
Stellenmarkt
Produkte + Techn.
Freiberufler
Security