IT-Compliance

Wieso ist EuroSOX eigentlich ein IT-Problem?

23.09.2008

von Jürgen Obermann (CEO der GFT Inboxx GmbH in Hamburg. )

Die IT-Abteilungen sollten sich nicht um Gesetzestexte kümmern, sondern darum, generische Voraussetzungen für alle Compliance-Themen zu schaffen.

Am 29. Juni dieses Jahres hat die Bundesregierung die unter dem Namen "EuroSOX" bekannt gewordenen 8. Richtlinie der Europäischen Kommission in nationales Recht umgesetzt. In letzter Zeit konnte man in der Presse und verschiedenen Firmenveröffentlichungen immer wieder lesen, dass mit der Einführung von EuroSOX auch drastische Vorgaben für die Unternehmens-IT zu erfüllen seien. Doch weder im EU-Richtlinientext noch im kürzlich verabschiedeten Bundesgesetz wird ein "IT-System" erwähnt. Vergebens sucht man dort nach konkreten Vorgaben zur IT.

Deshalb ist der durch die Berichte ausgelöste aktuelle Hype bezüglich "EuroSOX-Compliance der IT" offensichtlich völlig überzogen. Die Unternehmen waren hierzulande schließlich - nach den einschlägigen Vorschriften des Handelsgesetzbuches - schon immer verpflichtet, Jahresabschlüsse in geordneter Form zu erstellen und prüfen zu lassen. Global agierende Konzerne müssen sich unter anderem streng an die "International Financial Reporting Standards" (FRS) oder die "United States Generally Accepted Accounting Principles" (US-GAAP) halten, wenn sie international gültige Vorschriften einhalten wollten.

Der EuroSOX-Hype - ausgelöst von Beratern und Herstellern

Jürgen Obermann, Inboxx: Die IT hat keine Chance, jemals einen vollständigen Überblick zu bekommen.
Foto: Inboxx

Sicher ergeben sich aus den EuroSOX-Gesetzen indirekte Anforderungen an die IT. Sie leiten sich aus den Anforderungen her, welche die Wirtschaftsprüfer erfüllen müssen. Es handelt sich dabei meist um generelle Anforderungen an die Qualität der Systeme, Prozesse und Datenhaltung, wie sie bereits seit Jahren vorgeschrieben sind. Compliance ist für die IT ohne Frage ein wichtiges Thema, weil letztlich so gut wie alle Prozesse eines Unternehmens mit IT abgebildet, umgesetzt und gesteuert werden. Deshalb stehen hinter den Compliance-Richtlinien in der Regel durchaus definierte Anforderungen an die IT. (Siehe auch den COMPUTERWOHE-Quickcheck zum EuroSOX-Knowhow.)

EuroSOX allerdings ist ein schönes Beispiel dafür, dass - ausgelöst durch den Hype, den Beratungsfirmen und Hersteller derzeit um das Thema machen - das Pferd mit viel Aktionismus von der falschen Seite aufgezäumt wird.

Newsletter 'Nachrichten morgens' bestellen!

Inhalt dieses Artikels

	Wieso ist EuroSOX eigentlich ein IT-Problem?
	Zu viele Compliance-Regeln verhindern den Überblick
	Was die IT für EuroSOX leisten kann - und muss

Mehr zum Thema: EuroSOX, IT-Compliance, US-GAAP, GdPdU

Leserkommentare

(1 Beitrag),

Kommentieren

HerrB

Sie schreiben: "Die erste Aufgabe ist sehr stark interpretierbar. Im Zweifelsfall wird das Unternehmen deshalb etwaige Schwachstellen im Audit oder in einer Pr&#252;fung wegdiskutieren k&#246;nnen." Wie l&#228;sst sich die Bl&#246;&#223;e, hier keine belastbaren Antworten auf berechtigte Frage geben zu k&#246;nnen, wegdiskutieren? Zum Beispiel: Wer alles ist auf das Verzeichnis "Gesch&#228;ftsbericht 2008" berechtigt? Es fehlen mir die Argumente. Oder: Von wem kam die Genehmigung, einem Benutzer f&#252;r das Verzeichnis "Gehaltsabrechnung" Schreibrechte zu erteilen? Ist die Nachvollziehbarkeit aller Abl&#228;ufe bei der Rechtevergabe garantiert? Bleibt es unentdeckt, wenn unter Umgehung der definierten Prozesse Rechte vergeben wurden? Ich w&#252;rde Schwachstellen im Berechtigungsmanagement nicht als "interpretierbar" kleinreden wollen. Ereignisse auf Grund von Sicherheitsverst&#246;&#223;en auf diesem heiklen Gebiet f&#252;hrten vermehrt in letzter Zeit zu Schlagzeilen und hohem finanziellen Schaden. Vom Image- und Vertrauensverlust z. B. bei Banken ganz zu schweigen. zum Beitrag