Nur wenige Unternehmen wissen konkret, was die 8. EU-Richtlinie (vulgo "EuroSOX") für sie bedeutet. Dabei soll sie bereits Ende Juni dieses Jahres auch in Deutschland Gesetz werden. Kapitalgesellschaften und andere "Unternehmen von öffentlicher Bedeutung" müssen sich deshalb schnellstens einen Überblick darüber verschaffen, was auf sie zukommt. Welche Regelungen werden wann greifen? Welche Ansprüche stellt der Wirtschaftsprüfer beim nächsten Auditing an die Bilanzierung? Und vor allem: Was muss die IT jetzt tun, um für EuroSOX gewappnet zu sein?

Was ist EuroSOX eigentlich?

Die Notwendigkeit international einheitlicher Regelungen für die Prüfung des Finanzabschlusses ist nicht mehr von der Hand zu weisen. Bereits 2002 reagierte der US-Gesetzgeber mit dem Sarbanes-Oxley Act (SOX) auf die Bilanzskandale in den Vereinigten Staaten. Die von der Europäischen Union (EU) verabschiedete 8. EU-Richtlinie, auch EuroSOX genannt, erfüllt im Prinzip denselben Zweck. Ihr Ziel besteht darin, das Prüfwesens für den europäischen Markt zu harmonisieren und die Abschlussprüfungen der Unternehmen innerhalb der europäischen Gemeinschaft mit denen der USA gleich zu stellen. Sie ist seit dem 29. Juni 2006 in Kraft; spätestens am 29. Juli 2008 muss sie in nationales Recht umgewandelt sein.

Daraus ergeben sich für alle Kapitalgesellschaften innerhalb der EU, ob sie nun an der Börse notiert sind oder nicht, ähnliche Auswirkungen, wie SOX sie seinerzeit mit sich brachte. Das Gesetz wird das Verhältnis von Management und Wirtschaftsprüfern fundamental ändern. Unter anderem werden EU-weit verschärfte Regeln in Bezug auf die Dokumentation der IT- und TK-Infrastruktur der Unternehmen greifen. Deshalb muss sich vor allem die IT so aufstellen, dass alle relevanten Daten jederzeit verfügbar sind und eventuelle Regelverstöße schon im Vorfeld erkannt werden können.

Welche Regeln betreffen direkt die IT?

Zum einen muss die IT regelkonforme Systeme bereitstellen, zum anderen lässt sich die Compliance nur mit Hilfe der IT-Systeme durchsetzen. In Deutschland haben die Unternehmen noch ein halbes Jahr Zeit, die Dokumentation für alle abschlussnahen Prozesse zu erstellen sowie ein Risiko-Management und die zugehörigen Kontrollsysteme einzuführen. Nur ein halbes Jahr!

Die Verantwortlichen in den Unternehmen müssen sich überlegen, wo eigentlich die Daten entstehen und mit welchen Applikationen sie unterstützt werden. Aber sie sollten sich auch fragen, auf welchen Plattformen diese Anwendungen laufen. Die IT-Landschaft, die dahinter liegenden Prozesse (Firewall-Sicherung, Updates, Zugriffe, Berechtigungen etc.) sowie selbstverständlich auch die Infrastruktur sind im Detail zu betrachten und zu analysieren.

Dass die Richtlinien eingehalten werden, muss auch im Zusammenspiel unterschiedlicher komplexer Systeme gewährleistet sein. Es ist beispielsweise durchaus möglich, dass Berechtigungen innerhalb eines Systems oder bei systemübergreifenden Prozessen zu SoD-Konflikten (Segregation of Duties, deutsch: Aufgabentrennung oder Vieraugenprinzip) führen. Dabei müssen vor allem die Prozesse unter die Lupe genommen werden, die externe Geldflüsse in den Unternehmen regeln, zum Beispiel P2P (Purchase to Pay) oder O2C (Order to Cash).

Die wichtigsten Anforderungen von EuroSOX an die IT sind:

• Steuerung der Infrastruktur, der Organisation, der Applikationsentwicklung und Pflege,

• Kontrolle und Steuerung der logischen Sicherheit (Berechtigungswesen), der physikalischen Verbindungen und der umfeldbedingten Sicherheit,

• Planung für den langfristigen Erhalt des Betriebs und Erstellung eines Notfallkonzepts,

• Überwachung der Systempflege und Weiterentwicklung, der Verarbeitungsdaten, des täglichen Geschäfts sowie der Projekte bis hin zur

• Archivierung aller relevanten Daten, Dokumente und Unterlagen.

Was droht säumigen Unternehmen?

Alle Kapitalgesellschaften müssen ab Juli 2008 ein IT-Sicherheitskonzept vorweisen. Bei Versäumnissen haften die Geschäftsführer, es drohen Sanktionen von Banken und Versicherungen. Bei grober Fahrlässigkeit, zum Beispiel bei der Delegation von Aufgaben oder Projekten ohne Review, bei der Vernachlässigung von Überwachungspflichten oder bei fehlendem Security- und Notfallkonzept, haftet der Geschäftsführer beziehungsweise der Vorstand in vollem Umfang.

Werden die Bestimmungen nicht eingehalten, können Haftungsklagen (analog zum KonTraG), Marktzugangsbarrieren (wie nach SOX) oder Schwierigkeiten bei der Kreditaufnahme (siehe wegen Basel II) die Folge sein. Vor allem aber werden die Wirtschaftsprüfer das Testat verweigern. (Zum Thema Compliance siehe auch "Risiko-Management aus juristischer Sicht")

Welche Bestimmungen sind "Commodity"?

Es ist ja nicht so, dass die Unternehmen tatsächlich bei null anfangen müssten. Die meisten ERP-Systeme, beispielsweise die von SAP, haben bereits Sicherheitskonzepte integriert. Zudem kann die Mehrzahl der Unternehmen eigene Sicherheitsvorkehrungen vorweisen. Rudimentäre Security-Policies wie Logfiles, regelmäßige systemgesteuerte Aufforderung zur Passwortänderung oder Anweisungen zum Umgang mit Passwörtern sowie mit internen Daten und Informationen sind ebenfalls gang und gäbe. Dasselbe gilt beispielsweise für Berechtigungskonzepte mit zugehörigen Genehmigungs- und Freigabeprozessen. Nun gilt es, die fehlenden Teile zu entdecken, um Lücken in den Konzepten zu schließen.

Worauf müssen die CIOs besonders achten?

Viele IT-Bereiche schätzen die Situation falsch ein und erkennen die Dimensionen erst viel zu spät. Mit dem Thema Governance und Compliance kann man sich nicht früh genug beschäftigen.

Der CIO und der Compliance-Manager sollten gemeinsam festlegen, welche Prozesse wann zu automatisieren sind. Eine enge Zusammenarbeit zwischen IT, Prozessverantwortlichen und Compliance-Team ist daher unerlässlich

Möglichkeiten der Daten- und Prozessmanipulation müssen systemübergreifend unterbunden werden. Nur so lässt sich die Garantie dafür übernehmen, dass die zu schützenden Informationen vor unberechtigtem Zugriff sicher sind und kein Anwender in der Lage ist, einen Cashflow-auslösenden Prozess in alleiniger Verantwortung auszuführen. Beispielsweise sollte er nicht ohne Kontrolle durch einen Dritten die Bankverbindung im Kreditor ändern und die Zahlung freigeben können. Falls das aber aufgrund der Größe des Unternehmens nicht anders möglich ist, muss diese Tatsache zumindest in den Prozessen definiert und dokumentiert werden ("Mitigations").

Der IT-Verantwortliche sollte sich auch die IT-eigenen Prozesse anschauen. Nicht zu vernachlässigen sind hier die Softwarewartung, die Einführung neuer Software, das Transportwesen und die Behandlung von Change Requests im Hinblick auf die Abläufe, die Dokumentation und die jeweiligen Berechtigungen.

Wie lassen sich Defizite feststellen?

Um herauszufinden, welche Unternehmensprozesse von Compliance-Regeln betroffen sind (beispielsweise P2P oder O2C) und wie sie zu behandeln sind, müssen diese Regeln zunächst einmal definiert sein. In diesem Zusammenhang sind auch die Verfahrensweisen für den Zugriff auf besonders schützenswerte Daten festzulegen. Parallel ist ein User-Konzept für den Notfall zu erstellen. Daran schließt sich die Untersuchung des unternehmensweiten Berechtigungskonzepts im Hinblick auf Vieraugenprinzip (SoD) oder kritischen Zugriff an. Diese Untersuchung gibt unmittelbar Aufschluss über potenzielle Schwachstellen.

Die Anforderungen, die sich daraus ergeben, lassen sich auf die manuellen und IT-gestützten Abläufe herunterbrechen. Prozesse und Kontrollen werden dementsprechend modelliert und dokumentiert. Zudem sind die notwendigen Schulungskonzepte zu erarbeiten. Darauf folgen dann die Integration sowie ? nicht zu vergessen ? regelmäßige Audits.

Projekt-, Risiko-, Qualitäts- und Change-Management sind unerlässlich. Sie sollten durch ein Dokumenten-Management unterstützt werden, um alle Schritte und Entscheidungen erstens begründen und zweitens nachverfolgen zu können. Kompetenz ist hier das A und O. Standards und Tools helfen weiter, können aber nicht die alleinige Antwort sein.

Hilfestellung leisten gern Beratungsunternehmen, die Know-how in Sachen GRC (Governance Risk & Compliance) aufgebaut haben. Sinnvoll ist auch die Unterstützung durch einen Rechtsanwalt, der sich mit dem Thema auskennt. Dazu zählt beispielsweise Michael Schmidl von Baker & McKenzie in München, dessen Fachwissen auch in diesen Artikel eingeflossen ist.

Wo sollte man anfangen?

Die Unternehmen müssen vermeiden, dass sie an unterschiedlichen Stellen dieselben Aufgaben erfüllen. Ein gemeinsamer, unternehmensweiter Ansatz hilft, gleiche Arbeitsschritte zu standardisieren. Die Empfehlung lautet: "Benutze, was vorhanden ist, und starte mit dem, was unbedingt erforderlich ist!". Auf Neudeutsch kurz und prägnant: "Erst must have und dann nice to have.?

Im Hinblick auf EuroSOX muss das Unternehmen global betrachtet werden. Jeder einzelne Bereich ist betroffen, trägt deshalb Mitverantwortung und hat folglich einen Beitrag zur Umsetzung zu leisten. Aus diesem Grund ist es nur gerecht, auch die Kosten auf das gesamte Unternehmen umzulegen und sie nicht dem IT-Bereich allein anzulasten. (qua)