Am 29. Juni dieses Jahres hat die Bundesregierung die unter dem Namen "EuroSOX" bekannt gewordenen 8. Richtlinie der Europäischen Kommission in nationales Recht umgesetzt. In letzter Zeit konnte man in der Presse und verschiedenen Firmenveröffentlichungen immer wieder lesen, dass mit der Einführung von EuroSOX auch drastische Vorgaben für die Unternehmens-IT zu erfüllen seien. Doch weder im EU-Richtlinientext noch im kürzlich verabschiedeten Bundesgesetz wird ein "IT-System" erwähnt. Vergebens sucht man dort nach konkreten Vorgaben zur IT.

Deshalb ist der durch die Berichte ausgelöste aktuelle Hype bezüglich "EuroSOX-Compliance der IT" offensichtlich völlig überzogen. Die Unternehmen waren hierzulande schließlich - nach den einschlägigen Vorschriften des Handelsgesetzbuches - schon immer verpflichtet, Jahresabschlüsse in geordneter Form zu erstellen und prüfen zu lassen. Global agierende Konzerne müssen sich unter anderem streng an die "International Financial Reporting Standards" (FRS) oder die "United States Generally Accepted Accounting Principles" (US-GAAP) halten, wenn sie international gültige Vorschriften einhalten wollten.

Der EuroSOX-Hype - ausgelöst von Beratern und Herstellern

Sicher ergeben sich aus den EuroSOX-Gesetzen indirekte Anforderungen an die IT. Sie leiten sich aus den Anforderungen her, welche die Wirtschaftsprüfer erfüllen müssen. Es handelt sich dabei meist um generelle Anforderungen an die Qualität der Systeme, Prozesse und Datenhaltung, wie sie bereits seit Jahren vorgeschrieben sind. Compliance ist für die IT ohne Frage ein wichtiges Thema, weil letztlich so gut wie alle Prozesse eines Unternehmens mit IT abgebildet, umgesetzt und gesteuert werden. Deshalb stehen hinter den Compliance-Richtlinien in der Regel durchaus definierte Anforderungen an die IT. (Siehe auch den COMPUTERWOHE-Quickcheck zum EuroSOX-Knowhow.)

EuroSOX allerdings ist ein schönes Beispiel dafür, dass - ausgelöst durch den Hype, den Beratungsfirmen und Hersteller derzeit um das Thema machen - das Pferd mit viel Aktionismus von der falschen Seite aufgezäumt wird.

Zu viele Compliance-Regeln verhindern den Überblick

Der deutsche EuroSOX-Gesetzestext umfasst nicht weniger als 261 Seiten. In den anderen EU-Ländern sieht es ähnlich aus, Es gibt 25 verschiedene nationale Umsetzungen in der Europäischen Gemeinschaft. Außerdem existiert eine Fülle weiterer, in diesen Zusammenhang passender Gesetze im In- und Ausland. Die Anzahl der Compliance-Richtlinien, die selbst ein mittleres Unternehmen zu beachten hat, wenn es in Europa agiert, überspringt schnell die 100-Meter-Marke (siehe auch: "Alles, was Recht ist").

Für eine zentrale IT-Abteilung ist die Chance, jemals einen vollständigen Überblick zu bekommen, gleich null. Wieso sollte sie sich also mit diesen vielen Vorschriften beschäftigen? Wie eine aktuelle Umfrage unter IT-Managern in Europa ergab, kennen beispielsweise 94 Prozent von ihnen die gesetzlichen Anforderungen zur Archivierung von E-Mails in ihren jeweiligen Zielmärkten nur unzureichend. In anderen Compliance-Bereichen sieht das nicht besser aus, so die Zahlen von Inboxx Research.

Aus falschem Eifer sollte sich die IT-Abteilung nicht vor den EuroSOX-Karren spannen lassen. Das heißt: Es ist wenig sinnvoll, die IT-Abteilung definieren zu lassen, welche Daten besonders schützenswert sind, oder bei welchen Prozessen ein Vier-Augen-Prinzip erforderlich ist. Solche Entscheidungen und deren Umsetzung liegen in der Verantwortung der betroffenen Fachabteilungen, des Controllings und/oder der Rechtsabteilung.

Was EuroSOX und andere Compliance-Regelungen angeht, sollte sich die IT-Abteilung nicht mit der Interpretation einzelner Bestimmungen und Gesetze wie EuroSOX, GdPdU oder Basel II beschäftigen. Sie ist einfach nicht in der Lage, sich mit deren juristischen Details auseinander zu setzen. Erstens gibt es davon viel zu viele, und zweitens ist das die Aufgabe für juristisch geschultes und speziell qualifiziertes Fachpersonal. Die IT sollte ihr Augenmerk lieber auf die gemeinsamen, generischen Anforderungen aller Compliance-Richtlinien lenken und hierfür sinnvolle Mechanismen anbieten.

Was die IT für EuroSOX leisten kann - und muss

Die Anforderungen, die in diesem Zusammenhang wichtig sind, gliedern sich grob in drei zentrale Aufgaben:

1. Wissen, was man tut, also Ordnung in die eigentlichen IT-Prozesse bringen. Davon betroffen sind die IT-spezifischen Organisationsabläufe, sprich: die Prozesse im Zusammenhang mit Anwendungsentwicklung, -pflege und -betrieb. Hierzu zählt beispielsweise das Benutzer- und Berechtigungs-Management.

2. Alle Informationen langfristige sichern und verarbeiten. Wichtig sind hier vor allem die Vorbereitung auf eventuelle Störfälle (Desaster Recovery) und die Sicherstellung des ungehinderten Zugriffs auf die Informationen im Rahmen der Aufbewahrungsfristen.

3. Transparenz herstellen! Das ermöglichen vor allem leistungsstarke Suchfunktionen und Analysemöglichkeiten über alle Informationen im Unternehmen.

Die erste Aufgabe ist sehr stark interpretierbar. Im Zweifelsfall wird das Unternehmen deshalb etwaige Schwachstellen im Audit oder in einer Prüfung wegdiskutieren können. Die Punkte zwei und drei hingegen sind klar und unmissverständlich. Ein E-Mail beziehungsweise ein Dokument ist entweder vorhanden - oder aber nicht; entweder es gibt eine leistungsstarke, übergreifende Suche - oder es gibt sie nicht. Deshalb werden sich die Prüfungen besonders auf diese Punkte konzentrieren. Und aus diesem Grund besteht für die IT an dieser Stelle akuter Handlungsbedarf. (Siehe auch: "Stiefkind E-Mail-Archivierung")

Letztlich hat der EuroSOX-Hype für die IT denn auch eine gute Seite. Das im Management gewachsene Bewusstsein für Fragen der langfristigen Archivierung und unternehmensweiten Transparenz lässt sich nutzen, um erfolgreich entsprechende Budgets zu beantragen. (qua)