Compliance kommt von kompliziert

01.12.2005
Die Einhaltung von Regeln und gesetzlichen Verordnungen (Compliance) belastet Firmen und deren Geldbeutel. Doch aus der Not lässt sich eine Tugend machen.

Um Richtlinien wie die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), die Abgabenordnung (AO) und Basel II umzusetzen, müssen Unternehmen mitunter viel Zeit und Geld investieren. In den USA gilt die Faustregel, dass Firmen für eine Milliarde Dollar Umsatz eine Million Dollar für Compliance ausgeben. Nach den Erfahrungen von Andreas Dees, Director Technology Alliance beim Content-Management-Spezialisten Hummingbird, sind diese Zahlen auf Deutschland übertragbar. "Der Aufwand ist nicht eben gering", pflichtet ihm Martina Ritzer bei. Sie leitet die Abteilung Web-Services bei der Messe München. Ihr Unternehmen hatte 2003 damit begonnen, alle bilanz- und steuerrechtlichen Dokumente zu archivieren, einschließlich der Prüfabläufe. Zudem haben Ritzer und ihr Team damit angefangen, auch alle anderen geschäftsbezogenen Dokumente wie etwa E-Mails zu speichern.

Hier lesen Sie …

• welche Belastungen durch Compliance-Regeln erwachsen;

• wie Unternehmen mit gesetzlichen Auflagen umgehen.

Mehr zum Thema

www.computerwoche.de/go/

568793: E-Mail löschen kann riskant sein;

551022: Aufbewahrungs- pflichten heute und morgen.

Die Langfassung dieses Artikels finden Sie unter

www.computerwoche.de/go/ 569402

Kosten steigen um 18 Prozent

Den jährlichen Anstieg der Kosten für die Umsetzung von Compliance beziffern Branchenexperten auf 18 Prozent jährlich - ein Wert, den auch die IT-Expertin bestätigen kann. Allein die Umsetzung der Rechungsein- und -ausgangslösung inklusive der elektronischen Ablage hat ein dreiviertel Jahr in Anspruch genommen. Die Archivierung von E-Mails und File-Systemen dürfte nicht minder komplex ausfallen. Um die Richtlinien der betriebswirtschaftlichen Prozesse zu erfüllen und Dokumente zu archivieren, wurden neue Produkte angeschafft. Mit den bestehenden Lösungen wäre dies nicht möglich gewesen.

Dass das Wort Compliance an "kompliziert" erinnert, hat für Wolfgang Breuer durchaus Bewandtnis. Er weiß, wovon er spricht, denn bei der Wirtschaftsprüfungs- und Beratungsgesellschaft Pricewaterhouse-Coopers (PwC) in München leitet Breuer die Steuerabteilung. Gesetzgeber und Ordnungsbehörden fühlten sich aufgerufen, immer neue Dokumentationsanforderungen zu stellen. Somit fällt mehr Arbeit im Unternehmen an.

Vorsicht bei Komplettlösungen

Während die Anwenderunternehmen in der Pflicht sind, Regelwerke in ihren IT-Umgebungen umzusetzen, versuchen IT-Hersteller mit ihnen ins Geschäft zu kommen. Teilweise versprechen die Anbieter Komplettlösungen, doch hier sind Zweifel angebracht. "Es gibt jede Menge Compliance-Lösungen, aber die sind nicht out-of-the-Box nutzbar", so Hummingbird-Experte Dees. Vielleicht 50 Prozent ließen sich mit Technik lösen, der Rest sei Hausaufgabe der Anwender, der Wirtschaftsprüfer und Beratungshäuser. Hier gehe es um die Prozesse, die gewährleisten, dass die relevanten Dokumente zur rechten Zeit rechts- und revisionssicher aufbewahrt würden. Hersteller könnten helfen, aber die Prozesse müssten die Unternehmen schon selbst aufsetzen. "Compliance heißt für uns Grundsätze guter Unternehmensführung", so Dees. "Compliance-Projekte haben viel mit Abläufen zu tun, beispielsweise muss gewährleistet sein, dass nur befugte Anwender auf archivierte E-Mails zugreifen können."

Überhaupt scheinen Unternehmen mit E-Mails ihre liebe Not zu haben. Wann ist eine Nachricht zum Beispiel für die Steuerprüfung von Belang und muss daher aufbewahrt werden, und in welcher Weise? Der Gesetzgeber hat sich hier nicht eindeutig geäußert und wäre Breuer zufolge auch kein guter Ratgeber: "Ich würde davor warnen, die Behörden nun noch zu fragen, was genau aufzubewahren ist und was nicht." Die Ämter wollten den Eindruck erwecken, sie antizipieren, was schief laufen könne, das klappe aber nicht. Heraus kämen komplizierte Ausführungsschreiben, mit denen Firmen erst recht überfordert wären. "Jeder Unternehmer sollte nach gesundem Menschenverstand entscheiden, welche Dokumente er benötigt und was er vernichten darf." Aufheben müssen Firmen alle schriftlichen Informationen, die belegen, wie Gewinne und Verluste zustande gekommen sind und was zur Buchführung geführt hat.

Was ist revisionssicher?

Gesetzliche Aufbewahrungsauflagen werden oft gleichgesetzt mit der revisionssicheren Archivierung - vor allem IT-Herstel- ler verwenden gern diesen Begriff. Hummingbird-Experte Dees umschreibt ihn schlicht als "Read-only-Modus" für Content, der per Software oder Hardware realisierbar ist - eine technische Bezeichnung also, keine juristische. "Revisionssicherheit meint Unveränderbarkeit, wobei nicht sauber beschrieben wur- de, was damit gemeint ist", ergänzt Steuerexperte Breuer. Bis auf wenige Ausnahmen: "Das Handelsgesetzbuch und die Abgabenordung schreiben vor, dass E-Mails archiviert werden müssen, sie dürfen nicht verdichtet werden. Eine Datenkompression ist also nicht erlaubt", so Dees. Wirtschaftsprüfer müssen testieren, dass der Vorgang von der Eingangsrechnung bis zur Langzeitarchivierung konsistent abläuft, ohne Seiteneinstiege, mit denen sich etwas verändern lässt.

Eine Verletzung dieser Konsistenz wäre laut Dees beispielsweise, E-Mails auszudrucken, einzuscannen und wie ein Papierdokument zu archivieren. Der Grund: Die Historie der E-Mail würde verloren gehen und damit die Nachvollziehbarkeit der Anwenderaktionen.

Doch wer entscheidet, wann eine E-Mail aufbewahrungspflichtig ist? Schon für Experten ist die Abgrenzung schwierig: "Eine Bestellung per Mail fällt darunter, elektronisch übermittelte Preisanfragen eines Kunden, aus denen kein Geschäft resultierte, jedoch nicht. Gleiches gilt für private E-Mails von Mitarbeitern", so der Steuerfachmann Breuer. Wegen der schwammigen Sachlage würde er es begrüßen, wenn es Systeme gebe, die den Anwendern bei der Unterscheidung behilflich wären.

E-Mails identifizieren

Solche Verfahren existieren laut Dees bereits. Sie könnten anhand linguistischer, neuronaler Techniken den Inhalt von Mails identifizieren. Zwar arbeiteten sie noch nicht perfekt, können aber zuverlässig Dokumente in die richtigen Ordner einsortieren.

Doch nicht jeder verfügt über solche Produkte. Firmen kommen daher nicht umhin, geschäftliche E-Mails manuell abzulegen. Aber kann ein Sachbearbeiter entscheiden, was steuerrelevant ist? "Das wäre die sichere Lösung, doch dann haben Firmen keine Kontrolle, was so alles archiviert wird", gibt Breuer zu bedenken. "Vielleicht finden sich darunter Mails, die das Unternehmen lieber nicht aufbewahren möchte."

Dies ist ein wunder Punkt, denn Firmen sind schließlich dafür verantwortlich, was sie ihrem Steuerprüfer aushändigen. "Wenn da Sachen drinstehen, die den Betrieb in Schwierigkeiten bringen können, hat man Pech", warnt Dees. Aus diesem Grund müssten Firmen ihre Mitarbeiter im Umgang mit E-Mails schulen. "Das gehört zu den Aufgaben, die nichts mit IT zu tun haben." Die Mitarbeiter haben zu wissen, welche Informationen sie ablegen. Wenn sie alles aufbewahren wollten, sprengten sie irgendwann jedes Archiv.

Alles archivieren?

Dem kann IT-Spezialistin Ritzer nicht zustimmen. Bei der Messe München wird jedes E-Mail archiviert werden. Die Messe München möchte die Entscheidung über die geschäftliche Relevanz von Dokumenten nicht allein Ihren 500 Mitarbeitern aufbürden. Deswegen werde in ihrem Unternehmen zurzeit alles archiviert. Steuerprüfer haben sich bisher nicht für die gespeicherte E-Mail-Kommunikation interessiert.

Elektronische Post hat aber nicht nur eine steuerrechtliche Dimension: Denn auch zahlreiche Auflagen im Gesundheitswesen und in der Luft- und Raumfahrttechnik erfordern es, elektronische Post zu archivieren. Allerdings müssen Anwender nicht für jede Auflage das Rad neu erfinden. "Habe ich eine Compliance-Regel erfüllt, kann ich viele andere auf dieser Grundlage gleich mit abdecken", so Dees.

Dabei sei es mit einer bloßen Archivierung nicht getan. Firmen benötigten zunächst ein Informations-Repository, um auswertbare Daten zu bekommen. Dies sei auch erforderlich, um Zahlen für das Rating-Verfahren Basel II vorzuhalten. Die auf EU-Ebene verabschiedeten Richtlinien ziehen Banken für die Bewertung der Kreditwürdigkeit von Firmen heran.

Darüber hinaus könnten Compliance-Lösungen Vorteile für das Unternehmen liefern. Wer Kennzahlen für Basel-II-Bewertungen sammelt, so Dees, hat auch die Grundlage für das interne Rating geschaffen. Auch Breuer sieht Compliance nicht nur als lästiges Übel an. Schließlich hätten Betriebe selbst ein Interesse daran, Schriftstücke aufzubewahren, um frühere Entscheidungen nachvollziehen zu können.

Darunter fielen dann auch Dokumente, die nicht aus steuerrechtlichen Gründen aufzubewahren sind. Da kann auch Messe-Mitarbeiterin Ritzer zustimmen: "Früher oder später hätten wir ohnehin eine E-Mail-Archivierung eingeführt, um die Mailboxen der Anwender zu entlasten." Zudem sei es hilfreich, Schriftverkehr von alle vier Jahre stattfindenden Messen in einem Archiv vorzuhalten.