Wieweit beeinflussen die allgemein als "EuroSOX" bekannten EU-Richtlinien die europäischen Unternehmen? Dieser Frage geht Touchpaper, der kürzlich durch Avocent Corp. übernommene Anbieter von IT-Business-Management-Lösungen (ITBM), in einem aktuellen Whitepaper nach. Zur Erinnerung: Die neuen Compliance-Anforderungen werden für alle betroffenen Unternehmen spätestens zum 5. September dieses Jahres akut (siehe auch: "Wie fit sind Sie für EuroSOX?").

Keine technische Ideallösung

Das Whitepaper befasst sich mit den praktischen Auswirkungen der EU-Richtlinien - insbesondere aus Sicht des IT-Service.Managements. Wie Touchpaper betont, gibt es keine "technische Ideallösung" für die Einhaltung der auf den Richtlinien basierenden nationalen Gesetze. Vor allem sei es nicht ratsam, einfach einer Softwareanwendung zu vertrauen, die eine spezifische Umsetzung von EuroSOX verspricht.

Dennoch kommt der IT eine hohe Bedeutung zu, wenn es darum geht, die Corporate Governance in europäischen Unternehmen zu verbessern. Dazu Susanne Schinz, Managing Director von Touchpaper Central Europe: "Die IT spielt eine wichtige Rolle für das Sammeln und Weiterleiten von Finanzinformationen. Deshalb ist sie oft auch zuständig für die Implementierung von Mechanismen, die die Einhaltung von Gesetzen, Verordnungen und Richtlinien sicherstellen."

Vereinfachung ist fehl am Platz

Allerdings warnt Schinz vor scheinbar einfachen Lösungen, die sich auf EuroSOX beschränken: "Bedenkt man die Komplexität der Richtlinien, die zahlreichen Aktivitäten, die sie umfassen, die Anzahl der involvierten Mitgliedsländer und die lange Implementierungszeit, so ist es kaum möglich, eine Lösung zu finden, die alle Anforderungen gleichzeitig erfüllt." Vorsicht also vor Anbietern, die etwas in der Art versprächen!

Zudem gibt Schinz zu bedenken, dass die IT-Abteilungen ihre Hausaufgaben machen müssen, bevor sie das EuroSOX-Thema in Angriff nehmen können: "Sie sollten genau wissen, welche ihrer Systemfunktionen geschäftsrelevant sind, zum Beispiel, welche Finanzdaten verarbeitet, gespeichert und an andere Systeme übermittelt werden, wer Zugriff auf die Systeme hat, welche Autorisierung und welche Freigaben diese Personen besitzen. Ansonsten werden sie es schwer haben, Kontrollmechanismen zu implementieren, die den Anforderungen der Wirtschaftsprüfer und Regularien gerecht werden."