computerwoche.de

Compliance & Recht

IT-Compliance

Wieso ist EuroSOX eigentlich ein IT-Problem?

23.09.2008
Von Jürgen Obermann
Die IT-Abteilungen sollten sich nicht um Gesetzestexte kümmern, sondern darum, generische Voraussetzungen für alle Compliance-Themen zu schaffen.

Am 29. Juni dieses Jahres hat die Bundesregierung die unter dem Namen "EuroSOX" bekannt gewordenen 8. Richtlinie der Europäischen Kommission in nationales Recht umgesetzt. In letzter Zeit konnte man in der Presse und verschiedenen Firmenveröffentlichungen immer wieder lesen, dass mit der Einführung von EuroSOX auch drastische Vorgaben für die Unternehmens-IT zu erfüllen seien. Doch weder im EU-Richtlinientext noch im kürzlich verabschiedeten Bundesgesetz wird ein "IT-System" erwähnt. Vergebens sucht man dort nach konkreten Vorgaben zur IT.

Deshalb ist der durch die Berichte ausgelöste aktuelle Hype bezüglich "EuroSOX-Compliance der IT" offensichtlich völlig überzogen. Die Unternehmen waren hierzulande schließlich - nach den einschlägigen Vorschriften des Handelsgesetzbuches - schon immer verpflichtet, Jahresabschlüsse in geordneter Form zu erstellen und prüfen zu lassen. Global agierende Konzerne müssen sich unter anderem streng an die "International Financial Reporting Standards" (FRS) oder die "United States Generally Accepted Accounting Principles" (US-GAAP) halten, wenn sie international gültige Vorschriften einhalten wollten.

Der EuroSOX-Hype - ausgelöst von Beratern und Herstellern

Jürgen Obermann, Inboxx: Die IT hat keine Chance, jemals einen vollständigen Überblick zu bekommen.
Jürgen Obermann, Inboxx: Die IT hat keine Chance, jemals einen vollständigen Überblick zu bekommen.
Foto: Inboxx

Sicher ergeben sich aus den EuroSOX-Gesetzen indirekte Anforderungen an die IT. Sie leiten sich aus den Anforderungen her, welche die Wirtschaftsprüfer erfüllen müssen. Es handelt sich dabei meist um generelle Anforderungen an die Qualität der Systeme, Prozesse und Datenhaltung, wie sie bereits seit Jahren vorgeschrieben sind. Compliance ist für die IT ohne Frage ein wichtiges Thema, weil letztlich so gut wie alle Prozesse eines Unternehmens mit IT abgebildet, umgesetzt und gesteuert werden. Deshalb stehen hinter den Compliance-Richtlinien in der Regel durchaus definierte Anforderungen an die IT. (Siehe auch den COMPUTERWOHE-Quickcheck zum EuroSOX-Knowhow.)

EuroSOX allerdings ist ein schönes Beispiel dafür, dass - ausgelöst durch den Hype, den Beratungsfirmen und Hersteller derzeit um das Thema machen - das Pferd mit viel Aktionismus von der falschen Seite aufgezäumt wird.