Artikel - Euro-Sox sorgt zwangsweise für Transparenz in den IT-Systemen

Ab Ende Juni müssen viele Unternehmen die Funktionsweise ihrer IT nachvollziehbar dokumentieren und ein wirksames Risikosystem eingeführt haben. Das verlangt die neue EU-Abschlussprüfer-Richtlinie, genannt Euro-SOX. Der Aufwand dafür kann beträchtlich sein.

21. Januar 2008

Quelle: alfabet

Was in den USA der Sarbanes-Oxley Act (SOX) ist, heißt in Deutschland Abschlussprüfer-Richtline, Euro-SOX oder – im Beamtendeutsch – 8. EU-Richtlinie. Die vom Gesetzgeber geforderte Transparenz in den Jahresabschlüssen hat viele Namen, aber einen festen Termin: Die Richtlinie ist für alle 27 Mitgliedstaaten der Europäischen Union verbindlich und bis zum 29. Juni 2008 in nationales Recht umzusetzen.

Unternehmen in Deutschland haben also nur noch ein halbes Jahr Zeit, ihre Prozesse zu dokumentieren, ein Risikomanagement und Kontrollsysteme einzuführen – für alle abschlussnahen Prozesse. „Nur um diese geht es bei Euro-SOX“, stellt Jan Foitzik klar, Experte des Berliner Softwarehauses Alfabet.

SOX und Euro-SOX verfolgen dasselbe Ziel, nämlich einheitliche Regelungen für die Abschlussprüfung aufzustellen. Nach dem Gesetz muss jeder Jahresabschluss von einem unabhängigen Dritten – meist ist dies ein Wirtschaftsprüfer – kontrolliert werden. Ist alles richtig, stellt dieser ein Testat aus. Damit ist der Jahresabschluss quasi für rechtmäßig befunden.

Schon lange vor Euro-SOX bestanden gesetzliche Vorgaben für die Unternehmen, zu dokumentieren, wie sie ihren Jahresabschluss erstellt haben und wie die IT-Systeme dafür funktionieren. „Leider zeigt die Realität, dass nur wenig oder überhaupt nichts systematisch dokumentiert ist“, sagt Foitzik. Euro-SOX schreibe jedoch die Qualität der Dokumentation verpflichtend vor. Künftig muss deutlich mehr dokumentiert werden, wie die Bilanz zustande kam. Der Aufwand dafür ist nicht unerheblich.

Foitzik vermutet, dass viele Unternehmen ihren neuen Pflichten dadurch nachkommen wollen, dass sie auf bestehende Dokumentenmanagementssysteme Reporting-Tools aufsetzen. Er empfiehlt, die Dokumentation der Euro-SOX-relevanten Geschäftsvorfälle in IT-Planungsprozesse zu integrieren, etwa in das Change Management. Dadurch könnten erhebliche Kosten in der IT eingespart werden, indem frühzeitig Synergiepotenziale oder Projekabhängigkeiten erkannt werden. Die Aktualisierung der Dokumentation erfolge beiläufig und als Ergebnis der Planung.

„Die Hauptaufgabe ist nun, transparent darzustellen, wie die Euro-SOX Kontrollaktivitäten in der Organisation umgesetzt werden“, meint Foitzik. Das geschehe auf drei Ebenen:

• Company-Level-Controls beschreiben aus globaler Sicht zum Beispiel, welche IT-Systeme eingesetzt werden und wie sie zusammenhängen.
• IT-Application-Controls sind fachlich begründete Kontrollen und dienen der systemtechnisch gestützten, ordnungsmäßigen Abwicklung der Geschäftsprozesse, etwa dem Einkauf oder der Buchhaltung. Es handelt sich somit um Kontrollen der Geschäftsprozesse durch das System beziehungsweise bei der Nutzung innerhalb des Systems. Sie stellen sicher, dass Kontrollautomatismen definiert sind und auch tatsächlich funktionieren, beispielsweise mittels Plausibilitätsprüfungen.
• IT-General-Controls sind abgeleitet aus den IT-Prozessen. Sie haben keinen direkten Bezug zu den Fachbereichen, gelten aber als unterstützend. Sie beinhalten Informationen zur technischen Infrastruktur: Wie funktionieren die Sicherheitssysteme? Wer hat Zugriff auf Datenbanken? „Die IT muss beschreiben, wie die IT funktioniert“, fasst Foitzik zusammen.

Wie die Vorschriften umgesetzt werden sollen, steht jedem Unternehmen frei. Anders als SOX enthält Euro-SOX keinen konkreten Vorschriften, wie die Systeme auf ihre Wirksamkeit beziehungsweise auf Schwachstellen zu prüfen sind. Das kann handschriftlich auf einem Blatt Papier erfolgen oder in Excel-Dateien. „Man sollte daher zunächst die Umsetzung der Richtlinie in deutsches Recht abwarten, statt in Aktivismus zu verfallen“, rät Peter Dölling, Vorstand des IT-Sicherheitsspezialisten Defense.

„Unternehmen, die durch US-SOX bereits Erfahrungen gesammelt haben, bewältigen den Report- und Dokumentationsaufwand mit Tools wie der Aris Compliance Suite von IDS Scheer oder mittels Auswertungen der Logfiles mit Demal-Produkten“, weiß Peter Rentschler, Geschäftsführer des Böblinger IT-Beratungshauses Consuvation.

Ein großes Manko sei, dass noch nicht klar ist, für welche Unternehmen Euro-SOX überhaupt gilt. „Nach derzeitigem Stand werden es wohl Kapitalgesellschaften sein, die börsennotiert sind,“ prognostiziert Rentschler. Doch darauf könne man sich nicht verlassen. Zur Begründung führt er das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz Kontrag, an. Damit wurde 1998 die Haftung von Vorstand und Geschäftsführern erweitert.

„Kontrag war zunächst für börsennotierte Kapitalgesellschaften gedacht. Entgegen weit verbreiteter Meinung betrifft das Gesetz aber auch Kommanditgesellschaften auf Aktien und viele GmbHs, insbesondere wenn dort ein Aufsichtsrat existiert oder eine bestimmte Unternehmensgröße überschritten wird“, weiß der Consuvation-Geschäftsführer.