Damoklesschwert Compliance
Compliance ist ein Muss für alle Unternehmen,
wird aber vielfach noch zu wenig ernstgenommen.
Artikel erschienen in Swiss IT Magazine 2006/03
Artikel erschienen in Swiss IT Magazine 2006/03
Rund sechs Prozent ihres Budgets geben Unternehmen dafür aus, interne und externe Vorschriften zu erfüllen. Das geht aus einer Untersuchung des Wirtschaftsprüfungsunternehmens Price Waterhouse Coopers unter den Topmanagern amerikanischer und europäischer Konzerne hervor. Dabei gibt mehr als die Hälfte der Manager zu, keine klare Vorstellung hinsichtlich des Nutzens dieser Ausgaben für die eigene Firma zu haben. Eine fatale Entwicklung, zumal seit Beginn des Jahres 2005 neue gesetzliche Richtlinien definieren, wie Unternehmen steuerlich relevante Daten in auswertbarer Form vorweisen müssen. Diese ergänzen bereits bestehende Anforderungen wie die Geschäftsbücherverordnung (GeBüV) und werden trotz ihrer Wichtigkeit nur gering beachtet. Dabei müssten Organisationen ihre IT-Infrastrukturen bereits jetzt dahingehend ausrichten, dass sie für eine vollständige Kontrolle und Dokumentation des Informationsflusses sowie deren effiziente Archivierung geeignet sind.
Der Stein kommt ins Rollen
Compliance hat seine Wurzeln in den Vereinigten Staaten. Primär durch die Skandale rund um Enron und WorldCom wurden Compliance-Fragestellungen in grösserem Umfang öffentlich diskutiert. Ursache waren damals Unregelmässigkeiten bei Kontrollen durch Wirtschaftsprüfer und in Geschäftsberichten der Unternehmen.
E-Mails spielten dabei erstmals als Beweismaterial für gesetzeswidriges Handeln eine wichtige Rolle. So kam es im Jahr 2002 zum Sarbanes-Oxley-Act, kurz SOX, benannt nach den beiden Leitern der damals zuständigen Ermittlungskommission. Dieser Gesetzesentwurf soll Prüfungen der US-Börsenaufsicht Securities and Exchange Commission (SEC) von Unternehmens- und Buchhaltungsdaten transparenter und besser nachvollziehbar gestalten. Der SOX wird für alle Unternehmen angewendet, die an den US-Börsen gelistet sind. Dies kann Schweizer Grossunternehmen ebenso betreffen wie amerikanische Firmen, die international agieren. Demnach werden Unternehmen verpflichtet, unter anderem ein internes Kontrollsystem für die Rechnungs–legung zu unterhalten und die Richtigkeit ihrer Quartals- und Jahresberichte beglaubigen zu lassen. Einfach ausgedrückt bedeutet Compliance somit die gesetzeskonforme Verwaltung von Informationen.
Alles elektronisch
Eine europäische Variante des Sarbanes-Oxley-Act wird wohl nur noch eine Frage der Zeit sein. Denn E-Commerce und elektronischer Geschäftsverkehr, zunehmende Kommunikation per E-Mail und die Umstellung öffentlicher Verwaltungen auf elektronische Prozesse haben weitere Compliance-Anforderungen zur Folge. Einige EU-Richtlinien hat die Schweiz mit dem Obligationenrecht (OR) umgesetzt. Unter Berücksichtigung dieser und noch zu erwartender Entwicklungen sind Unternehmen gut beraten, sich über eine IT-Strategie Gedanken zu machen, die möglichst viele Compliance-Anforderungen erfüllt und gleichzeitig Prozesse der Datenverarbeitung, -archivierung und
-vernichtung effizient gestaltet.
Generell scheint der Begriff Compliance für viele noch ein Buch mit sieben Siegeln zu sein. Wer nach einem konkreten Compliance-Gesetz sucht, wird dementsprechend auch nichts finden. Dennoch sind beispielsweise die Grundsätze der GeBüV durchaus mit Vorgaben der SEC vergleichbar. Hier handelt es sich um landesweit gültige Vorschriften, die sicherstellen, dass Finanzverwaltungen im Rahmen von Aussenprüfungen auf die steuerrelevanten Daten eines Unternehmens zugreifen können. Diese Informationen müssen gemäss den Aufbewahrungsfristen bis zu 10 Jahre gelagert werden. Die Originaldaten sind vollständig, richtig und auswertbar zu archivieren. Deshalb spielen auch bei der GeBüV Dokumente und E-Mails neben den Daten aus Unternehmensanwendungen wie SAP-, ERP- und Buchhaltungssystemen eine zunehmend wichtigere Rolle.
Grundsätze für mehr Stringenz
Noch genauer regeln das OR und die GeBüV in der Schweiz die Aufbewahrung von kaufmännischen Unterlagen in elektronischer Form. Hier sind die Grundsätze für das interne Sicherheits–system, die revisionssichere Archivierung und die Verfahrensdokumentation festgelegt. Mit diesen Vorgaben verspricht man sich, die Voraussetzungen für
E-Commerce und E-Business sowie eine effektive elektronische Informationsverwaltung stringenter zu regeln. Die elektronische Signatur wird in diesem Zusammenhang immer häufiger genannt, denn ihr Einsatz wird jetzt schon in nahezu allen neueren Gesetzen geregelt.
Die europäische Union und ihre Mitgliedsstaaten arbeiten zunehmend enger zusammen. Angesichts eines grenzüberschreitenden Geschäftsverkehrs oder über das Internet abrufbare elektronische Dienstleistungen wird ein einheitlicher Rechtsraum insbesondere im Handels- und Steuerrecht unerlässlich. Auf Basis von EU-Richtlinien, die für alle Mitglieder bindend sind, werden zwangsläufig weitestgehend einheitliche Compliance-Anforderungen entstehen. Auch die Schweiz als Nicht-EU-Mitglied hat mittlerweile die wesentlichen Gesetze und Verordnungen an die europäischen Vorgaben schrittweise angeglichen.
IT soll es richten
Unabhängig von geografischen Regionen resultieren aus Compliance-Anforderungen auch wachsende Ansprüche an die IT-Infrastruktur. Das Angebot reicht von einzelner Software und Systemen bis hin zu Lösungen für die vollständige Kontrolle und Dokumentation des Informationsflusses. Die Tendenz geht klar in Richtung solcher Lösungen, die möglichst viele Anforderungen abdecken. Ziel sollte eine Infrastruktur sein, die alle Informationen des Unternehmens verwalten und bereithalten kann. Mit Enterprise Content Management, Records Management oder Information Lifecycle Management gibt es schon einige technologische Entwicklungen in die richtige Richtung.
Letztlich bedarf es aber einer umfangreicheren Information und Aufklärung der Anwender rund um das Thema Compliance. Denn bisher gibt es nur wenige anerkannte Zertifizierungen. Diese beschränken sich dann wieder auf einzelne Produkte oder Prozesse. So bleibt dem Anwender derzeit oft nur die Möglichkeit, sich an Standards, Praxisbeispielen und Richtlinien wie beispielsweise dem Grundschutzhandbuch des deutschen BSI zu orientieren.
Wer schon jetzt auf der sicheren Seite sein will, stellt die Nutzung, Verteilung und Archivierung relevanter Informationen von Papier auf elektronische Dokumente um. Zur richtlinienkonformen Verwaltung, Archivierung und fristgerechten Löschung werden in zunehmendem Masse spezialisierte Speicherlösungen genutzt. Für die Steuerung und Kontrolle der Datenträger sind oft sogenannte Jukeboxen im Einsatz. Diese stellen Software-gestützt die benötigten Informationen bereit und ermöglichen in der Regel auch, Medien zu verwalten, die sich nicht mehr in der Jukebox befinden und auf Anforderung manuell zugeführt werden. Dieser Prozess ist allerdings extrem aufwendig und bietet keine Sicherheit, ob alte Daten mit den Jukeboxen der Zukunft noch kompatibel beziehungsweise lesbar sein werden. Deshalb erfreut sich neben den klassischen Archivspeichern mit Content Addressed Storage (CAS) eine neue Technologie auf Basis von Festplattensystemen wachsender Beliebtheit.
Interview mit Markus Mattmann
Compliance – Hype oder
Notwendigkeit?
Markus Mattmann: Unsere Erfahrung bestätigt die Notwendigkeit der Compliance-Regeln und deren Umsetzungen. Lange Zeit wurde nicht in den Compliance-Bereich investiert. Heute jedoch wissen Unternehmen, welche internen Richtlinien oder branchenspezifischen Vorschriften sie erfüllen müssen, dass Compliance nicht bloss ein Hype, sondern ein Muss ist. Sie gehen viel bewusster mit dem Thema Compliance um und suchen eine ganzheitliche Lösung, damit alle elektronisch erzeugten Informationen eingebunden werden können. Die Geschäftswelt hat längst auf elektronische Prozesse und Datengenerierung umgestellt, und so werden Informationstechnologien immer wichtiger.
Was bedeutet das Thema Compliance für KMU?
In jeder Branche gibt es Vorschriften und Regeln, welche eingehalten werden müssen. Denken Sie nur an die Mehrwertsteuer. Jede Firma unterliegt der Beweispflicht, die Steuer richtig verbucht zu haben. Geht dies nicht, drohen Geldstrafen. Der Umfang ist noch bedeutend grösser, wenn ein Produkt hergestellt oder die Firma im Finanz- oder Pharma-Geschäft tätig ist. Bei KMU sehen wir zurzeit den Trend zu Punktlösungen, um gezielt in einem oder wenigen Bereichen «compliant» zu sein.
Welches sind aktuell die wichtigsten Compliance-Anforderungen?
Unternehmen versuchen im Moment, eine einheitliche Archivierungs-Strategie zu entwickeln, welche die Hauptapplikationen miteinbezieht. Banken und Pharma-Unternehmen haben den grössten Druck, ihren spezifischen Anforderungen nachzukommen (SEC, BASEL II, EBK & FDA;HIPAA).Aber auch New York Stock Exchange besitzt eine erhebliche Bedeutung für Unternehmen mit amerikanischem Stammhaus oder mit Niederlassungen in den USA. Regularien für die elektronische Bereitstellung von Informationen sind unerlässlich, weil immer mehr Informationen originär elektronisch entstehen – die konservative Papier-Erhaltung verschwindet allmählich.
Können KMU aus der Erfüllung der Compliance-Anforderungen geschäftliche Vorteile ziehen?
Compliance ist nicht nur ein Kostenfaktor, sondern ein breites Regelwerk, das die Führung des Unternehmens unterstützt. Die Erfüllung von internen und externen Compliance-Anforderungen
ist zunächst mit zusätzlichen Kosten und erhöhtem Aufwand verbunden. Es besteht jedoch die Möglichkeit, Prozesse zu vereinfachen, Verknüpfungen herzustellen sowie Synergien zu nutzen und
so den Aufwand für die Imple-mentierung im ersten Jahr zu amortisieren. Wird dieser Weg eingeschlagen, trägt Compliance deutlich zum Mehrwert von Unternehmen bei.
Mitunter hört man, dass derzeit eher überreagiert und überreguliert wird...
Wenn es um Regulierungen geht, kann beides gefährlich sein. Die meisten Regulierungen fordern, jederzeit und schnell Informationen transparent aufbereiten zu können. Ich verstehe dies auch als ein längerfristiges Projekt, welches laufend angepasst und überdacht werden muss.
Artikel kommentieren
