Compliance nach Euro-Sox

Compliance nach Euro-Sox

Studien belegen, dass bereits ein zehntägiger Ausfall von IT-Schlüsselsystemen ein Unternehmen so nachhaltig schädigt, dass es mit einer Wahrscheinlichkeit von 50 % innerhalb der nächsten fünf Jahre vom Markt verschwindet. Aus dieser Erkenntnis heraus besteht auf nationaler wie internationaler Ebene die Verpflichtung zu einem effektiven Risiko- und Informationsmanagementsystem (inklusive der Verfügbarkeit betriebskritischer Informationen). Das Vorhandensein eines solchen RMS einschließlich interner Kontrollsysteme (IKS) ist folgerichtig dann auch der zentrale Bestandteil aller nationalen und internationalen „Compliance-Gesetze“, beispielsweise des Bundesdatenschutzgesetzes, des Sarbanes-Oxley-Act („SOX“), der Regelungen zu Basel II, sowie eben nun auch der 8. EU-Abschlussprüferrichtlinie, genannt „Euro-SOX“ (in Anlehnung an das US-Vorbild „SOX“), die fundamentale Änderungen im Verhältnis von Management und Wirtschaftsprüfern in den EU-Mitgliedsstaaten vorschreibt und die bis zum 29.06.2008 in nationales Recht umzusetzen war.

Euro-SOX verpflichtet die von ihr betroffenen „Unternehmen des öffentlichen Interesses“ zu einem Katalog von Maßnahmen, deren Nichtbefolgung wiederum durch empfindliche Sanktionen flankiert wird. Die EU verfolgt hier im Prinzip die gleichen Ziele wie die USA mit „SOX“: Das Prüfwesen für den Europäischen Markt soll stärker harmonisiert werden, Abschlussprüfungen von Unternehmen innerhalb der EU sollen denen der USA weitgehend gleichgestellt werden. EU-weit werden via Euro-SOX verschärfte Regelungen in Bezug auf die Dokumentation auf die IT- und TK-Infrastruktur aufgestellt. Insbesondere muss die IT dafür sorgen, dass alle relevanten Daten erfasst und jederzeit verfügbar sind und dass alle abschlussnahen Prozesse lückenlos nachvollziehbar dokumentiert sind.

Dies impliziert die Einführung und Unterhaltung eines effektiven RMS und des dazugehörigen IKS. In organisatorischer Hinsicht treten erweiterte Regelungen für die Abschlussprüfer in Kraft: So sieht Euro-Sox einen Prüfungsausschuss vor, der gleichsam wie das „Audit Committee“ im „SOX“ die Aufgabe hat, die Abschlussprüfung sowie das RMS und IKS zu überwachen. Gemeint ist letztlich ein Qualitätssicherungssystem, über das Abschlussprüfer und Prüfungsgesellschaften verpflichtet werden, sich einer externen Qualitätskontrolle zu unterwerfen. Die Gesamtergebnisse des Qualitätssicherungssystems müssen jährlich veröffentlicht werden. Der Prüfungsausschuss muss durch den Abschlussprüfer über alle wichtigen Sachverhalte in Kenntnis gesetzt werden, was insbesondere für entdeckte Schwachstellen im IKS und im Finanzberichtswesen gilt. Bei unzureichendem RMS und IKS kann im Schadensfalle das Management persönlich in die Haftung genommen werden, der Prüfer das Bilanztestat verweigern, und es zu Nachteilen in Ratings, zum Beispiel nach den Basel II-Kriterien oder beim Abschluss von Versicherungen, kommen. Euro-SOX ist damit im Zusammenhang nicht nur mit dem Sarbanes-Oxley-Act sondern auch mit anderen Regelwerken, wie beispielsweise dem KonTraG von 1998, zu sehen. Das KonTraG schreibt vor, dass die betreffenden Unternehmen eine umfassende IT- und TK-Dokumentation vorweisen und ein Früherkennungssystem für Risiken einführen müssen. Mit dem KonTraG wird die Haftung von Vorständen, Aufsichtsrat und Wirtschaftsprüfern erweitert. Die Einhaltung der KonTraG-Vorschriften ist gleichermaßen prüfungsrelevant.

Betroffen von Euro-SOX sind alle Unternehmen des öffentlichen Interesses, namentlich alle börsennotierten Unternehmen, Banken und Versicherungen, Monopolunternehmen, Energieversorger sowie Netzbetreiber wie die Post oder Bahn etc. Grund für die verschärften Anforderungen, die an diese Unternehmen gestellt werden, sind die möglichen negativen Folgen von Unregelmäßigkeiten für Aktionäre, Kunden und sonstige Interessenten, die im Allgemeinen größer sind als bei anderen Unternehmen. Es können aber auch von den jeweiligen Mitgliedsstaaten selbst bestimmte Unternehmen zu "Unternehmen des öffentlichen Interesses" erhoben werden, wenn diese Unternehmen "von erheblicher öffentlicher Bedeutung" sind.

Als Maßnahmenkatalog sieht Euro-Sox wie eingangs angedeutet einen Prüfungsausschuss vor, der die Aufgabe hat, die Abschlussprüfung sowie interne Kontrollsysteme und Risikomanagementsystem zu überwachen. Abschlussprüfer und Prüfungsgesellschaften werden mithin einer externen Qualitätskontrolle unterworfen werden. Das Kontrollsystem muss dabei unabhängig organisiert sein und einer öffentlichen Aufsicht unterstehen. Die Qualitätskontrolle wird durch ausgewählte, objektive und kompetente Prüfer vollzogen und muss mindestens alle sechs Jahre bzw. bei Unternehmen von öffentlichem Interesse alle drei Jahre stattfinden. Die Gesamtergebnisse des Qualitätssicherungssystems müssen jährlich veröffentlicht werden.

Der Prüfungsausschuss muss die Wirksamkeit des IKS und ggf. des internen Revisions- oder Risikomanagementsystems prüfen. Auch der Abschlussprüfer bzw. die Prüfungsgesellschaft hat das IKS und die Rechnungslegungsprozesse zu überprüfen und den Prüfungsausschuss dann über seine Erkenntnisse und eventuelle Schwachstellen im IKS zu berichten. Diese Regelungen implizieren mithin das Vorhandensein eines wirksamen IKS und effektiven RMS. Ferner besteht das Erfordernis eines Lageberichts der Unternehmensführung, der die wichtigsten Merkmale des IKS und des RMS beschreibt.

Euro-SOX postuliert die Verpflichtung zu einer lückenlosen, transparenten Erfassung von Geschäftsvorfällen als Grundlage der Prüfung. Die Kriterien hierfür sind die Vertraulichkeit, d.h. der Schutz vor unberechtigtem Einsehen, Weitergeben und Veröffentlichen von betriebskritischen oder sonst geheimhalts- oder schutzbedürftigen Informationen, die Integrität der gespeicherten Dokumente und Daten, die fehlerfrei zu indizieren und vor ungewollten Änderungen zu schützen sind, ferner die Verfügbarkeit, d.h. die Lesbarmachung und Revisibilität, die während der gesamten Aufbewahrungsfrist gegeben sein muss, sodann die Autorisierung, wonach ausschließlich im Voraus festgelegte Personenkreise die konkret zugewiesenen Rechte und Tätigkeiten wahrnehmen dürfen, sowie die Authentizität, die besagt, dass archivierte Unterlagen über eine eindeutige Verbindung aufweisen müssen. Die Vollständigkeit als weiteres Kriterium meint die lückenlose Erfassung aller rechnungsrelevanten Dokumente und Daten. Damit angesprochen ist letztlich das bekannte Transparenzgebot, das auch bei Euro-SOX dazu führt, dass Informationen, die nur mittelbar Einfluss oder Berührungspunkte mit der Rechnungslegung haben, gemäß den von der Abgabenordnung bzw. dem Handelsgesetzbuch (in Verbindung mit den GOBS und den GDPdU) gesetzten Mindestvorgaben verfügbar gehalten werden müssen. Die Richtigkeit ist gleichfalls zu gewährleisten, mithin der Grad der gesetzlich geforderten Übereinstimmung des aufbewahrten Dokuments mit dem Original, was bedeutet, dass zum Beispiel die Bildlichkeit der aufzubewahrenden Dokumente nur dann gefordert wird, wenn alle auf dem Original enthaltenen Angaben zur Aussage- und Beweiskraft des Geschäftsvorfalls originalgetreu bildlich wiedergegeben werden. Weitere Kriterien sind die Zeitgerechtigkeit, d.h. die zeitnahe Überführung in das Archivsystem, sowie die Nachvollziehbarkeit, wonach die Speicherung des einzelnen Geschäftsvorfalls sowie das angewandte Archivierungsverfahren einschließlich der erforderlichen Verfahrensdokumentation über die gesamte Dauer der Aufbewahrungsfrist nachvollziehbar bleiben.