Europäische Richlinie stellt Anforderungen an Compliance Euro-SOX fordert Security-Maßnahmen

Autor / Redakteur: Rechtsanwältin Kathrin Hofmann / Katrin Hofmann

Geht es um IT-Sicherheit, denkt man fast automatisch an Compliance und den Sarbanes-Oxley Act (SOX), ein US-Gesetz zur Regelung der Firmenberichterstattung. Denselben Zweck wie SOX verfolgt die mit Euro-SOX umschriebene europäische Richtlinie, die am 29. Juni 2006 in Kraft getreten ist. Mit ihrer Umsetzung in nationales Recht, die bis zum 29. Juni 2008 zu erfolgen hat, kommt auf Unternehmen erheblicher Handlungsbedarf zu.

Firma zum Thema

Kathrin Hofmann ist Anwältin bei PRW Rechtsanwälte in München. Sie ist spezialisiert auf die Bereiche IT-Vertragsgestaltung und Software-Lizenzierung.
Kathrin Hofmann ist Anwältin bei PRW Rechtsanwälte in München. Sie ist spezialisiert auf die Bereiche IT-Vertragsgestaltung und Software-Lizenzierung.
( Archiv: Vogel Business Media )

Hintergrund der Entstehungsgeschichte der bereits 2004 im Entwurf vorgelegten Euro-SOX-Richtlinie ist die Wiederherstellung des Vertrauens der Investoren, besonders nach Bilanzskandalen wie beim Lebensmittelkonzern Parmalat. Mit Euro-SOX werden strengere Anforderungen an die gesetzliche Abschlussprüfung des Jahresabschlusses und des konsolidierten Abschlusses von Unternehmen des öffentlichen Interesses eingeführt.

Ziel ist es, die Funktion der Abschlussprüfungen in den EU-Mitgliedstaaten zu harmonisieren sowie durch Einführen neuer zusätzlicher Kontrollen über Wirtschaftsprüfer und Firmen die Transparenz der Jahresabschlussprüfung zu verbessern. Das US-Gesetz SOX und Euro-SOX sind zwar nicht dasselbe, sie zielen aber in dieselbe Richtung.

SOX regelt das Financial Reporting der Firmen sowie die Verantwortlichkeiten des Managements und der Wirtschaftsprüfer und deren Zusammenarbeit. SOX enthält zwar keine unmittelbaren Vorgaben für die IT-Sicherheit. Diese ist aber von erheblicher Bedeutung für die Einhaltung der Anforderungen von SOX.

Prüfungsausschuss gefordert

Euro-SOX enthält neue Regeln vor allem für Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften, insbesondere in ihrer Rolle als Abschlussprüfer. Die für Betriebe bedeutendste Neuerung ist die verpflichtende Einführung eines Prüfungsausschusses. Dessen Aufgabe ist unter anderem die Überwachung der Wirksamkeit des internen Kontrollsystems, des internen Revisionssystems und des Risikomanagementsystems. Hieraus ergibt sich indirekt die Anforderung, ein internes Kontrollsystem und Risikomanagementsystem zu schaffen. Anders als SOX enthält Euro-SOX keine Vorgaben, wie die Überwachung durch den Prüfungsausschuss konkret auszusehen hat. Die entsprechende Ausgestaltung bleibt den Firmen selbst überlassen.

Mehr Dokumentationspflichten

Im Hinblick auf die ITK-Struktur bedeutet dies, dass eine umfassende Dokumentation noch wichtiger wird. Auch ist zu erwarten, dass Wirtschaftsprüfer, mehr als bisher, bei fehlender Dokumentation das Bilanz-Testat verweigern werden.

Euro-SOX gilt für „Unternehmen von öffentlichem Interesse”. Das sind Unternehmen, bei denen negative Folgen von Unregelmäßigkeiten für Anleger, Kunden und die Allgemeinheit größer sind als bei anderen Unternehmen. Börsennotierte Firmen, Banken und Versicherungen zählen dazu. Die Mitgliedsstaaten können selbst weitere Unternehmen zu Unternehmen des öffentlichen Interesses bestimmen, wenn diese von erheblicher Bedeutung sind. In Betracht kommen etwa Monopolunternehmen, Energieversorger, Post und Bahn.

Tipp

Zwar ist noch offen, wie der deutsche Gesetzgeber auf die Vorgaben aus Brüssel konkret reagieren wird. Da aber damit zu rechnen ist, dass die unternehmensinterne Umsetzung der gesetzlichen Vorgaben, wenn sie kommen, eine gewisse Zeit in Anspruch nehmen wird, empfiehlt es sich, die Entwicklung aufmerksam zu verfolgen.

Artikelfiles und Artikellinks

(ID:2010308)