- Anzeigen -

Sie sind hier: Home » Fachartikel » Hintergrund

Compliance und Archivierungsvorschriften


Wenn der Betriebsprüfer kommt: Die Compliance-Thematik schwebt wie ein Damoklesschwert über den Unternehmen
Mit der "EMC Centera Governance Edition" erfüllen Anwender bei der Online-Speicherung elektronischer Daten wie E-Mails, Krankenberichte oder Röntgenbilder schon jetzt alle gesetzlichen Vorgaben für deren Aufbewahrung


CAS-Anwendung "Centera"
CAS-Anwendung "Centera" Technologie auf Basis von Festplattensystemen, Bild: EMC

(27.10.08) - Rund sechs Prozent ihres Budgets geben Unternehmen dafür aus, interne und externe Vorschriften zu erfüllen. Das geht aus einer Untersuchung des Wirtschaftsprüfungsunternehmens Price Waterhouse Coopers unter den Topmanagern amerikanischer und europäischer Konzerne hervor. Dabei gibt mehr als die Hälfte der Manager zu, keine klare Vorstellung hinsichtlich des Nutzens dieser Ausgaben für die eigene Firma zu haben. Eine fatale Entwicklung, zumal seit Beginn des Jahres 2005 neue gesetzliche Richtlinien definieren, wie Unternehmen steuerlich relevante Daten in auswertbarer Form vorhalten müssen.

Diese ergänzen bereits bestehende Anforderungen wie die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) in Deutschland sowie die Geschäftsbücherverordnung (GeBüV) für die Schweiz und werden trotz ihrer Wichtigkeit nur gering beachtet. Dabei müssten Organisationen ihre IT-Infrastrukturen bereits jetzt dahingehend ausrichten, dass sie für eine vollständige Kontrolle und Dokumentation des Informationsflusses sowie deren effiziente Archivierung geeignet sind.

Wer nach der konkreten Bedeutung des Begriffes Compliance fragt, wird zahlreiche Antworten erhalten und stößt häufig auf das Schlagwort Corporate Governance. Hierzu gibt es umfassendes Informationsmaterial von einer Definition des Bundesjustizministeriums bis zu einem Kodex für Corporate Governance, dessen Einhaltung in der Unternehmenspraxis sogar von einer Regierungskommission überwacht wird. Dieser Kodex soll die in Deutschland geltenden Regeln für Unternehmensleitung und -überwachung für nationale und internationale Investoren transparent machen. Der Kodex adressiert unter anderem mangelhafte Ausrichtung auf Aktionärsinteressen, duale Unternehmensverfassung mit Vorstand und Aufsichtsrat sowie die mangelnde Transparenz in der Unternehmensführung.

Aber jetzt zurück zum Thema Compliance, denn im Gegensatz zu Corporate Governance sind sich die Gelehrten über eine genaue Bedeutung und Definition immer noch nicht so ganz einig. Was bedeutet Compliance eigentlich? Wörterbücher und Übersetzungsprogramme helfen nicht wirklich weiter. Sie bieten für das Wort ein facettenreiches Spektrum. Das Angebot reicht von Einhaltung, Erfüllung oder Folgsamkeit sogar bis zur Unterwürfigkeit. In den gängigen Suchmaschinen tummeln sich zahlreiche Hinweise, aber wenige helfen wirklich weiter. Am weitesten kommen Interessenten derzeit noch mit einem Klick auf Seiten aus den USA. In Deutschland. (Lesen Sie auch: Was ist Compliance? - Die Definition von Compliance-Magazin.de)

Der Stein kommt ins Rollen
Denn wie so viele andere hat auch das Thema Compliance seine Wurzeln in den Vereinigten Staaten. Primär durch die Skandale rund um ENRON, WorldCom und andere Unternehmen wurden Compliance-Fragestellungen in größerem Umfang öffentlich diskutiert. Ursache waren damals Unregelmäßigkeiten bei Kontrollen durch Wirtschaftsprüfer und in Geschäftsberichten der Unternehmen. E-Mails spielten dabei erstmals als Beweismaterial für gesetzeswidriges Handeln eine wichtige Rolle. So kam es im Jahr 2002 zu dem Sarbanes-Oxley Act, kurz SOX, benannt nach den beiden Leitern der damals zuständigen Ermittlungskommission. Dieser Gesetzentwurf soll Prüfungen der US-Börsenaufsicht Securities and Exchange Commission (SEC) von Unternehmens- und Buchhaltungsdaten transparenter und besser nachvollziehbar gestalten.

Der SOX wird für alle Unternehmen angewendet, die an den US-Börsen gelistet sind. Dies kann deutsche und Schweizer Großunternehmen ebenso betreffen wie amerikanische Firmen, die international agieren. Demnach werden Unternehmen verpflichtet, unter anderem ein internes Kontrollsystem für die Rechnungslegung zu unterhalten und die Richtigkeit ihrer Quartals- und Jahresberichte beglaubigen zu lassen. Einfach ausgedrückt bedeutet Compliance somit die gesetzeskonforme Verwaltung von Informationen.

Alles elektronisch
Eine europäische Variante des Sarbanes-Oxley Act wird wohl nur noch eine Frage der Zeit sein. Denn E-Commerce und elektronischer Geschäftsverkehr, zunehmende Kommunikation per E-Mail und die Umstellung öffentlicher Verwaltungen auf elektronische Prozesse haben weitere Compliance-Anforderungen zur Folge. Einige EU-Richtlinien hat Deutschland bereits mit den Richtlinien für E-Commerce sowie zur elektronischen Signatur und die Schweiz mit dem Obligationenrecht (OR) umgesetzt.

Ein Beispiel hierfür ist die elektronische Rechnung. Sie berechtigt nur dann zum Vorsteuerabzug, wenn die elektronische Signatur diesen offiziellen Rahmenbedingungen entspricht. Unter Berücksichtigung dieser und noch zu erwartender Entwicklungen sind Unternehmen gut beraten, sich über eine IT-Strategie Gedanken zu machen, die möglichst viele Compliance-Anforderungen erfüllt und gleichzeitig Prozesse der Datenverarbeitung, -archivierung und -vernichtung effizient gestaltet.

Generell scheint der Begriff Compliance für viele noch ein Buch mit sieben Siegeln zu sein. Wer nach einem konkreten Compliance-Gesetz sucht, wird dementsprechend auch nichts finden. Dennoch sind beispielsweise die deutschen Grundsätze des Datenzugriffs und der Prüfbarkeit digitaler Unterlagen oder jene der Schweizer GeBüV durchaus mit Vorgaben der SEC vergleichbar.

Hier handelt es sich um landesweit gültige Vorschriften, die sicherstellen, dass Finanzverwaltungen im Rahmen von Außenprüfungen auf die steuerrelevanten Daten eines Unternehmens zugreifen können. Diese Informationen müssen gemäß den Aufbewahrungsfristen bis zu zehn Jahre vorgehalten werden. Die Originaldaten sind vollständig, richtig und auswertbar zu archivieren. Deshalb spielen auch bei der GDPdU sowie der GeBüV Dokumente und E-Mails neben den Daten aus Unternehmensanwendungen wie SAP-, ERP- und Buchhaltungssystemen eine zunehmend wichtigere Rolle.

Grundsätze für mehr Stringenz
Noch genauer regeln die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) beziehungsweise OR, Grundsätze ordnungsmäßiger Buchführung (GoB) und GeBüV in der Schweiz die Aufbewahrung von kaufmännischen Unterlagen in elektronischer Form. (Inwieweit die handelsrechtlichen von den steuerrechtlichen Vorgaben abweichen, lesen Sie in dem Artikel von Dietmar Hoffmann, Manager bei KPMG Advisory, auf den Seiten 9 und 10.)

Hier sind die Grundsätze für das interne Sicherheitssystem, die revisionssichere Archivierung und die Verfahrensdokumentation festgelegt. Mit diesen Vorgaben versprechen sich Bund und Länder, die Voraussetzungen für E-Commerce und E-Business sowie eine effektive elektronische Informationsverwaltung stringenter zu regeln. Die elektronische Signatur wird in diesem Zusammenhang immer häufiger genannt und könnte im Jahr 2005 den Durchbruch schaffen. Denn ihr Einsatz wird jetzt schon in nahezu allen neueren Gesetzen geregelt.

Die europäische Union und ihre Mitgliedsstaaten arbeiten zunehmend enger zusammen. Angesichts eines grenzüberschreitenden Geschäftsverkehrs oder über das Internet abrufbare elektronische Dienstleistungen wird ein einheitlicher Rechtsraum insbesondere im Handels- und Steuerrecht unerlässlich. Auf Basis von EU-Richtlinien, die für alle Mitglieder bindend sind, werden zwangsläufig weitestgehend einheitliche Compliance-Anforderungen entstehen. Zwischen Österreich und Deutschland bestehehen nur noch kleine Unterschiede in Detailregelungen.

Auch wenn beispielsweise die Bereithaltung von Daten zur steuerlichen Prüfung in Österreich in Form einer Liste ausreicht, sind die Anforderungen bei der Auswertbarkeit die gleichen. Selbst die Schweiz als Nicht-EU-Mitglied hat mittlerweile die wesentlichen Gesetze und Verordnungen an die europäischen Vorgaben schrittweise angeglichen. Dies zeigt sich beispielsweise in den Bestimmungen zur Buchführung im OR. Sie regeln die Aufbewahrung von Geschäftskorrespondenz, der Bücher und der Buchungsbelege in elektronischer Form.

Compliance: Eine Checkliste

  • Wie hoch wird der Zeitaufwand einer Bilanzprüfung eingeschätzt und wie könnte diese effizienter ablaufen?
  • Können mit der bisherigen Archivierungsstrategie alle verfahrenserheblichen Informationen bereitgestellt werden?
  • Wird es in fünf Jahren noch ein System geben, das heutige Band- beziehungsweise optische Medien lesen kann?
  • Verfügt die Organisation über ein zuverlässiges Verfahren zum Speichern und Abrufen geschäftskritischer und vertraulicher Daten?
  • Wie effizient und kostenintensiv sind Offenlegungs- und Reporting-Prozesse?
  • Gibt es ein integriertes System zur Verwaltung von Datensätzen – von der Erstellung über die Wartung bis zur Datenvernichtung?
  • Verfügt das Unternehmen über ein systematisches Verfahren zur Datensatzarchivierung – und lässt sich die Wirksamkeit dieses Verfahrens problemlos belegen?
  • Sind Aktivitäten ausgelagert, bei denen Datensätze (beispielsweise neue Konten oder Geschäftsbestätigungen) erstellt werden?
  • Werden aufgezeichnete Kundenanfragen archiviert?

IT soll es richten
Unabhängig von geografischen Regionen resultieren aus Compliance-Anforderungen auch wachsende Ansprüche an die IT-Infrastruktur. Das Angebot reicht von einzelner Software und Systemen bis hin zu Lösungen für die vollständige Kontrolle und Dokumentation des Informationsflusses. Die Tendenz geht klar in Richtung solcher Lösungen, die möglichst viele Anforderungen abdecken. Ziel sollte eine Infrastruktur sein, die alle Informationen des Unternehmens verwalten und bereithalten kann. Mit Enterprise Content Management, Records Management oder Information Lifecycle Management gibt es schon einige technologische Entwicklungen in die richtige Richtung.

Der Software-Anbieter Adobe Systems hat mit Compliance-Reporting schon eine Lösung im Portfolio, die auf dem selbst entwickelten Dateiformat PDF basiert. Diese ermöglicht Organisationen, Abstimmungsprozesse zu automatisieren, die Integrität finanzieller Berichte zu erhöhen und durchsuchbare Indizes für Finanzdaten zu erstellen. Letztlich bedarf es aber einer umfangreicheren Information und Aufklärung der Anwender rund um das Thema Compliance. Denn bisher gibt es nur wenige anerkannte Zertifizierungen. Diese beschränken sich dann wieder auf einzelne Produkte oder Prozesse. So bleibt dem Anwender derzeit oft nur die Möglichkeit, sich an Standards, Praxisbeispielen und Richtlinien, wie beispielsweise das Grundschutzhandbuch des BSI, zu orientieren. Wer schon jetzt auf der sicheren Seite sein will, stellt die Nutzung, Verteilung und Archivierung relevanter Informationen von Papier auf elektronische Dokumente um. Zur richtlinienkonformen Verwaltung, Archivierung und fristgerechten Löschung werden in zunehmendem Maße spezialisierte Speicherlösungen genutzt. Für die Steuerung und Kontrolle der Datenträger sind oft so genannte Jukeboxen im Einsatz.

Diese stellen Software-gestützt die benötigten Informationen bereit und ermöglichen in der Regel auch, Medien zu verwalten, die sich nicht mehr in der Jukebox befinden und auf Anforderung manuell zugeführt werden. Dieser Prozess ist allerdings extrem aufwändig und bietet keine Sicherheit, ob alte Daten mit den Jukeboxen der Zukunft noch kompatibel beziehungsweise lesbar sein werden. Deshalb erfreut sich neben den klassischen Archivspeichern eine neue Technologie auf Basis von Festplattensystemen wachsender Beliebtheit: Content Addressed Storage (CAS).

Eine typische CAS-Anwendung ist die "EMC Centera". Sie ist eine kombinierte Hard- und Software-Lösung mit einer online-basierten Architektur. Wird eine in Centera bereits archivierte Datei geändert, behandelt das System diese wie ein neues Objekt. Mithilfe einer Kodierung bei der Speicherung und Vergabe einer speziellen Adresse verhindert Centera ein Überschreiben oder Ändern der Informationen. Mit der "EMC Centera Governance Edition" erfüllen Anwender bei der Online-Speicherung elektronischer Daten wie E-Mails, Krankenberichte oder Röntgenbilder schon jetzt alle gesetzlichen Vorgaben für deren Aufbewahrung. Alle EMC Centera-Systeme von EMC sind zudem nach dem Prüfungsstandard 880 des Instituts der Wirtschaftsprüfer und Compliance zertifiziert.

Zum Abschluss sollte nicht unerwähnt bleiben, dass auch in Deutschland und der Schweiz schon einige Unternehmen das Thema Compliance sehr ernst nehmen. So gibt es bei dem Chemieriesen BASF bereits seit 2003 einen Chief Compliance Officer. Er ist zuständig für die kontinuierliche, gruppenweite Weiterentwicklung eines speziellen Programms und betreut ein Netzwerk von regionalen Compliance-Beauftragten. Dieses Programm bei BASF soll Mitarbeitern eine Hilfestellung zu korrektem Verhalten geben. Eine Handlungsanleitung fasst zentrale gesetzliche Bestimmungen und die entsprechende Unternehmenspolitik zusammen. Es kommt übrigens sicher nicht von ungefähr, dass dieser Chief Compliance Officer bei BASF ein zugelassener Rechtsanwalt ist. (EMC: ra)



Meldungen: Hintergrund

  • Identitäten für elektronische Finanztransaktionen

    Bei einer Online-Transaktion "Ich stimme zu" zu klicken, reicht nicht aus um nachzuweisen, dass tatsächlich die richtige Person zugestimmt hat. Wenn es um sensible Transaktionen wie die von Finanzdienstleistern geht, dann reichen auch eine aufgezeichnete gesprochene Zustimmung oder eine handschriftliche Online-Unterschrift für eine eineindeutige Verifizierung nicht aus. Hier kommt digitale Identität ins Spiel. 'Digitale Identität' weist eine entsprechende Online-Identität aus, so wie man es von Führerschein oder Ausweis kennt. Das elektronische Transaktionsverfahren besteht aus drei Stufen: Initiale Identifikation, Authentifizierung und Autorisierung. Wie das im Einzelnen funktioniert und welche Transaktionen Banken und Finanzdienstleister mithilfe von Identitäten durchführen können, das ist Thema des aktuellen Blogbeitrags von GlobalSign.

  • Identity- und Access-Management-Systeme

    Der regulatorische Druck auf Unternehmen und Organisationen, geeignete Kontrollmechanismen zu etablieren, steigt stetig. Moderne IAM-Lösungen (Identity & Access Management) können wichtige Kernfunktionen übernehmen, um Vermögenswerte und Prozesse der Firmen besser zu schützen. IAM trägt bereits präventiv zur Risikominimierung bei, indem es Identitäten regelmäßig überprüft und nur autorisierten Nutzern Zugriff auf bestimmte Daten gewährt. Zentrale Compliance-Anforderungen erfüllen moderne IAM-Lösungen auch mit der Bereitstellung umfangreicher Analysen und Reports, die jederzeit tiefgreifende Einblicke in die Zugriffsstrukturen eines Unternehmens gewähren. Moderne IAM-Systeme beziehen hierfür ihre Daten aus zahlreichen Quellen und erstellen jederzeit detaillierte Analysen und Berichte. Dies beschleunigt die Reaktionszeit, um Autorisierungsfehler korrigieren zu können, verbessert die Systemsteuerung und vermindert die Risiken.

  • Stauatlas: IT in der Bankenregulierung

    Eine Vielzahl von Regularien von BCBS 239 bis MiFID II stellt die Compliance- und IT-Abteilungen der Kreditinstitute vor große Herausforderungen. Vor allem in Kombination mit ambitionierten Zeitplänen und einer großen Verunsicherung über die konkrete Ausgestaltung und potenzielle neue Gesetze. Dabei kämpfen die Compliance-Beauftragten oft mit reiner Pflichterfüllung statt Kür in den Abteilungen, drei Viertel der Bankmanager mangelt es an Akzeptanz für die Bedeutung der Regularien. In der Studie "Stauatlas: IT in der Bankenregulierung" hat das Software- und Beratungshaus PPI AG den Status Quo bei der Umsetzung in IT-Abteilungen untersucht.

  • Aufklärungspflichten in der Anlageberatung

    Der Bundesgerichtshof (BGH) hat die Aufklärungspflichten der Banken bei der provisionsgetriebenen Anlageberatung zu Gunsten der Anleger geklärt. Einerseits! Doch das janusköpfige Urteil mit dem XI ZR 147/12 hat eine Kehrseite. Denn der BGH hat die Banken nur für die Zukunft zur umfassenden Aufklärung über Provisionen verpflichtet. Für vergangene Beratungssünden erhielten die Banker dagegen - zumindest teilweise - einen höchstrichterlichen Sündenerlass. Mit diesem janusköpfigen Urteil versucht der BGH einen gordischen Knoten zu lösen, den er zuvor selbst geknüpft hat.

  • Risikofeld: Compliance-Probleme der Zulieferer

    Mit geringer werdender Wertschöpfungstiefe verändert sich auch die Perspektive auf die Themen Risikomanagement und Compliance. Der Blick muss über die Unternehmensgrenzen gerichtet werden und entsprechende Systeme und Prozesse so ausgerichtet sein, dass sie das gesamte Zuliefernetzwerk im Auge behalten. Ansonsten sind schwerwiegende straf- und zivilrechtliche Konsequenzen sowie Reputationsschäden die Folge.