EuroSOX kein Problem, sondern eine Chance
IT-Abteilungen sollen die EU-Abschlussprüferrichtlinie- und die EU-Richtlinie zur Unternehmensberichterstattung nutzen, um ihre IT Governance zu verbessern
Whitepaper über Euro-SOX: Unternehmen sollen nicht Softwareanwendungen vertrauen, die eine spezifische Umsetzung von EuroSOX versprechen
(02.07.08) - In einem aktuellen Whitepaper beleuchtet das Unternehmen Touchpaper, inwieweit die EU-Abschlussprüfungsrichtlinie und die EU-Richtlinie zum Unternehmens-Reporting, allgemein als "Euro-SOX bekannt, europäische Unternehmen beeinflussen könnten. Die Richtlinien stehen im Zusammenhang mit den Bemühungen, die Corporate Governance in allen EU-Mitgliedsstaaten zu optimieren. Die Umsetzung der beiden Richtlinien im nationalen Recht der EU-Mitgliedsländer muss bis zum 29. Juni 2008 bzw. bis zum 5. September 2008 erfolgt sein.
Das Whitepaper befasst sich mit den praktischen Auswirkungen der Richtlinien insbesondere aus Sicht des IT-Service-Managements. Aus der Sicht von Touchpaper gibt es zwar keine technologische Ideallösung für die Einhaltung der auf den Richtlinien basierenden nationalen Gesetze. Dennoch spielt die IT eine unverzichtbare Rolle dabei, die Corporate Governance in europäischen Unternehmen zu verbessern. Man sollte die neuen Regularien daher nicht als Problem, sondern eher als Chance betrachten.
Susanne Schinz, Managing Director von Touchpaper Central Europe, erklärt: "Die Anforderungen der Richtlinien zielen auf das höhere Management der Unternehmen sowie auf die Prozesse und Verfahren des Rechnungs- und Bilanzwesens ab. Doch spielt die IT eine wichtige Rolle bei der Sammlung und Weiterleitung von Finanzinformationen. Deshalb ist sie oft auch zuständig für die Implementierung von Mechanismen, die die Einhaltung von Gesetzen, Verordnungen und Richtlinien sicherstellen."
Allerdings warnt Susanne Schinz vor scheinbar einfachen Lösungen, die sich auf EuroSOX beschränken: "Bedenkt man die Komplexität der Richtlinien, die zahlreichen Aktivitäten, die sie umfassen, die Anzahl der involvierten Mitgliedsländer und die lange Implementierung, scheint es kaum möglich zu sein, eine Lösung zu finden, die alle Anforderungen gleichzeitig erfüllt. Man sollte sich vor jedem Anbieter hüten, der so etwas verspricht."
Außerdem gibt Frau Schinz zu bedenken, dass "IT-Abteilungen, die nicht genau wissen, welche ihrer Systemfunktionen geschäftsrelevant sind - zum Beispiel, welche Finanzdaten verarbeitet, gespeichert und an andere Systeme übermittelt werden, wer Zugriff auf die Systeme hat, welche Autorisierung und welche Freigaben diese Personen besitzen, es schwer haben Kontrollmechanismen zu implementieren, die den Anforderungen der Wirtschaftsprüfer und Regularien gerecht werden."
CIOs und IT-Leiter sollten die Richtlinien daher als eine Gelegenheit auffassen, ihren Einfluss innerhalb der Unternehmenshierarchie zu stärken, indem sie proaktiv Governance-Initiativen einleiten und Argumente für die Prozessautomatisierung der Revision und Datenaufzeichnung sammeln. Die Richtlinien sollten die Implementierung von bewährten Prozessen und Kontrollmechanismen (Best Practices) voranbringen. Denn eine transparente Berichterstattung ist nicht nur aus regulatorischen Gründen wichtig, sondern auch bei der Unternehmensbewertung im Zusammenhang mit Übernahmen, gerichtlichen Überprüfungen, internen Ermittlungen und Ähnlichem.
"Wie kürzlich dargestellt, werden 'gute' IT-Abteilungen lediglich die notwendigsten technischen Veränderungen durchführen, um die Einhaltung der Richtlinien sicherzustellen. 'Ambitionierte' IT-Abteilungen dagegen werden sie als Sprungbrett nutzen, um ihre Rolle grundlegend zu verändern. Sie können sich durch die damit verbundenen Aktivitäten aus einer rein reaktiven, eher taktischen, zu einer proaktiven, strategischen Ressource des Unternehmens mit eigenständigem geschäftlichen Wert entwickeln. Im Rahmen der Unternehmensleitung können sie als treibende Kraft die Umsetzung fortschrittlicher Corporate-Governance-Prozesse voranbringen", fasst Susanne Schinz zusammen.
Die legislative Interpretation der EU-Richtlinie in den einzelnen Ländern hat einen breiten Spielraum. Daher wären Unternehmen gut beraten, wenn sie anstrebten, dass alle Berichts- und Prüfungsprozesse so robust wie möglich gestaltet werden, um jeder Eventualität gewachsen zu sein. (Touchpaper: ra)