EURO SOX

Start > Grundlagen > Rechtliche Grundlagen > IT-Compliance > EURO SOX

nächstes Kapitel: ISMS

IT und Compliance
Euro-SOX - Neufassung und Hintergründe der 8. EU-Prüferrichtlinie

Weithin großes Aufsehen erregte vor wenigen Jahren der Finanzskandal um die Pleite des US-Konzerns Enron. Das nach eigener Darstellung „beste Unternehmen der Welt“ erschütterte die US-Wirtschaft bereits im Jahre 2002 durch seine Bilanzfälschung derart nachhaltig, dass selbst die seinerzeit recht wirtschaftsliberale US-Administration sich zu einer drastischen Verschärfung der Berichtspflichten von Unternehmen in Form des sog. Sarbanes-Oxley-Acts (SOX) veranlasst sah. Neben konkreten Verschärfungen der Rechnungslegungs-Vorschriften beinhalteten diese Neuregelungen vor allem die persönliche Haftung für CEO und CFO bei mangelhafter Umsetzung notwendiger Kontrollverfahren, die sich insbesondere auch in weitreichenden Archivierungspflichten für elektronische Kommunikation erstreckten.

Modifiziert wurden durch die Neuregelung bereits bestehende Bundesgesetze, namentlich das Börsengesetz (Securities Exchange Act) und das Wertpapiergesetz (Securities Act). Die US-Wertpapier- und Börsenaufsichtsbehörde, die Securities and Exchange Commission (SEC) sowie die Public Company Accounting Oversight Board (PCAOB) hatten in Folge neue Richtlinien für deren Umsetzungen zu erlassen: Sec. 404 SOX fordert ein umfassendes IT-Sicherheitsmanagement in Unternehmen, was durch die Wirtschaftsprüfer zu testieren ist.

Besondere Beachtung fand das neue Regelwerk auch in Übersee nun schon deshalb, da sich dessen Geltungsbereich nicht etwa nur auf US-börsennotierte Unternehmen beschränkt, sondern (allerdings mit einer „Schonfrist“ bis spätestens Ende 2006) auch für alle ausländischen Unternehmen gilt, die an US-Börsen bzw. der NASDAQ notieren, oder für ausländische Tochterfirmen notierter US-amerikanischer Gesellschaften. Bereits quasi durch die „Hintertür“ wurden derart bereits Compliance-Maßstäbe und Sorgfaltspflichten für das Management großer Kapitalgesellschaften in der ganzen Welt „exportiert“.

Finanzskandale sind – wie spätestens der Fall Parmalat gezeigt hat – keineswegs ausschließliches Privileg der US-Wirtschaft, so dass die EU dem Beispiel der USA folgte und die Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 beschloss, welche zwischenzeitlich bereits durch die Richtlinie 2008/30/EG des Europäischen Parlaments und des Rates vom 11. März 2008 zur Änderung der Richtlinie 2006/43/EG eine weitere Konkretisierung erfahren hat.
Eine Umsetzung in nationales Recht durch die Bundesregierung steht noch aus; der Referentenentwurf wurde indes vom Bundesministerium der Justiz am 16. Oktober 2007 der Öffentlichkeit vorgestellt und schließlich am 21. Mai 2008 vom Bundeskabinett beschlossen. Ende des Jahres soll es zur Sachverständigenanhörung im Rechtsausschuss kommen, mit einer Verabschiedung ist mithin frühestens Anfang 2009 zu rechnen.
Wirtschaftspolitischer Hintergrund war vor allem die Stärkung des Vertrauens in einen zunehmend komplexen und damit risikobehafteten Finanzmarkt. Eben dafür soll eine bessere Kontrolle und Transparenz des Berichtswesens von Unternehmen besonderen „öffentlichen Interesses“ dienen, zu denen neben notierten Aktiengesellschaften auch Finanzinstitute, die Eigenbetriebe der öffentlichen Verwaltung, Versorgungsmonopolisten wie die Bahn, die Post oder z. B. auch Energieunternehmen gehören.

Die EU verfolgt hier prinzipiell die gleichen Ziele wie die USA mit SOX: Das Prüfwesen für den Europäischen Markt soll stärker harmonisiert werden, Abschlussprüfungen von Unternehmen innerhalb der EU sollen denen der USA weitgehend gleichgestellt werden. Die IT- und TK-Infrastruktur muss demnach alle relevanten Daten erfassen und jederzeit verfügbar halten, alle abschlussnahen Prozesse sind lückenlos und nachvollziehbar zu dokumentieren. Dies ist vor dem Hintergrund von KonTraG und Basel II nun nicht völlig neu und impliziert die Einführung und Unterhaltung eines effektiven Risk Management Systems (RMS) und des dazugehörigen internen Kontrollsystems (IKS).
In organisatorischer Hinsicht treten aber erweiterte Regelungen für die Abschlussprüfer in Kraft: So sieht Euro-Sox einen Prüfungsausschuss vor, der gleichsam wie das „Audit Committee“ im SOX die Aufgabe hat, die Abschlussprüfung sowie das RMS und IKS zu überwachen. Gewollt ist letztlich ein Qualitätssicherungssystem, über das Abschlussprüfer und Prüfungsgesellschaften verpflichtet werden, sich einer externen Qualitätskontrolle zu unterwerfen.
Die Gesamtergebnisse des Qualitätssicherungssystems müssen jährlich veröffentlicht werden. Der Prüfungsausschuss muss durch den Abschlussprüfer über alle wichtigen Sachverhalte in Kenntnis gesetzt werden, was insbesondere für entdeckte Schwachstellen im IKS und im Finanzberichtswesen gilt.

Fehlt es also schon an der Archivierung aller relevanten Daten, Dokumente und Unterlagen, wird im Schadensfalle das Management persönlich in die Haftung genommen werden, der Prüfer das Bilanztestat verweigern und es zu Nachteilen in Ratings, zum Beispiel nach den Basel II-Kriterien oder beim Abschluss von Versicherungen, kommen. Wir helfen Ihnen durch maßgeschneiderte Lösungen, dass es nicht so weit kommt.

Alle rechtlichen Inhalte auf dieser Seite wurden mitgeteilt von
Rechtsanwalt Henrik Angster
esb Rechtsanwälte Stuttgart

nächstes Kapitel: ISMS