IT und Compliance
Interne Kontrollsysteme (IKS)

IT-Systeme und IT-Anwendungen unterstützen heute bereits einen Großteil des im Rahmen der Finanzberichterstattung notwendigen Datenflusses. Auf deren Absicherung im Sinne einer effektiven Datensicherheit ist entsprechendes Augenmerk zu richten:
Es liegt schon handels und abgabenrechtlich (siehe z. B. Ziff. 4.1 GoBS) in der originären Verantwortung des Managements eines jedes Unternehmens, IT-basierte Finanzberichterstattungsprozesse so auszugestalten, dass die Integrität der Daten und deren Verfügbarkeit gewährleistet ist.

Dies kann nur durch ein wirksames internes Kontrollsystem (IKS) umgesetzt werden, welches die Gesamtheit aller aufeinander abgestimmten und vernetzten Kontrollen beschreibt und dokumentiert. Nach den gesetzlichen Vorlagen ist dabei entscheidend, dass neben der Sicherung und dem Schutz der vorhandenen Informationen aller Art in zeitnaher Abfolge zur Generierung der Daten diese ausnahmslos vollständig und genau aufgezeichnet werden. Durch die fortlaufende Kontrolle dieses Prozesses sollen die Verlässlichkeit bei der Auswertung der Daten und zugleich die betriebliche Effizienz optimiert werden.

Die gewissenhafte Umsetzung dieser Vorgaben wird insbesondere auch im Anwendungsbereich von EURO SOX eine gewichtige Rollen spielen. Aber bereits jetzt verlangt der Sarbanes-Oxley-Act (SOX) jährlich wiederkehrende Analysen durch Wirtschaftsprüfer nebst eidesstattlichen Versicherungen von CEO und CFO, in deren Rahmen aussagekräftige Stellungnahmen zur Wirksamkeit des IKS abgegeben und offengelegt werden müssen. Identifizierte Schwachpunkte der IT, die sich in erheblichen Fehldarstellungen in den Finanzberichten fortwirken können, werden dann auch erhebliche Relevanz bei der Frage nach einem effektiven Risk Management im Rahmen der Bewertung und Analyse nach Basel II haben – und damit wiederum bei der Frage des wirtschaftlichen Handlungsspielraumes des Unternehmens.

Trotz dieser eindeutigen Rechts- und Handlungspflichten zeigt die Erfahrung in der Praxis, dass in den meisten Fällen die vorhandenen Kontrollen und Dokumentationen nicht ausreichend sind; dies schon meist deswegen, weil es bei mangelnder Homogenität der IT-Strukturen auch regelmäßig keine risikoadäquaten Richtlinien beim Einsatz der überdies nicht effizienten Technologien gibt. Fehlt es aber z. B. schon an der hinreichenden Berechtigungsvergabe und einheitlichen Abläufen, so können diese auch nicht ausreichend dokumentiert und kontrolliert werden.

Eben hier zeigen sich schon die Schwachstellen, die zur Meidung von wirtschaftlichen Nachteilen und nicht zuletzt der persönlichen Haftung der Geschäftsleitung aber identifiziert und behoben werden müssen.

Alle rechtlichen Inhalte auf dieser Seite wurden mitgeteilt von
Rechtsanwalt Henrik Angster
esb Rechtsanwälte Stuttgart