Überblick über existierende Vorschriften, Gesetze und Normen

Transkript

1 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen Vorschriften erlassen und bestehende verschärft. Die Schwierigkeit der überblickartigen Darstellung der Compliance- Anforderungen liegt darin, dass sie in einer Vielzahl von Gesetzen, Richtlinien und sektorenspezifischen Anforderungen enthalten sind. 28 Im Folgenden wird ein Überblick über die, für diese Arbeit, relevanten Regelungen verschafft. Einen wesentlichen Aspekt der IT-Compliance bilden die gesetzlichen Anforderungen an die Informations- und Dokumentationspflichten der Unternehmen mit Hilfe der IT. 29 Nach den Grundsätzen ordnungsmäßigen Buchführung (GoB) müssen Geschäftsbriefe 30 während der gesetzlich festgelegten Fristen 31 aufbewahrt werden. Mit der elektronischen Archivierung ist eine Reihe von Anforderungen an die Dokumente 32 und Datenverarbeitungssysteme (DV- Systeme) 33 verbunden. 34 Als Reaktion auf wachsende Bedeutung der IT für die Buchführung, wurde GoB um GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) erweitert. 35 GoBS stellen verbindlichen, gesetzlichen Regelungen für elektronische Buchhaltung einer Unternehmung dar. 36 Ergänzend zu den handels- und steuerrechtlichen Verpflichtungen wurde im Jahr 1998 ein Kontroll- und Transparenzgesetz (KonTraG) als eine weitere wesentliche Norm erlassen. 37 Nach dieser Vorschrift sind die Aktiengesellschaften verpflichtet 38 ein internes Kontrollsystem (IKS) einzuführen, zu etablieren und permanent an die veränderten Anforderungen anzupassen. IKS ist eng mit dem Risikomanagement verknüpft, weil es zur Identifikation des Risikos ein Frühwarnsystem einsetzt. 39 Außerdem gibt IKS eine ausreichende Basis zu Erfül- 28 Vgl. Rath M., S. 3 [Laut Rath, M. soll es weltweit über Compliance-Anforderungen geben] 29 Vgl. Rath M., S Als Geschäftsbriefe werden solche Dokumente oder s bezeichnet, die im Zusammenhang mit der Vorbereitung, dem Abschluss und der Durchführung des Handelsgeschäftes stehen [Vgl. Rath M., S. 9] 31 Die Aufbewahrungsfristen ergeben sich aus 257 HGB 32 Die Anforderungen an Dokumente ergeben sich unter anderem aus 147 AO 33 Die Anforderungen an DV-Systeme ergeben sich unter anderem aus 146 AO 34 Vgl. Rath M., S Vgl. Macher S./Töller J., S Vgl. Eschweiler J./Daniel E., S Vgl. Macher, S./Töller, J., S Mittlerweile gilt diese Regelung nicht nur für die AG sondern auch für andere Unternehmensformen [Vgl. o.v. (o.j.i)] 39 Vgl. Zieger, M.

2 6 lung von gesetzlichen Berichts- und Dokumentationspflichten. Hier kann insbesondere auf 289 HGB verwiesen werden, das die Unternehmen zur Aufstellung eines Lagerberichtes auffordert. Ein Lagerbericht enthält unter anderem Angaben zu den möglichen Risiken künftiger Entwicklungen. Diese Aufstellung ist aber ohne ein angemessenes Risikomanagementsystem nicht möglich. 40 Ein weiterer Aspekt des KonTraG ist die Haftung des Vorstandes und Aufsichtsrates, wenn das errichtete Überwachungssystem nicht angemessen. 41 Die Haftung des Vorstandes oder der Geschäftsführung ergibt sich allerdings bereits für die Aktiengesellschaften aus 93, 116 AktG und für die Gesellschaften mit beschränkter Haftung aus 43 GmbHG. 42 Die Funktionsfähigkeit des Überwachungssystems sowie die Angemessenheit der Risikobeachtung muss vom Wirtschaftsprüfer beurteilt werden. 43 Die Prüfung des Überwachungssystems und Beurteilung von IT-spezifischen Sachverhalten richtet sich an den IDW 44 Prüfungsstandards. 45 International tätige Unternehmen sehen sich mit weiteren Regelungen konfrontiert. So sind die deutschen Aktiengesellschaften mit US-Börsennotierungen 46 verpflichtet die Richtlinien von Sarbanes Oxley Act (SOX/SOA), das im Jahr 2002 verabschiedet wurde, einzuhalten. 47 SOX fordert eine Etablierung von Prozessen und Strukturen in die Unternehmensorganisation, die Sicherstellung der Richtigkeit und Verlässlichkeit der Finanzdaten und eine angemessene Transparenz in der Unternehmensführung. 48 Für die Erfüllung diesen Anforderungen ist eine einheitliche Betrachtung von Geschäftsprozessen, Kontroll- und Steuerungsmaßnahmen und IT notwendig. Hier spielt die IT-Sicherheit eine bedeutende Rolle, weil ohne sie eine bessere Prozesssicherheit nicht erreicht werden kann. 49 Für die IT-Sicherheit sind insbesondere Section 302, Section 404 und Section 409 von direkter Bedeutung. Section 404 verpflichtet das Management zu dem Aufbau internen Kontrollstrukturen und der Etablierung transparenten Fachprozessen. Ihre Funktionsfähigkeit muss dann von dem Abschlussprüfer beurteilt, validiert und attestiert werden. Section 302 regelt direkte Zuständigkeit und Haftung des Vor- 40 Vgl. Mörl, R./Scholz, P., S.1 41 Vgl. Rath, M., S Vgl. Rath, M., S. 3 [Für die Unternehmensleitung ergibt sich dies bereits aus den allgemeinen Sorgfaltspflichten (Rath, M., S. 3)] 43 Vgl. Macher, S./Töller, J., S IDW: Institut Deutscher Wirtschaftsprüfer 45 Als bedeutendsten IDW Prüfungsstandards sind PS 260, 330 sowie 880 und 890 zu nennen [Vgl. Macher, S./Töller, J., S. 32] 46 In der Praxis ist jedoch eine Tendenz zur Einhaltung der SOX-Richtlinien auch von nicht in der USA börsennotierten Unternehmen feststellbar [Vgl. Rath, M., S. 4] 47 Vgl. Macher, S./Töller, J., S Diese decken sich zum Teil mit KonTraG [Vgl. Schaffry, A. (2007)] 49 Vgl. Eschweiler J./Daniel E., S. 136

3 7 standsvorsitzenden und des Finanzvorstands für den Aufbau, Betrieb und Weiterentwicklung des IKS sowie die Richtigkeit der Finanzberichte. Section 409 beinhaltet die Regelung zur Notwendigkeit von kontinuierlichen Kontrollmaßnahmen sowie ihre uneingeschränkte und zeitnahe Überprüfung und die der relevanten Unternehmensprozesse. 50 Die Nichteinhaltung der SOX-Vorschriften wird strengst sanktioniert. 51 Als weiteren gesetzlichen Vorgaben, die bei dem IT-Einsatz in der Unternehmung beachtet werden müssen, sind das Bundesdatenschutzgesetz (BDSG) und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU). 52 Der 9 BDSG definiert Schutzziele 53, die bei einem ausreichendem Schutz der im Unternehmen vorhandenen Daten erfüllt sein müssen. 54 Durch GDPdU hat das Bundesfinanzministerium (BaFin) die Anforderungen an die Archivierung digitaler Unterlagen konkretisiert. 55 Nach der GDPdU werden 3 Arten des Zugriffs unterschieden: unmittelbarer und mittelbarer Datenzugriff sowie eine Datenträgerüberlassung. 56 In der Praxis spielen weitere branchenspezifische Regelungen und Standards eine bedeutende Rolle. Da ihre Darstellung jedoch den Rahmen dieser Arbeit sprengen würde, wird auf diese verzichtet. 57 Viele der dargestellten Regelungen und Gesetzen verfolgen ein gemeinsames Ziel. Sie sollen sicherstellen, dass im Unternehmen vorhandenen Risiken transparent gemacht werden und ausreichenden Kontrollmöglichkeiten vorhanden sind, um bei aufgetretenen Problemen rechtzeitig reagieren zu können. 58 Die Komplexität der Informationstechnik und die Nachfrage nach Zertifizierung führten zur Entstehung zahlreicher Anleitungen, Standards und nationalen Normen zur IT-Sicherheit. 59 Im Weiteren soll kurz auf die Standards zum IT-Sicherheitsmanagement eingegangen werden. 50 Vgl. ebenda, S Vgl. Rath, M., S Vgl. Macher, S./Töller, J., S Schutzziele sind Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Datentrennungskontrolle [Vgl. Rath, M., S. 6; ähnlich in Welp, C., S ] 54 Weitere für die IT-Sicherheit relevanten Normen sind 4, 5, 9a und 11 BDSG [Vgl. Eschweiler J./Daniel E., S. 133] 55 Vgl. Rath, M., S Vgl. Kalkbrenner, D., S ; Eine Übersicht über die Zugriffsarten befindet sich im Anhang A1 57 Internationale Regelungen: Basel II [z.b. in Haar, T. oder in Eschweiler J./Daniel E., S ]; Solvency II [z.b. in URL: und IAS. Nationale Regelungen: MaRisk [z.b. in Münch, I., S. 62]; MaK [z.b. in Rath, M., S. 8]; MaIR [z.b. in Rath, M., S. 8]; MAH [z.b. in Rath, M., S. 8] usw. 58 Vgl. Münch, I., S Vgl. ebenda, S. 66

4 8 Ein Basiswerk bietet Serie, die von ISO 60 zusammengetragen wurde. Es handelt sich um eine Anleitung, die Empfehlungen auf der Managementebene enthält. 61 Einen Überblick über die ISO-Normen der Serie soll die Tabelle 1 verschaffen. ISO-Norm Beschreibung der entsprechenden ISO-Norm Beschreibung der Grundlagen, Definitionen und Begriffe zu Informationssicherheitsmanagementsystemen (ISMS) Standard zur Grundlagen von Zertifizierungen von ISMS Definition des Rahmenwerks für IT-Sicherheitsmanagement und Detaillierung des Maßnahmenkataloges, das einen Aufbau und Verankerung des IT- Sicherheitsmanagements in dem Unternehmen begleiten Leitfaden zur Umsetzung von ISMS liefert langfristige Grundlagen für die Leistungsfähigkeitsmessung des ISMS Beschreibung des Managements der Informationssicherheitsrisiken Behandelt Spezifika der ISMS-Zertifizierungsprozesse und beschreibt die Anforderungen, die an die Akkreditierung von Zertifizierungsstellen gestellt werden Wird mittelfristig Audit-Richtlinien enthalten Tabelle 1: Überblick über die ISO-Normen zum IT-Sicherheitsmanagement Quelle: In Anlehnung an Münch, I., S. 66 In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Thema IT-Sicherheitsmanagement eine Schriftenreihe mit Standards herausgegeben. Diese Standards enthalten Empfehlungen zu Methoden, Prozessen und Verfahren. Außerdem werden dort Vorgehensweisen und Maßnahmen dargestellt, die auf die unternehmensspezifischen Anforderungen angepasst werden können. 62 Die BSI-Standards sind mit dem IT- Grundschutzkatalog kompatibel. IT-Grundschutz wurde ebenfalls von BSI herausgegeben und stellt eine Art Referenzmodell dar, das die Standards zur Ausgestaltung der IT-Systeme enthält. 63 Zusätzlich zu den in der Tabelle 2 aufgezeigten Standards beinhaltet BSI eine ISO- Zertifizierung nach ISO: International Oraganization for Standardization 61 Vgl. Münch, I., S Vgl. o.v. (o.j.l) 63 Vgl. Münch, I., S Vgl. Münch, I., S

5 9 BSI-Standard Beschreibung des Standards Betrifft Managementsysteme für Informationssicherheit; Definition allgemeiner Anforderungen an ISMS; Gliederung mit IT-Grundschutz- Vorgehensweise kompatibel Interpretation allgemein gehaltenen Anforderungen der ISO-Standards; beinhaltet wichtige Themen zum Aufbau und Aufgaben des IT- Sicherheitsmanagements; erprobte und effiziente Möglichkeit den ISO- Standards navhzugehen Risikoanalyse auf Basis von IT-Grundschutz; vorteilhaft, wenn das Unternehmen bereits erfolgreich mit IT-Grundschutz gearbeitet hat Aufzeigen des systematischen Wegs um bei den Notfällen der verschiedensten Art reagieren zu können Tabelle 2: Überblick über die BSI-Standards Quelle: In Anlehnung an Münch, I., S Die meisten Unternehmen haben mittlerweile erkannt, dass die Einhaltung von Gesetzen und internen Richtlinien ein wichtiges Unternehmensziel ist. Vor allem die Haftungsregelungen für Vorstand und Unternehmensleitung sowie die Notwendigkeit der erfolgreichen Einbettung der IT in dem Unternehmen und daraus resultierende Potentiale, sind für die steigende Bedeutung der IT-Compliance verantwortlich. 65 Mit dieser Erkenntnis stieg der Bedarf an Referenzmodellen, auf die im nächsten Abschnitt eingegangen wird Vgl. ebenda, S. 71 sowie Wecker, G., S Vgl. Goeken, M./Johannsen, M., S. 11