zurück Meldungen Artikel Bilder Viten Mappen Termine Kontakte Service Suche Start


Sie sehen den Artikel: Wenn der Betriebsprüfer kommt. Veröffentlicht am: 12.08.2005
  
Web-Vorlage

Compliance-Thematik schwebt wie ein Damoklesschwert über den Unternehmen

 

Wenn der Betriebsprüfer kommt

 

Rund sechs Prozent ihres Budgets geben Unternehmen dafür aus, interne und externe Vorschriften zu erfüllen. Das geht aus einer Untersuchung des Wirtschaftsprüfungsunternehmens Price Waterhouse Coopers unter den Topmanagern amerikanischer und europäischer Konzerne hervor. Dabei gibt mehr als die Hälfte der Manager zu, keine klare Vorstellung hinsichtlich des Nutzens dieser Ausgaben für die eigene Firma zu haben. Eine fatale Entwicklung, zumal seit Beginn des Jahres 2005 neue gesetzliche Richtlinien definieren, wie Unternehmen steuerlich relevante Daten in auswertbarer Form vorhalten müssen. Diese ergänzen bereits bestehende Anforderungen wie die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) in Deutschland sowie die Geschäftsbücherverordnung (GeBüV) für die Schweiz und werden trotz ihrer Wichtigkeit nur gering beachtet. Dabei müssten Organisationen ihre IT-Infrastrukturen bereits jetzt dahingehend ausrichten, dass sie für eine vollständige Kontrolle und Dokumentation des Informationsflusses sowie deren effiziente Archivierung geeignet sind.

 

Wer nach der konkreten Bedeutung des Begriffes Compliance fragt, wird zahlreiche Antworten erhalten und stößt häufig auf das Schlagwort Corporate Governance. Hierzu gibt es umfassendes Informationsmaterial von einer Definition des Bundesjustizministeriums bis zu einem Kodex für Corporate Governance, dessen Einhaltung in der Unternehmenspraxis sogar von einer Regierungskommission überwacht wird. Dieser Kodex soll die in Deutschland geltenden Regeln für Unternehmensleitung und -überwachung für nationale und internationale Investoren transparent machen. Der Kodex adressiert unter anderem mangelhafte Ausrichtung auf Aktionärsinteressen, duale Unternehmensverfassung mit Vorstand und Aufsichtsrat sowie die mangelnde Transparenz in der Unternehmensführung. Aber jetzt zurück zum Thema Compliance, denn im Gegensatz zu Corporate Governance sind sich die Gelehrten über eine genaue Bedeutung und Definition immer noch nicht so ganz einig. Was bedeutet Compliance eigentlich? Wörterbücher und Übersetzungsprogramme helfen nicht wirklich weiter. Sie bieten für das Wort ein facettenreiches Spektrum. Das Angebot reicht von Einhaltung, Erfüllung oder Folgsamkeit sogar bis zur Unterwürfigkeit. In den gängigen Suchmaschinen tummeln sich zahlreiche Hinweise, aber wenige helfen wirklich weiter. Am weitesten kommen Interessenten derzeit noch mit einem Klick auf Seiten aus den USA.

 

Der Stein kommt ins Rollen

 

Denn wie so viele andere hat auch das Thema Compliance seine Wurzeln in den Vereinigten Staaten. Primär durch die Skandale rund um ENRON, WorldCom und andere Unternehmen wurden Compliance-Fragestellungen in größerem Umfang öffentlich diskutiert. Ursache waren damals Unregelmäßigkeiten bei Kontrollen durch Wirtschaftsprüfer und in Geschäftsberichten der Unternehmen. E-Mails spielten dabei erstmals als Beweismaterial für gesetzeswidriges Handeln eine wichtige Rolle. So kam es im Jahr 2002 zu dem Sarbanes Oxley Act, kurz SOA, benannt nach den beiden Leitern der damals zuständigen Ermittlungskommission. Dieser Gesetzentwurf soll Prüfungen der US-Börsenaufsicht Securities and Exchange Commission (SEC) von Unternehmens- und Buchhaltungsdaten transparenter und besser nachvollziehbar gestalten. Der SOA wird für alle Unternehmen angewendet, die an den US-Börsen gelistet sind. Dies kann deutsche und schweizer Großunternehmen ebenso betreffen wie amerikanische Firmen, die international agieren. Demnach werden Unternehmen verpflichtet, unter anderem ein internes Kontrollsystem für die Rechnungslegung zu unterhalten und die Richtigkeit ihrer Quartals- und Jahresberichte beglaubigen zu lassen. Einfach ausgedrückt bedeutet Compliance somit die gesetzeskonforme Verwaltung von Informationen.

 

Alles elektronisch

 

Eine europäische Variante des Sarbanes Oxley Acts wird wohl nur noch eine Frage der Zeit sein. Denn E-Commerce und elektronischer Geschäftsverkehr, zunehmende Kommunikation per E-Mail und die Umstellung öffentlicher Verwaltungen auf elektronische Prozesse haben weitere Compliance-Anforderungen zur Folge. Einige EU-Richtlinien hat Deutschland bereits mit den Richtlinien für E-Commerce sowie zur elektronischen Signatur und die Schweiz mit dem Obligationenrecht (OR) umgesetzt. Ein Beispiel hierfür ist die elektronische Rechnung. Sie berechtigt nur dann zum Vorsteuerabzug, wenn die elektronische Signatur diesen offiziellen Rahmenbedingungen entspricht. Unter Berücksichtigung dieser und noch zu erwartender Entwicklungen sind Unternehmen gut beraten, sich über eine IT-Strategie Gedanken zu machen, die möglichst viele Compliance-Anforderungen erfüllt und gleichzeitig Prozesse der Datenverarbeitung, -archivierung und -vernichtung effizient gestaltet. Generell scheint der Begriff Compliance für viele noch ein Buch mit sieben Siegeln zu sein. Wer nach einem konkreten Compliance-Gesetz sucht, wird dementsprechend auch nichts finden. Dennoch sind beispielsweise die deutschen Grundsätze des Datenzugriffs und der Prüfbarkeit digitaler Unterlagen oder jene der Schweizer GeBüV durchaus mit Vorgaben der SEC vergleichbar. Hier handelt es sich um landesweit gültige Vorschriften, die sicherstellen, dass Finanzverwaltungen im Rahmen von Außenprüfungen auf die steuerrelevanten Daten eines Unternehmens zugreifen können. Diese Informationen müssen gemäß den Aufbewahrungsfristen bis zu 10 Jahre vorgehalten werden. Die Originaldaten sind vollständig, richtig und auswertbar zu archivieren. Deshalb spielen auch bei der GDPdU sowie der GeBüV Dokumente und E-Mails neben den Daten aus Unternehmensanwendungen wie SAP-, ERP- und Buchhaltungssystemen eine zunehmend wichtigere Rolle.

 

Grundsätze für mehr Stringenz

 

Noch genauer regeln die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) beziehungsweise OR, Grundsätze ordnungsmäßiger Buchführung (GoB) und GeBüV in der Schweiz die Aufbewahrung von kaufmännischen Unterlagen in elektronischer Form. (Inwieweit die handelsrechtlichen von den steuerrechtlichen Vorgaben abweichen, lesen Sie in dem Artikel von Dietmar Hoffmann, Manager bei KPMG Advisory, auf den Seiten 9 und 10.) Hier sind die Grundsätze für das interne Sicherheitssystem, die revisionssichere Archivierung und die Verfahrensdokumentation festgelegt. Mit diesen Vorgaben versprechen sich Bund und Länder, die Voraussetzungen für E-Commerce und E-Business sowie eine effektive elektronische Informationsverwaltung stringenter zu regeln. Die elektronische Signatur wird in diesem Zusammenhang immer häufiger genannt und könnte im Jahr 2005 den Durchbruch schaffen. Denn ihr Einsatz wird jetzt schon in nahezu allen neueren Gesetzen geregelt.

 

Die europäische Union und ihre Mitgliedsstaaten arbeiten zunehmend enger zusammen. Angesichts eines grenzüberschreitenden Geschäftsverkehrs oder über das Internet abrufbare elektronische Dienstleistungen wird ein einheitlicher Rechtsraum insbesondere im Handels- und Steuerrecht unerlässlich. Auf Basis von EU-Richtlinien, die für alle Mitglieder bindend sind, werden zwangsläufig weitestgehend einheitliche Compliance-Anforderungen entstehen. Zwischen Österreich und Deutschland bestehehen nur noch kleine Unterschiede in Detailregelungen. Auch wenn beispielsweise die Bereithaltung von Daten zur steuerlichen Prüfung in Österreich in Form einer Liste ausreicht, sind die Anforderungen bei der Auswertbarkeit die gleichen. Selbst die Schweiz als Nicht-EU-Mitglied hat mittlerweile die wesentlichen Gesetze und Verordnungen an die europäischen Vorgaben schrittweise angeglichen. Dies zeigt sich beispielsweise in den Bestimmungen zur Buchführung im OR. Sie regeln die Aufbewahrung von Geschäftskorrespondenz, der Bücher und der Buchungsbelege in elektronischer Form.

 

IT soll es richten

 

Unabhängig von geografischen Regionen resultieren aus Compliance-Anforderungen auch wachsende Ansprüche an die IT-Infrastruktur. Das Angebot reicht von einzelner Software und Systemen bis hin zu Lösungen für die vollständige Kontrolle und Dokumentation des Informationsflusses. Die Tendenz geht klar in Richtung solcher Lösungen, die möglichst viele Anforderungen abdecken. Ziel sollte eine Infrastruktur sein, die alle Informationen des Unternehmens verwalten und bereithalten kann. Mit Enterprise Content Management, Records Management oder Information Lifecycle Management gibt es schon einige technologische Entwicklungen in die richtige Richtung. Der Software-Anbieter Adobe Systems hat mit Compliance-Reporting schon eine Lösung im Portfolio, die auf dem selbst entwickelten Dateiformat PDF basiert. Diese ermöglicht Organisationen, Abstimmungsprozesse zu automatisieren, die Integrität finanzieller Berichte zu erhöhen und durchsuchbare Indizes für Finanzdaten zu erstellen. Letztlich bedarf es aber einer umfangreicheren Information und Aufklärung der Anwender rund um das Thema Compliance. Denn bisher gibt  es nur wenige anerkannte Zertifizierungen. Diese beschränken sich dann wieder auf einzelne Produkte oder Prozesse. So bleibt dem Anwender derzeit oft nur die Möglichkeit, sich an Standards, Praxisbeispielen und Richtlinien, wie beispielsweise das Grundschutzhandbuch des BSI, zu orientieren.  Wer schon jetzt auf der sicheren Seite sein will, stellt die Nutzung, Verteilung und Archivierung relevanter Informationen von Papier auf elektronische Dokumente um. Zur richtlinienkonformen Verwaltung, Archivierung und fristgerechten Löschung werden in zunehmendem Maße spezialisierte Speicherlösungen genutzt. Für die Steuerung und Kontrolle der Datenträger sind oft so genannte Jukeboxen im Einsatz. Diese stellen Software-gestützt die benötigten Informationen bereit und ermöglichen in der Regel auch, Medien zu verwalten, die sich nicht mehr in der Jukebox befinden und auf Anforderung manuell zugeführt werden. Dieser Prozess ist allerdings extrem aufwändig und bietet keine Sicherheit, ob alte Daten mit den Jukeboxen der Zukunft noch kompatibel beziehungsweise lesbar sein werden. Deshalb erfreut sich neben den klassischen Archivspeichern eine neue Technologie auf Basis von Festplattensystemen wachsender Beliebtheit: Content Addressed Storage (CAS).

 

Eine typische CAS-Anwendung ist die EMC Centera. Sie ist eine kombinierte Hard- und Software-Lösung mit einer online-basierten Architektur. Wird eine in Centera bereits archivierte Datei geändert, behandelt das System diese wie ein neues Objekt. Mithilfe einer Kodierung bei der Speicherung und Vergabe einer speziellen Adresse verhindert Centera ein Überschreiben oder Ändern der Informationen. Mit der Centera Governance Edition erfüllen Anwender bei der Online-Speicherung elektronischer Daten wie E-Mails, Krankenberichte oder Röntgenbilder schon jetzt alle gesetzlichen Vorgaben für deren Aufbewahrung. Alle Centera-Systeme von EMC sind zudem nach dem Prüfungsstandard 880 des Instituts der Wirtschaftsprüfer und Compliance zertifiziert. Zum Abschluss sollte nicht unerwähnt bleiben, dass auch in Deutschland und der Schweiz schon einige Unternehmen das Thema Compliance sehr ernst nehmen. So gibt es bei dem Chemieriesen BASF bereits seit 2003 einen Chief Compliance Officer. Er ist zuständig für die kontinuierliche, gruppenweite Weiterentwicklung eines speziellen Programms und betreut ein Netzwerk von regionalen Compliance-Beauftragten. Dieses Programm bei BASF soll Mitarbeitern eine Hilfestellung zu korrektem Verhalten geben. Eine Handlungsanleitung fasst zentrale gesetzliche Bestimmungen und die entsprechende Unternehmenspolitik zusammen. Es kommt übrigens sicher nicht von ungefähr, dass dieser Chief Compliance Officer bei BASF ein zugelassener Rechtsanwalt ist.

 

 

Compliance – Eine Checkliste

 

- Wie hoch wird der Zeitaufwand einer Bilanzprüfung eingeschätzt und wie könnte diese effizienter ablaufen?

- Können mit der bisherigen Archivierungsstrategie alle verfahrenserheblichen Informationen bereitgestellt werden?

- Wird es in fünf Jahren noch ein System geben, das heutige Band- beziehungsweise optische Medien lesen kann?

- Verfügt die Organisation über ein zuverlässiges Verfahren zum Speichern und Abrufen geschäftskritischer und vertraulicher Daten?

- Wie effizient und kostenintensiv sind Offenlegungs- und Reporting-Prozesse?

- Gibt es ein integriertes System zur Verwaltung von Datensätzen – von der Erstellung über die Wartung bis zur Datenvernichtung?

- Verfügt das Unternehmen über ein systematisches Verfahren zur Datensatzarchivierung – und lässt sich die Wirksamkeit dieses Verfahrens problemlos belegen?

- Sind Aktivitäten ausgelagert, bei denen Datensätze (beispielsweise neue Konten oder Geschäftsbestätigungen) erstellt werden?

Werden aufgezeichnete Kundenanfragen archiviert?

 

 

ml>
 

Diesen Artikel als PDF-Datei downloaden  

 

 

 
Zu diesem Artikel ist derzeit kein Bild vorhanden
 
Zu diesem Artikel ist derzeit keine Vita vorhanden