- 8.EU-Richtlinie ("EuroSOX") - AEO - Basel II - BDSG - BilMoG s. 8.EU-Richtlinie - BSI GsHb - CobiT - FDA-Vorschrift 21 CFR Part 11 - GDPdU - GoBS - IFRS - ISAE 3402 und SSAE 16 - ISO/IEC 27001/2 - ISO/IEC 38500 - ISO 9001 - KonTraG - MaRisk der BaFin - PCI DSS - SAS 70 Report: s. ISAE 3402 - Sarbanes-Oxley Act ("SOX") - Wichtiger Hinweis

8. EU-Richtlinie („EuroSOX“)
Die Bundesregierung hat die 8. EU-Richtlinie im Rahmen des Bilanzmodernisierungsgesetz (BilMoG) in geltendes nationales Recht umgesetzt. Die neuen Bilanzierungsregelungen sind verpflichtend für Geschäftsjahre ab dem 1. Januar 2010 anzuwenden.

Wirtschaftsprüfer sollen verstärkt die Anforderungen an die Informationssicherheit in den Unternehmen prüfen, weil sie selbst strengeren Kontrollen der Aufsichtsbehörden unterliegen. Die Notwendigkeit eines Internen Kontrollsystems (IKS) wurde durch das BilMoG bestätigt.

Im Gegensatz zu SOX sind von EURO-SOX alle Kapitalgesellschaften betroffen, nicht nur börsennotierte Firmen. Damit werden auch mittelständische und kleinere Unternehmen gezwungen, sich mit den Themen Risikomanagement, IT-Security und Sicherheitsaudits intensiver auseinanderzusetzen.

Mehr Informationen auf Wikipedia unter EuroSOX
Volltext der Richtlinie bei der Europäischen Kommission

AEO
Authorized Economic Operator (AEO) = Zugelassener Wirtschaftsbeteiligter. Ziel der AEO-Zertifizierung ist die Absicherung der durchgängigen internationalen Lieferkette ("Supply Chain") vom Hersteller einer Ware bis zum Endverbraucher.

Am Zollgeschehen beteiligte Unternehmen, die von ihren Kontrollsystemen, ihrer Zahlungsfähigkeit und ihrer Rechtstreue her gewisse Kriterien erfüllen, bekommen auf Antrag von den Zollbehörden den AEO-Status zuerkannt. Sie genießen dann zumindest im innereuropäischen Verkehr zollrechtliche Privilegien.
Es gibt dabei drei Variationen: AEO C (Zollrechtliche Vereinfachungen),
AEO S (Sicherheit), AEO F (Zollrechtliche Vereinfachungen/Sicherheit).

Mehr darüber beim Zoll

Basel II
Basel II bezeichnet die Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. Die Umsetzung in deutsches Recht erfolgte durch die Solvabilitätsverordnung (SolvV).

IT-relevant werden diese Regeln dadurch, dass Banken bei der Entscheidung über eine Kreditvergabe auch "operationelle Risiken" des Kreditnehmers berücksichtigen müssen. Da die IT-Nutzung ein solches operationelles Risiko darstellt, gilt: Defizite in der IT können hohe Sollzinsen oder gar Kreditabsagen bewirken.

Mehr bei der freien Enzyklopädie Wikipedia
Basel II - Neue Bedingungen, Rating und Tipps bei foerderland.de

BDSG
Das deutsche Bundesdatenschutzgesetz (BDSG) regelt zusammen mit den Datenschutzgesetzen der Bundesländer und anderen bereichsspezifischeren Regelungen den Umgang mit personenbezogenen Daten, die in IT-Systemen oder manuell verarbeitet werden.

Mehr bei der freien Enzyklopädie Wikipedia
Das Bundesdatenschutzgesetz bei juris.de

BSI GsHb
Das IT-Grundschutzhandbuch des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet ein "Kochrezept" für mittleres Schutzniveau. Durch die Verwendung des Grundschutzhandbuches entfällt eine aufwändige Sicherheitsanalyse, die Expertenwissen erfordert. Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen.

"Informationssicherheit - Ein Vergleich von Standards und Rahmenwerken" Publikation des BSI von 2009 (PDF 1,11 MB)

Mehr beim BSI

CobiT
CobiT (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT-Governance. Es gliedert die Aufgaben der IT in Prozesse und Control Objectives (Steuerungsvorgaben). CobiT definiert hierbei nicht vorrangig, wie die Anforderungen umzusetzen sind, sondern primär darauf, was umzusetzen ist. Zum Thema CobiT gibt es verschiedene Möglichkeiten der Zertifizierung.

Mehr bei Wikipedia unter CobiT

FDA-Vorschrift 21 CFR Part 11
Zielgruppe des "Title 21 Code of Federal Regulations" sind Organisationen, die mit der FDA (US Food and Drug Administration) in Berührung kommen, z. B. Pharmaunternehmen und Hersteller von Lebensmitteln, die in die USA exportieren. Die 1997 von der FDA verabschiedete Vorschrift regelt den Umgang mit elektronischen Protokollen und Signaturen, die unter die Aufzeichnungspflicht fallen.

21 CFR Part 11 fordert u. a. die „Beschränkung des Systemzugriffs für berechtigte Personen“ (§ 11.10d) sowie „die Durchführung von Rechte- und Rollenüberprüfungen um zu gewährleisten, dass nur berechtigte Personen das System benutzen“ (§ 11.10g).

Mehr darüber bei VOI - Voice of Information

GDPdU
Auf die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) beruft sich ein Finanzbeamter, wenn er bei Betriebsprüfungen auf die Computersysteme von Unternehmen zugreift. Man unterscheidet drei Arten des Datenzugriffs durch den Betriebsprüfer:
- den unmittelbaren Lesezugriff,
- den mittelbaren Zugriff über Auswertungen und
- die Datenüberlassung.
Für die Datenüberlassung sind verschiedene Formate zugelassen. Mittlerweile gibt es auch eine Empfehlung des Bundesfinanzministeriums für einen entsprechenden Beschreibungsstandard. Die Daten können dann vom Betriebsprüfer problemlos in die Prüfersoftware IDEA eingelesen werden.

Mehr bei der freien Enzyklopädie Wikipedia
GDPdU-Text bei Project Consult

GoBS
Die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sind von der deutschen Finanzverwaltung durch Schreiben des Bundesfinanzministeriums vom 7. November 1995 aufgestellte Regeln zur Buchführung mittels Datenverarbeitungssystemen.

Unmittelbar haben sie nur für steuerliche Buchführung Geltung. Da jedoch zahlreiche, gerade kleine und mittlere Unternehmen eine Einheitsbilanz erstellen, wirken sie sich auch auf die handelsrechtliche Buchführung aus. Denn da so eine große Zahl von Kaufleuten diesen Regeln folgt, werden sie zum Handelsbrauch und somit zu handelsrechtlichen Grundsätzen ordnungsgemäßer Buchführung (GoB).

Mehr bei der freien Enzyklopädie Wikipedia

IFRS
Die International Financial Reporting Standards (IFRS) sind eine Sammlung von Standards und Interpretationen, die von einem unabhängigen privaten Gremium, dem International Accounting Standards Board (IASB), entwickelt werden. In diesen Standards und Interpretationen werden Regeln zur externen Berichterstattung von kapitalmarktorientierten Unternehmen aufgestellt.

Abschlüsse, die nach den IFRS aufgestellt werden, sollen Informationen über die Vermögens-, Finanz- und Ertragslage des Unternehmens liefern. Dabei soll sowohl der Grundsatz der Periodenabgrenzung als auch der Grundsatz der Unternehmensfortführung berücksichtigt werden. Verständlichkeit, Entscheidungsrelevanz, Wesentlichkeit, Zuverlässigkeit und Vergleichbarkeit sind die qualitativen Anforderungen, denen der Abschluss genügen muss.

Mehr auf dem IFRS/IAS-Portal

ISAE 3402 und SSAE 16, Nachfolger von SAS 70
Werden Leistungen von Drittanbietern in Anspruch genommen, die sich unmittelbar auf die Finanzberichte auswirken, muss sich das Unternehmen vergewissern, dass bei seinen externen Dienstleistern entsprechende Kontrollmechanismen eingerichtet sind.

Bisher war der Standard SAS 70 hier die international anerkannte Referenz. Am 15. Juni 2011 wurde SAS 70 von zwei neuen Standards abgelöst, einem internationalen - ISAE 3402 - und einem amerikanischen - SSAE 16 - Standard, die für alle Berichte über Perioden gelten, die am oder nach dem 15. Juni 2011 enden. Die Ausstellung erfolgt durch einen Wirtschaftsprüfer.

Mehr bei der freien Enzyklopädie Deloitte

ISO/IEC 27002
ISO/IEC 27002 definiert sich als „umfassende Auswahl an Kontrollmechanismen, die auf Methodik und Verfahren basieren, die sich in der Informationssicherheit bewährt haben“. Grundlage für die Standardisierung war hierbei eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, also um einen „Best-practice“-Ansatz wie bei ITIL.

Soll ein Managementsystem für Informationssicherheit (engl.: Information Security Management System, ISMS) zertifiziert werden, ist dies nur über die Erfüllung der Anforderungen nach ISO/IEC 27001 möglich. Diese Norm spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Systems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Dieses Zertifikat gilt als signifikantes Plus bei einer Beurteilung nach Basel II oder SOX.

Mehr bei Wikipedia zu ISO/IEC 27002 und zu ISO/IEC 27001

ISO/IEC 38500
„Corporate Governance in Information Technology“, so lautet die Bezeichnung des ISO/IEC-Standards, der im Jahr 2008 verabschiedet wurde und als ISO/IEC 38500:2008 bekannt ist. ISO 38500 ist ein internationaler Standard, der definiert und beschreibt, wie Unternehmen eine auf Best Practices basierende IT-Governance aufbauen können.

Dieses Referenzmodell ist vor allem an die obere Führungsebene und Entscheidungsträger gerichtet, um diese in der Wahrnehmung ihrer Verantwortung für eine effektive, effiziente und rechtskonforme Nutzung der IT zu leiten. Eine zentrale Rolle spielen dabei die systematische Bewertung des IT-Einsatzes sowie die kontinuierliche Überwachung der Planrealisierung.

Mehr zu ISO/IEC 38500 im „Blog zur IT-Sicherheit“

ISO 9001
Mängel in den Prozessen werden oft zuerst in fehlerhaften Produkten sichtbar. Die Norm ISO 9001 beschreibt modellhaft das gesamte Qualitätsmanagementsystem. Damit legt das Unternehmen fest, welche Vorgaben umgesetzt werden müssen, um die Effektivität zu erhöhen und eine Sicherung der Qualität in allen Abteilungen/Schnittstellen zu gewährleisten, inklusive dem Beitrag der IT.
Branchenspezifische Standards wie der IFS Food bauen auf der Norm ISO 9001 auf.

Mehr zu EN ISO 9001 bei Wikipedia
Mehr zum IFS Food beim IFS

KonTraG
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, ist ein umfangreiches Artikelgesetz, das der Deutsche Bundestag am 5. März 1998 verabschiedete. Es trat am 1. Mai 1998 in Kraft (wenn auch einige Vorschriften erst später angewandt werden mussten bzw. durften). Es gilt als deutsches Pendant zum amerikanischen SOX

Wörtlich schreibt das Gesetz dazu in § 91 Abs. 2 des AktG eine neue Vorschrift, nach der der Vorstand verpflichtet wird „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“.

Gemäß KonTraG ist ein Unternehmen unter anderem zum IT-Risiko-Management und zur Schaffung sicherer Netzwerkinfrastrukturen verpflichtet. Daraus leiten sich strikte Maßnahmen zur Absicherung der
IT-Infrastruktur hinsichtlich Audits (lückenloser Kontrolle) und Nachweispflichten über Berechtigungsstrukturen ab.

Mehr bei der freien Enzyklopädie Wikipedia
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich KonTraG

MaRisk der BaFin
Kreditinstitute müssen laut der Mindestanforderungen an das Risikomanagement (MaRisk) von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Prozesse für eine angemessene IT-Berechtigungsvergabe einrichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt. Die Eignung der IT-Systeme und der zugehörigen Prozesse sei zudem regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.

Mindestanforderungen an das Risikomanagement - MaRisk im Rundschreiben 11/2010 der BaFin

PCI DSS
Ziel des Payment Card Industry Data Security Standard ist die Verbesserung der Sicherheit von Kreditkartendaten und des Online-Zahlungsverkehrs, sofern dieser über Kreditkartenzahlungen abgewickelt wird. Eine zentrale Anforderung dabei ist der Schutz der Kreditkartendaten durch die sichere Berechtigungszuweisung für den Datenzugriff und für die Administration der Systeme.

Betroffene Unternehmen, die sich nicht an die Vorgaben des Standards halten, können mit Strafzahlungen und Sanktionen bis hin zum Ausschluss der Teilnahme am Kreditkartenzahlungsverkehr belegt werden.

Mehr bei der freien Enzyklopädie Wikipedia

Sarbanes-Oxley Act
Der Sarbanes-Oxley Act von 2002 (SOX), ist ein US-Gesetz zur Verbesserung der Unternehmensberichterstattung in Folge der Bilanzskandale von Unternehmen wie Enron oder Worldcom.

Ziel des Gesetzes ist es, das Vertrauen der Anleger in die Richtigkeit der veröffentlichten Finanzdaten von Unternehmen wiederherzustellen. Das Gesetz gilt für inländische und ausländische Unternehmen, die an US-Börsen oder der NASDAQ gelistet sind, sowie für ausländische Tochterunternehmen amerikanischer Gesellschaften.

Kern der im in diesem Gesetz aufgeführten Regeln ist die Einrichtung eines angemessenen internen Kontrollsystems (IKS) für alle Daten, die für die Rechnungslegung relevant sind. Dies macht unter anderem die Einführung von Software-Tools zur Dokumentation und Bewertung der internen Prozesse und Kontrollen notwendig.

Mehr bei der freien Enzyklopädie Wikipedia
Experten des mITSM: SOX-Anforderungen an europäische IT-Dienstleister
Sarbanes-Oxley Act Gesetzestext (englisch)

Wichtiger Hinweis
Die hier veröffentlichten Artikel zum Thema Compliance dienen der allgemeinen Bildung und Weiterbildung und nicht der Beratung im Falle eines aktuellen Rechtsstreits. Trotz aller waltender Sorgfalt ist es möglich, dass Sie hier auf unrichtige, unvollständige, veraltete, widersprüchliche, in falschem Zusammenhang stehende oder verkürzte Angaben treffen.