- Sarbanes-Oxley Act ("SOX") - 8.EU-Richtlinie ("EuoroSOX") - CobiT - Basel II - KonTraG - IFRS - BSI GsHb - ISO/IEC 27001/2 - GDPdU - GoBS - BDSG - Wichtiger Hinweis

Sarbanes-Oxley Act
Der Sarbanes-Oxley Act von 2002 (SOX), ist ein US-Gesetz zur Verbesserung der Unternehmensberichterstattung in Folge der Bilanzskandale von Unternehmen wie Enron oder Worldcom.

Ziel des Gesetzes ist es, das Vertrauen der Anleger in die Richtigkeit der veröffentlichten Finanzdaten von Unternehmen wiederherzustellen. Das Gesetz gilt für inländische und ausländische Unternehmen, die an US-Börsen oder der NASDAQ gelistet sind, sowie für ausländische Tochterunternehmen amerikanischer Gesellschaften.

Kern der im in diesem Gesetz aufgeführten Regeln ist die Einrichtung eines angemessenen internen Kontrollsystems (IKS) für alle Daten, die für die Rechnungslegung relevant sind. Dies macht unter anderem die Einführung von Software-Tools zur Dokumentation und Bewertung der internen Prozesse und Kontrollen notwendig.

Mehr bei der freien Enzyklopädie Wikipedia
Experten des mITSM: SOX-Anforderungen an europäische IT-Dienstleister
Sarbanes-Oxley Act Gesetzestext (englisch)

8. EU-Richtlinie („EuroSOX“)
Die Europäische Union (EU) hat im Mai 2006 die 8. EU-Richtlinie verabschiedet, die denselben Zweck erfüllen soll wie ihr Pendant, der Sarbanes-Oxley Act (SOX) in den USA. Sie ist seit dem in allen 27 EU Mitgliedsstaaten gültig und war von diesen bis 29. Juni 2008 in nationales Recht umzusetzen.

In Deutschland wurde die Richtlinie über die Abschlussprüfung mit dem Gesetz zur Stärkung der Berufsaufsicht und zur Reform berufsrechtlicher Regelungen in der Wirtschaftsprüferordnung (Berufsaufsichtsreformgesetz – BARefG) am 3. September 2007 umgesetzt. Die EU-Richtlinie soll auch durch das Gesetz zur Modernisierung des Bilanzrechts (Bilanzrechts-Modernisierungsgesetz/BilMoG umgesetzt worden sein, welches seit 29. Mai 2009 in Kraft ist.

Mehr Informationen auf Wikipedia unter EuroSOX
Volltext der Richtlinie bei der Europäischen Kommission

CobiT
CobiT (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT-Governance. Es gliedert die Aufgaben der IT in Prozesse und Control Objectives (Steuerungsvorgaben). CobiT definiert hierbei nicht vorrangig, wie die Anforderungen umzusetzen sind, sondern primär darauf, was umzusetzen ist. Zum Thema CobiT gibt es verschiedene Möglichkeiten der Zertifizierung.

Mehr bei Wikipedia unter CobiT
Für Zertifizierungen empfiehlt econet das mITSM

Basel II
Basel II bezeichnet die Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. Die Regeln werden offiziell in der Europäischen Union Ende 2006 in Kraft treten, finden aber bereits heute in der täglichen Praxis Anwendung. Die Umsetzung in deutsches Recht erfolgt durch die Solvabilitätsverordnung (SolvV).

IT-relevant werden diese Regeln dadurch, dass Banken bei der Entscheidung über eine Kreditvergabe auch "operationelle Risiken" des Kreditnehmers berücksichtigen müssen. Da die IT-Nutzung ein solches operationelles Risiko darstellt, gilt: Defizite in der IT können hohe Sollzinsen oder gar Kreditabsagen bewirken.

Mehr bei der freien Enzyklopädie Wikipedia
Basel II - Neue Bedingungen, Rating und Tipps bei foerderland.de

KonTraG
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, ist ein umfangreiches Artikelgesetz, das der Deutsche Bundestag am 5. März 1998 verabschiedete. Es trat am 1. Mai 1998 in Kraft (wenn auch einige Vorschriften erst später angewandt werden mussten bzw. durften). Es gilt als deutsches Pendant zum amerikanischen SOX

Wörtlich schreibt das Gesetz dazu in § 91 Abs. 2 des AktG eine neue Vorschrift, nach der der Vorstand verpflichtet wird „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“.

Gemäß KonTraG ist ein Unternehmen unter anderem zum IT-Risiko-Management und zur Schaffung sicherer Netzwerkinfrastrukturen verpflichtet. Daraus leiten sich strikte Maßnahmen zur Absicherung der
IT-Infrastruktur hinsichtlich Audits (lückenloser Kontrolle) und Nachweispflichten über Berechtigungsstrukturen ab.

Mehr bei der freien Enzyklopädie Wikipedia
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich KonTraG

IFRS
Die International Financial Reporting Standards (IFRS) sind eine Sammlung von Standards und Interpretationen, die von einem unabhängigen privaten Gremium, dem International Accounting Standards Board (IASB), entwickelt werden. In diesen Standards und Interpretationen werden Regeln zur externen Berichterstattung von kapitalmarktorientierten Unternehmen aufgestellt.

Abschlüsse, die nach den IFRS aufgestellt werden, sollen Informationen über die Vermögens-, Finanz- und Ertragslage des Unternehmens liefern. Dabei soll sowohl der Grundsatz der Periodenabgrenzung als auch der Grundsatz der Unternehmensfortführung berücksichtigt werden. Verständlichkeit, Entscheidungsrelevanz, Wesentlichkeit, Zuverlässigkeit und Vergleichbarkeit sind die qualitativen Anforderungen, denen der Abschluss genügen muss.

Mehr auf dem IFRS/IAS-Portal

BSI GsHb
Das IT-Grundschutzhandbuch des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet ein "Kochrezept" für mittleres Schutzniveau. Durch die Verwendung des Grundschutzhandbuches entfällt eine aufwändige Sicherheitsanalyse, die Expertenwissen erfordert. Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen.

Mehr bei der freien Enzyklopädie Wikipedia
Mehr beim BSI

ISO/IEC 27002
ISO/IEC 27002 definiert sich als „umfassende Auswahl an Kontrollmechanismen, die auf Methodik und Verfahren basieren, die sich in der Informationssicherheit bewährt haben“. Grundlage für die Standardisierung war hierbei eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, also um einen „Best-practice“-Ansatz wie bei ITIL.

Soll ein Managementsystem für Informationssicherheit (engl.: Information Security Management System, ISMS) zertifiziert werden, ist dies nur über die Erfüllung der Anforderungen nach ISO/IEC 27001 möglich. Diese Norm spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Systems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Dieses Zertifikat gilt als signifikantes Plus bei einer Beurteilung nach Basel II oder SOX.

Mehr bei Wikipedia zu ISO/IEC 27002 und zu ISO/IEC 27001

GDPdU
Auf die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) beruft sich ein Finanzbeamter, wenn er bei Betriebsprüfungen auf die Computersysteme von Unternehmen zugreift. Man unterscheidet drei Arten des Datenzugriffs durch den Betriebsprüfer:
- den unmittelbaren Lesezugriff,
- den mittelbaren Zugriff über Auswertungen und
- die Datenüberlassung.
Für die Datenüberlassung sind verschiedene Formate zugelassen. Mittlerweile gibt es auch eine Empfehlung des Bundesfinanzministeriums für einen entsprechenden Beschreibungsstandard. Die Daten können dann vom Betriebsprüfer problemlos in die Prüfersoftware IDEA eingelesen werden.

Mehr bei der freien Enzyklopädie Wikipedia
GDPdU-Text bei Project Consult

GoBS
Die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sind von der deutschen Finanzverwaltung durch Schreiben des Bundesfinanzministeriums vom 7. November 1995 aufgestellte Regeln zur Buchführung mittels Datenverarbeitungssystemen.

Unmittelbar haben sie nur für steuerliche Buchführung Geltung. Da jedoch zahlreiche, gerade kleine und mittlere Unternehmen eine Einheitsbilanz erstellen, wirken sie sich auch auf die handelsrechtliche Buchführung aus. Denn da so eine große Zahl von Kaufleuten diesen Regeln folgt, werden sie zum Handelsbrauch und somit zu handelsrechtlichen Grundsätzen ordnungsgemäßer Buchführung (GoB).

Mehr bei der freien Enzyklopädie Wikipedia

BDSG
Das deutsche Bundesdatenschutzgesetz (BDSG) regelt zusammen mit den Datenschutzgesetzen der Bundesländer und anderen bereichsspezifischeren Regelungen den Umgang mit personenbezogenen Daten, die in IT-Systemen oder manuell verarbeitet werden.

Mehr bei der freien Enzyklopädie Wikipedia
Das Bundesdatenschutzgesetz bei juris.de

Über die hier aufgeführten Gesetze und Standards hinaus gibt es eine Reihe branchenspezifischer Regeln und Vorschriften.

Wichtiger Hinweis
Die hier veröffentlichten Artikel zum Thema Compliance dienen der allgemeinen Bildung und Weiterbildung und nicht der Beratung im Falle eines aktuellen Rechtsstreits. Trotz aller waltender Sorgfalt ist es möglich, dass Sie hier auf unrichtige, unvollständige, veraltete, widersprüchliche, in falschem Zusammenhang stehende oder verkürzte Angaben treffen.