Compliance: Keine Angst vor kryptischen Begriffen

Ab 2005 müssen alle europäischen Unternehmen, die an US-Börsen notiert sind, den Sarbanes-Oxley-Act (SOA) beachten. Das amerikanische Gesetz fällt in einem Zug mit anderen kryptischen Begriffen wie Basel II oder HIPAA. Im Grunde müssten sich alle Unternehmen, die per E-Mail Geschäfte abwickeln oder Informationen elektronisch ‘abheften’ mit solchen – neudeutsch – ‘Compliance-Regeln’ beschäftigen und ihre Speicherinfrastruktur den Gesetzen anpassen. Viele stehen aber vor dem Thema wie der bekannte Ochs vorm Berg.
Sie sind nicht alleine. Aber lange sollten sie dort nicht stehen bleiben. Unabhängig von der Technologie, welche die Regularien in die Praxis transportieren soll, müssen die Firmen die Normen einordnen können. Die Konsequenzen liegen auf der Hand – ist zum Beispiel eine Bilanzprüfung nicht möglich, weil die notwendigen Informationen nicht vorgehalten werden können, ist es passiert: Die Steuerbehörde macht Ärger und droht mit Strafen. Wie es eben bei Gesetzen so ist.

Compliance – Was ist das?

Compliance heißt übersetzt erst einmal nichts anderes als die Einhaltung von Regeln. Im Zusammenhang mit der Datenspeicherung kann man schon etwas konkreter werden und unter dem Begriff folgendes subsumieren: Es geht um Aufbewahrungsfristen und Archivierung für E-Mails aus der Geschäftskommunikation und anderen wichtigen Daten, die branchenspezifisch Bedeutung erlangen, wie beispielsweise Patientendaten. Wer es eher mit der Muttersprache hält, der kommt mit dem Terminus ‘Konformität’ am nächsten. Die Compliance-Regeln gelten für verschiedene Industriebereiche, von Pharma bis in den Banken-Sektor. Viele Normen stammen aus den USA. Man darf aber deshalb nicht der Illusion erliegen, deutsche Unternehmen betreffe das nicht. Jeder, der eine Dependance in Nordamerika unterhält oder dorthin liefert, kann in die Mühlen der Justiz gelangen.

Bei allen Regularien geht es darum, wie und wie lange elektronisch abgelegte Informationen, sprich Daten, auf verschiedenen Trägern wie Festplatten oder Bändern gespeichert werden müssen. Dahinter steht die Weiterentwicklung des Geschäftsverkehrs. Dahinter steckt aber auch der Fortschritt, Informationen im originalen elektronischen Zustand zu belassen statt sie auszudrucken.

Die Gesetze machen also Sinn. Sie sollen sicherstellen helfen, dass geschäftliche wie personenbezogene Daten nicht absichtlich im Nirvana verschwinden und andere von ihrem Verschwinden profitieren.

Basel II ist der Zement für die wackelige Finanzwelt

Basel II hat die Aufgabe, das Internationale Finanzsystem zu stabilisieren. Die Richtlinie soll die Risiken für Kreditinstitute bei der Vergabe von Krediten im Vorfeld besser identifizieren und die, laienhaft gesprochen, verliehenen Gelder nach Innen besser absichern. Das soll in Form von angehäuftem Eigenkapital geschehen und bedeutet, Finanzdienstleister müssen um so mehr Eigenkapital vorhalten, je höher das Risiko des Kreditnehmers ist. Bisher – Basel II wird ab 2007 verbindlich – spielt die Bonität eines kreditsuchenden Unternehmens keine Rolle. Es gilt vielmehr der einheitliche Satz von 8 Prozent des Eigenkapitals, den die Institute jedem Firmenkredit entgegenhalten müssen.

Wenn ein Unternehmen also einen Kredit haben will, sollte es Geschäftsdokumente und alle Informationen, die für die Kreditvergabe relevant sein können, gesichert abgelegt haben. Und hier kommt der Dreh zur Datensicherung. Von Firmen wird ein IT-Konzept verlangt, das gewährleistet, Daten zu archivieren und sie vor allem wieder auffindbar zu machen. Ohne die Vorhaltbarkeit der geforderten Dokumente setzen sich Unternehmen dem Risiko aus, einen Kredit nicht zu erhalten.

Der Baseler Ausschuss für Bankenaufsicht hatte 1998 die erste Eigenkapitalrichtlinie veröffentlicht. Nach dem Ersten Konsultationspapier 1999 mündeten die Vorschläge zur Verbesserung der Richtlinie in dem Zweiten Konsultationspapier, aus dem dann ‘Basel II’ hervorging.

Der ‘spektakuläre’ Sarbanes-Oxley-Act

Enron, Worldcom, Parmalat – sie waren die Auslöser für den Sarbanes-Oxley-Act (SOA). Geschönte Bilanzen, Missmanagement und mangelnde interne Kontrolle haben zu den spektakulären Unternehmenseinbrüchen geführt, die den US-Präsidenten George W. Bush 2002 dazu gebracht haben, ein Gesetz zu verabschieden, das eben diesen Fehlern einen Riegel vorschieben soll. Es geht viel um Transparenz und interne Kontrolle. Der Aufsichtsrat soll besser mit dem Vorstand zusammenarbeiten, das Stichwort heißt ‘Corporate Governance’.

Paul S. Atkins, Commissioner bei der amerikanischen Börsenaufsicht SEC, hatte in einer Rede vor der Universität Köln zum Thema zusätzlich Philipp Holzmann, Babcock-Borsig und Kirch genannt und deutlich gemacht, dass nicht nur amerikanische Firmen von einem Finanzskandal aus der Bahn geworfen werden können. Denn der SOA gilt für alle Unternehmen und Aktiengesellschaften, die an US-Börsen notiert sind – auch wenn er hier nicht für die Turbulenzen verantwortlich war.

Der SOA regelt die Verantwortlichkeiten der Unternehmensführung und der Wirtschaftsprüfer. Das Gesetz ist in verschiedene Abschnitte unterteilt. Unter anderem ist festgelegt, dass CEO und CFO die Finanzberichte bestätigen (beide) müssen. Außerdem sind interne Kontrollstrukturen im Jahresturnus zu hinterfragen. Für die interne Überprüfung muss sogar ein gesonderter Bericht vorgelegt werden.

Auch wenn das Gesetz seinen Ursprung in den USA hat, arbeitet die Europäische Union an einem Pendant für den europäischen Kontinent. Ulrich Kampffmeyer, Geschäftsführer der Unternehmensberatung Project Consult und ein Experte auf dem Compliance-Gebiet, rechnet mit einem ersten griffigen Entwurf im September dieses Jahres, eine endgültige Fassung muss 2005 auf dem Tisch liegen.

Wie deutlich europäische Firmen den SOA spüren werden, das will der Software-Herstellers Handysoft ermittelt haben. Der Anbieter von Lösungen zur Automatisierung von Geschäftsprozessen kommt zu dem Ergebnis, dass die Abschlussprüfungskosten europäischer Unternehmen aufgrund der Berichterstattungspflichten um 35 Prozent steigen werden.

Diese Kostenexplosion sei nur zu reduzieren, wenn viele Geschäftsprozesse, die für SOA erforderlich sind, automatisiert würden. Bis 2005 allerdings werden viele Firmen nicht die notwendigen Veränderungen in ihrer IT-Infrastruktur vorgenommen haben, so Handysoft. Abgesehen von möglichen Sanktionen könnte das auch einen Imageverlust nach sich ziehen, nämlich dann, wenn Aktien zurückgestuft werden. Und das mache sich nicht so gut in diesen Zeiten.

Für US-Firmen übrigens wird der SOA am 15. November dieses Jahres verbindlich. Das heißt aber nicht, dass sie alle Vorkehrungen getroffen haben, um das Gesetz auch einzuhalten. Vor allem bei dieser Compliance-Regel fürchten viele einen Marketing-Hype ohne Folgen. Schließlich versieht jeder Storage-Hersteller sein Produkt mit dem Zusatz ‘SOA-konform’. Auf einem Auge blind zu sein ist erlaubt, das andere jedoch sollte wachsam sein.

Das Zahlenspiel der US-Börsenaufsicht: SEC 17A-3, 17A-4

Die wichtigsten Regeln der US-Börsenaufsicht fehlen in keiner Beschreibung für ein Compliance-Produkt. Sie sind zuvorderst für einen ganz bestimmten Berufsstand von Bedeutung: Aktien-Broker. ‘SEC 17A-3’ und ‘SEC 17A-4’ definieren exakt, welche Aufzeichnungen und Belege bei einer Transaktion aufgehoben und auf welchem Medium sie gespeichert werden müssen. Bislang waren ausschließlich optische Medien mit der so genannten WORM-Funktion (Write Once Read Many) erlaubt. Seit vergangenem Jahr akzeptiert die SEC auch magnetische Speichermedien, sofern sie WORM unterstützen.

Ihren Ursprung haben die Regularien in dem Umstand, dass in den 90er Jahren die Zahl der Transaktionen und ihr Umfang plötzlich explodierte, was auch an dem Technologie-Boom lag. Obwohl die SEC-Regeln schon seit Jahren Bestand hatten, forcierte die Regierung ihre Durchsetzung.

Immer noch nimmt der Transaktionsumfang zu. Er verdoppelt sich etwa alle sechs bis neuen Monate, zitiert Legato den ESG Compliance Report. Um mögliche Ungereimtheiten zu vermeiden, müssen neben Brokern auch die Finanzdienstleister nicht nur jede Transaktion schriftlich fixieren und speichern, sondern auch die elektronische Geschäftskommunikation und Memos. Dabei müssen sie auf Besonderheiten achten wie darauf, dass Kopien an einem anderen Speicherort abgelegt sind als das Original.

Für die Finanzwelt ähnliche ‘Gesetze’ hat die National Association of Securities Dealers (NASD) entwickelt. ‘NASD 3010’ und ‘NASD 3110’ beispielsweise verlangen, dass Broker und Händler externe Transaktionen von registrierten Stellvertretern überwachen.

Kommt ein Mann zum Arzt – HIPAA

“Kommt ein Mann zum Arzt…” So fängt ja mancher Witz an. Lustig ist es aber nicht, wenn mit dem Erscheinen eine wahre Kette an Informationsweitergabe beginnt. Die so genannten Patientendaten, vom Geburtsdatum bis hin zum Krankheitsbild, sind irgendwo im System abgelegt. In Deutschland bemühen sich allgemeine Datenschutzbestimmungen um die Einhaltung des Schutzes. In den USA ist schon seit 1996 der ‘Health Insurance Portability and Accountability Act’ (HIPAA) in Kraft. 2003 wurde er erweitert und in die aktuelle Form gebracht.

Er beschäftigt sich vor allem mit der Zugangskontrolle dieser persönlichen Informationen und fordert Authentifizierungsmethoden und Policy-basierte Zugriffe auf einzelne Dokumente. Wichtig ist in diesem Zusammenhang aber auch die Datensicherung und Archivierung der Informationen. Auch hier müssen Aufbewahrungsfristen eingehalten werden.

Wer weiß schon, was drin ist: FDA fixiert den Beipackzettel

Beim Thema Gesundheit fällt ferner das Akronym FDA. Es steht für ‘Food and Drug Administration’. Um Herstellungsmethoden zu standardisieren hat die Behörde ein Regelwerk mit der Bezeichnung ‘CGMP’ herausgebracht. Die ‘Current Good Manufacturing Practices sollen dafür sorgen, dass beispielsweise Laborergebnisse nicht mehr nachträglich verändert werden können.

Wiederum gelten die Bestimmungen der Behörde auch für europäische Unternehmen der Medizintechnik sowie der Arznei- und Lebensmittelindustrie. Das Fraunhofer Institut für Produktionstechnik und Automatisierung ist zwar daran interessiert, bei der Umsetzung der FDA-Regeln und -Praktiken zu helfen, gibt aber zu, dass das “Erreichen der Konformität besonders für kleine Unternehmen mit fehlenden Erfahrungen” teuer werden könnte.