FTD-Serie: Systems - "Ideas for better Business"

Mit Ideen für bessere Geschäfte lockt die Systems, professionelle Business-to-Business-Messe für Informations- und Kommunikationstechnologie (ITK), Besucher. Aussteller präsentieren vom 21. bis 24. Oktober in München Neuheiten zu Themen wie Green IT und IT-Security. Die FTD zeigt in dieser Serie schon jetzt, was die Firmen zu Energieeffizienz, Elektroschrott, Sicherheit und Unified Communication zu bieten haben.

Digitale Dokumente: Deutsche Firmen spielen auf Risiko

Seit Juli gilt die Euro-SOX. Diese Richtlinie verpflichtet Unternehmen, ihre Geschäftsdokumente nach EU-Standard zu archivieren. Wer jetzt den digitalen Anschluss verliert, muss mit Konsequenzen rechnen. von Martin Ortgies

Mehr zum Thema

Vorstände und Geschäftsführer sind haftbar für die Einhaltung dieser und vieler weiterer Einzelregelungen, etwa für den Finanzbereich oder zur Archivierung von E-Mails. Umfragen zeigen allerdings, dass viele nicht beurteilen können, welche Maßnahmen notwendig und auch wirtschaftlich angemessen sind. Ein Ansatz, hier Klarheit zu schaffen, sind sogenannte "Compliance-Assessments".

Unternehmen sind verpflichtet, Verhaltensmaßregeln, Gesetze, vertragliche Pflichten und Richtlinien umfassend und dauerhaft einzuhalten (Compliance). Die Berater von Steria Mummert Consulting schätzen die Zahl der Compliance-Vorschriften weltweit auf mehr als 10.000, etwa zu Aufbewahrungsfristen, Datenschutzbestimmungen und zum Risikomanagement.

Viele Geschäftsführer räumen einer sicheren Informationstechnik nicht den erforderlichen Stellenwert ein, bemängelt der Branchenverband Bitkom, obwohl diese für den Unternehmenserfolg immer wichtiger wird. Zu der Frage der persönlichen Haftung kämen im Schadensfall noch sonstige Folgen wie der Datenverlust oder Schäden für das Unternehmensimage.

Es gelten verschiedene Rechtsnormen

Allerdings: Nicht alle Gesetze und Normen gelten für alle Unternehmen. Horst Speichert, ein auf IT-Recht spezialisierter Rechtsanwalt in Stuttgart bestätigt: "Für ein international agierendes Unternehmen gelten eine Vielzahl verschiedener Rechtsnormen. So sind z.B. bei der Datenarchivierung neben den allgemeinen IT-Gesetzen auch die jeweiligen branchenspezifischen Regelungen einzuhalten, um compliant zu werden."

Dirk Bode, Vorstandsvorsitzender beim Enterprise-Content-Management-Spezialisten Fme aus Braunschweig rät dazu, beim Thema IT-Compliance sowohl die juristischen, die betriebswirtschaftlichen als auch die informationstechnischen Fragen in gleichem Maße zu berücksichtigen. In "Compliance-Assessments" sind deshalb aufseiten des Beraters ein Experte für IT-Prozesse und eine auf IT-Recht spezialisierte Rechtsanwaltskanzlei vertreten.

Sie schaffen Klarheit, indem Schwachstellen im Unternehmen aufgezeigt, Änderungen definiert und betriebswirtschaftlich bewertet werden. Im ersten Schritt gilt es zu klären, welche Regularien für das Unternehmen aktuell und relevant sind, wie Anforderungen an das Risk-Management, Corporate Governance (SOX), spezifische Regularien wie 21CFRPart11 (Pharma), Datenschutzgesetze, Telekommunikationsgesetz, Handelsgesetzbuch, Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU).

Lücken und Risiken identifiziert

Geprüft wird auch, welche internen Regelungen und Arbeitsanweisungen bereits existieren. Im zweiten Schritt werden die betroffenen Prozesse und Systeme identifiziert - im Rechnungswesen beispielsweise die Prozesse des Rechnungseingangs und -ausgangs vom ERP- bis zum verwendeten Archivsystem.

Durch den Abgleich der vorhandenen Systeme und Prozesse mit den geltenden Gesetzen und Regeln werden im dritten Schritt Lücken und Risiken in der Unternehmenspraxis identifiziert. Daraus wird ersichtlich, wo Handlungsbedarf besteht. Werden Regelverstöße festgestellt, müssen zunächst die Ursachen ermittelt werden, bevor an Maßnahmen zur Risikominimierung zu denken ist. Allerdings muss nicht jede Verletzung von Regeln und Normen zwangsläufig weitere Maßnahmen zur Folge haben.

Ausgehende elektronische Rechnungen bedürfen beispielsweise einer qualifizierten elektronischen Signatur. Ein Unternehmen muss abwägen, wie schwerwiegend die Nachteile aus der Regelverletzung (Rechnungen ohne Signatur) im Vergleich zum notwendigen Aufwand sind, die Regel einzuhalten (Signaturen durchführen).

Teil 2: Best-Practice-Erfahrungen