Was die internationalen Anforderungen bezüglich IT- und Informationssicherheit angeht, so sei hier nur der amerikanische Sarbanes-Oxley Act erwähnt sowie die neue achte EURichtlinie.

Sarbanes-Oxley Act (SOx)
Dieses amerikanische Gesetz trat 2002 in Kraft, nachdem es mit Enron und anderen Firmen zu Finanzskandalen gekommen war. Unter dieser Legislation wird hauptsächlich die Section 404 als IT-relevant (General IT and Application Controls) betrachtet. Der relativ offen abgefasste Artikel stipuliert, dass das Management die Verantwortung zur Einrichtung und zum Betrieb von angemessenen internen Kontrollen und Prozessen für das Finanz-Reporting hat. Zu beachten ist aber, dass SOx nur für Unternehmen, die an der amerikanischen Börse kotiert sind, zur Anwendung kommt sowie für allfällige Tochtergesellschaften.
Es hat sich seit Erlass des SOx gezeigt, dass er einiges zur Erkennung der Wichtigkeit von Compliance beigetragen hat. So war es beim Y2KProblem von vornherein klar, dass es in erster Linie von der IT-Abteilung eines Unternehmens zu lösen war.
Nach Erlass des SOx verstrich demgegenüber einige Zeit, bis erkannt wurde, dass die Durchsetzung der Compliance-Regeln und alle damit verbundenen Anforderungen an Unternehmen zuerst einmal auch vom obersten Management eines Unternehmens überhaupt verstanden und dann auch getragen werden mussten.
Mit anderen Worten: Die Regeln und Anforderungen, die SOx aufstellt und an Unternehmen stellt, sind nicht nur von der IT-Abteilung, sondern auch und insbesondere von der Geschäftsleitung eines Unternehmens zu erfüllen.

Achte EU-Richtlinie
Die EU überarbeitet zur Zeit diese Richtlinie und die Verabschiedung soll noch in diesem Jahr erfolgen. Ein Teil der Änderungen sind der Section 404 von SOx sehr ähnlich und werden einen wohl ebenso grossen Einfluss auf die IT-, Controls- und Governance-Landschaft haben. Es scheint von daher angebracht, Section 404 SOx nicht als etwas abzutun, dass uns nichts angeht, vielmehr könnte man das bisher um diese Problematik herum akkumulierte Know-how als Basis für die Umsetzung der erwähnten EURichtlinie ansehen. Der gegenwärtige Entwurf sieht in Art. 39 vor, dass «Unternehmen von öffentlichen Interesse » (Banken, Versicherungen) einen Prüfungsausschuss einzusetzen haben, welcher unter anderem die Aufgabe hat, die «Wirksamkeit der internen Kontrolle, gegebenenfalls der

[Vorherige]  1 2 3 4 5 6 7 8 9 10  [Nächste]