Compliance und Archivierungspflicht

Compliance und Archivierungspflicht

Storage-Hersteller winken gerne mit dem US-amerikanischen Sarbanes Oxley Act oder dem europäischen Basel-II-Standard, die ihrer Argumentation zufolge beinahe zum Kauf ihrer Produkte zwingen: Nur so könnten Unternehmen den darin niedergelegten Dokumentationspflichten genügen. Dieser Beitrag wirft einen Blick hinter die juristischen Kulissen und untersucht, wieviel Wahrheit hinter solchen Annahmen steckt.

Das Schlagwort Compliance [1] ist in aller Munde. Es klingt gewichtig, bezeichnet aber zunächst nichts anderes, als dass Unternehmen geltende Vorschriften befolgen müssen. Das betrifft nicht nur gesetzlich bindende Normen, auch freiwillige Verpflichtungen – eine DIN/ISO-Zertifizierung zum Nachweis von Qualitätssicherungsstandards gehört auch dazu.

Im IT-Bereich berührt Compliance vor allem die Bereiche des Datenschutzes, der Datensicherheit, das Finanz- und Rechnungswesen und – in jüngster Zeit durch Schlagworte wie Basel-II [2] und Sarbanes Oxley Act (SOX) [3] im Blickpunkt des öffentlichen Interesseses – die Dokumentation von Geschäftsvorfällen.

Wo liegt Basel-II?

Basel-II ist die Bezeichnung der Richtlinien für die Kreditvergabe von Banken und Kreditinstituten, die der Baseler Ausschuss für Bankenaufsicht erarbeitet hat. Diesem Ausschuss gehören Vertreter der Bankaufsichtsbehörden und Zentralbanken der zehn führenden Industrienationen an. In diesen Staaten ist die Einhaltung verpflichtend für Banken und Kreditinstitute.

Das Basel-II-Abkommen ist ein System, um Sicherheitsrisiken gering zu halten. Es soll Forderungsausfälle der Banken vermeiden, indem diese vor jeder Kreditvergabe an ein Unternehmen eine Checkliste abarbeiten, die für jeden einzelnen Unternehmensbereich die Risiken und Chancen des operativen und Anlagegeschäfts beurteilt. Aktive und passive Vermögenswerte sind ebenso Gegenstand der Prüfung, wie Personal, regionale Lage, der Absatzmarkt und anderes. Das Ergebnis dieses Ratings bestimmt, ob die Bank dem Unternehmen einen Kredit überhaupt bewilligen darf, und wenn ja, zu welchen Zinskonditionen.

Das kreditsuchende Unternehmen kann wählen, ob die Bank oder eine unabhängige, zertifizierte Agentur das Rating durchführt. Ein externes Rating kostet mehr, doch der Auftraggeber entscheidet selbst, ob er es der Bank vorlegt. Gleich, wer die Beurteilung abgibt: Als Grundlage kann – neben einer sachgerechten Prognose – nur eine vollständige Dokumentation aller Geschäftsvorfälle und Unterlagen dienen.

Hier kommt die Finanz

So eine Dokumentation verlangt auch das Finanzamt, nur aus anderen Gründen: Die Finanzverwaltung benötigt die Dokumentation der Geschäftsvorfälle als Bewertungsgrundlage für steuerliche Zwecke. Schließlich richtet sich die Bewertung durch das Finanzamt ganz nach dem Prinzip, das die Kaufleute für Ihren Stand entwickelt haben: der kaufmännischen Buchführung. Dieses mehrkreisige System aus Buchungen und Gegenbuchungen setzt nicht nur darauf, jeden Geschäftsvorgang durch einen Beleg nachvollziehbar zu machen, sondern auch darauf, sämtliche Forderungen, Verbindlichkeiten und sonstigen Vermögenswerte eines Unternehmens zu jeder Zeit möglichst zutreffend zu bewerten. Belegprinzip und Bewertungsgrundsätze sind damit unverzichtbar für eine tagesaktuelle Vermögensübersicht.

Das Handelsrecht und die damit verwobenen Bestimmungen des Steuerrechts haben sich regional unterschiedlich entwickelt. In Deutschland und Europa soll die vollständige Vermögensübersicht nicht nur dem Kaufmann selbst den Überblick über seine Geschäfte gewährleisten – ihre zweite Seite ist der Gläubigerschutz. Geschäftspartner und Kreditgeber sollen wissen, worauf sie sich einlassen. Im stark börsenorientierten US-Markt dagegen sind Unternehmensund Handelsrecht vordringlich an das Prinzip des Aktionärsschutzes geknüpft. Die Dokumentations- und Publizitätsvorschriften waren daher in den europäischen Staaten seit jeher eher schärfer ausgeprägt als vergleichbares US-Recht.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019