IKS. Risikomanagement und Compliance: Wirksames IKS wichtiger denn je! Spur halten in der Krise! In dieser Ausgabe lesen Sie: Editorial...

Größe: px
Ab Seite anzeigen:

Download "IKS. Risikomanagement und Compliance: Wirksames IKS wichtiger denn je! Spur halten in der Krise! In dieser Ausgabe lesen Sie: Editorial..."

Transkript

1 IKS Spur halten in der Krise! In dieser Ausgabe lesen Sie: Editorial... 2 Risikomanagement und Compliance: Wirksames IKS wichtiger denn je! Brennpunkt Risikomanagement als Mittelstandsthema?... 2 Rechnungslegung und Abschlussprüfung Beschreibung des IKS als neuer Bestandteil des Lageberichts... 4 Compliance Compliance im Rahmen guter Unternehmensführung... 5 Archivierung von s und elektronischen Dokumenten.. 8 Corporate Governance Ethik und Nachhaltigkeit Einrichtung eines Prüfungsausschusses

2 Editorial Für die mittelständischen Unternehmen haben sich die Anforderungen an die Leistungsfähigkeit ihrer Kontrollund Steuerungssysteme in 2008 spürbar verschärft. Auf gesetzgeberischer Ebene ist hierbei insbesondere das zeitnah zur Verabschiedung anstehende Bilanzrechtsmodernisierungsgesetz zu nennen, dass Informationspflichten über das IKS im Lagebericht festschreibt und künftig Aufsichts- oder ggf. Beiräte dazu zwingt, die Wirksamkeit des IKS zu überprüfen. Dies trifft zwar zunächst nur die wenigen kapitalmarktorientierten Großunternehmen, wird aber ganz sicher zunehmend in den Kern des Mittelstands ausstrahlen (mehr dazu in den Beiträgen auf S. 4 und 11). Nicht nur gesetzgeberische Aktivitäten, zunehmend angetrieben von europäischen und internationalen Harmonisierungsbestrebungen, haben die verschärften Forderungen bewirkt, auch die Rechtsprechung hat beispielsweise mit der Formulierung eines Grundrechts auf Gewährleistung und Integrität informationstechnischer Systeme einen Rechtssatz geschaffen, dem sich alle Mittelständler werden stellen müssen lesen Sie in unserer neuen Rubrik Compliance mehr auf S. 8. Ob sich hinter dem Begriff Compliance, der kurz gefasst auf die Einhaltung von Normen abzielt, mehr verbirgt als nur alter Wein in neuen Schläuchen, erfahren Sie zuvor auf S. 5. Daneben zeigt ein weiterer Beitrag, dass auch wieder verstärkt gesellschaftliche Strömungen auf den zu beachtenden Pflichtenkanon einwirken: Muss die kurzfristige Gewinnmaximierung dem nachhaltigen Wirtschaften weichen? Wenn hier auch mancher Mittelständler den meisten DAX-Unternehmen weit voraus sein mag, so kommt es doch darauf an, das IKS an die Leistungsfähigkeit des Unternehmens anzupassen. Die IKS-Verantwortlichen sind also auch ohne die Effekte der Finanzkrise stark gefordert, die allerdings unserem Thema nochmals eine erhöhte Brisanz verliehen haben. Im nebenstehenden Brennpunkt wird deshalb herausgearbeitet, wie Sie Ihr Risikomanagement auf neue Herausforderungen einstellen können. Eine informative Lektüre wünscht Ihnen Ihr Team von PKF Brennpunkt Risikomanagement als Mittelstandsthema? Krisen zwingen zu besserer Risikoerkennung und -beherrschung Immer mehr Mittelständler müssen erfahren, dass sie in schwankenden und globalisierten Märkten mit ähnlichen Risiken kämpfen wie Großunternehmen. Folglich sollten diese auch zu ähnlichen Mitteln greifen, um drohende Risiken frühzeitig zu erkennen und sie beherrschbar zu machen. 1. Risiken erkennen und Chancen nutzen Tatsächlich sind kleine und mittelständische Unternehmen (KMU) ähnlich vielen Risiken ausgesetzt wie Großunternehmen. Diese reichen von abrupten Marktveränderungen bis zur Nachfolgeregelung. Besonders weit verbreitet sind Absatz-Preis-Risken, Probleme mit der IT- Sicherheit sowie Rohstoff- und Währungsschwankungen. Gerade im Jahr 2008 haben enorme Rohstoff- und Energiepreissteigerungen die Ertragssituation vieler KMU nachhaltig verschlechtert, was vor allem im Transportwesen und im Nahrungsmittel verarbeitenden Gewerbe existenzbedrohende Ausmaße annahm bzw. auch vor dem Hintergrund der nun extrem problemverschärfend hinzugekommenen Finanzkrise weiter annimmt. Umso wichtiger ist es, über das rechtzeitige Erkennen von Fehlentwicklungen Vermögensverluste zu vermeiden. Die regelmäßige und systematische Analyse der Marktbedingungen liefert die notwendigen Entscheidungsgrundlagen. Neben den Risiken können aber vor allem auch Chancen frühzeitig erkannt werden. Mit einem wirkungsvollen internen Risiko- und Chancenmanagement kann beispielsweise ein besseres Rating bei Banken erzielt werden, da dies bei der Bonitätsprüfung berücksichtigt wird. 2. Risikomanagement keine lästige Pflicht Grundsätzlich ist Risikomanagement keine lästige Pflicht, sondern ein Mittel, um wettbewerbsfähiger zu werden. Es soll Risiken, die der Erreichung von Unternehmenszielen potenziell entgegenstehen, identifizieren und analysieren; ferner soll es Chancen aufdecken, die die Zielrealisation fördern. 2 PKF Themen IKS November 2008

3 Bei der Risikoanalyse werden zweckmäßigerweise echte Risiken, wie z.b. der Verlust eines Großkunden durch Qualitätsmängel, von allgemeinen Schadensumschreibungen, wie z.b. mangelnde Liquidität, getrennt. Besonders wichtig ist es, Problematisches genau zu beschreiben und nicht nur nebulös von einem unzureichenden Vertriebssystem zu reden. Eintrittswahrscheinlichkeit wahrscheinlich mittel hoch hoch Dann geht es darum, für alle identifizierten Risiken mögliche Schadensverläufe zu beschreiben: Wie wahrscheinlich ist der Schaden? Wie groß wird er sein? Was ist das beste und was das schlechteste Szenario? Sind die Antworten auf diese Fragen herausgearbeitet, offenbaren sich die Stellschrauben, an denen gedreht werden muss, um drohendes Ungemach aufzuhalten. Abzuleiten sind konkrete Maßnahmen, die gewährleisten sollen, dass drohende Risiken vermieden oder zumindest rechtzeitig erkannt werden. 3. Beispiel aus der Unternehmenspraxis Der Praxisfall: Dem schwäbischen Maschinenbauer A galt ein professionelles Risikomanagement bislang als Firlefanz. Dann aber kam es knüppeldick: Die nicht mehr ganz zeitgemäße Kalkulation hatte die rasant ansteigenden Stahlpreise weitestgehend außer acht gelassen und einer von zwei Hauptlieferanten fiel aus. Man freute sich nicht mehr über das gefüllte Auftragsbuch, sondern kämpfte mit drückenden Lieferterminen und zu niedrig kalkulierten Preisen. Es handelt sich im Fall des Maschinenbauers um Probleme, deren Ausmaße durch ein installiertes Risikomanagement als Teil eines wirksamen internen Kontrollsystems zumindest hätten deutlich reduziert werden können. So kann z.b. das Risiko der Nichtberücksichtigung steigender Rohstoffpreise in der Kostenrechnung dadurch vermieden werden, dass der jeweils letzte Einkaufspreis automatisch in die Kostenrechnung übernommen wird. Das Risiko, dass einer von zwei Hauptlieferanten ausfällt, hätte durch regelmäßige Kontrollen der möglich gering mittel hoch unwahrscheinlich gering gering mittel unbedeutend moderat wesentlich Abb.: Muster einer Risikomatrix Einhaltung der Liefertermine und Liefermengen frühzeitig erkannt werden können. 4. Kosten-/Nutzenerwägungen Grundsätzlich muss jedoch auch berücksichtigt werden, dass die Umsetzung von Risikomanagement im Mittelstand nicht zu aufwendig sein darf der Nutzen muss immer im Verhältnis zum Aufwand gesehen werden. Empfehlung: Gutes Risikomanagement im Mittelstand zeichnet sich dadurch aus, dass nicht in jeder Ecke gekehrt wird, sondern die wesentlichen Risiken im Mittelpunkt stehen. Das Management dieser Risiken ist nicht so komplex wie oft befürchtet. Viele Risiken lassen sich mit einfachen und wirksamen Kontrollen managen. Grundlage wäre beispielsweise eine Risikomatrix wie Abb. 1, die das Risiko aus den folgenden Beispielen darstellt: Hauptkunde fällt aus (1), Dispositionsrahmen wird nicht verlängert (2), Lücken in der Nachfolgeregelung (3), Stromausfall, Produktion (4), Zahlungszielverlängerungen Debitoren (Kreditkrise) (5). PKF Themen IKS November

4 Rechnungslegung und Abschlussprüfung Beschreibung des IKS als neuer Bestandteil des Lageberichts Zukünftige Pflichten aufgrund des Bilanzrechtsmodernisierungsgesetzes (BilMoG) Mit dem BilMoG soll für kapitalmarktorientierte Unternehmen eine Verpflichtung festgeschrieben werden, bezogen auf den Rechnungslegungsprozess eine Beschreibung des internen Risikomanagementsystems in den Lagebericht aufzunehmen. Worauf haben sich die Unternehmen einzustellen? 1. Ziele und Komponenten des IKS Um das interne Risikomanagementsystem im Hinblick auf den Rechnungslegungsprozess zweckadäquat beschreiben zu können, bedarf es einer inhaltlichen Konkretisierung. Diese kann sich an den Zielen und den Komponenten eines, auf die Rechnungslegung bezogenen, internen Kontrollsystems nach einschlägigen Standards orientieren. Anhand dieser Ziele und Komponenten lassen sich dann die relevanten Strukturen und Prozesse beschreiben. 1.1 Ziele Die Ziele des IKS sind angelehnt an die Bestimmungen des Committee of Sponsoring Organizations (COSO), die sich als Folge des Sarbanes-Oxley-Act (SOX) in den USA durchgesetzt haben und die sich auch in den neueren deutschen Standards des IDW wiederfinden. Die Ziele des IKS sind im Wesentlichen definiert als Sicherstellung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit einschließlich des Schutzes des Vermögens, Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung sowie der Einhaltung von sonstigen Gesetzen und Vorschriften ( Compliance ). 1.2 Komponenten Ein IKS besteht sowohl nach den COSO-Bestimmungen als auch nach den IDW-Standards aus den folgenden fünf Komponenten: Im Lagebericht ist zukünftig zu berichten über das rechnungslegungsbezogene interne Kontroll-System als Bestandteil des Risiko-Management- Systems. (1) Kontrollumfeld: Hierunter sind einerseits die Einstellung, das Problembewusstsein und das Verhalten der Unternehmensleitung, der dieser nachgeordneten Führungskräfte sowie der mit der Überwachung des Unternehmens betrauten Mitarbeiter im Hinblick auf das interne Kontrollsystem zu verstehen. Diese das Kontrollumfeld prägenden Faktoren müssen einmal formuliert und daraufhin überprüft werden, ob sie auch tatsächlich im Unternehmen umgesetzt (im Sinne von gelebt ) werden. Andererseits gehört aber auch das Umfeld des Unternehmens insgesamt (Branche, Kunden-, Lieferantenbeziehungen etc.) zu dem Kontrollumfeld, das man sich sprichwörtlich einmal ausmalen (dokumentieren) muss. (2) Risikobeurteilungen: Hierbei handelt es sich um die Risikoeinschätzungen des Unternehmers selbst. Dabei kommt es insbesondere auf die Feststellung und die Analyse der für die Rechnungslegung relevanten Risiken an. Die Unternehmensleitung sollte darlegen können, wie sie ihre Risikobeurteilungen durchführt und über die Einrichtung von organisatorischen Regelungen zur Begrenzung möglicher Auswirkungen dieser Risiken entscheidet. (3) Kontrollaktivitäten: Hierunter sind diejenigen Kontrollen zu verstehen, die aufgrund der Risikobeurteilungen installiert und deren Ausführungen dokumentiert worden sind bzw. werden sollen. (4) Information und Kommunikation: Das betriebliche Informationssystem sollte im Unternehmen so eingerichtet sein, dass alle wichtigen rechnungslegungsrelevanten Informationen erfasst und verarbeitet werden (Das Hauptbuch als Logbuch des Unternehmens). Erfassen bedeutet, diejenigen Informationsquellen zu bestimmen, die der Geschäftsleitung als Grundlagen zur Durchführung der Risikobeurteilungen regelmäßig zur Verfügung stehen sollen (z.b. Berichte aus Abteilungen, Gesellschaftsorganen etc.). Kommunikation bedeutet festzulegen, welche Informationen an welche Stellen in der Organisation weitergegeben werden sollen. (5) Monitoring: Das Monitoring meint, die Überwachung des IKS selbst d.h. Sinn und Zweck der im Kontrollumfeld beschriebenen Faktoren, der Art und Weise der 4 PKF Themen IKS November 2008

5 Risikobeurteilungen, der Kontrollaktivitäten und der festgelegten Informationen und Kommunikationsarten regelmäßig auf den Prüfstand zu setzen. 2. Die Neuregelungen zur IKS- Beschreibung im Lagebericht In dem Ende Mai 2008 von der Bundesregierung veröffentlichten Entwurf zum Gesetz zur Modernisierung des Bilanzrechts (Bilanzrechtsmodernisierungsgesetz, BilMoG-RegE) ist u.a. jeweils ein neuer Absatz 5 in den 289, 315 HGB über den Lagebericht bzw. den Konzernlagebericht vorgesehen, wonach ein kapitalmarktorientiertes Unternehmen im Sinne des 2 Abs. 5 WpHG im Lagebericht die wesentlichen Merkmale des internen Kontrollsystems (IKS) im Hinblick auf den Rechnungslegungsprozess beschreiben muss. In der Regierungsbegründung wird dazu näher erläutert, dass über das rechnungslegungsbezogene IKS als Bestandteil des internen Risikomanagementsystems (RMS) zu berichten ist. Dementsprechend kann (aufgrund berechtigter schutzwürdiger Interessen) auf die Beschreibung der nicht rechnungslegungsbezogenen Teilsysteme verzichtet werden. Die neue Vorschrift bedeutet nicht, dass die Einrichtung oder die inhaltliche Ausgestaltung eines internen RMS verpflichtend vorgeschrieben wird. Zu berichten ist über das Ob?. Es sind keine Ausführungen zur Einschätzung der Effektivität des internen RMS erforderlich. Wenn allerdings kein internes RMS besteht, ist dies im Lagebericht anzugeben. Praxishinweis: Mögliche Strukturen und Prozesse, die im Lagebericht zu beschreiben sind, sind beispielsweise Abwicklungen des Cash Management, im Einkauf oder Verkauf oder das Vorgehen bei Investitionsprojekten. Ausstrahlungswirkung auch auf nicht kapitalmarktorientierte Unternehmen Kunden (auch) anhand des Jahresabschlusses ein Bild über die Kreditwürdigkeit bzw. über die Leistungsqualität. Selbst wenn sich die neue Vorschrift unmittelbar nur auf kapitalmarktorientierte Unternehmen bezieht, so wird dies erfahrungsgemäß nicht ohne Ausstrahlungswirkung auch auf nicht kapitalmarktorientierte Unternehmen bleiben. Ein wirksames rechnungslegungsbezogenes IKS wird mehr und mehr zum Kennzeichen einer guten Unternehmensführung. Nach dem BilMoG i.d.f. des Regierungsentwurfs ist die erstmalige Anwendung der Vorschrift für Jahres- und Konzernabschlüsse unter Zugrundelegung eines Kalenderjahres als Geschäftsjahr ab 2009 vorgesehen, allerdings bleibt die aktuelle Entwicklung abzuwarten, derzufolge eine Verschiebung auf 2010 hoffentlich nicht unwahrscheinlich bleibt. Empfehlungen: Betroffene Unternehmen sollten sich bereits jetzt mit den Begrifflichkeiten des internen Kontroll- und des Risikomanagementsystems auseinander setzen. Im Vorfeld sollte geklärt werden, wo bereits wirksame rechnungslegungsbezogene Kontrollen bestehen, die den Anforderungen an die allgemeinen Sorgfalts- und Organisationsverpflichtungen der Geschäftsleitung ( 91 AktG, 43 GmbHG) entsprechen. Dies kann erste Grundlage für die Entscheidung sein, ob und ggf. wann (freiwillig) eine Beschreibung der wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems in den Lagebericht aufgenommen werden soll. Compliance Vor dem Hintergrund der Pflicht zur Veröffentlichung eines Lageberichts im elektronischen Bundesanzeiger könnte es sein, dass keine oder nur rudimentäre Ausführungen zum rechnungslegungsbezogenen IKS bzw. zum internen RMS bei den Adressaten des Jahresabschlusses (z.b. Mitarbeiter, Banken, Lieferanten oder Kunden) einen unglücklichen Eindruck hinterlassen. Insbesondere Banken ziehen für das Kreditrating auch Informationen über sog. weiche Faktoren heran, wie beispielsweise interne Kontrollen; ähnlich machen sich wichtige Lieferanten und Compliance im Rahmen guter Unternehmensführung Inhalte und Aufgaben des Compliance- Ansatzes Der Compliance-Gedanke hat seine Wurzeln in der Verpflichtung zur Aufstellung von Risikomanagementkonzepten. Ursprünglich aus den USA stammende PKF Themen IKS November

6 Entwicklungen wie das COSO-Framework haben den Rahmen gegeben, der zwischenzeitlich (unter Weiterentwicklung z.b durch das IDW) auch für die Ausgestaltung von internen Kontrollsystemen deutscher Unternehmen auf breite Akzeptanz stößt. 1. Compliance: Nur ein neuer Begriff für Altbekanntes... Compliance ist heute in Deutschland in aller Munde. Im Kern bedeutet der Begriff Compliance (engl. to comply with something: etwas befolgen, einhalten, entsprechen oder auch: übereinstimmen mit) die Übereinstimmung der tatsächlichen Verhältnisse mit etwas Niedergeschriebenem, also die tatsächliche Einhaltung beispielsweise von Gesetzen oder internen bzw. externen Richtlinien. Compliance ist damit eigentlich nichts Neues, Gesetze mussten immer schon eingehalten werden, was im deutschen Recht abgeleitet wird aus der allgemeinen Organisationsverantwortung (Sorgfaltspflicht) für Vorstände bzw. Geschäftsführer ( 92 AktG, 43 GmbHG); erstmals kodifiziert wurde der Compliance-Begriff in 2007 in dem Deutschen Corporate Governance Kodex. So irrsinnig es klingen mag, ein System einzuführen, um Gesetze zu beachten die Praxis zeigt aber: Gesetze sind auch immer wieder gebrochen oder Bilanzen gefälscht worden. Die Geschichte der Wirtschaftskriminalität und ihrer Gegenmaßnahmen zur Vermeidung erzählt sich in neuerer Zeit wie das unendliche Spiel von Computerviren, Antiviren und Hackern. Deshalb ist Compliance untrennbar verbunden mit dem Begriff des Internen Kontrollsystems (IKS). Bei der Compliance geht es einerseits um materielle Verhaltensnormen für handelnde Personen (Rechtschaffenheit, Einhaltung von Pflichten), andererseits aber auch um materielle oder formelle Eigenschaften von Informationen bzw. Informationsträgern (Beispiel: richtige und fristgerechte Abgabe von Steuererklärungen auf den richtigen Formularen). Beispiel einer Compliance-Prüfung: Eine zentrale Variante einer Compliance-Prüfung ist die Jahresabschlussprüfung im Sinne der 316 ff. HGB. Hiernach entsteht im Ergebnis eine Beurteilung darüber, ob eine Rechnungslegung den jeweils anzuwendenden Rechnungslegungsnormen z.b. den IFRS oder den deutschen handelsrechtlichen Vorschriften entspricht; dies schließt eine Aussage darüber ein, inwieweit die Rechnungslegung ein zutreffendes Bild über das Vermögen, die Finanzen und die Ertragskraft eines Unternehmens vermittelt, das also mit den tatsächlichen Verhältnissen übereinstimmt oder neue grundsätzliche Ausrichtung? 2.1 COSO-Standards als Grundlage Es war kein Zufall, dass in 1994 vor allem in US-amerikanischen Konzernzentralen Compliance durch die Flure hallte. Just in diesem Jahr hatte das Committee of Sponsoring Organizations of the Treadway Commission (COSO) die zweite, bis heute gültige Auflage seines sog. COSO-Frameworks veröffentlicht (COSO II, folgend der ersten Auflage aus 1992). Ein Praxisbericht: 1994 Der Verfasser dieses Beitrags hatte gerade seine neue Stelle als Verantwortlicher für die zentrale Steuerabteilung Deutschland eines US-amerikanischen, an der New York Stock Exchange gelisteten Konzerns angetreten, da wurde ihm Compliance als die damals oberste strategische Zielsetzung durch den Chef im Global Tax der Konzernzentrale in Milwaukee vermittelt. Als Neuer hatte er in der offiziellen Sitzung nicht gefragt, was denn darunter zu verstehen sei. Später hatte sich dazu allerdings herausgestellt, dass tatsächlich niemand in der Zentralabteilung für die europäischen Aktivitäten den Begriff der Compliance genau zu definieren vermochte, selbst eine US-amerikanische Kollegin aus der Rechtsabteilung monierte: He is talking about compliance, but what the hell does that mean? Hinter dem strategischen Ziel stand das Anliegen, ein weltweites Tax Planning einzuführen. Da aber die steuerliche Compliance zu dem damaligen Zeitpunkt noch nicht ganz auf aktuellem Stand war, war die Planungsbasis mit zu großen Unsicherheiten behaftet, insbesondere zu groß, um einigermaßen sinnvolle Entscheidungen zwecks steuerlicher Optimierung vorzubereiten. Der Konzern, der schon damals zu den Global Playern in einem der bedeutendsten Industriezweige zählte, war nämlich gerade erst kurz zuvor in den europäischen Markt eingetreten und Antworten auf Fragen wie z.b. nach steuerlich wirksamen Firmenwertabschreibungen waren zu dem Zeitpunkt noch nicht durch eine abschließende Konzernbetriebsprüfung gefestigt. 6 PKF Themen IKS November 2008

7 Dieses Beispiel verdeutlicht, dass eine zeitnahe Compliance nicht (allein) von externen (z.b. gesetzlichen) Anforderungen her betrachtet werden sollte, sondern durchaus und primär der originären Interessenlage eines Unternehmens selbst dienen kann, die ja darin bestand, durch ein sauberes Tax Planning die Konzernsteuerquote zu optimieren bzw. zu minimieren. COSO II definiert das IKS als einen durch die Unternehmensführung implementierten Prozess mit dem Ziel, das Folgende kumulativ zu erreichen: Effektivität und Effizienz der Unternehmensaktivitäten (Operations), Verlässlichkeit der Rechnungslegung (Financial Reporting), Compliance mit den einschlägigen Normen (Applicable Laws and Regulations). Das COSO-Committee war ursprünglich eine freiwillige privatwirtschaftliche Organisation in den USA, gegründet 1985 als Plattform für die National Commission on Fraudulent Financial Reporting (Treadway Commission), um Ursachen für betrügerische oder missbräuchliche Finanzberichterstattungen zu erforschen und um Gegenmaßnahmen zu entwickeln. Bereits 1992 hatte die SEC (Securities and Exchange Commission) als amerikanische Aufsichtsund Kontrollbehörde für den Wertpapierhandel an Börsen in den USA das COSO-Framework als Standard für das IKS offiziell anerkannt. Besondere Bedeutung hat COSO II durch den Sarbanes Oxley Act (SOA bzw. SOX) von 2002 gewonnen, als die an den Börsen in den USA notierten Unternehmen verpflichtet wurden, ihre internen Kontrollsysteme zu dokumentieren und durch den Abschlussprüfer prüfen zu lassen. 2.2 Risikomanagement auf der Basis des COSO-Frameworks Das COSO-Framework gilt heute als das älteste Regelwerk ( Standard ) für ein Risikomanagement in Unternehmen und basiert auf dem grundlegenden Ansatz, eine hohe Qualität für die Finanzberichterstattung durch Bei der Compliance liegt der Fokus nicht in der Pflicht zur Einhaltung von Gesetzen selbst, sondern in der Einführung von organisatorischen Maßnahmen, um Unternehmensziele in einem normenkonformen Rahmen zu erreichen. gute Unternehmensführung, ethisches Handeln und durch wirksame interne Kontrollen zu gewährleisten (Good Governance). Der COSO-Ansatz hat nachweislich als Grundlage für die Entwicklung nationaler und internationaler Prüfungsnormen gedient; er findet sich in den Prüfungsstandards der International Federation of Accountants (IFAC) genauso wieder wie in den Prüfungsstandards des IDW. Eine sog. gute Unternehmensführung beinhaltet danach auch die Abwägung von Risikoindikatoren im Hinblick auf die Gefahr (das Risiko), dass eine Finanzberichterstattung fehlerhaft, also non-compliant mit den geltenden Rechnungslegungsnormen oder mit den tatsächlichen Verhältnissen ist. Praxishinweis: Am Rande erwähnt sei, dass bei der Betrachtung von solchen Risikoindikatoren die wesentliche Schwierigkeit in dem Gewöhnungsprozess besteht, stets und ständig einen Zusammenhang zwischen Risiken und den einzelnen Aussagen in der Rechnungslegung zu bilden ( consider financial risks only ). Auf das PKF themen-heft IKS 01/06 (S. 7: Was sagt Ihre Rechnungslegung aus, abrufbar unter kann verwiesen werden. 2.3 Ableitung von Compliance-Aufgaben Compliance ist der Zweck, das IKS ein Mittel zum Zweck. Der Fokus bei der Compliance liegt nicht in der Pflicht zur Rechtmäßigkeit bzw. nicht in der Einhaltung von Gesetzen selbst, sondern in der Einführung und Aufrechterhaltung von organisatorischen Maßnahmen, um ein normenkonformes Verhalten im Unternehmen zu gewährleisten. Vor dem Hintergrund der Geschichte des COSO mit seinem grundlegend auf ethischem Handeln basierenden Ansatz ist es nicht verwunderlich, dass die meisten explizit ausformulierten Compliance-Richtlinien, die sich heute in den großen deutschen, auch DAX-notierten Unternehmen finden, Normen für das Verhalten von Mitarbeitern/ -innen beinhalten. PKF Themen IKS November

8 Archivierung von s und elektronischen Dokumenten Aufbewahrungspflichten und datenschutzrechtliche Anforderungen Kenntnisse über Archivierungspflichten und Datenschutzbestimmungen sind in Unternehmen oft wenig verbreitet. Welche Risiken sich aus der Unkenntnis bzw. unbewussten Missachtung des regulatorischen Umfelds ergeben können, wird nachfolgend an dem Beispiel von s und anhängenden elektronischen Dokumenten veranschaulicht. 1. Dokumentationspflichten im -Zeitalter Die elektronische Kommunikation durch s und der Austausch von anhängenden elektronischen Dokumenten sind in Unternehmen mittlerweile eine Selbstverständlichkeit und aus dem Wirtschaftsleben nicht mehr wegzudenken. Kaum jemand macht sich jedoch Gedanken über die Risiken im Zusammenhang mit dieser Form der Kommunikation: Was hat beispielsweise die -Korrespondenz mit Datenschutz zu tun? Warum sind s und deren anhängende Dokumente strukturiert aufzubewahren? Die strukturierte Archivierung von Dokumenten in Papierform ist uns allen geläufig, die der s eher nicht. Doch allein in diesen Überlegungen steckt schon das Problem: Vielen Unternehmen fehlt in Unkenntnis der Archivierungs- und Datenschutzbestimmungen das Risikobewusstsein. Warum wohl sind jetzt die Pflichtangaben in Geschäftsbriefen inzwischen auch in s vorgeschrieben? Die Folgen der Nichteinhaltung der rechtlichen und regulativen Vorgaben zur Archivierung und zum Datenschutz für das Unternehmen können schon mal gravierend werden. 2. Rahmenbedingungen der - Archivierung Ein allgemeingültiges Aufbewahrungs- oder Archivierungsgesetz gibt es nicht, vielmehr enthält eine Vielzahl unterschiedlicher Regelungswerke einzelne hier themenrelevante Bestimmungen. Zunächst anzuführen sind die Vielen Unternehmen fehlt in Unkenntnis der Archivierungsund Datenschutzbestimmungen das Risikobewusstsein. Es drohen teils empfindliche Sanktionen. buchführungsspezifischen Archivierungserfordernisse, insbesondere aus dem Handelsrecht ( 239 und 257 HGB) und dem Steuerrecht ( 146 und 147 AO). Ferner sind Anforderungen aus den Grundsätzen ordnungsmäßiger Buchführung für IT-Systeme (IDW RS FAIT 1), ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sowie zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zu beachten. Darüber hinaus existieren nicht auf den ersten Blick erkennbare Regelungen im Aktiengesetz, im GmbH-Gesetz und in der ZPO. So sollte die -Archivierung aufgrund der enormen Bedeutung von s als Geschäftskorrespondenz dem unternehmensweit ausgerichteten Risikofrüherkennungssystem unterliegen. Indirekte Archivierungspflichten ergeben sich auch aus Nachweissicherungs- (z.b. Sicherung von Beweismitteln: elektronische Signatur, Nachweis bei Streitigkeiten, Revisionssicherheit) und allgemeinen Sorgfaltspflichten (z.b. Kommunikationshilfen, Verhaltensregeln bei der Verwendung von s). Schließlich sind die Zugriffsbefugnisse der Unternehmen auf das - Account von Mitarbeitern begrenzt durch Regelungen des Bundesdatenschutzgesetzes (BDSG), des Telekommunikationsgesetzes (TKG) sowie insbesondere des allgemeinen Persönlichkeitsrechts. Immer wieder stellt sich die Frage, welche s aufzubewahren sind. Dies ist vor dem Hintergrund der Fülle von Regelungen nur schwer zu beantworten und hängt vom Inhalt und Zweck der s ab. In der Buchführung bestimmt 257 Abs. 2 HGB, dass Handelsbriefe, also Schriftstücke, die ein Handelsgeschäft betreffen, aufzubewahren sind. Ein Handelsgeschäft ist immer betroffen, wenn es um Vorbereitung, Abschluss, Durchführung oder Rückgängigmachung eines Geschäfts geht. s, die in diesem Zusammenhang empfangen oder versendet werden (z.b. bei einem Auftrag, einer Auftragsbestätigung, einer Mängelrüge, einer Reklamation oder einem Vertragsabschluss), sind aufzubewahren. Gleiches gilt für die elektronisch angehängten Dateien (z.b. Vertragsentwürfe). Allein schon in der Abgrenzung 8 PKF Themen IKS November 2008

9 der insoweit nicht eingeschlossenen -Korrespondenz einerseits zum Handelsbrief andererseits zeigt sich die dahinter stehende Problematik. Die Nichteinhaltung von Archivierungspflichten hat für die Unternehmen diverse, teils empfindliche Sanktionen zur Folge. Sie reichen u.a. vom Strafrecht (z.b. Verletzung von Buchführungspflichten, Beseitigung beweiserheblicher Daten) über das Steuerrecht (z.b. Schätzung von Besteuerungs grundlagen) bis hin zum Zivilrecht (z.b. persönliche Haftung der Geschäftsleitung, Kündigung des Arbeitsverhältnisses). 3. Archivierung versus Datenschutz Problematisch kann es für Unternehmen werden, wenn die Zugriffsbefugnisse auf die -Accounts von Mitarbeitern, insbesondere von ausgeschiedenen Mitarbeitern, mit bestehenden Regelungen des Datenschutzes und des Fernmelderechts sowie dem Grundrecht auf Schutz der persönlichen Daten kollidieren. Wenn beispielsweise ein Zugriff auf den -Account eines Mitarbeiters für Zwecke der Archivierung oder aufgrund seiner Abwesenheit oder seines Ausscheidens erfolgen soll, ist dies problematisch, wenn der betroffene Mitarbeiter darin nicht nur geschäftliche Korrespondenz, sondern auch private s verwaltet. Fraglich ist, wie der durch Persönlichkeitsrechte verbotene Zugriff auf das personalisierte -Account nicht mit den Unternehmensinteressen kollidiert. Ist die private Nutzung vom Arbeitgeber ausdrücklich untersagt, wird das Persönlichkeitsrecht nicht verletzt. Anderenfalls sind die schutzwürdigen Interessen des Arbeitnehmers mit dem Schutz des eingerichteten und ausgeübten Gewerbebetriebs abzuwägen. Bei effizienter Gestaltung der Prozesse sind bessere Ratings erzielbar. Nach dem TKG tritt der Arbeitgeber sogar als Diensteanbieter auf, wenn er die private Nutzung gestattet. Als Diensteanbieter ist der Arbeitgeber zur Wahrung des Fernmeldegeheimnisses verpflichtet, d.h. ein Zugriff auf das -Account, auf dem sich auch private Korrespondenz befindet, verletzt das Fernmeldegeheimnis. In den Schutzbereich des Fernmeldegeheimnisses sind grundsätzlich auch Absender von an Arbeitnehmer gerichteten s einzubeziehen. Zudem hat das Bundesverfassungsgericht mit seinem Urteil vom den Schutz des Persönlichkeitsrechts ausgeweitet und daraus ein neues Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme abgeleitet. Dieses neue IT- Grundrecht soll u.a. die Einsichtnahme in Umstände des Kernbereichs privater Lebensgestaltung schützen. Das Urteil ist nun zusätzlich durch die Unternehmen beim Zugriff auf s ihrer Mitarbeiter zu beachten. Die Praxis zeigt: Überwiegend fehlt es in den Unternehmen an Bestimmungen über den Umfang der Nutzung oder etwaige Zugriffsrechte auf das auch privat genutzte -Account angesichts der Risiken für das Unternehmen ein fahrlässiger Umstand. Empfehlung: Eine ausdrückliche Regelung ist anzuraten, sowohl hinsichtlich der zeitlichen und inhaltlichen Nutzung als auch hinsichtlich der Zugriffsrechte. Möglich ist auch ein ausdrückliches Verbot. Eine Betriebsvereinbarung kann Abhilfe schaffen, Regelungen in den Arbeits- und Dienstverträgen sind ebenfalls hilfreich. Insbesondere im Falle des Ausscheidens oder bei längerer krankheitsbedingter Abwesenheit eines Mitarbeiters kann so ein rechtlich korrekter Zugriff schnell gewährleistet werden. 4. Fazit: Neben Pflichten auch Chancen Die vorstehend skizzierten Archivierungspflichten und Datenschutzbestimmungen zeigen am Beispiel von s und anhängenden elektronischen Dokumenten nur allzu deutlich, welche Risiken sich aus der Unkenntnis des regulatorischen Umfelds ergeben können. Hier schlägt der im vorstehenden Beitrag näher erläuterte Compliance-Gedanke praktisch stark durch; es ist erforderlich: die einschlägigen Regelungen zu kennen, das Bewusstsein dafür zu stärken und die richtigen Maßnahmen zu treffen, um die Unternehmensziele und den normenkonformen Rahmen abzustecken. Das sind die Grundlagen für deren Einhaltung (Compliance). Dies muss ein Kontrollsystem gewährleisten. PKF Themen IKS November

10 Daraus ergeben sich auch Chancen für das Unternehmen. Durch den schnelleren Zugriff auf die Dokumente können Arbeitsabläufe im Unternehmen effizienter gestaltet werden. Die elektronische Archivierung kann zudem zu einer Platzersparnis in Richtung eines papierfreien Büros führen. Praxishinweis: Ein weiterer gewichtiger Vorteil liegt darin, dass mittels einer effizienteren Gestaltung der Prozessabläufe bessere Ratings erzielt werden können, sowohl bei wichtigen Lieferanten als auch bei Banken. Corporate Governance Ethik und Nachhaltigkeit Unternehmensführung jenseits kurzfristiger Gewinnmaximierung Nachhaltiges Wirtschaften lässt sich als ethisches Handeln leicht einfordern, zumal wenn wie derzeit im Zusammenhang mit der Finanzmarktkrise entsprechende Defizite unübersehbar werden. Schwieriger ist es jedoch, in der alltäglichen Betriebspraxis ein entsprechendes Verhalten zu gewährleisten. 1. Begriffliche Grundlagen Für erschöpfende Begriffsgeschichten ist hier kein Raum, sodass nur einige wichtige Aspekte der Begrifflichkeiten kurz skizziert werden können. 1.1 Ethik Das altgriechische Wort ethos bedeutet Gewohnheit, Sitte, Brauch, Übung. Über Sokrates, Platon und Aristoteles wurde die philosophische Ethik in der Antike reich entwickelt. Aus heutiger Sicht ist Ethik eine praktische Philosophie, indem sie die Frage zu beantworten sucht: Was sollen wir tun? Und in der Folge: Wie ist ein Leben zu führen, dass den Verbindlichkeiten des Menschen gegen sich, gegen andere, eventuell gegen Gott und gegen die Natur gerecht wird? Neben dieser allgemeinen Ethik gibt es auch spezifische Ausprägungen: Erinnert sei hier an den hippokratischen Erforderlich ist eine ausgeprägte Verantwortung gegenüber dem Allgemeinwohl jenseits nur kurzfristigen ökonomischen Erfolgsstrebens. Eid (etwa 400 v. Chr.) der Ärzte oder die Regeln des ehrbaren Kaufmanns (per fidem bonae et fidelis mercatoris bei der Ehre des wahren Kaufmanns; 1495 n. Chr.). 1.2 Nachhaltigkeit Nachhaltigkeit ist ursprünglich ein Begriff aus der Forstwirtschaft, der von Hans-Carl von Carlowitz angesichts des Holzmangels nach dem Dreißigjährigen Krieg geprägt wurde. Unter diesen Umständen plädierte von Carlowitz für eine nachhaltige Nutzung des Waldes und erinnerte daran, dass die Ökonomie dem Gemeinwesen zu dienen habe. Mittlerweile ist Nachhaltigkeit ein wichtiger Begriff in nahezu allen Bereichen der Gesellschaft, um verantwortungsbewusstes Handeln zu bezeichnen. Dabei wird zumeist auf die Definition für eine nachhaltige Entwicklung im sog. Brundtland-Bericht von 1987 Bezug genommen: Entwicklung zukunftsfähig zu machen, heißt, dass die gegenwärtige Generation ihre Bedürfnisse befriedigt, ohne die Fähigkeit der zukünftigen Generation zu gefährden, ihre eigenen Bedürfnisse befriedigen zu können. 2. Ethik nur als Etikett... Nach den Unternehmensskandalen der letzten Jahre stellt sich die Frage, ob Schlagworte wie Unternehmensethik und Nachhaltigkeit (die häufig synonym verwendet werden) eher nur der Imagepolitur einer Firma dienen oder eine grundlegende Ausrichtung der Unternehmenspolitik beschreiben sollen. In der Tat berichten viele Unternehmen in Broschüren und auf Internet-Seiten von ihren Anstrengungen und Erfolgen bei der Einführung von ethischen Standards und Konzepten nachhaltigen Wirtschaftens. Wird die Reklamierung von Ethik und Nachhaltigkeit damit zur reinen Vermarktungsstrategie? Innerhalb der Unternehmen versucht man durch Qualitätssicherungsmaßnahmen wie den Einsatz von IKS, solchen Entwicklungen oder Handlungen entgegenzuwirken, die ungesetzlich sind, dem Unternehmenszweck schaden oder sogar den Fortbestand des Unternehmens gefährden. Nach außen wird mittels Werbekampagnen in Zeitungen und entsprechende Internetauftritte Entschlossenheit zu nachhaltigem Wirtschaften beteuert. 10 PKF Themen IKS November 2008

11 3.... oder als Taktgeber für die tatsächlich gelebte Unternehmens politik? Ethisches Handeln im Sinne von Nachhaltigkeit geht über die Grenzen betriebswirtschaftlichen Denkens hinaus; umgekehrt sind allgemeingesellschaftliche Handlungsmaximen durchaus Maßstäbe für ein Unternehmen. Nachhaltigkeit hat also mit der politischen Wirklichkeit zu tun. In der Literatur wird der Begriff der Lebensdienlichkeit einer Ökonomie als ein Maßstab für unternehmerisches Handeln verwendet. Wirtschaften ist demnach ein Mittel zu höheren Zwecken, und nicht umgekehrt. Diese Position vertritt z.b. Peter Ulrich als Inhaber einer Professur für Wirtschaftsethik an der Universität St. Gallen. Dabei geht es ihm auch um die Formulierung von Geschäftsgrundsätzen, die aber nicht innerhalb eines Unternehmens von oben nach unten durchgesetzt werden sollten, weil dies die Verantwortungsfähigkeit der Mitarbeiter untergrabe. Vielmehr setzt er auf den fairen Diskurs auf und zwischen allen Ebenen, der diese ethischen Grundsätze erst lebendig werden lasse. Soweit das gelingt, ist damit auch der Boden geebnet, auf dem Compliance (siehe vorherige Beiträge in diesem Heft) in einem Unternehmen umfassend gewährleistet werden könnte. Im Verhältnis nach außen erfordert dies eine ausgeprägte Verantwortung gegenüber dem Allgemeinwohl jenseits nur kurzfristigen ökonomischen Erfolgsstrebens. Ist dabei der nachhaltig Handelnde, was die Gewinnmaximierung betrifft, der Dumme? Vielleicht kann ein Einzelner z.b. durch Ausbeute von Ressourcen zu Vorteilen gelangen, weil er keine Rekultivierungskosten trägt. Eine solche Perspektive ist jedoch nicht zukunftsfähig. Langfristig und auch wirtschaftlich sinnvoller ist es, sich frühzeitig um die Verfügbarkeit von notwendigen Ressourcen auch für zukünftige Erträge zu sorgen. 4. Ausblick Sicherlich kann man nachhaltiges Wirtschaften als ethisches Handeln leicht einfordern, die Verwirklichung bleibt aber daran gebunden, ob die Verantwortung von Unternehmern und Angestellten in der Praxis überhaupt gesehen und nachhaltiges unternehmerisches Handeln als Verpflichtung ernst genommen wird. Netzwerke, in denen sich Unternehmen auf bestimmte Grundsätze einigen und verpflichten, sind dabei wichtige Instrumente. Ein internationales Netzwerk, in dem sich in Deutschland bereits 31 Unternehmen, aber auch Organisationen der Zivilgesellschaft, Wissenschaft und Politik engagieren, ist der Global Compact. Entstanden auf Vorschlag des ehemaligen Generalsekretärs der Vereinten Nationen, Kofi Annan, wurden dort zehn Prinzipien aus den Bereichen Menschenrechte, Arbeitsnormen, Umweltschutz und Korruptionsbekämpfung formuliert. Praxishinweis: Unternehmen, die den Global Compact unterschreiben, sollen beispielsweise die international verkündeten Menschenrechte respektieren und ihre Einhaltung innerhalb ihrer Einflusssphäre fördern; alle Formen von Zwangsarbeit bzw. erzwungener Arbeit ausschließen; jede Diskriminierung in Bezug auf Beschäftigung und Beruf ausschließen; eine vorsorgende Haltung gegenüber Umweltgefährdungen einnehmen; die Entwicklung und die Verbreitung umweltfreundlicher Technologien ermutigen; gegen alle Arten der Korruption eintreten, einschließlich Erpressung und Bestechung. Netzwerke und Selbstverpflichtungen dieser Art ersetzen nicht gesetzliche Rahmen, können aber sehr wohl das Bewusstsein für die gesellschaftliche Verantwortung von Unternehmen befördern. Die Einrichtung eines Prüfungsausschusses Ein neues Gremium mit welchem Aufgabenzuschnitt? Das zur Verabschiedung anstehende BilMoG beinhält neben zahlreichen materiellrechtlichen Änderungen und neben der Erweiterung der Lageberichterstattung (vgl. dazu den Beitrag auf S. 4 in diesem Heft) auch eine neue aktienrechtliche Vorschrift, die den Auf gabenbereich eines im Aufsichtsrat einzurichtenden Prüfungsausschusses konkretisiert. 1. Wer hat einen Prüfungsausschuss einzurichten? Bereits nach geltendem Recht kann der Aufsichtsrat aus seinen Mitgliedern einen Prüfungsausschuss bilden. Der wesentliche Grund für die Bildung eines solchen Aus- PKF Themen IKS November

12 schusses besteht i.d.r. in der dadurch erreichbaren deutlich höheren Arbeitseffizienz. Nunmehr wird diese Möglichkeit (Kür) mit der Einführung des 107 Abs. 3 AktG-E zur Pflicht. 324 HGB-E verpflichtet alle kapitalmarktorientierten Unternehmen nun auch nach Handelsrecht ( 264d HGB- E), d.h. auch außerhalb der Geltung des Aktienrechts ( 100 Abs. 5 AktG), im Aufsichts- oder Verwaltungsrat einen Prüfungsausschuss einzurichten, der sich insbesondere mit den in 107 Abs. 3 AktG-E beschriebenen Aufgaben befassen muss. Ausnahmen bilden die Kapitalgesellschaften, deren ausschließlicher Zweck die Ausgabe von Wertpapieren ist, sowie Kreditinstitute im Sinne des 340 Abs. 1 HGB. Die Mitglieder des ggf. einzurichtenden Prüfungsausschusses sind von den Gesellschaftern zu wählen. Mindestens ein Mitglied muss die Voraussetzungen des 100 Abs. 5 AktG-E erfüllen. Der Vorsitzende darf nicht mit der Geschäftsführung betraut sein. Insoweit wirkt der 324 HGB-E wie ein Auffangnetz für alle solche Fälle, die nicht unter das Aktiengesetz fallen. 2. Aufgaben des Prüfungsausschusses In der neuen Vorschrift wird der Aufgabenbereich des Prüfungsausschusses konkretisiert. Dieser soll sich u.a. insbesondere mit der Wirksamkeit des internen Kontrollsystems sowie des Risikomanagementsystems befassen. Die nach 91 Abs. 2 AktG bestehende Verpflichtung des Vorstands einer börsennotierten Aktiengesellschaft, für eine methodische und fortdauernde Risikofrüherkennung und ihre systematische Überwachung Sorge zu tragen, wird durch die neue Vorschrift zwar nicht berührt. Gleichwohl wird dem Aufsichtsorgan über die Institution des Prüfungsausschusses nunmehr die Aufgabe übertragen, die Wirksamkeit des internen Kontrollsystems sowie des internen Risikomanagementsystems zu beurteilen sowie diesbezüglich dem Vorstand gegebenenfalls Erweiterungs- und Verbesserungsvorschläge zu unterbreiten und auch soweit vorhanden die Missstände konkret zu benennen. Mit dem 107 Abs. 3 AktG-E wird insgesamt gesehen deutlich, dass der Gesetzgeber der Einrichtung eines wirksamen internen Kontrollsystems sowie des Risikomanagementsystems verstärkt Rechnung trägt. Auch wenn ein Aufsichtsrat keinen Prüfungsausschuss einrichten würde, muss aus der neuen Vorschrift gefolgert werden, dass die hier beschriebenen Verpflichtungen des Aufsichtsrats gleichwohl bestehen. Impressum PKF Wirtschaftsprüfungsgesellschaft Jungfernstieg Hamburg Tel. +49 (0) Fax +49 (0) Die Inhalte der PKF* Themen IKS können weder eine umfassende Darstellung der jeweiligen Problemstellungen sein noch den auf die Besonderheiten von Einzelfällen abgestimmten steuerlichen oder sonstigen fachlichen Rat ersetzen. Wir sind außerdem bestrebt sicherzustellen, dass die Inhalte der PKF* Themen IKS dem aktuellen Rechtsstand entsprechen, weisen aber darauf hin, dass Änderungen der Gesetzgebung, der Rechtsprechung oder der Verwaltungsauffassung immer wieder auch kurzfristig eintreten können. Deshalb sollten Sie sich unbedingt individuell beraten lassen, bevor Sie konkrete Maßnahmen treffen oder unterlassen. * PKF bezieht sich auf PKF International, eine internationale Verbindung eigenständiger und rechtlich unabhängiger Gesellschaften. 12 PKF Themen IKS November 2008

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Mythos Internes Kontrollsystem (IKS)

Mythos Internes Kontrollsystem (IKS) Herbert Volkmann Mythos Internes Kontrollsystem (IKS) Börsennotierte Aktiengesellschaften auf dem Prüfstand Diplomica Verlag Herbert Volkmann Mythos Internes Kontrollsystem (IKS): Börsennotierte Aktiengesellschaften

Mehr

IT Management 2014. Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen

IT Management 2014. Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen IT Management 2014 Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen Rechtsanwalt Hans Sebastian Helmschrott, LL.M Eur. Rechtsanwältin Patricia Lotz Rechtsquellen des IT-Managements:

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

Risikomanagement. der Softship AG

Risikomanagement. der Softship AG Risikomanagement der Softship AG Risikomanagement der Softship AG Wesentliche Merkmale des Risikomanagement- und des internen Kontrollsystems Um Risiken, die den Fortbestand der Gesellschaft gefährden,

Mehr

02l10. Angaben zu Geschäften mit nahe stehenden Unternehmen und Personen. I. Überblick. III. Voraussetzungen. II. Betroffene Abschlüsse

02l10. Angaben zu Geschäften mit nahe stehenden Unternehmen und Personen. I. Überblick. III. Voraussetzungen. II. Betroffene Abschlüsse Angaben zu Geschäften mit nahe stehenden Unternehmen und Personen Erstmals in Abschlüssen für ein nach dem 31.12.2008 beginnendes Wirtschaftsjahr bei kalenderjahrgleichem Wirtschaftsjahr also ab dem Abschluss

Mehr

1. Grundlagen. IIA Position Paper The Role of Internal Audit in Enterprise-Wide Risk Management, 2009, S. 2. 2

1. Grundlagen. IIA Position Paper The Role of Internal Audit in Enterprise-Wide Risk Management, 2009, S. 2. 2 1.1. Definitionen 1. Grundlagen Risiko: Risiko bezeichnet die Möglichkeit eines Schadens oder Verlustes als Konsequenz eines bestimmten Verhaltens oder Geschehens. Risiken sind Bestandteil jeder unternehmerischen

Mehr

Die Erklärung zur Unternehmensführung

Die Erklärung zur Unternehmensführung Die Erklärung zur Unternehmensführung nach BilMoG November 2009 AUDIT Inhalt Editorial Betroffene Unternehmen Inhalte Entsprechenserklärung ( 161 AktG) Unternehmensführungspraktiken Beschreibung von Arbeitsweise

Mehr

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent

Mehr

Compliance im Rechnungswesen Anforderungen an die IT

Compliance im Rechnungswesen Anforderungen an die IT Information Risk Management Compliance im Rechnungswesen Anforderungen an die IT Dietmar Hoffmann Köln, 3. Mai 2007 ADVISORY Inhalt 1 Überblick 2 Rechtliche Rahmenbedingungen 3 Auswirkungen 4 Prüfungen

Mehr

Mehr als die Wiedergabe der Erklärung zur Unternehmensführung ist auch praktisch nicht möglich, da ihre Bestandteile keine Ableitung zulassen.

Mehr als die Wiedergabe der Erklärung zur Unternehmensführung ist auch praktisch nicht möglich, da ihre Bestandteile keine Ableitung zulassen. Bilanzrichtlinie-Umsetzungsgesetz: Die Erklärung zur Unternehmensführung und die Verlustübernahmepflichten des Mutterunternehmens bedürfen keiner Veränderung! Stellungnahme des Deutschen Aktieninstituts

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar.

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar. 3. Externe Rahmenbedingungen 3.1 Grundlagen Der Rahmen für die Tätigkeit der Internen Revision wird maßgeblich auch durch externe Normen gesetzt. Diese beinhalten insbesondere gesellschaftsrechtliche,

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

Bedeutung des BilMoG für die Interne Revision

Bedeutung des BilMoG für die Interne Revision Bedeutung des BilMoG für die Interne Revision München, 18. Juni 2010 Volker Hampel Geschäftsführer DIIR e.v. 1 Regulatorische Initiativen bringen seit Jahren Veränderungen - Vom KonTraG zum BilMoG - Basel

Mehr

E-Mailarchivierung für den Mittelstand

E-Mailarchivierung für den Mittelstand E-Mailarchivierung für den Mittelstand SaaS-Lösung von PIRONET NDH PIRONET NDH Datacenter GmbH 1 E-Mailarchivierung Agenda: E-Mailarchivierung warum? Wer muss archivieren? Welche E-Mails sind zu archivieren?

Mehr

Corporate-Governance-Bericht 2014

Corporate-Governance-Bericht 2014 Corporate-Governance-Bericht 2014 Run Simple The Best-Run Businesses Run SAP Corporate-Governance-Bericht Gute Corporate Governance ist für die SAP grundlegend für eine verantwortungsvolle Unternehmensführung.

Mehr

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T über die Softwarezertifizierung des Programms tacoss.etrade Tacoss Software GmbH Tarp Inhaltsverzeichnis Seite 1.

Mehr

Bericht des Aufsichtsrats. Sehr geehrte Aktionärinnen und Aktionäre,

Bericht des Aufsichtsrats. Sehr geehrte Aktionärinnen und Aktionäre, Bericht des Aufsichtsrats Sehr geehrte Aktionärinnen und Aktionäre, der Aufsichtsrat hat im abgelaufenen Geschäftsjahr die ihm gemäß Gesetz, Satzung und Geschäftsordnung obliegenden Aufgaben wahrgenommen

Mehr

Corporate- The Best-Run Businesses Run SAP

Corporate- The Best-Run Businesses Run SAP Corporate- Governance-Bericht 2013 The Best-Run Businesses Run SAP Corporate-Governance-Bericht Verantwortungsvolle Unternehmensführung Gute Corporate Governance ist für die SAP grundlegend denn als weltweit

Mehr

IXOS SOFTWARE AG - Hauptversammlung 3.12.2003. IXOS Corporate Governance. Peter Rau. Vorstand Finanzen IXOS SOFTWARE AG IXOS SOFTWARE AG

IXOS SOFTWARE AG - Hauptversammlung 3.12.2003. IXOS Corporate Governance. Peter Rau. Vorstand Finanzen IXOS SOFTWARE AG IXOS SOFTWARE AG IXOS SOFTWARE AG - Hauptversammlung 3.12.2003 IXOS Corporate Governance Peter Rau Vorstand Finanzen IXOS SOFTWARE AG IXOS SOFTWARE AG Technopark 1 Bretonischer Ring 12 D-85630 Grasbrunn/München Tel.: +49.(0)89.4629.0

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

Beschreibung von IKS und RMS im Lagebericht

Beschreibung von IKS und RMS im Lagebericht November 2009 Beschreibung von IKS und RMS im Lagebericht AUDIT Inhalt Editorial Betroffene Unternehmen Verbindung zwischen RMS und IKS Verbindung zur Risikoberichterstattung Struktur und Inhalt der beschreibenden

Mehr

RSP International. Ihr Partner in Osteuropa und Zentralasien

RSP International. Ihr Partner in Osteuropa und Zentralasien Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element

Mehr

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Die Email-Falle RA Thomas Brehm Hamburg Aus der Vortragsreihe der Systemhaus for you GmbH Heidenkampsweg 66 20097 Hamburg Bei

Mehr

Alles sicher? Backup und Archivierung aus rechtlicher Sicht. Gelsenkirchen, 25. März 2014. Rechtsberatung. Steuerberatung. Luther.

Alles sicher? Backup und Archivierung aus rechtlicher Sicht. Gelsenkirchen, 25. März 2014. Rechtsberatung. Steuerberatung. Luther. Alles sicher? Backup und Archivierung aus rechtlicher Sicht Dr. Maximilian Dorndorf Johanna Langer, LL.M. Gelsenkirchen, 25. März 2014 Rechtsberatung. Steuerberatung. Luther. Agenda I. Begriffsbestimmungen

Mehr

Corporate Governance Kodex der Messe Düsseldorf GmbH Corporate Governance Kodex der Messe Düsseldorf GmbH

Corporate Governance Kodex der Messe Düsseldorf GmbH Corporate Governance Kodex der Messe Düsseldorf GmbH Corporate Governance Kodex - Standards zur Steigerung der Transparenz und Kontrolle - Stand: Oktober 2011 1 Präambel und Geltungsbereich Die Messe Düsseldorf GmbH erkennt ihre soziale Verantwortlichkeit

Mehr

E-Mail-Archivierung rechtskonform gestalten. Whitepaper für Unternehmen und Verantwortliche

E-Mail-Archivierung rechtskonform gestalten. Whitepaper für Unternehmen und Verantwortliche 2014 E-Mail-Archivierung rechtskonform gestalten. Whitepaper für Unternehmen und Verantwortliche Severin Maier und Maik Kleindienst Thilo Märtin & Collegen Rechtsanwalts GmbH Version Version Datenname

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

CSR - neue Pflichtaufgabe neben Governance, Risk Management und Compliance? forum envicomm 27. Mai 2008

CSR - neue Pflichtaufgabe neben Governance, Risk Management und Compliance? forum envicomm 27. Mai 2008 CSR - neue Pflichtaufgabe neben Governance, Risk Management und Compliance? forum envicomm 27. Mai 2008 Einleitung CSR-Debatte voller Missverständnisse Kein eigenständiges Regulierungsfeld Kein Ablasshandel

Mehr

1. IT-Sicherheit als Bestandteil des. 3. Besonderheiten des öff.-re. Sektors. 4. Ablauf eines Risikomanagements

1. IT-Sicherheit als Bestandteil des. 3. Besonderheiten des öff.-re. Sektors. 4. Ablauf eines Risikomanagements Rechtliche Aspekte der IT-Sicherheit Prof. Dr. Kathrin Winkler Gliederung 1. IT-Sicherheit als Bestandteil des 3. Besonderheiten des öff.-re. Sektors 4. Ablauf eines 5. IT-Grundschutz des BSI 1 Einordnung

Mehr

E-Mail-Archivierung: Rechtliche Pflichten, rechtliche Risiken

E-Mail-Archivierung: Rechtliche Pflichten, rechtliche Risiken E-Mail-Archivierung: Rechtliche Pflichten, rechtliche Risiken 16. Starnberger IT-Forum 10. Juli 2013 RA Helge Kauert, LL.M. Kinast & Partner Rechtsanwälte 1 Überblick 1. Vorstellung 2. Gesetzliche Vorgaben

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

6.4.5 Compliance-Management-System (CMS)

6.4.5 Compliance-Management-System (CMS) Seite 1 6.4.5 6.4.5 System (CMS) Grundlage eines CMS ist die Compliance. Ein CMS enthält jene Grundsätze und Maßnahmen, die auf den von den gesetzlichen Vertretern festgelegten Zielen basieren und ein

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

Information für Lieferanten der BOLL & KIRCH Filterbau GmbH

Information für Lieferanten der BOLL & KIRCH Filterbau GmbH Information für Lieferanten der BOLL & KIRCH Filterbau GmbH RICHTLINIE ZUR NACHHALTIGKEIT - 1 - Nachhaltigkeit Nachhaltigkeit ist ein langfristiger strategischer Erfolgsfaktor, nicht nur für die BOLL &

Mehr

Ausgewählte Rechtsfragen der IT-Security

Ausgewählte Rechtsfragen der IT-Security Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft

Mehr

Verhaltenskodex. Verhaltenskodex. SIGNUM Consulting GmbH

Verhaltenskodex. Verhaltenskodex. SIGNUM Consulting GmbH Verhaltenskodex Einleitung Die hat einen Verhaltenskodex erarbeitet, dessen Akzeptanz und Einhaltung für alle Mitarbeiter als Voraussetzung zur Zusammenarbeit gültig und bindend ist. Dieser Verhaltenskodex

Mehr

Daimler Nachhaltigkeitsbericht 2014 Compliance 47. Compliance

Daimler Nachhaltigkeitsbericht 2014 Compliance 47. Compliance Daimler Nachhaltigkeitsbericht 2014 Compliance 47 Compliance Compliance ist ein unverzichtbarer Teil der Integritätskultur bei Daimler. Für uns ist es selbstverständlich, dass wir uns an alle relevanten

Mehr

Compliance Management

Compliance Management Compliance Management Fernwärmetage 2013 13.03.2013 RA Dr. Gregor Schett, LL.M. Mag. Christoph Kochauf Fellner Wratzfeld & Partner Rechtsanwälte GmbH A-1010 Wien, Schottenring 12, T: +43 (1) 537 70 F:

Mehr

Der kleine Risikomanager 1. Karin Gastinger 29.05.2008

Der kleine Risikomanager 1. Karin Gastinger 29.05.2008 Risikomanagement Eine Chance zur Unternehmenswertsteigerung Der kleine Risikomanager 1 2 Der kleine Risikomanager 2 3 Der kleine Risikomanager 3 4 Risiko Risiko ist die aus der Unvorhersehbarkeit der Zukunft

Mehr

Archiv Gesetzgebung: E-Mail-Archivierung in Deutschland. lnformationen zu den wichtigsten gesetzlichen Vorgaben für Unternehmen

Archiv Gesetzgebung: E-Mail-Archivierung in Deutschland. lnformationen zu den wichtigsten gesetzlichen Vorgaben für Unternehmen Archiv Gesetzgebung: E-Mail-Archivierung in Deutschland lnformationen zu den wichtigsten gesetzlichen Vorgaben für Unternehmen Contents Gesetze zum Thema E-Mail-Archivierung 3 Strafmaßnahmen und andere

Mehr

Handbuch Interne Kontrollsysteme (IKS)

Handbuch Interne Kontrollsysteme (IKS) Handbuch Interne Kontrollsysteme (IKS) Steuerung und Überwachung von Unternehmen Von Dr. Oliver Bungartz ERICH SCHMIDT VERLAG Vorwort 5 Abkürzungsverzeichnis 11 Abbildungsverzeichnis 15 Tabellenverzeichnis

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Digitale Dokumenten- und Archivlösungen. E-Mail Archivierung für Outlook/Exchange. [accantum] E-Mail Archivierung für Microsoft Outlook / Exchange

Digitale Dokumenten- und Archivlösungen. E-Mail Archivierung für Outlook/Exchange. [accantum] E-Mail Archivierung für Microsoft Outlook / Exchange Outlook / Exchange [accantum] E-Mail Archivierung für Microsoft Outlook / Exchange Gesetzeskonforme E-Mail Archivierung für Unternehmen. Mit dem [accantum] E-Mail Server können Unternehmen Ihre E-Mails

Mehr

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren IKS, Compliance, Risikomanagement Wie Sie angemessene und wirtschaftliche Kontrollen installieren Das Interne Kontrollsystem (IKS) rückt immer stärker in den Fokus der Bankenaufsicht Damit steht es auch

Mehr

Leitfaden zur rechtssicheren E-Mail-Archivierung in der Schweiz

Leitfaden zur rechtssicheren E-Mail-Archivierung in der Schweiz Leitfaden zur rechtssicheren E-Mail-Archivierung in der Schweiz E-Mail-Archivierung bietet nicht nur zahlreiche technische und wirtschaftliche Vorteile, sie stellt für Unternehmen zudem eine zwingende

Mehr

Fragen und Antworten zur Vereinfachung der elektronischen Rechnungsstellung

Fragen und Antworten zur Vereinfachung der elektronischen Rechnungsstellung 2011/0604162 IV D 2 - S 7287-a/09/10004 26. Juli 2011 Fragen und Antworten zur Vereinfachung der elektronischen Rechnungsstellung Durch das Steuervereinfachungsgesetz 2011 sollen durch Änderungen im Umsatzsteuergesetz

Mehr

FAQ-Katalog zur Musterverfahrensdokumentation

FAQ-Katalog zur Musterverfahrensdokumentation FAQ-Katalog zur Musterverfahrensdokumentation Nr. Frage Antwort 1 Befasst sich die Musterverfahrensdokumentation (MVD) auch mit der Behandlung elektronischer Dokumente (E-Rechnung, elektronische Kontoauszüge,

Mehr

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 Lösung zu Frage 1 Das St. Galler Management-Modell unterscheidet die drei

Mehr

Public Corporate Governance Bericht 2014 des Aufsichtsrates und der Geschäftsführung der Deutschen Akkreditierungsstelle

Public Corporate Governance Bericht 2014 des Aufsichtsrates und der Geschäftsführung der Deutschen Akkreditierungsstelle Public Corporate Governance Bericht 2014 des Aufsichtsrates und der Geschäftsführung der Deutschen Akkreditierungsstelle GmbH 1. Public Corporate Governance Kodex des Bundes Die Bundesregierung hat am

Mehr

1.3.2.2 SOX 404 und IT-Sicherheit - was gilt es zu beachten?

1.3.2.2 SOX 404 und IT-Sicherheit - was gilt es zu beachten? Dem Audit Committee obliegt es, die Wirtschaftsprüfer zu bestellen, aber auch als Anlaufstelle für Informationen über evtl. Beschwerden und Unregelmäßigkeiten der Rechnungslegung innerhalb des Unternehmens

Mehr

Wir machen Sachen! E-Mail rechtsicher Archivieren! Wie? ZAPw@re

Wir machen Sachen! E-Mail rechtsicher Archivieren! Wie? ZAPw@re E-Mail rechtsicher Archivieren! Wie? ZAPw@re Inhalt 1. Hintergrund & Allgemeines 2. Hard-Facts zur rechtssicheren E-Mail-Archivierung in Kurzform a. Für wen gilt die Archivierungspflicht? b. Für welche

Mehr

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014 Agenda I. Begriffe II. Anwendbare

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

1. Aufbewahrungsfristen für Personalakten

1. Aufbewahrungsfristen für Personalakten Aufbewahrungsfristen für Personalakten X AUFBEWAHRUNG, ARCHIVIERUNG, BEWEIS- VERWERTBARKEIT, ORDNUNGSMÄßIGKEIT 1. Aufbewahrungsfristen für Personalakten Ein allgemeiner Rahmen für die Dauer der Personalaktenführung

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht Richtlinie des Instituts Österreichischer Wirtschaftsprüfer zur Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht einer Verwaltungsgesellschaft (Kapitalanlagegesellschaft

Mehr

Prüfung von Compliance Management- Systemen (CMS) nach dem IDW PS 980

Prüfung von Compliance Management- Systemen (CMS) nach dem IDW PS 980 COMPLIANCE ASSURANCE Prüfung von Compliance Management- Systemen (CMS) nach dem IDW PS 980 Ein wirksames CMS hilft Ihnen, Compliance Verstöße zu erkennen und Risiken präventiv zu begegnen. Wir prüfen die

Mehr

STRATEGISCHES RISIKOMANAGEMENTSYSTEM. Carsten Schlachta Universität Münster, 13. Dezember 2011

STRATEGISCHES RISIKOMANAGEMENTSYSTEM. Carsten Schlachta Universität Münster, 13. Dezember 2011 Carsten Schlachta Universität Münster, 13. Dezember 2011 1 Gliederung: Vorstellung Aufbau eines strategischen Risikomanagements (RM) Risikomanagement im Internen Kontrollsystem (IKS) Spannungsfeld des

Mehr

Leitfaden zur rechtssicheren E-Mail-Archivierung in Österreich

Leitfaden zur rechtssicheren E-Mail-Archivierung in Österreich Leitfaden zur rechtssicheren E-Mail-Archivierung in Österreich Die Archivierung von E-Mails bietet nicht nur zahlreiche technische und wirtschaftliche Vorteile, sie stellt für Unternehmen zudem eine zwingende

Mehr

Erfüllung der Anforderungen des URÄG

Erfüllung der Anforderungen des URÄG RISK ADVISORY SERVICES Erfüllung der Anforderungen des URÄG KPMG Dienstleistungsangebot Jänner 2009 ADVISORY URÄG Agenda 1 URÄG gesetzliche Rahmenbedingungen 2 KPMG Dienstleistungen - Überblick 3 KPMG

Mehr

Offenlegung von Abschlussunterlagen. I. Größenklassen und Offenlegungspflichten

Offenlegung von Abschlussunterlagen. I. Größenklassen und Offenlegungspflichten Offenlegung von Abschlussunterlagen I. Größenklassen und Offenlegungspflichten Der Umfang der offenzulegenden Abschlussunterlagen hängt von der Größenklasse eines offenlegungspflichtigen Unternehmens ab.

Mehr

Enterprise Information Management

Enterprise Information Management Enterprise Information Management Risikominimierung durch Compliance Excellence Stefan Schiller Compliance Consultant Ganz klar persönlich. Überblick Vorstellung The Quality Group Status Quo und Herausforderungen

Mehr

Compliance as a Service

Compliance as a Service Compliance as a Service Hintergrund - Vorgehen - Ziel Jürgen Vischer, Principial Management Consultant Nürnberg, 08.10. - 10.10.2013 Folie 1 / Titel Präsentation / Referent 01. Januar 2010 Compliance ein

Mehr

E-Mail: Archivieren, Beweissichern, Filtern Von Rechtsanwalt Dr. Ivo Geis

E-Mail: Archivieren, Beweissichern, Filtern Von Rechtsanwalt Dr. Ivo Geis E-Mail: Archivieren, Beweissichern, Filtern Von Rechtsanwalt Dr. Ivo Geis Geschäftsprozesse werden zunehmend durch E-Mail-Kommunikation abgewickelt. E-Mail- Dokumente sind nach den Grundsätzen des Handelsrechts

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

Transparenz schafft Sicherheit

Transparenz schafft Sicherheit PwC Public Breakfast Transparenz schafft Sicherheit Graz 19. Mai 2010 Advisory Haben Sie einen Überblick darüber, welche Risiken in Ihrem Verantwortungsbereich bestehen und welche Kontrollen von Ihnen

Mehr

Compliance im Treasury-Management Vorgaben, Ausgestaltung, systemseitige Unterstützung

Compliance im Treasury-Management Vorgaben, Ausgestaltung, systemseitige Unterstützung Compliance im Treasury-Management Vorgaben, Ausgestaltung, systemseitige Unterstützung COMPLIANCE IM TREASURY-MANAGEMENT 2 Compliance oft zu hören, schwer einzuordnen! Wofür steht Compliance? engl.: to

Mehr

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme DSQM Datenschutzmanagement Qualitätsmanagement Datenschutzmanagement Der Basis-Schritt zum

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer Wolfgang Straßer Geschäftsführer Dipl.-Kfm. IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 @-yet Geschäftsbereiche

Mehr

Compliance Management-Systeme

Compliance Management-Systeme RISK & COMPLIANCE Compliance Management-Systeme ADVISORY Compliance ein Thema mit wachsender Bedeutung für Ihren Unternehmenserfolg 3 Compliance ist das rechtmäßige Handeln von Unternehmen, ihren Organen

Mehr

E-MAIL-ARCHIVIERUNG GESETZLICHE VORGABEN UND RECHTLICHE PROBLEME

E-MAIL-ARCHIVIERUNG GESETZLICHE VORGABEN UND RECHTLICHE PROBLEME E-MAIL-ARCHIVIERUNG GESETZLICHE VORGABEN UND RECHTLICHE PROBLEME Rechtsanwalt Dr. jur. Walter Felling Dipl.-Betriebswirt Referent: Rechtsanwalt Dr. jur. Walter Felling Dipl.-Betriebswirt Ausbildung: Industriekaufmann;

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Herzlich Willkommen, Prof. Dr. Jörg-Andreas Lohr WP/StB LOHR +COMPANY GmbH Wirtschaftsprüfungsgesellschaft Rochusstraße 47 40479 Düsseldorf

Herzlich Willkommen, Prof. Dr. Jörg-Andreas Lohr WP/StB LOHR +COMPANY GmbH Wirtschaftsprüfungsgesellschaft Rochusstraße 47 40479 Düsseldorf Bitte melden Sie sich zu dieser Veranstaltung über ILIAS an. Für die Anmeldung ist ein Kennwort nötig, welches in der ersten Vorlesung bekannt gegeben wird. Durch Ihre Anmeldung in ILIAS bekommen Sie u.a.

Mehr

scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG

scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG Welches sind die 3 Top-Risiken Ihrer Unternehmung? «Risk

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

Emails gesetzeskonform archivieren - das DSPemail-Archiv

Emails gesetzeskonform archivieren - das DSPemail-Archiv Emails gesetzeskonform archivieren - das DSPemail-Archiv IHK Potsdam Jens Lietzmann 18.05.2006 SIDATO über SIDATO secure operations Über 15 Jahre Erfahrung in der Telekommunikation, Internet und der Sicherung

Mehr

M&A im Streit. Compliance-Management-Systeme und Haftungsvermeidung. bei Pöllath & Partner am 08. November 2012 in München

M&A im Streit. Compliance-Management-Systeme und Haftungsvermeidung. bei Pöllath & Partner am 08. November 2012 in München M&A im Streit bei Pöllath & Partner am 08. November 2012 in München Compliance Management Mittelstand GmbH www.cmm-compliance.com Seite 1 Woraus ergibt sich Notwendigkeit des Handelns? Es gibt (noch) keine

Mehr

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de Position Arbeitnehmerdatenschutz rechtssicher gestalten Stand: März 2014 www.vbw-bayern.de Vorwort X Vorwort Zehn Forderungen für einen praxisgerechten Beschäftigtendatenschutz Die vbw Vereinigung der

Mehr

Risikomanagement und Interne Kontrolle für Aufsichtsräte Herausforderungen und praxisgerechte Lösungen

Risikomanagement und Interne Kontrolle für Aufsichtsräte Herausforderungen und praxisgerechte Lösungen www.pwc.at/aufsichtsrat Risikomanagement und Interne Kontrolle für Aufsichtsräte Herausforderungen und praxisgerechte Lösungen Aus der Serie Tool-Box für Aufsichtsräte Vorwort Die kontinuierliche Überwachung

Mehr

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II _Factsheet MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand Machen Sie Ihr Risikomanagement fit für Solvency II Severn Consultancy GmbH, Phoenix Haus, Berner Str. 119, 60437 Frankfurt

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

Leitfaden zur rechtssicheren E-Mail-Archivierung

Leitfaden zur rechtssicheren E-Mail-Archivierung Leitfaden zur rechtssicheren bietet nicht nur zahlreiche technische und wirtschaftliche Vorteile, sie stellt für Unternehmen zudem eine zwingende Notwendigkeit dar. Geltende rechtliche Anforderungen können

Mehr

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ Externer Datenschutz... Chancen durch Outsourcing PRISAFE DATENSCHUTZ Inhaltsverzeichnis Der Datenschutzbeauftragte Für welche Variante entscheiden? Der externe Datenschutzbeauftragte Kosten für Datenschutz

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Erfolgreiches Risikomanagement mit COSO ERM

Erfolgreiches Risikomanagement mit COSO ERM Erfolgreiches Risikomanagement mit COSO ERM Empfehlungen für die Gestaltung und Umsetzung in der Praxis Von Christian Brünger E R I C H S C H M I D T V E R L A G Bibliografische Information der Deutschen

Mehr

IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision

IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision Deutsches Institut für Interne Revision (IIR) IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision Ziel der Verlautbarung ist die Definition von Grundsätzen für die Prüfung

Mehr

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten

Mehr

Rechnungslegung und Jahresabschluss nach HGB. Dipl.-Ing. agr. Philipp Graf v.u.z. Lerchenfeld, MdL Wirtschaftsprüfer, Steuerberater

Rechnungslegung und Jahresabschluss nach HGB. Dipl.-Ing. agr. Philipp Graf v.u.z. Lerchenfeld, MdL Wirtschaftsprüfer, Steuerberater Rechnungslegung und Jahresabschluss nach HGB Dipl.-Ing. agr. Philipp Graf v.u.z. Lerchenfeld, MdL Wirtschaftsprüfer, Steuerberater Vorlesung im Wintersemester 2003/04 1. Rückblick 2. Grundlagen der Bilanzierung

Mehr