Industrialisierung. Compliance und verbesserter Kundenzugang EURO FINANCE WEEK

Transkript

1 Industrialisierung Dokumentenintensiver Prozesse Compliance und verbesserter Kundenzugang EURO FINANCE WEEK

2 Williams Lea: Einzigartige Leistungsfähigkeit in einem globalen Netzwerk Daten und Fakten Weltweite Niederlassungen Weltweit führender Anbieter von Corporate Information Solutions Über Mitarbeiter in den Fokusmärkten Nordamerika: 240 Niederlassungen mit Angestellten Europa: 150 Niederlassungen mit Angestellten Asiatisch-pazifischer Raum: 50 Niederlassungen mit 300 Angestellten Umsatz rund 1,2 Milliarden (2007) Strategische Kundenbeziehungen mit Laufzeiten zwischen drei und zehn Jahren Seit März 2006 Tochter der Deutsche Post World Net Branchen Finanzdienstleister, Investment Banking, Versicherungen, Pharmazie, Automotive, Telekommunikation, Recht, FMCGs, Dienstleistungen, Immobilien, Industrie, Öffentlicher Sektor 1

3 Williams Lea Deutschland: flächendeckende Infrastruktur Daten und Fakten Mehr als 60 operative Niederlassungen: - Druckleistungen (Transaktionsdruck, Direkt Marketing/Lettershop) - Digitalisierungsleistungen - Poststellenmanagement & Services Hauptsitz in Bonn Hochmoderne Technologien Über Mitarbeiter Umsatz rund 216,00 Millionen in 2007 End-to-end-Leistungsfähigkeit Niederlassungen Kiel Hamburg Ahrensburg Oldenburg Lüneburg Bremen Hannover Osnabrück Braunschweig Hameln Bottrop Kamp-Lintford Dortmund Essen Bochum Düsseldorf Wuppertal Köln Bonn Saarbrücken Koblenz Darmstadt Homburg Karlsruhe Frankfurt Villingen- Schwenningen Wehr Einbeck Bamberg Eschborn Rüsselsheim Bayreuth Mannheim Erlangen Fürth Stuttgart Nürnberg Ulm Erfurt Ingolstadt Leipzig Manching München Berlin Dresden Weimar Ilmenau Straubing 2

4 Corporate Information Solutions: Globale Lösungen für individuelle Anforderungen Marketing Solutions Print Services, Direkt & Dialog Marketing Services Poststellen & Logistic Services Ganzheitliches Beschaffungs- und Bereitstellungsmanagement für die Marketingkommunikation: Ressourcensteuerung, Onsite- Teams Vendor-Management / internationaler Einkauf (eprocurement) Produktions-Consulting Kundenspezifisches Reporting Digital Asset Management & Dynamic Publishing Kampagnen-Steuerung und -Abwicklung Transaktionsdruck von Geschäftskommunikation, Individualdruck von Tageskorrespondenz (Sammelkommunikation) Direkt- und Dialogmarketing bzw. Lettershop Services: Adress- und Datenbankmanagement, Druck- und Versandmanagement, Responsemanagement Postbearbeitungsfunktionen für interne/externe, eingehende/ausgehende Post (Personalübernahmen, interne Botendienste) Presentation Services Managed Print Services: Lösungsportfolio für die optimierte Nutzung von Druckern Betrieb von deutschlandweiten Logistik-Netzen zum Transport von Geschäftskorrespondenz 3

5 Corporate Information Solutions: Rationalisierung der Wertschöpfungskette Ihr Unternehmen Williams Lea Ihre Zielgruppen Kommunikation Outbound Enterprise Content Management Ziel Optimierung, Konsolidierung und Betrieb aller internen und externen Kommunikationsprozesse in einer ganzheitlichen Lösung. Cross-Media Produktion Multikanal Distribution OUT IN EXTERNE ZIELGRUPPEN INTERNE ZIELGRUPPEN Kommunikation Inbound Bearbeitung / Bereitstellung Archivierung Zentrale Maßnahmen Einbindung aller relevanten Unternehmensstandorte, Niederlassungen, Filialen und Betriebsstätten Analyse bestehender Prozesse und Lieferantenbeziehungen Prüfung und Integration bestehender Ressourcen und Technologien 4

6 Williams Lea und die Deutsche Post World Net Der Zusammenschluss des weltweit führenden Unternehmens für Waren-, Dokumenten- und Informationslogistik mit Williams Lea in 2006 ermöglicht die Entwicklung und Umsetzung einzigartiger Lösungen, welche die Zukunft im globalen Markt für BPO prägen werden. Globale Leistungsfähigkeit und Reichweite Europa, USA und Asien: on-shore und off-shore Umfassende finanzielle und strukturelle Ressourcen One-Stop-Shopping: echte end-to-end-lösungen für globale Kunden Kompetentes, verantwortungsbewusstes Management von Allianzen, Partnerschaften und Akquisitionen Kerndaten Deutsche Post World Net Über 60 Milliarden Euro Umsatz in 2006 Weltweit über Mitarbeiter Größtes Postunternehmen Europas Führend im internationalen Postversand Komplettanbieter bei Express- und Logistikdienstleistungen Nummer 1 in Europa im Landtransport Weltweit Nummer 1 in der Luftfracht In den Top 3 im Seetransport 5

7 Corporate Information Solutions: Globale Lösungen für individuelle Anforderungen Digitalisierung, Workflow, Archivierung Betrieb von 2 Beleglesezentren in Mannheim und Leipzig Weitere 13 Verarbeitungsstandorte in Deutschland Onsite Digitalisierungszentren (beim Kunden) Wertschöpfung: Logistik, vorbereitende Arbeiten, Scannen, Indexierung, Klassifizierung über OCR, Nachbearbeitung, Qualitätskontrolle, kundenindividuelle Auslieferung Archivierung (physische und elektronische Lösungen) Benefit Die Corporate Information Solutions ermöglichen Ihnen die Transformation ihres Informationsmanagements. Kommunikationsprozesse werden schneller, sicherer, effektiver und transparenter. Das bedeutet Mehr Profitabilität durch die effektivere Ansprache von Neuund Bestandskunden; Weniger Risiko durch die konsequente Beachtung und Einhaltung rechtlicher, regulatorischer, formaler und gestalterischer Rahmenbedingungen. 6

8 Auszug aus unserem Kundenkreis Global National 7

9 PERSICON Anbieter von spezialisierten Beratungs- und Prüfungsleistungen in den auf Informationssysteme fokussierten Bereichen: Governance, Compliance, Security Schnittmenge zwischen Wirtschaftsprüfung, Rechts- und Organisationsberatung sowie IT- Management Hauptsitz in Berlin, Niederlassungen in Düsseldorf, Frankfurt am Main, München, sowie Potsdam. 8

10 Dokumentenmanagement Motivation für Outsourcing 9

11 Motivationen für Outsourcing von Dokumenten-intensiven Prozessen in der Finanzwirtschaft Erfüllung der gesetzlichen und sonstigen regulativen Anforderungen Reduzierung der Verarbeitungszeiten und -kosten Qualitäts- und Reifegradsteigerung Verbesserung der Flexibilität, um Spitzenvolumina zu verarbeiten Konzentration auf das Kerngeschäft Reduzierung von Investitionen (Kapitalbindung) 10

12 Gesetzliche Anforderungen Compliance 11

13 Überblick Kreditwesengesetz (KWG) / Mindestanforderungen an das Risikomanagement (MaRisk) Versicherungsaufsichtsgesetz - VAG Strafgesetzbuch insbesondere 203 StGB Bundesdatenschutzgesetz (BDSG) Datenschutzgesetz der Länder Telemediengesetz (TMG) Grundsätze ordnungsmäßiger Buchführung (GOB) Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GOBS) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) Sarbanes-Oxley Act (SOX) 12

14 Solvency II / Versicherungsaufsichtsgesetz (VAG) Ausdrückliche Festlegung der Anforderungen an das Risikomanagement der Versicherer. Entwicklung einer auf die Steuerung des Unternehmens abgestimmten Risikostrategie. Aufbau- und ablauforganisatorische Regelungen, die die Überwachung und Kontrolle der wesentlichen Abläufe und ihre Anpassung an veränderte allgemeine Bedingungen sicherstellen müssen. Die Einrichtung eines geeigneten internen Steuerungs- und Kontrollsystems. 13

15 Bundesdatenschutzgesetz (BDSG) Anlage zu 9 Satz 1 BDSG verpflichtet Unternehmen zu Maßnahmen zum Schutz personenbezogener Daten. Personenbezogene Daten sind gemäß 3 Absatz 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (z.b. Personal- oder Kundendaten - Jeder Posteingang kann solche Daten enthalten) Werden die nach der Anlage zu 9 BDSG geforderten Maßnahmen nicht ergriffen, so ist das Unternehmen nach 7 BDSG in unbegrenzter Höhe schadensersatzpflichtig. Dies ist beispielsweise der Fall, wenn Personal- oder Kundendaten von einem Hacker ausgelesen werden können, weil keine Firewall eingesetzt wird, vgl. Anlage zu 9 Satz 1 BDSG (Nr. 2). 14

16 Bundesdatenschutzgesetz (BDSG) In der Anlage zu 9 Satz 1 BDSG werden ganz konkrete Maßnahmen gefordert: (1) Zutrittskontrollen, damit kein Unbefugter Zutritt zu den Computern hat, an denen personenbezogene Daten verarbeitet werden (z.b. Zutritt nur mit Chipkarte). (2) Zugangskontrollen, die verhindern, dass Unbefugte auf Computersysteme zugreifen können, an denen personenbezogene Daten verarbeitet werden ( z.b. Passwortschutz, Firewall). (3) Zugriffskontrollen, die sicherstellen, dass die Berechtigten nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben (z.b. Zugriffsrechteverwaltung). (4) Weitergabekontrolle, die gewährleistet, dass bei der Übertragung von Daten oder während ihres Transports oder ihrer Speicherung auf Datenträger diese nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtung zur Datenübertragung vorgesehen ist. 15

17 Bundesdatenschutzgesetz (BDSG) (5) Eingabekontrollen, damit nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. (6) Auftragskontrolle, die gewährleistet, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. (7) Verfügbarkeitskontrolle, um sicherzustellen dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (z.b. Datensicherung). (8) Gewähr dafür, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. 16

18 BDSG - Fazit Das BDSG stellt im Zusammenhang mit der Verarbeitung personenbezogener Daten ganz konkrete technische und organisatorische Anforderungen, deren Nichtbeachtung empfindliche Schadensersatzforderungen der Betroffenen nach sich ziehen kann. Das Gefährliche an 7 BDSG ist die enthaltene Beweislastumkehr. Es wird zunächst immer von einem Verschulden des Unternehmers ausgegangen. Was nicht ausdrücklich verboten wurde, ist verboten. 17

19 Landesdatenschutzgesetze Gültig für die jeweiligen Landes-, Landkreis- und Kommunaleinrichtungen (Öffentliche Stellen) Auch für wirtschaftliche Beteiligungen der o. g. Organe ab >50 % (GmbH, AG ) Komplexe Anwendung bei Auftragsdatenverarbeitung bei über mehrere Bundesländer verteilten Projekten, Prozesse, Systemen oder Anwendungen Analoge Struktur zu BDSG 18

20 Telemediengesetz (TMG) Telemedien ist ein aus Teledienste und Mediendienste gebildeter Oberbegriff für elektronische Informations- und Kommunikationsdienste. Das TMG enthält unter anderem Vorschriften zum Impressum für Telemediendienste zur Bekämpfung von Spam (Verbot einer Verschleierung und Verheimlichung von Absender und Inhalt bei Werbe- s) zur Haftung von Dienstebetreibern für gesetzeswidrige Inhalte in Telemediendiensten zum Datenschutz beim Betrieb von Telemediendiensten und zur Herausgabe von Daten Parallel zu den Datenschutzregelungen des TMG gelten für Telekommunikationsdienste weiterhin auch die des Telekommunikationsgesetzes. Internetangebote, die sowohl Telemedien als auch Telekommunikationsdienstleistungen beinhalten, unterliegen sowohl den Regeln des Telemedien- als auch denen des Telekommunikationsgesetzes. 19

21 Strafgesetzbuch StGB (1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) Ebenso wird bestraft, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart. Einem Geheimnis im Sinne des Satzes 1 stehen Einzelangaben über persönliche oder sachliche Verhältnisse eines anderen gleich, die für Aufgaben der öffentlichen Verwaltung erfasst worden sind (5) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe. 20

22 Mindestanforderungen an das Risikomanagement (MaRisk) Die Mindestanforderungen an das Risikomanagement (MaRisk) sind die verbindliche Vorgabe der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die Ausgestaltung des Risikomanagements in deutschen Kreditinstituten. In den MaRisk hat die BaFin den 25a Abs.1 Kreditwesengesetz konkretisiert. U. a. werden Rahmen für das Outsourcing und die Ausgestaltung der internen Revision vorgegeben. Outsourcing: Gefordert wird die Ausdehnung des Internen Kontrollsystems der Bank auf das ausgelagerte Verfahren. 21

23 Internes Kontrollsystem (IKS) Ein Internes Kontrollsystem (IKS) besteht aus systematisch gestalteten organisatorischen Maßnahmen und Kontrollen zur Einhaltung von Richtlinien und zur Abwehr von Schäden. Es wird von der Leitung angeordnet bzw. eingerichtet und bezüglich seiner Funktionsfähigkeit und Wirksamkeit periodisch überprüft und angepasst. Als Grundlage eines IKS kommen häufig Kontrollmodelle zum Einsatz: - COSO/COBIT - BSI IT-Grundschutz - ISO

24 Grundsätze ordnungsmäßiger Buchführung (GOB) Keine Legaldefinition, ergeben sich jedoch aus Steuerrecht (AO) und Handelsrecht (HGB) Auszug: Richtigkeit Vollständigkeit Zeitgerechtigkeit Unveränderlichkeit Beleg- und Journalfunktion Verfügbarkeit Verständlichkeit und Lesbarkeit 23

25 Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GOBS) Die GOBS stellen eine Erläuterung zum Handelsgesetzbuch und zur Abgabenordnung in Bezug auf die ordnungsmäßige Behandlung elektronischer Dokumente dar. In den GOBS wird die Behandlung aufbewahrungspflichtiger Daten und Belege in elektronischen Buchführungssystemen sowie in datensicheren Dokumentenmanagement- und revisionssicheren Archivsystemen geregelt. Die GOBS behandeln dabei auch Verfahrenstechniken wie Scannen und Datenübernahme. Ein wesentlicher Kernpunkt ist das sogenannte Interne Kontrollsystem (IKS). Die GOBS enthalten die Vorgaben für die Verfahrensdokumentation, die zum Nachweis des ordnungsmäßigen Betriebes des Systems erforderlich ist. 24

26 Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) Auf die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) beruft sich ein Finanzbeamter, wenn er bei Betriebsprüfungen auf die Computersysteme von Unternehmen zugreift. Man unterscheidet 3 Arten des Datenzugriffs durch den Betriebsprüfer: - den unmittelbaren Lesezugriff (Z1), - den mittelbaren Zugriff über Auswertungen (Z2) und - die Datenüberlassung in verschiedenen Formaten (Z3). Zu den aufbewahrungspflichtigen Dokumenten gehört u. a. geschäftsrelevante - Kommunikation. 25

27 Best Practices Handlungsempfehlungen 26

28 Wesentliche Auswahlkriterien für Outsourcing Partner sind Implementierung Internes Kontrollsystem (IKS) Risikoorientiertes Vorgehen Berechtigungsmanagement Vernichtung von ausgemusterten Datenträgern Angemessene Notfallvorsorge Bewusstseinsbildung, Ausbildung und Training der Mitarbeiter Verfahrensverzeichnis Datenschutz als Erfolgsfaktor nicht notwendiges Übel Analyse und Dokumentation der Risiken, Maßnahmen und Restrisiken Beachtung der Methoden aus dem BSI IT-Grundschutzhandbuch 27

29 Alternative Ein Outsourcing Ihrer Dokumenten-intensive Prozesse an einen Partner, der sich damit auskennt. Sprechen Sie mit uns! 28

30 Welche Fragen haben Sie? 29

31 Vielen Dank für Ihre Aufmerksamkeit Knud Brandis Jörg Ulrich 30

32 Empfehlungen Implementierung Internes Kontrollsystem (IKS) (seit 2006 wird bei WL jedes Projekt so integriert dass IKS Anforderungen erfüllt werden) Risikoorientiertes Vorgehen (Die Reduzierung der Risiken bei der Übernahme der Aufgaben werden bereits bei der Projektplanung berücksichtig) Berechtigungsmanagement (Das Aufsetzten von Berechtigungen erfolgt nach dem Minimalprinzip Vernichtung von ausgemusterten Datenträgern (Die sicher Entsorgung wird immer wichtiger, auch die Kotrolle über Ausgelagerte Leistungen wird mit in das IKS integriert) Angemessene Notfallvorsorge (Sicherheit kostet, ist aber für die Übernahme von wesentlichen DL wie Posteingang unumgänglich, Sie muss angemessen erfolgen. Hier können DL wesentliche Synergien bereitstellen) Bewusstseinsbildung, Ausbildung und Training der Mitarbeiter (sind Basis für die Tägliche Arbeit) Verfahrensverzeichnis Datenschutz als Erfolgsfaktor nicht notwendiges Übel (das Vertrauen den Kunden ist Notwendig, diese bekommt man nur ein mal) Analyse und Dokumentation der Risiken, Ableitung von Maßnahmen und Benennung der Restrisiken (Sind Merkmale an denen Sie einen DL messen sollten) Beachtung der Methoden aus dem BSI IT-Grundschutzhandbuch (WLDS Damals DP Direkt war der erste DL im Dokumentenmanagement mit einer BSI Zertifizierung) 31