Records Management als Mittel. der operationellen Risikobewältigung. Felix Kaufmann, Swiss Re Information Life Cycle Mgmt. 1.

Transkript

1 Records Management als Mittel der operationellen Risikobewältigung

2 Operationelles Risiko Der Basler Ausschuss für Bankenaufsicht definiert das operationelle Risiko als die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge von externen Ereignissen eintreten. Diese Definition schließt Rechtsrisiken ein, beinhaltet er nicht strategische Risiken oder Reputationsrisiken. aus Wikipedia Slide 2

3 Inhaltsübersicht Externe und interne Anforderungen Risikobezogene Herausforderungen im Records Management Bereich Schadenbewertung Bewältigungsstrategie Governance Framework Records Management Standard Prozess Modell Organisation Zusammenfassung Slide 3

4 Externe regulatorische Auflagen: Compliance* externe Anforderungen Rechtliche Grundlagen (GeBüV, SEC Securities and Exchange Commission, FSA Financial Services Authority, etc.) Einhalten von Verordnungen, Anordnungen (Aufsichtsbehörden), Pflichten, Datenschutzbestimmungen und Gesetzen Revisionstauglichkeit (Intern wie auch extern) Beweispflicht im Gerichtsfall, Nachvollziehbarkeit von Entscheiden und Handlungen (Evidenz) * Das Wort Compliance (englisch Befolgung) bezeichnet die Einhaltung von Verhaltensmassregeln, Gesetzen und Richtlinien (aus Wikipedia) Slide 4

5 Corporate Governance und operationelle Risiken 1/2 Interne Anforderungen Corporate Governance: z.b. Code of Conduct, Guidelines etc. Operationelle Risiken Der nicht auffindbare Vertrag ( failure in contract retrieval ) als Top Operational Risk Rechtsrisiken: z.b. Verletzen von Verordungen, Anordnungen, Pflichten, Datenschutzbestimmungen und Gesetzen Discovery und Disclosure Requests (Angelsächsische Rechtssprechung) Vernichtungsstopp (Legal Hold, Records Hold) Slide 5

6 Corporate Governance und operationelle Risiken 2/2 Interne Anforderungen Sorgfaltspflicht (z.b. Due-Diligence-Prüfung)* Business Continuity Management BCM Reputations-Risiko (Image-Schaden) Firmengeschichtliche Relevanz/Evidenz Slide 6 * Due-Diligence: systematische Stärken-/Schwächen-Analyse des Objekts, eine Analyse der mit dem Kauf oder des Börsengangs verbundenen Risiken sowie eine fundierte Bewertung des Objekts aus Wikipedia)

7 klein Schadenpotential gross Bewertung der Risiken nach Ursache und Schadenpotential Der nicht auffindbare Vertrag Nicht erfüllen von Discovery und Disclosure Requests Nicht befolgen eines Vernichtungsstopps Keine Due Dilligence -Prüfung Ursache extern Verletzen von Verordungen, Anordnungen, Pflichten, Datenschutzbestimmungen und Gesetzen Kein Business Continuation Management Image/Reputation Verletzen der Corporate Governance: z.b. Code of Conduct, Guidelines etc. intern Slide 7

8 Risikobezogene Herausforderungen im Records Management Bereich Geschäftsunterlagen mit sehr hohen Risiken: Sach und Haftpflichtgeschäfte mit Langzeitrisiken: z.b. Umweltrisiken (Klimaveränderung), Katastrophen, Pandemien, Asbest, Nanotechnologie, Elektrosmog, Lebensversicherungen etc. Technische Probleme mit sehr langer/permanenter Aufbewahrungspflicht in Bezug auf e-rm: Langzeitspeichemedien, Zertifizierung der Verschlüsselungstechnologie von E-Archiven etc. Slide 8

9 Bewätligungsstrategie Modell des Minimierungsverlaufs durch Priorisierung der hohen Risiken Risiko heute Standard RM Process roll-out 2 Jahre Backlog Activities 3 Jahre t Records Management operiert über zwei Aktivitätsfelder: Umsetzung des neuen RM Standards basierend auf einem weltweiten Implementierungsplan, der die Geschäftseinheiten mit den grössten Risiken in den Records priorisiert. Inventarisierung von Alt-Akten mit keinen oder unzureichenden Metadaten für die Auffindbarkeit, Archivierung oder Vernichtung. Priorisierung nach den gleichen Kriterien wie oben, zusätzliche Berücksichtigung von grösseren Niederlassungen (New York, Armonk, Kansas, London, Munich und Singapore). Slide 9

10 Die Governance für Swiss Re Records Management Das Swiss Re Assurance Framework Group Code of Conduct Grundsätze der Verantwortung von Angestellten im Umgang mit Geschäftsunterlagen Policy Grundsätze der betrieblichen Pflichten und Verantwortungen im Umgang mit Geschäftsunterlagen Guidelines Retention Schedule Regelwerk für die Aufbewahrungsfristen Slide 10 Records Management Standard Qualitätssicherung Konsistenz und Effizienz der Prozesse

11 Guideline Policy Retention Schedules RM Standard Records Management Standard: Prozess Modell Linienvorgesetzte/r Kontrolle Control Control Control RM Verantwortliche Angestellte Capture Maintain Retrieve Dispose Klassifikation und Indexierung Zwischen- Archivbewirtschaftung Dossierpflege Aktenrückruf Systematische Vernichtung von Akten nach der Aufbewahrungs pflicht mit Vernichtungsprotokoll Slide 11

12 Aufbewahrungskriterien Die Aufbewahrungsrichtlinien (Retention Schedules) Die Klassifikation (Business Classification Scheme) e-records Management Systemanforderungen (Master File, Aufbewahrungsformat, e- Archiv) Rechtliche Implikationen (Papierloses RM, Datenschutzbestimmungen, e-signaturen etc.) Aufbewahrung von anderen Datenträgern, z.b. Videoaufnahmen, Web-Sites (Branding) Slide 12

13 Organisation von RM 3 Bereiche: Asia, Americas, Europe Regionale Records Manager in Asien: Hong Kong (1) Americas: New York, Armonk und Kansas City (3) Europa: Zurich, München und London (4) Backlog Erfassungs-Hubs in Kansas City, Armonk und Folkestone (UK) Slide 13 Anzahl MA Records Management global: 26 Backlog (befristet auf 3 Jahre): 30 Stellen Budget 6.5 Mio. SFr.

14 Zusammenfassung Die strafrechtliche Relevanz bei einem Nicht-Einhalten von regulatorischen Auflagen ist relativ klein. Dagegen können operationelle Risiken Ursache für sehr grosse Schäden sein (Top Op Risk). Daher sind op. Risiken nebst rein regulatorischen Auflagen die massgeblichen Treiber von Records Management. Der Aufwand, den eine Firma für Records Management betreibt, ist gewissermassen die Risikoprämie für die Risikobewältigung. Records Management leistet einen namhaften Beitrag zur Minimierung dieser Risiken. Slide 14