Governance, Risk Management & Compliance Dr. Ulrich Kampffmeyer IBM ECM Anwendertagung Take back control, Köln,

Transkript

1 Einführung Rechtliche Anforderungen Records Management Ausblick PROJECT CONSULT Unternehmensberatung GmbH

2 Einführung Skandale machen den Bedarf an Transparenz und Dokumentation deutlich PROJECT CONSULT Unternehmensberatung GmbH

3 USA 2008 mangelhaftes Records Management England 2008 Mangelhafter Datenschutz Ein Laptop eines Offiziers mit persönlichen Angaben von bis zu Rekruten und Bewerbern der Streitkräfte wurde gestohlen. Ausweis- und Führerschein-Details, Versicherungsnummern bis hin zu Angaben zur Familie, sowie Namen und Adressen von Ärzten der betroffenen Personen. PROJECT CONSULT Unternehmensberatung GmbH

4 Deutschland Mangelhafte Sicherheit in Bundesbehörden sind 189 Computer, 326 Laptops, 38 Speicher-Sticks und 271 Handys mit teilweise sensiblen Daten abhanden gekommen. Vom Bundesamt für Zivildienst ist ein Notebook gestohlen worden, auf dem komplette Datensätze mit persönlichen Daten gespeichert waren dem Verteidigungsministerium sind geheime Datenträger mit Informationen der Geheimhaltungsstufe "Verschlusssache -Vertraulich" und höher abhanden gekommen Deutsche Bank 2004 Mangelhaftes -Management Die Deutsche Bank muss 87,5 Millionen Dollar Strafe zahlen, da sie große Teile der von der Börsenaufsicht angeforderten - Korrespondenz der Mitarbeiter nicht finden konnte. PROJECT CONSULT Unternehmensberatung GmbH

5 Siemens Korruptionsaffäre 2006 Mangelnde Transparenz Korruptionsaffären erschüttern das Traditionsunternehmen Strafe in Höhe von bis zu 4 Milliarden Euro nicht mehr ausgeschlossen Der ehemalige Vorstandsvorsitzende Heinrich von Pierer steht im Verdacht, Bestechungsversuche persönlich in Auftrag gegeben zu haben. Die Vorstände werden persönlich haftbar gemacht Parmalat 2003 Korruption (?) und mangelnde Transparenz in der Bilanz von Parmalat fehlten acht Milliarden Euro 2004 summierte sich der von den Staatsanwälten, Wirtschaftsprüfern und Bankern ermittelte Fehlbetrag auf 23 Milliarden Euro Die Fehlsumme wurde erst nach Jahren festgestellt PROJECT CONSULT Unternehmensberatung GmbH

6 McLaren 2007 Industriespionage McLaren-Mercedes hatte illegal technische Informationen über die Wagen von Ferrari erhalten Geldstrafe in Höhe von 100 Millionen US-Dollar Governance PROJECT CONSULT Unternehmensberatung GmbH

7 Vom französischen Begriff Gouvernance abgeleitet Lateinisch "gubernator", Steuermann Herrschaft, Lenkung, Steuerung Übertragung als Corporate Governance auf das Wirtschaftsleben "körperschaftliche Steuerung" "Leitung einer Körperschaft bzw. einer Gesellschaft" PROJECT CONSULT Unternehmensberatung GmbH

8 Risk Management Risiko ist das italienische Wort für Wagnis oder Gefahr PROJECT CONSULT Unternehmensberatung GmbH

9 Risikomanagement umfasst also die Maßnahmen zur Erfassung der Risiken Bewertung der Risiken Steuerung der Risiken Compliance PROJECT CONSULT Unternehmensberatung GmbH

10 Compliance aus dem Englischen Befolgung, Einhaltung oder Erfüllung bestimmter Anforderungen GRC Governance, Risk Management und Compliance GRC vereinigt die Disziplinen Corporate Governance, Risikomanagement und Compliance als durchgängiges Vorgehensmodell Governance Risk Management Compliance PROJECT CONSULT Unternehmensberatung GmbH

11 Rechtliche Anforderungen Governance PROJECT CONSULT Unternehmensberatung GmbH

12 Definition Governance Der Begriff Governance bezeichnet Standards beziehungsweise spezielle Rahmenbedingungen für Strukturen und Prozesse der Führung, Verwaltung und Überwachung börsennotierter Unternehmen. Corporate Governance CG Corporate Governance sind die rechtlichen und institutionellen Rahmenbedingungen, die mittelbar oder unmittelbar Einfluss auf die Führungsentscheidungen eines Unternehmens und somit auf den Unternehmenserfolg haben Der Ursprung für CG liegt bereits in den 30er Jahren, als man sich verstärkt Gedanken über die Rechte der Aktionäre machte PROJECT CONSULT Unternehmensberatung GmbH

13 Corporate Governance International wurde CG durch die OECD in Gestalt der Principles of Corporate Governance 1984 verankert und 2004 aktualisiert Die Europäische Kommission hat 2004 ein European Corporate Governance Forum als Beratungsgremium eingerichtet Corporate Governance International USA COSO-Modell COSO ERM-Framework Großbritannien: Reports Cadbury Report, 1992 Greenbury Report,1995 Hampel Report, 1998 Turnbull Report, 2005 Frankreich: LSF Loi de Sécurité Financière (2003) u.a. PROJECT CONSULT Unternehmensberatung GmbH

14 Deutschland Corporate Governance-Kodex Aktuelle Fassung vom 14. Juni 2007 stellt wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften dar enthält international und national anerkannte Standards guter und verantwortungsvoller Unternehmensführung Corporate Governance-Kodex soll das deutsche Corporate Governance System transparent und nachvollziehbar machen will das Vertrauen der internationalen und nationalen Anleger, der Kunden, der Mitarbeiter und der Öffentlichkeit in die Leitung und Überwachung deutscher börsennotierter Gesellschaften fördern PROJECT CONSULT Unternehmensberatung GmbH

15 Corporate Governance in Deutschland stützt sich auf Unternehmensgesetze KonTraG UMAG Handels- und Steuerrecht Verbraucherschutz Datenschutz Corporate Governance in Österreich ÖCGK Österreichischer Corporate Governance Kodex (2002) PROJECT CONSULT Unternehmensberatung GmbH

16 Corporate Governance in der Schweiz Swiss Code of Best Practice (2002) IT Governance liegt in der Verantwortung des Vorstands und des Managements ist ein wesentlicher Bestandteil der Unternehmensführung PROJECT CONSULT Unternehmensberatung GmbH

17 IT Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt Hauptziel von IT-Governance ist es, die Anforderungen an die IT sowie die strategische Bedeutung von IT zu verstehen, um den optimalen Betrieb zur Erreichung der Unternehmensziele sicherzustellen und Strategien für die zukünftige Erweiterung des Geschäftsbetriebes zu schaffen. Risk Management PROJECT CONSULT Unternehmensberatung GmbH

18 Definition Risk Management Risk Management ist die systematische Erfassung, Bewertung und Steuerung der unterschiedlichsten Risiken. Es ist ein systematisches Verfahren, das in verschiedensten Bereichen Anwendung findet, zum Beispiel bei Unternehmensrisiken Kreditrisiken Finanzanlagerisiken Umweltrisiken Versicherungstechnischen Risiken Technischen Risiken Risk Management Potenzielle Risiken, die die Vermögens-, Finanz- und Ertragslage eines Unternehmens mittel- und langfristig gefährden könnten, werden zunächst mit Hilfe des pro-aktiven Risk Managements identifiziert, analysiert und bewertet. Ziel besteht in der Sicherung des Fortbestandes eines Unternehmens, der Absicherung der Unternehmensziele gegen störende Ereignisse und in der Steigerung des Unternehmenswertes. PROJECT CONSULT Unternehmensberatung GmbH

19 Rechtliche Anforderungen in Deutschland Rechtliche Anforderungen zur Überwachung KonTraG kein eigenständiges Gesetz, sondern zu Ergänzung (HGB, AktG) 91 Abs. 2 AktG Der Vorstand einer Aktiengesellschaft hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit für den Fortbestand der Gesellschaft gefährliche Entwicklungen früh erkannt werden. Rechtliche Anforderungen in Deutschland Risikostrategie (IT-Riskmanagement ISO 27001) Risikomanagementprozess und Risiko-Controlling Organisation des Risikomanagements Steuerung des Risikomanagements Bereitstellung finanzieller Mittel Anweisung und Schulung der Mitarbeiter Kontrolle der IT-Verantwortlichen (Policy) Auswahl der Mitarbeiter in verantwortlichen Positionen Sicherstellung der persönlichen und fachlichen Eignung Abgrenzung von Verantwortlichkeiten (keine Selbstkontrolle) PROJECT CONSULT Unternehmensberatung GmbH

20 Compliance Compliance: Definition Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben PROJECT CONSULT Unternehmensberatung GmbH

21 Unterschiede: Direkte Auswirkungen HGB AO / GDPdU / GOBS GAUFZ Indirekte Auswirkungen Basel II (für Nicht-Banken ) BDSG Grundsätzlich gilt: Alle rechtlichen und gesetzlichen Vorgaben gelten auch in der elektronischen Welt! Die Anforderungen der DV-Welt sind jedoch häufig noch nicht oder nicht direkt enthalten und müssen daher adäquat abgeleitet werden. PROJECT CONSULT Unternehmensberatung GmbH

22 Grundsätzliche Kriterien Authentizität Vollständigkeit Nachvollziehbarkeit Zugriffssicherheit Geordnetheit Integrität Auffindbarkeit Reproduzierbarkeit Unverändertheit Richtigkeit Prüfbarkeit Portabilität Vertrauenswürdigkeit Compliance in Europa Viele der neuen nationalen Regularien haben ihren Ursprung in der europäischen Gesetzgebung Mit etwas Zeitverzögerung wird jede Richtlinie der Europäischen Kommission in nationales Recht überführt, so dass es sich lohnt, immer einen Blick auf die Vorgaben und Entwicklungen Brüssels zu werfen PROJECT CONSULT Unternehmensberatung GmbH

23 Compliance in Europa 8. Direktive setzt Standard für Bilanzierungsrichtlinien von börsennotierten Unternehmen Das große, umfassende Ereignis wie der Sarbanes-Oxley Act (SOA) fehlt trotz 8.Direktive Europäische Gerichte / EU diskutieren weitere Regularien 8. Direktive Die 8. Direktive (auch 8. EU-Richtlinie oder Euro- SOX) ist in der europäischen Gemeinschaft bereits seit dem in Kraft und musste bis zum in nationales Recht umgesetzt werden enthält ausführliche Vorschriften über die Durchführung der Abschlussprüfung von Jahresabschlüssen sowie über damit verbundene Anforderungen an den beauftragten Abschlussprüfer verfolgt das Ziel, international einheitliche Regelungen für die Prüfung des Finanzabschlusses zu schaffen PROJECT CONSULT Unternehmensberatung GmbH

24 Europäische Dienstleistungsrichtlinie Umsetzung in nationales Recht bis Ende 2009 Ziele: Beseitigung bürokratischer Hindernisse Erleichterung des Handels mit grenzüberschreitenden Dienstleistungen Vollendung des Binnenmarkts für Dienstleistungen Inhalte (Auswahl): Vereinfachung der Antrags-Verfahren und einheitliche Ansprechpartner Dienstleister können alle Unterlagen, Anträge, etc. auch elektronisch einreichen Aufbau eines Informations- und Kommunikationssystems für die europaweite Verwaltungszusammenarbeit Konsequenz: Digitalisierung der öffentlichen Verwaltung Europäische Signaturrichtlinie Basis für die Signaturgesetzgebung in der EU ist die EG-Richtlinie 1999/93/EG Sie definiert die Vorgaben für die Regelungen elektronischer Signaturen, die durch die Mitgliedstaaten und die anderen Staaten des europäischen Wirtschaftsraumes in nationalen Gesetzen umgesetzt werden In Deutschland ist die elektronische Signatur durch mehrere Rechtsvorschriften geregelt, u.a.: Signaturgesetz Signaturverordnung BGB (vor allem die 125 ff. über die Formen von Rechtsgeschäften) VwVfG 1. Gesetz zur Änderung des Signaturgesetzes (1. SigÄndG) PROJECT CONSULT Unternehmensberatung GmbH

25 Compliance in den USA SEC United States Securities and Exchange Commission Kontrolle des Wertpapierhandels in den Vereinigten Staaten Compliance in den USA SOX Sarbanes-Oxley Act Ziel: die Verlässlichkeit der Berichterstattung von Unternehmen, die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen, zu verbessern PROJECT CONSULT Unternehmensberatung GmbH

26 Compliance in den USA FRCP Federal Rules of Civil Procedure Vorrang von elektronischen Dokumenten Branchen PROJECT CONSULT Unternehmensberatung GmbH

27 Öffentliche Verwaltung DOMEA SAGA Finanz Kreditvergaberichtlinien Basel II PROJECT CONSULT Unternehmensberatung GmbH

28 Pharma GxP FDA part 11 Energieversorger BiLMoG Bilanzmodernisierungsgesetz TUG Transparenzrichtlinie- Umsetzungsgesetz PROJECT CONSULT Unternehmensberatung GmbH

29 Automobil Straßenverkehrszulassungsordnung (StVZO 30), Produkthaftungsgesetz vom , Rahmenrichtlinie Geräuschemissionen 70/157/EWG, Rahmenrichtlinie Abgas 70/220/EW, Kraftfahrtbundesamt Anforderungskatalog zur Begründung der Herstellereigenschaften, USA- Sicherheitsvorschriften FMVSS (Federal Vehicle Safety Standards), USA- Umweltschutzvorschrift (Title 40, chapter 1), National Traffic and Motor Vehicle Safety Act of 1966, Ausgabe 1082, Australian Moto Vehicle Certification Board, Conformity of Production-Manual-Circular , DIN EN ISO 9000 ff, Verbandsfestlegungen zum Qualitätsmanagement, wie z.b. VDA-Band 6.1, EAQF, FIEV, AVSQ, QS PROJECT CONSULT Unternehmensberatung GmbH

30 Wie umsetzen??? Records Management PROJECT CONSULT Unternehmensberatung GmbH

31 Definition Was ist ein Record? Unter einem Record wird ein beliebiger Content- Typ verstanden, der sich auf die Geschäftstätigkeit oder die Transaktion eines Unternehmens bezieht. Ein Record definiert sich durch Inhalt und Rechtscharakter, nicht durch seine physische oder elektronische Form Beispiele sind s, Verträge, Geschäftsvereinbarungen, Kontoübersichten, Berichte sowie Video- und Audiodateien. PROJECT CONSULT Unternehmensberatung GmbH

32 Was ist ein Record? Information created, received, and maintained as evidence and information by an organisation or person, in pursuance of legal obligations or in the transaction of business. (ISO Part 1) Was ist ein Record? Information, die erzeugt, empfangen und bewahrt wird, um als Nachweis einer Organisation oder Person bei rechtlichen Verpflichtungen oder zum Nachvollzug einer geschäftlichen Handlung zu dienen. PROJECT CONSULT Unternehmensberatung GmbH

33 Was ist Records Management? Field of management responsible for the efficient and systematic control of the creation, receipt, maintenance, use and disposition of records, including processes for capturing and maintaining evidence of and information about business activities and transactions in the form of records. (ISO Part 1) Was ist Records Management? Als Führungsaufgabe wahrzunehmende effiziente und systematische Kontrolle und Durchführung der Erstellung, Entgegennahme, Aufbewahrung, Nutzung und Aussonderung von Schriftgut, einschließlich der Vorgänge zur Erfassung und Aufbewahrung von Nachweisen und Informationen über Geschäftsabläufe und Transaktionen in Form von Akten. PROJECT CONSULT Unternehmensberatung GmbH

34 Was ist Records Management? Records Management oder Electronic Records Management (ERM) bezieht sich auf die Strukturierungs-, Verwaltungs- und Organisationskomponente zur Handhabung von Aufzeichnungen. ERM ist nicht mit elektronischer Archivierung deutscher Prägung gleichzusetzen, obwohl viele Ansätze sich hier wiederfinden. ERM ist auch eine wichtige Komponente von ECM. Der Begriff findet inzwischen auch weitere Verbreitung in Deutschland und wird durch zahlreiche internationale Standards gestützt. Was ist Records Management? Abbildung von Aktenplänen und anderen strukturierten Verzeichnissen zur geordneten Ablage von Informationen Thesaurus- oder kontrollierter Wortschatz-gestützte eindeutige Indizierung von Informationen Verwaltung von Aufbewahrungsfristen (Retention Schedules) und Vernichtungsfristen (Deletion Schedules) Schutz von Informationen entsprechend ihren Eigenschaften, z.t. bis auf einzelnen Inhaltskomponenten in Dokumenten Nutzung international, branchenspezifisch oder zumindest unternehmensweit standardisierter Meta-Daten zur eindeutigen Identifizierung und Beschreibung der gespeicherten Informationen PROJECT CONSULT Unternehmensberatung GmbH

35 Was ist Records Management? Records Management ist unabhängig vom Medium Verwaltung von physischen Records (z.b. Papierdokumenten) elektronisches Records Management (Verwaltung von digitalen Objekten) Records Management: international normiert Committee of Best Practices and Standards (CBPS): International Standard for Describing Functions (ICA- ISDF) Vereinte Nationen: ARMS Standard on Recordkeeping Metadata Europäische Union: MoReq ISO 15489: Records Management PROJECT CONSULT Unternehmensberatung GmbH

36 ERM bezogene Standards DOD ISO 15801, ISO PDF/A RFC 2821, 2822, TIFF, JPEG ISO 216 ISO RECORDS GUID XML Metadata: DC, ISAAR, ISOs 23081, 639, 2788, 5964, 8601 ISO 18492, OAIS X.509, XKMS PDF/A Moreq2, ISO15489 ISO ISO 15801, DOD MoReq PROJECT CONSULT Unternehmensberatung GmbH

37 MoReq Model Requirements for the Management of Electronic Records in Auftrag gegeben und entwickelt für den Gebrauch in der Europäischen Union MoReq ist kein offizieller Standard und stellt eher eine Guideline dar steht für den Aufbau und Betrieb von Dokumenten-Management- und Archivsystemen Fokus liegt auf der Behandlung elektronischer Dokumente, papierbasierte Dokumente sind inzwischen ein Randthema richtet sich an öffentliche und private Einrichtungen MoReq: Zweck und Zielsetzung Ziel Spezifikationen der funktionalen Anforderungen für die Verwaltung von Records in einem ERMS (Electronic Records Management System) für die öffentliche Verwaltung und für Unternehmen Zweck Unterstützung der Anwender bei der Einführung oder Bewertung von ERMS Systemen PROJECT CONSULT Unternehmensberatung GmbH

38 MoReq2 wurde am 13. Februar 2008 veröffentlicht ist eine evolutionäre Weiterentwicklung von MoReq1 verbessert und erweitert MoReq1 aktualisiert MoReq1 in Bezug auf neue Technologien und Regularien modularisiert MoReq1 ergänzt MoReq1 um Testsuite und ein Zertifizierungsverfahren für Softwareprodukte unter der Federführung des DLM-Forums ist für das Datenmodell in einem XML- Schema dokumentiert Metadata model Non-Functional Requirements Chapter 0 Business Processes Optional Modules System Availability Digital Rights Management Fax Integration Technical Standards Security Categories Basic Modules Disposition of Physical Records Ease of Use Outsourcing and Third Party Management of Data Management of Physical (Nonelectronic) Files and Records Offline and Remote Working Administrative Functions Searching, Retrieval and Presentation Retention and Disposition Referencing Capturing Records Classification Scheme Controls and Security Casework Document Management and Collaborative Working Workflow Long Term Preservation and Technology Obsolescence Encryption Distributed Systems Electronic signatures Integration with Content Management Systems Performance and Scalability Reference model Legislative and Regulatory Requirements PROJECT CONSULT Unternehmensberatung GmbH

39 Ausblick Records Management & Durchgängigkeit Compliance kann nicht mit Insellösungen erreicht werden. Records Management muss alle Prozesse und Anwendungen unterstützen, in den Records entstehen, genutzt, verwaltet und gespeichert werden. Records Management muss durchgängig organisatorisch wie technisch im Unternehmen umgesetzt werden. Moderne Records Management Produkte unterstützen daher nicht nur die Verwaltung von elektronischen Dokumenten im Archiv, sondern den gesamten Lebenszyklus der Records bis zur Vernichtung. Records Management ist medienunabhängig und verwaltet kombiniert sowohl elektronische Dokumente als auch Referenzen auf physische Dokumente, so dass eine Gesamtsicht auf alle zusammengehörenden Informationen entsteht. PROJECT CONSULT Unternehmensberatung GmbH

40 Records Management ist Infrastruktur Records Management war in der Vergangenheit eine Angelegenheit von speziellen Anwendungen. Da Records überall entstehen und empfangen werden können, muss sich Records Management als Infrastruktur positionieren, um allen Anwendungen zur Verfügung zu stehen. Im Rahmen von SOA Service oriented Architecture sind Records Management Dienste für die geordnete Verwaltung aufbewahrungspflichtiger Informationen vorzusehen. Records Management und Automatisierung Die manuelle Indizierung und Ablage von Records ist aufwändig und fehlerträchtig. Automatisierte Verfahren, die die Eigenschaften, Klassenmerkmale und Anwendungssituationszusammenhänge von Records automatisch auswerten und bei der Klassifikation unterstützen, stellen einen wesentlichen Fortschritt dar. Nur wenn die Komplexität von Records Management für den Endanwender reduziert wird, kann Records Management von allen Mitarbeitern im Unternehmen genutzt werden. PROJECT CONSULT Unternehmensberatung GmbH

41 GRC Governance, Risk Management und Compliance sind vorrangig eine Frage von Disziplin, Führungsverantwortung und Organisation. Technische Systeme können unterstützen, sind aber alleine nicht die Lösung. Nicht schwarz sehen. Mit vernünftiger Vorbereitung, Durchsetzung und Nachhaltung von Richtlinien, Ausbildung der Mitarbeiter und adäquater technischer Unterstützung lässt sich jedes GRC-Thema in den Griff bekommen. PROJECT CONSULT Unternehmensberatung GmbH

42 PROJECT CONSULT Unternehmensberatung GmbH