Warum Compliance immer wichtiger wird Dr. Ulrich Kampffmeyer IT-Compliance Zürich, Warum Compliance immer wichtiger wird

Transkript

1 P R O J E C T C O N S U L T GmbH GmbH 1 Gliederung Was ist Compliance Compliance als Bestandteil von Corporate Governance IMC Information Management Compliance Die Rolle der IT-Systeme Ausblick: GmbH 2 1

2 Was heißt Compliance? GmbH 3 Was ist Compliance? Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben GmbH 4 2

3 Grundsätzlich Alle rechtlichen und gesetzlichen Vorgaben gelten auch in der elektronischen Welt! Die Anforderungen der DV-Welt sind jedoch häufig noch nicht oder nicht direkt enthalten und müssen daher adäquat abgeleitet werden GmbH 5 Übereinstimmung GmbH Es wird vorausgesetzt, dass es nachlesbare, definierte, offizielle Vorgaben gibt, die die Regeln enthalten, was zu tun ist Hier ist Übereinstimmung gefordert, ohne das die Regeln meistens eine technische Vorgabe enthalten, wie die Anforderung umzusetzen ist Es ist sinnvoll, da sich solche Vorgaben nicht an einer Technologie festmachen sollten, die in ein paar Jahren schon wieder obsolet ist Übereinstimmung ist statisch bezogen auf die Vorgabe 6 3

4 Erfüllung GmbH Der Begriff Erfüllung impliziert zweierlei: Einmal, das die Anforderungen in einer Lösung umgesetzt werden müssen, und zum Zweiten, dass dies ein Prozess ist, keine einmalige Aktion Das Unternehmen oder die Organisation muss kontinuierlich für die Einhaltung der Vorgaben Sorge tragen Erfüllung geht dabei meistens über eine rein technische Lösung hinaus und beinhaltet auch organisatorische und Management-Aspekte Erfüllung ist dynamisch, ein ständig laufender, kontrollierter Prozess 7 Rechtliche Vorgaben Gesetze oder behördliche Verordnungen, die bestimmte Unternehmen, Organisationen oder Personen verpflichten, die jeweils aufgeführten Regelungen einzuhalten Man kann sich nicht um die Erfüllung drücken, lediglich in Hinblick auf Auslegung, Umfang und Umsetzungsweise besteht Handlungsspielraum GmbH 8 4

5 Regulative Vorgaben Warum unterscheidet man zwischen rechtlich und regulativ? GmbH Es gibt eine Reihe von Vorgaben, die sich nicht auf Gesetze berufen wie z.b. Normen, Standards, Codes of Best Practice von Branchen oder andere, z.b.unternehmensinterne Vorgaben Vielfach ergeben sich aus gesetzlichen Vorgaben für einen Anwendungsfall auch Auswirkungen und implizite oder indirekte Anforderungen für andere Fälle 9 Unterschiede Direkte Auswirkungen HGB AO / GDPdU / GOBS Verrechnungspreisdokumentation Indirekte Auswirkungen Basel II (für Nicht-Banken ) BDSG GmbH 10 5

6 Grundsätzliche Kriterien für Compliance GmbH Authentizität Vollständigkeit Nachvollziehbarkeit Zugriffssicherheit Geordnetheit Integrität Auffindbarkeit Reproduzierbarkeit Unverändertheit Richtigkeit Prüfbarkeit Portabilität Vertrauenswürdigkeit 11 Compliance Compliance ist getrieben von den Aufbewahrungspflichten aus handelsrechtlicher und steuerrechtlicher Sicht Compliance muss aber auch die Anforderungen des Datenschutzes erfüllen GmbH 12 6

7 Regulative Vorgaben USA Europa Deutschland ausgewählte Branchen GmbH 13 USA GmbH 14 7

8 Sarbanes-Oxley-Act (SOX oder SOA) GmbH Nach den beiden Leitern der Kommission benannt, die das Gesetz entworfen haben Das Gesetz findet Anwendung für alle Unternehmen, die an der New York Stock Exchange gelistet sind SOX hat die Aufgabe, die Transparenz und Nachvollziehbarkeit in den Unternehmen bei Prüfungen durch die SEC, Securities und Exchange Commission, zu verbessern Unternehmen werden verpflichtet, u.a. ein internes Kontrollsystem für die Rechnungslegung zu unterhalten, die Wirksamkeit der Systeme zu beurteilen und die Richtigkeit der Jahres- und Quartalsberichte beglaubigen zu lassen SOX wurde als Folge von Bilanzskandalen und Unternehmenszusammenbrüchen durch die USamerikanische Legislative 2002 erlassen und stellt die bedeutendste Änderung der US-Wertpapiergesetze seit 1933/34 dar 15 Sarbanes-Oxley-Act GmbH,,... whoever knowingly alters, destroys, mutilates, conceals, covers up, falsifies or makes a false entry in any record, document or tangible object with intent to impede, obstruct or influence the investigation or proper administration of any matter within the jurisdiction of any department or agency of the United States or any case filed under title 11 or in relation to, or contemplation of any such matter of case, shall be fined under this title, imprisoned not more than 20 years, or both." (Quelle: Sarbanes-Oxley Act of 2002, Sec. 802, 1519) 16 8

9 SOX nicht nur für die USA relevant Sarbanes-Oxley Act auch für deutsche Aktiengesellschaften relevant Vorschriften gelten für alle an den US-Börsen gelisteten Unternehmen sowie Tochtergesellschaften von Unternehmen, deren Anteile dort gehandelt werden GmbH 17 Securities und Exchange Commission (SEC),, Electronic documents and the storage on which they reside contain relevant, discoverable information beyond that which may be found in printed documents.therefore, even where a paper copy exists, we will seek all documents in their electronic form along with information about those documents contained on the media." (Auszug aus Electronic Evidence Discovery der SEC) GmbH 18 9

10 EU GmbH 19 Compliance in Europa Europa: das große, umfassende Ereignis wie der Sarbanes-Oxley Act (SOX) fehlt Keine industrieübergreifende Fokussierung auf Compliance Europäische Gerichte / EU diskutieren mehr Regularien, aber nichts zu SOX vergleichbares wurde implementiert Und das trotz: Parmalat in Italien, Ahold in den Niederlanden GmbH 20 10

11 Beispiele aus den Richtlinien der EU E-Commerce Elektronische Signatur Umsatzsteuer u.a. GmbH 21 International GmbH 22 11

12 Basel II GmbH Mit Basel II" ist die Neugestaltung der Eigenkapitalvorschriften der Kreditinstitute bezeichnet Der Basler Ausschuss für Bankenaufsicht eröffnete mit der Vorlage eines Konsultationspapieres im Juni 1999 die Diskussion, die am abgeschlossen wurde Ziel von "Basel II" ist es, die Stabilität des internationalen Finanzsystems zu erhöhen Dazu sollen die Risiken im Kreditgeschäft besser erfasst und die Eigenkapitalvorsorge der Kreditinstitute risikogerechter ausgestaltet werden 23 Compliance als Markttrend auch in Deutschland? GmbH 24 12

13 2002 Compliance in Deutschland GmbH Viele der neuen Regularien haben ihren Ursprung in der europäischen Gesetzgebung Mit etwas Zeitverzögerung wird jede Richtlinie der Europäischen Kommission in nationales Recht überführt, so dass es sich lohnt, immer einen Blick auf die Vorgaben und Entwicklungen Brüssels zu werfen Bereits durch die Richtlinien zum E-Commerce und zur elektronischen Signatur sind eine Reihe von Anforderungen für Compliance in Deutschland entstanden 25 Gesetzesgrundlagen in Deutschland Überblick (1) GmbH HGB/AO - Handelsgesetzbuch/Abgabenordnung Einführungsgesetz zur Abgabenordnung 1977 geändert 2000 BGB - Bürgerliches Gesetzbuch 2001 Anpassung der Formvorschriften für den Rechtsgeschäftsverkehr 126 BGB Schriftform / Textform / elektronische Form SigG Signaturgesetz Grundlage: RLES Europäische Richtlinie für elektronische Signaturen 3 (+ 1) Qualitäten der elektronischen Signatur EGG - Elektronischer Geschäftsverkehrgesetz Herkunftslandprinzip Revisionssichere Protokollierung von Geschäftstransaktionen Steuergesetzgebung Steuersenkungsgesetz von

14 Gesetzesgrundlagen in Deutschland Überblick (2) TDG Teledienstegesetz TDDSG Teledienstedatenschutzgesetz SGB - Sozialgesetzbuch Elektronische Signatur beim Scannen ZPO - Zivilprozessordnung keine Urkundenqualität Objekt des Augenscheins BDSG - Bundesdatenschutzgesetz Datenschutz Recht auf Löschung personenbezogener Daten GmbH 27 Gesetzesgrundlagen in Deutschland Überblick (3) IuKDG - Informations- und Kommunikationsdienstegesetz Daten- und Dokumentenaustausch Elektronische Signatur (siehe SigG) Betr.VerfG - Betriebsverfassungsgesetz Unterweisungsrecht Mitbestimmungsrecht des Betriebsrates VwVfG Verwaltungsverfahrensgesetz 3. Änderungsgesetz mit Verankerung der elektronischen Signatur in zahlreichen Bereichen GmbH 3. Gesetz zur Änderung verwaltungsverfahrens-rechtlicher Vorschriften Ohne Anspruch auf Vollständigkeit! 28 14

15 2002 Verordnungen und Umsetzungsrichtlinien Überblick GmbH GoBS Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen SiGV Signaturverordnung SRVwV Allgemeine Verwaltungsvorschrift über das Rechnungswesen in der Sozialversicherung u.a. 29 Compliance als Bestandteil von Corporate Governance GmbH 30 15

16 Corporate Governance GmbH CG sind die rechtlichen und institutionellen Rahmenbedingungen, die mittelbar oder unmittelbar Einfluss auf die Führungsentscheidungen eines Unternehmens und somit auf den Unternehmenserfolg haben Der Ursprung für CG liegt bereits in den 30er Jahren, als man sich verstärkt Gedanken über die Rechte der Aktionäre machte International wurden CG durch die OECD in Gestalt der Principles of Corporate Governance 1984 verankert und 2004 aktualisiert Europäische Kommission hat 2004 ein European Corporate Governance Forum als Beratungsgremium eingerichtet 31 Compliance als Bestandteil von Corporate Governance Deutschland 2002 hat das Bundesministerium der Justiz den Corporate-Governance-Kodex veröffentlicht Unternehmensgesetzte KonTraG UMAG Handels- und Steuerrecht Verbraucherschutz GmbH 32 16

17 Compliance als Bestandteil von Corporate Governance GmbH International Schweiz: Swiss Code of Best Practice (2002) Österreich: ÖCGK Österreichischer Corporate Governance Kodex (2002) Großbritannien: Reports Cadbury Report, 1992 Greenbury Report,1995 Hampel Report, 1998 Turnbull Report, 2005 Frankreich: LSF Loi de Sécurité Financière (2003) u.a. 33 IMC Information Management Compliance GmbH 34 17

18 Information Management Compliance (IMC) IMC hat nicht nur mit Technik zu tun, sie muss sich im gesamten Unternehmen, im Umgang mit Information und in den Prozessen einer Organisation widerspiegeln Sie hat mit Verantwortung von Personen und deren Tätigkeit, Nachvollziehbarkeit und Qualitätsstandards zu tun Information Management Compliance ist eine Abbildung all dieser Komponenten in elektronischen Systemen Diese beinhalten nicht nur Komponenten wie Records Management und Archivierung, sondern Datensicherung und Datensicherheit, Zugriffsschutz, Kontrollsysteme und andere Komponenten GmbH 35 Vier Komponenten für Information Management Compliance (1) 1. Information Management Policy Grundregeln und Verwaltensweisen für den Umgang mit Prozessen und Informationen, die sich in der Corporate Governance niederschlagen. Dies schließt die das Bewusstmachen, die Zuordnung der Verantwortung, und die Verankerung der Policy im Management der Organisation ein. Das Management trägt hier nicht nur die eigene Verantwortung für die Einhaltung der Regularien, sondern auch für Umsetzung im Unternehmen mit Vorbildfunktion GmbH 36 18

19 Vier Komponenten für Information Management Compliance (2) GmbH 2. Delegation Zuordnung von Verantwortlichkeiten und entsprechende Ausbildung auf den nachgeordneten Ebenen, die allen Betroffenen die Bedeutung von Compliance-Regeln deutlich macht. Dies schlägt sich auch in den Arbeitsprozessen, Arbeitsplatzbeschreibungen, Verträgen und Arbeits-anweisungen nieder Auf den verschiedenen Ebenen einer Organisation muss abhängig von Aufgaben und Zuständigkeiten der Mitarbeiter eine Durchgängigkeit erzeugt werden 37 Vier Komponenten für Information Management Compliance (3) 3. Nachhaltung Die Einhaltung der Regeln muss regelmäßig überprüft werden. Hierzu gehören z.b. Qualitätssicherungsprogramme ebenso wie Audits. Dabei ist auf eine ständige Verbesserung der Prozesse und auf die Nachführung der Dokumentation zu den durchgeführten Maßnahmen Wert zu legen GmbH 38 19

20 Vier Komponenten für Information Management Compliance (4) 4. Sichere Systeme Die IT-Systeme müssen den Anforderungen mit ihrer Funktionalität, Sicherheit und Verfügbarkeit genügen und die Nachvollziehbarkeit unterstützen. Compliance beschränkt sich hier nicht nur auf die Anwendungsfunktionalität und das Dokumentenmanagement sondern schließt den gesamten Betrieb der Lösung ein GmbH 39 Identifizierung der relevanten Komponenten und Vorgaben im Unternehmen GmbH 40 20

21 Information Management Policy Probleme Technologie-/Policy-Kreislauf Technologiefortschritt Datenschutz Schutz von Unternehmensinformationen GmbH Katastrophenbewältigung und Unternehmensfortbestand 41 Information Management Policy Analyse GmbH Prozesse Beteiligte Einheiten und Ressourcen Ablauf und Kontrolle Auswirkungen und Bedeutung Systeme Ebenen Rolle Technik Information Wert, Rechtscharakter, Abhängigkeit Formen, Mengen Nutzung Risiko-Bewertung 42 21

22 Information Management Policy Matrix Dimensionen Achsen: Rechtliche Anforderungen und Vorgaben Prozesse, Systeme, Organisationseinheiten GmbH Individuell für jedes Unternehmen in Abhängigkeit von Rechtsraum (national, international) Produkten und Dienstleistungen Abläufen Systemen 43 Information Management Policy Übersichtsmatrix GmbH 44 Deutschland Gesetz ZPO BGB Verordnung GDPdU intern. Richtlinie QMH Kap. CG Frankreich Gesetz CJ CC Bereich Produkt Prozess Systeme Information Wert Geschäftsbereiche Software Risiko Form der Auswirkung und andere Kriterien BEWERTEN 22

23 Information Management Policy Dokumentation ist Fleissarbeit Dokumentation ist eine Grundlage von Compliance Dokumentation ist aufwändig und trägt zunächst nicht zur Wertschöpfung bei GmbH 45 Aus dem realen Leben (1) Dokumentation ist aufwendig, kostet Geld und bringt keinen neuen Kunden GmbH 46 23

24 Aus dem realen Leben (2) Compliance vermeidet Risiken, schafft aber keine Mehrwerte GmbH 47 Aus dem realen Leben (3) IT-Lösungen nur für Compliance sind unwirtschaftlich. Nur wenn man sie zur UNterstützung GmbH 48 24

25 Information Management Policy Probleme der Dokumentation Aktualität Übereinstimmung mit der Realität Sicherstellung der Umsetzung von Vorgaben Überprüfung der Umsetzung und Einhaltung von Vorgaben GmbH 49 Eine wichtige Erkenntnis Der Mensch ist das größte Problem um compliant zu sein. Automatische Prozesse in Systemen können unterstützen, jedoch nicht ersetzen. GmbH 50 25

26 Information Management Policy Unterschiedliche Ebenen Beschreibung der Systeme selbst z.b. ITIL Beschreibung der Nutzung der Systeme z.b. Verfahrensdokumentation Protokollierung der Nutzung der Systeme z.b. Audit-Trails GmbH Überwachung der Nutzung der Systeme z.b. Monitoring 51 Information Management Policy Zukunft Organisatorisches und Prozess-Wissen als Bestandteil der Systeme: statt Hilfefunktionen unterstützendes Wissensmanagement? Selbstdokumentation der Systeme: Statisch Konfigurationen, Prozessdefinitionen, Rechte, Strukturen? Dynamisch Nutzung, Instanzen, Daten? GmbH 52 26

27 Die Rolle der IT-Systeme: Records Management und Enterprise Content Management GmbH 53 Zur Erfüllung von Compliance relevante Technologien Records Management -Management Elektronische Signatur Business Process Management Business Process Design Elektronische Archivierung GmbH 54 27

28 2002 Ein schwerwiegender Interessenkonflikt Der Gesetzgeber fordert Aufbewahrungsfristen von 10 oder mehr Jahren Informationen sollen langfristig verfügbar sein GmbH Der Markt entwickelt sich stürmisch weiter: jedes Jahr neue Software, neue Hardware, neue Standards Ausblick: GmbH 56 28

29 Erkenntnisse 1 Compliance ist vorrangig ein organisatorischer Prozess GmbH 57 Erkenntnisse 1 Compliance ist vorrangig ein organisatorischer Prozess Systeme dienen zur Unterstützung des Prozesses. Sie sind nicht in sich compliant GmbH 58 29

30 Erkenntnisse 1 Compliance ist vorrangig ein organisatorischer Prozess Systeme dienen zur Unterstützung des Prozesses. Sie sind nicht in sich compliant. Zertifikate der Ordnungsmäßigkeit beziehen sich auf das indviduelle Unternehmen und den Einsatz der Lösungen, nicht auf Produkte GmbH 59 Erkenntnisse 2 Software kann alle notwendigen Informationen über die Systeme selbst und deren Nutzung aufzeichnen GmbH 60 30

31 Erkenntnisse 2 Software kann alle notwendigen Informationen über die Systeme selbst und deren Nutzung aufzeichnen Die Aufzeichnung und Auswertung kann im Widerspruch zu Anforderungen des Datenschutzes stehen: die Gewichtung ist ungeklärt GmbH 61 Erkenntnisse 3 Compliance ist nicht punktuell und nicht statisch GmbH 62 31

32 Erkenntnisse 3 Compliance ist nicht punktuell und nicht statisch Compliance muss kontinuierlich über alle Ebenen, alle Mitarbeiter, alle Prozesse und alle Systeme des Unternehmens gelebt werden GmbH 63 Erkenntnisse 4 Compliance darf nicht nur als lästige, die Geschäftstätigkeit behindernde Aufgabe betrachtet werden GmbH 64 32

33 Erkenntnisse 4 Compliance darf nicht nur als lästige, die Geschäftstätigkeit behindernde Aufgabe betrachtet werden Compliance vermeidet nicht nur Risiken sondern schafft Transparenz im Unternehmen, erlaubt die Erkennung von Potentialen und die Verbesserung der Organisation und Prozesse GmbH 65 Erkenntnisse 4 Compliance darf nicht nur als lästige, die Geschäftstätigkeit behindernde Aufgabe betrachtet werden Compliance vermeidet nicht nur Risiken sondern schafft Transparenz im Unternehmen, erlaubt die Erkennung von Risiken und die Verbesserung der Organisation GmbH Compliance kann so auch zur Wertsteigerung und Wertschöpfung eingesetzt werden 66 33

34 Erkenntnisse 5 Systeme nur zur Erfüllung der Compliance- Anforderungen einzuführen ist unwirtschaftlich GmbH 67 Erkenntnisse 5 Systeme nur zur Erfüllung der Compliance- Anforderungen einzuführen ist unwirtschaftlich Systeme müssen die Compliance-Anforderungen so quasi nebenbei mit erfüllen GmbH 68 34

35 Erkenntnisse 6 Neben die sichtbare Welt der Geschäftsprozesse treten Compliance-Prozesse in den Systemen selbst GmbH 69 Erkenntnisse 6 Neben die sichtbare Welt der Geschäftsprozesse treten Compliance-Prozesse in den Systemen selbst Workflow, Business Process Management und Protokollierung im Rahmen des Records Management liefern notwendige Informationen GmbH 70 35

36 Erkenntnisse 6 Neben die sichtbare Welt der Geschäftsprozesse treten Compliance-Prozesse in den Systemen selbst Workflow, Business Process Management und Protokollierung im Rahmen des Records Management liefern notwendige Informationen Die Zukunft liegt in selbstdokumentierenden Systemen, die den Menschen von der Dokumentation, Überprüfung und Nachhaltung entlasten GmbH 71 Erkenntnisse 7 Compliance ist kein Projekt GmbH 72 36

37 Erkenntnisse 7 Compliance ist kein Projekt Compliance kann im Rahmen eines Projektes initiiert und eingeführt werden, ist jedoch ein kontinuierlicher Prozess GmbH 73 Erkenntnisse 7 Compliance ist kein Projekt Compliance kann im Rahmen eines Projektes initiiert und eingeführt werden, ist jedoch ein kontinuierlicher Prozess Der Mensch ist bequem und damit das größte Hindernis für Compliance GmbH 74 37

38 Erkenntnisse 7 Compliance ist kein Projekt Compliance kann im Rahmen eines Projektes initiiert und eingeführt werden, ist jedoch ein kontinuierlicher Prozess Der Mensch ist bequem und damit das größte Hindernis für Compliance GmbH Information Management Compliance muss vorausschauend und aktiv gelebt werden 75 Erkenntnisse 8 Die Bedeutung von Compliance wird auf Entscheiderebene immer noch unterschätzt GmbH 76 38

39 Erkenntnisse 8 Die Bedeutung von Compliance wird auf Entscheiderebene immer noch unterschätzt Compliance ist unumgänglich GmbH 77 Erkenntnisse 8 Die Bedeutung von Compliance wird auf Entscheiderebene immer noch unterschätzt Compliance ist unumgänglich sorgt für Transparenz in der virtuellen Welt der Systeme GmbH 78 39

40 Erkenntnisse 8 Die Bedeutung von Compliance wird auf Entscheiderebene immer noch unterschätzt Compliance ist unumgänglich sorgt für Transparenz in der virtuellen Welt der Systeme GmbH Ohne ist eine rechtliche Gleichberechtigung elektronischer und papiergebundener Information nicht möglich 79 Erkenntnisse 9 Eine Information Management Compliance Policy regelt den Umgang mit Information GmbH 80 40

41 Erkenntnisse 9 Eine Information Management Compliance Policy regelt den Umgang mit Information Wird sie nicht umgesetzt und ständig nachgehalten, ist sie wertlos GmbH 81 Erkenntnisse 9 Eine Information Management Compliance Policy regelt den Umgang mit Information Wird sie nicht umgesetzt und ständig nachgehalten, ist sie wertlos Ohne sie fehlt der Maßstab um Risiken, den Wert von Information und die Abhängigkeit von Information zu erkennen GmbH 82 41

42 Vielen Dank für Ihre Aufmerksamkeit! WebSite, Newsletter, Informationen... GmbH 83 42