Prüfung und Zertifizierung von Digitalisierungslösungen

Transkript

1 Prüfung und Zertifizierung von Digitalisierungslösungen RA Dr. Peter K. Neuenschwander Jürg Hagmann Dr. Daniel Burgwinkel 1

2 2

3 Agenda Teil 1: GeBüV Zertifizierung Wieso eine Überprüfung? An wen richtet sich dieses Angebot? Das rechtliche Umfeld Nutzen für Anbieter & Anwender Wieso das KRM als Prüfungsinstanz? Was erhalten Sie von uns? FAQ & weiterführende Informationen Teil 2: ISO Management Systems of Records (Implementation) Überblick Einsatzbereiche 3

4 GeBüV Zertifizierung 4

5 Wieso eine Überprüfung der Erfüllung der GeBüV? In Digitalisierungsvorhaben steigen die Anforderungen an die Rechtskonformität Anbieter wie auch Kunden sind mit dieser Situation oft überfordert Steigende Komplexität (mehr Player, rasanter Technologiewechsel) Neue Technologien und Verfahren (z.b. Cloud) Im Rahmen der Digitalisierung wird immer wieder die Frage laut, ob die geplante Lösung rechtskonform sei. Übereinstimmung mit Datenschutz, Aufbewahrungsvorschriften Es gibt viel Halbwissen, doch kaum jemand weiss wirklich Bescheid; braucht es zb eine sog. Verfahrensdokumentation? (Art. 4, Abs.1 GeBüV Dokumentation und ElDI-V Art.5) Das CH-Recht lässt viele Umsetzungsvarianten zu, nicht alle sind rechtskonform ² Viele Anbieter verkaufen ihre Lösungen als revisionssicher, obwohl dieser Begriff im Schweizerischen Recht nicht existiert! 5

6 An wen richtet sich dieses Angebot? Dieses Angebot richtet sich sowohl an Anwender wie auch an Anbieter, welche die Konformität ihrer Lösungen neutral überprüfen lassen möchten. Anwender IT-Leiter, Leiter Finanzen, Leiter Recht & Compliance VR, Geschäftsleitung und Organe von Gesellschaften Interne Revision, Anwaltskanzleien, Treuhandfirmen Anbieter Hersteller von SW und HW sowie Cloud-Anbieter. Beispiel: Scanning und Digitalisierungs-Prozesse Cloud Anwendungen Automatisierte Rechnungsverarbeitung Einsatz neuer Technologien (z.b. Blockchain) 6

7 RM im Rechtlichen Kontext e-business Verträge Steuerrecht Prozessrecht (Beweiswert) Urkundenschutz (Strafrecht) Elektronische Aufbewahrung Datenschutz Schutz der Daten Digitale Signatur, Zertifizierung e-government Vollstreckung 7

8 Rechtsquellen zu RM im Privat- & Öffentlichen Recht THE SWISS Gerichte Verfahrensrecht Haftungsrecht Spezialgesetze Archivierungsgesetz OR Obligationenrecht Kaufm. Buchführung Privat- Wirtschaft Öffentliche Verwaltung Organisationsgesetz MWST Mehrwertsteuergesetz Öffentlichkeitsgesetz Informationsschutz DSG Datenschutzgesetz 8

9 Einige Gesetzliche Bestimmungen fu r die Aufzeichnung und Aufbewahrung von Gescha ftsunterlagen Zivilrecht Buchfuḧrungs- und Aufbewahrungsvorschriften: Art. 957a. und 958f. OR Gescha ftsbu cherverordnung (GeBu V) Steuerrecht Buchfuḧrungs- und Nachweispflichten im Steuerrecht Weitere o ffentlich-rechtliche Bestimmungen BGA, VBGA, GEVER Aufzeichnungs- und Aufbewahrungspflichten im Gesundheitsrecht, Sozialversicherungsrecht nach AHVG, KVV, UVG, UVV, im Produkthaftpflichtrecht, Umweltschutzgesetz, Giftverordnung etc. THE SWISS 9

10 OR 957a. Art. 957a. B. Buchführung 1 Die Buchführung bildet die Grundlage der Rechnungslegung. Sie erfasst diejenigen Geschäftsvorfälle und Sachverhalte, die für die Darstellung der Vermögens-, Finanzierungs- und Ertragslage des Unternehmens (wirtschaftliche Lage) notwendig sind. 2 Sie folgt den Grundsätzen ordnungsmässiger Buchführung. Namentlich sind zu beachten: 1. die vollständige, wahrheitsgetreue und systematische Erfassung der Geschäftsvorfälle und Sachverhalte; 2. der Belegnachweis für die einzelnen Buchungsvorgänge; 3. die Klarheit; 4. die Zweckmässigkeit mit Blick auf die Art und Grösse des Unternehmens; 5. die Nachprüfbarkeit. 3 Als Buchungsbeleg gelten alle schriftlichen Aufzeichnungen auf Papier oder in elektronischer oder vergleichbarer Form, die notwendig sind, um den einer Buchung zugrunde liegenden Geschäftsvorfall oder Sachverhalt nachvollziehen zu können. 4 Die Buchführung erfolgt in der Landeswährung oder in der für die Geschäftstätigkeit wesentlichen Währung. 5 Sie erfolgt in einer der Landessprachen oder in Englisch. Sie kann schriftlich, elektronisch oder in vergleichbarer Weise geführt werden 10

11 OR 958f. Art. 958f. E. Führung und Aufbewahrung der Geschäftsbücher 1 Die Geschäftsbücher und die Buchungsbelege sowie der Geschäftsbericht und der Revisionsbericht sind während zehn Jahren aufzubewahren. Die Aufbewahrungsfrist beginnt mit dem Ablauf des Geschäftsjahres. 2 Der Geschäftsbericht und der Revisionsbericht sind schriftlich und unterzeichnet aufzubewahren. 3 Die Geschäftsbücher und die Buchungsbelege können auf Papier, elektronisch oder in vergleichbarer Weise aufbewahrt werden, soweit dadurch die Übereinstimmung mit den zugrunde liegenden Geschäftsvorfällen und Sachverhalten gewährleistet ist und wenn sie jederzeit wieder lesbar gemacht werden können. 4 Der Bundesrat erlässt die Vorschriften über die zu führenden Geschäftsbücher, die Grundsätze zu deren Führung und Aufbewahrung sowie über die verwendbaren Informationsträger. 11

12 Ein Knackpunkt: Art. 9 GeBu V Art. 9 Zula ssige Informationstra ger Zur Aufbewahrung von Unterlagen sind zula ssig: unvera nderbare Informationstra ger, namentlich Papier, Bildtra ger und unvera nderbare Datentra ger; vera nderbare Informationstra ger, wenn: technische Verfahren zur Anwendung kommen, welche die Integritaẗ der gespeicherten Informationen gewaḧrleisten (z.b. digitale Signaturverfahren), der Zeitpunkt der Speicherung der Informationen unverfa lschbar nachweisbar ist (z.b. durch «Zeitstempel»), die zum Zeitpunkt der Speicherung bestehenden weiteren Vorschriften u ber den Einsatz der betreffenden technischen Verfahren eingehalten werden, und die Ablaüfe und Verfahren zu deren Einsatz festgelegt und dokumentiert sowie die entsprechenden Hilfsinformationen (wie Protokolle und Logfiles) ebenfalls aufbewahrt werden. 12

13 Nutzen fu r Anbieter & Anwender Anbieter Das Angebot zeigt dem Kunden die rechtliche Konformitaẗ Die Konformitaẗ soll einen Marktvorteil verschaffen Das Zertifikat wird aktualisiert und wiederspiegelt den aktuellen Stand Das Zertifikat wird von einer neutralen Organisation ausgestellt, die hohes Ansehen geniesst und die Best Practice in diesem Bereich pra gt. Anwender Informiert daru ber, ob die eingesetzte Lo sung den rechtlichen Anforderungen entspricht Ermo glicht die Anpassung der Lo sung innert nuẗzlicher Frist (keine Projektverzo gerung) Gibt dem Verwaltungsrats und den Organen die Gewissheit, dass die Lo sungen neutral u berpru ft wurden und keine besonderen Risiken bestehen. 13

14 Fallbeispiel: CRM Cloud - Lösung Kunde Anbieter A The Cloud Dienste Rechnungen übergibt scannt Validierungs SW PDF/A Generator Validiert. Konvertiert und signiert? Zertifizierungsinstanz Verarbeitet weiter Liefert aus Speichert in Blockchain Blockchain Anbieter archiviert 14

15 Ablauf Input Output 1. Analyse Analyse des Systems / Prozesse / Organisation Systembeschreibun gen des Kunden Systemübersicht 2. Prüfthemen (TOE) festlegen Target of Evaluation abgrenzen und beschreiben Systemübersicht anpassen und mit Kunden abnehmen (TOE) = SOLL Zustand 3. BOK identifizieren BOK Komponenten identifizieren BOK Katalog Komponentenliste 4. Checkliste / Prüfkatalog erstellen 5. Audit durchführen 6. Gap Analyse & Prüfbericht Wir stellen Abweichungen zwischen zwingenden und optionalen Anforderungen und der Lösung fest Wir sprechen Empfehlungen aus 7. Zertifizierung Wir stellen das Zertifikat aus 100. Re-Zertifizierung Eine optionale Re-Zertifizierung erfolgt auf Wunsch des Kunden Generische Checkliste Adaptierte Checkliste Interviews / Systemprüfungen / Tests Checkliste ausfüllen (IST) Vergleich von SOLL und IST PRÜFBERICHT Zertifikat ausstellen und auf Web erfassen Re-Zertifizierung vorbereiten Planung /der Re-Zertifizierung (sep. Ablauf) 15

16 Umfang & Aufwand Systemkomplexität Regulatorischer Umfang Einbindung von Drittparteien Der Aufwand hängt von drei Hauptfaktoren ab (siehe FAQ): 1. Der Komplexität des untersuchten Systems; 2. der Anzahl von Aussenpartnern (-systemen/- verträgen; 3. der zu prüfenden Gesetze und Normen (z.b. nur national, international, Branchennormen) Untersuchungsumfang Hinzu kommt die Berücksichtigung der speziellen Risikosituation. Diese drückt sich meist in den zu befolgenden Gesetzen und Normen ab, kann jedoch auch einmal bewusst nach oben angepasst werden (Erhöhung der Sorgfalt). Last but not least natürlich Umfang und Qualität der existierenden Dokumentation. 16

17 KRM Body of Knowledge Gesetze und Prüfliste Gesetze GebüV- Ordnungsmässigkeitskatalog GeBüV Checkliste Records Management Leitfaden (nach Themenbereichen) Information Governance Leitfaden (nach Themenbereichen) Verfahrensdokumentation für die Schweiz IT-Vertrags Checkliste für Themen (Cloud, Swico Verträge, Konkurse) IT-Audit für RM-Systeme Matrio-IG Methode Aufbewahrungsfristen (RM Leitfaden) RM Methode / RM Policy-Template IM/IG Strategieleitfaden E-Discovery Prozess / Readiness Assessment Cobit IT Grundschutzhandbuch 17

18 Beispiel: Grundsätze Ordnungsgemässer Aufbewahrung (nach KRM) 1. Jedes Dokument verfügt über eine eindeutige Klassierung und Klassifizierung 2. Archivdokumente werden in einem speziellen Archivformat gespeichert und werden formatunabhängig indiziert 3. Dokumente müssen vollständig archiviert werden (Fachliche Integrität). 4. Jedes Dokument muss in der rechts-/letztgültigen Version archiviert werden THE SWISS 5. Jedes Dokument muss in derjenigen Form wiedergegeben werden können, welche den gesetzlichen Anforderungen (seiner Klassierung/Klassifikation) entspricht (Wiedergabeauthentizität). 6. Dokumente dürfen im Archiv nicht verändert (zerstört) werden können 7. Ein Geschäftsfall muss innert nützlicher Frist nachvollziehbar sein. 8. Die Migration von Dokumenten auf ein neues Archivsystem muss ohne Informationsverlust möglich sein und kontrolliert und nachvollziehbar ablaufen.. 9. Alle relevanten Vorgänge im Archiv sind zu protokollieren 10. Archivierte Daten dürfen nur in einem kontrollierten und nachvollziehbaren Verfahren gelöscht werden. 11. Archive müssen regelmässig überprüft werden 12. Die Speicherung erfolgt nach den Grundlagen des Dokumenten Lebenszyklus. 13. Redundanzen sind nur dort zulässig, wo sie explizit gefordert werden. 14. Sicherheitsanforderungen an die Verfügbarkeit sind festzuhalten und nach Risikogesichtspunkten zu gewichten. Die Archiv- Backupstrategie ist festzulegen. 15. Die Vertraulichkeit der Archivdaten ist zu gewähren, wobei der Zugriff protokolliert sein und der Nutzerkreis den Nutzungsund Risikoanforderungen entsprechen muss (risikobasiert). 18

19 Was erhalten Sie von uns? Sie erhalten von uns ein Zertifikat mit folgendem Inhalt: Umfang der Untersuchung Feststellungen zur Gesetzeskonformität Bericht zu Verbesserungsmassnahmen Rahmenbedingungen der Gültigkeit Eintrag in die Zertifikats-Datenbank (abrufbar falls gewünscht) GeBüV Zertifikat Das Kompetenzzentrum Records Management (KRM) bestätigt, dass die Lösung Dokumenteneingangs-Scanning der Muster AG die gesetzlichen Anforderungen der GeBüV und <bbbb> erfüllt. 1. Januar 2016 Der Geschäft sf ührer <Signature> Bruno Wildhaber Un t ersucht es Verfahren/System Gesetzliche Grundlagen und Normen Analyseverfahren Resu l t at Zertifizierungs - ID Gültigkeit Das Dokumenteneingangs-Scanning ist eine Systemlösung zur Digitalisierung von papierbasierter Eingangspost. Die Papiereingänge werden elektronisch erfasst und in einem Archivsystem abgelegt. Geschäftsbücherverordnung, Obligationenrecht, Datenschutz NATIONAL Im Zeitraum von dd.mm.yy bis dd.mm.yy w urden die Verfahren untersucht und vor Ort geprüft. Die Prüfung erfolgte auf dem Revisionsstand n.n. Die Lösung erfüllt die gesetzlichen Anforderungen der GeBüV und der erwähnten Rechtsgrundlagen. Es erfolgte keine Prüfung der Konformität mit allfällig anwendbaren Standards und Spezialgesetzen WXYZ Status und Nutzungsbedingungen einsehbar unter: Disclaimer: Die Überprüfung der Ordnungsmässigkeit wurde durch das KRM mit grösster Sorgfalt durchgeführt. Die Konformität bezieht sich auf das beschriebene Verfahren. Das KRM übernimmt keinerlei Haftung für Schäden, welche durch die Nutzung des geprüften Systems entstehen. Es gelten die Allgemeinen Geschäftsbedingungen vom dd.mm.yy WXYZ / V091 19

20 FAQ Aktualisierte FAQs und weitere Informationen auf:

21 KRM Produkte Sonderpreise bei Bestellung am Event THE SWISS Leitfaden Information Governance Eventpreis: Fr (Buchhandel 98.-) Praxisleitfaden RM Eventpreis: Fr (Buchhandel 48.-) MATRIO Methode Information Management (Digitalisierungsstrategie) 21

22 ISO Ein möglicher Ansatz für die Einführung und Betrieb von Records Management im Unternehmen 22

23 Vision: unternehmensweites Managementsystem für Records THE SWISS Vision: Ein unternehmensweites Managementsystem für alle Geschäftsunterlagen/Daten Realität: - viele Subsysteme in den Daten verarbeitet werden - Verschiedene Managementsysteme und Verantwortlichkeiten für z.b. Qualität, Datenschutz, Sicherheit Managementsystem Daten/Dokumente Geschäftsprozesse ERP Daten X Cloud IT-Applikationen Infrastruktur QM- Doku

24 ISO Records Management fokussiert auf Einführung ISO fokussiert sich auf Managementsysteme Die ISO empfiehlt ein Führungssystem für Geschäftsunterlagen aufzubauen, um die ordnungsgemässe und rechtskonforme Datenhaltung sicherzustellen. Plan Act Do Check 24

25 Der Plan-Do-Check-Act Kreislauf wird auf das Records Management angewendet THE SWISS Recht, interne und externe Faktoren Digitalierungsinitiativen etc. 4 Analyse 10 Verbesserung 5 Leadership Richtlinien, Verantwortungen für Management und Betrieb Act Plan KPIs, Erfüllung der Erwartungen bei Management und Enduser 9 Leistungsmessung Check Do 6 Planung Wie mit Risiken und Chancen umgehen? Betrieb der Prozesse für die Recordsmgt. 8 Betrieb 7 Supportprozesse Welche Ressourcen, Kompetenzen und Training und Kommunikation sind notwendig? 25

26 ISO Managementsystem für Records Gliederung wie neue ISO 9001 (Kap 4 Kontext der Organisation etc.) Weitere Normen: ISO 30300: Fundamentals and vocabulary ISO 30301: Requirements Ausblick: ISO ISO Anforderungen an Zertifizierungsorganisationen ISO Assessment *Deutsche Übersetzung durch KRM 26

27 Empfehlung zur Phase Plan ISO (4) Analysieren Sie für das Anwendungsgebiet (Scope) die Anforderungen aus rechtlicher, geschäftlicher Sicht und schätzen Sie die Risiken ein. (5) Das Top-Management muss sowohl Richtlinien für den Umgang mit Geschäftsunterlagen vorgeben und die Verantwortlichkeiten definieren. (6) Planen Sie Massnahmen um die Chancen zu realisieren und Risiken zu minimieren. Definieren Sie Ziele für den Umgang mit Records. (7) Die Mitarbeiter (welche die Verantwortung für die Records tragen) und die Anwender (Nutzung und Bearbeitung der Records) müssen motiviert und geschult im korrekten Umgang mit Geschäftsunterlagen sein (Anreizsystem bzw. Wertschätzung). 27

28 Empfehlung zu den Phasen Do-Check-Act ISO THE SWISS Do (8) Der Betrieb und operative Bearbeitung der geschäftsrelevanten Unterlagen muss geplant, gesteuert und überwacht werden. Dies gilt sowohl für den internen Betrieb und das Outsourcing (Cloud, externes Scanning etc.). Check Act (9) Messen Sie ob Sie die Zielgrössen erreichen. Nur so können Sie Kosten, Nutzen und Sicherheit/Risiken in den Griff bekommen. Welches sind Ihre Messkriterien für das Records Management? (10) Verbessern Sie kontinuierlich die Prozesse und arbeiten Sie an Bereiche die Non-compliant sind. Nutzen Sie die Managementattention die neue Digitialisierungsinitiativen haben 28

29 Fazit Chancen Falls die Organisation ISO 9001 einsetzt, kann ISO sinnvoll sein, die Einführung und Ausbau von Records Management und Information Governance anhand dieser Struktur einzuführen. Nutzen Sie die ISO um in Ihrer Organisation Klarheit zu schaffen, wer für welche Informationen verantwortlich ist und wie die Mitarbeiter mit Informationen umgehen sollen. ISO kann auch für einzelne Einsatzgebiete, wie z.b. Geschäftsunterlagen in der Cloud, angewendet werden. Insbesondere in regulierten Branchen werden zunehmend Zertifizierung gefordert (siehe elektronisches Patientendossier) Herausforderungen Die ISO bietet eine Struktur, die fachlichen RM-Inhalte muss die Organisation selber erarbeiten. Die ISO noch nicht in der deutschen Übersetzung vor. Es ist zu hoffen, dass für den Begriff "Records Management" nicht der staubige Begriff Schriftgutverwaltung verwendet wird, da im Jahr 2016 die geschäftsrelevanten Informationen (Records) nicht nur Schriftgut, sondern auch Daten aus unterschiedlichsten Quellen sein können (Social Media, Big Data etc.) 29

30 Fragerunde 30

31 Überblick Standards 31