Erfolgsfaktoren der Archivierung unter Berücksichtigung rechtlicher Rahmenbedingungen Mag. Andreas Niederbacher, CISA Linz, 21. Mai 2014
Deloitte Global Deloitte ist eine der größten Wirtschaftsprüfungs- und Beratungsgesellschaften weltweit, mit über 200.000 Mitarbeitern in mehr als 150 Ländern auf allen Kontinenten. Mehr als 200.000 Mitarbeiter in über 150 Ländern. 82 Prozent der 2013 Fortune Global 500 Unternehmen gehören zu unseren Klienten. Global mehr als US$ 32,4 Mrd. Umsatz im FY2013. 2
Deloitte Österreich Regionale Präsenz mit internationalem Know-how Büros in Wien, St. Pölten, Graz, Linz, Salzburg, Innsbruck, Imst, St. Anton Rund 1.000 Mitarbeiter in Österreich 3
Inhalt Unternehmerische Herausforderungen Gesetzliche Anforderungen Erfolgsfaktoren
Unternehmerische Herausforderungen
Unternehmerische Herausforderungen Datenmenge erhöht sich durch gesetzliche, regulatorische sowie interne Anforderungen Papierdokumentation ist oftmals nur sehr beschränkt möglich Das Auffinden von relevanten Unterlagen oftmals schwierig Voraussetzungen für die Zusammenarbeit im Team schaffen Lesbarkeit der Informationen muss sichergestellt werden Erreichbarkeit von Unternehmenszielen (Abhängigkeit von IT) Schutz von Vermögen und Image 6
Herausforderungen: E-Mail und File-Server E-Mail Kommunikation einfach, omnipräsent, zeitnah Nutzung für den Austausch von Dokumenten (Geschäftsbriefqualität) Nicht für langfristige Aufbewahrung konzipiert Private Nutzung schwer zu überwachen File-Server Speicherung es erfolgt kein eigenständiges Löschen durch die Benutzer Wiederauffinden von Informationen oftmals sehr zeitintensiv Keine Versionierung und unterschiedliche Aufbewahrungsfristen Physikalische und logische Zugriffskontrolle Urheberrechtsaspekte 6
Gesetzliche Anforderungen
Gesetzliche Anforderungen in Österreich Bundesabgabenordnung (BAO) Betrugsbekämpfungsgesetz 2006 Unternehmensgesetzbuch (UGB) Unternehmensrechts-Änderungsgesetz 2008 Fachgutachten zur Ordnungsmäßigkeit von IT-Buchführungen (KFS/DV 1) GmbH-Gesetz Aktiengesetz Verbandsverantwortlichkeitsgesetz Dienstnehmerhaftpflichtgesetz Datenschutzgesetz 2000 Österreichisches Signaturgesetz 9
Resultierende Anforderungen Einführung eines Internen Kontrollsystems Beachten der Aufbewahrungspflichten Mindestens 7 Jahre Abhängig von Dokument bzw. Beleg Revisionssicheres Archiv Vollständigkeit Geordnete Inhaltsgleichheit Urschriftgetreue Nachvollziehbarkeit (Versionierung) Elektronische Auswertbarkeit In angemessener Zeit zur Verfügung stellen können Korrekter Umgang mit elektronischen Rechnungen 10
Nachvollziehbarkeit von Geschäftsfällen Inhaltsgleiche Wiedergabe ( 132 BAO, 190 UGB) Bezieht sich ausschließlich auf den Inhalt der Dokumente Beispiel: Daten- und Formularinformationen sind in Anwendung getrennt Urschriftsgetreue Wiedergabe ( 132 BAO, 190 UGB) Alle Merkmalme, die Beweiskraft haben, müssen erhalten bleiben Gilt für Dokumente, die originär auf Papier erstellt worden sind Zu beachten Farbe bei Schwarz/Weiß Scanner Dateiformate mit dynamischen Inhalten Beschriebene oder bedruckte Rückseiten Vorgaben für elektronische Rechnungen 11
Erfolgsfaktoren
Compliance Thema der Informationstechnologie? Definition Compliance - Einhaltung von Gesetzen und Richtlinien - Einhaltung von freiwilligen Regelungen und Kodizes Vorgaben gelten auch in der elektronischen Welt Die Anforderungen im Bereich Informationstechnologie - sind nicht oder nur teilweise enthalten - müssen adäquat abgeleitet werden Revisionssicherheit von digitalen Archivsystemen ü Einhaltung der resultierenden Anforderungen ü Gewährleistung der Erreichbarkeit von Unternehmenszielen ü Reduzierung der im Schadensfall entstehenden Kosten 13
Verfügbarkeit Integrität Wirtschaftlichkeit
Konstruktiver Lösungsansatz Integrität Zeitnahes Auffinden von Daten Bereinigung von irrelevanten Daten Klassifizierung der relevanten Daten Skalierbarkeit Änderungssicherheit Möglichkeit zur Migration 15
Konstruktiver Lösungsansatz Verfügbarkeit Berechtigungskonzept schützt vor Veränderung und Verfälschung Richtlinien und Schulungen für Mitarbeiter Erstellung von Sicherungen gegen Datenverlust Dauerhafte Lesbarkeit der Datenträger und flexible Abfragemöglichkeiten Auslagerung von Speichermedien und Prozess für die Wiederherstellung schaffen Anerkannte Standards nutzen (zb ISO 27001) 16
Konstruktiver Lösungsansatz Wirtschaftlichkeit Möglichkeiten der Klassifizierung Geld- und Haftstrafen DSG ( 51, 52) Datenverwendung in Gewinn- oder Schädigungsabsicht, Geldstrafe bis 25.000 Schadenersatz DSG ( 32, 33) Klage des betroffenen wegen Verletzung der Geheimhaltungs-, Richtigstellungs-, oder Löschungspflicht Ersatz des Schadens nach ABGB Produktivitätsgewinn 17
Die zehn goldenen Regeln der Archivierung Merksätze zur Archivierung (Quelle: VOI) 1. Jedes Dokument muss nach Maßgabe der rechtlichen und organisationsinternen Anforderungen ordnungsgemäß aufbewahrt werden. 2. Die Archivierung hat vollständig zu erfolgen kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen. 3. Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt zu archivieren. 4. Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden. 5. Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden. 6. Jedes Dokument muss in angemessener Zeit wiedergefunden und reproduziert werden können. 7. Jedes Dokument darf frühestens nach Ablauf seiner Aufbewahrungsfrist vernichtet, d.h. aus dem Archiv gelöscht werden. 8. Jede ändernde Aktion im elektronischen Archivsystem muss für Berechtigte nachvollziehbar protokolliert werden. 9. Das gesamte organisatorische und technische Verfahren der Archivierung kann von einem sachverständigen Dritten jederzeit geprüft werden. 10. Bei allen Migrationen und Änderungen am Archivsystem muss die Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt sein. 18
Kontakt Mag. Andreas Niederbacher, CISA Manager Enterprise Risk Services Deloitte Audit Wirtschaftsprüfungs GmbH Johann-Konrad-Vogel-Straße 7-9 4020 Linz Tel. +43 (0)732 67 52 90-250 Mobil.: +43 (0)664 80 537-3795 aniederbacher@deloitte.at www.deloitte.at
Deloitte erbringt Dienstleistungen aus den Bereichen Wirtschaftsprüfung, Steuerberatung, Consulting und Financial Advisory für Unternehmen und Institutionen aus allen Wirtschaftszweigen. Mit einem Netzwerk von Mitgliedsgesellschaften in mehr als 150 Ländern verbindet Deloitte erstklassige Leistungen mit umfassender regionaler Marktkompetenz und verhilft so Kunden in aller Welt zum Erfolg. To be the Standard of Excellence" für rund 200.000 Mitarbeiter von Deloitte ist dies gemeinsame Vision und individueller Anspruch zugleich. Dieses Dokument enthält lediglich allgemeine Informationen, die eine Beratung im Einzelfall nicht ersetzen können. Die Informationen in diesem Dokument sind weder ein Ersatz für eine professionelle Beratung noch sollte sie als Basis für eine Entscheidung oder Aktion dienen, die eine Auswirkung auf Ihre Finanzen oder Ihre Geschäftstätigkeit hat. Bevor Sie eine diesbezügliche Entscheidung treffen, sollten Sie einen qualifizierten, professionellen Berater konsultieren. Deloitte Mitgliedsfirmen übernehmen keinerlei Haftung oder Gewährleistung für in diesem Blog enthaltene Informationen. Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited, eine "UK private company limited by guarantee" und/oder ihr Netzwerk von Mitgliedsunternehmen. Jedes Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig. Nähere Informationen über die rechtliche Struktur von Deloitte Touche Tohmatsu Limited und ihrer Mitgliedsunternehmen finden Sie unter www.deloitte.com/about