IT-Compliance in Zeiten von 8. EU-RL und Wirtschaftskrise

IT-Compliance in Zeiten von 8. EU-RL und Wirtschaftskrise Mag. Gunther Reimoser 18. Juni 2009

Mag. Gunther Reimoser Partner Ernst & Young Wirtschaftsprüfungsgesellschaft mbh Wagramer Straße 19, 1220 Wien Tel.: +43 1 21170 1032 Fax: +43 1 216 20 77 gunther.reimoser@at.ey.com Seit über 12 Jahren im IT-Prüfungs- und IT- Beratungsgeschäft Partner bei Ernst & Young, Leiter Advisory Services 2002-2003 Zentralfunktion bei Ernst & Young in USA Wirtschaftsprüfer, Steuerberater CGEIT, CISA, CISM, CISSP, SAP CC Präsident der ISACA Austria Stv. Leiter des Fachsenats für Datenverarbeitung der Kammer der Wirtschaftstreuhänder Mitglied des Fachsenats für Unternehmensrecht und Revision Gutachterliche Tätigkeit ua zur Ordnungsmäßigkeit interner Kontrollsysteme 18. Juni 2009 Seite 2 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

Vorstellung Ernst & Young Dienstleistungen Wirtschaftsprüfung und prüfungsnahe Beratung Steuerberatung Transaktionsberatung (CF) Rechtsberatung Human Capital Beratung Rd. 135.000 Mitarbeiter weltweit Über 500 in Österreich Umsatz weltweit über EUR 18 Mrd. Rd. EUR 65 Mio. in Österreich 18. Juni 2009 Seite 3 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

Compliance & Governance & Risikomanagement Die 8. EU-Richtlinie Anforderungen Unterschied zum Sarbanes-Oxley Act Mögliche Auswirkungen Compliance Management und IT GRC-Framework 18. Juni 2009 Seite 4 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

2008 Source: The 2009 Ernst & Young Business Risk Report 18. Juni 2009 Seite 5 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

Corporate Governance umfasst allgemein die Gesamtheit aller internationalen und nationalen Werte und Grundsätze für eine gute und verantwortungsvolle Unternehmensführung, welche sowohl für die Mitarbeiter als auch für die Unternehmensführung von Unternehmen gelten. Kennzeichen guter Corporate Governance Effiziente Unternehmensleitung Wahrung der Aktionärsinteressen (Quelle: wikipedia.de) Zielgerichtete Zusammenarbeit der Unternehmensleitung und -überwachung Transparenz in der Unternehmenskommunikation Angemessener Umgang mit Risiken Managemententscheidungen sind auf langfristige Wertschöpfung ausgerichtet 18. Juni 2009 Seite 6 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

COSO Enterprise Risk Management Framework ( COSO 2 ) 18. Juni 2009 Seite 7 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

Der Begriff Compliance bezeichnet die Gesamtheit aller Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Organisationsmitglieder und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote begründen. Darüber hinaus soll die Übereinstimmung des unternehmerischen Geschäftsgebahrens auch mit allen gesellschaftlichen Richtlinien und Wertvorstellungen gewährleistet werden. Compliance gilt als ein bedeutendes Element der Corporate Governance. Zunehmend von Bedeutung für die Compliance sind auch die Informationssicherheit und der Datenschutz. (Quelle: wikipedia.de) 18. Juni 2009 Seite 8 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

COSO Internal Control Integrated Framework COSO II Enterprise Risk Management Integrated Framework Objectives Financial Reporting Operations Compliance Components Control Environment Risk Assessment Control Activities Information and Communication Functions Units Monitoring 18. Juni 2009 Seite 9 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

Governance Business drivers Risikomanagement Strategy Compliance Governance, Policies & Standards Processes & Operational Procedures Tools & Technology People & Organisation Compliance, Monitoring & Reporting 18. Juni 2009 Seite 10 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

Anforderungen Unterschied zum Sarbanes-Oxley Act Mögliche Auswirkungen 18. Juni 2009 Seite 11 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

Veröffentlichung im EU-Amtsblatt am 9. Juni 2006 Beginn der 2-Jahres-Periode zur Umsetzung der Richtlinie in nationales Recht In Österreich durch GesRÄG 2005 und das A-QSG teilweise bereits erfolgt Abschlussprüferrichtlinie wendet sich vor allem an Abschlussprüfer bzw. deren Aufsichtsbehörden Ziele Verbindliche Vorgabe internationaler Prüfstandards (ISA) Aktualisierung der Ausbildungsvoraussetzungen Festlegung von Berufsgrundsätzen für den Prüfer Verbesserung und Harmonisierung der Qualität Stärkung des Vertrauens in die Abschlussprüfung 18. Juni 2009 Seite 12 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

Relevante Bestimmungen für Unternehmen Unternehmen von öffentlichem Interesse Börsenotierte, Versicherungen, Banken Bildung eines Prüfungsausschusses (in Ö: aus dem Aufsichtsrat), der folgendes zu überwachen hat: Rechnungslegungsprozess Wirksamkeit IKS, interner Revision, Risikomanagementsystem Abschlussprüfung und Unabhängigkeit Prüfer Abschlussprüfer hat dem Prüfausschuss zu berichten über Wichtigste Erkenntnisse der Prüfung Wesentliche Schwächen des rechnungslegungsbezogenen IKS [ ] ein wirksames internes Kontrollsystem tragen dazu bei [ ] Risiken zu begrenzen [ ] (Einleitung 8. EU-RL, 24) 18. Juni 2009 Seite 13 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

Ausprägung in Österreich Unternehmensrechtsänderungsgesetz (URÄG) 2008 Verabschiedet im April In Kraft: 1.6.2008 bzw Geschäftsjahre beginnend nach 31.12.2008 Unternehmen von öffentlichem Interesse (Betroffene) Kapitalmarktorientierte Unternehmen Aktien oder Wertpapiere an geregeltem Markt (oder anerkannten, offenen Markt) in OECD-Staat notieren Versicherungen, Banken Sehr große Unternehmen > 192,5 Mio. EUR Umsatz oder > 96,25 Mio. EUR Bilanzsumme Bei GmbHs nur wenn aufsichtsratspflichtig 18. Juni 2009 Seite 14 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

URÄG 2008 Pflichten für Unternehmen öffentlichen Interesses Einrichtung eines Prüfungsausschusses 92 AktG, 30g GmbHG, 24 GenG, 40 SE-G Pflichten ua Überwachung des Rechnungslegungsprozesses Überwachung der Wirksamkeit von IKS Ggf. interner Revision Risikomanagementsystem Prüfung des Lageberichts und ggf. des Corporate Governance Berichts (AG) 18. Juni 2009 Seite 15 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

URÄG 2008 Pflichten des Abschlussprüfers Stellt der Abschlussprüfer bei Wahrnehmung seiner Aufgaben Tatsachen fest, die [ ] die schwerwiegende Verstöße der gesetzlichen Vertreter oder von Arbeitnehmern gegen Gesetz erkennen lassen, so hat er darüber unverzüglich zu berichten. [ ] Darüber hinaus hat er unverzüglich über wesentliche Schwächen bei der internen Kontrolle des Rechnungslegungsprozesses zu berichten ( 273 UGB) Erhebliche Erweiterung des Bestätigungsvermerks Aussage, ob die Beschreibung der wichtigsten Merkmale des IKS der Gesellschaft im Hinblick auf die Rechnungslegung im Lagebericht zutreffend ist Prüfungsbericht ausführen, ob diese Beschreibung den gesetzlichen Vorschriften entspricht 18. Juni 2009 Seite 16 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

URÄG 2008 Pflichten des Vorstands Einrichtung eines angemessenen IKS War bereits im GmbHG / AktG in Ö; in D erweitert in 91 (2) Aufstellung und Unterzeichnung Lagebericht und Corporate Governance Bericht bei kapitalmarktorientierten Unternehmen Anführung der wichtigsten Merkmale des internen Kontrollsystems (IKS) der Gesellschaft im Hinblick auf die Rechnungslegung im Lagebericht. [ ] Diese neue Angabe stellt eine erhebliche Erweiterung des Lageberichts dar, ist aber nicht mit den Berichtsund Prüfpflichten gemäß Section 404 des Sarbanes-Oxley Act vergleichbar, denn der Gemeinschaftsgesetzgeber wollte bewusst nicht einen für die Unternehmen sehr kostspieligen Euro-SOX schaffen. (Erläuterungen zum URÄG) 18. Juni 2009 Seite 17 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

URÄG 2008 CG Erklärung Gültig nur für AGs mit gehandelten Aktien oder WP Erklärung im Rahmen eines CG Berichts mit Angaben die Nennung eines in Österreich oder am jeweiligen Börseplatz allgemein anerkannten Corporate Governance Kodex; die Angabe, wo dieser öffentlich zugänglich ist; soweit sie vom diesem abweicht, eine Erklärung, in welchen Punkten und aus welchen Gründen diese Abweichung erfolgt; wenn sie beschließt, keinem Kodex zu entsprechen, eine Begründung hiefür ( 243b UGB) 18. Juni 2009 Seite 18 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

Zusammenfassung 8. EU-RL Prüfungsausschuss Überwacht IKS, RM-System, interne Revision Prüft Lagebericht, CG-Bericht (darin: IKS, RM-System) Abschlussprüfer Prüft Einhaltung relevanter Gesetze (Lagebericht, Erstellung CG-Bericht, IKS, ) Berichtet über Beanstandungen Vorstand / GF Verantwortet IKS, interne Revision, RM-System Stellt Lagebericht und CG-Berichtauf und unterschreibt Unternehmensbereiche Details nicht geregelt 18. Juni 2009 Seite 19 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

SOX 8. EU-RL Dokumentation der Abläufe Dokumentation der Kontrollen (Umfang) Dokumentation der Kontrolldurchführung Monitoring des IKS Durchführung eines Management Testings External Audit des IKS JA JA / meist separat (EL-C, Fraud-C, Trans.-C) JA (formalisiert, einheitlich) JA JA / formalisiert JA / spezifische Pflichten JA JA / integrativ (nur: angemessen) JA (nur: angemessen) JA NEIN / informell (im Rahmen des Monitorings) JA / allgemein 18. Juni 2009 Seite 20 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

0 Non-existent: Bedarf für IKS wird nicht gesehen, Kontrollen sind nicht vorhanden 1 Ad hoc: Bedarf erkannt, Keine Vorgaben ad hoc (kaum dokumentierte) Abläufe und kaum Kontrollen, keine Überwachung 2 Repeatable but intuitive: Abläufe einheitlich, Kontrollen vorhanden jedoch keine Dokumentation kein Sollobjekt, unklare Verantwortlichkeiten, kaum Überwachung, viele Schwachstellen 3 Defined: Kontrollen vorhanden und dokumentiert, laufende jedoch informelle Überprüfung, wenig (schwere) Schwachstellen 4 Managed and Measureable: Effektive, dokumentierte Kontrollen und Überprüfung; KVP über das IKS 5 Optimised: IKS integriert in RMS, hohe Automatisation, / Self-Assessments 18. Juni 2009 Seite 21 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise ⓿ ❶ ❷ 3+ 8. EU-RL SOX 4- ❺

18. Juni 2009 Seite 22 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

18. Juni 2009 Seite 23 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

Business drivers Definition der Vision, Unternehmensvorgaben an die IT, Link IT- und Business Strategy Strategische IT-Vorgaben umfassend IT-Strategie ies, Risiko-, Architektur- Sicherheits-, Compliancestrategie Governance, Policies & Standards Governancestruktur, Detaillierung und Vorgabe der oa Strategien durch Richtlinien und Standards Processes & Operational Procedures Tools & Technology People & Organisation Etablierung von Prozessen mit Hilfe von technischen und organisatorischen Ressourcen Compliance, Monitoring & Reporting Aufbau eines Monitoring und Reporting-systems, Überwachung der Compliance 18. Juni 2009 Seite 24 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

Business drivers Framework als Basis für Compliance aber auch Governance und Riskmanagement Strategy Business drivers Strategy Processes & Operational Procedures Governance, Policies & Standards Tools & Technology People & Organisation Processes & Operational Procedures Governance, Policies & Standards Tools & Technology People & Organisation Compliance, Monitoring & Reporting Compliance, Monitoring & Reporting 18. Juni 2009 Seite 25 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

UGB, AktG, GmbHG Basel II Solvency II GMP SOX, 8. EU-RL Business Business drivers COSO ISO 9000 ISO 14000 Six Sigma IT Governance Strategy Governance, Policies & Standards COBIT, ValIT Operative IT Processes & Operational Procedures Tools & Technology People & Organisation ITIL, ISO2000, ISO2700x, BS25999, Measurement Compliance, Monitoring & Reporting 18. Juni 2009 Seite 26 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

Die Struktur des Frameworks deckt alle Bereiche und Ebenen der IT ab Das Framework unterstützt und vereint die verschiedenen Sichten auf die IT Governance-Sicht inklusive Business und strategischer Sicht sowie Architektur-Sicht Risikomanagement und Security Sicht Compliance Sicht Performance Sicht Die Vollständigkeit auf allen Ebenen des Frameworks kann überprüft und sichergestellt werden Klare top-down Hierarchie, von der Vision bis zur Überwachung bestehende Elemente können eindeutig zugeordnet und eingehängt werden Das Framework kann daher evolutionär befüllt werden, Vorhandenes kann wiederverwendet werden die Akzeptanz steigt, die Kosten sind geringer als bei einem revolutionären Ansatz Der Einsatz eines Frameworks ermöglicht die Vereinheitlichung und damit Verbesserung über Organisationsgrenzen hinweg Vereinheitlichung von Richtlinien und Standards Vereinheitlichung der Prozesse und Steigerung des Prozessreifegrads Klare Definition von Zuständigkeiten und Verantwortung im Prozess Vermeidung von Redundanzen im Prozessablauf Messbarkeit des Erreichens von Zielen durch Definition von KPIs Die Vereinheitlichung ist eine Basis für Kostensenkung durch effektives Ressourcenmanagement Einhaltung gesetzlicher und regulatorischer Pflichten 18. Juni 2009 Seite 27 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

Compliance als Treiber und Chance (in der Krise) Treiber Gesetzliche Anforderungen haben Priorität Zeitlich, inhaltlich, budgetär SOX hat es bewiesen Vorstandsvisibilität Ist non-complianceeine Option? Anzahl der Anforderungen verlangen Compliance-Management Erhebung der Anforderungen Identifikation der Überlappungen Bilden eines Rahmenwerks (!) Einhängen vorhandener Bestandteile Vervollständigung / Verbesserung Go-Live Monitoring Chance Priorität Budget in Zeiten des cost cuttings oft einer der wenigen sakrosankten Bereiche Harmonisierungund Vervollständigung der Vorgabenin einem Rahmenwerk um Abläufe vereinheitlichen und steuern zu können als Basis von Performance Measurement und Improvement (Kosten)effizienz Als Basis (neben der Comliance) eines effektiven Risk Management Struktur istbasis einer effektivenit- Governance 18. Juni 2009 Seite 28 IT-Compliancein Zeiten von 8. EU-RL und Wirtschaftskrise

Vielen Dank für Ihre Aufmerksamkeit! Mag. Gunther Reimoser Wirtschaftsprüfer CISA, CISSP, CISM, SAP CC Partner Ernst & Young Wirtschaftsprüfungsgesellschaft m.b.h. Wagramer Straße 19, IZD-Tower A-1220 Wien Tel.: +43 1 211 70 1032 Mobil: +43 (664) 60003 1032 Fax: +43 1 211 70 5011 Gunther.Reimoser@at.ey.com www.ey.com/austria