Schlechteres Business ohne Compliance

Nationale und internationale Vorschriften stellen immer höhere Anforderungen an die beteiligten IT-Systeme und Unternehmensprozesse.

Artikel erschienen in Swiss IT Magazine 2004/15

     

In der Schweiz besteht Handlungsbedarf, dass es chlöpft und tätscht!» Laut Lukas Fässler, Rechtsanwalt und langjähriger ehemaliger Informatikchef des Kantons Luzern, haben rund neun Zehntel der Schweizer Unternehmen kein Konzept für die elektronische Geschäftskorrespondenz. Nicht wesentlich besser sieht es in der öffentlichen Verwaltung aus. Dass auch der Umgang mit herkömmlichen Papierdokumenten in vielen Firmen nicht nach durchdefinierten Prozessen abläuft, entschärft den Missstand nicht im geringsten.


Geschäftsbücher auch elektronisch

Seit dem 24. April 2002 ist der Umgang mit elektronischen Geschäftsdokumenten gesetzlich geregelt. An diesem Tag trat nämlich die neueste Version der Schweizer Geschäftsbücherverordnung GeBüV in Kraft, die erstmals elektronische Dokumente ausdrücklich erwähnt. Dazu kommen die revidierten Bestimmungen des Obligationenrechts OR über die kaufmännische Buchführung, Artikel 957 bis 963. Die wichtigsten Punkte:


• Elektronisch oder in vergleichbarer Weise aufbewahrte Geschäftsbücher, Buchungsbelege und Geschäftskorrespondenzen haben die gleiche Beweiskraft wie solche, die ohne Hilfsmittel lesbar sind (Art. 957 Abs. 4 OR). Als «Geschäftskorrespondenzen» gelten sämtliche Dokumente zu geschäfts- und bilanzrelevanten Aktivitäten – also neben der eigentlichen Buchhaltung auch Offerten, Rechnungen und anderweitige Kommunikation mit Geschäftspartnern, die heute oft per E-Mail erledigt werden.


• Zur Aufbewahrung von Unterlagen sind zwei Arten von Informationsträgern zulässig: unveränderbare Informationsträger wie Papier, Mikrofilm sowie «unveränderbare Datenträger» (Art. 9 GeBüV), das heisst Speichermedien, deren Inhalt nicht geändert oder gelöscht werden kann, ohne dass die Änderung oder Löschung auf dem Datenträger nachweisbar ist. WORM, CD/DVD-ROM und CD/DVD-R sind somit unveränderbar, CD/DVD-RW, DVD-RAM und so weiter sind es nicht. Solche «veränderbare Informationsträger» sind nur zugelassen, wenn verschiedene Bedingungen erfüllt sind. So muss die Integrität der Informationen zum Beispiel mit Signaturverfahren garantiert sein und der Zeitpunkt der Speicherung unverfälschbar nachgewiesen werden können.


• Bei der Umsetzung der elektronischen Buchführung sind die «Grundsätze der ordnungsgemässen Datenverarbeitung» zu beachten (Art. 2 bis 4 GeBüV).
3 Die Verordnung stellt ferner Ansprüche an die Echtheit und Unverfälschbarkeit der Unterlagen: Buchführung und Aufbewahrung müssen laut Artikel 3 so erfolgen, dass sich Änderungen im nachhinein feststellen lassen. Diese Anordnung ist in der 2002er-Version der GeBüV neu. Artikel 4 regelt zudem die Dokumentation der technischen und organisatorischen Verfahren, Abläufe und Zuständigkeiten, die bei der Aufbewahrung der Geschäftsbücher zur Anwendung kommen.


• Die GeBüV umschreibt ausserdem neu einige Grundsätze der ordnungsgemässen Aufbewahrung, darunter namentlich eine «allgemeine Sorgfaltspflicht» sowie die Verfügbarkeit der aufbewahrten Informationen.
Gesetz und Verordnung kümmern sich dabei nicht um technische oder organisatorische Details, sondern verweisen auf «anerkannte Regelwerke und Fachempfehlungen». Dazu zählen internationale Normen wie der «Standard for Managing Business Records» ISO 15489, aber auch gesetzliche und halbgesetzliche, international gebräuchliche Regelungen wie Basel II und Sarbanes-Oxley, sofern sie für die Aktivitäten des jeweiligen Unternehmens von Belang sind.


Schriftgutverwaltung ist Chefsache

Besondere Bedeutung kommt der explizit geforderten Sorgfaltspflicht zu: Die Unternehmensverantwortlichen, namentlich die Geschäftsleitung und der Verwaltungsrat, tragen bei Nichteinhaltung der Vorschriften direkt die Konsequenzen, und zwar auch strafrechtlich und höchstpersönlich. Artikel 325 des Strafgesetzbuchs sieht Haft oder saftige Bussen vor, wenn die Geschäftsbücher vorsätzlich oder fahrlässig nicht korrekt geführt werden oder die Aufbewahrungspflicht nicht erfüllt wird.






Nicht zuletzt im ureigensten Eigeninteresse sollten CEOs und Verwaltungsräte sich also eingehend um die Schriftgutverwaltung in ihrem Unternehmen kümmern. Letzten Endes steht immer der Chef für die Aktivitäten der Firma gerade – weder Unkenntnis der Vorschriften noch Unfähigkeiten oder Vergehen anderer Mitarbeiter entbinden die Unternehmensleitung von ihrer Verantwortung.
Das war auch vor der elektronischen Buchführung schon so, mit der IT kommen aber neue Möglichkeiten und Risiken hinzu: Die Unternehmensprozesse zur Schriftgutverwaltung müssen angepasst oder überhaupt erst definiert werden, falls bisher ohne detailliertes Konzept gearbeitet wurde.


Compliance International

Neben OR und GeBüV sind dabei auch weitere Vorschriften wie Datenschutzgesetz, Geldwäschereigesetz, Bankengesetz und Produktehaftpflichtgesetz zu berücksichtigen – und zwar je nach Art und Aktivitätsradius nicht nur die schweizerischen, sondern auch internationale Regelungen wie das EU-Recht und US-Gesetze, die zwar nicht direkt in der Schweiz gelten, die stark exportorientierte Schweizer Wirtschaft aber mitbetreffen. Insbesondere drei Begriffe machen hier Schlagzeilen:


• ISO 15489-1 hat zwar keine direkte Gesetzeskraft, darf aber als eines der «anerkannten Regelwerke» gelten, auf die die GeBüV Bezug nimmt. Diese ISO-Norm regelt den Umgang mit Informationen in Unternehmen und öffentlichen Einrichtungen und gilt sowohl für papiergebundene als auch für digitale Dokumente. Von Grundsätzen, Zielvorgaben und Verantwortlichkeiten über die daraus folgenden Anforderungen, die Konzeption und Entwicklung eines Schriftgutverwaltungssystems bis zur Aus- und Weiterbildung befasst sich ISO 15489-1 mit sämtlichen Aspekten der Schriftgutverwaltung.
Besonderes Augenmerk geniessen die organisatorischen Prozesse sowie deren Überwachung und Prüfung. Wie andere ISO-Normen ist dieser Standard zertifikationsfähig. Vor allem im internationalen Verkehr dürfte ein ISO-15489-Zertifikat in Zukunft wichtig werden – ähnlich wie die für eine Geschäftspartnerschaft heute vielfach vorausgesetzten ISO-9000-Zertifikate. Auch die Schweizer E-Government-Organisation eCH empfiehlt ISO 15489 unter dem Label «eCH-002.» Als erster Kanton verlangt Baselland in der Verordnung über die Aktenführung, dass die eingesetzten technischen Mittel ISO 15489-1 erfüllen.


• Basel II betrifft direkt in erster Linie die Banken und soll bis 2006 in über 100 Ländern gelten. Das Ziel dieses Regelwerks ist die Verbesserung des Risikomanagements bei kreditgebenden Institutionen. Basel II fusst auf drei Prinzipien: Erstens muss der Verwaltungsrat die operationellen Risiken kennen und die fürs Risikomanagement getroffenen Massnahmen genehmigen und periodisch überprüfen. Der Verwaltungsrat sorgt zweitens dafür, dass dieses Risk Management Framework durch unabhängiges Personal überwacht wird, das sonst nicht direkt ins Risikomanagement involviert ist. Drittens trägt die Geschäftsleitung die Verantwortung dafür, dass das vom Verwaltungsrat genehmigte Risk Management Framework auch tatsächlich implementiert wird.
Ohne umfassende Kenntnis über den Kreditnehmer lässt sich jedoch kein vernünftiges Risikomanagement betreiben – und damit wirkt sich Basel II auch auf die Kunden der Banken aus, die rund um ein Kreditgesuch künftig wesentlich mehr Informationen über den Geschäftsgang preisgeben müssen. Das kann so weit gehen, dass die Bank Einsicht in Daten aus dem ERP-System verlangt, die dazu natürlich langfristig gespeichert und in einer bequem zugänglichen Form bereitgehalten werden müssen.


• Die Einhaltung des Sarbanes-Oxley Act SOX, von der US-Börsenaufsichtsbehörde SEC festgeschrieben, ist per Ende 2004 für alle US-Firmen und ab Ende 2005 auch für internationale Unternehmen Pflicht, die an US-Börsen gehandelt werden. SOX ist unter anderem als Reaktion auf das mehr als zweifelhafte Geschäftsgebaren zu verstehen, das sich in den USA bei Firmen wie Enron breitgemacht hat. Im Zentrum von SOX stehen die Qualität, Integrität und Genauigkeit der Finanzinformationen, die das Unternehmen publiziert.
Dazu verlangt SOX vom Management eine regelmässige Beurteilung der internen Kontrollmechanismen. Für dieses Assessment muss ein bewährtes und anerkanntes Framework benutzt werden; SOX nennt als eine Möglichkeit das Regelwerk der privatwirtschaftlich organisierten Selbstkontrollorganisation COSO.
Korrekte Finanzinformationen hängen weitgehend von den IT-Systemen ab – sie stellen die benötigten Informationen bereit und sorgen für Integrität, Sicherheit und Datenschutz. SOX hat somit wie Basel II und ISO 15489 mehr oder weniger direkte Auswirkungen auf die Unternehmens-IT: Auf der IT-Seite lassen sich die fünf Komponenten des allgemeingültigen COSO-Framework auf das IT-Governance-Modell Cobit übertragen, das den Lebenszyklus von IT-Systemen von der Planung bis zum Monitoring abdeckt.
Standards wie COSO und Cobit, ursprünglich in den USA für die US-Wirtschaft entwickelt, dürften mit der Zeit über den Umweg US-kotierter internationaler Unternehmen auch in Europa und der Schweiz vermehrte Bedeutung erlangen.


Was macht die IT compliant?

Ob GeBüV, Basel II oder SOX: Gegenüber früher werden die Business-Usanzen künftig wesentlich rigider gehandhabt. Für die IT ergeben sich daraus drei Konsequenzen:


• Die Datenmenge steigt. Wenn jede halbwegs geschäftliche E-Mail in einem vielleicht Jahre später stattfindenden Prozess eine Rolle spielen kann, muss sie langfristig gespeichert werden. Dasselbe gilt für alle unstrukturierten Dokumente wie Geschäftsbriefe und Faxe, aber auch für Transaktionsdaten aus dem ERP-System und, siehe Produkthaftpflicht, für Ergebnisse von Stichprobentests und Analysen aus der Qualitätskontrolle. Genügten in der Vergangenheit ein paar Megabyte, wächst der Datenvorrat im regelkonformen Unternehmen bald in den Terabyte-Bereich.


• Die Daten müssen rasch und unkompliziert verfügbar sein. Interne und externe Kontrollen durch Business-Intelligence-Tools setzen den Zugang zu den zugrundeliegenden Daten voraus. Im Kreditgeschäft zum Beispiel sollten mindestens drei Jahre an Firmenhistorie zur Auswertung bereitstehen. Mit Daten, die zuerst aus einem herkömmlichen Backup extrahiert werden müssen, ist dies in akzeptabler Frist unmöglich.
Andererseits kommt es selbst mit den stetig sinkenden Harddisk-Preisen ziemlich teuer, jahrelang alle Daten auf den schnellsten Disk-Arrays zu speichern – wesentlich sinnvoller ist eine hierarchisch organisierte, stufenweise Migration von schnellen Online- über günstigere, etwas langsamere Nearline-Storage-Systeme bis zum letzendlichen Tape-Backup. Ebenso wichtig ist die passende Software: Technologien wie Snapshots erlauben es, den aktuellen Stand festzuhalten und später aus den mittlerweile weiter migrierten Daten automatisch wiederherzustellen. Ein Data Warehouse stellt die Transaktionsdaten des ERP-Systems getrennt von dessen Live-Datenbanken zur Verfügung und verbessert so die Gesamtperformance.






Die Storage-Industrie spricht zusammengefasst von «Information Lifecycle Management» oder ILM. Sie fasst unter diesem neuesten Hype-Begriff zahlreiche eigentlich schon länger verfügbare Technologien wie Virtualisierung, HSM, Snapshots, Data Warehousing, Document Management und Backup-to-Disk zusammen. Gegenüber den früheren HSM-Lösungen, bei denen die Migration einzelner Dateien nach dem Motto «was älter ist als drei Monate, kommt auf Tape» ausschlieslich aufgrund eines Zeitstempels erfolgte, kommen im ILM-Umfeld allerdings weitere Parameter ins Spiel, die eine nutzengerechtere Migration erlauben.


• Ohne Prozesse keine Compliance. Die beste ILM-Lösung bringt nichts, wenn nicht vom geschäftlichen Ablauf her klar ist, welche Daten wann und wo benötigt werden und wer wofür verantwortlich ist. Mit anderen Worten: Genügten bisher ad hoc zusammengebastelte Workflows, müssen die Prozesse haargenau definiert und auf die IT-Systeme abgebildet werden, bevor an die Erfüllung von Standards und Vorschriften überhaupt zu denken ist. Genauso wichtig wie die Definition ist die Überwachung der Prozesse: Fehler im Ablauf müssen schnellstmöglich erkannt und behoben werden. Monitoring-Software kann dabei helfen.


Speichern oder Archivieren?

Die Begriffe «speichern» und «archivieren» werden oft synonym verwendet. Etwas genauer betrachtet, lassen sich bis zu vier Stufen der Speicherung von Dokumenten, E-Mails und anderen Informationen unterscheiden:



Temporäre Speicherung: Die Daten liegen zum vorübergehenden Zugriff auf einem Speichermedium, typischerweise der Festplatte des eigenen PC, und werden wieder gelöscht, sobald sie nicht mehr unmittelbar benötigt werden.



Permanente Speicherung: Die zeitlich unbefristete Speicherung auf einem beliebigen Medium wie Festplatte, CD/DVD-ROM/RW, MO-Disk oder Speicherkarte.



Rechtskonforme Aufbewahrung: Wenn die GeBüV von Aufbewahrung spricht, meint sie die Speicherung von Informationen unter drei Bedingungen: Die gesetzlichen Auflagen punkto Aufbewahrungsfristen etc. müssen erfüllt sein, die Daten müssen originalkonform gespeichert sein und jederzeit reproduziert werden können. Idealerweise wird dazu ein unveränderbarer Datenträger eingesetzt.



Archivierung: Strenggenommen ist darunter ausschliesslich die selektive Archivierung bestimmter Informationen zur späteren wissenschaftlichen Auswertung zu verstehen. Der öffentliche Sektor kennt dazu Archivgesetze – der Staat legt genau fest, welche öffentlichen Informationen der Nachwelt erhalten bleiben müssen.





Relevante Regelwerke zur Geschäftsführung

(ubi)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER