Luzerner Tage für Informationssicherheit LUTIS 2007 mag. iur. Maria Winkler IT & Law Consulting GmbH

Agenda Änderungen bei der Umsetzung von Art. 404 des Sarbanes Oxley Act Neue Revisions- und Rechnungslegungs-Vorschriften in der Schweiz Basel II wurde auf 01. Januar 2007 in Kraft gesetzt ISO 15 489 Records Management - was beinhaltet er? Übungsbeispiel: Vorgehen bei der Erstellung einer Weisung für die elektronische Archivierung Elektronische Signatur - neue TAV Spam-Verbot am 01. April 2007 in Kraft gesetzt

Änderungen bei der Umsetzung von Artikel 404 des Sarbanes Oxley Acts Die SEC schätzte bei der Einführung, dass die durchschnittlichen jährlichen Folgekosten für die Einführung von Art. 404 des SÒX umgerechnet ca. CHF 113‘000.00 pro Unternehmen kosten werden- tatsächlich betragen die durchschnittlichen Folgekosten CHF 4,7 Mio Die SEC bezog dabei die zusätzlichen Prüfhonorare für die Prüfung des IKS nicht ein - diese machen aber ein Drittes der Folgekosten von Art. 404 aus! Wegen der hohen Folgekosten wurde im Dezember 2006 das In Kraft treten von Artikel 404 für kleinere Unternehmen und ausländische Unternehmen verschoben

Gesetzliche Neuerungen Securities and Exchange Commission (SEC) Verordnungsentwurf für die Beurteilung des IKS für die Rechnungslegung durch die Geschäftsleitung Verordnungsentwurf für die Deregistrierung von von bei der SEC registrierten Wertpapieren Public Company Accounting Oversight Board (PCAOB) Entwurf eines überarbeiteten Prüfungsstandards für die Prüfung des IKS für die Rechnungslegung durch den Abschlussprüfer

Art. 404 des SOX Der Jahresbericht muss einen Bericht über die Wirksamkeit des IKS für die Rechnungslegung beinhalten Einrichtung und Unterhalt des IKS müssen in der Verantwortung der Geschäftsleitung sein Die Geschäftsleitung muss die Wirksamkeit des IKS für die Rechnungslegung beurteilen Der Abschlussprüfer muss die Beurteilung der Geschäftsleitung prüfen und beurteilen

Anwendbarkeit des SOX Der Sarbanes Oxley Act gilt für Unternehmen, deren Aktien an einer US-Börse gehandelt werden, sowie für deren Tochtergesellschaften (wegen des Erfordernisses eines konsolidierten Jahresabschlusses) Ausserbörslicher Handel von Wertpapieren mit Eigenkapitalcharakter bei Überschreiten von gewissen Schwellenwerten Öffentliches Angebot von Wertpapieren in den USA

Deregistrierung Will sich ein Unternehmen dem SOX entziehen, dann muss es sich vom Kapitalmarkt der USA zurückziehen! Das war bisher sehr schwierig, zudem die Pflicht zur Einreichung periodischer Berichte an die SEC nur ruht und niemals erlischt Neu soll die Deregistrierung von Wertpapieren für ausländische Unternehmen leichter möglich sein und die Pflicht zur Berichterstattung an die SEC erlöschen

Safe Harbor für die Beurteilung der Wirksamkeit des IKS durch die GL Ein neuer Verordnungsentwurf legt interpretierende Richtlinien für die Beurteilung der Wirksamkeit des IKS durch die Geschäftsleitung fest Wenn die Geschäftsleitung diese anwendet, dann hat sie die Sicherheit, ihre Verpflichtung zur Beurteilung der Wirksamkeit des IKS erfüllt zu haben Diese Verordnung bringt mehr Rechtssicherheit!

Prüfungsstandard des PCAOB Wegfallen des Prüfurteils des Abschlussprüfers zur Beurteilung der Wirksamkeit des IKS für die Rechnungslegung durch die Geschäftsleitung Stärkere Verwendbarkeit der Arbeit der Geschäftsleitung und der internen Revision

Fazit Die neuen Vorschriften erhöhen den Ermessensspielraum des Abschlussprüfers und der Geschäftsleitung Ob sich das auch auf die Revisionshonorare und sonstigen Kosten auswirken wird, ist noch nicht abzusehen Verbindliche Verordnungen schaffen mehr Rechtssicherheit

Neue Rechtslage in der Schweiz Neue Revisionsvorschriften (Art. 728a revOR) machen ein IKS zwingend Verantwortung des Verwaltungsrates für das IKS (Art. 716a revOR) Die konkrete Umsetzung ist zur Zeit noch in Diskussion!

Neue Revisionsvorschriften Art. 728a rev. OR 1 Die Revisionsstelle prüft, ob: 1. Die Jahresrechnung und gegebenenfalls die Konzernrechnung den gesetzlichen Vorschriften, den Statuten und dem gewählten Regelwerk entsprechen; 2. Der Antrag des Verwaltungsrats an die Generalversammlung über die Verwendung des Bilanzgewinnes den gesetzlichen Vorschriften und den Statuten entspricht; 3. Ein internes Kontrollsystem existiert. 2 Die Revisionsstelle berücksichtigt bei der Durchführung und bei der Festlegung des Umfangs der Prüfung das interne Kontrollsystem. 3 Die Geschäftsführung des Verwaltungsrats ist nicht Gegenstand der Prüfung der Revisionsstelle.

Existenz einer IKS Die Revisionsgesellschaften sind sich darüber uneinig, ob sie nur im Sinne einer „formellen“ Prüfung die Existenz eines IKS bestätigen müssen, oder ob sie auch eine „materielle“ Prüfung vornehmen und bestätigen müssen, dass das IKS funktioniert Der neue Prüfungsstandard der Treuhandkammer geht von einer materiellen Prüfpflicht aus!

Verantwortung des VR für ein IKS Die Implementierung eines funktionierenden IKS gehört neu zu den unübertragbaren und unentziehbaren Aufgaben des Verwaltungsrats (Art. 716a revOR) Ein funktionierendes IKS ist neu auch laut Gesetz als Bestandteil guter Corporate Governance zu sehen Es gibt keine gesetzliche Definition, was ein IKS beinhaltet und wann es als „funktionierendes IKS“ bezeichnet werden kann

Definition des IKS die Ordnungsmässigkeit die Sicherheit Ein IKS umfasst alle planmässig angeordneten Vorgänge, Methoden und Massnahmen, die dazu dienen, die Ordnungsmässigkeit die Sicherheit und die Wirtschaftlichkeit der Unternehmenstätigkeit sicherzustellen

IKS Es gibt kein „Muster-IKS“ Jedes Unternehmen muss das eigene IKS je nach grösse, Struktur, Komplexität, Art und Ausmass der Risiken sowie dem wirtschaftlichen, technischen, regulatorischen, ökologischen und sozialen Umfeld der Unternehmung festlegen

Verantwortung von VR und GL Der VR muss gemäss Art. 663b Ziff. 12 revOR im Anhang der Jahresrechnung Angaben über die Durchführung einer Risikobeurteilung machen - dabei sind die Bedingungen im technischen, wirtschaftlichen, sozialen und politischen Umfeld darzulegen, da diese sich sehr rasch ändern Es ist somit zentrale Führungsaufgabe des VR, ein IKS und ein Risk-Management-System zu implementieren und die wesentlichen Risiken des Unternehmens zu identifizieren! Die GL muss die vom VR festgelegte Strategie umsetzen

Haftung des VR gemäss Art. 754 OR 1 Die Mitglieder des Verwaltungsrates und alle mit der Geschäftsführung oder mit der Liquidation befassten Personen sind sowohl der Gesellschaft als den einzelnen Aktionären und Gesellschaftsgläubigern für den Schaden verantwortlich, den sie durch absichtliche oder fahrlässige Verletzung ihrer Pflichten verursachen. 2 Wer die Erfüllung einer Aufgabe befugterweise einem anderen Organ überträgt, haftet für den von diesem verursachten Schaden, sofern er nicht nachweist, dass er bei der Auswahl, Unterrichtung und Überwachung die nach den Umständen gebotene Sorgfalt angewendet hat.

Fazit Die neuen Revisions- und Rechnungslegungs-Vorschriften sollen mehr Sicherheit für die Aktionäre bringen Zur zeit bestehen allerdings noch einige Unsicherheiten bei der Auslegung und der Umsetzung dieser Vorschriften Es ist zu erwarten, dass die Revision für die Unternehmen in Zukunft teurer wird, da die Wirtschaftsprüfer die neuen Vorschriften als Ausweitung ihres gesetzlichen Prüfauftrages interpretieren

Basel II-Abkommen Banken müssen bei ihrer Eigenmittel-hinterlegung sowohl das Kreditrisiko als auch das operationelle Risiko des Kreditnehmers berücksichtigen. Ein höheres operationelles Risiko des Kreditnehmers bedeutet für diesen somit höhere Kreditkosten.

Geltungsbereich Basel II regelt für die Banken neu die Unterlegung der Risiken mit Eigenmitteln Der Bundesrat hat Basel II am 29.09.2006 gutgeheissen und auf den 01.01.2007 in Kraft gesetzt Basel II ist kein völkerrechtlich verbindliches Abkommen In der Schweiz ist keine Gesetzesänderung nötig, die Umsetzung erfolgt auf Verordnungsstufe Die EBK hat einen Entwurf ausgearbeitet

Risikomanagement Die neuen Vorschriften wurden mit der wachsenden Technologie-Abhängigkeit der Geschäftsprozesse und der zunehmenden Komplexität der Bankgeschäfte begründet Kreditnehmer müssen neu nicht nur über ihre finanzielle Situation sondern auch über ihre Geschäftsprozesse und operationellen Risiken Auskunft geben Unternehmen mit einem guten Rating profitieren von tieferen Zinsen

Basel II: Risiken Standardverfahren Neu Kreditrisiken Marktrisiken Operationelle Risiken Standardverfahren Neu

Basel II: Operationelle Risiken Risiko von Verlusten, die in Folge der Unangemessenheit oder des Versagens interner Verfahren, Menschen, Systeme oder in Folge von externen Ereignissen eintreten Rechtliche Risiken eingeschlossen Ohne strategische und reputationelle Risiken

ISO 15 489 Records Management ISO 15 489 besteht aus 2 Teilen (General und Guidelines) Die Norm ISO 15 489 regelt die Verwaltung und Aufbewahrung von Unterlagen, die bei privaten und öffentlichen Organisationen für den internen und externen Gebrauch entstehen. Sie gilt für die Verwaltung von Schriftgut in allen Formen und Medien. Die Grundsätze der Schriftgutverwaltung sind auf höchster Entscheidungsebene zu erlassen und sollen aus einer Analyse der Geschäftsabläufe abgeleitet werden Die Norm verlangt, zur Erstellung, Führung und Bewahrung authentischer, aussagefähiger, zuverlässiger und benutzbarer Unterlagen ein Schriftgutverwaltungsprogramm einzuführen

ISO 15 489 - die Führung und Aufbewahrung von Dokumenten Die Norm regelt die aktive Phase von Dokumenten, die Archivierung selbst wird nicht explizit geregelt Die Vorschriften über die Aufbewahrung betreffen in erster Linie das Halten von Geschäftsdokumenten in einem Ablagesystem bis zur Aussonderung und Ablieferung an das Archiv Es ist dennoch empfehlenswert, ISO 15 489 im Zusammenhang mit reinen „Archivierungsprojekten“ zu berücksichtigen - Voraussetzung dafür, dass einzelne Geschäftsfälle während der gesamten gesetzlichen Aufbewahrungsfrist nachweisbar in Dokumenten festgehalten werden ist, dass diese Dokumente zunächst während der aktiven Phase erstellt und aufbewahrt werden!

ISO 15 489 - Merkmale von Schriftgut Organisationen sollen im Zuge der Aufgabenerledigung authentische, aussagefähige, zuverlässige und benutzbare Unterlagen erstellen und führen Zudem muss die Integrität der Unterlagen geschützt werden, solange sie benötigt werden Zu diesem Zweck soll die Organisation ein Programm zur Schriftgutverwaltung einführen Die Grundsätze, die Zielvorgaben sowie die Verantwortlichkeiten müssen festgelegt werden

Beispiel: Data Retention Policy Es wird verbindlich geregelt, welche Dokumente wie lange und in welcher Form aufbewahrt werden müssen Zusätzlich sollten die Arbeitnehmer regelmässig geschult werden Die Einhaltung der Weisung muss kontrolliert werden

Buchführungspflicht Unternehmen, die verpflichtet sind, sich in das Handelsregister eintragen zu lassen, müssen diejenigen Bücher ordnungsgemäss führen und aufbewahren, die Auskunft über die Vermögenslage, die Schuld- und Forderungsverhältnisse sowie das Geschäftsergebnis geben (Art. 957 Abs. 1 OR).

Aufbewahrungspflichtige Dokumente Betriebsrechnung und Bilanz schriftlich und unterzeichnet im Original Bücher, Buchungsbelege und die Geschäftskorrespondenz elektronisch oder in vergleichbarer Weise in der Regel 10 Jahre Zusätzlich sind Spezialgesetze zu beachten!

Folgen bei Nichtbeachtung Verstoss gegen die Grundsätze der ordnungsgemässen Buchführung bzw. ordnungswidrige Führung der Geschäftsbücher erfüllt unter anderem die Tatbestände der Artikel 166 und/oder 325 StGB. Evtl. Verlust von Forderungen mangels gültiger Beweise

Verantwortung Verantwortlich für die Einhaltung der Buchführungsvorschriften ist die Person, welche im Unternehmen diese Aufgabe ausübt Ist diese Person nicht sorgfältig instruiert, kontrolliert oder wurde sie nicht sorgfältig ausgewählt, dann liegt die Verantwortung bei Geschäftsführung und Verwaltungsrat Es können auch mehrere Personen haftbar sein!

Übungsbeispiel-I Die Mega-Steel AG ist ein Unternehmen, welches weltweit im Bereich der Herstellung und dem Vertrieb von Stahl tätig ist. Der Sitz des Unternehmens befindet sich in Zürich. Zudem hat die Mega-Steel AG Tochtergesellschaften und Beteiligungen an Unternehmen in Deutschland, Schweden sowie in Bulgarien. Die Mega-Steel AG in Zürich führt neu ein Dokumenten-Management-System ein, welches die zentrale Verwaltung der geschäftsrelevanten Dokumente wesentlich erleichtert. Bestimmte Ablagestrukturen sowie die Regelung von Zugriffsberechtigungen bestehen jedoch nicht. Das Unternehmen in ZH ist in 8 Organisationseinheiten gegliedert, jeder Organisationseinheit ist Speicherplatz auf einem bestimmten Laufwerk zugewiesen.

Übungsbeispiel-II Zur Zeit werden am Hauptsitz in Zürich alle Dokumente in Papierform archiviert. Zusätzlich wird ein neues elektronisches Archiv integriert. Es ist geplant, in Zukunft immer mehr Dokumente elektronisch zu archivieren. Zunächst werden nur die Kreditorenrechnungen eingescannt und elektronisch abgelegt. Die Originale werden weggeworfen. Für die Tochter- und Beteiligungsgesellschaften kann davon ausgegangen werden, dass sie ein DMS haben und die Daten in Papierform archivieren. Einige haben auch ein elektronisches Archiv. E-Mails werden in allen Gesellschaften auf separaten Datenträgern gesichert und für 3 Jahre auf separaten Datenträgern abgelegt. Anschliessend werden sie gelöscht.

Übungsbeispiel-III Die Mega-Steel AG möchte nun verbindliche Regelungen für die Archivierung von Dokumenten erlassen, welche für alle Gesellschaften der gesamten Gruppe Gültigkeit haben sollen. Sie werden gebeten, eine Aussage darüber zu machen, wie die Mega-Steel AG grundsätzlich vorgehen soll. Sie erhalten einen Auszug der ISO-Norm 15 489 (Seiten 12 und 13 des 1. Teils) - erachten Sie diese Vorschriften als relevant? Wenn ja - in welchem Dokument würden Sie diese Vorschriften integrieren und wie? Wenn nein - warum nicht? Erarbeiten Sie in Gruppen zu ca. 4 Personen einen Vorschlag, welche Dokumente mit welchen wesentlichen Inhalten die Mega-Steel AG erstellen soll, um das angestrebte Ziel zu erreichen. Jede Gruppe präsentiert am Schluss ihren Vorschlag und erklärt die wesentlichen Gründe für das vorgeschlagene Vorgehen. Ich stehe Ihnen dauernd für Auskünfte und Diskussionen zur Verfügung.

Elektronische Signatur Auf den 01. Dezember 2006 wurde eine revidierte Version der TAV in Kraft gesetzt - die Anpassungen waren auf Grund der Erfahrungen mit den ersten Anerkennungsverfahren nötig Die neuen TAV enthalten in erster Linie eine Präzisierung bestimmter Abschnitte der TAV Im Bereich e-invoicing wartet man immer noch auf den Erlass von ElDI-V 2 - die anerkannten Anbieter von Zertifizierungsdiensten vereinbaren in der Zwischenzeit bilateral mit dem EFD, ob ihre Zertifikate bereits ElDI-V 2 erfüllen

Qualifiziertes Zertifikat für juristische Personen? Neu werden die Gesetzesbestimmungen so interpretiert, dass ein qualifiziertes Zertifikat auch für eine juristische Person ausgestellt werden kann Ein qualifiziertes Zertifikat kann auch einer natürlichen Person zugewiesen sein, die eine juristische Person vertritt - in diesem Fall ist es möglich, im Zertifikat die Eigenschaften der natürlichen Person und den Namen der juristischen Person zu nennen! Es ist auch möglich, die natürliche Person nur per Pseudonym zu bezeichnen - dadurch kann es mehrere Zertifikate mit dem selben Gesellschaftsnamen aber mit unterschiedlichen Pseudonymen geben Wenn auf einen HR-Eintrag verwiesen wird, ist kein Pseudonym möglich!

Spam-Verbot Seit 01. April 2007 ist gemäss Art. 3 Best. o UWG der automatische Massenversand von Werbung per E-Mail, SMS, Fax oder Telefon nur dann erlaubt, wenn die Empfänger ausdrücklich zugestimmt haben (Opt-in-System) Ausnahme: Wenn bei einem Kauf die Adresse angegeben wird, dann kann Werbung für gleichartige Produkte gesendet werden Der Absender muss genannt sein und es muss eine einfache und kostenlose Möglichkeit geben, weitere Nachrichten abzulehnen Gemäss Art. 88 der Verordnung über Fernmeldedienste sind die Kunden berechtigt, in einem Verzeichnis zu kennzeichnen, dass sie keine Werbung erhalten wollen

IT & Law Consulting GmbH Fragen ? mag. iur. Maria Winkler IT & Law Consulting GmbH Schanz 4 6300 Zug www.itandlaw.ch