mag. iur. Maria WinklerIT & Law Consulting GmbH

Luzerner Tage für InformationssicherheitLUTIS 2007

Agenda Änderungen bei der Umsetzung von Art. 404 des Sarbanes Oxley Act Neue Revisions- und Rechnungslegungs-Vorschriften in der Schweiz Basel II wurde auf 01. Januar 2007 in Kraft gesetzt ISO 15 489 Records Management - was beinhaltet er? Übungsbeispiel: Vorgehen bei der Erstellung einer Weisung für die

elektronische Archivierung Elektronische Signatur - neue TAV Spam-Verbot am 01. April 2007 in Kraft gesetzt

Änderungen bei der Umsetzung von Artikel 404 des Sarbanes Oxley Acts Die SEC schätzte bei der Einführung, dass die durchschnittlichen

jährlichen Folgekosten für die Einführung von Art. 404 des SÒX umgerechnet ca. CHF 113‘000.00 pro Unternehmen kosten werden- tatsächlich betragen die durchschnittlichen Folgekosten CHF 4,7 Mio

Die SEC bezog dabei die zusätzlichen Prüfhonorare für die Prüfung des IKS nicht ein - diese machen aber ein Drittes der Folgekosten von Art. 404 aus!

Wegen der hohen Folgekosten wurde im Dezember 2006 das In Kraft treten von Artikel 404 für kleinere Unternehmen und ausländische Unternehmen verschoben

Gesetzliche Neuerungen

Securities and Exchange Commission (SEC) Verordnungsentwurf für die Beurteilung des IKS für die

Rechnungslegung durch die Geschäftsleitung Verordnungsentwurf für die Deregistrierung von von bei der SEC

registrierten Wertpapieren

Public Company Accounting Oversight Board (PCAOB) Entwurf eines überarbeiteten Prüfungsstandards für die Prüfung des

IKS für die Rechnungslegung durch den Abschlussprüfer

Art. 404 des SOX

Der Jahresbericht muss einen Bericht über die Wirksamkeit des IKS für die Rechnungslegung beinhalten

Einrichtung und Unterhalt des IKS müssen in der Verantwortung der Geschäftsleitung sein

Die Geschäftsleitung muss die Wirksamkeit des IKS für die Rechnungslegung beurteilen

Der Abschlussprüfer muss die Beurteilung der Geschäftsleitung prüfen und beurteilen

Anwendbarkeit des SOX

Der Sarbanes Oxley Act gilt für Unternehmen, deren Aktien an einer US-Börse gehandelt

werden, sowie für deren Tochtergesellschaften (wegen des Erfordernisses eines konsolidierten Jahresabschlusses)

Ausserbörslicher Handel von Wertpapieren mit Eigenkapitalcharakter bei Überschreiten von gewissen Schwellenwerten

Öffentliches Angebot von Wertpapieren in den USA

Deregistrierung

Will sich ein Unternehmen dem SOX entziehen, dann muss es sich vom Kapitalmarkt der USA zurückziehen!

Das war bisher sehr schwierig, zudem die Pflicht zur Einreichung periodischer Berichte an die SEC nur ruht und niemals erlischt

Neu soll die Deregistrierung von Wertpapieren für ausländische Unternehmen leichter möglich sein und die Pflicht zur Berichterstattung an die SEC erlöschen

Safe Harbor für die Beurteilung der Wirksamkeit des IKS durch die GL Ein neuer Verordnungsentwurf legt interpretierende

Richtlinien für die Beurteilung der Wirksamkeit des IKS durch die Geschäftsleitung fest

Wenn die Geschäftsleitung diese anwendet, dann hat sie die Sicherheit, ihre Verpflichtung zur Beurteilung der Wirksamkeit des IKS erfüllt zu haben

Diese Verordnung bringt mehr Rechtssicherheit!

Prüfungsstandard des PCAOB

Wegfallen des Prüfurteils des Abschlussprüfers zur Beurteilung der Wirksamkeit des IKS für die Rechnungslegung durch die Geschäftsleitung

Stärkere Verwendbarkeit der Arbeit der Geschäftsleitung und der internen Revision

Fazit

Die neuen Vorschriften erhöhen den Ermessensspielraum des Abschlussprüfers und der Geschäftsleitung

Ob sich das auch auf die Revisionshonorare und sonstigen Kosten auswirken wird, ist noch nicht abzusehen

Verbindliche Verordnungen schaffen mehr Rechtssicherheit

Neue Rechtslage in der Schweiz

Neue Revisionsvorschriften (Art. 728a revOR) machen ein IKS zwingend

Verantwortung des Verwaltungsrates für das IKS (Art. 716a revOR)

Die konkrete Umsetzung ist zur Zeit noch in Diskussion!

Neue Revisionsvorschriften

Art. 728a rev. OR

1 Die Revisionsstelle prüft, ob:

1. Die Jahresrechnung und gegebenenfalls die Konzernrechnung den gesetzlichen Vorschriften, den Statuten und dem gewählten Regelwerk entsprechen;

2. Der Antrag des Verwaltungsrats an die Generalversammlung über die Verwendung des Bilanzgewinnes den gesetzlichen Vorschriften und den Statuten entspricht;

3. Ein internes Kontrollsystem existiert. 2 Die Revisionsstelle berücksichtigt bei der Durchführung und bei der Festlegung des

Umfangs der Prüfung das interne Kontrollsystem.3 Die Geschäftsführung des Verwaltungsrats ist nicht Gegenstand der Prüfung der

Revisionsstelle.

Existenz einer IKS

Die Revisionsgesellschaften sind sich darüber uneinig, ob sie nur im Sinne einer „formellen“ Prüfung die Existenz eines IKS bestätigen müssen, oder ob sie auch eine „materielle“ Prüfung vornehmen und bestätigen müssen, dass das IKS funktioniert

Der neue Prüfungsstandard der Treuhandkammer geht von einer materiellen Prüfpflicht aus!

Verantwortung des VR für ein IKS

Die Implementierung eines funktionierenden IKS gehört neu zu den unübertragbaren und unentziehbaren Aufgaben des Verwaltungsrats (Art. 716a revOR)

Ein funktionierendes IKS ist neu auch laut Gesetz als Bestandteil guter Corporate Governance zu sehen

Es gibt keine gesetzliche Definition, was ein IKS beinhaltet und wann es als „funktionierendes IKS“ bezeichnet werden kann

Definition des IKS

Ein IKS umfasst alle planmässig angeordneten Vorgänge, Methoden und Massnahmen, die dazu dienen,

die Ordnungsmässigkeit die Sicherheit und die Wirtschaftlichkeit der Unternehmenstätigkeit

sicherzustellen

IKS Es gibt kein „Muster-IKS“ Jedes Unternehmen muss das eigene IKS je nach grösse,

Struktur, Komplexität, Art und Ausmass der Risiken sowie dem wirtschaftlichen, technischen, regulatorischen, ökologischen und sozialen Umfeld der Unternehmung festlegen

Verantwortung von VR und GL

Der VR muss gemäss Art. 663b Ziff. 12 revOR im Anhang der Jahresrechnung Angaben über die Durchführung einer Risikobeurteilung machen - dabei sind die Bedingungen im technischen, wirtschaftlichen, sozialen und politischen Umfeld darzulegen, da diese sich sehr rasch ändern

Es ist somit zentrale Führungsaufgabe des VR, ein IKS und ein Risk-Management-System zu implementieren und die wesentlichen Risiken des Unternehmens zu identifizieren!

Die GL muss die vom VR festgelegte Strategie umsetzen

Haftung des VR gemäss Art. 754 OR

1 Die Mitglieder des Verwaltungsrates und alle mit der Geschäftsführung oder mit der Liquidation befassten Personen sind sowohl der Gesellschaft als den einzelnen Aktionären und Gesellschaftsgläubigern für den Schaden verantwortlich, den sie durch absichtliche oder fahrlässige Verletzung ihrer Pflichten verursachen.

2 Wer die Erfüllung einer Aufgabe befugterweise einem anderen Organ überträgt, haftet für den von diesem verursachten Schaden, sofern er nicht nachweist, dass er bei der Auswahl, Unterrichtung und Überwachung die nach den Umständen gebotene Sorgfalt angewendet hat.

Fazit

Die neuen Revisions- und Rechnungslegungs-Vorschriften sollen mehr Sicherheit für die Aktionäre bringen

Zur zeit bestehen allerdings noch einige Unsicherheiten bei der Auslegung und der Umsetzung dieser Vorschriften

Es ist zu erwarten, dass die Revision für die Unternehmen in Zukunft teurer wird, da die Wirtschaftsprüfer die neuen Vorschriften als Ausweitung ihres gesetzlichen Prüfauftrages interpretieren

Basel II-Abkommen

Banken müssen bei ihrer Eigenmittel-hinterlegung sowohl das Kreditrisiko als auch das operationelle Risiko des Kreditnehmers berücksichtigen.

Ein höheres operationelles Risiko des Kreditnehmers bedeutet für diesen somit höhere Kreditkosten.

Geltungsbereich

Basel II regelt für die Banken neu die Unterlegung der Risiken mit Eigenmitteln

Der Bundesrat hat Basel II am 29.09.2006 gutgeheissen und auf den 01.01.2007 in Kraft gesetzt

Basel II ist kein völkerrechtlich verbindliches Abkommen In der Schweiz ist keine Gesetzesänderung nötig, die

Umsetzung erfolgt auf Verordnungsstufe Die EBK hat einen Entwurf ausgearbeitet

Risikomanagement

Die neuen Vorschriften wurden mit der wachsenden Technologie-Abhängigkeit der Geschäftsprozesse und der zunehmenden Komplexität der Bankgeschäfte begründet

Kreditnehmer müssen neu nicht nur über ihre finanzielle Situation sondern auch über ihre Geschäftsprozesse und operationellen Risiken Auskunft geben

Unternehmen mit einem guten Rating profitieren von tieferen Zinsen

Basel II: Risiken

Kreditrisiken Marktrisiken

Operationelle Risiken

Standardverfahren

Neu

Basel II: Operationelle Risiken

Risiko von Verlusten, die in Folge der Unangemessenheit oder des Versagens interner Verfahren, Menschen, Systeme oder in Folge von externen Ereignissen eintreten

Rechtliche Risiken eingeschlossen Ohne strategische und reputationelle Risiken

ISO 15 489 Records Management

ISO 15 489 besteht aus 2 Teilen (General und Guidelines) Die Norm ISO 15 489 regelt die Verwaltung und Aufbewahrung von

Unterlagen, die bei privaten und öffentlichen Organisationen für den internen und externen Gebrauch entstehen. Sie gilt für die Verwaltung von Schriftgut in allen Formen und Medien.

Die Grundsätze der Schriftgutverwaltung sind auf höchster Entscheidungsebene zu erlassen und sollen aus einer Analyse der Geschäftsabläufe abgeleitet werden

Die Norm verlangt, zur Erstellung, Führung und Bewahrung authentischer, aussagefähiger, zuverlässiger und benutzbarer Unterlagen ein Schriftgutverwaltungsprogramm einzuführen

ISO 15 489 - die Führung und Aufbewahrung von Dokumenten Die Norm regelt die aktive Phase von Dokumenten, die Archivierung

selbst wird nicht explizit geregelt Die Vorschriften über die Aufbewahrung betreffen in erster Linie das

Halten von Geschäftsdokumenten in einem Ablagesystem bis zur Aussonderung und Ablieferung an das Archiv

Es ist dennoch empfehlenswert, ISO 15 489 im Zusammenhang mit reinen „Archivierungsprojekten“ zu berücksichtigen - Voraussetzung dafür, dass einzelne Geschäftsfälle während der gesamten gesetzlichen Aufbewahrungsfrist nachweisbar in Dokumenten festgehalten werden ist, dass diese Dokumente zunächst während der aktiven Phase erstellt und aufbewahrt werden!

ISO 15 489 - Merkmale von Schriftgut

Organisationen sollen im Zuge der Aufgabenerledigung authentische, aussagefähige, zuverlässige und benutzbare Unterlagen erstellen und führen

Zudem muss die Integrität der Unterlagen geschützt werden, solange sie benötigt werden

Zu diesem Zweck soll die Organisation ein Programm zur Schriftgutverwaltung einführen

Die Grundsätze, die Zielvorgaben sowie die Verantwortlichkeiten müssen festgelegt werden

Beispiel: Data Retention Policy

Es wird verbindlich geregelt, welche Dokumente wie lange und in welcher Form aufbewahrt werden müssen

Zusätzlich sollten die Arbeitnehmer regelmässig geschult werden

Die Einhaltung der Weisung muss kontrolliert werden

Buchführungspflicht

Unternehmen, die verpflichtet sind, sich in das Handelsregister eintragen zu lassen, müssen diejenigen Bücher ordnungsgemäss führen und aufbewahren, die Auskunft über die Vermögenslage, die Schuld- und Forderungsverhältnisse sowie das Geschäftsergebnis geben (Art. 957 Abs. 1 OR).

Aufbewahrungspflichtige Dokumente

Betriebsrechnung und Bilanz schriftlich und unterzeichnet im Original

Bücher, Buchungsbelege und die Geschäftskorrespondenz elektronisch oder in vergleichbarer Weise

in der Regel 10 Jahre Zusätzlich sind Spezialgesetze zu beachten!

Folgen bei Nichtbeachtung

Verstoss gegen die Grundsätze der ordnungsgemässen Buchführung bzw. ordnungswidrige Führung der Geschäftsbücher erfüllt unter anderem die Tatbestände der Artikel 166 und/oder 325 StGB.

Evtl. Verlust von Forderungen mangels gültiger Beweise

Verantwortung

Verantwortlich für die Einhaltung der Buchführungsvorschriften ist die Person, welche im Unternehmen diese Aufgabe ausübt

Ist diese Person nicht sorgfältig instruiert, kontrolliert oder wurde sie nicht sorgfältig ausgewählt, dann liegt die Verantwortung bei Geschäftsführung und Verwaltungsrat

Es können auch mehrere Personen haftbar sein!

Übungsbeispiel-I

Die Mega-Steel AG ist ein Unternehmen, welches weltweit im Bereich der Herstellung und dem Vertrieb von Stahl tätig ist. Der Sitz des Unternehmens befindet sich in Zürich. Zudem hat die Mega-Steel AG Tochtergesellschaften und Beteiligungen an Unternehmen in Deutschland, Schweden sowie in Bulgarien.

Die Mega-Steel AG in Zürich führt neu ein Dokumenten-Management-System ein, welches die zentrale Verwaltung der geschäftsrelevanten Dokumente wesentlich erleichtert. Bestimmte Ablagestrukturen sowie die Regelung von Zugriffsberechtigungen bestehen jedoch nicht.

Das Unternehmen in ZH ist in 8 Organisationseinheiten gegliedert, jeder Organisationseinheit ist Speicherplatz auf einem bestimmten Laufwerk zugewiesen.

Übungsbeispiel-II Zur Zeit werden am Hauptsitz in Zürich alle Dokumente in Papierform

archiviert. Zusätzlich wird ein neues elektronisches Archiv integriert. Es ist geplant, in Zukunft immer mehr Dokumente elektronisch zu archivieren. Zunächst werden nur die Kreditorenrechnungen eingescannt und elektronisch abgelegt. Die Originale werden weggeworfen.

Für die Tochter- und Beteiligungsgesellschaften kann davon ausgegangen werden, dass sie ein DMS haben und die Daten in Papierform archivieren. Einige haben auch ein elektronisches Archiv.

E-Mails werden in allen Gesellschaften auf separaten Datenträgern gesichert und für 3 Jahre auf separaten Datenträgern abgelegt. Anschliessend werden sie gelöscht.

Übungsbeispiel-III Die Mega-Steel AG möchte nun verbindliche Regelungen für die Archivierung

von Dokumenten erlassen, welche für alle Gesellschaften der gesamten Gruppe Gültigkeit haben sollen. Sie werden gebeten, eine Aussage darüber zu machen, wie die Mega-Steel AG grundsätzlich vorgehen soll.

Sie erhalten einen Auszug der ISO-Norm 15 489 (Seiten 12 und 13 des 1. Teils) - erachten Sie diese Vorschriften als relevant? Wenn ja - in welchem Dokument würden Sie diese Vorschriften integrieren und wie?

Wenn nein - warum nicht? Erarbeiten Sie in Gruppen zu ca. 4 Personen einen Vorschlag, welche

Dokumente mit welchen wesentlichen Inhalten die Mega-Steel AG erstellen soll, um das angestrebte Ziel zu erreichen.

Jede Gruppe präsentiert am Schluss ihren Vorschlag und erklärt die wesentlichen Gründe für das vorgeschlagene Vorgehen.

Ich stehe Ihnen dauernd für Auskünfte und Diskussionen zur Verfügung.

Elektronische Signatur

Auf den 01. Dezember 2006 wurde eine revidierte Version der TAV in Kraft gesetzt - die Anpassungen waren auf Grund der Erfahrungen mit den ersten Anerkennungsverfahren nötig

Die neuen TAV enthalten in erster Linie eine Präzisierung bestimmter Abschnitte der TAV

Im Bereich e-invoicing wartet man immer noch auf den Erlass von ElDI-V 2 - die anerkannten Anbieter von Zertifizierungsdiensten vereinbaren in der Zwischenzeit bilateral mit dem EFD, ob ihre Zertifikate bereits ElDI-V 2 erfüllen

Qualifiziertes Zertifikat für juristische Personen? Neu werden die Gesetzesbestimmungen so interpretiert, dass ein qualifiziertes

Zertifikat auch für eine juristische Person ausgestellt werden kann Ein qualifiziertes Zertifikat kann auch einer natürlichen Person zugewiesen

sein, die eine juristische Person vertritt - in diesem Fall ist es möglich, im Zertifikat die Eigenschaften der natürlichen Person und den Namen der juristischen Person zu nennen!

Es ist auch möglich, die natürliche Person nur per Pseudonym zu bezeichnen - dadurch kann es mehrere Zertifikate mit dem selben Gesellschaftsnamen aber mit unterschiedlichen Pseudonymen geben

Wenn auf einen HR-Eintrag verwiesen wird, ist kein Pseudonym möglich!

Spam-Verbot

Seit 01. April 2007 ist gemäss Art. 3 Best. o UWG der automatische Massenversand von Werbung per E-Mail, SMS, Fax oder Telefon nur dann erlaubt, wenn die Empfänger ausdrücklich zugestimmt haben (Opt-in-System)

Ausnahme: Wenn bei einem Kauf die Adresse angegeben wird, dann kann Werbung für gleichartige Produkte gesendet werden

Der Absender muss genannt sein und es muss eine einfache und kostenlose Möglichkeit geben, weitere Nachrichten abzulehnen

Gemäss Art. 88 der Verordnung über Fernmeldedienste sind die Kunden berechtigt, in einem Verzeichnis zu kennzeichnen, dass sie keine Werbung erhalten wollen

Fragen ?

mag. iur. Maria WinklerIT & Law Consulting GmbH

Schanz 46300 Zug

www.itandlaw.ch