Electronic Records Management System Juli 2017

Regulatory Compliance

Ihre physische Aktenablage ist völlig überfüllt? Sie benötigen Unmengen von Zeit, um die geschäftsrelevanten Unterlagen zu ordnen und abzulegen? Sie haben einen standardisierten Prozess bezüglich Archivierung implementiert, finden jedoch trotzdem die Unterlagen nicht fristgerecht? KPMG hilft Ihnen bei der Bewältigung dieser und weiterer Probleme aus dem Bereich des Electronic Records Management Systems (ERMS).

Ihre Organisation ist dafür verantwortlich, die geschäftsrele-vanten Unterlagen gemäss gesetzlichen Vorgaben aufzube-wahren, um so die Nachvollziehbarkeit zu gewährleisten. Die Unterlagen müssen von der Erstellung bis zur Vernich-tung organisiert werden. Das ERMS bearbeitet den gesam-ten Lebenszyklus dieser Unterlagen und sorgt so für Authentizität, Zuverlässigkeit, Integrität und Benutzbarkeit.

Bekannte Herausforderungen• Bereitstellung der Dokumente innert nützlicher Frist: Sind

Sie in der Lage, die relevanten Dokumente innert kürzes-ter Zeit zu beschaffen?

• Physische Dokumente wandern von Abteilung zu Abtei-lung, bis sie schliesslich an den Kunden gesendet werden. Bei einer Nachfrage des Kunden ist es äusserst schwierig zu sagen, wo sich das Dokument aktuell befindet.

• Big Data: Die Datenmenge wird sich alle zwei Jahre ver-doppeln. Wer sich nicht um die Organisation der Informa-tionen kümmert, wird regelrecht überflutet.

• Aufgrund von Bequemlichkeit bleiben viele Dokumente in der Nähe der Mitarbeitenden. Daraus resultieren Mehr-fachablagen und somit bestehen Unklarheiten bezüglich der federführenden Instanz.

• Externer Druck: Es wird je länger, je komplexer regulatori-sche Anforderungen zu erfüllen.

• Die E-Mails enthalten teilweise geschäftsrelevante Infor-mationen. Wie werden diese organisiert, um die Nachvoll-ziehbarkeit zu gewährleisten?

• Vernichtung: Gemäss Geschäftsbücherverordnung (GeBüV) dürfen Daten nach der zehnjährigen Aufbe-

wahrungsfrist vernichtet werden. Dies muss jedoch ge-ordnet und sicher ablaufen.

Beim Electronic Records Management System handelt es sich um einen ganzheitlichen Ansatz. Es sind sowohl techni-sche als auch organisatorische Anforderungen umzusetzen.Für die Bewältigung der genannten Herausforderungen bie-tet KPMG die folgenden zwei Herangehensweisen an:• Beratung im Bereich der Organisation von Dokumenten

und der revisionssicheren Ablage über längere Zeit.• Überprüfung von bereits implementierten Lösungen zur

Kontrolle der regulatorischen Konformität.

Die Chance besteht darin, dass man sich mit der Erstellung eines ERMS vertieft auseinandersetzt und so eine solide Grundlage für zukünftige Projekte schafft. Ist ein entspre-chendes Level bezüglich Governance einmal erreicht, lassen sich weitere Projekte zur Bewältigung zukünftiger Probleme leicht umsetzen.

Definition Electronic Records Management SystemDas ERMS befasst sich mit der Organisation der geschäfts-relevanten Unterlagen im Rahmen der digitalen Archivierung zur Gewährleistung von authentischer, zuverlässiger, integ-rer und nutzbarer Information über längere Zeit. Dabei wird der Fokus auf den gesamten Lebenszyklus wie die Erstel-lung, die Bearbeitung und die Vernichtung der Daten gelegt.

BS 10008Der British Standard 10008 (Evidential Weight and Legal Admissibility of Electronic Information – Specification) befasst

Electronic Records Management System

sich mit dem ganzheitlichen Ansatz zur Organisation, Aufbe-wahrung und zum Transfer von elektronischen Informationen. Der Standard gliedert sich in die folgenden vier Bereiche:• Planung des Information Management System (IMS)• Implementierung und Bewirtschaftung des IMS• Überwachung und Überprüfung des IMS• Unterhalt und Verbesserung des IMS

Der Standard fokussiert sowohl auf technische als auch auforganisatorische Anforderungen.

Vorteile vom BS 10008 im Rahmen des ERMSVollständiger Ansatz• Der BS 10008 beschäftigt sich mit dem gesamten Lebens-

zyklus von elektronischen Informationen und Dokumenten.

Abdeckung der gesetzlichen Anforderungen aus der Geschäftsbücherverordnung• Mit dem BS 10008 werden die Anforderungen der

Schweizer Regulationen (GeBüV, ElDI-V) detailliert abge-deckt und darüber hinaus ergänzt.

Authentizität und Unveränderbarkeit der Informationen • Der BS 10008 unterstützt Sie in der revisionssicheren

Ablage der Unterlagen und elektronischen Rechnungen gemäss Regulation ElDI-V.

Nachvollziehbarkeit• Im Falle einer gerichtlichen Anordnung können die ent-

sprechenden Unterlagen eines zertifizierten ERMS schnell und unverändert hervorgezogen werden.

Kontakte

Wieso KPMG?KPMG ist die einzige offizielle anerkannte Zertifizierungsge-schäftsstelle für Informationstechnologie und Sicherheit (SECSm), akkreditiert von der Schweizerischen Akkreditie-rungsstelle SECO-SAS.

Wir verfügen über das nötige Wissen zu den Prozessen, Appli-kationen und Technologien, welche im Bereich der Archivierung eingesetzt werden. Des Weiteren verfügen wir über grosse Erfahrungen im Finanzdienstleistungssektor sowie in den Bereichen Versicherung, Behörden und Industrie. Falls gren-züberschreitendes Know-how erforderlich ist, kann auf die Kompetenzen von KPMG International zurückgegriffen werden.

Unsere Kunden profitieren von unserer bewährten interdiszi-plinären Methodik im Bereich der Beratung, Prüfung und Zertifizierung mittels Experten aus den unterschiedlichsten Fachgebieten, wie zum Beispiel:• Compliance- und Risikoanforderungen• Prozessmanagement, gesetzliches Expertenwissen• Technisches IT-System-Know-how

Lösung und Service-Angebot• Archivierung/ERMS Health Check• Archivierung/ERMS Beurteilung/Gap-Analyse• Archivierung/ERMS Beratung über die regulatorische

Konformität der Prozesse und der Infrastruktur• Archivierung/ERMS BS 10008 Beratung/Zertifizierung/

Prüfung

Electronic Records Management System Juli 2017

Die hierin enthaltenen Informationen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern, besteht keine Gewähr dafür, dass diese die Situation zum Zeitpunkt der Herausgabe oder eine künftige Situation akkurat widerspiegeln. Die genannten Informationen sollten nicht ohne eingehende Abklärungen und professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen. Bei Prüfkunden bestimmen regulatorische Vorgaben zur Unabhängigkeit des Prüfers den Umfang einer Zusammenarbeit.

© 2016 KPMG AG ist eine Konzerngesellschaft der KPMG Holding AG und Mitglied des KPMG Netzwerks unabhängiger Mitgliedsfirmen, der KPMG International Cooperative (“KPMG International”), einer juristischen Person schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG AGBadenerstrasse 172PostfachCH-8036 Zürich

kpmg.ch/consulting

Matthias BossardtPartnerHead of Cyber Security

+41 58 249 36 98mbossardt@kpmg.com

Reto GrubenmannDirector Head of Certification Services

+41 58 249 42 46retogrubenmann@kpmg.com

Zertifizierung

Prüfung

Bera

tung

Prüfung• Health Check BS 10008 und

Gap-/Impact Analyse• Audit Review Program• OR 927ff., OR 958f.• OR728a (IKS)• GeBüV• ElDI-V• DSG, VDSG, VDSZ (Datenschutz)• Internationale Standardisierung

für Shared Service Center

Jedes spezifische Land hat eigene relevante Regulationen.

Zertifizierung• BS 10008 (ERMS)• ISO/IEC 27001 (ISMS)• Akkreditiertes Zertifizierungs-Audit programm und

Checklisten gemäss Schweizer Akkreditierungsbehörde

Beratung• ISO/IEC 27001• ISO/IEC 27002• BS 10008 (ERMS)• ISO/IEC 20000• Phasenkonzept ERMS• KPMG Advisory-Methoden• Workshops