Mit Records Management Schwachstellen beheben
Transcription
Mit Records Management Schwachstellen beheben
Prozesssicherheit Dokumentenmanagement 12 Mit Records Management Schwachstellen beheben Die rechtlichen Vorgaben für die Aufbewahrung und Verwaltung von Geschäftsunterlagen sind komplex. Records Management (RM) bietet Verfahren und Technologien zur Automation und Absicherung von Geschäftsprozessen. Die Anforderung, wichtige Dokumente im Geschäftsleben aufzubewahren und verfügbar zu halten, ist nicht neu. Was sich jedoch geändert hat, sind die Geschäftsabläufe und das Volumen: Jeden Tag entstehen unzählige Dokumente, welche nur noch elektronisch verschickt und abgelegt werden. Die Verschiebung von papierenen Dokumenten hin zu elektronischen stellt Unternehmen vor neue Herausforderungen bei der Verwaltung ihrer Geschäftsunterlagen. Die Anforderung an die lückenlose Aufzeichnung ist mit erheblichen Aufwänden verbunden. Da die Budgets aber nicht steigen, muss mit bestehenden Mitteln mehr erreicht werden. Was ist ein Record? Gemäss Organisationen wie AIIM (Global Community of Information Professionals) ist ein Record Rechtliche Vorgaben Je nach Land und Branche sind unterschiedliche, in Gesetzen und Normen festgehaltene Vorgaben zu beachten. International anerkannte Standards wie ISO 15489 beschreiben die Minimalanforderungen an das RM, die über ein Zertifizierungsverfahren nachgewiesen werden. Model Requirements for the Management of Electronic Records (MoReq) ist ein modellhafter Anforderungskatalog für ein elektronisches Records Management System, welcher von der EU entwickelt wurde. Einige branchenspezifische Regularien enthalten auch Anforderungen zum Records Management: z.B. der SarbanesOxley Act of 2002 (SOX) für Unternehmen, welche an den US-Börsen gelistet sind oder der FDA 21 CFR Part 11 für den Life Science Markt. In der Schweiz sind nebst den Buchführungsvorschriften des OR, die Bestimmungen der Geschäftsbücherverordnung (GeBüV) eine konkrete Referenz. Zusätzlich finden sich u.a. im Steuerrecht, Gesellschaftsrecht, Haftpflichtrecht und Datenschutzrecht RM-Vorgaben. Dabei sorgt das Datenschutzgesetz für zusätzliche Komplexität, da es strenge Regeln im Umgang mit personenbezogenen Daten aufstellt. (Aufzeichnung, Unterlage/Akte) eine Information, die eine geschäftliche Transaktion beschreibt, wie zum Beispiel eine Rechnung oder einen Vertrag. Dazu zählen alle geschäftsrelevanten Informatio- nen die bei der täglichen Arbeit erstellt oder empfangen werden. Das betrifft sowohl physische als auch elektronische Geschäftsunterlagen. Zu einem Record gehören aber auch alle Metadaten, wie Eingangsdatum oder Freigabedatum. Je nach Relevanz eines Dokuments gelten unterschiedliche Aufbewahrungsfristen. Teilweise kommen für ein und dasselbe Dokument mehrere, widersprüchliche Aufbewahrungsfristen zur Anwendung. So kann es durchaus vorkommen, dass es zum Beispiel aus datenschutzrechtlicher Sicht angebracht wäre, Unterlagen innerhalb kurzer Frist zu vernichten, während dem die Buchführungsvorschriften des OR eine Aufbewahrung von zehn Jahren verlangen. Die IT kann hier eine tragende Rolle einnehmen und die Dokumentenverwaltung einfach und praktikabel halten. Schwachstellen als Projektinitiator Der Startschuss zu einem Records Management Projekt (oder auch Schriftgutverwaltung) fällt oft erst dann, wenn interne oder externe Auditoren Schwachstellen aufdecken. Wenn Entscheidungsprozesse oder Fakten nicht lückenlos reproduziert werden können oder Dokumente nicht mehr gefunden werden, kann das gravierende, zivil- und strafrechtliche Folgen für das Unternehmen und die verantwortlichen Personen haben. Hinzu kommt ein nicht zu unterschätzender Imageverlust. Ungenügende Absicherung und mangelnder Zugriffsschutz auf kritische Informationen gehören zu weiteren Schwachstellen, welche eliminiert werden müssen. Und nicht zuletzt muss sichergestellt werden, dass keine Akten willkürlich oder fahrlässig vernichtet werden können. Funktionsumfang Eine moderne Records Management Lösung muss heute ganz unterschiedlichen Anforderungen gerecht werden: Mehrstufige Aktenstrukturen zum Ablegen von Dateien über mehrere Ebenen Aufbewahrungsfristen und Vernichtungsregeln Suchfunktionen zum Finden von Dokumenten über Eigenschaften oder Inhalt Audit Trails, welche alle Zugriffe auf und Änderungen an Records lückenlos aufzeichnen Klare Zugriffs- und Bearbeitungsrechte gegenüber Metadaten und Unterlagen Schutz vor äusseren Einflüssen, Schutz vor Verlust, Schutz vor unbefugtem Zugriff Diese Funktionen sind zum Teil in ähnlichen Lösungsansätzen bereits enthalten, so zum Beispiel in Information Lifecycle Management-Systemen. Je nach Technologiewahl und Systemarchitektur bieten sich unterschiedliche Lösungen an. Umsetzung Records Management stellt eine organisatorische Herausforderung für jede Unternehmung dar. Lediglich ein RM-System zu beschaffen, reicht nicht aus. Prozesse und Strukturen müssen analysiert und wenn nötig angepasst werden, damit die Records Management Anforderungen durchgängig angewendet werden. 5 wichtige Fragen zu diesem Thema geben rasch Aufschluss über den effektiven Bedarf und die bestehenden Risiken: Welche regulativen Vorgaben und Gesetze (Compliance) sind für mein Unternehmen massgebend? Welche Informationen müssen gemäss diesen Vorgaben geschützt werden und für welche Zeitdauer? Was wären die Konsequenzen oder Strafen bei Nicht-Umsetzung der rechtlichen Vorgaben? Wer haftet für was? In welchem Grad decken wir mit bestehenden Systemen bereits RM-Anforderungen ab? Welche Road-Map hin zur Erfüllung der Vorgaben besteht oder muss erarbeitet werden? «Die richtige Information zur richtigen Zeit am richtigen Ort» ist ein bekannter Slogan und gilt für das Records Management vorbildhaft. Das organisatorische und rechtskonforme Verwalten von Geschäftsunterlagen ist eine Führungsaufgabe und muss somit durch die Geschäftsleitung mit der höchsten Priorität behandelt werden. Philippe Chanton Leiter Business Line Enterprise Content Management ELCA Informatik AG (Zürich) Steinstrasse 21 8036 Zurich Tel. + 41 44 456 32 11 Fax + 41 44 456 32 00 www.elca.ch