Mit Records Management Schwachstellen beheben

Prozesssicherheit Dokumentenmanagement
12
Mit Records Management
Schwachstellen beheben
Die rechtlichen Vorgaben für die Aufbewahrung und Verwaltung von Geschäftsunterlagen sind komplex. Records Management (RM) bietet Verfahren
und Technologien zur Automation und Absicherung von Geschäftsprozessen.
Die Anforderung, wichtige Dokumente im Geschäftsleben aufzubewahren und verfügbar zu
halten, ist nicht neu. Was sich jedoch geändert
hat, sind die Geschäftsabläufe und das Volumen:
Jeden Tag entstehen unzählige Dokumente, welche nur noch elektronisch verschickt und abgelegt
werden. Die Verschiebung von papierenen Dokumenten hin zu elektronischen stellt Unternehmen
vor neue Herausforderungen bei der Verwaltung
ihrer Geschäftsunterlagen. Die Anforderung an
die lückenlose Aufzeichnung ist mit erheblichen
Aufwänden verbunden. Da die Budgets aber nicht
steigen, muss mit bestehenden Mitteln mehr erreicht werden.
Was ist ein Record?
Gemäss Organisationen wie AIIM (Global Community of Information Professionals) ist ein Record
Rechtliche Vorgaben
Je nach Land und Branche sind unterschiedliche, in Gesetzen und
Normen festgehaltene Vorgaben zu beachten. International anerkannte Standards wie ISO 15489 beschreiben die Minimalanforderungen an das RM, die über ein Zertifizierungsverfahren nachgewiesen werden. Model Requirements for the Management of Electronic
Records (MoReq) ist ein modellhafter Anforderungskatalog für ein
elektronisches Records Management System, welcher von der EU
entwickelt wurde. Einige branchenspezifische Regularien enthalten
auch Anforderungen zum Records Management: z.B. der SarbanesOxley Act of 2002 (SOX) für Unternehmen, welche an den US-Börsen
gelistet sind oder der FDA 21 CFR Part 11 für den Life Science Markt.
In der Schweiz sind nebst den Buchführungsvorschriften des OR, die
Bestimmungen der Geschäftsbücherverordnung (GeBüV) eine konkrete Referenz. Zusätzlich finden sich u.a. im Steuerrecht, Gesellschaftsrecht, Haftpflichtrecht und Datenschutzrecht RM-Vorgaben.
Dabei sorgt das Datenschutzgesetz für zusätzliche Komplexität, da
es strenge Regeln im Umgang mit personenbezogenen Daten aufstellt.
(Aufzeichnung, Unterlage/Akte) eine Information,
die eine geschäftliche Transaktion beschreibt, wie
zum Beispiel eine Rechnung oder einen Vertrag.
Dazu zählen alle geschäftsrelevanten Informatio-
nen die bei der täglichen Arbeit erstellt oder empfangen werden. Das betrifft sowohl physische als
auch elektronische Geschäftsunterlagen.
Zu einem Record gehören aber auch alle Metadaten, wie Eingangsdatum oder Freigabedatum.
Je nach Relevanz eines Dokuments gelten unterschiedliche Aufbewahrungsfristen. Teilweise
kommen für ein und dasselbe Dokument mehrere,
widersprüchliche Aufbewahrungsfristen zur Anwendung. So kann es durchaus vorkommen, dass
es zum Beispiel aus datenschutzrechtlicher Sicht
angebracht wäre, Unterlagen innerhalb kurzer
Frist zu vernichten, während dem die Buchführungsvorschriften des OR eine Aufbewahrung
von zehn Jahren verlangen. Die IT kann hier eine
tragende Rolle einnehmen und die Dokumentenverwaltung einfach und praktikabel halten.
Schwachstellen als Projektinitiator
Der Startschuss zu einem Records Management
Projekt (oder auch Schriftgutverwaltung) fällt oft
erst dann, wenn interne oder externe Auditoren
Schwachstellen aufdecken. Wenn Entscheidungsprozesse oder Fakten nicht lückenlos reproduziert
werden können oder Dokumente nicht mehr gefunden werden, kann das gravierende, zivil- und
strafrechtliche Folgen für das Unternehmen und
die verantwortlichen Personen haben. Hinzu
kommt ein nicht zu unterschätzender Imageverlust. Ungenügende Absicherung und mangelnder
Zugriffsschutz auf kritische Informationen gehören zu weiteren Schwachstellen, welche eliminiert
werden müssen. Und nicht zuletzt muss sichergestellt werden, dass keine Akten willkürlich oder
fahrlässig vernichtet werden können.
Funktionsumfang
Eine moderne Records Management Lösung muss
heute ganz unterschiedlichen Anforderungen
gerecht werden:
Mehrstufige Aktenstrukturen zum Ablegen von
Dateien über mehrere Ebenen
Aufbewahrungsfristen und Vernichtungsregeln
Suchfunktionen zum Finden von Dokumenten
über Eigenschaften oder Inhalt
Audit Trails, welche alle Zugriffe auf und Änderungen an Records lückenlos aufzeichnen
Klare Zugriffs- und Bearbeitungsrechte gegenüber Metadaten und Unterlagen
Schutz vor äusseren Einflüssen, Schutz vor Verlust, Schutz vor unbefugtem Zugriff
Diese Funktionen sind zum Teil in ähnlichen Lösungsansätzen bereits enthalten, so zum Beispiel
in Information Lifecycle Management-Systemen.
Je nach Technologiewahl und Systemarchitektur
bieten sich unterschiedliche Lösungen an.
Umsetzung
Records Management stellt eine organisatorische
Herausforderung für jede Unternehmung dar.
Lediglich ein RM-System zu beschaffen, reicht
nicht aus. Prozesse und Strukturen müssen analysiert und wenn nötig angepasst werden, damit
die Records Management Anforderungen durchgängig angewendet werden. 5 wichtige Fragen zu
diesem Thema geben rasch Aufschluss über den
effektiven Bedarf und die bestehenden Risiken:
Welche regulativen Vorgaben und Gesetze (Compliance) sind für mein Unternehmen massgebend?
Welche Informationen müssen gemäss diesen
Vorgaben geschützt werden und für welche
Zeitdauer?
Was wären die Konsequenzen oder Strafen bei
Nicht-Umsetzung der rechtlichen Vorgaben?
Wer haftet für was?
In welchem Grad decken wir mit bestehenden
Systemen bereits RM-Anforderungen ab?
Welche Road-Map hin zur Erfüllung der Vorgaben besteht oder muss erarbeitet werden?
«Die richtige Information zur richtigen Zeit am
richtigen Ort» ist ein bekannter Slogan und gilt für
das Records Management vorbildhaft. Das organisatorische und rechtskonforme Verwalten von
Geschäftsunterlagen ist eine Führungsaufgabe
und muss somit durch die Geschäftsleitung mit
der höchsten Priorität behandelt werden.
Philippe Chanton
Leiter Business Line Enterprise
Content Management
ELCA Informatik AG (Zürich)
Steinstrasse 21
8036 Zurich
Tel. + 41 44 456 32 11
Fax + 41 44 456 32 00
www.elca.ch