Suchen

Rechtliche Rahmenbedingungen strukturiert umsetzen Teil 2 ECM, Prozessdesign und Dokumentation – Basis für Compliance

| Autor / Redakteur: Dr. Ulrich Kampffmeyer, Project Consult / Nico Litzel

Bei der Umsetzung von Governance, Risikomanagement und Compliance mithilfe von IT stellt man fest, dass die Informationen auf unterschiedlichen Systemen verteilt sind: Strukturierte Daten liegen in CRM-, ERP-, Produktionsmanagement- oder Datawarehouse-Lösungen, unstrukturierte in E-Mail-, Archiv-, Dokumentenmanagement- oder Collaboration-Lösungen. Enterprise-Content-Management-Systeme bieten alle notwendigen Komponenten, um Informationen aus unterschiedlichen Systemen zusammenzuführen.

Firmen zum Thema

Die Dokumentation von Geschäftsvorgängen und die langfristige, sichere Aufbewahrung von Dokumenten sind Grundlagen für die Einhaltung von Compliance-Anforderungen. Enterprise Content Management ist daher eine wichtige Basislösung zur Umsetzung von Governance, Risk Management und Compliance.
Die Dokumentation von Geschäftsvorgängen und die langfristige, sichere Aufbewahrung von Dokumenten sind Grundlagen für die Einhaltung von Compliance-Anforderungen. Enterprise Content Management ist daher eine wichtige Basislösung zur Umsetzung von Governance, Risk Management und Compliance.
( Archiv: Vogel Business Media )

Abgesehen davon, dass Governance, Risikomanagement und Compliance vorrangig organisatorische Aufgaben sind, bieten Enterprise-Content- Management-Lösungen alle notwendigen Komponenten, um Informationen aus unterschiedlichen Systemen zusammenzuführen, die Prozesse nachvollziehbar zu machen und die Informationen sicher und langfristig zu speichern.

Grundlage für die Einhaltung von Compliance-Anforderungen und den Nachweis dieser Regel-Konformität ist die Dokumentation der Geschäftsvorgänge und die langfristige, sichere Aufbewahrung von Dokumenten und Korrespondenz. ECM, Enterprise Content Management, ist daher eine wichtige Basislösung zur Umsetzung von GRC. Dementsprechend sind die folgenden Komponenten von ECM-Systemen als Teil einer GRC-Lösung zu betrachten.

Records Management

Records Management oder ERM (Electronic Records Management) bezieht sich auf die Strukturierungs-, Verwaltungs- und Organisationskomponente zur Handhabung von Aufzeichnungen. ERM ist nicht mit elektronischer Archivierung deutscher Prägung gleichzusetzen, obwohl sich viele Ansätze hier wieder finden.

Zum Records Management gehört zum Beispiel die Abbildung von Aktenplänen und anderen strukturierten Verzeichnissen zur geordneten Ablage von Informationen. Bestandteile sind ebenfalls eine Thesaurus- oder eine kontrollierte Wortschatz-gestützte eindeutige Indizierung von Informationen, die Verwaltung von Aufbewahrungs- und Vernichtungsfristen und der Schutz von Informationen entsprechend ihren Eigenschaften.

Zur Anwendung sollten dabei international, branchenspezifisch oder zumindest unternehmensweit standardisierte Metadaten zur eindeutigen Identifizierung und Beschreibung der gespeicherten Informationen. Records Management dient also zur Verwaltung beliebiger aufbewahrungspflichtiger Unterlagen, unabhängig vom Medium.

E-Mail-Management

E-Mails enthalten geschäftsrelevante Information und sind als Geschäftsbriefe zu bewerten. Dementsprechend ist ihre Verwaltung und Aufbewahrung im Rahmen unternehmensweiter Lösungen von großer Bedeutung. Dabei sollten E-Mails im Zusammenhang mit anderen geschäftsrelevanten Aufzeichnungen erschlossen und verwaltet werden.

Die große Herausforderung ist dabei die Identifikation aufbewahrungspflichtiger und aufbewahrungswürdiger E-Mails, insbesondere wenn Unternehmen die private Nutzung von E-Mails zulassen.

Business Process Management

Prozessdesign und Dokumentation sind eine weitere wichtige Basis für die Erfüllung von Compliance-Anforderungen. Eine vollständige Dokumentation der Geschäftsprozesse erleichtert die Identifikation der Regelungen, die das Unternehmen betreffen – und nur das Einhalten der definierten Prozesse kann die Regel-Konformität sicherstellen.

Business Process Management (BPM) strebt die vollständige Integration aller betroffenen Anwendungen in einem Unternehmen mit Kontrolle der Prozesse und Zusammenführung aller benötigten Informationen an. BPM greift über bisherige Workflow-Funktionen hinaus und bietet zum Beispiel Prozess- und Datenkontrolle auf Server-Ebene und Geschäftsprozesse begleitende Protokolle und Auditdokumentationen. Weitere Punkte sind EAI (Enterprise Application Integration) zur Verbindung verschiedener Anwendungen und BI (Business Intelligence) mit hinterlegten Regelwerken, Integration von Information Warehouses und den Anwender bei seiner fachlichen Tätigkeit unterstützenden Hilfsprogramme.

Elektronische Archivierung

Elektronische Archivierung steht für die unveränderbare, langzeitige Aufbewahrung elektronischer Information. Für die elektronische Archivierung werden in der Regel spezielle Archivsysteme eingesetzt. Der Begriff „Elektronische Archivierung“ fasst unterschiedliche Komponenten zusammen, die im angloamerikanischen Sprachgebrauch separat als „Records Management“, „Storage“ und „Preservation“ bezeichnet werden.

Zweck eines elektronischen Archivsystems ist es, unabhängig von Quelle, Erzeuger und späterer Nutzung Information sicher aufzubewahren und datenbankgestützt auf Anforderung wieder bereit zu stellen. Archivsysteme sind daher Dienste, die allen Anwendungen zur Verfügung stehen, die Informationen erzeugen, die langzeitig unverändert und sicher aufbewahrt werden müssen.

Hierfür bieten Archivsysteme datenbankgestützten Zugriff auf archivierte Daten und Dokumente, unveränderbare „revisionssichere“ Speicherung aller Informationen, Audittrails der Speicherung und Nutzung, Verwaltung sehr großer Informationsmengen auf sehr unterschiedlichen Speichern, Migrationskonzepte zur Verfügbarhaltung von Daten, Konverter zur Erzeugung von Anzeige- und Archivformaten und weitere spezielle Funktionen.

Zunehmend werden Archivsysteme auch um Information-Lifecycle-Management-Konzepte ergänzt oder sie werden als nachgeordnete Dienste selbst Bestandteil des Lebenszyklusmanagements von Daten, Informationen, Dokumenten, Records, Content und Wissen.

GRC: Lösungsangebote

Für das Thema GRC gibt es sehr unterschiedliche Lösungsansätze. So bietet SAP im Rahmen seiner ERP-Produktsuite GRC-Komponenten an, die die Kontrolle über die Informationen innerhalb der SAP-Umgebung sicherstellen aber auch auf Informationen außerhalb von SAP zugreifen sollen. Die ERP-Anbieter haben in der Vergangenheit selbst sehr viel in die Entwicklung von GRC-Werkzeugen investiert oder Firmen aufgekauft.

Aber auch im Bereich der klassischen ECM-Anbieter spielt das Thema GRC eine immer wichtigere Rolle. So hat IBM in seiner „Tango“-Strategie für die Zusammenführung der IBM- und der FileNet-Produktlinie oberhalb der ECM-Dienste eine komplette GRC-Schicht eingezogen. Längst speichern ECM-Lösungen neben unstrukturierten Dokumenten auch Daten aus den operativen Anwendungen und bieten mit „föderierten Repositories“ einen einheitlichen, kontrollierten Zugriff auf alle Informationen.

Hier wird GRC als die verbindende Schicht gesehen, die vom Anfang bis zum Ende alle Informationen über die Geschäftsprozesse, die Geschäftsprozesse und ihre Daten und Dokumente sowie die verbundenen Transaktionen und Audittrails verwaltet. Waren in der Vergangenheit bei den mittelständischen Anbietern vorrangig Speziallösungen zur Handhabung von Einzelproblemen aus dem GRC-Umfeld im Angebot – etwa Lösungen zur Archivierung von GDPdU-Daten, zur SAP- oder Exchange-Datenauslagerung oder E-Mail-Archive, so setzt sich auch hier der integrierende Ansatz von Universalarchiven mit einer übergreifenden Verwaltung aller Informationen und der Ergänzung um Busines-Process-Management-Lösungen durch.

Beispiele finden sich mit internationalen Anbietern wie Opentext oder EMC bis hin zu europäischen Firmen wie ELO Office, Saperion, Docuware, SER Solutions, D.velop, COI, Windream und vielen anderen. Interessant ist auch, dass Firmen aus anderen Marktsegmenten sich immer mehr in den regulatorischen Bereich, besonders das Records Management orientieren. Das betrifft einerseits den Bereich der technischen und der Qualitätsmanagement-Dokumentation, aber auch die Schriftgutverwaltung im öffentlichen Sektor, bei Banken, in Versicherungen, für Energieversorger, Industrie – nahezu alle Branchen.

Ausblick

Da in Deutschland der Begriff Records Management noch nicht so eingeführt ist, wie sonst international, und der Begriff Compliance für viele wenig Aussagekraft hat, stehen wir in Deutschland immer noch am Anfang ganzheitlicher GRC-Konzepte und -Lösungen. Um mit der Entwicklung im Markt, die durch die Globalisierung sowie die immer rasanter werdende technische Innovation eine ungeahnte Beschleunigung erfährt, Schritthalten zu können, müssen sich die Unternehmen auf ihre Informations- und Kommunikationslösungen verlassen können.

Diese im Griff zu halten, erfordert ganzheitliche Konzepte, die auch den Einsatz von Enterprise-Content-Management-Lösungen als Grundlage für eine effektive GRC-Umsetzung berücksichtigen.

Dr. Ulrich Kampffmeyer ist Geschäftsführer der Project Consult Unternehmensberatung GmbH.

Artikelfiles und Artikellinks

(ID:2009290)