Compliance und Information Management Compliance
Teil 2: Überblick über Hintergründe und notwendige Maßnahmen zur Erfüllung der zunehmenden Compliance-Anforderungen im Umfeld der Informationstechnologie
Compliance und Information Management Compliance müssen in der Corporate Governance verankert sein
Von Dr. Ulrich Kampffmeyer*
(14.12.07) - Information Management Compliance darf nicht isoliert betrachtet werden. Compliance muss Bestandteil der Corporate Governance des Unternehmens und ständiger Begleiter aller Prozesse werden. Hinter Schlagworten wie Corporate Governance, Enterprise Information Policy oder Records Management Policy und Projekten zur Erarbeitung und Einführung solcher Regelwerke verbergen sich auch viele Ansätze zur Lösung von Compliance-Anforderungen.
Das Whitepaper "Compliance und Information Management Compliance" bietet einen Überblick über Hintergründe und notwendige Maßnahmen zur Erfüllung der zunehmenden Compliance-Anforderungen im Umfeld der Informationstechnologie. Die aktuelle Situation im Jahr 2007 wird an Hand einiger, ausgewählter Beispiele dargestellt.
Teil 2 des Whitepapers behandelt folgende Themen:
Corporate Governance-Richtlinien
Risikomanagement
Information Management Compliance Policy
Compliance und Records Management / Records Management nach ISO 15489
MoReq Model Requirements
ECM Enterprise Content Management und ILM
Elektronische Archivierung und Speichersysteme
10 Compliance-Merksätze
Ausblick: Compliance-Anforderungen treiben den Markt für Dokumenten-Technologien
Literatur
Über den Autor
Versäumen Sie nicht Teil 1 des Whitepapers zu lesen
Hier geht es zum Teil 1 des Whitepapers
Corporate Governance
Corporate Governance beinhaltet die rechtlichen und institutionellen Rahmenbedingungen, die mittelbar oder unmittelbar Einfluss auf die Führungsentscheidungen eines Unternehmens und somit auf den Unternehmenserfolg haben.
Der Ursprung für Corporate Governance liegt bereits in den 30er Jahren, als man sich verstärkt Gedanken über die Rechte der Aktionäre machte.
Corporate Governance Richtlinien
>> International wurde Corporate Governance durch die OECD in Gestalt der "Principles of Corporate Governance" 1984 verankert und 2004 aktualisiert (OECD Principles of Corporate Governance, 2004)
>> Die Europäische Kommission hat im Jahr 2004 ein European Corporate Governance Forum (Europäische Kommission, European Corporate Governance Forum, 2004) als Beratungsgremium eingerichtet, ohne jedoch bisher eine verbindliche Richtlinie herauszugeben.
>> In Deutschland hat das Bundesministerium der Justiz im Jahr 2002 den Corporate-Governance-Kodex veröffentlicht. Dieser hat Auswirkungen auf die Unternehmensgesetze KonTraG und UMAG sowie auf das Handels- und Steuerrecht und auf den Verbraucherschutz. (DCGK Deutscher Corporate Governance Kodex, 2002)
>> In Österreich gibt es den ÖCGK Österreichischen Corporate Governance Kodex, der im Jahr 2002 veröffentlicht wurde und sich an den internationalen Vorgaben orientiert.
>> In der Schweiz gibt es nur einen freiwilligen Swiss Code of Best Practice aus dem Jahr 2002.
Compliance und Information Management Compliance müssen in der Corporate Governance verankert sein. Corporate Governance und Compliance müssen auch die Umsetzung von Prozessen und die Aufbewahrung von Dokumenten berücksichtigen und entsprechende Vorgaben für die IT-Strategie machen und deren Umsetzung überprüfen.
Risikomanagement
Würde man alle nur denkbaren und eine spezifische Situation betreffenden Compliance-Anforderungen im Unternehmen vollständig umsetzen und durch technische Systeme unterstützen wollen, käme die Geschäftstätigkeit zum Erliegen. Risiko-Management ist daher ein wichtiger Bestandteil von Corporate Governance und Information Management Compliance.
Die Risiken müssen erhoben, aufbereitet und bewertet werden. Maßnahmen zur Vermeidung der Risiken und zur Einhaltung der relevanten Compliance-Anforderungen sind zu treffen. Dabei obliegt es der Geschäftsführung bzw. dem Vorstand eines Unternehmens die Verantwortung für den Umfang der Maßnahmen und deren Einhaltung zu übernehmen. Entsprechend Corporate Governance und Unternehmensgesetzen ist dies auch genau die Aufgabe der für die Geschäftstätigkeit verantwortlichen Personen und Gremien. Diese Verantwortung schließt heute bei Aktiengesellschaften auch den Aufsichtsrat ein.
Information Management Policy
In Bezug auf eine Information Management Policy sind dabei nicht nur die technischen Risiken zu betrachten sondern auch diejenigen Risiken, die sich aus der Nutzung und dem Betrieb der Systeme, den Prozessen und aus dem Ausbildungsstand der Mitarbeiter ergeben.
>> Zu den technischen Risiken gehören die Verfügbarkeit der Systeme, der Schutz vor unberechtigter Nutzung oder Löschung von Daten, Wiederanlauf und Recovery, Richtigkeit der Daten, Backup und Katastrophenschutz, Zugang, Konsistenz und Integrität der Datenbestände, Kompatibilität der eingesetzten Softwarestände, Virenschutz, Transaktionssicherheit, Ausfallsicherheit und Systemauslegung, Datenschutz und Datensicherheit sowie die fehlerfreie Ablauffähigkeit der Softwaresysteme.
>> Zu den organisatorischen Risiken zählen Berechtigungsstrukturen, Ausbildungsstände der Mitarbeiter, Betreuung der Systeme und Mitarbeiter, durchgängige Prozesse, Zuständigkeiten und Verantwortlichkeiten, korrekte und aktuelle Arbeitsanweisungen, fehlendes Bewusstsein für den Wert von Information und andere aufbauorganisations-, prozess- und personenbezogene Kriterien.
Eine Information Management Compliance Policy muss allen Faktoren der Informationsentstehung, -verarbeitung, -verwaltung, -nutzung und -speicherung berücksichtigen und in die Corporate Governance Richtlinien des Unternehmens nahtlos integrieren.
Policies und Richtlinien haben nur dann einen Nutzen, wenn sie nachgehalten und befolgt werden. Elektronische Systeme können hierbei effektiv unterstützen und die Nachvollziehbarkeit von Geschäftsgängen besser dokumentieren als dies je ein Mensch könnte.
Basis für die Planung, Durchführung und kontinuierliche Umsetzung von Information Compliance Management (IMC) im Unternehmen ist eine so genannte Information Compliance Policy.
Die Inhalte einer solchen Richtlinie und ihrer Umsetzung kann man in vier Punkten zusammenfassen:
1.
Policy-Grundregeln und Verhaltensweisen für den Umgang mit Prozessen und Informationen, die sich in der Information Management Compliance Policy niederschlagen
Dies schließt das Bewusstmachen, die Zuordnung der Verantwortung und die Verankerung der Policy im Management der Organisation ein. Das Management trägt hier nicht nur die eigene Verantwortung für die Einhaltung der Regelwerke, sondern auch für die Umsetzung im Unternehmen mit Vorbildfunktion.
2.
Delegation
Zuordnung von Verantwortlichkeiten und entsprechende Ausbildung auf den nachgeordneten Ebenen, die allen Betroffenen die Bedeutung von Compliance-Regeln deutlich macht. Dies schlägt sich auch in den Arbeitsprozessen, Arbeitsplatzbeschreibungen, Verträgen und Arbeitsanweisungen nieder. Auf den verschiedenen Ebenen einer Organisation muss abhängig von Aufgaben und Zuständigkeiten der Mitarbeiter eine Durchgängigkeit erzeugt werden.
3.
Nachhaltung
Die Einhaltung der Regeln muss regelmäßig überprüft werden. Hierzu gehören z.B. Qualitätssicherungsprogramme ebenso wie Audits. Hierbei ist auf eine ständige Verbesserung der Prozesse und auf die Nachführung der Dokumentation zu den durchgeführten Maßnahmen Wert zu legen.
4.
Sichere Systeme
Die IT-Systeme müssen den Anforderungen mit ihrer Funktionalität, Sicherheit und Verfügbarkeit genügen und die Nachvollziehbarkeit unterstützen. Compliance beschränkt sich hier nicht nur auf die Anwendungsfunktionalität und das Dokumentenmanagement, sondern schließt den gesamten Betrieb der Lösung ein.
Obwohl Compliance sehr viel mit Dokumenten und Dokumentation zu tun, gilt es bei den Anforderungen immer in Prozessen zu denken. Das Hauptproblem von Compliance ist dabei, dass die Maßnahmen zunächst einmal viel Geld und organisatorischen Aufwand kosten, ohne dass hierdurch mehr Geschäft generiert wird. Compliance ist daher den meisten ein ungeliebtes Kind. Wenn man aber sein Unternehmen konsequent und strukturiert organi-siert, ist durch die Transparenz, die Nachvollziehbarkeit und die integre Verfügbarkeit von Information ein hoher qualitativer Nutzen gegeben, der sich auch betriebswirtschaftlich auszahlt.
Information Management Compliance
Aspekte der Information Management Compliance
Bei der Erstellung einer Richtlinie sind folgende Aspekte zu berücksichtigen:
>> Compliance ist vorrangig ein organisatorischer Prozess. Systeme dienen zur Unterstützung des Prozesses. Sie sind nicht in sich "compliant". Zertifikate der Ordnungsmäßigkeit und Compliance-Einhaltung beziehen sich auf das indviduelle Unternehmen und den Einsatz der Lösungen, nicht auf Produkte.
>> Moderne Software kann alle notwendigen Informationen über die Systeme und Komponenten sowie deren Nutzung selbst aufzeichnen. Die Zukunft liegt in selbstdokumentierenden Systemen, die den Menschen von der Dokumentation, Überprüfung und Nachhaltung entlasten. Die Aufzeichnung und Auswertung kann im Widerspruch zu Anforderungen des Datenschutzes stehen.
>> Compliance ist nicht punktuell und nicht statisch. Compliance muss kontinuierlich über alle Ebenen, alle Mitarbeiter, alle Prozesse und alle Systeme des Unternehmens gelebt werden.
>> Compliance darf nicht nur als lästige, die Geschäftstätigkeit behindernde Aufgabe betrachtet werden. Compliance vermeidet nicht nur Risiken sondern schafft Transparenz im Unternehmen, erlaubt die Erkennung von Potentialen und die Verbesserung der Organisation und Prozesse. Compliance kann so auch zur Wertsteigerung und Wertschöpfung eingesetzt werden.
>> Systeme nur zur Erfüllung der Compliance-Anforderungen einzuführen ist unwirtschaftlich. Systeme müssen die Compliance-Anforderungen so quasi nebenbei mit erfüllen.
>> Neben die sichtbare Welt der Geschäftsprozesse treten Compliance-Prozesse in den Systemen selbst. Workflow, Business Process Management und Protokollierung im Rahmen des Records Management liefern notwendige Informationen.
>> Compliance ist kein Projekt. Compliance kann im Rahmen eines Projektes initiiert und eingeführt werden, ist jedoch ein kontinuierlicher Prozess.
>> Der Mensch ist bequem und damit das größte Hindernis für Compliance. Information Management Compliance muss vorausschauend und aktiv gelebt werden. Die Bedeutung von Compliance wird auf Entscheiderebene immer noch unterschätzt.
>> Compliance ist unumgänglich. IT-Compliance sorgt für Transparenz in der virtuellen Welt der Systeme. Ohne IT-Compliance ist eine rechtliche Gleichberechtigung elektronischer und papiergebundener Information nicht möglich.
>> Eine Information Management Compliance Policy regelt den Umgang mit Information. Wird sie nicht umgesetzt und ständig nachgehalten, ist sie wertlos. Ohne sie fehlt der Maßstab um Risiken, den Wert von Information und die Abhängigkeit von Information zu erkennen.
Compliance und Records Management
Immer mehr Information entsteht elektronisch. Der Ausdruck dieser Information auf Papier ist nur noch eine mögliche Form der Repräsentation. Das elektronische Dokument wird selbst zum Original.
Um alle Informationen in einem Unternehmen, einer Behörde oder einer Organisation effektiv verwalten zu können, ist der Einsatz von Records-Management-Lösungen (auch ERM Electronic Records Management oder EDRM Electronic Document and Records Management) erforderlich. Records Management geht dabei über den Ansatz der elektronischen Archivierung hinaus:
>> Records Management-Systeme verwalten über Referenzen auch Informationen auf Papier in Aktenordnern oder auf Mikrofilm. Dies ermöglicht die vollständige Kontrolle auch "gemischter" Verfahren, in denen ein Parallelbetrieb mit unterschiedlichen Medien erforderlich ist.
>> Records Management-Systeme besitzen elektronische Ablagepläne und Thesauri, die eine strukturierte, geordnete, nachvollziehbare und eindeutige Zuordnung der Informationen sicherstellen. Hierbei werden Mehrfachzuordnungen nach unterschiedlichen Sachzusammenhängen und die Verwaltung unterschiedlicher Versions- und Historienstände der Ordnungssystematik unterstützt.
Records Management ist daher eine Basiskomponente für die Abbildung elektronischer, virtueller Akten und für die elektronische Vorgangsbearbeitung, die auch diejenigen Informationen bereitstellen, die Compliance-Anforderungen unterliegen.
Records Management nach ISO 15489
Die ISO 15489 Records Management stellt Management-Richtlinien zur Unternehmenspolitik und Vorgehensweisen für das Records Management des Unternehmens auf und dient als Anleitung zur Implementierung bei der Einführung von Records Management.
Die Norm definiert "Elektronisches Records Management sind die Methoden, Verfahren und Anwendungen, die zur geordneten Verwaltung, Erschließung, Bewahrung, Sicherung und Aussonderung von elektronischen Informationen dienen, die Geschäftsvorfälle, Rechtshandlungen und die Einhaltung rechtlicher und regulativer Vorgaben vollständig, richtig, authentisch, beweiskräftig und nachvollziehbar dokumentieren" (ISO, ISO Norm 15489 Records Management, 2001 (Schriftgutverwaltung)).
Die Grundprinzipien des Records Management sind in zahlreichen nationalen Regelungen der öffentlichen Verwaltung und Archive sowie in einer internationalen Norm niedergelegt. Die ISO-Norm 15489 gibt in Teil 1 Hilfestellungen zum:
>> Festlegen, welche Dokumente erzeugt und welche Information in die Dokumente eingefügt werden müssen sowie welcher Genauigkeitsgrad erforderlich ist
>> Entscheiden, in welcher Form und Struktur Dokumente erzeugt und erfasst werden sollen
>> Festlegen der Anforderungen zum Retrieval und Gebrauch von Dokumenten und wie lange sie archiviert sein müssen, um diesen Anforderungen zu genügen
>> Festlegen, wie Dokumente zu organisieren sind, um die Anforderungen für den Gebrauch zu unterstützen.
Die ISO Norm 15489 beschreibt in Teil 2 die Schritte für das Vorgehen der Umsetzung fest: Von der ersten Analyse und Identifizierung der Anforderungen bis zur Implementierung eines Records Management Systems und unternehmenspolitischen Maßnahmen.
Auch wenn diese ISO-Norm keine konkreten Kriterien für eine technische Prüfbarkeit von Systemen beinhaltet, ist sie jedoch ein wertvoller Leitfaden, um Information im Unternehmen transparent, geordnet und nachvollziehbar zu verwalten. Professionelles Records-Management ist damit eine Grundvoraussetzung zur Erfüllung von Compliance-Vorgaben.
MoReq Model Requirements
MoReq (Archiv der Europäischen Kommission, Model Requirements for the Management of Electronic Documents and Records, 2001) ist die wichtigste Spezifikation für elektronisches Dokumenten- und Records-Management in Europa. Die Abkürzung MoReq steht für "Model Requirements for the Management of Electronic Records". MoReq wurde im Auftrag der Europäischen Kommission (IDA Interchange of Data between Administrations, Katalog gemeinsamer Werkzeuge und Techniken) durch das DLM-Forum (DLM Network EEIG, DLM-Forum) erarbeitet. Die Vorteile von MoReq liegen darin, dass Anbieter ihre Produkte zukünftig nur noch auf einen europäischen Standard ausrichten müssen, und nicht mehr für jedes Land einen eigenen Standard in der Implementierung zu berücksichtigen haben.
MoReq in der ersten Version (MoReq1) wurde bereits von zahlreichen nationalen Standards als Maßstab genutzt, so z.B. TNA in England, Noark in Norwegen oder Remano in den Niederlanden. MoReq beschränkt sich jedoch nicht nur auf die öffentliche Verwaltung oder Nationalarchive sondern ist ein offener Standard, der auch in der freien Wirtschaft zum Einsatz kommt. Mo-Req1 wurde inzwischen in 10 Sprachen übersetzt und konnte sich als europäische Alternative zum amerikanischen DoD 5015.2-Standard etablieren. Da MoReq1 bereits 2001 entstanden ist, wurde von der Europäischen Kommission zusammen mit dem DLM Forum eine Aktualisierung und Erweiterung vereinbart.
Wesentliche Neuheiten in MoReq2 sind:
>> Flexiblere Struktur Berücksichtigung nationaler Anforderungen, Erweiterung des Funktionenkataloges, Definition optionaler Komponenten für unter-schiedliche Umgebungen und Anforderungen
>> Erweitertes Basismoduls Zugriffsverwaltung, Aufbewahrungsfirsten und Vernichtung, Export, Übertragung und Dokumentenaustausch, langfristige Bewahrung, konkretere Fassung und Beschreibung der Metadaten
>> Optionale Module Content-Management, Hybridsysteme, Workflow und Vorgangs-/Fallbearbeitung, E-Mail-Management, Dokumentenmanagement und Collaboration, Kryptographie, Verschlüsselung, Wasserzeichen, Digital Rights Management, Interoperabilität und Offenheit sowie dezentrale Systeme
>> MoReq Compliance: Test, Beurteilung von Produkten, Entwicklung von standardisierten Testskripten, Unterstützung einheitlicher MoReq-Compliance-Evaluierungen durch Tests als Vorlage für ein Zertifizierungsverfahren
Ende des Jahres 2007 wird die neue Version MoReq2 und das dazugehörige Test- und Zertifizierungsverfahren für Records Management Produkte fertig gestellt (Der MoReq2 Standard wird im Auftrag der Europäischen Kommission vond er Firma SERCO erstellt. MoReq-Information in Deutsch, www.moreq2.de, in Englisch www.moreq2.eu.).
ECM Enterprise Content Management und ILM
Übergreifende Ansätze
Vielfach wird Records Management wie die althergebrachte Archivverwaltung als eigenständige Lösung betrachtet. Bedeutsamer wird aber unter Compliance-Gesichtspunkten die Integration in die IT-Landschaft als Infrastruktur, die alle Komponenten berücksichtigt und die Durchgängigkeit der Dokumentation über alle Prozesse, Datenquellen und Anwendungen sicherstellt. Records Management ist daher eine wichtige Komponente in Konzepten wie ECM Enterprise Content Management, ILM Information Lifecycle Management und elektronischer Archivierung.
"Enterprise Content Management sind die Technologien zur Erfassung, Verwaltung, Bereitstellung, Speicherung und Langzeitarchivierung von elektronischen Inhalten und Dokumenten zur Unterstützung der Geschäftsprozesse im Unternehmen.” (AIIM Association for Information and Image Management International, 2005)
ECM umfasst herkömmliche dokumentenorientierte Informationstechnologien wie Scanning, Dokumentenmanagement, Knowledge Management, Workflow, Archivierung etc. und integriert die Host- und Client/Server-Welt mit Web-Content-Management-, Portal- und anderen Internet-Technologien.
Die Komponente Verwaltung sowie Verarbeitung von Information beinhaltet Document Management, Records Management, Business Process Management/ Workflow, Web Content Management und Collaboration. (AIIM international 2003)
Ein wesentliches Ziel von Enterprise Content Management ist die Sicherstellung der Einhaltung von Compliance-Anforderungen. Komponenten wie elektronische Archivierung, virtuelle Akten, Records Management und Process Management sind hierfür die entsprechenden Bestandteile.
ILM Information Lifecycle Management
"Information Lifecycle Management sind Strategien, Methoden und Anwendungen um Information automatisiert entsprechend ihrem Wert und ihrer Nutzung optimal auf dem jeweils kostengünstigsten Speichermedium bereitzustellen, zu erschließen und langfristig sicher aufzubewahren. Information wird mit der Geschäftstätigkeit durch Prozess-Management und Serviceleistungen in Zusammenhang mit Anwendungen, Metadaten, anderen Informationen und Daten koordiniert." (The Storage Networking Industry Association (SNIA), ILM definition, 2004)
Die Compliance-Anforderungen in den USA führten auch zu neuen Trends wie ILM Information Lifecycle Management. Getrieben von Hardware- und Speichersoftwareanbietern zielten diese Lösungen besonders auf die Erfüllung von Compliance-Anforderungen wie SOX. Daher ist auch E-Mail-Archivierung eine Komponente, die häufig unter der Flagge ILM angeboten wird. Kern ist dabei, dass Speichersysteme um immer mehr Softwarekomponenten ergänzt werden und in die traditionellen Bereiche von Records Management, Archivierung und Dokumentenmanagement vordringen.
ILM setzt auf herkömmlichen HSM Hierarchischem Speichermanagement auf und ergänzt dieses um Regeln, Prozesse und nur einmal beschreibbare Speichersysteme.
Elektronische Archivierung und Speichersysteme
"Elektronische Archive sind das Gedächtnis der Informationsgesellschaft" (Erki Liikanen, EU-Kommissar, DLM Forum 1999). Elektronische Archivierung steht für die unveränderbare, langzeitige Aufbewahrung elektronischer Information. Für die elektronische Archivierung werden in der Regel spezielle Archivsysteme eingesetzt. Der Begriff Elektronische Archivierung fasst unterschiedliche Komponenten zusammen, die im angloamerikanischen Sprachgebrauch separat als "Records Management", "Storage" und "Preservation" bezeichnet werden. (Verband Organisations- und Informationssysteme e. V. (VOI), Grundsätze der elektronischen Archivierung, 1997)
Zweck eines elektronischen Archivsystems ist es, unabhängig von Quelle, Erzeuger und späterer Nutzung Information sicher aufzubewahren und datenbankgestützt auf Anforderung wieder bereit zu stellen. Archivsysteme sind daher Dienste, die allen Anwendungen zur Verfügung stehen, die Informationen erzeugen, die langzeitig unverändert und sicher aufbewahrt werden müssen.
Man unterscheidet in Deutschland die Begriffe Langzeitarchivierung und Revisionssichere Archivierung:
>> Unter elektronischer Langzeitarchivierung versteht man Archivsysteme, die Daten und Dokumente über einen Zeitraum von mindestens 10 Jahren verfügbar halten.
>> Unter revisionssicherer elektronischer Archivierung versteht man Archivsysteme, die nach den Vorgaben von HGB § 239, AO §147 und GoBS Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten.
Elektronische Archivsysteme stellen für die gespeicherten Dokumente, dazugehörige Daten und Protokolle der Transaktionen die sichere Ablage dar, die die Nachvollziehbarkeit, Unveränderbarkeit und Vollständigkeit gewährleistet.
Speichertechnologien für die elektronische Archivierung
Eine wesentliche Komponente von Archiv- und Compliance-Lösungen sind die Speichersysteme zur sicheren Aufbewahrung der Daten und Dokumente. Bei den Speichertechnologien muss man heute eine Trennung zwischen der Verwaltungs- und Ansteuerungssoftware einerseits und den eigentlichen Medien andererseits machen.
Für die unveränderbare Langzeitarchivierung wurden Speichertechnologien geschaffen, die nur das einmalige Beschreiben erlauben. Dieses Verfahren nennt man WORM: "Write Once, Read Many". Ursprünglich wurde dieser Begriff nur für digital-optische Speichertechnologien verwendet. Die Speichermedien selbst waren dabei durch ihre physikalischen Eigenschaften gegen Veränderungen geschützt und boten eine wesentlich höhere Lebensdauer als die bis dahin bekannten magnetischen Medien.
In diese Kategorie von Speichermedien fallen heute folgende Typen:
>> CD-WORM: nur einmal selbst beschreibbare Compact Disk Medien
>> DVD-WORM: ähnlich wie die CD wird bei der DVD die Speicheroberfläche irreversibel im Medium verändert.
>> 5¼ Zoll WORM als UDO oder PDD Bei diesen Medien und Laufwerken handelt es sich um die traditionelle Technologie, die speziell für die elektronische Archivierung entwickelt wurde. Die Medien befinden sich in einer Schutzhülle und sind daher gegen Umwelteinflüsse besser gesichert, als CD und DVD, die für den Consumer-Markt entwickelt wurden.
Für die Verwaltung und Nutzung dieser Medien sind so genannte Jukeboxen, Plattenwechselautomaten, gebräuchlich. Diese stellen softwaregestützt die benötigten Informationen von Medien bereit. Die Software ermöglicht es in der Regel auch, Medien mit zu verwalten, die sich nicht mehr in der Jukebox befinden und auf Anforderung manuell zugeführt werden müssen.
Neben die klassischen Archivspeicher, die auf rotierenden, digital-optischen Wechselmedien basieren, treten inzwischen zwei weitere Technologien:
>> WORM-HD: RAID-Festplattensysteme, die durch spezielle Software die gleichen Eigenschaften wie ein herkömmliches WORM-Medien erreichen. Ein Überschreiben oder Ändern der Information auf dem Speichersystem wird durch die Kodierung bei der Speicherung und die spezielle Adressierung verhindert.
>> WORM-Tape: Magnetbänder, die durch mehrere kombinierte Eigenschaften ebenfalls die Anforderungen an ein herkömmliches WORM-Medium erfüllen. Hierzu gehören spezielle Bandmedien sowie geschützte Kassetten und besondere Laufwerke, die die Einmalbeschreibbarkeit sicherstellen.
Besonders für größere Unternehmen und Verwaltungen mit Rechenzentren und als Komponenten in einer Speicherhierarchie stellen Fest-platten- oder WORM-Tape-Archive eine Option dar, da sie sich einfach in den laufenden Betrieb und vorhandene Infrastrukturen integrieren lassen.
Generell gilt aber für alle Speichermedien:
>> Ein Medium allein und Medien nur einen Typs sind nie genug
>> Die Sicherheit von Hard- und Software allein ist nicht ausreichend – der gesamte Betrieb, die Nutzung und die Verfahren müssen sicher sein
>> Die regelmäßige Prüfung der Lesbarkeit und Verarbeitungsfähigkeit vermeidet Risiken und Verluste
>> Bereits bei der Erstinstallation eines elektronischen Archivs ist die Migration mit einzuplanen
Erklärung der Abkürzungen
WORM, Write Once, Read Many
CD-WORM, Compact Disc - Write Once, Read Many
DVD-WORM, DVD - Write Once, Read Many
UDO, Ultra Density Optical, ISO/IEC 17345
PDD, Professional Disc for Data
WORM-HD, Write Once, Read Many - Hard Disc
WORM-Tape, Write Once, Read Many - Tape
Zehn Compliance-Merksätze
"Wichtigster Grundsatz: Keine Angst vorm Thema Compliance!"
Als Zusammenfassung eine Reihe von Merksätzen zur Information Management Compliance:
1. Compliance-Themen gehören auf die Entscheiderebene, die die Verantwortung für die Einhaltung und Umsetzung der Anforderungen haben
2. Compliance-Anforderungen sind ein Bestandteil jedweder Corporate Governance-Strategie
3. Unternehmen benötigen eine Richtlinie zum Umgang mit Informationen, eine Information Policy, die die Compliance-Anforderungen und die Lösung zur Umsetzung der Anforderungen beinhaltet
4. Compliance muss durchgängig im Unternehmen implementiert werden, um wirksam zu sein
5. Die Erfüllung von Compliance-Anforderungen ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess
6. Die Erfüllung von Compliance-Anforderungen muss regelmäßig nach definierten Verfahren überprüft werden
7. Information Management Compliance betrifft nicht nur Software und Systeme, sondern die Prozesse im Unternehmen, die Organisation und den Umgang mit den Systemen
8. Compliance-Anforderungen betreffen nicht nur elektronische Archive, sondern alle Systemkomponenten, in denen aufbewahrungspflichtige Daten, Informationen und Dokumente erzeugt, genutzt und verwaltet werden
9. Die Erfüllung von Compliance-Anforderungen muss auch für den eigenen Nutzen im Unternehmen genutzt werden, um mehr Transparenz und Sicherheit zu schaffen und um das Unternehmen auf das Informationszeitalter einzustellen.
10. Man darf sich nicht durch den Begriff Compliance verunsichern oder gar verängstigen lassen, sondern muss zunächst im Unternehmen prüfen, welche Regelungen für welchen Anwendungsfall überhaupt relevant sind.
Ausblick
Lösungen für die Unterstützung von Compliance wie E-Mail-Management und Records Management sind heute die wichtigsten Markttreiber für den Einsatz von Enterprise Content Management.
Anbieter von Informations- und Dokumenten-Management-Lösungen wittern, aufgrund der in nahezu allen Staaten wachsenden Compliance-Anforderungen, das große Geschäft. Compliance-Angebote sind bei den meisten ECM Enterprise-Content-Management-Anbietern mittlerweile fester Bestandteil des Produktangebotes.
Compliance-Anforderungen treiben den Markt für Dokumenten-Technologien
Bei Umfang und Zielsetzung der angebotenen Software und Systeme sind aber noch Unterschiede zu finden. Die größeren Anbieter setzen auf eine vollständige Kontrolle und Dokumentation des Informationsflusses und beschränken sich nicht nur auf das Thema Archivierung oder Records Management. Andere Anbieter preisen Lösungen für E-Mail-Archivierung an, was für Anwender die Gefahr birgt, auf einer Compliance-Insellösung sitzen zu bleiben. E-Mails und ihre Anhänge gehören in einen fachlichen Zusammenhang, in elektronische Kunden-, Produkt- oder Vorgangsakten. E-Mails separat zu archivieren bringt mittelfristig mehr Probleme denn Vorteile. Das Gleiche gilt für steuerrelevante Daten. Sie separat und nur für den Steuerprüfer aufzubewahren ist unwirtschaftlich. Auch dedizierte Systeme nur für Daten aus dem ERP oder nur für gescannte Dokumente sind aus Compliance-Gesichtspunkten nicht empfehlenswert. Alle Informationen gehören unabhängig von ihrem Format entsprechend ihrem Inhalt und Rechtscharakter in einen Sachzusammenhang.
Ein wesentliches Konzept ist daher die Nutzung einheitlicher Speichersysteme, die unabhängig von Format, Quellsystem oder Erzeuger Informationen recherchierfähig und im Kontext allen Anwendungen zur Verfügung stellen. Aber nicht der Speicherort und seine Verwaltung mit einem Records-Management-System allein ist die Lösung für Compliance. Es gilt die Prozesse selbst zu unterstützen und selbstdokumentierende Systeme zu schaffen, die den Anwender entlasten sowie Vollständigkeit und Richtigkeit der Aufzeichnungen sicherstellen.
Lösungen zur Unterstützung von Compliance-Anforderungen sind daher zukünftig eher Infrastruktur denn separate Einzelsysteme.
Der Markt und das Produktangebot reagieren auf diese Anforderung mit der Bereitstellung von Diensten für SOA-Architekturen, ECM Enterprise-Content-Management-Suiten, die alle Aspekte berücksichtigen, und Business-Process-Management-Komponenten, die die prozessualen Aspekte von Compliance abdecken sollen.
Dennoch bleibt bei Information Management Complaince die wichtigste Voraussetzung nicht nur in Systemen denken. Alle Komponenten – Richtlinien, Geschäftsprozesse, Aufbauorganisation, Mitarbeiter – müssen zusammenspielen. Einzellösungen gibt es bei Compliance nicht. Durchgängigkeit und Nachhaltigkeit sind entscheidend.
Systeme können Compliance-Prozesse unterstützen, überwachen und dokumentieren. Sie selbst sind jedoch nur ein Baustein in einem größeren Gesamtprozess.
In dem Maße, wie das Thema Compliance in Wirtschaft und Gesellschaft an Raum gewinnt, müssen alle Softwaresysteme eines Unternehmens oder einer Organsiation Compliance-fähig gemacht werden. Dies geht über spezielle Systeme wie Records Management oder elektronische Archivierung weit hinaus. Der Markt wird auf diese sich verändernde Anforderung reagieren, denn ohne Information Management Compliance kann die Informationsgesellschaft nicht funktionieren.
Literatur
- Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). BStBl 1995 I S. 738, 1995 (GoBS)
- Bundesministerium der Finanzen: Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), BGBl. I S. 1542, 2001 (GDPdU)
- Bundesministerium der Justiz: Abgabenordnung (AO), §§ 146, 147, 200, BGBl. I S. 3866, ber. 2003 S. 61, 2002 (AO)
- Bundesministerium der Justiz: Bürgerliches Gesetzbuch (BGB) §§ 126, 127, BGBl. I S. 42, ber. S. 2909 und BGBl. 2003 S. 738, 2002 (BGB)
- Bundesministerium der Justiz: Gesetz über elektronische Handelsregister und Genossenschaftsregister sowie das Unternehmensregister (EHUG), BGBl. 2006 Teil I Nr. 52, 2553 ff., 2007 (Unternehmensregister)
- Bundesministerium der Justiz: Gewinnabgrenzungsaufzeichnungsverordnung (GAufzV), BGBl. I S. 2296, 2003 (GAufzV)
- Bundesministerium der Justiz: Handelsgesetzbuch (HGB), §§ 239, 257, (Letzte Änderung) BGBl. I S. 1330, 1379,2007 (HGB)
- Bundesministerium der Justiz: Zivilprozessordnung (ZPO), §§ 292a, 286, 130, 371, BGBl. I S. 3202, ber. 2006 I S. 431, 2007 I S. 1781, 2005 (ZPO)
- Bundesministerium des Innern: DOMEA-Konzept (Konzept für Dokumenten-Management und elektronische Archivierung in der öffentlichen Verwaltung), Fassung 2.1, 2005 (DOMEA)
- Bundesministerium für Justiz: Bundesgesetz über besondere zivilrechtliche Vorschriften für Unternehmen (Unternehmensgesetzbuch (UGB)), BGBl. I Nr. 120/2005, 2005 (Handelsrechts-Änderungsgesetz (HaRÄG))
- Cornell Law School, Legal Information Institute: Federal Rules of Civil Procedure (FRCP), 2006 (FRCP)
- EU-Parlament: Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt ("Richtlinie über den elektronischen Geschäftsverkehr"), 2000 (2000/31/EG)
- EU-Parlament und Rat: Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, 1999 (1999/93/EG)
- EU-Parlament und Rat: Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen, zur Änderung der Richtlinien 78/660/EWG und 83/349/EWG des Rates und zur Aufhebung der Richtlinie 84/253/EWG des Rates (8. EU-Richtlinie), 2006 (2006/43/EG)
- Europäische Kommission: Model Requirements for the Management of Electronic Documents and Records. MoReq Specification. INSAR Supplement VI, ISBN 92-894-1290-9. 2001
- Finra - the Financial Industry Regulatory Authority: NASD 3010 und NASD 3110
- handelsblatt.com/wirtschaftswiki: Definition Basel II, 2005 (Basel_II)
- ISO: DIN ISO 15489-1 (Information and documentation - Records management - Part 1: General) und DIN ISO 15489-2 (Information and documentation - Records management - Part 2: Guidelines), 2001 (15489-1 und 15489-2)
- Kahn, Randolph A.; Blair, Barclay T.: Information Nation - Seven Keys to Information Management Compliance. AIIM, 2004
- Kampffmeyer, Ulrich: IMC Information Management Compliance Policies und ihre Umsetzung. IIR Kongress "IT-Compliance", 2006
- Kampffmeyer, Ulrich: Corporate Governance, PROJECT CONSULT Newsletter 20050817, ISSN 1439-0809, 2005 (20050817)
- Kampffmeyer, Ulrich: Dokumenten-Technologien: Wohin geht die Reise?, PROJECT CONSULT, ISBN 3980675645, 2003.
- Kampffmeyer, Ulrich: Compliance. Documentum Whitepaper zum Keynote-Vortrag "Regulative Vorgaben beflügeln den Markt für Dokumenten-Technologien", DMS EXPO 2004, Essen, PROJECT CONSULT/Advanstar, 2004 (Compliance Whitepaper)
- Kampffmeyer, Ulrich; Groß, Stefan und Lamm, Martin: GDPdU: Finanzgerichte weiten das Recht auf Datenzugriff aus, PROJECT CONSULT Newsletter 20070720, ISSN 1439-0809, 2007
- Kampffmeyer, Ulrich und Risse, Sarah: Artikel "MoReq Update - Die Model Requirements für elektronisches Records Management der Europäischen Kommission werden aktualisiert und erweitert", 2007 (MoReq-Update)
- Kampffmeyer, Ulrich und Rogalla, Jörg: Grundsätze der elektronischen Archivierung. VOI-Kompendium Band 3. Verband Organisations- und Informationssysteme e. V (VOI), ISBN 3-932898-03-6, 1997
- Kampffmeyer, Ulrich; Henstorf, Karl-Georg; Prochnow, Jan et. al.: Grundsätze der Verfahrensdokumentationen nach GoBS. VOI-Kompendium Band 4, Verband Organisations- und Informationssysteme e. V (VOI), ISBN 3-932898-04-4, 1999
- Kampffmeyer, Ulrich; Llewellyn, A.: Are e-documents legal in Europe?. Document World, Vol. 4 No.3, pp.45-8, 1999
- Kampffmeyer, Ulrich: GDPdU & Elektronische Archivierung. PROJECT CONSULT Newsletter (Teil 1-4) 20050531, 20050624, 20050720, 20050817, 2005 (GDPdU & Elektronische Archivierung)
- National Archives and Records Administration: Code of Federal Regulations (CFR), (CFR)
- National Highway Traffic Safety Administration: Transportation Recall Enhancement, Accountability and Documentation Act (TREAD), 2000 (TREAD)
- Österreich: Mediengesetz (MedG). BGBl I Nr. 49/2005 und 151/2005, 2005 (MedG)
- PROJECT CONSULT: Recht & Gesetz: Unternehmensgesetzbuch, PROJECT CONSULT Newsletter 20070529, ISSN 1439-0809, 2007 (20070529)
- Sarbanes-Oxley Act of 2002 (SOX). Pub. L. No. 107-204, 116 Stat. 745, 2002 (Sarbanes-Oxley Act)
- Securities and Exchange Commission: Books and Records Requirements for Brokers and Dealers Under the Se-curities Exchange Act of 1934, 17 CFR PARTs 240 and 242 [Release No. 34-44992 ; File No. S7-26-98] RIN 3235-AH04, 2003 (SEC: 34-44992)
- United States Department of Defense: DoD 5015.2-STD RMA Design Criteria Standard, 2007 (DoD 5015.2-STD)
- United States Food and Drug Administration, Office of Regulatory Affairs: Federal Register Part II, 21 CFR Part 11, 2003 (Draft Guidance for Industry on Part 11)
- United States Food and Drug Administration: 21CFR210 (Current good manufacturing practice in manufacturing, processing, packing, or holding of drugs; general) und 21CFR211 (Current good manufacturing practice for finished pharmaceuticals), 2006 (21CFR)
- United States Department of Health & Human Services, Office for Civil Rights: Health Insurance Portability and Accountability Act (HIPAA), Pub. L. 104-191, 110 Stat. 1936, 1996 (HIPAA)
- United States Department of Justice: The Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act (USA PATRIOT ACT) of 2001. Pub. L. No. 107-56, 115 Stat. 272, 2001 (USA PATRIOT ACT)
- United States Sentencing Commission: Federal Sentencing Guidelines (FSG), 2006 (FSG)
- Winkler, Maria: Verordnung über die Führung und Aufbewahrung der Geschäftsbücher – GeBüV, Vortrag "Rechtliche Aspekte der elektronischen Archivierung" auf dem Datenschutz-Forum, 2005 (Rechtliche Aspekte der elektronischen Archivierung)
Über den Autor
* Dr. Ulrich Kampffmeyer,
Jahrgang 1952, ist Gründer und Geschäftsführer der PROJECT CONSULT Unternehmensberatung GmbH, Hamburg, eine der führenden produkt- und herstellerunabhängigen Beratungsgesellschaften für ECM Enterprise Content Management, BPM Business Process Management, Knowledge Management und andere DRT Document Related Technologies.
Er berät namhafte Kunden aller Branchen im In- und Ausland bei der Konzeption und Einführung von Compliance-, DRT-, ERM- und ECM-Lösungen.
Als Gründer und langjähriger Vorstandsvorsitzender nationaler und internationaler Branchenverbände prägte er wesentlich den deutschen Markt für Dokumenten-Management. Er ist einer der Gründer und Geschäftsführer des DLM-Network EEIG. Ulrich Kampffmeyer ist Mitglied in mehreren internationalen Standardisierungsgremien im Umfeld des Workflow-, Dokumenten- und Records-Management.
Dr. Kampffmeyer ist anerkannter Kongressleiter, Referent und Moderator zu Themen wie elektronische Archivierung, Records-Management, Dokumenten-Management, Workflow, Rechtsfragen, Business Re-Engineering, Wissensmanagement und Projektmanagement. Auf zahlreichen nationalen und internationalen Kongressen und Konferenzen wirkte er als Keynote-Sprecher mit.
Über PROJECT CONSULT
Die PROJECT CONSULT Unternehmensberatung GmbH mit Sitz in Hamburg wurde am 01.07.1992 gegründet.
PROJECT CONSULT hat sich auf die Beratung im Umfeld von DRT Document Related Technologies wie ECM Enterprise Content Management, Wissensmanagement, Dokumentenmanagement, elektronische Archivierung, Records Management, ILM Information Lifecycle Management und angrenzende Bereiche spezialisiert. Zum Leistungsangebot gehören Strategie, Konzeption, Auswahl, Abnahme und Dokumentation sowie das zugehörige Projektmanagement zur Einführung von komplexen Informationsmanagementsystemen.
PROJECT CONSULT arbeitet branchenübergreifend mit Schwerpunkt im deutschsprachigen Raum. Die Unternehmensberatung ist ausschließlich für Endanwender tätig um eine von Anbietern unbeeinflusste, unabhängige Beratung sicherzustellen.
PROJECT CONSULT setzt auf das Know-how langjährig im ECM-Markt erfahrener Berater.
PROJECT CONSULT ist in verschiedenen Standardisierungsinitiativen wie z.B. MoReq der Europäischen Kommission, aktiv tätig.
Der Beitrag:
"Information Management Compliance - PROJECT CONSULT Whitepaper "
wurde von der Vereon AG zur Verfügung gestellt.
Versäumen Sie nicht Teil 1 des Whitepapers zu lesen
Hier geht es zum Teil 1 des Whitepapers