von Jörg Rogalla, Bereichsleiter Enterprise Content Management
C:1 Solutions GmbH
Business-Kommunikation wird heute fast ausschließlich elektronisch abgewickelt. Der Gesetzgeber reagiert und die gesetzlichen Anforderungen steigen ständig. Wie können Unternehmen diesen Anforderungen begegnen und auch noch einen Nutzen realisieren?
Geschäftspost und Papierablage ist heute nur noch eine Ausgabe- und Kommunikationsform. Die Welt wird zunehmend elektronisch, Emails haben die papierne Geschäftspost schon lange verdrängt. Der elektronische Geschäftsvorgang und E-Commerce werden zum Regelfall. IT- Systeme lösen papiergestützte Prozesse ab und ermöglichen Manipulation. Für diesen Fall sind eine Vielzahl von Vorgaben und Richtlinien erlassen worden, die eine Verfälschung von Daten und Dokumenten verhindern sollen.
Außerdem ist zu berücksichtigen: alle rechtlichen und gesetzlichen Vorgaben gelten auch in der elektronischen Welt! Zumeist ist aber eine konkrete Adaption der Anforderungen im Sinne einer neuen Verordnung nicht vollzogen worden, deswegen müssen diese abgeleitet werden.
Compliance – was ist das?
Unter dem Stichwort „Compliance“ werden zurzeit einen Vielzahl von gesetzlichen Vorgaben und Richtlinien wie z.B. GDPdU, GoBS, Basel II, Sarbanes-Oxley-Act und KonTraG diskutiert. Derzeit kommen weitere Herausforderungen auf die Unternehmen zu zum Beispiel SEPA, MiFID und VVG. Wesentlicher Treiber ist die europäische Gesetzgebung mit Ihren Richtlinien, die nach einer gewissen Frist in nationales Recht umgesetzt werden müssen.
Was bedeutet Compliance konkret? Ein Unternehmen hat kontinuierlich auf die Einhaltung von relevanten rechtlichen Vorgaben auf von Gesetzen und Verordnungen und auf Vorgaben auf Basis von Normen und Standards zu achten. Hierbei ist zu betonen, dass es sich in der Regel nicht um eine einmalige Aktivität, sondern um einen Kontrollprozess handelt, der im Unternehmen implementiert werden muss. In der Regel sind seitens des Gesetzgebers keine konkreten technischen Vorgaben definiert, so dass zuerst organisatorische Grundlagen geschaffen werden müssen. Es geht in der Regel um Verantwortung von Mitarbeitern, deren Aktivitäten und um die Nachvollziehbarkeit. Wenn ein ehemals papierbasierter Prozess zukünftig in der digitalen Welt abgewickelt wird, sind die Prozesse und IT-Systeme zu überprüfen und anzupassen!
Compliance – IT als wesentliche Grundlage
Wenn man die Aspekte Verantwortlichkeit und Aktivitäten berücksichtigt, wird deutlich, dass um verschiedene Aspekte der Informationstechnik geht. Zugriffschutz und Kontrollsysteme, Datenschutz und Datensicherung sowie Records Management und Archivierung sind wichtige Elemente bei der Umsetzung einer entsprechenden IT-Infrastruktur. Innerhalb der gesamten IT-Branche wird deswegen das Thema Compliance als Chance begriffen, den Kunden unter verschiedensten Blickwinkeln neue Produkte anzubieten.
So fasst die SAP und führende Unternehmensberatungen das Thema unter „Governance, Risk and Compliance“ zusammen. Man betrachtet in diesem Zusammenhang gerne Prozesse und Aktivitäten, die auf ERP-Daten basieren.
Governance steht dabei für Unternehmensführung und enthält die strategischen Direktiven, denen ein Unternehmen folgen möchte. Das Risikomanagement bewertet die hieraus resultierenden Gefährdungspotentiale sowie Auswirkungen für das Unternehmen. Compliance subsummiert alle notwendigen Tätigkeiten, um diese Risiken zu beseitigen bzw. zu vermindern. Darüber hinaus wird der Begriff Compliance im Kontext der Stammdaten¬erfassung unter dem Stichwort Data Governance und bei inhaltlichen Teilaspekten wie zum Beispiel Steuermanagement und Steuerrisko aufgegriffen. Sogar Software-Testtools werden unter dem Aspekt Compliance adressiert.
Ein großer Teil dieser Ansätze fordert eine Automatisierung von Prozessen und damit den Einsatz von Workflow bzw. Business Process Management – und damit letztlich auch ECM.
Compliance - ECM als notwendiger Baustein
Es geht also um die sachgerechte Speicherung und schnelle Bereitstellung von Informationen wie Business Daten, Dokumenten und Prozessdaten. Damit werden die ECM-Grundfunktionalitäten Workflow, Dokumentenmanagement und elektronische Archivierung adressiert – und zwar ganzheitlich und nicht als Insel. Gerade die Email-Archivierung wird derzeit punktuell aufgegriffen, dies ist aber nicht zielführend, da Emails inzwischen Geschäftspost sind und damit in den Kontext eines Vorgangs gehört. Dieser Vorgang besteht dann aus Daten und Dokumenten, die über alle vorhandenen Kanäle z.B. Scanning, Fax, EDI und auch Email, eingelesen werden. Die selektive Speicherung aller eingehenden Emails hilft nur deren Vollständigkeit sicherzustellen, der Geschäftsvorfall oder der Prozess wird damit nicht ganzheitlich unterstützt. Es gilt also organisatorisch sicherzustellen, dass die elektronischen Dokumente und Informationen, die durch den Anwender kontrolliert werden, in den Vorgang überführt werden. Ergänzend hierzu stellt eine ganzheitliche ECM-Compliance-Lösung auch eine Fundstellenverwaltung für Urkunden und andere wichtige analoge Dokumente zur Verfügung.
Unter SAP sind praktisch alle Elemente vorhanden: das ERP-System verwaltet die Daten, das GRC-Modul wacht über die Datenqualität inklusive der Berechtigungen und unterstützt das Risikomanagement. Das SAP Records Management ermöglicht die Zusammenfassung von zugehörigen Dokumenten in Akten oder Vorgängen. Darüber hinaus ist der SAP Business Workflow die infrastrukturelle Grundlage die Abwicklung der elektronischen Prozesse.
Da die Einrichtung eines konkreten Workflows unter Umständen sehr aufwändig ist und sich einige Prozesse dynamisch in Abhängigkeit vom Prozessverlauf entwickeln, kann das SAP Records Management mit einem Add-on erweitert werden. Dieses ermöglicht jederzeit Ergänzung von Prozessschritten, die Darstellung von Vorgänger/Nachfolger-Beziehungen, eine Terminierung durch Definition von Meilensteinen und die Zuordnung von Verantwortlichkeiten. Damit können auch komplexe und flexible Prozesse mit IT-Unterstützung abgewickelt werden. Jeder einzelne Prozess wird in der Akte dokumentiert. Das Unternehmen erhält also Termintreue, Transparenz im Prozess und die notwendige Protokollierung der Abwicklung in einer einzigen Anwendung.
Auch wenn ein Unternehmen kein SAP einsetzt, ist die elektronische Archivierung und das Records Management zur rechtlichen Absicherung von elektronischen Dokumenten unabdingbar. Es ist sicherzustellen, dass Dokumente und Emails aus der Kontrolle des jeweiligen Anwenders in den konkreten Gesamtzusammenhang des Business Prozesses gestellt werden. Zumeist liegen Office-Dateien ohne jegliche Indizierung in Datensilos oder auf Abteilungsservern. Konventionen für die Benennung der Dateien und der Verzeichnisse existieren nicht oder können umgangen werden. Emails verbleiben auf den ungesicherten, lokalen Festplatten der Anwender, weil der Plattenplatz auf den Exchange- oder Lotus Notes Server durch die Administratoren begrenzt werden müssen. Records Management löst auch hier diese Probleme. Die Datenintegrität selbst ist weiterhin über die jeweiligen ERP- und Finanzbuchhaltungssystem sicherzustellen.
Compliance – die Vorgehensweise
Was kann ein Unternehmen tun, um „compliant“ zu sein? Im ersten Schritt sind die für das Unternehmen relevanten gesetzlichen Vorgaben und Richtlinien zu identifizieren. Die GoBS und GDPdU sind für praktisch alle Unternehmen anzuwenden. Es ist zu prüfen, welche weiten Anforderungen bestehen. Besonderes Augenmerk ist auf die branchenspezifischen Verordnungen zu richten. Für ein solches Projekt ist die interne Revision im Unternehmen zu beauftragen. Wenn diese Abteilung nicht existiert, ist dies eine Aufgabe der Abteilung Organisation.
Aus der Auflistung und Interpretation der Vorgaben wird der Maßnahmenkatalog abgeleitet. Er umfasst die Schritte für die technische und organisatorische Umsetzung einer Compliance-Lösung. Es müssen in der Regel die vorliegenden Prozesse und der Informationsfluss angepasst werden. Gegebenenfalls sind entsprechende Infrastrukturen für das Risikomanagement und die Daten- und Dokumentablage einzurichten. In jedem Fall benötigt ein Unternehmen eine IT-Infrastruktur, die strukturierte und unstrukturierte Informationen über ihren gesamten Lebenszyklus vorhält.
Compliance - mehr Chance als Fluch…
Ohne den Einsatz von Enterprise Content Management wird es zunehmend schwerer den gesetzlichen und regulativen Anforderungen zu entsprechen. Unternehmen welche SAP und das Records Management einsetzen, besitzen eine exzellente Grundlage, um Daten und Dokumente „compliant“ abzulegen. Aber auch für alle anderen Unternehmen lässt sich folgendes zusammenfassen:
| | | |
| | · | Compliance ist Motivation für ein Organisations- und IT-Projekt |
| | · | Revisionssichere elektronische Archivierung ist unabdingbar |
| | · | ECM ist ein notwendige Baustein für ein Compliance-Lösung |
| | · | Business Process Management erlaubt eine vollständige Prozesskontrolle |
| | · | Email Archivierung ist eine nur Insellösung |
Compliance ist also die Chance, Unternehmensprozesse schneller, einheitlicher und transparenter zu gestalten und Risiken früher zu erkennen.
Metadata