Bericht von der PROJECT CONSULT Roadshow „MoReq2 und Records Management“
Unter dem zunehmenden Compliance-Druck rückt Records Management auch in Deutschland zunehmend ins Blickfeld der Anwender und Anbieter. Kurz vor der Erscheinung der zweiten Version des einzigen europäischen Standards für Records Management, MoReq2 (Model Requirements for Electronic Records Management), nutzten zahlreiche Interessierte auf der PROJECT CONSULT Roadshow „MoReq2 & Recordsmanagement“ die Gelegenheit, sich über wesentliche Inhalte der Spezifikation sowie deren Bedeutung für den Anwender und den Einfluss auf die ECM-Landschaft in Deutschland zu informieren.
Die Roadshow wurde gemeinsam von PROJECT CONSULT und den führenden Anbietern aus dem Records-Management-Umfeld - Hyperwave, IBM, Meridio und Saperion sowie dem Testing-Unternehmen Imbus - unter der Leitung von Dr. Ulrich Kampffmeyer durchgeführt. In der Woche vom 26. - 30. November fanden sich in Hamburg, Düsseldorf, Frankfurt, Berlin und München zahlreiche Interessierte zu informativen Vorträgen und angeregten Diskussionen zusammen.
In seinen einführenden Vorträgen definierte Dr. Ulrich Kampffmeyer Records Management oder ERM Electronic Records Management als Strukturierungs-, Verwaltungs- und Organisationskomponente zur Handhabung von Aufzeichnungen. ERM sei nicht mit elektronischer Archivierung deutscher Prägung gleichzusetzen, obwohl viele Ansätze sich hier wieder fänden.
Er wies darauf hin, dass ERM auch eine wichtige Komponente von ECM Enterprise Content Management ist, die besonders zur Erfüllung von Information Management Compliance zur Erfüllung rechtlicher und regulativer Anforderungen an die Dokumentation von Unternehmensprozessen und Dokumenten notwendig ist. In der Abgrenzung zum Dokumenten-Begriff insbesondere im deutschen Sprachgebrauch ist zu beachten, dass nicht jedes Dokument ein Record ist und ein Record aus mehreren Dokumenten bestehen kann.
Die überarbeitete und erweiterte Version von MoReq (Model Requirements for the Management of Electronic Records), dem europäischen De-facto-Standard für das elektronische Recordsmanagement, wird Ende dieses Jahres veröffentlicht werden. MoReq ist eine der wichtigsten Spezifikationen für elektronisches Dokumenten- und Records Management in Europa, die sowohl funktionale als auch nichtfunktionale Anforderungen an Records-Management-Systeme beschreibt und gleichermaßen für Organisationen des öffentlichen und privaten Sektors gültig ist. Die Einzigartigkeit ist in dieser durchgängigen Abdeckung aller Kernfunktionen und angrenzenden Bereiche begründet, wie Dr. Kampffmeyer betonte.
MoReq spezifiziert Anforderungen zu den Funktionsbereichen, Klassifikationsschemata, Zugriffsverwaltung und Sicherheit, Aufbewahrung und Vernichtung, Erfassung von Schriftgut, Suche, Retrieval und Ausgabe, Administrative Funktionen sowie nicht-funktionale Anforderungen wie z.B. Anwenderfreundlichkeit und Systemverfügbarkeit. MoReq schließt auch Richtlinien zur Betrachtung von operationalen Systemen und Managementsystemen ein und erstellt nicht nur Anforderungen für eine Aufbewahrung von elektronischen Aufzeichnungen, sondern auch für andere elektronische dokumentenbezogene Funktionen wie Workflow, E Mail und elektronische Signaturen. Das ursprüngliche Spezifikationsdokument, inzwischen als MoReq1 abgekürzt, wurde in 11 Sprachen übersetzt, ist aber nicht in einer deutschen Version verfügbar.
In Hinblick auf die aktuelle Bedeutung des Standards wies Dr. Kampffmeyer darauf hin, dass die erste Version bereits als Grundlage für Standards einiger EU-Länder gedient hat, wie z.B. REMANO in den Niederlanden und NOARK in Norwegen, darüber hinaus in Slowenien gesetzlich verankert und in Russland der empfohlene Standard für die öffentliche Verwaltung ist.
Seit Februar 2007 wird an einer Erweiterung des ursprünglichen MoReq-Standards gearbeitet. Wesentliche Inhalte der Erweiterungen in MoReq2 sind die Schaffung einer flexibleren Struktur, die Erweiterung des Basismoduls, die Schaffung neuer optionaler Module, die Entwicklung eines MoReq Compliance Tests für Softwareprodukte sowie die Ergänzung um eine länderspezifische Einleitung, wie aus dem Scoping Report des DLM Forum zu MoReq2 hervorgeht.
Die aktuelle Version der Spezifikation kann unter www.moreq2.eu eingesehen werden.
Dr. Kampffmeyer beendete seinen Vortrag mit einem aktuellen Lagebericht von der letzten DLM-Forum-Konferenz, die vom 22.-23. November in Lissabon stattgefunden hat. Noch in der Diskussion befindlich ist die Aufteilung in Pflicht und optionale Module, sodass hier noch eine Verschiebung möglich ist. Unklar ist außerdem, wie mit dem sogenannten „Chapter 0“, der länderspezifischen Einleitung, umgegangen werden soll, insbesondere wer für diese verantwortlich ist und wie diese in Übereinstimmung mit dem Standard kontrolliert werden können. Offiziell ist, dass es eine deutsche Übersetzung sowie ein deutsches „Chapter 0“ geben wird, die unter der Federführung des deutschen Bundesarchivs erstellt werden.
Über die Entwicklung der MoReq2-Testmaterialen berichtete Michael Haimerl, Senior Consultant für Software Qualitätssicherung bei der imbus AG und im Team der imbus AG zuständiger Projektleiter für die Entwicklung der Spezifikation der MoReq Conformance Tests. Diese sollen dem Scoping Report entsprechend sowohl dem allgemeinen Testen der Produktzertifizierung als auch dem Testen spezifischer Implementierungen beim Anwender dienen. Die Testfälle werden nach IEEE 829 „Software Test Documentation“, einem Standard für die Test-Methodik, spezifiziert. Zum Erhalt des MoReq2-Zertifikats müssen alle Pflichtanforderungen hundertprozentig erfüllt sein, die optionalen Module können zusätzlich zertifiziert werden. Derzeit umfasst das Testmaterial ca. 600 Testscripte zur Kernfunktionalität und ca. 400 Testscripte für die optionalen Module. Das Interimsrelease (2. Draft) des Testmaterials ist freigegeben und derzeit in Prüfung. Die finale Abnahme der Unterlagen ist für April 2008 vorgesehen. Parallel zur Fertigstellung plant die imbus AG ab Januar 2008 Pilottests, wie Herr Haimerl angab. Das offizielle Zertifizierungsorgan wird voraussichtlich das DLM-Forum sein. Mit der Durchführung der Tests selbst wird ein noch auszuwählendes Unternehmen beauftragt werden, was dann einen Prüfbericht mit Empfehlung über die Zertifizierung an das Forum liefert.
Peter Luttenberger, Leiter Produktmanagement bei Hyperwave, erläuterte in seinem Vortrag, wie wichtig Collaborative und Compliant Information Management für Unternehmen geworden ist, und zeigte, wie dies mit den Produkten von Hyperwave unter der Berücksichtigung von Standards erreicht werden kann. Die Notwendigkeit der Aufbewahrung und Festlegung von Regeln für den Umgang mit Informationen sei insbesondere vor dem Hintergrund, dass die Art der Dokumenterstellung und die Orte an denen Informationen entstehen immer vielfältiger werden, gegeben. Hierzu tragen die zunehmende Verbreitung von Web 2.0-Technolgien bei, die eine Dynamisierung der Informationserstellung zur Folge haben: jeder kann Inhalte erstellen und veröffentlichen. Angesichts der diversen Compliance-Anforderungen sei es sehr wichtig die Schaffung von Insellösungen zu vermeiden. So könne MoReq2, von Luttenberger als gemeinsame Straßenverkehrsordnung bezeichnet, zu einem einheitlichen Umgang mit Informationen über Standort- und Ländergrenzen hinweg beitragen. Denn die Bedeutung des Standards wird eben vor allem in Hinblick auf den Datenfluss in multinationalen Konzernen und die Zusammenarbeit von internationalen Teams gesehen. Darüber hinaus betonte Herr Luttenberger auch, wie wichtig es sei, dass ein so umfassender, internationaler Standard den Erfahrungsaustausch unter den Anwender fördern könne.
Abschließend führte der Leiter des Produktmanagements von Hyperwave mit Referenzprojekten vor, dass nicht in der Berücksichtigung von Standards selbst der Mehrwert zu sehen ist, sondern sich dieser vielmehr aus der Verbesserung der Nutzung und der zunehmenden Collaboration der Anwender ergibt.
Ludger Helm, Executive Enterprise Content Management Government Solutions, EMEA von IBM, plädierte angesichts des zunehmenden Compliancedrucks und der Nachteile, die mit Einzellösungen für Compliance Anforderungen verbunden sind, für eine einheitliche Enterprise Compliance Plattform. An Hand einer Compliance-Bedürfnispyramide wurde deutlich, dass Compliance keine einmalige Aktivität ist, sondern vielmehr ein fortlaufender Prozess, der sich über die Stufen „erreichen, belegen, aufrechterhalten und profitieren“ erstreckt. Um dies zu erreichen und um unzählige, kostspielige und risikobehaftete Einzellösungen zu vermeiden, sei eine umfassende Lösung in Form einer Plattform unumgänglich. Nur so könne man sich vorausschauend auch für zukünftige Anforderungen rüsten. Als weitere Hürde im Records Management beleuchtete Herr Helm das Risiko, die Verantwortung für die Informationsverwaltung dem Anwender zu überlassen. Dies sei teuer und fehleranfällig und bedürfe enormer Kontroll- und Testmechanismen. Um dem entgegenzuwirken, forderte er eine Entlastung des Anwenders und eine weitestgehende Automatisierung des Records Managements, wie bei IBM unter dem Stichwort „Zero Click“ Records Management umgesetzt wird. Hier werden die Informationen inhaltsbasiert verwaltet, oder aber durch den Geschäftsprozess selbst, so dass dem User zusätzliche administrative Arbeit erspart bleibt und er von übergebührlicher Verantwortung entlastet wird.
Meridio, seit kurzem Teil der Autonomy Corporation, bietet gemäß seiner Strategie, den Nutzer in seiner gewohnten Umgebung agieren zu lassen, eine tief in die Microsoft Office und Sharepoint Umgebung integrierte Records-Management- Lösung. Wie diese ausgewählte MoReq2-Anforderungen umsetzt, stellte Günter Sandmann, General Manager Central & Eastern Europe bei Meridio, vor. So erweitert Meridio den Microsoft Office Sharepoint Server, kurz MOSS, dessen eigenes Records Center einige Schwachstellen aufweist wenn es um komplexe Anforderungen geht, unter anderem um hierarchische Klassifikation, Erfassungskomponenten, die Verwaltung von Aufbewahrungsregeln und eine elaborierte Metadatenerfassung. Wie Herr Sandmann berichtete, verfolgt Meridio angesichts der Vielzahl der internationalen Standards die Strategie, globale Standards zu unterstützen und lokale Standards über diese abzudecken. So hat Meridio auch schon an der Entwicklung von MoReq1 mitgewirkt und unterstützt diese Spezifikation nach eigenen Angaben bereits. Vor diesem Hintergrund wird MoReq2 als sehr willkommener Standard auf europäischer Ebene gesehen.
Volker John, Leiter des Produktmanagements bei Saperion, machte in seinem Vergleich von MoReq2 mit dem amerikanischem DoD 501502 Standard und dem deutschen Standard für die öffentliche Verwaltung DOMEA deutlich, was die Besonderheit von MoReq und die Bedeutung auch für Deutschland ausmacht: Die branchenunabhängige Spezifikation beschreibt sowohl die Anforderungen an die Aufbewahrung als auch die kontrollierte Vernichtung von Records. Weitere Merkmale sind die europaweite Gültigkeit sowie die eindeutige Testbarkeit. Gleichzeitig setzte sich Herr John auch kritisch mit der Spezifikation auseinander und merkte an, dass diese den Fokus zu sehr auf die Verwaltung von Dokumenten ausrichtet, und z.B. die Verwaltung von E-Mails nur am Rande und die Verwaltung von strukturierten Daten gar nicht beleuchtet wird. Außerdem führte er in der Analyse des Metadatenmodells und des Zusammenspiels von MoReq2 mit anderen Standards wie dem OAIS–Standard ausgewählte Stellen der Spezifikation auf, zu denen es noch Diskussionsbedarf gibt. Herr John betonte aber auch die Vorteile der generischen Spezifikation, die den Herstellern hohe Freiheitsgrade in der konkreten Art der Umsetzung zugesteht. Saperion sieht, wie die anderen Anbieter auch, in MoReq2 die Chance, Einheitlichkeit in den europäischen Records-Management-Markt zu bringen und auf lange Sicht einen europäischen Standard zu etablieren.
In den abschließenden Diskussionsrunden und der von PROJECT CONSULT durchgeführten Befragung der Teilnehmer wurde deutlich, dass Records Management als wichtig beurteilt wird, vielfach aber Zweifel an der Reichweite von MoReq2 und der Positionierung gegenüber dem deutschen DOMEA Standard vorherrschen. So sehen ca. zwei Drittel den Bedarf für die Einführung von Records-Management-Lösungen in ihrem Unternehmen, bzw. für eine Ergänzung der bestehenden Records-Management-Lösung, die wenigsten haben aber bereits eine Records-Management-Lösung und sehen keinen Ausbaubedarf für diese, wie aus der Grafik hervorgeht.
Dass es Zeit für eine Anforderungsspezifikation auf europäischer Ebene ist, die eine qualifizierte Produktauswahl und Zertifizierung ermöglicht, wird in der Bewertung der Relevanz von Standards deutlich:
Interessant ist auch, welche Bedeutung MoReq2 für die einzelnen Branchen beigemessen wird: große Relevanz wird für die Finanzdienstleister gesehen, sowie für die Pharma-Branche und die öffentliche Verwaltung. Am geringsten wird die Bedeutung für die Archive eingeschätzt. Letzteres ist bemerkenswert, wenn man bedenkt, dass MoReq von dieser Zielgruppe initialisiert wurde.
Insgesamt ist es der Veranstaltung gelungen, den Teilnehmern einen guten Überblick zu Records Management und MoReq2 zu geben; manch einer hat aber mehr Details zum Inhalt der Spezifikation sowie zur Umsetzung in den Produkten vermisst und stellt den praktischen Nutzen für den Anwender in Frage.
Gezeigt hat sich auf jeden Fall, dass sowohl Anbieter als auch Anwender die Bedeutung von Records Management erkannt haben und sich die Sicht auf die Thematik geändert hat: wurden bislang mit den aufkommenden Compliance-Anforderungen Insellösungen vermarktet und eingerichtet, ist jetzt die Notwendigkeit für übergreifende, einheitliche Records Management Plattformen in den Fokus gerückt. Das Interesse auf allen Seiten ist groß, Einheitlichkeit in die Begrifflichkeiten und unterschiedlichsten Standards und Anforderungen zu bringen. Hersteller wie Anwender benötigen einen einheitlichen, international gültigen Leitfaden für Records Management Lösungen – und genau das ist MoReq2. (SR)