von Dr. Ulrich Kampffmeyer, Geschäftsführer der PROJECT CONSULT Unternehmensberatung GmbH
E-Mail: Ulrich.Kampffmeyer@PROJECT-CONSULT.com
Dritter und letzter Teil des Beitrages. Der erste Teil erschien im Newsletter 20091021Newsletter 20091021, der zweite in der Ausgabe 20091203.
Vorgehen bei der Bewertung von Compliance-Vorgaben
Nicht jede Vorgabe betrifft jedes Unternehmen und auch der Umfang der Maßnahmen unterscheidet sich. Man darf sich nicht von der Vielzahl der Vorgaben verunsichern lassen sondern muss für jedes Unternehmen individuell die Vorgaben, ihre Auswirkungen und die notwendigen Umsetzungsmaßnamen bewerten.
Hierfür bietet es sich an, zunächst einen Katalog der möglicherweise zutreffenden Regularien zu erstellen und diesen nach folgenden Kriterien zu klassifizieren:
| | | |
| | · | Worum handelt es sich bei der Vorgabe? |
Hier ist zu unterscheiden, was wirklich ein Gesetz ist und was eine Art "Ausführungsvorgabe" darstellt. Hier würden Kriterien wie Gesetz, Verordnung, Code of Practice oder gesetzlich vorgeschriebene oder referenzierte Norm zum Tragen kommen. Es ist zu berücksichtigen, dass natürlich alle Regeln der Papierwelt auch für die elektronische Welt gelten.
| | | |
| | · | Gilt dies auch im Land oder Tätigkeitsumfeld meines Unternehmens? |
Hier sind die unterschiedlichen Rechtsräume zu berücksichtigen, die des Firmenstandortes, des Vertriebsgebietes, der Niederlassungen usw. Nicht zu unterschätzen ist, dass manche Nationen wie die USA ihr Recht überall hin „mitnehmen“. Kriterien wären hier internationale Gültigkeit, europäische Gültigkeit, national „importierte“ Gültigkeit, Gültigkeit im Land des Standortes, Gültigkeit nach Herkunftslandprinzip usw.
| | | |
| | · | Betrifft dies abhängig von der Rechts- und Gesellschaftsform meines Unternehmens? |
Bei diesen Anwendbarkeitsbereichen ist die Form des Unternehmens, der Organisation oder der Verwaltung zu unterscheiden. Kriterien sind hier z.B.: Betrifft die Vorgabe nur die öffentliche Verwaltung, privatwirtschaftliche Unternehmen, Vereine, andere Organisationen (einschließlich supranationale), Einrichtungen, politische Gremien, Jurisprudenz oder aber auch Privatpersonen. Hierzu gehören auch die "Grauzonen" z.B. öffentlich-rechtliche Unternehmen, die sowohl den Vorgaben der öffentlichen Verwaltung sowie den Vorgaben für die freie Wirtschaft unterliegen sowie indirekt weitergereichte Verpflichtungen durch Beteiligungen, Lieferungen und Leistungen in andere oder aus anderen Rechtsräumen, usw.
| | | |
| | · | Wie ist mein Unternehmen betroffen? |
Bei den Kriterien ist zu betrachten, wie stark, wie direkt oder indirekt das Unternehmen durch eine Vorgabe betroffen ist. Es kann differenziert werden zwischen direkt betroffen, d.h. in jedem Fall umzusetzen, indirekt betroffen, d.h. gegebenenfalls umzusetzen (z.B. wenn in einer Supply Chain vom Abnehmer Anforderungen an die Lieferanten „durchgereicht" werden), möglicherweise zutreffend, d.h. gegebenenfalls umzusetzen (für bestimmte Arten von Tätigkeiten), betroffen durch Einbindung Dritter oder Erbringung von Dienstleistungen (z.B. Outsourcing), d.h. durch entsprechende Vorgaben, Verträge und Prüfungen umzusetzen, usw.
| | | |
| | · | Wie sind die Anforderungen zu beurteilen? |
Bei der Beurteilung geht es um die Bewertung und die Abwägung im Rahmen der rechtlichen Würdigung und des Risiko Managements. Kriterien können sein: unbedingt vollständig zu erfüllen, abwägbar im Rahmen der Grundsätze der Verhältnismäßigkeit, abwägbar im Rahmen des Risikomanagements und andere.
| | | |
| | · | Wie geht man mit widersprüchlichen Anforderungen um? |
Gesetze und Verordnungen können sich widersprechen, auf nationaler Ebene, in unterschiedlichen Rechtsbereichen (siehe z.B. die Frage des Datenschutzes im Verhältnis zu den Aufbewahrungspflichten des Handelsrechtes) und natürlich auch international. Kriterien können hier der Datenschutz, konkurrierende Regelungen (hier nimmt man meistens die umfassendste), Offenlegungsverpflichtungen (z.B. Informationsfreiheitsgesetz) etc. sein.
| | | |
| | · | In welchem Umfang sind die Regeln gültig? |
Hat man ermittelt, welche Regularien überhaupt zutreffend sind, ist noch dem Umfang der Gültigkeit und damit auch der Umfang der notwendigen Maßnahmen zu definieren. Hierzu gehören Kriterien wie generelle Gültigkeit (z.B. Handelsgesetz für alle Unternehmen), teilweise Gültigkeit (z.B. nur für bestimmte Bereiche oder mit Einschränkungen), branchenspezifische Gültigkeit (z.B. nur für Pharma, Krankenhäuser, etc.), tätigkeitsspezifische Gültigkeit (z.B. Verbraucherschutz etc.), nachgeordnete Gültigkeit (z.B. durch interne Qualitäts-Richtlinien, Records-Management-Prinzipien) und weitere.
| | | |
| | · | Welche internen Regelungen sind zusätzlich zu berücksichtigen? |
Jedes Unternehmen setzt sich Ziele und befolgt interne Regelungen, wie diese Ziele im Rahmen der Geschäftstätigkeit umzusetzen sind. Auch diese internen Regelungen können unterschiedliche Qualität und Gültigkeit besitzen. Hier können Kriterien wie Bestandteil der Corporate Governance, Bestandteil der IT-Governance, Bestandteil des Qualitätsmanagementsystems, Arbeitsanweisung, Betriebsvereinbarung, Datenschutz & Datensicherheit, und andere notwendig werden. Vielfach leiten sich solche Vorgaben bereits aus rechtlichen oder regulativen Vorgaben ab.
An die Umsetzung von Compliance-Vorgaben sollte man erst schreiten, wenn diese Analyse und Bewertung vorgenommen wurde. Die Verantwortung hierfür liegt bei Geschäftsführern und Vorständen. In der Regel wird eine solche Bewertung (je nach Unternehmensgröße und –aufstellung) zusammen mit der Rechtsabteilung, der Revision, dem Controlling, Wirtschaftsprüfern, Anwälten oder Unternehmensberatern durchgeführt. Diese bewertete Aufstellung wird in der Governance-Richtlinie verankert und ist der Maßstab für das Risikomanagement und den Umfang der Compliance-Maßnahmen.
Records Management als Methode zur Erfüllung von GRC-Anforderungen
Definitionen
Unter einem Record wird ein beliebiger Content-Typ verstanden, der sich auf die Geschäftstätigkeit oder die Transaktion eines Unternehmens bezieht. Ein Record definiert sich durch Inhalt und Rechtscharakter, nicht durch seine physische oder elektronische Form. Beispiele sind E-Mails, Verträge, Geschäftsvereinbarungen, Kontoübersichten, Berichte sowie Video- und Audiodateien.
Record:
Information created, received, and maintained as evidence and information by an organisation or person, in pursuance of legal obligations or in the transaction of business.
Die Begriffe Record und Records Management sind durch ISO-Norm 15489, Teil 1, „Records Management“, bzw. im Deutschen „Schriftgutverwaltung“, international normiert. So lautet die deutsche Übersetzung der Definition von Record:
„Information, die erzeugt, empfangen und bewahrt wird, um als Nachweis einer Organisation oder Person bei rechtlichen Verpflichtungen oder zum Nachvollzug einer geschäftlichen Handlung zu dienen.“
Records Management:
Field of management responsible for the efficient and systematic control of the creation, receipt, maintenance, use and disposition of records, including processes for capturing and maintaining evidence of and information about business activities and transactions in the form of records.
Dem entsprechend lautet die deutsche Übersetzung von Records Management “Schriftgutverwaltung“ – und trifft dabei nicht den Kern des Begriffes:
„Als Führungsaufgabe wahrzunehmende effiziente und systematische Kontrolle und Durchführung der Erstellung, Entgegennahme, Aufbewahrung, Nutzung und Aussonderung von Schriftgut, einschließlich der Vorgänge zur Erfassung und Aufbewahrung von Nachweisen und Informationen über Geschäftsabläufe und Transaktionen in Form von Akten.“
Nur mit Mühe lässt sich dieser Begriff aus der Akten- und Papierorganisation auf das elektronische Records Management übertragen. Wesentlich ist dabei die Herausstellung des Begriffes „Führungsaufgabe“, die wieder die Brücke zur Verantwortung der Geschäftsleitung und zu Corporate Governance schlägt.
Funktionalität
Records Management wurde designt, um Compliance-Anforderungen umsetzen zu können.
Records Management bezeichnet die Verwaltung von Aufzeichnungen unabhängig vom Medium. Die Verwaltung muss dabei geordnet, sicher und nachvollziehbar sein. Die Records müssen eindeutig identifizierbar, im Sachzusammenhang erschließbar, authentisch und originär, gegen unauthorisierte Benutzung geschützt und entsprechend den vorgesehenen Aufbewahrungs- und Vernichtungsfristen der Objekte verwaltet werden. Basis für Records Management sind strukturierte Ablagepläne, definierte Ordnungskriterien und geeignete, persistente Findmittel. Records Management wird heute als eine Komponente des übergreifenden Enterprise Content Management verstanden.
Für die Verwaltung von Records muss ein Records-Management-System nach den Vorgaben der amerikanischen Nationalen Records Verwaltung (NARA) folgende Bedingungen erfüllen:
Anforderungen an das Records Management
• Zugreifbarkeit (Accessible)
• Lesbarkeit (readable)
• Reproduzierbarkeit (reproducable)
• Nachvollziehbarkeit (tracable)
• Unveränderbarkeit (unchanged, integrity, authentici
ty)
• Langfristige Bewahrbarkeit (preservable)
• Selbstbeschreibbarkeit der Records (self-documenting)
• Entsorgbarkeit (disposable)
• Rechtssicherheit (usable as evidence in regulatory and
legal queries)
Records Management geht dabei über den Ansatz der elektronischen Archivierung hinaus: Records-Management-Systeme verwalten über Referenzen auch Informationen auf Papier in Aktenordnern oder auf Mikrofilm. Dies ermöglicht die vollständige Kontrolle auch „gemischter“ Verfahren, in denen ein Parallelbetrieb mit unterschiedlichen Medien erforderlich ist. Records-Management-Systeme besitzen elektronische Ablagepläne und Thesauri, die eine strukturierte, geordnete, nachvollziehbare und eindeutige Zuordnung der Informationen sicherstellen. Hierbei werden Mehrfachzuordnungen nach unterschiedlichen Sachzusammenhängen und die Verwaltung unterschiedlicher Versions- und Historienstände der Ordnungssystematik unterstützt.
Records Management ist daher eine Basiskomponente für die Abbildung elektronischer, virtueller Akten und für die elektronische Vorgangsbearbeitung.
Internationale Standards im Records Management
Das elektronische Records Management ist der Bereich der IT-Anwendungen, der weitreichend standardisiert ist. Neben zahlreichen nationalen Standards für Records Management existieren auch internationale und europäische Vorgaben. Auf die wichtigsten soll im Folgenden eingegangen werden.
ISO 15489 Records Management
Die ISO-Norm Records Management stellt Management-Richtlinien zur Unternehmenspolitik und Vorgehensweisen für das Records Management des Unternehmens auf und dient als Anleitung zur Implementierung bei der unternehmensweiten Einführung von Records Management. ISO 15489 Teil 1 (2001) ist der Führer für die Leitungsebene von Unternehmen, Behörden und Verwaltungen. Er gibt als kurzes und prägnantes Dokument mit 17 Seiten Rat zum Festlegen, welche Dokumente erzeugt, welche Information in die Dokumente eingefügt werden müssen und welcher Genauigkeitsgrad erforderlich ist, zum Entscheiden, in welcher Form und Struktur Dokumente erzeugt und erfasst werden sollen, zum Festlegen der Anforderungen zum Retrieval und Gebrauch von Dokumenten und wie lange sie archiviert sein müssen, um diesen Anforderungen zu genügen und zum Festlegen, wie Dokumente zu organisieren sind, um die Anforderungen für den Gebrauch zu unterstützen. ISO 15489 Teil 2 legt die Vorgehensschritte fest: von der ersten Analyse, Identifizierung der Anforderungen bis zur Implementierung eines Records-Management-Systems.
ISDF International Standard for Describing Functions
Der International Council on Archives, ICA hat mehrere Dokumente zur Standardisierung des Records Managements herausgegebenen. Der ISDF, International Standard for Describing Functions, erstellt vom Committee of Best Practices and Standards (CBPS), wurde auf dem ICA Kongress 2008 in Kuala Lumpur präsentiert. Dieser Records Management Standard besteht aus Informationselementen, wobei jedes aus folgenden Teilen besteht: dem Namen des Elementes; einer Erläuterung zum Zweck des Elementes; einer Erläuterung zu den Regeln und Daten-Restriktionen, die auf das Element anwendbar sind, und, wo möglich, Beispiele, die verdeutlichen, wie die Regel zu implementieren ist.
Ebenfalls wurden die “Principles and Functional Requirements for Records in Electronic Office Environments” vorgestellt. Das Ziel des Projekts ist es, global einheitliche Prinzipien und funktionelle Anforderungen an Software, die zum Erzeugen und Managen von elektronischen Records eingesetzt wird, zu definieren.
MoReq Model Requirements for the Management of electronic Records
Die erste Version von MoReq, herausgegeben von der Europäischen Kommission und dem DLM Forum, wurde bereits im Jahr 2001 veröffentlicht. Diese Leitlinie umfasst eine „formelle Spezifikation für funktionale und nichtfunktionale Anforderungen an Systeme zur Verwaltung von elektronischen Archiven (ERMS, engl. Electronic Records Management System) und gilt gleichermaßen für Organisationen des öffentlichen und privaten Sektors“. MoReq1 wurde in 11 Sprachen übersetzt.
Im Februar 2008 wurde die vollständig überarbeitete Spezifikation MoReq2 veröffentlicht. Wesentliche Inhalte der Erweiterungen sind die Schaffung einer flexibleren Struktur, die Erweiterung des Basismoduls, die Schaffung neuer optionaler Module, die Entwicklung eines MoReq Compliance Tests für Softwareprodukte sowie die Ergänzung um eine länderspezifische Einleitung, das „Chapter 0“. MoReq2 setzt auf dem MoReq1 Standard auf und lehnt sich in Struktur und Format an diesen an. MoReq2 besteht aus einem „Requirements“-Dokument, dem eigentlichen Standard mit mehreren Anhängen, Datenmodell und funktionalen Anforderungen, einem dazugehörigen XML-Schema für Daten- und Entitäten-Modell, einem umfangreichen Testszenarien-Katalog und einem Zertifizierungsprogramm. Softwareproduktanbieter können ihre Produkte ähnlich wie bei DOMEA, DoD 5015.2 und anderen Standards prüfen lassen, wobei das Zertifikat europaweit gilt. Aber auch für Anwender in der öffentlichen Verwaltung und der Privatwirtschaft ist der Standard nützlich, um damit Ausschreibungen, Anforderungen und bereits vorhandene Installationen entsprechend dem State-of-the-Art überprüfen zu können.
Neben den „großen“, ganzheitlichen Standards für das Records Management wie ICA und ISO 15489 international, MoReq2 in Europa oder DoD 5015.2 in den USA gibt es zahlreiche weitere Normen und Standards, die Teilbereiche abdecken oder bestimmte Funktionalität. Hier sind z.B. Standards wie PDF/A (ISO 19005) für Archivformate, OAIS Open Archival Information System (ISO 17421) für die Architektur von Archivsystemen oder die ISO 23081 für Metadaten zum Records Management zu nennen. Am umfassendsten und aktuellsten ist der im Jahr 2008 herausgegebene Standard MoReq2, der seinerseits zahlreiche andere Standards inkorporiert.
Records Management deckt so heute alle Bereiche von der Erzeugung, Erfassung, Verwaltung, Archivierung, Verteilung, Bereitstellung und Zerstörung von elektronischen Aufzeichnungen ab.
GRC: Lösungsansätze
Beim Thema GRC Governance, Risk Management und Compliance, geht es aber nicht nur um Records-, Dokumenten- und Archivmanagement.
Betrachtet man die Umsetzung von GRC mit Unterstützung von informationstechnischen Lösungen, so stellt man zunächst fest, dass die relevanten Daten und Dokumente heute noch auf zahlreiche unterschiedliche Systeme verteilt sind. Strukturierte Daten liegen in CRM-, ERP-, Produktionsmanagement- oder Data-Warehouse-Lösungen, unstrukturierte Informationen in E-Mail-, Archiv-, Dokumentenmanagement-, Collaborations-, MultiMedia- oder GIS-Lösungen.
GRC muss wirtschaftlich sein.
Im Vordergrund stehen Geschäftsprozesse, Wissenserschließung und durchgängiges Informationsmanagement –
die Compliance-Anforderungen sind sozusagen als Selbstverständlichkeit nebenbei mit zu erfüllen.
Abgesehen davon, dass GRC vorrangig eine organisatorische Aufgabe ist, bieten Enterprise Content Management Lösungen alle notwendigen Komponenten, um Informationen aus unterschiedlichen Systemen zusammenzuführen, die Prozesse nachvollziehbar zu machen und die Informationen sicher und langfristig zu speichern. Grundlage für die Einhaltung von Compliance-Anforderungen und den Nachweis dieser Regel-Konformität ist die Dokumentation der Geschäftsvorgänge und die langfristige, sichere Aufbewahrung von Dokumenten und Korrespondenz. ECM, Enterprise Content Management, ist daher eine wichtige Basislösung zur Umsetzung von GRC. Dementsprechend sind die folgenden Komponenten von ECM Enterprise-Content-Management-Systemen als Teil einer GRC-Lösung zu betrachten.
Records Management
Records Management oder ERM Electronic Records Management bezieht sich auf die Strukturierungs-, Verwaltungs- und Organisationskomponente zur Handhabung von Aufzeichnungen. Records Management ist die Basisfunktionalität für eine geordnete Informationsverwaltung. ERM ist nicht mit elektronischer Archivierung deutscher Prägung gleichzusetzen, obwohl viele Ansätze sich hier wiederfinden. Zu Records Management gehören z.B. die Abbildung von Aktenplänen und anderen strukturierten Verzeichnissen zur geordneten Ablage von Informationen, Thesaurus- oder kontrollierte Wortschatz-gestützte eindeutige Indizierung von Informationen, Verwaltung von Aufbewahrungsfristen und Vernichtungsfristen, Schutz von Informationen entsprechend ihren Eigenschaften, z. T. bis auf einzelnen Inhaltskomponenten in Dokumenten, und Nutzung international, branchenspezifisch oder zumindest unternehmensweit standardisierter Meta-Daten zur eindeutigen Identifizierung und Beschreibung der gespeicherten Informationen.
Records Management dient zur Verwaltung beliebiger aufbewahrungspflichtiger Unterlagen unabhängig vom Medium, elektronische wie auch papiergebundene Vorgänge.
E-Mail-Management
E-Mails enthalten geschäftsrelevante Information und sind als Geschäftsbriefe zu bewerten. Dementsprechend ist ihre Verwaltung und Aufbewahrung im Rahmen unternehmensweiter Lösungen von großer Bedeutung. Dabei sollten E-Mails im Zusammenhang mit anderen geschäftsrelevanten Aufzeichnungen erschlossen und verwaltet werden. Die große Herausforderung ist dabei die Identifikation aufbewahrungspflichtiger und aufbewahrungswürdiger E-Mails, insbesondere wenn Unternehmen die private Nutzung von E-Mails zulassen. Unterschieden wird zwischen vollständiger und selektiver Archivierung, sowie der regelbasierten und manuellen Archivierung. Wichtig ist, E-Mails nicht in isolierten Repositories außerhalb des geschäftlichen Kontexts aufzubewahren. Es empfiehlt sich die Integration in ein ECM-System.
Business-Process-Management
Prozess Design und Dokumentation sind eine weitere wichtige Basis für die Erfüllung von Compliance-Anforderungen. Eine vollständige Dokumentation der Geschäftsprozesse erleichtert die Identifikation der Regelungen, die das Unternehmen betreffen; und nur das Einhalten der definierten Prozesse kann die Regel-Konformität sicherstellen. Business Process Management (BPM) strebt die vollständige Integration aller betroffenen Anwendungen in einem Unternehmen mit Kontrolle der Prozesse und Zusammenführung aller benötigten Informationen an. BPM greift über bisherige Workflow-Funktionen hinaus und bietet z.B. Prozess- und Datenkontrolle auf Server-Ebene, die Geschäftsprozesse begleitende Protokolle und Auditdokumentationen, EAI Enterprise Application Integration zur Verbindung verschiedener Anwendungen bis hin zu BI Business Intelligence mit hinterlegten Regelwerken, Integration von Information Warehouses und den Anwender bei seiner fachlichen Tätigkeit unterstützenden Hilfsprogrammen.
Elektronische Archivierung
Elektronische Archivierung steht für die unveränderbare, langzeitige Aufbewahrung elektronischer Information. Für die elektronische Archivierung werden in der Regel spezielle Archivsysteme eingesetzt. Der Begriff Elektronische Archivierung fasst unterschiedliche Komponenten zusammen, die im angloamerikanischen Sprachgebrauch separat als „Records Management“, „Storage“ und „Preservation“ bezeichnet werden. Zweck eines elektronischen Archivsystems ist es, unabhängig von Quelle, Erzeuger und späterer Nutzung Information sicher aufzubewahren und datenbankgestützt auf Anforderung wieder bereit zu stellen. Archivsysteme sind daher Dienste, die allen Anwendungen zur Verfügung stehen, die Informationen erzeugen, die langzeitig unverändert und sicher aufbewahrt werden müssen.
Hierfür bieten Archivsysteme datenbankgestützten Zugriff auf archivierte Daten und Dokumente, unveränderbare „revisionssichere“ Speicherung aller Informationen, Audit Trails der Speicherung und Nutzung, Verwaltung sehr großer Informationsmengen auf sehr unterschiedlichen Speichern, Migrationskonzepte zur Verfügbarhaltung von Daten, Konverter zur Erzeugung von Anzeige- und Archivformaten und andere spezielle Funktionen. Zunehmend werden Archivsysteme auch um Information-Lifecycle-Management-Konzepte ergänzt oder sie werden als nachgeordnete Dienste selbst Bestandteil des Lebenszyklusmanagements von Daten, Informationen, Dokumenten, Records, Content und Wissen.
Ausblick
Für das Thema GRC gibt es sehr unterschiedliche Lösungsansätze unterschiedlicher Hersteller. So bieten ERP-Anbieter häufig Daten-orientierte Module und Funktionen an, die Daten-Records und Referenzen auf dazugehörige Dokumente verwalten. Aber auch im Bereich der klassischen ECM-Anbieter spielt das Thema GRC eine immer wichtigere Rolle. So hat z.B. IBM in seiner „Tango“-Strategie für die Zusammenführung der IBM- und der FileNet-Produktlinie oberhalb der ECM-Dienste eine komplette GRC-Schicht eingezogen. Längst speichern ECM-Lösungen neben unstrukturierten Dokumenten auch Daten aus den operativen Anwendungen und bieten mit „föderierten Repositories“ einen einheitlichen, kontrollierten Zugriff auf alle Informationen. Hier wird GRC als die verbindende Schicht gesehen, die von Anfang-bis-Ende alle Informationen über die Geschäftsprozesse, die Geschäftsprozesse und ihre Daten und Dokumente sowie die verbundenen Transaktionen und Audittrails verwaltet. Waren in der Vergangenheit bei den mittelständischen Anbietern vorrangig Speziallösungen zur Handhabung von Einzelproblemen aus dem GRC-Umfeld im Angebot – z.B. Lösungen zur Archivierung von GDPdU-Daten, SAP- oder Exchange-Datenauslagerung, E-Mail-Archive usw. -, so setzt sich auch hier der integrierende Ansatz von Universalarchiven mit einer übergreifenden Verwaltung aller Informationen und der Ergänzung um Business-Process-Management-Lösungen durch. Beispiele finden sich mit internationalen Anbietern bis hin zu europäischen Firmen. Interessant ist auch, dass Firmen aus anderen Marktsegmenten sich immer mehr in den regulatorischen Bereich, besonders das Records Management orientieren. Dies betrifft einerseits den Bereich der technischen und der Qualitätsmanagement-Dokumentation, aber auch die Schriftgutverwaltung im öffentlichen Sektor, bei Banken, in Versicherungen, für Energieversorger, Industrie – nahezu alle Branchen.
Da im deutschsprachigen Raum, besonders in Deutschland, der Begriff Records Management noch kaum bekannt ist, und auch der Begriff Compliance für viele Anwender wenig Aussagekraft hat, stehen wir immer noch am Anfang ganzheitlicher GRC-Konzepte und -Lösungen. Um mit der Entwicklung im Markt, die durch die Globalisierung sowie die immer rasanter werdende technische Innovation eine ungeahnte Beschleunigung erfährt, Schritthalten zu können, müssen sich die Unternehmen auf ihre Informations- und Kommunikationslösungen verlassen können. Diese im Griff zu halten, erfordert ganzheitliche Konzepte, die auch den Einsatz von Enterprise-Content-Management-Lösungen als Grundlage für eine effektive GRC-Umsetzung berücksichtigen.
GRC Governance, Risk Management und Compliance kann nicht mit Insellösungen erreicht werden – ein durchgängiger Ansatz ist gefordert.
GRC fordert nun die ganzheitliche Betrachtung und Umsetzung der Anforderungen und damit auch eine technische Infrastruktur, die die Implementierung und Überwachung von Prozessen, die Definition und Kontrolle von Risiken, sowie die Dokumentation und Archivierung von Geschäftsvorfällen ermöglicht. (Kff)
Metadata