Die Auswirkungen der 8. EU-Direktive auf das Enterprise Content Management
von Christoph Jeggle, CDIA+, PMP, Seniorberater bei der PROJECT CONSULT Unternehmensberatung GmbH, Standort Münster, E-Mail: Christoph.Jeggle@PROJECT-CONSULT.com Neue Gesetze und Vorschriften erschließen neue Märkte – für Berater. So kann man die Aufregung in manchen Kreisen um EuroSOX deuten. Kommen mit EuroSOX ganz neue Aufgaben auf die IT zu, auf die die wenigsten Unternehmen vorbereitet sind.
Aber ist das tatsächlich so?
Zunächst einmal ist EuroSOX, wenn auch oft verwendet, keine offizielle Bezeichnung. Die Bezeichnung lehnt sich an den US-amerikanischen Sarbanes-Oxley-Act an, mit den nach den Bilanzskandalen in den USA die Verlässlichkeit der Berichterstattung von Unternehmen, die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen, verbessert werden sollte. EuroSOX stellt nun das europäische Pendant dazu dar. Der offizielle Name ist "Richtlinie des Europäischen Parlaments und des Rates über die Prüfung des Jahresabschlusses und des konsolidierten Abschlusses und zur Änderung der Richtlinien 78/660/EWG und 83/349/EWG des Rates" oder kürzer 8. Direktive oder 8. EU-Richtlinie.
Führt diese Richtlinie neue Maßstäbe in der IT ein?
Das ist nicht der Fall. EuroSOX gibt keine konkreten Anweisungen zum Aufbau und zur Architektur einer IT Infrastruktur. Ziel der Direktive ist nicht die Veränderung der IT, sondern die Harmonisierung der Prüfungen des Finanzabschlusses innerhalb der Europäischen Gemeinschaft und gleichzeitig eine Anlehnung an SOX, um die Abschlussprüfungen von Unternehmen innerhalb der europäischen Gemeinschaft mit denen der USA gleich zu stellen.
Hat EuroSOX dann überhaupt mit IT zu tun?
Alle wesentlichen Geschäftsprozesse einschließlich derer, die relevant für den Unternehmensabschluss sind, werden in mittleren und großen Unternehmen weitgehend durch IT Systeme unterstützt und abgebildet. Aus IT Systemen werden die Daten für den Unternehmensabschluss ermittelt. IT Systeme steuern den Zugriff auf diese Daten und schützen die Daten von unberechtigten Änderungen und Manipulationen.
Somit betrifft eine Regelung, die die Daten der Geschäftsvorgänge im Blick hat – und darum handelt es sich bei EuroSOX – auf jeden Fall die IT. Die Forderungen an die IT sind:
• Dokumentation:
Wissen was man tut, reicht für die IT nicht aus. Dieses Wissen muss auch nachvollziehbar dokumentiert werden. Diese eigentlich selbstverständliche Forderung stellt in der Realität häufig ein Problem dar.
• Sicherheit:
Nur berechtigte Personen dürfen auf die Daten zugreifen. Manipulationen und unberechtigte Löschung von Daten dürfen nicht möglich sein. Berechtigungskonzepte sind in modernen IT Systemen ausreichend differenziert zu implementieren. Die Herausforderung besteht vielmehr darin, diese Konzepte auch adäquat zu entwickeln und zu dokumentieren.
• Zuverlässigkeit:
Ohne IT können fast alle Geschäftsprozesse nicht mehr durchgeführt werden. Daher ist eine zuverlässige IT Infrastruktur unerlässlich. Diese Zuverlässigkeit ist aber nicht nur eine Frage der Qualität von Soft- und Hardware, sondern vielmehr auch von Betriebskonzepten einschließlich der Konzepte für den Fall des Disaster Recovery.
• Datentransparenz:
Alle Daten, die Geschäftsprozesse dokumentieren und aufbewahrungspflichtig sind, müssen innerhalb der vorgeschriebenen Zeit so aufbewahrt werden, dass sie auffindbar sind und auswertbar zur Verfügung gestellt werden können.
Eigentlich stellen diese Anforderungen keine neuen Aufgaben für die IT dar, werden sie doch auch durch bisherige gesetzliche Regelungen gefordert. EuroSOX erhöht allenfalls die Dringlichkeit dieser Anforderungen.
Was bedeutet das nun für ECM?
Zunächst einmal ist das ECM System selbst eines der IT Systeme, die auf Geschäftsvorgänge bezogenen Dokumente verwalten und aufbewahren. Es unterliegt damit selbst den gesetzlichen Anforderungen an den Umgang mit Daten aus Geschäftsvorgängen..
Aber auch von jedem der oben genannten Gesichtspunkte ist ECM betroffen. ECM stellt mit der Dokumentenmanagement Funktionalität die Infrastruktur nicht nur für die Dokumente innerhalb der Geschäftsvorgänge, sondern auch für die Dokumentation der IT Systeme zu Verfügung. Dazu gehört insbesondere die Funktion der Versionierung, da die Dokumentation immer wieder an die aktuellen Gegebenheiten angepasst werden muss. Das DMS muss die Dokumentation so verwalten, dass zu jeder Zeit klar ist, welche Dokumente aktuell gültig sind bzw. zu einem bestimmten Zeitpunkt gültig waren.
Das ECM System ist selbst Gegenstand des Berechtigungskonzeptes. Der Zugriff die Inhalte des ECM muss in diesem Konzept geregelt werden und auch dokumentiert werden.
Die Maßstäbe an die Zuverlässigkeit und Verfügbarkeit von IT Systemen allgemein gilt für ein ECM System selbstverständlich auch. Dabei ist auch der Aspekt der Wiederherstellung von Daten nach einem Systemausfall zu beachten. Selbstverständlich dürfen auch in einem ECM System keine Dokumente durch technische Probleme unwiederbringlich verloren gehen. Entsprechende Verfahren zur Datenrettung sind zu definieren und zu dokumentieren.
Eine besondere Aufgabe des ECM ist die Datentransparenz. Die Verwendung unterschiedlicher IT Systeme innerhalb eines Unternehmens für die Steuerung und Unterstützung der Geschäftsprozesse ist eine Herausforderung an die Datentransparenz. Daten und Dokumente können häufig nur innerhalb eines Systems recherchiert werden, ohne dass sie in den Bezug zu anderen Daten und Dokumenten in anderen IT Systemen gesetzt werden können. Zur vollständigen Dokumentation eines Geschäftsvorgangs ist genau das aber erforderlich. Erst durch diese Gesamtsicht ist die Datentransparenz gewährleistet. Hier setzt genau eine Funktion eines echten ECM an, das tatsächlich den Enterprise Content verwaltet. Diese Funktion kann mit Enterprise Search bezeichnet werden – die übergreifende Suche über mehrere Systeme. Das wird natürlich sehr erleichtert durch die Verwendung zentraler Repositories an Stelle von eigenen Repositories für jedes einzelne IT System. Auch eine Architektur, die mehrere IT Systeme integrieren kann wie etwa SOA erleichtert die Implementierung dieser Enterprise Search.
Die Forderung nach Funktionen wie der Enterprise Search wird aber nicht erst durch EuroSOX nahegelegt, sondern besteht auch aus Unternehmenssicht ohne den Druck rechtlicher Regelungen wie EuroSOX.
Welche Konsequenzen hat vor diesem Hintergrund EuroSOX für ECM Hersteller und ihre Systeme?
Es besteht die Forderung an die Hersteller von ECM Systemen, die Unternehmen bei der Dokumentation der Systeme zu unterstützen. Es ist nicht einzusehen, dass alle Kunden vor der Aufgabe stehen, im Grunde ähnliche Systeme jeweils beschreiben zu müssen. Zum Lieferumfang eines strategischen Systems wie es ECM darstellt, gehört zum einen eine Form von Dokumentation, die für die Erfüllung der rechtlichen Dokumentationspflicht verwendet werden kann. Darüber hinaus muss es Werkzeuge geben, die für die Dokumentation der unternehmensspezifischen Konfiguration des Systems verwendet werden können. Dazu gehört so etwas wie eine Konfigurations- und Parameterdatenbank, die zentral die gesamte Konfiguration des Systems verwaltet. Ein solches Werkzeug kann in einer einfachen Version die Konfiguration des Systems auslesen und in einer Datenbank speichern, aus der die entsprechenden Reports für die Dokumentation erzeugt werden können. In einer fortgeschrittenen Version könnte die Datenbank selbst zum Werkzeug für die Konfiguration werden und diese in das System übertragen. Die Bedeutung einer solchen Datenbank wächst mit der Anzahl der Systeme, die in einem Unternehmen betrieben werden.
Wie sind nun geeignete DMS bzw. ECM Systeme zu finden, die den rechtlichen Anforderungen genügen?
Die Europäische Union hat nicht nur rechtliche Regelungen erlassen, sondern auch mit MoReq2 einen Standard herausgegeben, der einheitliche Anforderungen an Records Management beschreibt. Aufgabe des Records Managements ist die Verwaltung und Aufbewahrung der Dokumente und Aufzeichnungen, die Geschäftsvorgänge dokumentieren – mithin die zentrale Anforderung von EuroSOX an IT Systeme. Der Anforderungskatalog von MoReq2 orientiert sich auch an den rechtlichen Anforderungen, wie sie unter anderem durch EuroSOX bestehen. Damit kann MoReq2 unterstützen bei der Bewertung bereits bestehender Systeme und ihrer Implementierung in Unternehmen und bei der Auswahl neuer Systeme. Zusätzlich gibt das Zertifizierungsverfahren von MoReq2 die Möglichkeit, sich die Erfüllung der Anforderungen durch die ECM Produkte bestätigen zu lassen.
EuroSOX stellt die IT sicherlich vor eine Herausforderung. Aber diese Herausforderung ist nicht neu. Für die ECM Hersteller bedeutet dadurch EuroSOX eine Chance, ihre Produkte so platzieren und gegebenenfalls auch aufzuwerten, dass sie die Unternehmen bei der Erfüllung der rechtlichen Anforderungen unterstützen. (CJ)