|  |
GRC - Governance, Risk Management & Compliance
Vorgehen bei der Bewertung von Compliance-Vorgaben
Nicht jede Vorgabe betrifft jedes Unternehmen und auch der Umfang der Maßnahmen unterscheidet sich. Man darf sich nicht von der Vielzahl der Vorgaben verunsichern lassen sondern muss für jedes Unternehmen individuell die Vorgaben, ihre Auswirkungen und die notwendigen Umsetzungsmaßnamen bewerten.
Hierfür bietet es sich an, zunächst einen Katalog der möglicherweise zutreffenden Regularien zu erstellen und diesen nach folgenden Kriterien zu klassifizieren:
Worum handelt es sich bei der Vorgabe?
Hier ist zu unterscheiden, was wirklich ein Gesetz ist und was eine Art "Ausführungsvorgabe" darstellt. Hier würden Kriterien wie Gesetz, Verordnung, Code of Practice oder gesetzlich vorgeschriebene oder referenzierte Norm zum Tragen kommen. Es ist zu berücksichtigen, dass natürlich alle Regeln der Papierwelt auch für die elektronische Welt gelten.
Gilt dies auch im Land oder Tätigkeitsumfeld meines Unternehmens?
Hier sind die unterschiedlichen Rechtsräume zu berücksichtigen, die des Firmenstandortes, des Vertriebsgebietes, der Niederlassungen usw. Nicht zu unterschätzen ist, dass manche Nationen wie die USA ihr Recht überall hin "mitnehmen". Kriterien wären hier internationale Gültigkeit, europäische Gültigkeit, national "importierte" Gültigkeit, Gültigkeit im Land des Standortes, Gültigkeit nach Herkunftslandprinzip usw.
Betrifft dies abhängig von der Rechts- und Gesellschaftsform meines Unternehmens?
Bei diesen Anwendbarkeitsbereichen ist die Form des Unternehmens, der Organisation oder der Verwaltung zu unterscheiden. Kriterien sind hier z.B.: Betrifft die Vorgabe nur die öffentliche Verwaltung, privatwirtschaftliche Unternehmen, Vereine, andere Organisationen (einschließlich supranationale), Einrichtungen, politische Gremien, Jurisprudenz oder aber auch Privatpersonen. Hierzu gehören auch die "Grauzonen" z.B. öffentlich-rechtliche Unternehmen, die sowohl den Vorgaben der öffentlichen Verwaltung sowie den Vorgaben für die freie Wirtschaft unterliegen sowie indirekt weitergereichte Verpflichtungen durch Beteiligungen, Lieferungen und Leistungen in andere oder aus anderen Rechtsräumen, usw.
Wie ist mein Unternehmen betroffen?
Bei den Kriterien ist zu betrachten, wie stark, wie direkt oder indirekt das Unternehmen durch eine Vorgabe betroffen ist. Es kann differenziert werden zwischen direkt betroffen, d.h. in jedem Fall umzusetzen, indirekt betroffen, d.h. gegebenenfalls umzusetzen (z.B. wenn in einer Supply Chain vom Abnehmer Anforderungen an die Lieferanten "durchgereicht" werden), möglicherweise zutreffend, d.h. gegebenenfalls umzusetzen (für bestimmte Arten von Tätigkeiten), betroffen durch Einbindung Dritter oder Erbringung von Dienstleistungen (z.B. Outsourcing), d.h. durch entsprechende Vorgaben, Verträge und Prüfungen umzusetzen, usw.
Wie sind die Anforderungen zu beurteilen?
Bei der Beurteilung geht es um die Bewertung und die Abwägung im Rahmen der rechtlichen Würdigung und des Risiko Managements. Kriterien können sein: unbedingt vollständig zu erfüllen, abwägbar im Rahmen der Grundsätze der Verhältnismäßigkeit, abwägbar im Rahmen des Risikomanagements und andere.
Wie geht man mit widersprüchlichen Anforderungen um?
Gesetze und Verordnungen können sich widersprechen, auf nationaler Ebene, in unterschiedlichen Rechtsbereichen (siehe z.B. die Frage des Datenschutzes im Verhältnis zu den Aufbewahrungspflichten des Handelsrechtes) und natürlich auch international. Kriterien können hier der Datenschutz, konkurrierende Regelungen (hier nimmt man meistens die umfassendste), Offenlegungsverpflichtungen (z.B. Informationsfreiheitsgesetz) etc. sein.
In welchem Umfang sind die Regeln gültig?
Hat man ermittelt, welche Regularien überhaupt zutreffend sind, ist noch dem Umfang der Gültigkeit und damit auch der Umfang der notwendigen Maßnahmen zu definieren. Hierzu gehören Kriterien wie generelle Gültigkeit (z.B. Handelsgesetz für alle Unternehmen), teilweise Gültigkeit (z.B. nur für bestimmte Bereiche oder mit Einschränkungen), branchenspezifische Gültigkeit (z.B. nur für Pharma, Krankenhäuser, etc.), tätigkeitsspezifische Gültigkeit (z.B. Verbraucherschutz etc.), nachgeordnete Gültigkeit (z.B. durch interne Qualitäts-Richtlinien, Records-Management-Prinzipien) und weitere.
Welche internen Regelungen sind zusätzlich zu berücksichtigen?
Jedes Unternehmen setzt sich Ziele und befolgt interne Regelungen, wie diese Ziele im Rahmen der Geschäftstätigkeit umzusetzen sind. Auch diese internen Regelungen können unterschiedliche Qualität und Gültigkeit besitzen. Hier können Kriterien wie Bestandteil der Corporate Governance, Bestandteil der IT-Governance, Bestandteil des Qualitätsmanagementsystems, Arbeitsanweisung, Betriebsvereinbarung, Datenschutz & Datensicherheit, und andere notwendig werden. Vielfach leiten sich solche Vorgaben bereits aus rechtlichen oder regulativen Vorgaben ab.
An die Umsetzung von Compliance-Vorgaben sollte man erst schreiten, wenn diese Analyse und Bewertung vorgenommen wurde. Die Verantwortung hierfür liegt bei Geschäftsführern und Vorständen. In der Regel wird eine solche Bewertung (je nach Unternehmensgröße und –aufstellung) zusammen mit der Rechtsabteilung, der Revision, dem Controlling, Wirtschaftsprüfern, Anwälten oder Unternehmensberatern durchgeführt. Diese bewertete Aufstellung wird in der Governance-Richtlinie verankert und ist der Maßstab für das Risikomanagement und den Umfang der Compliance-Maßnahmen.
Records Management als Methode zur Erfüllung von GRC-Anforderungen
Definitionen
Unter einem Record wird ein beliebiger Content-Typ verstanden, der sich auf die Geschäftstätigkeit oder die Transaktion eines Unternehmens bezieht. Ein Record definiert sich durch Inhalt und Rechtscharakter, nicht durch seine physische oder elektronische Form. Beispiele sind E-Mails, Verträge, Geschäftsvereinbarungen, Kontoübersichten, Berichte sowie Video- und Audiodateien.
Record:
Information created, received, and maintained as evidence and information by an organisation or person, in pursuance of legal obligations or in the transaction of business.
Die Begriffe Record und Records Management sind durch ISO-Norm 15489, Teil 1, "Records Management", bzw. im Deutschen "Schriftgutverwaltung", international normiert. So lautet die deutsche Übersetzung der Definition von Record:
"Information, die erzeugt, empfangen und bewahrt wird, um als Nachweis einer Organisation oder Person bei rechtlichen Verpflichtungen oder zum Nachvollzug einer geschäftlichen Handlung zu dienen."
Records Management:
Field of management responsible for the efficient and systematic control of the creation, receipt, maintenance, use and disposition of records, including processes for capturing and maintaining evidence of and information about business activities and transactions in the form of records.
Dem entsprechend lautet die deutsche Übersetzung von Records Management "Schriftgutverwaltung" – und trifft dabei nicht den Kern des Begriffes:
"Als Führungsaufgabe wahrzunehmende effiziente und systematische Kontrolle und Durchführung der Erstellung, Entgegennahme, Aufbewahrung, Nutzung und Aussonderung von Schriftgut, einschließlich der Vorgänge zur Erfassung und Aufbewahrung von Nachweisen und Informationen über Geschäftsabläufe und Transaktionen in Form von Akten."
Nur mit Mühe lässt sich dieser Begriff aus der Akten- und Papierorganisation auf das elektronische Records Management übertragen. Wesentlich ist dabei die Herausstellung des Begriffes "Führungsaufgabe", die wieder die Brücke zur Verantwortung der Geschäftsleitung und zu Corporate Governance schlägt.
Funktionalität
Records Management wurde designt, um Compliance-Anforderungen umsetzen zu können.
Records Management bezeichnet die Verwaltung von Aufzeichnungen unabhängig vom Medium. Die Verwaltung muss dabei geordnet, sicher und nachvollziehbar sein. Die Records müssen eindeutig identifizierbar, im Sachzusammenhang erschließbar, authentisch und originär, gegen unauthorisierte Benutzung geschützt und entsprechend den vorgesehenen Aufbewahrungs- und Vernichtungsfristen der Objekte verwaltet werden. Basis für Records Management sind strukturierte Ablagepläne, definierte Ordnungskriterien und geeignete, persistente Findmittel. Records Management wird heute als eine Komponente des übergreifenden Enterprise Content Management verstanden.
Für die Verwaltung von Records muss ein Records Management System nach den Vorgaben der amerikanischen Nationalen Records Verwaltung (NARA) folgende Bedingungen erfüllen:
- Zugreifbarkeit (Accessible)
- Lesbarkeit (readable)
- Reproduzierbarkeit (reproducable)
- Nachvollziehbarkeit (tracable)
- Unveränderbarkeit (unchanged, integrity, authenticity)
- Langfristige Bewahrbarkeit (preservable)
- Selbstbeschreibbarkeit der Records (self-documenting)
- Entsorgbarkeit (disposable)
- Rechtssicherheit (usable as evidence in regulatory and legal queries)
Records Management geht dabei über den Ansatz der elektronischen Archivierung hinaus: Records Management Systeme verwalten über Referenzen auch Informationen auf Papier in Aktenordnern oder auf Mikrofilm. Dies ermöglicht die vollständige Kontrolle auch "gemischter" Verfahren, in denen ein Parallelbetrieb mit unterschiedlichen Medien erforderlich ist. Records-Management-Systeme besitzen elektronische Ablagepläne und Thesauri, die eine strukturierte, geordnete, nachvollziehbare und eindeutige Zuordnung der Informationen sicherstellen. Hierbei werden Mehrfachzuordnungen nach unterschiedlichen Sachzusammenhängen und die Verwaltung unterschiedlicher Versions- und Historienstände der Ordnungssystematik unterstützt.
Records Management ist daher eine Basiskomponente für die Abbildung elektronischer, virtueller Akten und für die elektronische Vorgangsbearbeitung.
Lesen Sie das nächste Kapitel | | | weiter |  |
03/2010, Dr. Ulrich Kampffmeyer
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Die tema GmbH & Co. KG ist auf eine äußerst schnelle und effiziente Vertragsbearbeitung angewiesen. Sämtliche Vertragsabwicklungen werden von ihr zentral abgewickelt... | |  | | PDF/A ist ein ISO-standardisiertes Format für die Langzeitarchivierung von PDF-Dokumenten. Es sorgt nicht nur für die langfristige Lesbarkeit von Dokumenten, sondern ist der Schlüssel für viele Herausforderungen... | |  | | Nicht nur das mit einer wesentlichen Platz- bzw. Raumersparnis verbundene "Leeren" von Archivräumen, sondern vielmehr die Optimierung der fachlichen Bearbeitungsprozesse stellen starke Argumente dar... | |  | | Auf DMS Area und ECM Forum erfahren Sie in Vorträgen, Diskussionen und Präsentationen mehr über die Chancen und Potenziale von ECM- und DMS-Systemen... | |  | | Die E-Mail ist im Geschäftsleben nicht mehr weg zu denken und dennoch bereitet der Umgang mit dem Medium E-Mail vielen Unternehmen und den Mitarbeitern nicht zu vernachlässigende Probleme... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Im Interview spricht der Schirmherr der Initiative Prof. Dieter Spath über "Das Konstruktionsbüro für Dienstleistungen" und vieles mehr. Am 12. Oktober eröffnet Prof. Dieter Spath den VOICE Days plus Kongress... | |  | | Datenschutz spielt auch im eCommerce eine große Rolle. So müssen z.B. für den Betrieb eines Onlineshops die gesetzlichen Vorschriften zum Datenschutz eingehalten werden... | |  | | Um 1995 steckte die IT-Sicherheitsbranche noch in den Kinderschuhen. Die meisten, die sich damals dafür entschieden haben, ihren beruflichen Fokus auf die IT-Security zu setzen, kamen aus der IT... | |
| | | |
