GRC - Governance, Risk Management & Compliance

01.03.2010

Vorgehen bei der Bewertung von Compliance-Vorgaben

Nicht jede Vorgabe betrifft jedes Unternehmen und auch der Umfang der Maßnahmen unterscheidet sich. Man darf sich nicht von der Vielzahl der Vorgaben verunsichern lassen sondern muss für jedes Unternehmen individuell die Vorgaben, ihre Auswirkungen und die notwendigen Umsetzungsmaßnamen bewerten.

Hierfür bietet es sich an, zunächst einen Katalog der möglicherweise zutreffenden Regularien zu erstellen und diesen nach folgenden Kriterien zu klassifizieren:

Worum handelt es sich bei der Vorgabe?

Hier ist zu unterscheiden, was wirklich ein Gesetz ist und was eine Art "Ausführungsvorgabe" darstellt. Hier würden Kriterien wie Gesetz, Verordnung, Code of Practice oder gesetzlich vorgeschriebene oder referenzierte Norm zum Tragen kommen. Es ist zu berücksichtigen, dass natürlich alle Regeln der Papierwelt auch für die elektronische Welt gelten.

Gilt dies auch im Land oder Tätigkeitsumfeld meines Unternehmens?

Hier sind die unterschiedlichen Rechtsräume zu berücksichtigen, die des Firmenstandortes, des Vertriebsgebietes, der Niederlassungen usw. Nicht zu unterschätzen ist, dass manche Nationen wie die USA ihr Recht überall hin "mitnehmen". Kriterien wären hier internationale Gültigkeit, europäische Gültigkeit, national "importierte" Gültigkeit, Gültigkeit im Land des Standortes, Gültigkeit nach Herkunftslandprinzip usw.

Betrifft dies abhängig von der Rechts- und Gesellschaftsform meines Unternehmens?

Bei diesen Anwendbarkeitsbereichen ist die Form des Unternehmens, der Organisation oder der Verwaltung zu unterscheiden. Kriterien sind hier z.B.: Betrifft die Vorgabe nur die öffentliche Verwaltung, privatwirtschaftliche Unternehmen, Vereine, andere Organisationen (einschließlich supranationale), Einrichtungen, politische Gremien, Jurisprudenz oder aber auch Privatpersonen. Hierzu gehören auch die "Grauzonen" z.B. öffentlich-rechtliche Unternehmen, die sowohl den Vorgaben der öffentlichen Verwaltung sowie den Vorgaben für die freie Wirtschaft unterliegen sowie indirekt weitergereichte Verpflichtungen durch Beteiligungen, Lieferungen und Leistungen in andere oder aus anderen Rechtsräumen, usw.

Wie ist mein Unternehmen betroffen?

Bei den Kriterien ist zu betrachten, wie stark, wie direkt oder indirekt das Unternehmen durch eine Vorgabe betroffen ist. Es kann differenziert werden zwischen direkt betroffen, d.h. in jedem Fall umzusetzen, indirekt betroffen, d.h. gegebenenfalls umzusetzen (z.B. wenn in einer Supply Chain vom Abnehmer Anforderungen an die Lieferanten "durchgereicht" werden), möglicherweise zutreffend, d.h. gegebenenfalls umzusetzen (für bestimmte Arten von Tätigkeiten), betroffen durch Einbindung Dritter oder Erbringung von Dienstleistungen (z.B. Outsourcing), d.h. durch entsprechende Vorgaben, Verträge und Prüfungen umzusetzen, usw.

Wie sind die Anforderungen zu beurteilen?

Bei der Beurteilung geht es um die Bewertung und die Abwägung im Rahmen der rechtlichen Würdigung und des Risiko Managements. Kriterien können sein: unbedingt vollständig zu erfüllen, abwägbar im Rahmen der Grundsätze der Verhältnismäßigkeit, abwägbar im Rahmen des Risikomanagements und andere.

Wie geht man mit widersprüchlichen Anforderungen um?

Gesetze und Verordnungen können sich widersprechen, auf nationaler Ebene, in unterschiedlichen Rechtsbereichen (siehe z.B. die Frage des Datenschutzes im Verhältnis zu den Aufbewahrungspflichten des Handelsrechtes) und natürlich auch international. Kriterien können hier der Datenschutz, konkurrierende Regelungen (hier nimmt man meistens die umfassendste), Offenlegungsverpflichtungen (z.B. Informationsfreiheitsgesetz) etc. sein.

In welchem Umfang sind die Regeln gültig?

Hat man ermittelt, welche Regularien überhaupt zutreffend sind, ist noch dem Umfang der Gültigkeit und damit auch der Umfang der notwendigen Maßnahmen zu definieren. Hierzu gehören Kriterien wie generelle Gültigkeit (z.B. Handelsgesetz für alle Unternehmen), teilweise Gültigkeit (z.B. nur für bestimmte Bereiche oder mit Einschränkungen), branchenspezifische Gültigkeit (z.B. nur für Pharma, Krankenhäuser, etc.), tätigkeitsspezifische Gültigkeit (z.B. Verbraucherschutz etc.), nachgeordnete Gültigkeit (z.B. durch interne Qualitäts-Richtlinien, Records-Management-Prinzipien) und weitere.

Welche internen Regelungen sind zusätzlich zu berücksichtigen?

Jedes Unternehmen setzt sich Ziele und befolgt interne Regelungen, wie diese Ziele im Rahmen der Geschäftstätigkeit umzusetzen sind. Auch diese internen Regelungen können unterschiedliche Qualität und Gültigkeit besitzen. Hier können Kriterien wie Bestandteil der Corporate Governance, Bestandteil der IT-Governance, Bestandteil des Qualitätsmanagementsystems, Arbeitsanweisung, Betriebsvereinbarung, Datenschutz & Datensicherheit, und andere notwendig werden. Vielfach leiten sich solche Vorgaben bereits aus rechtlichen oder regulativen Vorgaben ab.

An die Umsetzung von Compliance-Vorgaben sollte man erst schreiten, wenn diese Analyse und Bewertung vorgenommen wurde. Die Verantwortung hierfür liegt bei Geschäftsführern und Vorständen. In der Regel wird eine solche Bewertung (je nach Unternehmensgröße und –aufstellung) zusammen mit der Rechtsabteilung, der Revision, dem Controlling, Wirtschaftsprüfern, Anwälten oder Unternehmensberatern durchgeführt. Diese bewertete Aufstellung wird in der Governance-Richtlinie verankert und ist der Maßstab für das Risikomanagement und den Umfang der Compliance-Maßnahmen.

Records Management als Methode zur Erfüllung von GRC-Anforderungen

Definitionen

Unter einem Record wird ein beliebiger Content-Typ verstanden, der sich auf die Geschäftstätigkeit oder die Transaktion eines Unternehmens bezieht. Ein Record definiert sich durch Inhalt und Rechtscharakter, nicht durch seine physische oder elektronische Form. Beispiele sind E-Mails, Verträge, Geschäftsvereinbarungen, Kontoübersichten, Berichte sowie Video- und Audiodateien.
Record:
Information created, received, and maintained as evidence and information by an organisation or person, in pursuance of legal obligations or in the transaction of business.
Die Begriffe Record und Records Management sind durch ISO-Norm 15489, Teil 1, "Records Management", bzw. im Deutschen "Schriftgutverwaltung", international normiert. So lautet die deutsche Übersetzung der Definition von Record:

"Information, die erzeugt, empfangen und bewahrt wird, um als Nachweis einer Organisation oder Person bei rechtlichen Verpflichtungen oder zum Nachvollzug einer geschäftlichen Handlung zu dienen."
Records Management:
Field of management responsible for the efficient and systematic control of the creation, receipt, maintenance, use and disposition of records, including processes for capturing and maintaining evidence of and information about business activities and transactions in the form of records.
Dem entsprechend lautet die deutsche Übersetzung von Records Management "Schriftgutverwaltung" – und trifft dabei nicht den Kern des Begriffes:

"Als Führungsaufgabe wahrzunehmende effiziente und systematische Kontrolle und Durchführung der Erstellung, Entgegennahme, Aufbewahrung, Nutzung und Aussonderung von Schriftgut, einschließlich der Vorgänge zur Erfassung und Aufbewahrung von Nachweisen und Informationen über Geschäftsabläufe und Transaktionen in Form von Akten."

Nur mit Mühe lässt sich dieser Begriff aus der Akten- und Papierorganisation auf das elektronische Records Management übertragen. Wesentlich ist dabei die Herausstellung des Begriffes "Führungsaufgabe", die wieder die Brücke zur Verantwortung der Geschäftsleitung und zu Corporate Governance schlägt.

Funktionalität

Records Management wurde designt, um Compliance-Anforderungen umsetzen zu können.

Records Management bezeichnet die Verwaltung von Aufzeichnungen unabhängig vom Medium. Die Verwaltung muss dabei geordnet, sicher und nachvollziehbar sein. Die Records müssen eindeutig identifizierbar, im Sachzusammenhang erschließbar, authentisch und originär, gegen unauthorisierte Benutzung geschützt und entsprechend den vorgesehenen Aufbewahrungs- und Vernichtungsfristen der Objekte verwaltet werden. Basis für Records Management sind strukturierte Ablagepläne, definierte Ordnungskriterien und geeignete, persistente Findmittel. Records Management wird heute als eine Komponente des übergreifenden Enterprise Content Management verstanden.

Für die Verwaltung von Records muss ein Records Management System nach den Vorgaben der amerikanischen Nationalen Records Verwaltung (NARA) folgende Bedingungen erfüllen:

  • Zugreifbarkeit (Accessible)
  • Lesbarkeit (readable)
  • Reproduzierbarkeit (reproducable)
  • Nachvollziehbarkeit (tracable)
  • Unveränderbarkeit (unchanged, integrity, authenticity)
  • Langfristige Bewahrbarkeit (preservable)
  • Selbstbeschreibbarkeit der Records (self-documenting)
  • Entsorgbarkeit (disposable)
  • Rechtssicherheit (usable as evidence in regulatory and legal queries)

Records Management geht dabei über den Ansatz der elektronischen Archivierung hinaus: Records Management Systeme verwalten über Referenzen auch Informationen auf Papier in Aktenordnern oder auf Mikrofilm. Dies ermöglicht die vollständige Kontrolle auch "gemischter" Verfahren, in denen ein Parallelbetrieb mit unterschiedlichen Medien erforderlich ist. Records-Management-Systeme besitzen elektronische Ablagepläne und Thesauri, die eine strukturierte, geordnete, nachvollziehbare und eindeutige Zuordnung der Informationen sicherstellen. Hierbei werden Mehrfachzuordnungen nach unterschiedlichen Sachzusammenhängen und die Verwaltung unterschiedlicher Versions- und Historienstände der Ordnungssystematik unterstützt.

Records Management ist daher eine Basiskomponente für die Abbildung elektronischer, virtueller Akten und für die elektronische Vorgangsbearbeitung.

Weitere Kapitel

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

blog comments powered by Disqus

Weitere Artikel zum Thema

  • Metadata Standards

    Metadata Standards

    Metadaten sind wörtlich "Daten über Daten". Ohne diese beschreibenden Daten wären Informationsobjekte nicht zu ordnen und wiederzufinden...

    weiterlesen
  • Beweisqualität elektronischer Dokumente

    Beweisqualität elektronischer Dokumente

    Die elektronische Dokumentation wächst ständig. Zwei Ursachen treiben diese Entwicklung: die Vernetzung der Unternehmen durch die E-Mail-Kommunikation und die Transformation der Papierdokumente in elektronische Dokumente...

    weiterlesen
  • De-Mail

    De-Mail

    Interview mit Dr. Heike Stach, Leiterin des Projektes Bürgerportale/De-Mail beim Bundesministerium des Inneren (BMI). Die De-Mail geht 2009 in den Probebetrieb. Kann demnächst "jeder mit jedem" sicher kommunizieren?

    weiterlesen
  • XMP Metadaten-Standard in ECM-Umgebungen

    XMP Metadaten-Standard in ECM-Umgebungen

    In vielen gängigen Dateiformaten lassen sich Metadaten unterbringen. Unter Metadaten versteht man grundsätzlich Daten, die einem Dokument über die reinen Nutzdaten hinaus mitgegeben werden...

    weiterlesen
  • GDPdU - Teil III

    GDPdU - Teil III

    Der dritte und letzte Teil der Serie über die GDPdU und ihre Anforderungen zur elektronischen Archivierung liefert unter anderem 10 wichtige GDPdU-Merksätze und beschäftigt sich mit offenen Fragen...

    weiterlesen
alle Artikel zum Thema

Autor

Dr. Kampffmeyer ist Geschäftsführer der PROJECT CONSULT Unternehmensberatung GmbH, Hamburg, eine produkt- und herstellerunabhängige Beratungsgesellschaft für Informationsmanagement (IM).

zum Autorenprofil

Partner

Die PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH mit Hauptsitz in Hamburg ist seit 1992 als produkt- und herstellerneutrale Unternehmensberatung im Umfeld von Document Related Technologies (DRT) tätig und gehört hier zu den führenden I

zum Partnerprofil
Artikel einreichen

Top Artikel

  1. Ist XPS eine Alternative zu PDF/A?
  2. Open Source DMS LogicalDOC
  3. swabr - interne Echtzeit-Kommunikation
  4. Die digitale Poststelle richtig umsetzen
  5. Die richtige Erfassungssoftware

Unsere Experten

alle Experten

Premium Lösungen

Marktübersicht

Premium Services

Dienstleisterübersicht