Pflicht und Kür unterscheiden lernen

von Jens Jacobsen, Jürgen Höfling

Share
23.04.2009

Pflicht und Kür unterscheiden lernen Mit der Einführung elektronischer Dokumente und Inhalte sowie deren Archivierung müssen auch die internen Kontrollsysteme digital abgebildet werden. Aber nicht alles, was technisch geht, ist auch ökonomisch sinnvoll.

(Fortsetzung des Artikels von Seite 4)

Unternehmen müssen zum einen interne Richtlinien und zum anderen staatliche Gesetze und Vorschriften einhalten und deren Einhaltung nachweisen können. Bei letzteren kommt das Unternehmen nicht an der Einrichtung entsprechender Vorkehrungen und Mechanismen vorbei. Anders bei der ersten Kategorie: Hier sollten, weil freiwillig, Aufwand und Nutzen genau abgewogen werden, zumal das Befolgen von Regularien aus dem Blickwinkel der Kosten einen nicht unbedeutenden Nachteil hat: Der zusätzliche administrative und technische Aufwand führt zu keinem direkten geschäftlichen Nutzen. Ein eventuell vorhandener indirekter geschäftlicher Nutzen, der durch das Verhindern von Datenverlusten, das Vermeiden von Strafzahlungen oder das Eingrenzen von Schäden an Firmenimage und Firmenmarken entsteht, ist nur schwer quantifizierbar.

Verschiedene Maßstäbe je nach Firmengröße

Entscheider sollten genau überlegen, welche internen Richtlinien und Mechanismen sie entlang ihres Dokumenten- und ihres Content-Management-Systems einführen und auf welche sie verzichten. Für Großunternehmen beispielsweise können Richtlinien und Mechanismen, die einer Ruf- oder Markenschädigung entgegenwirken, einen hohen Stellenwert haben. Für mittelständische Firmen, die kein großes Zulieferernetz haben, sondern Produkte mehr oder weniger aus einer Hand fertigen, dürften hingegen allzu viele interne Vorgaben eher unattraktiv sein. Solche Mittelständler sollten sich besser ganz auf das Pflichtprogramm, nämlich die Einhaltung staatlicher Gesetze und der Vorschriften ihrer Branche, konzentrieren. Schon dort gibt es viel zu tun, und zwar für »Große« und »Kleine« gleichermaßen.

Die Messlatte liegt hoch

Besonders in den Branchen, die stark reguliert sind, ist der Nachholbedarf bei der Erfüllung staatlicher Vorgaben groß. Betroffen sind da vor allem der Finanz- und der Pharmabereich, die Chemie, die Umwelttechnik und der öffentliche Sektor. Die Messlatte für das Pflichtprogramm entlang von Dokumentenabfolgen und Content-Abrufen bis hin zur Ablage liegt dabei hoch. Es müssen eine ganze Reihe von Kriterien erfüllt sein: Vollständigkeit, Nachvollziehbarkeit, Zugriffssicherheit, Integrität, Auffindbarkeit, Reproduzierbarkeit, Richtigkeit, Prüfbarkeit, Vertrauenswürdigkeit, Authentizität und Portabilität. Hinzu kommt, dass die Erfüllung dieser Kriterien sowohl durch den Einsatz der richtigen Techniken, aber auch durch organisatorische Weichenstellungen und Vorkehrungen bewerkstelligt werden muss. Die Herausforderung beginnt aber zuvor. Die Unternehmen müssen die gesetzlichen Bestimmungen und Branchenvorschriften en detail kennen, um überhaupt angemessene technische und organisatorische Maßnahmen treffen zu können. Oft herrscht selbst in stark regulierten Bereichen noch Unklarheit über das genaue Anforderungsprofil.

Analyse des Prozess-Solls

In dieser Situation können externe Berater mit Branchenwissen dabei helfen, das Wesentliche vom Unwesentlichen zu trennen und dadurch Fehlinvestitionen zu vermeiden. Erforderlich ist dafür eine eingehende Analyse des Prozess-Solls, will heißen: Dokumentenzusammensetzungen, Dokumenten-Workflows, Informationswege und Vorgangssteuerungsmechanismen. Unverzichtbar ist vor allem auch eine Risikoanalyse entlang der Dokumenten- und Content-Prozesse. Diese hilft dabei, einerseits die Gefahrenpotenziale zu erkennen und sie ermöglicht es andererseits, geplante Maßnahmen in ihren Auswirkungen, Wechselwirkungen und Kosten zu beurteilen.

Technische Lösungen

Als technische Mittel für eine regelkonforme Unternehmensführung bieten sich Document- und Record-Management, ein revisionssicheres E-Mail-Journal und Identitätsmanagement-Systeme an. Über Document- und Record-Management können, sofern richtig ausgelegt, alle relevanten Inhalte verlässlich gesichert und schnell wieder aufgerufen werden. Außerdem lassen sich durchgeführte Änderungen lückenlos aufzeichnen und dokumentieren sowie Inhalte, die nicht verändert werden dürfen, vor Manipulationen schützen. Das revisionssichere E-Mail-Journal zielt speziell für die elektronische Post in die gleiche Richtung. Die Stärke einer Identitätsmanagement-Lösung besteht darin, dass sämtliche Zugriffe sowie die zugreifenden Personen exakt dokumentiert und diese Informationen jederzeit zentral über integrierte Reporting-Werkzeuge von der Revision ausgewertet werden können. Dazu werden Identitätsmanagement-Lösungen direkt an das Dokumentenmanagement-System beziehungsweise das Content-Management-System angekoppelt. In der Praxis wird sich meist eine ausgewogene Mischung aus allen drei technischen Lösungen ergeben. Dazu sollte das Unternehmen den Umfang, die Wirkungsbreite und die zeitliche Reihenfolge der zu treffenden technischen Maßnahmen genau kennen. Wichtig ist zudem, die möglichen Managementprodukte schon frühzeitig in die Konzeption einzubeziehen. Denn ihr Funktionsumfang und ihre Schnittstellen sind nicht nur bestimmend für die Ist-Situation, sondern auch für ihre Fähigkeit, neue Gesetze, Vorschriften und Richtlinien flexibel umzusetzen. Die beschriebenen Mechanismen werden nur dann verlässlich implementiert werden können, wenn alle vier Faktoren – Dokumenten- und Content-Management, Management-Mechanismen, Organisation, Mensch – zusammenspielen. Auch für die organisatorischen und Personalmaßnahmen gilt: Möglichst wenige, dafür aber saubere interne Prozesse sind besser als zu viele Maßnahmen, Vorkehrungen und Zuständigkeiten, die dann eine nicht beherrschbare Komplexität erzeugen.

Dr.-Ing. Jens Jacobsen ist Practice Manager ECM bei Logica.