Ein Alibi im Aktenschrank Teil 1: Grundlagen IT-Compliance

Ein Alibi im Aktenschrank Teil 1: Grundlagen IT-Compliance

Grundlagen IT-Compliance & digitale Archivierung„Eine Investition in Wissen bringt noch immer die besten Zinsen“, sagte einst Benjamin Franklin (1706-1790). Daran hat sich auch im digitalen Zeitalter nichts geändert. Für viele Unternehmen wird das Wissensmanagement allerdings zur echten Herausforderung. Denn wo immer mehr Informationen sind, muss auch immer mehr digital erfasst, bearbeitet und archiviert werden. Jeder Informationsverlust durch eine falsche bzw. nicht revisionssichere Archivierung ist dann nicht mehr nur ärgerlich, sondern kann ebenso teuer werden. Compliance Management hilft.

Auf in den Paragraphen-Dschungel

Zu den Grundlagen von Compliance gehört der Frage, welche Bedingungen für eine rechtskonforme Dokumentation und digitale Archivierung erfüllt sein müssen. Bei der Antwort steht man schnell im Paragraphen-Dschungel. Denn ob, wie, wie lange und welche Dokumentenarten aufbewahrt werden müssen, regeln eine Vielzahl von Vorschriften und Gesetzen. Compliance Management hilft, den Überblick zu behalten und die Richtlinien einzuhalten.

Für digitalisierte Rechnungen gelten andere Vorschriften als z. B. für Verträge. National wiederum andere als international und, und, und. Alle Regeln, die ein Unternehmen zu befolgen hat, werden unter dem Begriff Compliance zusammengefasst (Compliance: Definition & Spielregeln). Dazu zählen etwa interne Richtlinien sowie Verordnungen und Gesetze, wie etwa die Abgabeordnung (AO), die GoBD („Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“, die seit Januar 2015 GoBS und GDPdU ersetzt) oder auch internationale Richtlinien wie der Sarbanes-Oxley Act (SOX).  Und das sind nur die allgemeinen Regeln. Für spezifische Branchen gibt es darüber hinaus weitere spezifische Anforderungen, beispielsweise die Food and Drug Administration (FDA) in der pharmazeutischen und der Lebensmittelindustrie.

Auf dem rechten Weg

Um IT-Compliance und die zahlreichen gesetzlichen Vorgaben für die revisionssichere digitale Archivierung erfüllen zu können, müssen die dafür relevanten Prozesse inkl. der dazugehörigen Informationstechnologien (also Software für Enterprise Content Management) aussagekräftig dokumentiert sein.

Aussagekräftig heißt in allererster Linie vollständig, transparent und nachvollziehbar (Anforderung entsprechend GoBS). Ein unabhängiger Dritter – also z. B. ein Gericht – muss in der Lage sein kann, die Ordnungsmäßigkeit der Archivierung bzw. der Verfahren nachzuvollziehen. Unternehmen sollten ihre Verfahrensdokumentation daher so konkret und spezifisch wie möglich auf die Implementierung im eigenen Unternehmen abstimmen, damit sie in Bezug auf das Handels- und Steuerrecht zweifelsfrei anerkannt wird.

Nicht nur ein Pflichtprogramm

Kurz gefasst: Die Verfahrensdokumentation dokumentiert den organisatorischen und technischen Prozess von der Entstehung einer Information über die Indizierung und Speicherung, das eindeutige Wiederfinden, die Absicherung gegen Verlust und Verfälschung und die Reproduktion am Bildschirm und am Drucker.

Allerdings ist sie nicht nur eine Grundbedingung für die revisionssichere digitale Archivierung. Mit ihr lassen sich auch Änderungsprozesse und Weiterentwicklungen in der IT-Landschaft besser gestalten, da sie einen guten Überblick über Prozesse, verwendete IT-Systeme und deren gegenseitige Abhängigkeiten bietet. Damit leistet sie einen wichtigen Beitrag für das Qualitätsmanagement.

»Weiter geht’s in Teil 2 der Serie mit der Verfahrensdokumentation für digitale Archivierung

» Empfehlenswerte Links und für diese Artikel verwendete Informationsquellen:

1 Antwort
  1. Michele Barbato
    Michele Barbato says:

    Hallo Angeles,
    die von Dir genannte Herausforderung „Unternehmenswissen revisionssicher zu archivieren“ ist immer der 2. Schritt. Die eigentliche Herausforderung heißt in diesem Zusammenhang „Information Governance“. Erst durch ein Information Governance kann Unternehmenswissen generiert, gesteuert und damit auch benutzt werden.

    Wenn man sich den Compliance-Dschungel ohne zu wissen, was ein Unternehmen betrifft und was nicht, dann ist es undurchsichtig.

    Compliance ist ein Teil von Information Governance.
    Compliance wird häufig bei Einführung ECM-Projekten genannt bzw. abgefragt. Ich frage mich manchmal was die Unternehmen bei der Einführung von ERP- oder eMail-Programmen machen.
    Wenn man z. B. Rechnungen archiviert, sind diese doch irgendwo entstanden. Ich meine eine Verfahrensanweisung wie man bucht und danach die Dokumente ablegt und welche Compliance zu beachten sind, muss doch vor der Einführung eines DMS/ECM vorhanden sein. Warum (jetzt mal provokativ gefragt) müssen wir ECM-Hersteller darauf hinweisen eine Verfahrensanweisung zu erstellen? Die Realität müßte doch sein, dass der Kunde die ECM-Realisierung „automatisch“ in seine vorhandene Verfahrensanweisung übernimmt, oder ?

    Viele Grüße Michele

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *