IT-Compliance im Kontext von Enterprise Content Management

Compliance ist ein omnipräsentes und viel diskutiertes Thema in Vorstandsetagen und Fachabteilungen. Aber nur wenige haben das Thema wirklich verstanden. Allerdings wird das Thema wirklich praxisnah erst, wenn man es in einem konkreten Anwendungskontext betrachtet. Der Artikel erklärt, was IT-Compliance bedeutet und wie das Thema im Umfeld Enterprise Content Management, also dem Verwalten von Dokumenten und Inhalten, aussieht.

Was ist Compliance? Stark vereinfacht lässt sich Compliance als die Erfüllung regulatorischer und vertraglicher Verpflichtungen definieren. Compliance hat (etwas abstrakt formuliert) zum Ziel, die Transparenz und Überprüfbarkeit der unternehmensweiten Geschäftsprozesse zu erhöhen, Risiken zu minimieren und somit zur Beständigkeit des Geschäftsmodells beizutragen. Wenn nun von IT-Compliance die Rede ist, wird, anders als bei der unternehmensweiten Compliance, lediglich die Informationstechnik als Unternehmensbereichbetrachtet.IT-Compliance lässt sich noch weiter anhand der verschiedenen Vorschriften und den dadurch tangierten Informationssystemen untergliedern.

Was konkret bedeutet nun IT-Compliance? IT-Compliance wird mit einer Vielzahl nationaler und internationaler Vorschriften in Verbindung gebracht. Der Begriff beschränkt sich dabei jedoch nicht auf externe Regelwerke, sondern kann auch für interne Vorgaben wie Service Level Agreements (SLAs)oder ein Qualitätsmanagement nach ISO 9001 gelten. Ein naheliegender und daher verlockender Trugschluss ist, dass IT-Compliance aufgrund der Namensgebung ein reines IT-Thema ist und daher durch die zuständige Business Unit eigenständig und zufriedenstellend besetzt werden kann. Das ist aber falsch!

Compliance ist ein interdisziplinäres Thema

Dass IT-Compliance interdisziplinär gesehen werden muss, erkennt man anhand der nachfolgend genannten Vorschriften schnell. Während einige nationale Gesetze – wie beispielsweise das Bundesdatenschutzgesetz (BDSG), das Telekommunikationsgesetz (TKG)oder das Signaturgesetz (SigG) – zweifelsohne einen starken IT-Fokus haben, erfordert die Einhaltung vieler anderer gesetzlicher Vorschriften ein Höchstmaß an Interdisziplinarität. Wenn »IT-fremde« Vorschriften – beispielsweise Regelungen des Handels- und Steuerrechts (HGB/AO) –auf die IT wirken, müssen verschiedene Unternehmensbereiche eng zusammenarbeiten, um ein valides Ergebnis erarbeiten zu können. Neben den Juristen, den Verantwortlichen der involvierten BusinessUnits und den operativ beauftragten Mitarbeitern macht es dabei häufig Sinn, auch externe Sachverständige mit einzubeziehen. Die Koordination der Zusammenarbeit stellt dabei erfahrungsgemäß bereits eine große Herausforderung dar.

IT-Compliance sicherzustellen ist jedoch keinesfalls optional. Reputationsverlust und mögliche Sanktionen bei Verstößen gegen die Vorschriften können abhängig von der jeweiligen Vorschrift ein ernst zunehmendes betriebswirtschaftliches Risiko darstellen. IT-Compliance muss letzten Endes deshalb nicht nur wegen der oftmals gefürchteten Gesellschafterhaftung aus Sicht der Unternehmensleitung betrachtet werden, sondern auch wegen der strategischen Zielstellungen, die damit verbunden sind. Maßnahmen zur Einhaltung der Vorgaben dienen grundsätzlich der Risikominimierung und beugen durch konformes Verhalten Schaden vor. Die Motivation, in IT-Compliance zu investieren, fußt dagegen meistens auf der Hoffnung, Effizienz- und Effektivitätssteigerungen zu erreichen.

IT-Compliance und Enterprise Content Management

Was das Thema im Umfeld von Enterprise Content Management betrifft, so muss man stets die individuelle Situation im Unternehmen betrachten. Welche Vorschriften zu berücksichtigen sind, ergibt sich aus den verwalteten Informationen sowie den Unternehmensspezifika. Neben den eingangs erwähnten, weitverbreiteten Vorschriften gelten für ein Unternehme häufig auch branchenspezifische Regelwerke. Banken und Kapitalanlagegesellschaften müssen beispielsweise das Wertpapierhandelsgesetzes WpHG berücksichtigen, für die Unternehmen der Pharma und Lebensmittelbranche können hingegen die »good practices« der U.S. Food and Drug Administration(FDA) wichtig sein. Je nachdem welche Informationen abgelegt und Geschäftsprozesse abgebildet werden, variiert daher der Grad der Regulierung des entsprechenden Informationssystems.

Was heißt das? Kurz ausgedrückt: Enterprise Content Management selbst ist nicht reguliert, wohl aber unter Umständen die darin verwalteten Informationen und/oder die abgebildeten Geschäftsprozesse. Meiner Erfahrung nach sind die beiden am häufigsten diskutierten Themen der IT-Compliance im vor dem Hintergrund von Enterprise Content Management:

  • die oftmals als Revisionssicherheit zusammengefasste Regelkonformität der Unterlagenaufbewahrung nach Handels- und Steuerrecht (§ 239, 257 HGB, §§ 146, 147 AO). In diesem Zusammenhang sind insbesondere die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) und die Stellungnahmen des Instituts der Wirtschaftsprüfer, insbesondere IDW RS FAIT 3 und IDW PS 880, immer wieder Thema.
  • das E-Mail-Management und seine Konformität nach dem Bundesdatenschutzgesetz (BDSG).

Das Gesamtverfahren in den Mittelpunkt rücken

Enterprise Content Management kann grundsätzlich die Einhaltung verschiedener Vorschriften aktiv und sinnvoll unterstützen. Das gilt besonders, weil sich Compliance-Vorgaben sehr gut in der Kombination mit Effizienz- und Effektivitätssteigerungen realisieren lassen. Voraussetzung dafür ist aus meiner Sicht jedoch, dass das Vorhaben ganzheitlich betrachtet wird.

Häufig werden im Zusammenhang mit der angestrebten Rechtssicherheit einzelne Gesichtspunkte in den (technischen) Mittelpunkt gerückt, beispielsweise der Schutz vor Veränderung, Verfälschung oder Verlust. Das Gesamtverfahren wird während der Konzeption gerne vernachlässigt. Die Folge ist die unzureichende Umsetzung der Vorschriften. Ein Grund dafür ist sicherlich die Verklausulierung und die mangelnde Konkretisierbarkeit der Gesetzestexte. Ein weiterer nicht zu vernachlässigender Faktor ist meiner Meinung nach die fehlende und nicht zielorientierte Kommunikation der internen und externen Stakeholder. Je nachdem, wer die treibende Kraft hinter der Umsetzung des Vorhabens ist, werden die Schwerpunkte unterschiedlich gesetzt.

Um das Thema Enterprise Content Management »compliant« zu gestalten, ist es also notwendig, ein ganzheitliches und übergreifendes Konzept zu formulieren und vor allem kontinuierlich zu validieren. Wie kann so etwas aussehen? Um die vorherigen Punkte etwas mit Leben zu erfüllen, betrachte ich exemplarisch IT-Compliance mit dem ECM-System Alfresco Enterprise.

Die Motivation
Während die grundlegende Investitionsentscheidung für Alfresco Enterprise meist auf Basis eines quantifizierbaren Nutzens getroffen wird, sind es vor allem qualitative Faktoren, die über die Mitarbeiterakzeptanz und den generierbaren Mehrwert nach der Umsetzung entscheiden. Im Hinblick auf die IT-Compliance sind es primär die offenen Schnittstellen und die flexible Verwaltung von Inhaltsdefinitionen des Alfresco Repository (dem funktionalen Kern des Systems), die ein Unternehmen kosteneffizient, zeitnah und transparent auf sich ändernde regulatorische Verpflichtungen in seinem Umfeld reagieren lassen.

Das Standardszenario

Alfresco Enterprise wird eingeführt, um veraltete Strukturen aufzubrechen, die Zusammenarbeit verschiedenster Mitarbeitergruppen zu optimieren und Informationen unternehmensweit zur Verfügung zu stellen. Neben modellierten Geschäftsprozessen und der Zusammenarbeit außerhalb des Firmennetzwerks (Thema Hybrid-Cloud) spielt natürlich auch die meist in Verbindung mit zertifizierter Hardware (beispielsweise EMC Centerra, EMC VNX oder NetApp SnapLock) zu realisierende revisionssichere Speicherung aufbewahrungspflichtiger und aufbewahrungswürdiger Informationen eine große Rolle. Insbesondere wenn Integrationen ein zentrales Thema bei der Implementierung bilden, müssen oft erfahrungsgemäß verschiedene Compliance-Themen näher betrachtet werden.

Der Fallstrick

Unternehmen profitieren in den meisten Szenarien nicht nur durch Einsparungen gegenüber der analogen Informationshaltung, sondern vor allem durch die neu gewonnene Flexibilität, was den Zugriff auf und die Verwaltung der Informationen betrifft. Viele übersehen an dieser Stelle aber gerne, dass die unveränderbare Speicherung der Informationen nicht das einzige Kriterium der meisten Vorschriften ist. Die revisionssichere Speicherung (Handels- und Steuerrecht) erfordert beispielsweise auch die Sicherung des Gesamtverfahrens sowie eine Verfahrensdokumentation (vgl. GoBS). Was genau das Gesamtverfahren umfasst, ist dabei wiederum abhängig von der konkreten Situation.

Sie merken schon: Es ist immer wieder die Rede von der »konkreten« und der »individuellen« Situation. Das Bundesministerium der Finanzen (BMF) bezieht deshalb in Zusammenhang mit den GDPdU sogar Stellung und schreibt«[…]die Vielzahl und unterschiedliche Ausgestaltung und Kombination selbst marktgängiger Buchhaltungs- und Archivierungssysteme lassen keine allgemein gültigen Aussagen der Finanzverwaltung zur Konformität der verwendeten oder geplanten Hard- und Software zu. »Zertifikate« Dritter entfalten gegenüber der Finanzverwaltung keine Bindungswirkung.« [1].

Was tun? Unverbindliche Tipps aus der Praxis

Wenn nun also immer die individuelle Situation des betroffenen Unternehmens betrachtet werden muss, sollte meiner Meinung nach der erste Schritt sein, die relevanten Vorschriften zu identifizieren. Das sollte in Zusammenarbeit mit den entsprechenden Fachabteilungen erfolgen. Das heißt, bevor beispielsweise Unterlagen des Rechnungswesens verarbeitet und/oder abgelegt werden, sollte man in Rücksprache mit der entsprechenden Fachabteilung eine Beurteilung des Sachverhalts vornehmen. Oftmals haben die Fachverantwortlichen bereits einen guten Überblick über die regulativen Vorgaben.

Erst nachdem ein Gesamtüberblick vorhanden ist, kann man ein Konzept erarbeiten. Das ist eine Binsenweisheit, wird aber gerne übersehen. Das Konzept sollte die anzuwendenden Vorschriften detailliert beschreiben und sie hinsichtlich ihrer technischen Konsequenzen beurteilen. Darüber hinaus gilt es aber beispielsweise auch, die Erfassung der Informationen zu berücksichtigen. Nicht nur die Speicherung ist Teil der Revisionssicherheit, auch die Erfassung (beispielsweise das Einscannen, sowie die damit verbundene Frage ob eine inhaltliche oder bildliche Übereinstimmung erforderlich ist) muss unter Umständen im Rahmen des Gesamtverfahrens abgesichert und berücksichtigt werden.

Ein Gesamtüberblick ist wichtig, da unter anderem Normenhierarchien berücksichtigt werden müssen. Gibt es mehrere Vorschriften, sollte der restriktiveren der Vorzug gegeben werden. Ein Beispiel: Eine Unterlage ist entsprechend des Handelsrechts für 6 Jahre aufzubewahren. Die Unterlage ist zugleich steuerrelevant und gemäß Steuerrecht für 10 Jahre aufzubewahren. Die Aufbewahrungsdauer der Unterlage erstreckt sich entgegen dem Handelsrecht somit über 10 Jahre.

Wurde das Konzept erstellt und durch die jeweils involvierten Fachabteilungen freigegeben, so gilt es eine Maßnahmenplanung vorzunehmen. Die zentrale Frage lautet dabei: Welche Schritte sind aus Sicht der IT vorzunehmen, um den Vorschriften Genüge zu tun und welche Auswirkungen haben die Vorschriften auf den Gesamtprozess? Neben der Bildung eines Projektteams ist es wichtig, die Umsetzung der Vorschriften als Prozess zu verstehen. Einmal abgeleitete Maßnahmen müssen unter Umständen kontinuierlich überarbeitet werden. In Hinblick auf die GoBS/GDPdU wurde inzwischen beispielsweise ein erster Entwurf der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) seitens des BMF veröffentlicht. Dieser wird seitens des IDW aktuell kritisiert, da die Neuregelung nach Meinung des IDW zulasten der Steuerpflichtigen geht. Es bleibt also abzuwarten, welchen Einfluss die Wirtschaftsvertreter an dieser Stelle auf den Entwurf des BMF ausüben können und welche Konsequenzen der Neuregelung gegenüberstehen.

Compliance wegen Offenheit

Wie kann eine ganzheitliche Betrachtung technisch aussehen? Alfresco Enterprise besitzt eine XAM-Schnittstelle, über die sich unveränderbarer Speicher (beispielsweise WORM, CAS)einbinden lässt. Dass die unveränderbare Speicherung von aufbewahrungspflichtigen Unterlagen nicht genügt, um Revisionssicherheit nach Handels- und Steuerrecht zu gewährleisten, sollte inzwischen klar sein. Im Zusammenhang mit verschiedenen standardisierten Schnittstellen, die es erlauben eigene Erweiterungen einzuspielen und dadurch herstellerunabhängig zu agieren, heißt das, dass der Gesamtprozess betrachtet und unter Umständen abgebildet werden muss. Das Ziel ist dabei, eine möglichst hohe Effizienzsteigerung zu erreichen.

Eine sinnvolle Integration beziehungsweise Schnittstelle existiert an dieser Stelle unter anderem zu Kofax, einer Software zur automatisierten Datenerfassung und Datenverarbeitung. Wird nun beispielsweise eine Rechnungsverarbeitung angestrebt, so kann der Einsatz von Kofax die Verarbeitungsgeschwindigkeit signifikant erhöhen. Während die Erfassung alsoim Rahmen des Gesamtverfahrens durch Kofax abgedeckt ist, kann Alfresco Enterprise die Rechnungen automatisiert mitsamt extrahierter Metainformationen entgegennehmen, um beispielsweise Workflows zur Genehmigung der Rechnungsbuchung zu starten. Im Hintergrund wiederum sorgen zertifizierte Storage-Systeme für eine unveränderbare Speicherung – für den Endbenutzer verborgen, für den Wirtschaftsprüfer transparent.

Dieses Szenario kann man darüber hinaus durch weitere Mehrwerte erweitern: Wird beispielsweise SAP als ERP angebunden, lassen sich Belege automatisch in Alfresco Enterprise ablegen (SAP Content Server). Der SAP Connector von it-novum kann zusätzlich Metainformationen (beispielsweise Lieferanteninformationen, Produkt- oder Materialdaten)abfragen und WorkItems (beispielsweise im Rahmen der Rechnungsvorerfassung) auf Wunsch vollautomatisiert anlegen. Werden alle Schritte berücksichtigt und in einer Verfahrensdokumentation festgehalten, so kann man Effizienzsteigerungen und die Risikominimierung miteinander verbinden.

Mehr zum Thema Rechtssicherheit und Revisionssicherheit finden Sie in dem Whitepaper »Rechtssichere Archivierung«: https://www.it-novum.com/download-wp-rechtssichere-archiv.html?wm%3D=manageit

[1] BMF REFERAT IV A 4 (Hrsg.): Fragen und Antworten zum Datenzugriffsrecht der Finanzverwaltung (Stand: Januar 2009)

logo-und-claim it-novum

 

 

cover it-novum rechtssichere archivierungRechtssicherheit und Revisionssicherheit führen nicht selten zu Missverständnissen.

Dieses Whitepaper thematisiert die Begrifflichkeiten im Umfeld rechtssichere Archivierung und skizziert anschließend ein Projektbeispiel aus der Praxis.