Enterprise-Content-Management
Compliance für den Mittelstand
Für mittelständische Unternehmen ist der regelkonforme Betrieb ihrer IT eine neue Herausforderung, die nach viel Mühe und hohen Kosten aussieht. Mit ECM im Mittelpunkt des Lösungsansatzes lässt die Aufgabe leichter meistern.
Unternehmen, die ihre Daten und DV-Systeme nicht vor Missbrauch oder Verlust schützen, riskieren
inzwischen nicht nur ihr Image. Ohne es vielleicht zu wissen, stehen gerade Geschäftsführer von
mittelständischen Unternehmen mit einem Bein im Gefängnis, denn die gesetzlichen Anforderungen in
der IT steigen von Jahr zu Jahr und verpflichten Firmen, Anforderungen in Bezug auf die Sicherheit
und insbesondere an die Verfügbarkeit von Informationen einzuhalten. Gelingt dies nicht, können
Unternehmen haftbar gemacht werden – und zwar nach Zivil-, Handels- und Strafrecht.
Die Übereinstimmung mit gesetzlichen Vorgaben und die Erfüllung bestimmter rechtlicher und
regulatorischer Vorschriften wird mit dem Begriff "Compliance" umschrieben. "Für Compliance gibt es
kein Fertigprodukt", bemerkt Robert Reibis, Director of Software Development bei Optimal Systems. "
Es ist ein Aufgabenfeld, für das man keine fertige Lösung kaufen kann, die man installiert, und
schon ist die Angelegenheit erledigt". Compliance ist auch keine einmalige Aktion, sondern ein
andauernder Prozess. Einerseits braucht man Software, die entsprechende Prozesse vereinfachen oder
unterstützen, anderseits muss man Compliance als einen kontinuierlichen Prozess auch professionell
organisieren und überwachen. Compliance sollte in jedem Fall eine unternehmensweite Disziplin sein,
die von einem speziell benannten Verantwortlichen gesteuert wird. Mit organisatorischen
Umstellungen ist zu rechnen, und betroffen sind meist alle Unternehmensbereiche.
Da Unternehmen immer größere Mengen an Informationen digital erzeugen und bearbeiten sind
Regularien für den Umgang und die Bereitstellung von elektronischen, geschäftsrelevanten
Informationen – auch ohne gesetzlichen Druck – im Grunde unumgänglich. Mit der zunehmenden
E-Mail-Kommunikation und immer neuen E-Business-Anwendungen besteht auch eine wachsende
Notwendigkeit, die dazugehörigen Prozesse einschließlich der mit den Applikationen verbundenen
Informationen zu dokumentieren.
Wer sät, der erntet
Eine umfassende Dokumentation aller Geschäftsvorgänge hat eine höhere Transparenz als positiven
Nebeneffekt. Gleichzeitig können Unternehmen sowohl die Produktivität als auch die Qualität der
Geschäftsprozesse und des Controllings optimieren und allein dadurch bereits die
Compliance-Anforderungen einfacher erfüllen.
Damit die komplette Dokumentation aller Geschäftsvorgänge geregelt ist und vollständig
stattfindet, ist die Etablierung eines speziellen Workflows oder Business-Process-Managements
unausweichlich. Im Unternehmen können sich Vorgaben und Geschäftsabläufe außerdem ändern und neue
Geschäftsabläufe entstehen.
ECM als Softwarebasis
Um Compliance-Anforderungen zu erfüllen, muss ein Unternehmen Informationen schnell und sicher
finden, verwalten und unveränderbar archivieren können – wann, wo und in welchem Format auch immer
sie generiert wurden. Das ist auch der Zweck von so genannten
Enterprise-Content-Management-(ECM-)Lösungen, denen deshalb im Compliance-Umfeld eine besondere
Bedeutung zuteil wird.
ECM umfasst herkömmliche dokumentenorientierte Informationstechniken wie Scannen,
Dokumentenmanagement, Knowledge-Management, Workflow-Steuerung, Archivierung und so weiter und
integriert die Host- und Client-/Server-Welt mit Web-Content-Management-, Portal- und anderen
Internettechniken. In Verbindung mit Workflow und durch die Integration in bestehende Anwendungen
sind ECM-Systeme geradezu die wichtigsten Bestandteile mancher Compliance-Lösung.
Mit der Einführung funktional umfassender ECM-Systeme lässt sich also eine hinreichende Vorsorge
treffen, die es im Fall der Fälle ermöglich, eindeutig nachzuweisen, welche Information wann von
wem und wie bearbeitet wurde. Da sich die Bearbeitungsprozesse mithilfe von ECM-Lösungen auch noch
entsprechend gesetzlich bestehender Regeln strukturiert steuern lassen, kann sichergestellt werden,
dass man vor Gericht im Streitfall nicht das Nachsehen hat.
Die Auswahl einer Compliance-Lösung lässt sich mit der Beantwortung von drei Fragen etwas
leichter treffen:
1. Bietet die Lösung tatsächlich eine elektronische Langzeitarchivierung oder lagert sie die
Daten nur einfach in eine Datenbank aus? Informationen zu archivieren und abzulegen ist nicht
alles: Der Zugriff auf die Informationen muss gewährleistet sein. Ein ECM-System muss unter anderem
ermöglichen: die Archivierung und Verwaltung von Informationen unabhängig von Quelle, Erzeuger und
späterer Nutzung, eine gezielte schnelle Recherche sowie unterschiedliche Sichten auf den
Informationsbestand.
2. Wird Revisionssicherheit, also die Unveränderbarkeit der im ECM geführten Informationen,
geboten, oder besteht eine Möglichkeit, eine Datei modifizieren zu können? Die eingesetzte
ECM-Lösung muss Dokumente gemäß den gesetzlichen Vorgaben verwalten: Sie müssen sicher,
unveränderlich, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt
recherchierbar aufbewahrt werden. Alle gespeicherten Informationsobjekte müssen gegen einen
unberechtigten Zugriff und gegen Veränderbarkeit der gespeicherten Information durch
Verschlüsselung und Einbindung von Elektronischen Signaturen abgesichert sein. Die elektronische
und revisionssichere Langzeitarchivierung durch ein ECM-System muss die Verfügbarkeit von Daten und
Dokumenten über einen Zeitraum von mindestens zehn Jahren gewährleisten.
3. Ist die Lösung einfach in vorhandene, notwendige Fachapplikationen integrierbar? Bestehende
Anwendungen im Unternehmen sollten durch konfigurierbare Schnittstellen angebunden werden können –
ERP-Systeme, Finanzlösungen, Autocad oder beliebige Fachapplikationen müssen sich entweder selbst
direkt in das ECM-System integrieren lassen, oder dieses muss in die Applikationen integriert
werden können, um das Ziel der umfassenden Dokumentation aller Geschäftsvorgänge zu erreichen.
Zusammenspiel
Für Unternehmen, die E-Business oder E-Banking betreiben, rückt die revisionssichere
Langzeitarchivierung von Webprozessen in den Vordergrund. So sollte das Unternehmen nach einer
Compliance-Lösung suchen, die das Zusammenspiel von Web-Content- Management und elektronischem
Archivsystem unterstützt. Für mittelständische Unternehmen ist es wichtig, nicht nach einer
Einzellösung für ausgewählte Vorgänge oder einmalige Probleme zu suchen, sondern nach einer
IT-Strategie, die neben der Erfüllung von Compliance-Anforderungen auch für den Geschäftsbetrieb
nutzbringend ist.
Lesen Sie mehr zum Thema
