1 IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT...

IMC InformationManagement Compliance Policies und ihre Umsetzung

Dr. Ulrich Kampffmeyer

PROJECT CONSULT

UnternehmensberatungDr. Ulrich Kampffmeyer GmbH

Breitenfelder Straße 17

20251 Hamburg

www.project-consult.com© PROJECT CONSULT 2006

1

IMC Information Management Compliance Policies und ihre UmsetzungDr. Ulrich Kampffmeyer

Hamburg, 14. Februar 2006

P R O J E C T C O N S U L TUnternehmensberatung Dr. Ulrich Kampffmeyer GmbH



PROJECT CONSULT



20251 Hamburg


2

Agenda

• Was ist eine Information Management Compliance Policy

• Information Management Compliance Policy im Rahmen der Corporate Governance

• Identifizierung der relevanten Komponenten und Vorgaben im Unternehmen

• Die Rolle der IT-Systeme: Records Management und Enterprise Content Management

• Compliance als kontinuierlicher Prozess



PROJECT CONSULT



20251 Hamburg


3

Einige weitverbreitete Ansichten

• „Wer nicht compliant ist, kommt ins Gefängnis“• „Die elektronische Archivierung ist Pflicht“

aber auch• „Compliance schafft nur unnötigen Aufwand und unnötige

Kosten“• „Durch Compliance bekomme ich nicht einen Kunden mehr“• „Compliance lähmt die Unternehmen und macht sie

unflexibel“• „Der Gesetzgeber blickt doch selbst nicht durch“• „Wir stellen Produkte her und keine Papierdokumentationen“• „Compliance ist ein Papiertiger – einmal sind die Risiken

klein, zum zweiten besteht sie nur aus bedrucktem Papier“



PROJECT CONSULT



20251 Hamburg


4

Was ist Compliance?

Übereinstimmung mit und Erfüllung vonrechtlichen und regulativen Vorgaben



PROJECT CONSULT



20251 Hamburg


5

„Übereinstimmung“

• Es wird vorausgesetzt, dass es nachlesbare, definierte, offizielle Vorgaben gibt, die die Regeln enthalten, was zu tun ist

• Hier ist „Übereinstimmung“ gefordert, ohne das die Regeln meistens eine technische Vorgabe enthalten, wie die Anforderung umzusetzen ist

• Es ist sinnvoll, da sich solche Vorgaben nicht an einer Technologie festmachen sollten, die in ein paar Jahren schon wieder obsolet ist

• „Übereinstimmung“ ist statisch bezogen auf die Vorgabe



PROJECT CONSULT



20251 Hamburg


6

„Erfüllung“

• Der Begriff „Erfüllung“ impliziert zweierlei:Einmal, das die Anforderungen in einer Lösung umgesetzt werden müssen, und zum Zweiten, dass dies ein Prozess ist, keine einmalige Aktion

• Das Unternehmen oder die Organisation muss kontinuierlich für die Einhaltung der Vorgaben Sorge tragen

• „Erfüllung“ geht dabei meistens über eine rein technische Lösung hinaus und beinhaltet auch organisatorische und Management-Aspekte

• „Erfüllung“ ist dynamisch, ein ständig laufender, kontrollierter Prozess



PROJECT CONSULT



20251 Hamburg


7

„Rechtliche Vorgaben“

• Gesetze oder behördliche Verordnungen, die bestimmte Unternehmen, Organisationen oder Personen verpflichten, die jeweils aufgeführten Regelungen einzuhalten

• Man kann sich nicht um die Erfüllung „drücken“, lediglich in Hinblick auf Auslegung, Umfang und Umsetzungsweise besteht Handlungsspielraum



PROJECT CONSULT



20251 Hamburg


8

„Regulative Vorgaben“

Warum unterscheidet man zwischen „rechtlich“ undregulativ“?

• Es gibt eine Reihe von Vorgaben, die sich nicht auf Gesetze berufen wie z.B. Normen, Standards,

Codes of Best Practice von Branchen oder andere Vorgaben• Vielfach ergeben sich aus gesetzlichen Vorgaben für einen Anwendungsfall auch Auswirkungen und implizite Anforderungen für andere Fälle



PROJECT CONSULT



20251 Hamburg


9

Grundsätzlich

• Alle rechtlichen und gesetzlichen Vorgaben gelten auch in der elektronischen Welt!

• Die Anforderungen der DV-Welt sind jedoch häufig noch nicht oder nicht direkt enthalten und müssen daher adäquat abgeleitet werden



PROJECT CONSULT



20251 Hamburg


10

Unterschiede

Direkte Auswirkungen• HGB• AO / GDPdU / GOBS• Verrechnungspreisdokumentation

Indirekte Auswirkungen• Basel II (für „Nicht-Banken“)• BDSG



PROJECT CONSULT



20251 Hamburg


11

Was ist eine Information Management Compliance Policy



PROJECT CONSULT



20251 Hamburg


12

Information Management Compliance (IMC)

• IMC hat nicht nur mit Technik zu tun, sie muss sich im gesamten Unternehmen, im Umgang mit Information und in den Prozessen einer Organisation widerspiegeln

• Sie hat mit Verantwortung von Personen und deren Tätigkeit, Nachvollziehbarkeit und Qualitätsstandards zu tun

• Information Management Compliance ist eine Abbildung all dieser Komponenten in elektronischen Systemen

• Diese beinhalten nicht nur Komponenten wie Records Management und Archivierung, sondern Datensicherung und Datensicherheit, Zugriffsschutz, Kontrollsysteme und andere Komponenten



PROJECT CONSULT



20251 Hamburg


13

Vier Komponenten für Information Management Compliance (1)

1. Information Management PolicyGrundregeln und Verwaltensweisen für den Umgang mit Prozessen und Informationen, die sich in der „Corporate Governance“ niederschlagen. Dies schließt die das Bewusstmachen, die Zuordnung der Verantwortung, und die Verankerung der Policy im Management der Organisation ein. Das Management trägt hier nicht nur die eigene Verantwortung für die Einhaltung der Regularien, sondern auch für Umsetzung im Unternehmen mit Vorbildfunktion



PROJECT CONSULT



20251 Hamburg


14


2. DelegationZuordnung von Verantwortlichkeiten und entsprechende Ausbildung auf den nachgeordneten Ebenen, die allen Betroffenen die Bedeutung von Compliance-Regeln deutlich macht. Dies schlägt sich auch in den Arbeitsprozessen, Arbeitsplatzbeschreibungen, Verträgen und Arbeits anweisungen nieder Auf den verschiedenen Ebenen einer Organisation muss abhängig von Aufgaben und Zuständigkeiten der Mitarbeiter eine Durchgängigkeit erzeugt werden



PROJECT CONSULT



20251 Hamburg


15


3. NachhaltungDie Einhaltung der Regeln muss regelmäßig überprüft werden. Hierzu gehören z.B. Qualitätssicherungsprogramme ebenso wie Audits. Dabei ist auf eine ständige Verbesserung der Prozesse und auf die Nachführung der Dokumentation zu den durchgeführten Maßnahmen Wert zu legen



PROJECT CONSULT



20251 Hamburg


16


4. Sichere SystemeDie IT-Systeme müssen den Anforderungen mit ihrer Funktionalität, Sicherheit und Verfügbarkeit genügen und die Nachvollziehbarkeit unterstützen. Compliance beschränkt sich hier nicht nur auf die Anwendungsfunktionalität und das Dokumentenmanagement sondern schließt den gesamten Betrieb der Lösung ein



PROJECT CONSULT



20251 Hamburg


17

Information Management Compliance

• Information Management Compliance betrifft nicht nur technische Systeme, sondern ist vorrangig eine organisatorische Aufgabe

• Die Nutzung und der Betrieb der Informationssysteme sind letztlich ausschlaggebend



PROJECT CONSULT



20251 Hamburg


18

Information Management Compliance Policy im Rahmen der Corporate Governance



PROJECT CONSULT



20251 Hamburg


19

Corporate Governance

• CG sind die rechtlichen und institutionellen Rahmenbedingungen, die mittelbar oder unmittelbar Einfluss auf die Führungsentscheidungen eines Unternehmens und somit auf den Unternehmenserfolg haben

• Der Ursprung für CG liegt bereits in den 30er Jahren, als man sich verstärkt Gedanken über die Rechte der Aktionäre machte

• International wurden CG durch die OECD in Gestalt der „Principles of Corporate Governance“ 1984 verankert und 2004 aktualisiert

• Europäische Kommission hat 2004 ein European Corporate Governance Forum als Beratungsgremium eingerichtet



PROJECT CONSULT



20251 Hamburg


20

Compliance als Bestandteil von Corporate Governance

Deutschland• 2002 hat das Bundesministerium der Justiz den

Corporate-Governance-Kodex veröffentlicht• Unternehmensgesetzte

• KonTraG• UMAG

• Handels- und Steuerrecht• Verbraucherschutz



PROJECT CONSULT



20251 Hamburg


21

Compliance als Bestandteil von Corporate Governance

International• Schweiz: Swiss Code of Best Practice (2002)• Österreich: ÖCGK Österreichischer Corporate

Governance Kodex (2002) • Großbritannien: „Reports“

• Cadbury Report, 1992• Greenbury Report,1995• Hampel Report, 1998 • Turnbull Report, 2005

• Frankreich: LSF Loi de Sécurité Financière (2003)• u.a.



PROJECT CONSULT



20251 Hamburg


22

Grundsätzliche Kriterien für Compliance

• Authentizität• Vollständigkeit• Nachvollziehbarkeit• Zugriffssicherheit• Geordnetheit • Integrität• Auffindbarkeit• Reproduzierbarkeit• Unverändertheit• Richtigkeit• Prüfbarkeit• Portabilität• Vertrauenswürdigkeit



PROJECT CONSULT



20251 Hamburg


23

Identifizierung der relevanten Komponenten und Vorgaben im Unternehmen



PROJECT CONSULT



20251 Hamburg


24

Grundsätzliche Kriterien für Compliance

• Authentizität• Vollständigkeit• Nachvollziehbarkeit• Zugriffssicherheit• Geordnetheit • Integrität• Auffindbarkeit• Reproduzierbarkeit• Unverändertheit• Richtigkeit• Prüfbarkeit• Portabilität• Vertrauenswürdigkeit



PROJECT CONSULT



20251 Hamburg


25

Information Management PolicyProbleme

• Technologie-/Policy-Kreislauf

• Technologiefortschritt

• Datenschutz

• Schutz von Unternehmensinformationen

• Katastrophenbewältigung und Unternehmensfortbestand



PROJECT CONSULT



20251 Hamburg


26

Information Management PolicyAnalyse

• Prozesse• Beteiligte Einheiten und Ressourcen• Ablauf und Kontrolle• Auswirkungen und Bedeutung

• Systeme• Ebenen• Rolle• Technik

• Information• Wert, Rechtscharakter, Abhängigkeit• Formen, Mengen• Nutzung

• Risiko-Bewertung



PROJECT CONSULT



20251 Hamburg


27

Information Management PolicyMatrix

• Dimensionen

• Achsen:• Rechtliche Anforderungen und Vorgaben• Prozesse, Systeme, Organisationseinheiten …

• Individuell für jedes Unternehmen in Abhängigkeit von

• Rechtsraum (national, international)• Produkten und Dienstleistungen• Abläufen• Systemen• …



PROJECT CONSULT



20251 Hamburg


28

Information Management PolicyÜbersichtsmatrix

Bereich Produkt Prozess Systeme Information Wert

Deutschland

Gesetz

ZPO

BGB

…

Verordnung

GDPdU

…

intern. Richtlinie

QMH Kap.

CG …

…

Frankreich

Gesetz

CJ

CC

Geschäftsbereiche

Software

Risiko

Form der Auswirkung

und andere Kriterien

BEWERTEN



PROJECT CONSULT



20251 Hamburg


29

Eine wichtige Erkenntnis

Sie werden wenige Insel finden, aber viele durchgängige softwareunterstützte Prozesse



PROJECT CONSULT



20251 Hamburg


30

Information Management PolicyTeamarbeit bei der Analyse

Beteiligte:

Fachabteilungen

IT-Abteilung

Revision

Geschäftsleitung

Wirtschaftsprüfer

…

eigentlich alle, nur in unterschiedlichem Maße



PROJECT CONSULT



20251 Hamburg


31

Information Management PolicyDokumentation ist Fleissarbeit

• Dokumentation ist eine Grundlage von Compliance

• Dokumentation ist aufwändig und trägt zunächst nicht zur Wertschöpfung bei



PROJECT CONSULT



20251 Hamburg


32

Information Management PolicyProbleme der Dokumentation

• Aktualität

• Übereinstimmung mit der Realität

• Sicherstellung der Umsetzung von Vorgaben

• Überprüfung der Umsetzung und Einhaltung von Vorgaben



PROJECT CONSULT



20251 Hamburg


33

Eine wichtige Erkenntnis

• Der Mensch ist das größte Problem um „compliant“ zu sein.

• Automatische Prozesse in Systemen können unterstützen, jedoch nicht ersetzen.



PROJECT CONSULT



20251 Hamburg


34

Information Management PolicyUnterschiedliche Ebenen

• Beschreibung der Systeme selbst• z.B. ITIL

• Beschreibung der Nutzung der Systeme• z.B. Verfahrensdokumentation

• Protokollierung der Nutzung der Systeme• z.B. Audit-Trails

• Überwachung der Nutzung der Systeme• z.B. Monitoring



PROJECT CONSULT



20251 Hamburg


35

Information Management PolicyZukunft

• Organisatorisches und Prozess-Wissen als Bestandteil der Systeme:statt Hilfefunktionen unterstützendes Wissensmanagement?

• Selbstdokumentation der Systeme:Statisch – Konfigurationen, Prozessdefinitionen, Rechte, Strukturen?Dynamisch – Nutzung, Instanzen, Daten?



PROJECT CONSULT



20251 Hamburg


36

Die Rolle der IT-Systeme: Records Management und Enterprise Content Management



PROJECT CONSULT



20251 Hamburg


37

Entwicklung der ECM-Definition

AIIM International 2005:

“Enterprise Content Management is the technologies used to Capture, Manage, Store, Preserve, and Deliver content and documents related to organizational processes.”



PROJECT CONSULT



20251 Hamburg


38

AIIM Modell für ECM Enterprise Content Management

CAPTURE

PRESERVE

DELIVERSTORE

MANAGE

STORE WCM

RM

WF/BPM

DM

Collab



PROJECT CONSULT



20251 Hamburg


39

Zur Erfüllung von Compliance relevante ECM-Technologien

• Records Management

• E-Mail-Management

• Elektronische Signatur

• Business Process Management• Business Process Design

• Elektronische Archivierung



PROJECT CONSULT



20251 Hamburg


40

Was ist ein Record?

• Information created, received, and maintained as evidence and information by an organisation or person, in pursuance of legal obligations or in the transaction of business.

(ISO 15489 Part 1)

• Information, die erzeugt, empfangen und bewahrt wird, um als Nachweis einer Organisation oder Person bei rechtlichen Verpflichtungen oder zum Nachvollzug einer geschäftlichen Handlung zu dienen.



PROJECT CONSULT



20251 Hamburg


41

• Der Begriff Dokument wird im Deutschen und im Angloamerikanischen unterschiedlich verstanden:

• „Documents“ sind beliebige Dateien, Texte etc.

• Dokumente im deutschen Sinn sind „Records“

Dokumente und Records



PROJECT CONSULT



20251 Hamburg


42

Was ist Records Management?

• Field of management responsible for the efficient and systematic control of the creation, receipt, maintenance, use and disposition of records, including processes for capturing and maintaining evidence of and information about business activities and transactions in the form of records.

(ISO 15489 Part 1)

• Das Aufgabengebiet verantwortlich für die Verwaltung und Handhabung von „Records“ zur effizienten und systematischen Kontrolle von Entstehung, Empfang, Verwaltung, Nutzung und Entsorgung einschließlich der Prozesse für die Erfassung und Sicherstellung der Nachweisfähig-keit von und über Informationen zu Geschäfts-aktivitäten und Geschäftsvorfällen in Gestalt von „Records“.



PROJECT CONSULT



20251 Hamburg


43

Elektronische Archivierung

• Langzeitarchivierung• Unter „elektronische Langzeitarchivierung“ versteht man die

Bereitstellung von Daten und Dokumenten über einen Zeitraum von mindestens 10 Jahren

• Revisionssichere Archivierung• Unter „revisionssicherer Archivierung“ versteht man

Archivsysteme, die nach den Vorgaben der Abgabenordnung (HGB AO) und der GoBS Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten



PROJECT CONSULT



20251 Hamburg


44

Ein schwerwiegender Interessenkonflikt:

Der Gesetzgeber fordert Aufbewahrungsfristen von 10

oder mehr Jahren

Informationen sollen langfristig verfügbar sein

Der Markt entwickelt sich stürmisch weiter: jedes Jahr neue Software, neue Hardware,

neue Standards ...

© PROJECT CONSULT 2002



PROJECT CONSULT



20251 Hamburg


45

Compliance als kontinuierlicher Prozess



PROJECT CONSULT



20251 Hamburg


46

Compliance als kontinuierlicher ProzessErkenntnisse 1

• Compliance ist vorrangig ein organisatorischer Prozess



PROJECT CONSULT



20251 Hamburg


47



• Systeme dienen zur Unterstützung des Prozesses. Sie sind nicht in sich „compliant“



PROJECT CONSULT



20251 Hamburg


48



• Systeme dienen zur Unterstützung des Prozesses. Sie sind nicht in sich „compliant“.

• Zertifikate der Ordnungsmäßigkeit beziehen sich auf das indviduelle Unternehmen und den Einsatz der Lösungen, nicht auf Produkte



PROJECT CONSULT



20251 Hamburg


49


• Software kann alle notwendigen Informationen über die Systeme selbst und deren Nutzung aufzeichnen



PROJECT CONSULT



20251 Hamburg


50


• Software kann alle notwendigen Informationen über die Systeme selbst und deren Nutzung aufzeichnen

• Die Aufzeichnung und Auswertung kann im Widerspruch zu Anforderungen des Datenschutzes stehen: die Gewichtung ist ungeklärt



PROJECT CONSULT



20251 Hamburg


51


• Compliance ist nicht punktuell und nicht statisch



PROJECT CONSULT



20251 Hamburg


52


• Compliance ist nicht punktuell und nicht statisch

• Compliance muss kontinuierlich über alle Ebenen, alle Mitarbeiter, alle Prozesse und alle Systeme des Unternehmens gelebt werden



PROJECT CONSULT



20251 Hamburg


53


• Compliance darf nicht nur als lästige, die Geschäftstätigkeit behindernde Aufgabe betrachtet werden



PROJECT CONSULT



20251 Hamburg


54



• Compliance vermeidet nicht nur Risiken sondern schafft Transparenz im Unternehmen, erlaubt die Erkennung von Potentialen und die Verbesserung der Organisation und Prozesse



PROJECT CONSULT



20251 Hamburg


55



• Compliance vermeidet nicht nur Risiken sondern schafft Transparenz im Unternehmen, erlaubt die Erkennung von Risiken und die Verbesserung der Organisation

• Compliance kann so auch zur Wertsteigerung und Wertschöpfung eingesetzt werden



PROJECT CONSULT



20251 Hamburg


56


• Systeme nur zur Erfüllung der Compliance-Anforderungen einzuführen ist unwirtschaftlich



PROJECT CONSULT



20251 Hamburg


57


• Systeme nur zur Erfüllung der Compliance-Anforderungen einzuführen ist unwirtschaftlich

• Systeme müssen die Compliance-Anforderungen so quasi nebenbei mit erfüllen



PROJECT CONSULT



20251 Hamburg


58


• Neben die sichtbare Welt der Geschäftsprozesse treten Compliance-Prozesse in den Systemen selbst



PROJECT CONSULT



20251 Hamburg


59



• Workflow, Business Process Management und Protokollierung im Rahmen des Records Management liefern notwendige Informationen



PROJECT CONSULT



20251 Hamburg


60



• Workflow, Business Process Management und Protokollierung im Rahmen des Records Management liefern notwendige Informationen

• Die Zukunft liegt in selbstdokumentierenden Systemen, die den Menschen von der Dokumentation, Überprüfung und Nachhaltung entlasten



PROJECT CONSULT



20251 Hamburg


61


• Compliance ist kein Projekt



PROJECT CONSULT



20251 Hamburg


62



• Compliance kann im Rahmen eines Projektes initiiert und eingeführt werden, ist jedoch ein kontinuierlicher Prozess



PROJECT CONSULT



20251 Hamburg


63




• Der Mensch ist bequem und damit das größte Hindernis für Compliance



PROJECT CONSULT



20251 Hamburg


64




• Der Mensch ist bequem und damit das größte Hindernis für Compliance

• Information Management Compliance muss vorausschauend und aktiv gelebt werden



PROJECT CONSULT



20251 Hamburg


65


• Die Bedeutung von Compliance wird auf Entscheiderebene immer noch unterschätzt



PROJECT CONSULT



20251 Hamburg


66



• Compliance ist unumgänglich



PROJECT CONSULT



20251 Hamburg


67




• IT-Compliance sorgt für Transparenz in der virtuellen Welt der Systeme



PROJECT CONSULT



20251 Hamburg


68




• IT-Compliance sorgt für Transparenz in der virtuellen Welt der Systeme

• Ohne IT-Compliance ist eine rechtliche Gleichberechtigung elektronischer und papiergebundener Information nicht möglich



PROJECT CONSULT



20251 Hamburg


69


• Eine Information Management Compliance Policy regelt den Umgang mit Information



PROJECT CONSULT



20251 Hamburg


70



• Wird sie nicht umgesetzt und ständig nachgehalten, ist sie wertlos



PROJECT CONSULT



20251 Hamburg


71



• Wird sie nicht umgesetzt und ständig nachgehalten, ist sie wertlos

• Ohne sie fehlt der Maßstab um Risiken, den Wert von Information und die Abhängigkeit von Information zu erkennen



PROJECT CONSULT



20251 Hamburg


72

Vielen Dank für Ihre Aufmerksamkeit !

Dr. Ulrich Kampffmeyer E-Mail: [email protected]

WebSite, Newsletter, Informationen ...http:// www .PROJECT-CONSULT . com

1 IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT...

Documents

Transcript of 1 IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT...