Responsive Image

Smart dokumentieren

Wie man aus der Compliance-Falle herauskommt und gleichzeitig die digitale Transformation der Geschäftsprozesse zukunftssicher gestaltet

Ralf Kaspras, Geschäftsführer bei der InnoData Tech und Alexander Daniel Balzer, Senior IT-Consultant bei der Consultec Dr. Ernst GmbH
Veröffentlicht in: DiALOG - DAS MAGAZIN FÜR DEN DIGITALEN WANDEL | 2021


Einleitung
Haben Sie manchmal den Eindruck, dass wir uns totbürokratisieren? Dann sind Sie nicht alleine.
Verständlicherweise geht es nicht ohne Gesetze und Regeln, schon gar nicht in einer Kultur, für die Freiheit und Demokratie zentrale Werte sind. Doch je komplexer unsere Herausforderungen werden, umso komplexer wird ebenfalls das erforderliche Regelwerk. Die Digitalisierung führt uns das deutlich vor Augen. Unter diesen Umständen kann man sich gleichermaßen totdiskutieren und gegen alles spontan in Widerstand verfallen, weil es die eigene Komfortzone betrifft. Aber Wandel ist ein notwendiger Entwicklungsprozess, der das Verlassen dieser Komfortzone mit sich bringt.

Wie wäre es, vor dem pauschalen Widerstand einmal die Chancen dieses Prozesses zu betrachten?

Responsive Image

Dazu haben wir uns das Thema „dokumentieren im Kontext der Digitalisierung“ vorgenommen. Es geht dabei um nicht weniger, als aus einer Pflicht eine Kür zu machen, die eigene digitale Zukunftsfähigkeit zu sichern und sich neue Geschäftspotenziale und Wettbewerbsvorteile zu schaffen.

Das Fundament für Transparenz und Nachvollziehbarkeit ist Dokumentation. Das war ebenfalls vor Zeiten der Digitalisierung so.

Dokumentieren war und ist, egal ob in Papier oder digitaler Form, eine ressourcenintensive Aufgabe und ein Wirtschaftsfaktor, letzteres sogar in mehrfacher Hinsicht:

  1. Als Verwaltungsakt, den es zu optimieren gilt
  2. Als Grundlage zur Steuerung und Nachweisführung
  3. Als Speicher von Wissen und Informationen, deren unmittelbare Verfügbarkeit im Zugriff und in der inhaltlichen Erschließung erst eine Wertschöpfung erlaubt.


Durch die digitale Transformation ist der Dokumentationsbedarf weiter gestiegen, weil wir es zusätzlich mit einer virtualisierten Welt zu tun haben, in der sämtliche Funktionalitäten per se erst einmal ein flüchtiges Gebilde aus Nullen und Einsen sind.



Haben Sie manchmal den Eindruck, dass wir uns totbürokratisieren? Dann sind Sie nicht alleine.



Dabei hat sich die Ausgangslage signifikant bezüglich Art, Umfang und Nutzungsmöglichkeit geändert. Und genau hier beginnt ein Problem, weil die Digitalisierung gravierende Auswirkungen auf die Beweistauglichkeit und den Schutz der Inhalte mit sich bringt. Die Vielfalt der beteiligten datenproduzierenden und -verarbeitenden Endgeräte nimmt schneller zu, als adäquate Standards für ordnungsmäßige und rechtssichere Integration zur Verfügung stehen.
Zudem steigert sich das Problem durch die Nutzung von externen IT-Diensten und Dienstleistern, wenn deren Prozesse nicht hinreichend transparent sind und eine Einflussnahme nicht unmittelbar gewährleistet ist.
Und dann gibt es zusätzlich ein weiteres Problem: Die notwendigen (Compliance-)Maßnahmen im Umfang mit IT wurden vielfach um den schnellenVorteil willens nicht ausreichend durchgeführt. So stehen heute Firmen unter Druck, diese kurzfristig nachholen zu müssen. Bedauerlicherweise ist das mal eben und ad hoc durch ein Projekt nicht zu stemmen.

Responsive Image

Herausforderungen an die Dokumentation und Nachweisführung
Wie man mit smarter Dokumentation aus dieser (Compliance-)Falle herauskommt und wie sich daraus weitere Synergieeffekte ergeben, zeigen wir Ihnen anhand der Grafik Abb. 1 beispielhaft auf.

Zuerst einmal haben wir eine exemplarische Unternehmensstruktur mit einigen klassischen Geschäfts-, Unterstützungsprozessen und den dazugehörigen Business- und ECM-Systemen. Dies wird durch die Einbindung von internen (blau) und externen (orange) mobilen Endgeräten sowie Cloudressourcen und -dienstleistungen ergänzt. Sobald Sie solche oder ähnliche Use-Cases mit dem Ziel der Nachweisführung zu dokumentieren haben wird es schnell komplex und kompliziert, die Situation adäquat abzubilden und alle Compliance-Anforderungen zu erfassen.

Um Dokumentationsanforderungen dieser Art effektiv und effizient zu erfüllen, ist aufgrund der verteilten und komplexen Struktur ein modularer Dokumentationsansatz zu wählen, der eine flexible und kontextgerechte Dokumentation der Prozesse und Systeme möglich macht.

Um Dokumentationsanforderungen dieser Art effektiv und effizient zu erfüllen, ist aufgrund der verteilten und komplexen Struktur ein modularer Dokumentationsansatz zu wählen, der eine flexible und kontextgerechte Dokumentation der Prozesse und Systeme möglich macht. Ein erster Grundsatz, der von zentraler Wichtigkeit ist, dass sie Ihre fachlogischen Verfahren immer losgelöst von den entsprechenden technischen Lösungen und dem operativen Betrieb dokumentieren. Bezogen auf die mobile Arbeit mit internen und externen Geräten bedeutet das, dass sie neben den zugrundeliegenden Geschäftsprozessen, die fachlogische Einbindung, die technische / organisatorische Absicherung der Verbindungen sowie das Management der eigenen und fremden („bring your own device“) Endgeräte beschreiben müssen. Zusätzlich sind die generellen Aspekte der Informationssicherheit, des Outsourcings, des Cloudmanagements und die betroffene IT-Infrastruktur in dem Szenario explizit zu beschreiben.

Was gewinnen wir durch dieses Vorgehen?

  1. Eine saubere und transparente Trennung der fachlich voneinander differenziert zu betrachtenden Sachverhalte.
  2. Themen wie der Standort, die Betriebsform oder die Zuständigkeiten brauchen bei der Dokumentation der Prozesse und technischen Systeme zunächst nicht erfasst werden. Mit der vollständigen Erfassung der Prozesse und Systeme lassen sich diese Aspekte dann schlüssig und kontrolliert zuordnen.
  3. Veränderungen lassen sich flexibel und präzise im Wirkungszusammenhang anpassen, ohne dass die inhaltliche Übereinstimmung der Verfahrensdokumentation gefährdet wird.
Responsive Image
Responsive Image

Die Synergieeffekte einer „sm@rten Dokumentation“ über die Nachweisführung hinaus Abb. 2  zeigt, wenn Sie diesen Ansatz konsequent verfolgen, die weiteren Benefits auf:

  • Die Prozesse sowie technischen und organisatorischen Grundlagen sind transparent und nachvollziehbar dokumentiert.
  • Die Anforderungen an Compliance und Informationssicherheit lassen sich exakt fachbezogen zuordnen, kontrollieren und etwaige Defizite beheben.
  • Die zusammenhängende und ganzheitliche Dokumentation erleichtert Ihnen das Erkennen von Optimierungspotenzialen und kann als Grundlage für weitergehende SOLL-Konzeptionen dienen.
  • Die Verfahrensdokumentation wird zum Management-Instrument, um auf Veränderungen schnell und strategisch reagieren zu können.

Diese und weitere Benefits der von uns vorgestellten Systematik verbessern Ihre Entscheidungsgrundlage, um auf die typische Konfliktsituation – wie im Spannungsdreieck dargestellt - adäquat reagieren zu können.

Lösung mittels eines sm@rten Dokumentationsansatzes

Zu diesem Zweck empfehlen wir eine Struktur wie in Abb. 4 dargestellt. Der Gedanke dahinter ist, eine möglichst transparente Darstellung der Sachverhalte zu bekommen, damit die spezifischen Kontrollen zur Ordnungsmäßigkeit sauber ineinandergreifen.

Responsive Image

Um diesen Prozess aufzubauen und parallel umgehend aus der Compliance-Falle herauszukommen, hilft das in Abb. 5 beschriebene 3-Schritte-Vorgehen.

Das Vorgehensmodell ist so aufgebaut, dass Sie unmittelbar mit eigenen Mitteln starten können und mit dem ersten Schritt das Fundament für Ihre Verfahrensdokumentation bekommen. Im zweiten Schritt folgt dann der praxisgerechte Ausbau, der sich an Ihren aktuellen Notwendigkeiten ausrichtet sowie die Grundlagen für die revisionssichere Führung und Gestaltung der Nachweise herstellt. Mit dem dritten Schritt wird dann die nachhaltige Umsetzung des neuen Prozesses umgesetzt.

Ein Best-Practice-Standard, der hilft
Ein geeigneter Best-Practice-Standard - mit dessen Ansatz und Struktur sich das empfohlene Vorgehen vollständig abbilden lässt - steht zur Verfügung: Die VOI PK-DML „Auditkriterien für digitale Dokumenten-Management-Prozesse und verbundene IT-Lösungen“ des IT-Fachverbands VOI e.V. (Bonn). Dieser Standard wird seit über 20 Jahren weiterentwickelt und gründet auf zwei Säulen:

  1. Einer ganzheitlichen und aufeinander abgestimmten Abdeckung der erforderlichen Dokumentationsfelder (Abb. 4) auf der Grundlage von Kern- und Auditkriterien.
  2. Einer Ausrichtung zum Matching mit anderen Regularien, beispielsweise einer ISO 27001 und weiterer, mit dem Ziel, Redundanzen in der Dokumentationsführung zu vermeiden, das Zusammenwirken zu harmonisieren und Aufwände für Prüfungsvorbereitungen zu reduzieren.


Dem Ganzen liegt die Erfahrung zugrunde, dass die Erfüllung von Compliance-Anforderungen in - ins besondere zunehmend heterogenen - IT-Landschaften aufgrund der Komplexität und Dynamik ein Vorgang ist, der sich nur schrittweise und generisch umsetzen lässt. Ergänzend besteht die Möglichkeit, sich auf Basis dieses Standards in verschiedener Art und Weise zertifizieren zu lassen.

Responsive Image

Fazit
Neuen Gesetzen und Regularien nur hinterherzulaufen ist so, wie wenn man sich ein Kleidungsstück ohne Größenbezug kauft und dann versucht es passend zu machen. Wenn Sie „sm@rt dokumentieren,“ schaffen Sie sich Ihren Maßanzug und folgen dem Pareto-Prinzip: 80 Prozent der Anforderungen lassen sich mit 20 Prozent des Gesamtaufwands abdecken.
Neben dem Ziel, den größten gemeinsamen Nenner für alle Nachweiserfordernisse im Einsatz von IT herzustellen, versetzt Sie das „sm@rt dokumentieren“ in die Lage - sicher, praxisgerecht und individuell - auf Veränderungen reagieren zu können. Das sichert Ihnen den bestmöglichen wirtschaftlichen Nutzen und spart Kosten.

Responsive Image

Ralf Kaspras ist Diplom Informatiker und beschäftigt sich seit 1996 intensiv mit IT-Compliance und Informationssicherheit. Er ist u.a. Initiator, Co-Autor und Redaktionsleiter des VOI PK-DML-Frameworks (dazu gehören u.a. die „Auditkriterien für Dokumenten-Management-Prozesse und verbundene IT-Lösungen“), auf deren Grundlage die TÜViT GmbH  (Unternehmensgruppe TÜV Nord) und die VOI Service GmbH Unternehmen und Organisationen zertifizieren. Für die VOI Service GmbH ist er leitend an Gründung, Aufbau und Betrieb des Zertifizierungsbereichs „VOI CERT“ tätig. Er ist Geschäftsführer der InnoData Tech GmbH und Mitglied des Vorstands VOI e.V. www. innodatatech.de

Alexander Daniel Balzer ist Senior IT-Consultant der Consultec Dr. Ernst GmbH und VOI Certified Expert. www.consultec.de