Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Baldewin Wess Geändert vor über 10 Jahren
1
IMC Information Management Compliance Policies und ihre Umsetzung
Dr. Ulrich Kampffmeyer Hamburg, 14. Februar 2006 P R O J E C T C O N S U L T Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
2
Agenda Was ist eine Information Management Compliance Policy
Information Management Compliance Policy im Rahmen der Corporate Governance Identifizierung der relevanten Komponenten und Vorgaben im Unternehmen Die Rolle der IT-Systeme: Records Management und Enterprise Content Management Compliance als kontinuierlicher Prozess IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
3
Einige weitverbreitete Ansichten
„Wer nicht compliant ist, kommt ins Gefängnis“ „Die elektronische Archivierung ist Pflicht“ aber auch „Compliance schafft nur unnötigen Aufwand und unnötige Kosten“ „Durch Compliance bekomme ich nicht einen Kunden mehr“ „Compliance lähmt die Unternehmen und macht sie unflexibel“ „Der Gesetzgeber blickt doch selbst nicht durch“ „Wir stellen Produkte her und keine Papierdokumentationen“ „Compliance ist ein Papiertiger – einmal sind die Risiken klein, zum zweiten besteht sie nur aus bedrucktem Papier“ IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
4
Was ist Compliance? Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
5
„Übereinstimmung“ Es wird vorausgesetzt, dass es nachlesbare, definierte, offizielle Vorgaben gibt, die die Regeln enthalten, was zu tun ist Hier ist „Übereinstimmung“ gefordert, ohne das die Regeln meistens eine technische Vorgabe enthalten, wie die Anforderung umzusetzen ist Es ist sinnvoll, da sich solche Vorgaben nicht an einer Technologie festmachen sollten, die in ein paar Jahren schon wieder obsolet ist „Übereinstimmung“ ist statisch bezogen auf die Vorgabe IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
6
„Erfüllung“ Der Begriff „Erfüllung“ impliziert zweierlei: Einmal, das die Anforderungen in einer Lösung umgesetzt werden müssen, und zum Zweiten, dass dies ein Prozess ist, keine einmalige Aktion Das Unternehmen oder die Organisation muss kontinuierlich für die Einhaltung der Vorgaben Sorge tragen „Erfüllung“ geht dabei meistens über eine rein technische Lösung hinaus und beinhaltet auch organisatorische und Management-Aspekte „Erfüllung“ ist dynamisch, ein ständig laufender, kontrollierter Prozess IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
7
„Rechtliche Vorgaben“
Gesetze oder behördliche Verordnungen, die bestimmte Unternehmen, Organisationen oder Personen verpflichten, die jeweils aufgeführten Regelungen einzuhalten Man kann sich nicht um die Erfüllung „drücken“, lediglich in Hinblick auf Auslegung, Umfang und Umsetzungsweise besteht Handlungsspielraum IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
8
„Regulative Vorgaben“
Warum unterscheidet man zwischen „rechtlich“ und regulativ“? Es gibt eine Reihe von Vorgaben, die sich nicht auf Gesetze berufen wie z.B. Normen, Standards, Codes of Best Practice von Branchen oder andere Vorgaben Vielfach ergeben sich aus gesetzlichen Vorgaben für einen Anwendungsfall auch Auswirkungen und implizite Anforderungen für andere Fälle IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
9
Grundsätzlich Alle rechtlichen und gesetzlichen Vorgaben gelten auch in der elektronischen Welt! Die Anforderungen der DV-Welt sind jedoch häufig noch nicht oder nicht direkt enthalten und müssen daher adäquat abgeleitet werden IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
10
Unterschiede Direkte Auswirkungen Indirekte Auswirkungen HGB
AO / GDPdU / GOBS Verrechnungspreisdokumentation Indirekte Auswirkungen Basel II (für „Nicht-Banken“) BDSG IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
11
Was ist eine Information Management Compliance Policy
IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
12
Information Management Compliance (IMC)
IMC hat nicht nur mit Technik zu tun, sie muss sich im gesamten Unternehmen, im Umgang mit Information und in den Prozessen einer Organisation widerspiegeln Sie hat mit Verantwortung von Personen und deren Tätigkeit, Nachvollziehbarkeit und Qualitätsstandards zu tun Information Management Compliance ist eine Abbildung all dieser Komponenten in elektronischen Systemen Diese beinhalten nicht nur Komponenten wie Records Management und Archivierung, sondern Datensicherung und Datensicherheit, Zugriffsschutz, Kontrollsysteme und andere Komponenten IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
13
Vier Komponenten für Information Management Compliance (1)
Information Management Policy Grundregeln und Verwaltensweisen für den Umgang mit Prozessen und Informationen, die sich in der „Corporate Governance“ niederschlagen. Dies schließt die das Bewusstmachen, die Zuordnung der Verantwortung, und die Verankerung der Policy im Management der Organisation ein. Das Management trägt hier nicht nur die eigene Verantwortung für die Einhaltung der Regularien, sondern auch für Umsetzung im Unternehmen mit Vorbildfunktion IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
14
Vier Komponenten für Information Management Compliance (2)
Delegation Zuordnung von Verantwortlichkeiten und entsprechende Ausbildung auf den nachgeordneten Ebenen, die allen Betroffenen die Bedeutung von Compliance-Regeln deutlich macht. Dies schlägt sich auch in den Arbeitsprozessen, Arbeitsplatzbeschreibungen, Verträgen und Arbeitsanweisungen nieder Auf den verschiedenen Ebenen einer Organisation muss abhängig von Aufgaben und Zuständigkeiten der Mitarbeiter eine Durchgängigkeit erzeugt werden IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
15
Vier Komponenten für Information Management Compliance (3)
Nachhaltung Die Einhaltung der Regeln muss regelmäßig überprüft werden. Hierzu gehören z.B. Qualitätssicherungsprogramme ebenso wie Audits. Dabei ist auf eine ständige Verbesserung der Prozesse und auf die Nachführung der Dokumentation zu den durchgeführten Maßnahmen Wert zu legen IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
16
Vier Komponenten für Information Management Compliance (4)
Sichere Systeme Die IT-Systeme müssen den Anforderungen mit ihrer Funktionalität, Sicherheit und Verfügbarkeit genügen und die Nachvollziehbarkeit unterstützen. Compliance beschränkt sich hier nicht nur auf die Anwendungsfunktionalität und das Dokumentenmanagement sondern schließt den gesamten Betrieb der Lösung ein IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
17
Information Management Compliance
Information Management Compliance betrifft nicht nur technische Systeme, sondern ist vorrangig eine organisatorische Aufgabe Die Nutzung und der Betrieb der Informationssysteme sind letztlich ausschlaggebend IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
18
Information Management Compliance Policy im Rahmen der Corporate Governance
IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
19
Corporate Governance CG sind die rechtlichen und institutionellen Rahmenbedingungen, die mittelbar oder unmittelbar Einfluss auf die Führungsentscheidungen eines Unternehmens und somit auf den Unternehmenserfolg haben Der Ursprung für CG liegt bereits in den 30er Jahren, als man sich verstärkt Gedanken über die Rechte der Aktionäre machte International wurden CG durch die OECD in Gestalt der „Principles of Corporate Governance“ 1984 verankert und 2004 aktualisiert Europäische Kommission hat 2004 ein European Corporate Governance Forum als Beratungsgremium eingerichtet IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
20
Compliance als Bestandteil von Corporate Governance
Deutschland 2002 hat das Bundesministerium der Justiz den Corporate-Governance-Kodex veröffentlicht Unternehmensgesetzte KonTraG UMAG Handels- und Steuerrecht Verbraucherschutz IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
21
Compliance als Bestandteil von Corporate Governance
International Schweiz: Swiss Code of Best Practice (2002) Österreich: ÖCGK Österreichischer Corporate Governance Kodex (2002) Großbritannien: „Reports“ Cadbury Report, 1992 Greenbury Report,1995 Hampel Report, 1998 Turnbull Report, 2005 Frankreich: LSF Loi de Sécurité Financière (2003) u.a. IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
22
Grundsätzliche Kriterien für Compliance
Authentizität Vollständigkeit Nachvollziehbarkeit Zugriffssicherheit Geordnetheit Integrität Auffindbarkeit Reproduzierbarkeit Unverändertheit Richtigkeit Prüfbarkeit Portabilität Vertrauenswürdigkeit IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
23
Identifizierung der relevanten Komponenten und Vorgaben im Unternehmen
IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
24
Grundsätzliche Kriterien für Compliance
Authentizität Vollständigkeit Nachvollziehbarkeit Zugriffssicherheit Geordnetheit Integrität Auffindbarkeit Reproduzierbarkeit Unverändertheit Richtigkeit Prüfbarkeit Portabilität Vertrauenswürdigkeit IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
25
Information Management Policy Probleme
Technologie-/Policy-Kreislauf Technologiefortschritt Datenschutz Schutz von Unternehmensinformationen Katastrophenbewältigung und Unternehmensfortbestand IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
26
Information Management Policy Analyse
Prozesse Beteiligte Einheiten und Ressourcen Ablauf und Kontrolle Auswirkungen und Bedeutung Systeme Ebenen Rolle Technik Information Wert, Rechtscharakter, Abhängigkeit Formen, Mengen Nutzung Risiko-Bewertung IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
27
Information Management Policy Matrix
Dimensionen Achsen: Rechtliche Anforderungen und Vorgaben Prozesse, Systeme, Organisationseinheiten … Individuell für jedes Unternehmen in Abhängigkeit von Rechtsraum (national, international) Produkten und Dienstleistungen Abläufen Systemen … IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
28
Information Management Policy Übersichtsmatrix
Bereich Produkt Prozess Systeme Information Wert Deutschland Gesetz ZPO BGB … Verordnung GDPdU intern. Richtlinie QMH Kap. CG … Frankreich CJ CC Geschäftsbereiche Software Risiko Form der Auswirkung und andere Kriterien BEWERTEN IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
29
Eine wichtige Erkenntnis
Sie werden wenige Insel finden, aber viele durchgängige softwareunterstützte Prozesse IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
30
Information Management Policy Teamarbeit bei der Analyse
Beteiligte: Fachabteilungen IT-Abteilung Revision Geschäftsleitung Wirtschaftsprüfer … eigentlich alle, nur in unterschiedlichem Maße IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
31
Information Management Policy Dokumentation ist Fleissarbeit
Dokumentation ist eine Grundlage von Compliance Dokumentation ist aufwändig und trägt zunächst nicht zur Wertschöpfung bei IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
32
Information Management Policy Probleme der Dokumentation
Aktualität Übereinstimmung mit der Realität Sicherstellung der Umsetzung von Vorgaben Überprüfung der Umsetzung und Einhaltung von Vorgaben IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
33
Eine wichtige Erkenntnis
Der Mensch ist das größte Problem um „compliant“ zu sein. Automatische Prozesse in Systemen können unterstützen, jedoch nicht ersetzen. IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
34
Information Management Policy Unterschiedliche Ebenen
Beschreibung der Systeme selbst z.B. ITIL Beschreibung der Nutzung der Systeme z.B. Verfahrensdokumentation Protokollierung der Nutzung der Systeme z.B. Audit-Trails Überwachung der Nutzung der Systeme z.B. Monitoring IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
35
Information Management Policy Zukunft
Organisatorisches und Prozess-Wissen als Bestandteil der Systeme: statt Hilfefunktionen unterstützendes Wissensmanagement? Selbstdokumentation der Systeme: Statisch – Konfigurationen, Prozessdefinitionen, Rechte, Strukturen? Dynamisch – Nutzung, Instanzen, Daten? IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
36
Die Rolle der IT-Systeme: Records Management und Enterprise Content Management
IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
37
Entwicklung der ECM-Definition
AIIM International 2005: “Enterprise Content Management is the technologies used to Capture, Manage, Store, Preserve, and Deliver content and documents related to organizational processes.” IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
38
AIIM Modell für ECM Enterprise Content Management
CAPTURE DELIVER Collab DM STORE STORE WCM IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006 WF/BPM RM PRESERVE
39
Zur Erfüllung von Compliance relevante ECM-Technologien
Records Management -Management Elektronische Signatur Business Process Management Business Process Design Elektronische Archivierung IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
40
Was ist ein Record? Information created, received, and maintained as evidence and information by an organisation or person, in pursuance of legal obligations or in the transaction of business. (ISO Part 1) Information, die erzeugt, empfangen und bewahrt wird, um als Nachweis einer Organisation oder Person bei rechtlichen Verpflichtungen oder zum Nachvollzug einer geschäftlichen Handlung zu dienen. IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
41
Dokumente und Records Der Begriff Dokument wird im Deutschen und im Angloamerikanischen unterschiedlich verstanden: „Documents“ sind beliebige Dateien, Texte etc. Dokumente im deutschen Sinn sind „Records“ IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
42
Was ist Records Management?
Field of management responsible for the efficient and systematic control of the creation, receipt, maintenance, use and disposition of records, including processes for capturing and maintaining evidence of and information about business activities and transactions in the form of records. (ISO Part 1) Das Aufgabengebiet verantwortlich für die Verwaltung und Handhabung von „Records“ zur effizienten und systematischen Kontrolle von Entstehung, Empfang, Verwaltung, Nutzung und Entsorgung einschließlich der Prozesse für die Erfassung und Sicherstellung der Nachweisfähig-keit von und über Informationen zu Geschäfts-aktivitäten und Geschäftsvorfällen in Gestalt von „Records“. IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
43
Elektronische Archivierung
Langzeitarchivierung Unter „elektronische Langzeitarchivierung“ versteht man die Bereitstellung von Daten und Dokumenten über einen Zeitraum von mindestens 10 Jahren Revisionssichere Archivierung Unter „revisionssicherer Archivierung“ versteht man Archivsysteme, die nach den Vorgaben der Abgabenordnung (HGB AO) und der GoBS Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
44
Der Gesetzgeber fordert Aufbewahrungsfristen von 10 oder mehr Jahren
Ein schwerwiegender Interessenkonflikt: Der Gesetzgeber fordert Aufbewahrungsfristen von 10 oder mehr Jahren Informationen sollen langfristig verfügbar sein Der Markt entwickelt sich stürmisch weiter: jedes Jahr neue Software, neue Hardware, neue Standards ... IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006 © PROJECT CONSULT 2002
45
Compliance als kontinuierlicher Prozess
IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
46
Compliance als kontinuierlicher Prozess Erkenntnisse 1
Compliance ist vorrangig ein organisatorischer Prozess IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
47
Compliance als kontinuierlicher Prozess Erkenntnisse 1
Compliance ist vorrangig ein organisatorischer Prozess Systeme dienen zur Unterstützung des Prozesses. Sie sind nicht in sich „compliant“ IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
48
Compliance als kontinuierlicher Prozess Erkenntnisse 1
Compliance ist vorrangig ein organisatorischer Prozess Systeme dienen zur Unterstützung des Prozesses. Sie sind nicht in sich „compliant“. Zertifikate der Ordnungsmäßigkeit beziehen sich auf das indviduelle Unternehmen und den Einsatz der Lösungen, nicht auf Produkte IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
49
Compliance als kontinuierlicher Prozess Erkenntnisse 2
Software kann alle notwendigen Informationen über die Systeme selbst und deren Nutzung aufzeichnen IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
50
Compliance als kontinuierlicher Prozess Erkenntnisse 2
Software kann alle notwendigen Informationen über die Systeme selbst und deren Nutzung aufzeichnen Die Aufzeichnung und Auswertung kann im Widerspruch zu Anforderungen des Datenschutzes stehen: die Gewichtung ist ungeklärt IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
51
Compliance als kontinuierlicher Prozess Erkenntnisse 3
Compliance ist nicht punktuell und nicht statisch IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
52
Compliance als kontinuierlicher Prozess Erkenntnisse 3
Compliance ist nicht punktuell und nicht statisch Compliance muss kontinuierlich über alle Ebenen, alle Mitarbeiter, alle Prozesse und alle Systeme des Unternehmens gelebt werden IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
53
Compliance als kontinuierlicher Prozess Erkenntnisse 4
Compliance darf nicht nur als lästige, die Geschäftstätigkeit behindernde Aufgabe betrachtet werden IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
54
Compliance als kontinuierlicher Prozess Erkenntnisse 4
Compliance darf nicht nur als lästige, die Geschäftstätigkeit behindernde Aufgabe betrachtet werden Compliance vermeidet nicht nur Risiken sondern schafft Transparenz im Unternehmen, erlaubt die Erkennung von Potentialen und die Verbesserung der Organisation und Prozesse IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
55
Compliance als kontinuierlicher Prozess Erkenntnisse 4
Compliance darf nicht nur als lästige, die Geschäftstätigkeit behindernde Aufgabe betrachtet werden Compliance vermeidet nicht nur Risiken sondern schafft Transparenz im Unternehmen, erlaubt die Erkennung von Risiken und die Verbesserung der Organisation Compliance kann so auch zur Wertsteigerung und Wertschöpfung eingesetzt werden IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
56
Compliance als kontinuierlicher Prozess Erkenntnisse 5
Systeme nur zur Erfüllung der Compliance-Anforderungen einzuführen ist unwirtschaftlich IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
57
Compliance als kontinuierlicher Prozess Erkenntnisse 5
Systeme nur zur Erfüllung der Compliance-Anforderungen einzuführen ist unwirtschaftlich Systeme müssen die Compliance-Anforderungen so quasi nebenbei mit erfüllen IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
58
Compliance als kontinuierlicher Prozess Erkenntnisse 6
Neben die sichtbare Welt der Geschäftsprozesse treten Compliance-Prozesse in den Systemen selbst IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
59
Compliance als kontinuierlicher Prozess Erkenntnisse 6
Neben die sichtbare Welt der Geschäftsprozesse treten Compliance-Prozesse in den Systemen selbst Workflow, Business Process Management und Protokollierung im Rahmen des Records Management liefern notwendige Informationen IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
60
Compliance als kontinuierlicher Prozess Erkenntnisse 6
Neben die sichtbare Welt der Geschäftsprozesse treten Compliance-Prozesse in den Systemen selbst Workflow, Business Process Management und Protokollierung im Rahmen des Records Management liefern notwendige Informationen Die Zukunft liegt in selbstdokumentierenden Systemen, die den Menschen von der Dokumentation, Überprüfung und Nachhaltung entlasten IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
61
Compliance als kontinuierlicher Prozess Erkenntnisse 7
Compliance ist kein Projekt IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
62
Compliance als kontinuierlicher Prozess Erkenntnisse 7
Compliance ist kein Projekt Compliance kann im Rahmen eines Projektes initiiert und eingeführt werden, ist jedoch ein kontinuierlicher Prozess IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
63
Compliance als kontinuierlicher Prozess Erkenntnisse 7
Compliance ist kein Projekt Compliance kann im Rahmen eines Projektes initiiert und eingeführt werden, ist jedoch ein kontinuierlicher Prozess Der Mensch ist bequem und damit das größte Hindernis für Compliance IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
64
Compliance als kontinuierlicher Prozess Erkenntnisse 7
Compliance ist kein Projekt Compliance kann im Rahmen eines Projektes initiiert und eingeführt werden, ist jedoch ein kontinuierlicher Prozess Der Mensch ist bequem und damit das größte Hindernis für Compliance Information Management Compliance muss vorausschauend und aktiv gelebt werden IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
65
Compliance als kontinuierlicher Prozess Erkenntnisse 8
Die Bedeutung von Compliance wird auf Entscheiderebene immer noch unterschätzt IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
66
Compliance als kontinuierlicher Prozess Erkenntnisse 8
Die Bedeutung von Compliance wird auf Entscheiderebene immer noch unterschätzt Compliance ist unumgänglich IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
67
Compliance als kontinuierlicher Prozess Erkenntnisse 8
Die Bedeutung von Compliance wird auf Entscheiderebene immer noch unterschätzt Compliance ist unumgänglich IT-Compliance sorgt für Transparenz in der virtuellen Welt der Systeme IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
68
Compliance als kontinuierlicher Prozess Erkenntnisse 8
Die Bedeutung von Compliance wird auf Entscheiderebene immer noch unterschätzt Compliance ist unumgänglich IT-Compliance sorgt für Transparenz in der virtuellen Welt der Systeme Ohne IT-Compliance ist eine rechtliche Gleichberechtigung elektronischer und papiergebundener Information nicht möglich IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
69
Compliance als kontinuierlicher Prozess Erkenntnisse 9
Eine Information Management Compliance Policy regelt den Umgang mit Information IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
70
Compliance als kontinuierlicher Prozess Erkenntnisse 9
Eine Information Management Compliance Policy regelt den Umgang mit Information Wird sie nicht umgesetzt und ständig nachgehalten, ist sie wertlos IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
71
Compliance als kontinuierlicher Prozess Erkenntnisse 9
Eine Information Management Compliance Policy regelt den Umgang mit Information Wird sie nicht umgesetzt und ständig nachgehalten, ist sie wertlos Ohne sie fehlt der Maßstab um Risiken, den Wert von Information und die Abhängigkeit von Information zu erkennen IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
72
Vielen Dank für Ihre Aufmerksamkeit !
Dr. Ulrich Kampffmeyer WebSite, Newsletter, Informationen www .PROJECT-CONSULT . com IMC Information Management Compliance Policies und ihre Umsetzung Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg © PROJECT CONSULT 2006
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.