Welches sind die wunden Punkte in der Datenhaltung bzw. Dokumentenverwaltung? Welches sind die „ewigen Hindernisse“, an welche sich die meisten Organisationen die Zähne ausbeissen?
Die meisten Organisationen verfügen implizit oder explizit über ein „Records Management System“, egal unter welchem Begriff ein solches in der Firma bekannt ist. Hauptsache die (rechts-)relevanten Dokumente, Akten, Belege usw. werden systematisch geführt und verwaltet, d.h. jemand kümmert sich darum. – Ist das so? Haben Sie sich auch schon gefragt, wieso denn gerade in unserem Unternehmen die Dokumentenverwaltung nicht so funktioniert, wie sie eigentlich sollte?
Die folgenden vier „Pain Points“ sind die statistisch am häufigsten auftretenden Probleme bei der praktischen Umsetzung eines Projekts bzw. Unterhalt eines Programms zur Verwaltung von Geschäftsinformation. Sie bergen auch die grössten Risiken. Am Schluss dieses Beitrags werden entsprechende Ansatzpunkte formuliert, um die entsprechenden Risiken zu minimieren.
„The root of all of our problems with information, and we do have lots of problems with it, is the fact that there is no accountability for information as such.“ (Debra Logan, Gartner)
Die Kühlschrankanalogie im KRM-Video macht auf einfache Weise klar, was passiert, wenn sich niemand um den Lebenszyklus von Geschäftsinformation kümmert. Die IT kümmert sich in der Regel bloss um die Systeme bzw. Infrastruktur und nicht um die Bedeutung von Information im Business-Kontext. In vielen Organisationen fehlt deshalb eine Rolle (Informationsmanager, Records Manager), die verantwortlich ist für den Umgang und den Lebenszyklus der aufbewahrungspflichtigen Geschäftsinformation. Und dort, wo Rollen und Aufgaben definiert sind, braucht es klare Regeln betr. „Ownership“ (Verfügungsgewalt) und „Stewardship“ (operative Verantwortung, zB Qualität der Daten) sowie eine transparente Dokumentation aller Verantwortlichkeiten bis hin zur Regelung der Haftungsfragen im Gerichtsfall.
2. Durchsetzungsdefizite – „Successfully selling what nobody wants“
Der berühmte Fall der Firma Enron im Jahre 2001/2002 hat vor Augen geführt was passieren kann, wenn zwar Richtlinien bestehen, diese aber nur sehr mangelhaft durchgesetzt oder sogar absichtlich hintergangen wurden. Arthur Andersen ist in Konkurs gegangen. Sofern überhaupt Aufbewahrungsprogramme und Fachstellen in den Unternehmen bestehen, müssen die entsprechenden Richtlinien durchgesetzt werden, was nicht nur ein reines Führungsproblem ist, sondern auch viel mit der Unternehmenskultur zu tun hat, die über geeignete Kommunikationsmassnahmen beeinflusst werden kann. Der US-Branchenverband AIIM hat in diversen Umfragen immwer wieder die selben Schwachpunkte identifiziert:
Diese Werte haben sich über die Zeit kaum verändert. Vorgaben ohne Durchsetzungschancen sind jedoch nutzlos und merken sie sich: Policies ohne Sanktionsmöglichkeiten bei Regelverstoss sind wirkungslos. Es bleibt die unangenehme Herausforderung etwas wirklich durchzusetzen was niemand so richtig will.
3. Unterbrochene Datenobhut (broken custody chain) und Datenklau
Viele Datenlücken entstehen, wenn Mitarbeiter die Firma verlassen oder in einen andern Bereich wechseln ohne ihre relevanten Daten und Dokumente an den Nachfolger oder Vorgesetzten zu transferieren. Für Rechtsdienste ist es zB ein Albtraum, wenn Transaktionen oder Geschäftsvorfälle nicht mehr nachvollziehbar sind, weil die Mails mit wichtigen Entscheiden und Aussagen drei Monate nach Austritt des Mitarbeiters defaultmässig gelöscht worden sind und damit jede Evidenz verloren gegangen ist. Noch gravierender sind die Auswirkungen des unrechtmässigen Abzugs von Daten von Mitarbeitern, die die Firma verlassen. Es ist sehr verbreitet und erwiesen, dass Mitarbeiter absichtlich sensitive und vertrauliche Daten zu ihrem nächsten Arbeitgeber oder in die eigene Firma mitnehmen. Eine aufschlussreiche Studie von Osterman Research (2016) hat ergeben, dass die entsprechenden Auswirkungen höher sind als angenommen. Über 80% die ihren Job verlassen nehmen ihre selbst generierten Daten mit obwohl diese juristisch dem Unternehmen gehören (Arbeitserzeugnisse); fast 30% die ihren Job verlassen nehmen Daten mit, die ihre Kollegen in der Firma erzeugt haben. Die Studie liefert Erklärungsgründe und Präventionsmassnahmen; u.a. sollte der unrechtmässige Abzug von Daten via „removable or mobile devices“ durch technische Hürden verhindert werden (was auch ein ziemliches hoffnungsloses Unterfangen ist).
4. Nichtbefolgung der offiziellen Aufbewahrungsregeln (schedule non-compliance) und als Folge davon fehlende oder unkontrollierte Datenvernichtung
Wenn ein Aufbewahrungsplan existiert und zB vorgibt, dass gewisse Akten nach 10 Jahren vernichtet werden sollten, dann sollte dies auch geschehen. Die Regel ist jedoch heute, dass viele Vorgaben – sofern sie denn definiert sind – sehr lasch gehandhabt werden. Dies führt zu einer permanenten non-Compliance mit einmal festgelegten Aufbewahrungsfristen. Ein wichtiger Grund ist die Tatsache, dass die meisten Aufbewahrungspläne reine Referenzpunkte sind, die nie eine funktionale Integration der Lifecycle Attribute (Frist, Trigger) in irgendwelche Dokumentenmanagement- oder ERP-Systeme erfahren haben. Dies würde zumindest eine Teilautomatisierung des Lebenszyklusmanagements von Records erlauben. Die vollvernetzte und automatisierte Kontrolle der Aufbewahrungsfrist bleibt jedoch eine Vision, die zwar technisch machbar ist (DM/RM-Systeme verfügen über die entsprechende Funktionalität), aber aus organisatorischen Gründen kaum im Unternehmensalltag anzutreffen ist (vgl. Kap. 4.4.11 des Leitfadens Information Governance: Tools zum Management eines unternehmensweiten Archivplans)
Schliesslich wird auch als eine Folge von unzulänglichem Handling von Aufbewahrungsinstrumenten die Vernichtung von abgelaufenen Records nicht systematisch durchgeführt, womit die KRM-These bestätigt wird, dass nur diejenigen Organisationen ihre Daten im Griff haben, die auch kontrolliert löschen können, denn speichern kann jeder!
Eine zu lange Aufbewahrung birgt zwar kleinere Risiken als eine vorzeitige irrtümliche Vernichtung, aber grosse Datenfriedhöfe generieren unnötige Kosten. Als Prävention gilt auch hier: Disziplin bei der Durchsetzung einmal definierter Regeln, zudem sollten regelmässig Data Cleanups durchgeführt werden, das KRM bietet dazu Hand.
Ansatzpunkte zur Risikominimierung
Sehr informativ, anregende Beiträge und gute Plattform für Networking. Eine schöne Mischung aus Ratio und Emotionen: Da bleibt einiges hängen!
"Im Bereich der elektronischen Rechnungsbearbeitung und digitale Unterschrift ist viel Halbwissen und Behauptungen ohne Grundlage vorhanden, welche das Seminar aus dem Weg schaffen konnte. Der Mehrwert des Seminars liegt im praxistauglichen vermitteln von neustem Wissen."
„Ich habe mich für dieses Seminar angemeldet in der Hoffnung, dass die Frage nach der Signaturpflicht für das Übermitteln von elektronischen Rechnungen schlüssig beantwortet wird. Meine Erwartung wurde erfüllt und die Bedingungen für den gesetzeskonformen Umgang mit elektronischen Rechnungen wurden auf verständliche Art und Weise erläutert. Ich weiss nun, was zu tun ist.“
"Die Information behandelte in einem halben Tag das Gebiet der eRechnung sehr gut. Für mich speziell gut ist das Aufzeigen wie komme ich vom Papier oder Hybrid Archiv zum elektronischen Archiv. Wichtig und gut war auch die wiederholte Aussage, dass ein Speicher und ein Archivsystem zwei unterschiedliche Dinge sind. In diesem Sinne kann ich allen die sich mit dieser Thematik befassen (Entsorgen der Lieferantenrechnungen) die Information empfehlen."