Diese Seite wird nicht mehr gepflegt. Bitte besuchen Sie www.PROJECT-CONSULT.de
This website is no longer updated. Please visit www.PROJECT-CONSULT.de
Welche Auswirkungen haben Basel II und der Sarbanes Oxley-Act auf die IT in deutschen Unternehmen?
Interview von Sabine Koll für die Computer Zeitung mit Dr. Ulrich Kampffmeyer, Geschäftsführer der PROJECT CONSULT Unternehmensberatung (09.05.2004).
(CZ: Sabine Koll,, Kff: Dr. Ulrich Kampffmeyer)
CZ:
Was sagen die beiden Gesetzesregularien in Kürze aus?
Kff:
Man kann den Sarbanes Oxely Act und die Basel II Bestimmungen nicht in einen Topf werfen. SOX ist eine Regelung in den USA, die die Aufbewahrung von elektronischen Dokumenten, besonders E-Mails, auf Grund der Skandale wie WorldCom, Enron und Tyco regelt. Basel II regelt die Bewertung von Unternehmen bei der Kreditvergabe und enthält wichtige Dokumentationspflichten. Beiden ist gemeinsam, dass sie zu den Compliance-Anforderungen zu rechnen sind, die derzeit den Markt für Dokumenten-Technologien antreiben.
CZ:
Welche Unternehmen in Deutschland sind jeweils betroffen, müssen sich also mit der Umsetzung beschäftigen?
Kff:
Durch SOX sind allenfalls Unternehmen mit amerikanischen Muttergesellschaften betroffen oder solche, die amerikanische Niederlassungen und Töchter besitzen. Mit Regelungen wie SOX ist allerdings zukünftig auch in Europa zu rechnen, so dass es Sinn macht, sich bereits heute mit dieser Problematik zu beschäftigen. BASEL II betrifft vorrangig die Kreditwirtschaft, andererseits aber auch alle Unternehmen, da es auf verbesserte Transparenz und Corporate Governance abzielt.
CZ:
Wie groß ist die Nachfrage bei ihnen nach den Auswirkungen der Gesetze auf die IT?
Kff:
Wir setzen uns in nahezu allen Projekten mit Compliance-Anforderungen auseinander, ob dies nun Branchen-spezifische wie DOMEA oder SRVwV, generelle Fragen des Einsatzes der elektronischen Signatur oder die Aufbewahrung steuerrelevanter Daten nach GoBS und GDPdU sind.
CZ:
Welche Auswirkungen haben die beiden Gesetze expressis verbis auf die IT der deutschen Unternehmen?
Kff:
Man muss zunächst unterscheiden, was wirklich Gesetze sind und was Verordnungen oder andere Regularien sind. In der Regel sind die Auswirkungen auf die IT implizit. D.h., der Anwender hat Freiräume, wie er die Anforderungen technisch und organisatorisch erfüllt. Compliance-Anforderungen, also die Erfüllung und Übereinstimmung mit gesetzlichen Vorgaben und anderen Regularien, schlägt sich in Projekten wie DataWarehouses, elektronische Archivierung oder Enterprise Content Management nieder. Neue Schlagworte in diesem Umfeld sind ILM Information Lifecycle Management und E-Mail-Archivierung.
CZ:
Welche IT-Systeme/Bereiche sind betroffen?
Kff:
Hier muss man zunächst die Quell-Systeme betrachten, in denen die Compliance-relevanten Daten entstehen und verarbeitet werden. Diese erfüllen häufig die Dokumentationspflichten nicht mit eigenen Komponenten. Hier kommen dann zusätzliche Archivierungs- oder Dokumentenmanagement-Systeme zu langfristigen, ordnungsgemäßen und unveränderbaren Speicherung der Daten und Dokumente aus ERP-, Bürokommunikations- oder Fachanwendungssystemen hinzu. Diese bewahren und erschließen dann die Informationen wie gefordert. Dabei ist ein Ansatz wichtig, dass man nicht für jede Anwendung ein eigenes Archiv aufbaut, sondern den Ansatz eines universellen Archivs als Bestandteil einer einheitlichen Enterprise Content Management Architektur umsetzt, bei dem die Informationen unabhängig von der erzeugenden Anwendung allen anderen Anwendungen im Sachzusammenhang bereitgestellt werden können.
CZ:
Wie sind die Unternehmen ihrer Erfahrung nach hier aufgestellt? wo besteht Handlungsbedarf?
Kff:
Die Unternehmen in Deutschland sind hier im internationalen Vergleich noch nicht sehr gut aufgestellt. Handlungsbedarf besteht an vielen Stellen, da bisherige Systeme nur Insellösungen waren oder nur ein spezielles Business-Problem lösen sollten. Von einem einheitlichem Dokumentenmanagement als Infrastruktur sind die meisten Unternehmen, große wie kleine, noch weit entfernt.
CZ:
In welchen Zeiträumen müssen die Unternehmen handeln?
Kff:
Es ist in vielen Bereichen bereits 5 nach 12, Handlungsbedarf besteht sofort, denn z.B. die GDPdU gelten bereits seit 1.1.2002. Aber auch bei anderen Themen, die Dokumentationspflichten beinhalten, wächst der Druck durch immer neue Gesetze, Verordnungen und Regularien zunehmend. Da immer mehr Information nur noch elektronisch vorliegt und auch nicht mehr für eine Repräsentation in Papier vorgesehen ist, müssen die elektronischen Systeme Forderungen wie Richtigkeit, Authentizität, Nachvollziehbarkeit, Ordnungsmäßigkeit, Sicherheit, langfristige unveränderbare Aufbewahrung etc. in zahlreichen Anwendungsfeldern erfüllen. Hierfür ist eine übergreifende, einheitliche IT-Strategie und eine Records Management Policy, die den Umgang mit Informationen entsprechend ihrem Wert regelt, im Unternehmen erforderlich.
CZ:
Wie sollten die Unternehmen vorgehen, um die gesetzlichen Anforderungen IT-seitig zu erfüllen?
Kff:
Zunächst sollte man erst einmal prüfen, welche Vorgaben relevant sind. Dann ermitteln, welche Daten, Dokumente und Systeme betroffen sind. Anschließend eine Planung für eine einheitliche ECM- und Archivierungsstrategie erstellen, die auch die Abhängigkeit von den Systemen und die langfristige Sicherung der Verfügbarkeit der Informationen beinhaltet. Erst anschließend sollte man sich den technischen Alternativen zuwenden. Dabei sind einfache Integration, komfortable Pflege der Lösungen und Standards zu berücksichtigen. Hier kommen auch neue Strategien wie z.B. ITIL zum Tragen, um Informationssysteme geordnet einführen und betreiben zu können.
CZ:
Welche Kosten kommen auf die Unternehmen zu?
Kff:
Die Kosten sind erheblich, besonders wenn man an Aufbewahrungs- und Verfügbarmachungsfristen von 10, 20 oder mehr Jahren denkt. Die Folgekosten werden häufig unterschätzt. Daher ist es günstiger, einheitliche Lösungen einzuführen, die alle Anforderungen abdecken können, als Einzellösungen für spezielle Einzelprobleme.
CZ:
Gibt es jeweils indirekte Auswirkungen?
Kff:
Neben den regulativen und rechtlichen Vorgaben gibt es auch Druck durch Geschäftspartner, z.B. im Supply-Chain-Management mit US-Firmen (TREAD), in der Pharma-Industrie durch US-amerikanische Vorgaben (FDA) usw. Entscheidend ist aber der Ansatz für mehr Transparenz im Unternehmen, der gern mit dem Schlagwort Corporate Governance belegt wird. Ziel ist, nicht nur die Vorgaben von draußen zu erfüllen, sondern dies auch zugleich für verbesserte Prozesse und Transparenz intern zu nutzen. Nur dann kann man die notwendigen Investitionen für Dokumenten-Technologien auch wirtschaftlich vertreten.
CZ:
In welchen Zeiträumen wird die Umsetzung der Anforderungen Ihrer Einschätzung nach erfolgen?
Kff:
Es vollzieht sich in den Unternehmen ein Wandel von der papierbasierten zur elektronischen Organisation. Hierbei kann man nicht einfach den Schalter umlegen, da nicht nur beträchtliche Investitionen in Systeme erforderlich sind, sondern auch Arbeitsabläufe, Arbeitsorganisation, Hierarchien und die Einbindung der Mitarbeiter in die neuen Welt zu berücksichtigen sind. Diese organisatorischen Aufgaben sind dabei langwieriger und aufwändiger als die reine Technik. Die Unternehmen müssen umgekrempelt werden. Dies erfordert Zeit und sorgfältige Planung. Dabei sollte man trotz des Termindruckes nichts überstürzen sondern die Auswirkungen und Nachwirkungen sorgfältig bedenken. Hier geht es auch nicht mehr nur um nationale Randparameter. Die Welt ist zu einem globalen Dorf geworden und zahlreiche Entwicklungen im Ausland beeinflussen auch die Unternehmen in Deutschland. Dies gilt besonders für die Regularien der Europäischen Gemeinschaft, die in nationales Recht umgesetzt werden müssen, aber auch für die neuen Regeln des weltweiten E-Commerce und E-Business. Der Wandel in die digitale Welt, die viel zitierte Informationsgesellschaft, wird erst im nächsten Jahrzehnt abgeschlossen werden können. Unternehmen, die aber nicht sofort damit beginnen sich zu wandeln, haben kaum eine Überlebenschance in der sich drastisch verändernden wirtschaftlichen und gesellschaftlichen Situation.

© CopyRight bei PROJECT CONSULT und Computer Zeitung 2004
Top
Seitentitel: Interview_CZ_2005, Zitierung: http://www.PROJECT-CONSULT.com/home.asp?SR=644
Zuletzt aktualisiert am: 23.5.2004
CopyRight © 1992-2012 PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
20251 Hamburg, Breitenfelder Str. 17, Tel.: +49-40-46076220, E-Mail, Rechtshinweis
Optimiert für MS Explorer 5.x, 6.x, 1024x768 Pixel, Cookies(on), JavaScript(on)
Diese Seite wird nicht mehr gepflegt. Bitte besuchen Sie www.PROJECT-CONSULT.de
This website is no longer updated. Please visit www.PROJECT-CONSULT.de