Was ist beim Einführen eines DMS zu beachten?

Mag. Andreas Niederbacher ist Manager im Bereich der Enterprise Risk Services – Deloitte Audit Wirtschaftsprüfungs GmbH und war im Rahmen eines Workshops im InfPro-Office in Innsbruck zu Gast. Wir nutzten die Gelegenheit, mit dem erfahrenen Experten über die Herausforderungen für Unternehmen im Bereich der elektronischen Archivierung zu sprechen.

Als Certified Information Systems Auditor (CISA) halten Sie immer wieder Vorträge über rechtliche Aspekte der Archivierung aus Sicht der Wirtschaftsprüfung. Allgemein formuliert: Welche Kernkriterien machen aus Ihrer Sicht sichere IT-Systeme aus?

Mag. Andreas Niederbacher: Die Vielzahl an IT-Systemen und die damit verbundene Heterogenität macht es sehr schwer, allgemeine Kernkriterien zu definieren. Um die potenziellen Risiken, welche auf die IT-Systeme wirken, systematisch zu identifizieren, ist es entscheidend, im Unternehmen ein funktionierendes Risikomanagement zu installieren. In erster Linie dient dies dazu, die Risiken zu klassifizieren. Wie und ob auf diese reagiert wird, liegt im Ermessen des Unternehmens und hängt zumeist sehr stark von den entstehenden Kosten ab. Ein oft genanntes Risiko ist jedenfalls der Verlust oder die Verfälschung von Daten, weshalb der Implementierung von Kontrollen in diesem Bereich oftmals eine hohe Priorität widerfährt. Meine Erfahrung hat jedoch gezeigt, dass oftmals identifizierte Kriterien ein funktionierendes Berechtigungskonzept, eine zuverlässige Datensicherung sowie ein erprobter Wiederherstellungsprozess sind.

Was ist beim Einführen eines Dokumentenmanagement-Systems zu beachten?

Mag. Andreas Niederbacher: Neben ausreichenden Kontrollen im Bereich der logischen und physischen IT-Sicherheit ist der wichtigste und zugleich meist in Vergessenheit geratene (Un-)Sicherheitsfaktor der handelnde Mitarbeiter selbst. Beispielsweise kann eine Funktionstrennung oder ein Vier-Augen-Prinzip durch das vergessene Sperren eines Arbeitsplatzes leicht ausgehebelt werden. Sensible Informationen können dadurch ausgelesen oder weitergetragen werden. Ein anderer Aspekt besteht darin, dass Angreifer bei fehlender Mitarbeiter-Sensibilisierung leichter auf Basis von sogenannten „Social Engineering“-Angriffen Zugriff auf IT-Systeme erlangen können und in weiterer Konsequenz auf die Daten nicht nachvollziehbar zugreifen, diese manipulieren oder auch unwiederbringlich zerstören. Eine der größten unternehmerischen Aufgaben stellt daher die Sensibilisierung und Schulung der Mitarbeiter dar damit sich diese, im Rahmen ihrer Tätigkeiten, der übertragenen Verantwortung bewusst sind. Besonders im Bereich der elektronischen Archivierung kann ausschließlich ein Mitarbeiter bei der Digitalisierung (beim Scannen) sicherstellen, dass die festgelegten Qualitätskriterien eingehalten werden. So kann beispielsweise ein vom Mitarbeiter falsch eingelegtes Blatt Papier dazu führen, dass eine nicht bedruckte Rückseite einer Rechnung eingescannt wird. In diesem Fall kann der Fehler bei noch so gut ausgelegten automatisierten Prozesskontrollen, schwer identifiziert werden.

Welche sind die Herausforderungen österreichischer Unternehmen im Bereich der elektronischen Archivierung?

Mag. Andreas Niederbacher: Unternehmen stehen im Bereich der elektronischen Archivierung unzähligen Herausforderungen gegenüber. Ein Grund dafür ist sicherlich, dass es sich um eine sehr interdisziplinäre Thematik handelt. Neben rechtlichen Aspekten ist ein hohes Maß an technischem Verständnis sowie die Einbeziehung von wirtschaftlichen Erwägungen notwendig. Um konkreter zu werden kann ich Ihnen sehr gerne explizite Herausforderungen, welche sich im Laufe meiner Projekte immer wieder genannt wurden, nennen. Unternehmen sind gefordert

  • die datenschutzrechtlichen Anforderungen, wie beispielsweise die Protokollierung von Zugriffen auf Daten, zu erfüllen, müssen jedoch gleichzeitig eine ausreichende Performance der Systeme für die Benutzer zur Verfügung sicherstellen.
  • gemäß §27 DSG und §28 DSG Daten löschen oder berichtigen zu können, müssen jedoch gleichzeitig die Unveränderbarkeit der Dokumente sicherstellen.
  • die notwendigen Hilfsmittel für die Lesbarkeit von Dokumenten zur Verfügung stellen. Die Vielfältigkeit an Dokumenttypen erschwert diesen Umstand signifikant wodurch beispielsweise ein fünf Jahre altes Dokument möglicherweise von der aktuellen Version der erstellenden Software nicht mehr geöffnet werden kann (Stichwort Kompatibilitätsproblem).
  • die unzähligen Datenquellen, in denen Informationen zu den Geschäftsfällen erzeugt und verarbeitet werden, auf Wesentlichkeit zu prüfen, zu klassifizieren und die wesentlichen Unterlagen so zu speichern, dass sie zeitnah wiedergefunden werden können.
  • ausreichende Wiederherstellungsprozesse zu installieren, die einen Datenverlust ausschließen und einen zeitnahe Inbetriebnahme nach einem Ausfall sicherstellen.

Worin liegt der Mehrwert für Ihr Unternehmen?

Mag. Andreas Niederbacher: Durch die steigende Abhängigkeit von IT-Systemen und die hohen Kosten im Zusammenhang mit unstrukturiertem Datenaufkommen hat sich gezeigt, dass ein zuverlässiges und die rechtlichen Anforderungen erfüllendes Dokumentenmanagement-System einerseits in einigen Bereichen wie beispielsweise bei der Digitalisierung von Eingangsrechnungen de facto unumgänglich ist, anderseits durch die Möglichkeit einer zentralen Recherche einen klaren Wettbewerbsvorteil bringen kann. Die digitale Signatur ist in Deutschland für Rechnungslegung nicht mehr explizit erforderlich. Sie kann auch über organisatorische Maßnahmen sichergestellt werden. Beispielsweise kann die Überprüfung der Rechnung duch Abgleich mit der Bestellung erfolgen. Die Kontrollhandlungen müssen dokumentiert werden und für Dritte nachvollziehbar sein.

Auch in Österreich wurde 2012 eine Novelle des Abgabenänderungsprozesses beschlossen. Für Umsätze ab 1.1.2013 gelten wesentliche Erleichterungen für die elektronische Rechnungslegung.

(mek)