Trends - Dokumentenmanagement
Responsive Image

Verfahrensdokumentation für Dokumentenmanagement

– erforderlich oder nur schmückendes Beiwerk?


Dr. Stefan Spitz, Lead Auditor ECM bei TÜV Informationstechnik GmbH und Dr. Klaus-Peter Elpel, Geschäftsführender Gesellschafter der Consultec Dr. Ernst GmbH
Veröffentlicht in: DiALOG - DAS MAGAZIN FÜR ENTERPRISE INFORMATION MANAGEMENT | MÄRZ 2017

Das Thema Verfahrensdokumentation wird in vielen Unternehmen nicht oder nur sehr oberflächlich behandelt, obwohl die Forderung nach einer Verfahrensdokumentation in den GoBD, BASEL II, SOX sowie der ISO 9001 und des Reifegradmodells der ISO 9004 / CMMI festgelegt ist. Sie ist ein wichtiger Bestandteil eines Dokumentenmanagementsystems und für den Nachweis der Revisionssicherheit unverzichtbar. Die Vorteile einer Verfahrensdokumentation sind jedoch oft nicht klar, genauso wie die Anforderungen an den Inhalt und den benötigten Detailgrad der Beschreibungen.

Die Aufgabe einer Verfahrensdokumentation ist es, den Soll-Zustand aller organisatorischen und technischen Prozesse sowie Maßnahmen zu beschreiben, die für ein Dokumentenmanagement relevant sind. Dies betrifft die Erfassung, ggf. die Transformation (bspw. von Papier in eine elektronische Form), das Verarbeiten (bspw. Rechnungsfreigabe), die Archivierung und die Reproduktion von Dokumenten. Auf dieser Grundlage können sowohl interne als auch externe Prüfungen stattfinden, um zu bewerten, ob die vorgegebenen Prozesse und Maßnahmen sowie die rechtlichen Anforderungen in ihrem Unternehmen eingehalten werden.

Dabei sind folgende Kern-Anforderungen stets zu berücksichtigen (siehe z.B. GoBD):

  • Vollständigkeit: Lückenlose Erfassung und Archivierung der Dokumente
  • Ordnung: Dokumente sind eindeutig indexiert und zugeordnet
  • Unveränderbarkeit: Jedes Dokument muss unveränderbar archiviert werden
  • Nachvollziehbarkeit: Alle Stationen, die ein Dokument durchlaufen hat, müssen dokumentiert und nachvollziehbar sein
  • Verfügbarkeit: Dokumente müssen zeitnah verfügbar und lesbar sein.
Darüber hinaus gilt: eine Verfahrensdokumentation muss aussagekräftig genug sein, damit sie den Kern-Anforderungen genügt und für eine Prüfung überhaupt nutzbar ist. Die GoBD formuliert dies folgendermaßen: „[...] muss für jedes DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein, aus der Inhalt, Aufbau, Ablauf und Ergebnisse des DV-Verfahrens vollständig und schlüssig ersichtlich sind. [...]
Die Verfahrensdokumentation muss verständlich und damit für einen sachverständigen Dritten in angemessener Zeit nachprüfbar sein.“ Diese Anforderung ist zwar subjektiv und kann von Prüfer zu Prüfer unterschiedlich bewertet werden. Es gibt jedoch Kerninhalte, welche in keiner Verfahrensdokumentation fehlen sollten.

Ein gerne vernachlässigter Bereich, sowohl in der Dokumentation als auch im Betrieb, ist das interne Kontrollsystem. Hierbei geht es nicht nur um eine regelmäßige Qualitätssicherung und Reaktion auf identifizierte Fehler und Abweichungen sondern vielmehr darum, ob die beschriebenen Verfahren auch wirklich gelebt werden. Nur so kann der Nachweis der Revisionssicherheit gelingen.

Das Erstellen und Pflegen einer Verfahrensdokumentation ist ein fortlaufender Prozess: „Die Verfahrensdokumentation ist bei Änderungen zu versionieren und eine nachvollziehbare Änderungshistorie vorzuhalten. [...] Die Aufbewahrungsfrist für die Verfahrensdokumentation läuft nicht ab, soweit und solange die Aufbewahrungsfrist für die Unterlagen noch nicht abgelaufen ist, zu deren Verständnis sie erforderlich ist.“ (GoBD)“. Die Investition ist jedoch gut angelegt, sofern das Erstellen und Pflegen der Dokumentation ernsthaft, d. h. nach den obigen Ausführungen, angegangen wird. Außerdem kann eine nicht vorhandene, unzureichende oder völlig veraltete Dokumentation zu einem Bußgeld führen (siehe bspw. AO §146).
Eine jährliche Überprüfung des DMS und der Verfahrensdokumentation durch einen anerkannten, externen Fachexperten (Zertifizierer) rundet das Ganze ab und erhöht die Revisionssicherheit signifikant. Die Prüftiefe und der Prüfumfang sollte jedoch angemessen gewählt werden. Eine oberflächliche Prüfung mag kostengünstiger sein, wird aber vermutlich nicht den gewünschten Mehrwert schaffen. Die Prüfung der Verfahrensdokumentation und das Audit vor Ort sollte durch eine detaillierte Beschreibung der Prüfergebnisse dokumentiert und am besten auch im DMS revisionssicher abgelegt werden. Dadurch kann auch nach vielen Jahren nachgewiesen werden, dass:

  • das DMS dem jeweiligen aktuellen Stand der Technik entsprach
  • die Prozessabläufe eigehalten und regelmäßig überprüft wurden
  • die für ihr Unternehmen rechtlichen Anforderungen eingehalten worden sind
Denn die Verantwortung für das DMS und die Einhaltung der rechtlichen Anforderungen trägt zu jedem Zeitpunkt ihr Unternehmen.

Die TÜV Informationstechnik GmbH (TÜViT) ist einer der führenden Prüfdienstleister für IT-Sicherheit und gehört zur TÜV NORD GROUP. TÜViT konzentriert sich auf Themen wie Cyber Security, Smart Energy, Mobile Security, Industrie 4.0, kritische Infrastrukturen, Datenschutz-Audits, ISMS-Beratung und -Auditierung nach ISO/IEC 27001 sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit. Darüber hinaus unterstützt TÜViT Anwender und  Betreiber von Dokumentenmanagementlösungen, gesetzliche Sicherheitsanforderungen für die revisionssichere Speicherung von Dokumenten nachzuweisen. Grundlage bilden hierbei die gemeinsam vom VOI und TÜViT entwickelten Prüfkriterien für Dokumentenmanagementlösungen (PK-DML).
www.tuvit.de

Responsive Image