SAPERION Blog

Ich hatte vor einiger Zeit den ersten Best Practice Artikel zum E-Mail-Management gepostet, der sich im Schwerpunkt damit beschäftigt, wie mandie E-Mailflut heutiger Tage bewältigt bekommt. Dr. Ulrich Kampffmeyer hatte heute getwittert und eine Link auf einen Artikel schickt, der sich mit einer etwas heiklen Sache beim Mailen beschäftigt. Der Titel lautet Rechtliche Zulässigkeit der Weiterleitung von E-Mails bei (Urlaubs-) Abwesenheit – Best Practice Ansatz und wurde heute von Stephan Hansen-Oest auf Datenschutz Guru veröffentlicht.

Hintergrund ist folgende Situation, die der Autor peinlichst selbst als Absender erlebt hat und wie folgt schildert:

Ich hatte einmal einen Mandanten, einen Geschäftsführer einer GmbH, den ich aufgrund meiner Tätigkeit als Anwalt für das Unternehmen auch einmal in einer etwas pikanten, privaten Angelegenheit strafrechtlich vertreten – bzw. strafrechtlich korrekter ausgedrückt – verteidigt habe habe. Ohne auf weitere Details einzugehen, ging es in dem Fall um eine nicht besonders schwerwiegende Straftat, die sich jedoch – für den Mandanten etwas peinlich – im „Rotlichtbereich“ zugetragen haben soll. Mit Zustimmung des (more…)

gewonnen für SAPERION ECM Web Content Archive

In dem Post SAPERION CONVENTION #SAPCON11 – Nachlese 2 – Archivierung von Web Content hat Jürg Truniger, Director Professional Services unseres Partners Qumram, das Thema der revisionssicheren Archivierung von Web-Inhalten sensiblisiert. Bevor er seine nächsten Artikel mit den unterschiedlichen Anwendungsfalldetails an dieser Stelle postet, sei es mir erlaubt noch etwas Werbung in eigener Sache zu machen. Wir freuen uns ganz besonders an dieser Stelle über unser neues Produkt SAPERION ECM Web Content Archive zu sprechen, hat es doch auf der CeBIT schon einen Innovationspreis erhalten.

ECM Web Content Archive speichert auf einfache und verlässliche Art und Weise alle relevanten Inhalte von Internetseiten. Das Produkt ist damit ein weiterer Baustein in unserer Compliance-unterstützenden ECM-Produktfamilie. Dabei haben wir besonders Wert auf die Beherrschung im Aufwand sowie in der Einfachheit in der Handhabung gelegt.

Grundsätzlich sind zwei unterschiedliche Anwendungsfälle zu betrachten, denn es gibt statische sowie dynamische Webseiten.

Im ersten Fall kann ein zeitlich sich wiederholender Job die vorhanden Web-Seiten durchsuchen, Neues archivieren und Änderungen als neue Version speichern. Dieser Archivierungsansatz wird im Folgenden als client-seitig bezeichnet, da der Job ähnlich einem Anwender, nur eben automatisiert auf die Web-Seiten schaut.

Im zweiten Fall, dem transaktionalen Archivierungsansatz, wird exakt die Webseite gespeichert, die gerade für den Anwender dynamisch generiert wurde. Dabei klinkt sich ein Prozess auf dem Server zwischen die Kommunikation zwischen dem Browser des Besuchers und der Web-Server, übergibt die Seiten zur Aufbereitung und anschließender Archivierung in das SAPERION ECM.

Die Verlinkungen innerhalb der archivierten Seiten bleiben entsprechend erhalten und dynamische Links automatisiert in statische umgewandelt.

Für das Wiederfinden stehen verantwortlichen Anwendern entsprechende Suchen inkl. Zeitstrahl zur Verfügung.

Client-seitiger Archivierungsansatz

Wissen Sie noch, welches Dokument vor 2 Wochen auf Ihrer Internetseite zum Download stand?
Können Sie beweisen, dass der korrekte Disclaimer aufgeführt war?

Hierbei kommt der sogenannte Grabber zum Einsatz, mit dem konfigurierbar der aktuelle Zustand des gesamten Webauftritts oder nur Teile davon archiviert werden. Diese Anwendung greift als Client (more…)

Die diesjährige SAPERION Convention wartete mit einem brandneuen Thema auf: der Archivierung von Web-Content und -Transaktionen. SAPERION entwickelte zusammen mit der Schweizer Softwarefirma qumram eine bahnbrechende Lösung, welche in Berlin zum ersten Mal öffentlich vorgestellt wurde.

Das Internet: nicht mehr wegzudenken aus unserem Leben und dennoch rechtlich auf relativ dünnem Eis

Gemäss der weltweit ersten Studie zu den quantitativen Auswirkungen von Internetaktivitäten sind heute 3,4% des Bruttoinlandproduktes der G8-Staaten direkt auf den Online-Kanal zurückzuführen (McKinsey 2011, „Measuring the Net’s growth dividend“). Ein absolut beachtlicher Wert, der die Landwirtschaft oder auch den Energiesektor bereits in den Schatten stellt und von dem auszugehen ist, dass dessen Anstieg auf absehbare Zeit nicht abreissen wird.

Die im Bereich des Internets angewandten Maßnahmen für Information Governance und Business Continuity werden seiner Relevanz in der Regel bei Weitem nicht gerecht. Als aktuelles Beispiel sei (more…)

Es ist nicht nur ärgerlich, wenn wichtige Dokumente ein Eigenleben entwickeln – auch mangelnde Effizienz kostet Unternehmen jede Menge Zeit und Geld.
Unser Rat: Zähmen Sie Ihre Dokumente mit Enterprise Content Management (ECM).

Auf der folgenden Website erfahren Sie, welche Maßnahmen Sie ergreifen sollten, um in Zukunft Ihre Unternehmens- vorgänge einfach geregelt zu bekommen.

Ich habe gerade einen nützlichen Artikel zum Thema auf dem Blog von Niels Warnecke gefunden, den ich hier gerne ungekürzt wiedergeben möchte, passt er doch gut zu unseren Compliance-Themen und gibt nützliche Handlungsempfehlungen, unserer zunehmenden eMail-Flut Herr zu werden. Initialzündung seines Artikels war der Artikel E-Mail-Dauerfeuer – Wer sortiert, verliert von Jochen Leffers im Spiegelonline, der auf die Empfehlung IBMs eingegangen ist, dass Automatismen nur zu noch mehr Suchereien führen würden. Hier nun die Gründe von Herrn Warnecke, warum das Ordnen von E-Mails doch Sinn macht:

Den Posteingang unstrukturiert volllaufen zu lassen, wie es in dem Artikel (Anmerkung: der von Jochen Leffers) postuliert wird, halte ich aus meiner Erfahrung heraus für ziemlichen Unfug. Die Unterschiedlichkeit der Mail-Arten (Informationen, Aufträge, Werbung, Bestätigungen etc.) erfordert ein Mindestmaß an Organisation. Je mehr Mails man unstrukturiert im Posteingang hat, um so größer wird auch die Gefahr, dass einzelne Mails/Aufgaben im Mail-Grundrauschen untergehen. Und wenn ich vergessen habe, dass (more…)

COSO Framework

Wie versprochen steigen wir nun in die Planung des IKS und mitten in das Internal Control-Framework ein, nämlich in die „Risikobeurteilung“ (s. Abb COSO Framework).  Um diese durchführen zu können müssen die COSO-Hauptziele („Betrieblich“, „Berichterstattung“, „Regeleinhaltung“)  des Würfels genauestens durch das Management definiert werden. Zusätzlich dazu muss durch die unterste Ebene das gesamte Kontrollumfeld dokumentiert und beschrieben sein.  Dieses beinhaltet Beschreibungen, Festlegungen wie Integrität und ethische Werte, Bekenntnis zur fachlichen Kompetenz, Tätigkeit des Überwachungsorgans, Organisationsstruktur, Weisungsberechtigung und Verantwortung, Grundsätze der Personalpolitik in Zusammenhang zur Einführung des IKS.
Das Kontrollumfeld hat einen tiefgreifenden Einfluss auf die unternehmerische Tätigkeit und auf die Sicht von Risiken, Verhalten und die Grundeinstellungen des Managements sowie der Mitarbeiter. Es beeinflusst nicht nur eine Ebene des COSO I – Würfels, sondern durchzieht alle fünf Ebenen.

Risikobeurteilung für den Jahres-/ Monatsabschluss

Die Risikobeurteilung bezieht sich auf die Identifikation der Risiken für den Prozess des Jahres-/ Monatsabschlusses, in Bezug auf die gesetzten Ziele (“betriebliche Ziele”, “Berichterstattung” und “Compliance”). Das heißt, dass Ereignisse oder Zustände erfasst werden müssen, welche die festgelegten Ziele negativ beeinflussen. Dabei wird nicht nur der Prozess betrachtet, sondern auch die Risiken auf der Ebene des Unternehmens. (more…)

Zur Einführung eines IKS in dem Bereich Accounting gibt es traditionelle und darauf aufbauende Frameworks, die auch das in den Gesetzen (BilMog, KonTrag etc.)  gefragte Risikomanagement abdecken. In den folgenden Abschnitten möchte ich einen Überblick über das CoCo sowie das COSO und COSO-ERM geben.

„Guidance on Control“ (CoCo)  

CoCo Framework

Als eines der ersten Frameworks wurde das „Criteria on Control“ (CoCo) spezifiziert. Das Canadian Institute of Chartered Accountants (CICA) hat 1995 das CoCo erstmalig vorgestellt. Das Modell basiert auf vier iterierten Schritten (s. Abb. CoCo Framework) und enthält 20 Kriterien, um ein IKS nach Zielen qualitativ zu prüfen.

Zweck – Purpose: Enthält Ziele, Strategie, Vision, Performanceziele und Indikatoren, in- und externe Risiken und Chancen, Pläne zur Erhaltung der Leistung, Maßnahmen zur Archivierung.

Einsatz – Commitment: Enthält die Werte (ethische), Vertrauen, Autorität, Verantwortung für die Identität der Unternehmung.

Fähigkeit – Capability: Beschreibung der Kontrollobjekte, Kommunikationsprozesse und die Koordination dieser.

Überwachung & Weiterentwicklung – Monitoring & Learning: Durchführung, Verbesserung, Überwachung der Kontrollumgebung, der Kontrollobjekte und der Performance

CoCo wurde im Laufe der Zeit eher zum Einsatz von Prävention und Aufdeckung von (more…)

Kommen wir nun in dieser Woche langsam zum spannendsten Teil der Grundlagen und nähern uns dem Schwerpunkt, dem Aufbau des IKS und seinen Aufgaben. Dies natürlich mit dem Gedanken bald in die Praxis, Planung und Umsetzung eines IKS einsteigen zu können.

Was ist ein IKS überhaupt?

Unter dem Begriff des IKS werden die vom Management eines Unternehmens eingeführten Grundsätze, Verfahren und Maßnahmen verstanden, welche auf die organisatorische Umsetzung von Entscheidungen ausgerichtet sind. (more…)

So titelt die Computerwoche und berichtet über eine Studie des Datenrettungsspezialisten Kroll Ontrack in Kooperation mit der Anwaltskanzlei CMS Hasche Sigle. Ihr zufolge regeln 87 Prozent der Unternehmen den Umgang mit Internet und E-Mail am Arbeitsplatz. Aber mehr als 75 Prozent kontrollieren nicht regelmäßig, ob diese Regeln auch eingehalten werden. Und so werden die Regeln eben nur lasch befolgt und es würde den Mitarbeitern leicht gemacht, Daten zu stehlen.

Empfohlen wird ein Compliance Programm, das regelmäßig prüft, ob die aufgestellten Regeln auch eingehalten werden.Zudem fehlten Handlungsanweisungen für den Eintrittsfall. Auch würde es kaum eine Hotline geben, über die im Sinne eines Whistle-Blowings anonym über Regelverletzungen berichtet werden kann.

Ich habe mich seit einem Jahr intensiv mit der Thematik befasst und komme zu dem Schluss, dass eine dauernde Überprüfung der Mitarbeiter nur zu mehr Stress führen wird und sonst wenig Positives bewirken wird. Firmen mit einer offenen Kultur im Umgang mit Fehlern und einem vorbildlichen, (more…)

In meinem erst Post zu einer Serie rund um das Thema Internes Kontrollsystem habe ich über die Basics der Compliance geschrieben. Hier nun wie versprochen die Fortsetzung mit dem Schwerpunkt der Einsatzbereiche in der Unternehmung.

Compliance-Bereiche

Der Begriff Compliance ist schwer zu fassen, da dieser sehr vielschichtig ist und in den ver-schiedensten Unternehmensbereichen Anwendung findet (s. Abbildung).

Grundsätzlich lässt sich Compliance differenzieren, z. B. nach Corporate Compliance, IT- Compliance oder Tax-Compliance. Zusätzlich besitzt Compliance eine Vielzahl von Facetten, z.B. aus den Bereichen Unternehmensphilosophie und -kultur wie Ethikrichtlinien (Werte und Normen sowohl bezüglich des Umgangs der Mitarbeiter untereinander als auch im wirtschaftlichen Kontext).  Die folgenden Seiten geben einen kurzen Einblick in die verschiedenen Ausprägungen.

Tax Compliance

Tax Compliance widmet sich dem Steuerrecht und verfolgt das Ziel, das Unternehmen rechtlich gegen Haftungsansprüche aufgrund von Fehlverhalten zu schützen und dabei eine Minimierung der Steuern zu erreichen. (more…)