Compliance Management Software oder: Warum Office-Anwendungen keine Alternative für Dokumentation sind

Die Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung, die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) und die EU-Datenschutz-Grundverordnung sind hier einige prominente Beispiele. Der Umsetzungszwang ergibt sich aber nicht ausschließlich aus der Definition (Gesetz, Verordnung). Auch die bloße Teilnahme am Markt kann die Organisation in ein Norm-Korsett zwingen (z.B. TISAX®*).

Als Nachweis der Umsetzung von Normen, Standards und Gesetzen dient eine Dokumentation. Zeit und Geld, die für deren Erstellung und fortlaufende Pflege aufgewendet werden müssen, stehen – anders als z.B. der Kauf einer effizienteren Maschine – nur mittelbar in Relation zum Tagesgeschäft (Betriebsprüfung, Zertifikat). Die Tatsache mündet nicht selten in schmale Budgets und dünne Stellenbesetzung in Projekten. Für die Verantwortlichen ist es daher naheliegend, dass man zu möglichst einfachen, günstigen Mitteln greift und einzelne Projekte priorisiert.

Wie die Erfahrung aus zahlreichen Beratungsaufträgen zeigt, ist diese Vorgehensweise von Typ, Größe und Branche der Organisation unabhängig: Kalkulationstabellen, Schreibprogramme und andere Office-Formate sind weit verbreitet sowohl im etablierten Mittelstand als auch in mittleren und kleinen Unternehmen, Anstalten des öffentlichen Rechts, Lehreinrichtungen und Behörden. Dabei hängt der Erfolg eines Projekts entscheidend von der eingesetzten Dokumentations-Software und Merkmalen wie Vollständigkeit, Integrität, Nachvollziehbarkeit und Qualität ab.

Compliance Management Software DocSetMinder®

Mit der Software-Suite DocSetMinder® werden Organisationen adressiert, welche den Schutz ihrer Werte professionell und ganzheitlich, im Rahmen eines Integrierten Managementsystems (IMS) betrachten wollen.
Gemessen an einer dezentral und mit mehreren Tools realisierten Dokumentation sind der Erstellungs- und Pflegeaufwand ebenso wie die Fehleranfälligkeit auffallend gering, denn Organisationsstammdaten wie Prozesse, organisatorische Einheiten, Verantwortlichkeiten, Richtlinien, IT-Ressourcen etc. werden in DocSetMinder® zentral erfasst**, revisionssicher aktualisiert und in den Norm- und Compliance-Modulen referenziert. Die Synergieeffekte werden zusätzlich in der Umsetzung einzelner Prozessschritte verstärkt. Als Beispiel seien hier genannt modulübergreifende Risikoanalysen (z.B. für Informationssicherheit und Notfallmanagement) sowie Planung, Umsetzung und Überprüfung von technisch-organisatorischen Maßnahmen (z.B. für Informationssicherheit und Datenschutz). Dieser ganzheitliche Ansatz eliminiert zudem die Risiken einer isolierten Betrachtung wie beispielsweise Fehlplanung oder Fehlinvestitionen, wenn die Maßnahmen eines Managementsystems die Wirkung anderer Managementsysteme negativ beeinflussen oder gar aushebeln.

Die Modulstruktur und Dokumentvorlagen in DocSetMinder® sind unmittelbar an den umzusetzenden, geltenden Normen, Standards und Gesetzen ausgerichtet und nehmen den Benutzern den erheblichen konzeptionellen Aufwand ab, welcher im Fall einer z.B. mit Office-Anwendungen auf den ersten Blick vorgeblich günstiger realisierten Dokumentation zunächst in die Entwicklung des Dokumentationswerks (Typ, Umfang, Detaillierungsgrad, Bereitstellung) und fortlaufende Anpassungen einfließt und für eine saubere Abwägung dieser „Alternative“ auch monetär bewertet werden muss.
Die Norm- und Compliance-Module in DocSetMinder® bilden einen fertigen Leitfaden für Organisationen, die kostenbewusst und mit vertretbarem Aufwand ihre Managementsysteme entlang bewährter Methodiken wie z.B. ISO 27001, BSI IT-Grundschutz, ISO 9001, EU-DS-GVO, IDW PS 261 etc. planen, umsetzen und dokumentieren wollen.

Ready for Audit

Die Unternehmensberatung ALLGEIER CORE begleitet ihre Kunden mit einer Komplettberatung zur Umsetzung eines Managementsystems für Informationssicherheit, Datenschutz, Internes Kontrollsystem o. Ä. von der Aufnahme des Ist-Zustandes und Definition des Solls bis zur Unterstützung bei der Erstellung einer auditkonformen Dokumentation.

* TISAX® ist eine eingetragene Marke der ENX Association.

** Integration bestehender Dokumente und autom. Import aus anderen Systemen sind möglich.