Titel: SharePoint Online – Office 365 – revisionssicheres Dokumenten Management (19.04.2021)

 

Wann ist ein DMS ein revisionssicheres DMS?

Generell können sie in Deutschland (Stand 19.04.2021) vorneherein keine Software zum Dokumenten Management kaufen die von vorneherein „revisionssicher“ ist.

Denn damit ist nie die Software gemeint, sondern der Prozess, das Verfahren beziehungsweise die Verfahrensbeschreibung.

Das Verfahren muss am Ende im Rahmen eines Audits von Wirtschaftsprüfer abgenommen werden, erst dann kann ein DMS als revisionssicher gelten.

Rechtliche Anforderungen:

  • GoBD
    Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff
  • GoBS
    Grundsätze ordnungsmäßer DV-geschützter Buchhaltungssysteme
  • GDPdU
    Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterklagen

 Gesetzkonforme Archivierung

 Wie müssen Sie digitale Dokumente archivieren?

  • Zeitnah
  • Unveränderbar
  • Vollständig
  • Nachvollziehbar
  • Verfügbar
  • Richtig

 Revisionssicherheit ist keine Eigenschaft einer Software, sondern immer die Betrachtung des Gesamtverfahrens – Wie wurde der Workflow definiert? Wie wird dafür sorgegetragen, dass die eben genannten Punkte eingehalten werden. Dieses Verfahren muss dokumentiert werden, im Anschluss könnte das Verfahren von einem Wirtschaftsprüfer abgenommen werden, um damit den Nachweis erbringen zu können, dass die Firma ein Revisionssicheres System einsetzt.

d.h. wir implementieren ein System, sprechen die Prozesse mit dem Endkunden an, tragen dafür Sorge, dass die Revisionssicherheit berücksichtigt wird – doch wenn er den revisionssicheren Nachweis haben möchte, dann muss er das System von einen Wirtschaftsprüfer abnehmen lassen – und das Entsprechende Protokoll ablegen falls es angefragt wird.

Wir setzen den SharePoint (auch Online) so ein, dass er als revisionssichere Ablage genutzt werden kann – es bleibt aber immer der Individual Fall zu betrachten.

Der SharePoint hart die Möglichkeit alle die revisionssicheren Anforderungen zu erfüllen, wenn er richtig konfiguriert wird.

Die Kosten für den Nachweis der Revisionssicheren Ablage, lassen die meisten Kunden gar nicht vornehmen, das ist ähnlich wie mit dem Datenschutz DSGVO – die Umsetzung ist oft schwammig, sich jedoch damit auseinanderzusetzen und ein Software-System wie den SharePoint zu verwenden der im Grunde die Fähigkeit hat diese Anforderungen umzusetzen ist sicher der richtige Schritt.

Je nach Firmengröße kann die Zertifizierung eines SharePoint als revisionssicheren System entsprechend kostspielig sein. Doch erst wenn das ERP-System (z.B. mit Dynamics 365) und der Workflow und die Berechtigungsgruppen, bzw. Berechtigungsrollen pro Benutzer korrekt konfiguriert wurden, Belegarten usw. habe ich am Ende auch ein revisisonssicheres DMS.

Microsoft unterstützt z.B. den strengen SOX Standard (Sarbanes-Oxley Act von 2002 (SOX)) der in der USA geläufig ist, und im Grunde dasselbe Thema noch strenger umsetzt.

Sarbanes-Oxley Act of 2002 (SOX) – Microsoft Compliance | Microsoft Docs (Übersetzung)

Der von einer externen Wirtschaftsprüfungsgesellschaft erstellte Prüfungsbericht bestätigt, dass die Microsoft-Steuerelemente angemessen konzipiert wurden, zu einem bestimmten Datum in Betrieb waren und über einen bestimmten Zeitraum effektiv funktionierten. Kunden können die Berichte überprüfen, um mehr über die Microsoft-Steuerungsziele und die Wirksamkeit ihrer Steuerelemente zu erfahren und Zugriff auf ergänzende Steuerelemente zu erhalten.

Ist SharePoint eigentlich revisionssicher?

Viele Microsoft SharePoint DMS Projekte beginnen mit der Frage: „Ist SharePoint eigentlich revisionssicher?“

Die Frage ist jedoch nicht korrekt gestellt.

Unerheblich, ob sie beabsichtigen den SharePoint 2013, SharePoint 2016, SharePoint 2019 oder SharePoint Online einzusetzen – die Antwort ist immer die gleiche:

Revisionssicherheit ist eine Kombination aus technischen Lösungen und organisatorischen Maßnahmen – daher kann ein Produkt allein nicht revisionssicher sein.

Die beste technische Lösung taugt nichts, wenn sie Fehlerhaft bedient wird – bzw. bedient werden kann.

Was ist notwendig, um mit SharePoint Dokumente revisionssicher zu archivieren? Was bedeutet revisionssichere Archivierung?

Revisionssichere Archivierung = Relevante Dokumente sind ordnungsgemäß aufzubewahren

Im Folgenden möchte ich kurz und knapp aufzeigen, welche Grundfragen zu klären sind, um ohne Umwege zu einer revisionssicheren Archivierungslösung auf Basis SharePoint zu kommen:

Aufbewahrungspflichtige Dokumente in SharePoint?

Im ersten Schritt ist zu klären, ob für Dokumente, die in SharePoint liegen oder dort abgelegt werden sollen, eine Aufbewahrungspflicht besteht.

Zum einen gibt es gesetzlich vorgegebene Aufbewahrungspflichten für Dokumente (z.B. Produkthaftung, Finanzdokumente gemäß Handelsgesetzbuch), zum anderen kann es zusätzliche Unternehmensrichtlinien geben, wonach auch weitere Dateien aufbewahrt werden müssen. Ansprechpartner hierfür ist üblicherweise der “Verantwortliche für die jeweiligen Daten”.

Im Zweifel kann eine Revision oder ein internes (bzw. externes Auditing) Klarheit verschaffen.

Wie muss die Aufbewahrung erfolgen?

Im zweiten Schritt ist zu klären, wie die aufbewahrungspflichtigen Dokumente konkret aufbewahrt werden. Dazu gibt es keine gesetzlichen Vorgaben, sondern lediglich Grundregeln, wie z.B. die GoDB — Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff.

Anforderungen an die Revisionssicherheit

Folgende Grundanforderungen müssen umgesetzt werden:

  • Unveränderbarkeit
  • Vollständigkeit und Richtigkeit
  • Zugriff und Lesbarkeit
  • Nachvollziehbarkeit
  • Nachprüfbarkeit

Das Unternehmen muss konkret definieren, wie Dokumente aufbewahrt werden, damit die Grundanforderungen erfüllt werden.

Anforderungen – Hilfreiche Fragen:

  • In welcher Form sollen die Dokumente aufbewahrt werden?
    • Original
    • Konvertierung
  • In welchem Medium dürfen die Dokumente aufbewahrt werden
    • B. auf dem Fileserver
    • oder in der Datenbank
  • Wer soll Zugriff auf die aufbewahrten Dokumente haben? – Berechtigungskonzept
    • Benutzerrollen
    • Benutzergruppen
    • Benutzerrechte
  • Welche Metadaten werden benötigt, um die Dokumente später zu finden?
  • Wie lange müssen die Dokumente aufbewahrt werden?
    • Gesetzliche Anforderungen
    • Oder nicht gesetzlich vorgegeben, aber es bestehen interne Unternehmensanforderungen

Technische Lösung / organisatorische Definition

Nach der Klärung ob und wie Dokumente/Dateien/Daten aufbewahrt werden müssen kann die Evaluation entsprechender technischer Lösungen erfolgen.

Typische funktionale Anforderungen sind:

  • Archivierungsart
    • Manuell Archivierung
    • Ereignisgesteuerte Archivierung
  • Definition der Aufbewahrungsdauer
    • Verlängerung der Aufbewahrungsdauer bei XYZ …
  • Unveränderbare Speicherung der Dokumente
    • Früher wurde der Prozess häufig inklusive Überführung auf ein anderes Speichermedium beschrieben, je nach System ist dies heute nicht mehr zwingend notwendig.
  • Zugriff auf archivierte Dokumente über Metadaten
    • Durch ERP Integration über Hyperlinks, Anzeige oder über die Suche
  • Konvertierung der Dateien in quelloffene Formate, um die Lesbarkeit sicherzustellen
    • Der Zugriff muss später auch noch möglich sein, Adobe Acrobat empfiehlt z.B. den PDF/A Typ zur Speicherung von archivierten PDF-Dokumenten – hier ist z.B. sogar der verwendete Font (Schriftart) innerhalb der PDF-Datei verfügbar. Dadurch ist die Datei etwas „größer“ aber immer lesbar, ohne sicherstellen zu müssen, dass die benötigte Schriftart auf dem „Client/Lese-PC Device“ vorhanden sein muss.

Für die Auswahl können funktionale Anforderungen wie sonstige Faktoren relevant sein.

  • Kostenentwicklung bezogen auf die gesamte Aufbewahrungsdauer
  • Zukunftsträchtigkeit der Lösung
    • Kann in Zukunft auf andere Lösungen gewechselt werden?
    • Wechsel der Datenhaltung möglich?
  • Integrierbarkeit in bestehende Archivlösungen

Organisatorische Betrachtung

Die organisatorische Betrachtung ist unabhängig von der technischen Lösung oder dem Betrieb der Lösung.

  • Werden alle relevanten Dokumente über die Lösung archiviert? Wie stellen sie dies sicher?
  • Werden die relevante Metadaten mit Sicherheit korrekt befüllt?
  • Wer prüft die Aufbewahrungsdauer und was passiert nach Ablauf der Aufbewahrungsdauer?

Hinweis zu Office 365 und SharePoint Online

Die OnPremise Version des SharePoints Servers (Version 2010, 2013, 2016 und 2019) beschränken sich primär auf die Datensatzverwaltung (Recordsmanagement) während  Office 365 darüber hinaus noch weit mehr Funktionen bietet. Mit der Verwendung der Office 365 Retention Labels über das Office 365 Security & Compliance Center können entsprechende Labels zentral definiert werden und dann den Sites zugewiesen werden.

Abschluss

Nach Projektende sollte die Revisionssicherheit im Rahmen eines Audits geprüft werden. Hierzu muss ein Wirtschaftsprüfer hinzugezogen werden, der das revisionssicheres Verfahren betrachtet und bewertet.

Categories:

Tags:

No responses yet

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.