• Vollständigkeit: Lückenlose Erfassung und Archivierung der Dokumente • Ordnung: Dokumente sind eindeutig indexiert und zugeordnet • Unveränderbarkeit: Jedes Dokument muss unveränderbar archiviert werden • Nachvollziehbarkeit: Alle Stationen, die ein Dokument durchlaufen hat, müssen dokumentiert und nachvollziehbar sein • Verfügbarkeit: Dokumente müssen zeitnah verfügbar und lesbar sein. Darüber hinaus gilt: eine Verfahrensdokumentation muss aussagekräftig genug
Ein gerne vernachlässigter Bereich, sowohl in der Dokumentation als auch im Betrieb, ist das interne Kontrollsystem. Hierbei geht es nicht nur um eine regelmäßige Qualitätssicherung und Reaktion auf identifizierte Fehler und Abweichungen sondern vielmehr darum, ob die beschriebenen Verfahren auch wirklich gelebt werden. Nur so kann der Nachweis der Revisionssicherheit gelingen. Das Erstellen und Pflegen einer Verfahrensdokumentation ist ein fortlaufender Prozess: „Die Verfahrensdokumentation ist bei Änderungen zu versionieren und eine nachvollziehbare Änderungshistorie vorzuhalten. [...] Die Aufbewahrungsfrist für die Verfahrensdokumentation
Denn die Verantwortung für das DMS und die Einhaltung der rechtlichen Anforderungen trägt zu jedem Zeitpunkt ihr Unternehmen. sein, damit sie den Kern-Anforderungen genügt und für eine Prüfung überhaupt nutzbar ist. Die GoBD formuliert dies folgendermaßen: „[...] muss für jedes DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein, aus der Inhalt, Aufbau, Ablauf und Ergebnisse des DV-Verfahrens vollständig und schlüssig ersichtlich sind. [...] Die Verfahrensdokumentation muss verständlich und damit für einen sachverständigen Dritten in angemessener Zeit nachprüfbar sein.“ Diese Anforderung ist zwar subjektiv und kann von Prüfer zu Prüfer unterschiedlich bewertet werden. Es gibt jedoch Kerninhalte, welche in keiner Verfahrensdokumentation fehlen sollten.
Abb. Dokumentenerfordernisse
läuft nicht ab, soweit und solange die Aufbewahrungsfrist für die Unterlagen noch nicht abgelaufen ist, zu deren Verständnis sie erforderlich ist.“ (GoBD)“. Die Investition ist jedoch gut angelegt, sofern das Erstellen und Pflegen der Dokumentation ernsthaft, d. h. nach den obigen Ausführungen, angegangen wird. Außerdem kann eine nicht vorhandene, unzureichende oder völlig veraltete Dokumentation zu einem Bußgeld führen (siehe bspw. AO §146). Eine jährliche Überprüfung des DMS und der Verfahrensdokumentation durch einen anerkannten, externen Fachexperten (Zertifizierer) rundet das Ganze ab und erhöht die Revisionssicherheit signifikant. Die Prüftiefe und
der Prüfumfang sollte jedoch angemessen gewählt werden. Eine oberflächliche Prüfung mag kostengünstiger sein, wird aber vermutlich nicht den gewünschten Mehrwert schaffen. Die Prüfung der Verfahrensdokumentation und das Audit vor Ort sollte durch eine detaillierte Beschreibung der Prüfergebnisse dokumentiert und am besten auch im DMS revisionssicher abgelegt werden. Dadurch kann auch nach vielen Jahren nachgewiesen werden, dass: • das DMS dem jeweiligen aktuellen Stand der Technik entsprach • die Prozessabläufe eigehalten und regelmäßig überprüft wurden • die für ihr Unternehmen rechtlichen Anforderungen eingehalten worden sind Denn die Verantwortung für das DMS und die Einhaltung der rechtlichen Anforderungen trägt zu jedem Zeitpunkt ihr Unternehmen.
Die TÜV Informationstechnik GmbH (TÜViT) ist einer der führenden Prüfdienstleister für IT-Sicherheit und gehört zur TÜV NORD GROUP. TÜViT konzentriert sich auf Themen wie Cyber Security, Smart Energy, Mobile Security, Industrie 4.0, kritische Infrastrukturen, Datenschutz-Audits, ISMS-Beratung und -Auditierung nach ISO/IEC 27001 sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit. Darüber hinaus unterstützt TÜViT Anwender und Betreiber von Dokumentenmanagementlösungen, gesetzliche Sicherheitsanforderungen für die revisionssichere Speicherung von Dokumenten nachzuweisen. Grundlage bilden hierbei die gemeinsam vom VOI und TÜViT entwickelten Prüfkriterien für Dokumentenmanagementlösungen (PK-DML). www.tuvit.de DiALOG - Ausgabe März 2017
59