Information Governance – Vermeidung von Risiken im Informationsmanagement

Information Governance – Vermeidung von Risiken im Informationsmanagement

Last Updated on 2017-04-19

Mag. Markus Lenotti

Einleitung

Wir leben in einer Welt der Datenflut, noch niemals in der Geschichte nahmen die Informationsmengen so rasant zu. Und es ist kein Ende in Sicht. Die Cloud, Social Networks, Industrie 4.0, Internet of Things und die immer weiter gehende Durchdringung unseres Lebens durch die rasant fortschreitende Digitalisierung werden weiter für exponentielle Steigerungsraten sorgen.

Die Flut von Emails und überquellende Server lassen selbst KMU heute schon kämpfen. Die Verwaltung und Kontrolle von Unternehmensinformation wird immer zeitaufwendiger und teurer. Fehler beim Informationsmanagement stellen ein Risiko für Unternehmen und deren Manager dar.

Definition

Information Governance (IG) ist als Teilbereich der Corporate Governance eine Querschnittsmaterie bestehend aus den Teilbereichen:

1.         Information Management

2.         IT Governance (Systeme / Infrastruktur)

3.         Information Risk Management

4.         Security & Rechtemanagement

5.         Compliance

Information Governance beschreibt die Verfahren, Organisation und Technologien, welche benötigt werden, um Unternehmensinformationen während ihres gesamten Lebenszyklus (Erzeugung, Erfassung und Empfang, Verteilung, Nutzung, Archivierung oder Löschung) in Übereinstimmung mit den strategischen Vorgaben des Unternehmens und den externen und internen Vorschriften zu bewirtschaften. Ziel ist der aktive, gesteuerte und kontrollierte Umgang mit Informationsbeständen.

Information Governance ist mehr als ein trockenes Rahmenwerk. Es fokussiert darauf, wie eine Organisation die Sicherheit, die Erfüllung von Vorschriften und ethische Standards beim Management ihrer Informationsbestände einhält. IG ist eine langfristige, multidisziplinäre Initiative und betrifft alle Bereiche eines Unternehmens und deren Vertreter.

Warum?

Die falsche Antwort ist: Das wird schon alles von der IT-Abteilung erledigt. IT-Abteilungen sind heute meist froh, wenn sie die tagtäglich benötigten Systeme korrekt gewartet und gesichert am Laufen halten. Für langfristige konzeptionelle Initiativen bleibt wenig Zeit.

Es droht ein Informationsinfarkt. Die damit einhergehenden Risiken (operativ, rechtlich und finanziell) müssen vermieden und nebenbei die Innovations- und Wettbewerbsfähigkeit gesteigert werden. Informationsbestände gehören zu den wichtigsten Produktionsfaktoren und stellen gleichzeitig ein Risiko dar (z.B. Datenschutz, Datenverlust, Betriebsprüfungen, Discovery Prozesse, ab 2017 können die Gegenparteien die Offenlegung von Information im Rahmen eines Kartellverfahrens fordern. In UK & USA ist das auch in Zivilverfahren schon immer der Fall gewesen).

Folgende Fakten bewirken die Notwendigkeit einer korrekten Information Governance:

1.     Nicht alle Informationsbestände können für immer aufhoben werden.

2.     Nicht alles kann aber sofort gelöscht werden.

3.     Viele Mitarbeiter benötigen dringend Hilfe bei der Strukturierung von Information.

4.     Die Wahrscheinlichkeit elektronischer Hausdurchsuchungen steigt (z.B. Kartellverfahren).

5.     Es wird nicht einfacher und leichter, da die Informationsbestände rasant steigen.

6.     Chaos in Emails, geteilten Server-Laufwerken und vielen anderen Applikationen sind allein Grund genug.

7.     IG als Teilbereich der Corporate Governance wird eine immer wichtigere Pflicht als Teil ordnungsgemäßer Geschäftsführung.

Rahmenbedingungen / Umsetzung

Welche Prinzipien müssen in der Umsetzung beachtet werden?

1.     IG ist ein permanenter, multidisziplinärer Prozess, an dem Vertreter aller Unternehmensbereiche teilnehmen.

2.     Verantwortlichkeit: für jeden Informationsbestand müssen Verantwortliche definiert werden.

3.     Transparenz: alle Maßnahmen, wie eine Organisation Information verarbeitet, müssen dokumentiert werden.

4.     Integrität: es muss nachgewiesen werden, ob die verwendeten Systeme Information korrekt verarbeiten.

5.     Schutz: Dokumentation aller Maßnahmen, die eine Veränderung, Korrumpierung oder den Verlust von Information verhindern.

6.     Compliance: Dokumentation, dass die Verarbeitung von Information entsprechend externer und interner Richtlinien erfolgt.

7.     Verfügbarkeit: auch zukünftig muss jegliche Information langfristig wieder gefunden und lesbar gemacht werden.

8.     Aufbewahrung: es muss eine korrekte Aufbewahrung innerhalb der gültigen Fristen gewährleistet sein.

9.     Disposition: wird Information nicht mehr operativ benötigt, so muss sie korrekt archiviert, gelöscht oder vernichtet werden.

10.  Training und Kommunikation sind sehr wichtige Komponenten.

Resultat

Unternehmen mit umgesetzter IG gewinnen Kontrolle über ihre Informationsbestände. Sie verfügen über eine genaue Aufstellung, die Schaffung, Nutzung, Verarbeitung und Disposition ihrer Informationsbestände dokumentiert. Die umgesetzten Maßnahmen verhindern den Verlust wertvoller Unternehmensinformation und gewährleisten eine korrekte Handhabung auf allen Unternehmensebenen.

Die Mitarbeiter erlangen ein besseres Verständnis für und verwenden eine gemeinsame Terminologie zur Beschreibung der Informationsbestände.

Das Management hat die Sicherheit, dass Informationsbestände verlässlich, gültig, genau und qualitätsgesichert sind. Zugriff, Nutzung und Speicherung entsprechen allen Compliance- und rechtlichen Anforderungen.

Ein erster Schritt besteht meist in einer groben Beurteilung des Reifegrades der o.g. IG-Teilbereiche. Damit wird anfänglich ein Überblick für die Geschäftsführung gewonnen, wo Handlungsbedarf besteht.