Digitale Geschäfts- und Dokumenten-Prozesse

Revisionssicherheit bei Nutzung von Microsoft SharePoint®


 

Microsoft SharePoint® On-Premise

 

 

Rechtliche Fragen

 

Relevante Dokumente sind ordnungsgemäß aufzubewahren

Im ersten Schritt ist zu klären, ob für Dokumente, die in Microsoft SharePoint® liegen oder dort abgelegt werden sollen, eine Aufbewahrungspflicht besteht? Zum einen gibt es gesetzlich vorgegebene Aufbewahrungspflichten für Dokumente (z.B. Produkthaftung), zum anderen kann es zusätzliche Unternehmensrichtlinien geben, wonach auch weitere Dateien aufbewahrt werden müssen. Ansprechpartner hierfür ist üblicherweise der “Herr der Daten”. Im Zweifel kann eine Revision oder ein internes / externes Auditing Klarheit schaffen.

 

Wie muss die Aufbewahrung erfolgen?

Microsoft SharePoint® muss so erweitert oder entsprechend customized werden, dass es regelbasiert aufbewahrungspflichtige Dokumenttypen, welche besonderen Auflagen unterliegen, überwacht und diese bei Bedarf in langzeitstabile Formate (PDF/A, TIFF) umwandelt. Dann sollten diese Formate (PDF-A) aus der Microsoft SharePoint®-Datenbank automatisch revisionssicher auf einer externen Compliance-Plattform abgelegt werden (Compliance Storage wie EMC Centerra; NetApp, Fast etc. oder durch Nutzung einer alternativen und revisionskonforme Archivkomponente). Dann ist zum einen die Revisionskonformität garantiert und darüber hnaus auch, dass die so abgelegten Dokumente erst nach Ablauf der Aufbewahrungsfrist gelöscht werden können.

 

Für den Benutzer ändert sich durch diese Maßnahmen nichts. Die Dokumente sind nach wie vor über die Microsoft SharePoint®-Suche, die Metadatensuche oder die Archiv-Aktenstruktur wiederauffindbar. Die Microsoft SharePoint®-Datenbank wird entlastet, die gesetzlichen Rahmenbedingungen werden erfüllt und wenn nötig der standortübergreifende Zugriff auf die Dokumente sichergestellt.

 

Zu klären ist dann, wie die nachstehende Punkte erfüllt werden, um den Anforderungen der GoBD Genüge zu tun:

  • Unveränderbarkeit
  • Vollständigkeit und Richtigkeit
  • Zugriff und Lesbarkeit
  • Nachvollziehbarkeit und Nachprüfbarkeit

Konkret bedeutet das, dass das Unternehmen definieren muss, wie Dokumente aufbewahrt werden, damit die Grundanforderungen erfüllt werden können. Folgende Fragestellungen sind in diesem Zusammenhang zu beantworten:

  • In welcher Form sollen die Dokumente aufbewahrt werden (Original, Konvertierung)?
  • In welchem Medium dürfen die Dokumente aufbewahrt werden (Fileserver, Datenbank)?
  • Wer soll Zugriff auf die aufbewahrten Dokumente haben?
  • Welche Metadaten werden benötigt, um die Dokumente später zu finden?
  • Sofern nicht gesetzlich vorgegeben – wie lange müssen die Dokumente aufbewahrt werden?

 

Definition der technischen Lösung und Organisatorisches

 

Nach Klärung ob und wie Dokumente aufbewahrt werden müssen kann die Evaluierung entsprechender technischer Lösungen wie z.B. der Einsatz einer revisionssicheren Archivkomponente erfolgen. Typische funktionale Anforderungen sind:

  • Manuelle und ereignisgesteuerte Archivierung
  • Definition der Aufbewahrungsdauer, bzw. Verlängerung der Aufbewahrungsdauer
  • Unveränderbare Speicherung der Dokumente, ggf. Überführung auf ein anderes Speichermedium
  • Zugriff auf archivierte Dokumente über Metadaten, Links oder über die Suche
  • Konvertierung der Dateien in quelloffene Formate, um die Lesbarkeit sicherzustellen

Neben funktionalen Anforderungen können auch nicht funktionale Kriterien für die Auswahl einer Lösung relevant sein, wie unter anderem:

  •  Kostenentwicklung bezogen auf die gesamte Aufbewahrungsdauer
  • Zukunftsträchtigkeit der Lösung – kann in Zukunft auf andere Lösungen/Speichermedien gewechselt werden?
  • Integrierbarkeit von revisionskonformen Archivanwendungen

Unabhängig von der technischen Lösung und dem Betrieb der Lösung ist auch Organisatorisches zu klären, zum Beispiel:

  • Wie wird sichergestellt, dass alle relevanten Dokumente über die Lösung archiviert werden?
  • Wie wird sichergestellt, dass relevante Metadaten korrekt befüllt sind?
  • Wer prüft die Aufbewahrungsdauer und was passiert nach Ablauf der Aufbewahrungsdauer?

Um GoBD-Konformität zu erzielen ist außerdem sicherzustellen, dass die finanzrelevanten Prozesse durch eine Verfahrensdokumentation dokumentiert sind und ggf. ein neutrales Audit (z.B. durch das VOI CERT-Gremium) für den finanzrelevanten Gesamtprozess durchführen zu lassen.

 

 

 

Microsoft SharePoint® Online

 

 

Rechtliche Fragen

Alle gesetzlichen Vorgaben sind identisch

 

 

Definition der technischen Lösung und Organisatorisches

 

Variante 1: Zentrales Repository

In Microsoft SharePoint® Online das Record-Center, in dem alle Daten gespeichert werden, die aufbewahrt werden sollen. Beim Records Center handelt es sich um eine eigene Seite, die vom Rest von Microsoft SharePoint® getrennt ist. Dorthin werden nicht mehr benötigte Dokumente verschoben, die dann in Datensätze umgewandelt werden. Für letztere lassen sich dann entsprechend der rechtlichen oder internen Vorgaben Zugriffsberechtigungen, Überwachungskriterien und Ablauffristen festlegen.

Durch die Vergabe einer Dokumenten-ID ist außerdem sichergestellt, dass die Dokumente nach der Umwandlung in Datensätze noch problemlos auffindbar bleiben. Um die Verwaltung zu erleichtern, können für bestimmte Datensatztypen sogenannte Datensatzbibliotheken erstellt werden, für die einheitliche Richtlinien gelten. Dokumente können anhand ihrer Klassifizierung automatisch in die entsprechenden Datensatzbibliotheken verschoben werden. Alternativ können auch eigene Inhaltstypen erstellt werden, um Richtlinien für Datensätze festzulegen.

 

Variante 2: Place In Records

Hier werden die Daten nicht verschoben, sondern bleiben an dem Ort, an dem sie ursprünglich gespeichert wurden. Die nötigen Berechtigungen und Einschränkungen werden von Hand für jeden Datensatz vorgenommen, was eine sehr individuelle Abstimmung ermöglicht, aber auch recht viel Aufwand bedeutet. Alternativ können die Datensätze daher in Microsoft SharePoint® auch im Rahmen der normalen Arbeitsabläufe klassifiziert und im Anschluss entsprechend geschützt werden. Vorteil dieser Variante ist, dass die Dokumente für die Mitarbeitenden weiterhin abrufbar sind – das kann gerade bei internen Mitteilungen sehr hilfreich sein. Dafür fehlt hier das zentrale Archiv, in dem sämtliche Daten zusammengeführt werden und das bei einer tatsächlichen Revision die Arbeit erleichtert.

 

Variante 3: Kombination aus Repository und In-Place-Records

Hier werden die Dokumente wie beim In-Place-Records-Ansatz zunächst an Ort und Stelle vorgehalten, sie werden allerdings auch in Datensätze umgewandelt und erhalten zusätzlich eine Dokument-ID. Selbstverständlich lassen sich bei dieser Variante ebenfalls Berechtigungen und Richtlinien zum Umgang mit den Daten festlegen. Darüber hinaus kann eine Zeitspanne definiert werden, nach deren Ablauf die Daten automatisch in ein zentrales Archiv verschoben werden. Dort gelten dann die zuvor festgelegten Einstellungen und Berechtigungen.

Nach dieser Vorstellung der drei Varianten stellt sich natürlich die Frage: Welche der Varianten ist die beste? Eine eindeutige Antwort dazu gibt es nicht, denn es hängt immer von der Situation im Unternehmen ab, welche Aufbewahrungsmethode am sinnvollsten ist. Daher lohnt es sich, bei der Umsetzung auf eine Beratung durch Fachleute (z.B. Compliance-Spezialisten des VOI) zu setzen.

 

Variante 4: Dokumentenübergabe an eine revisionssichere Archivkomponente

 

Dabei werden die Dokumente aus Microsoft SharePoint® oder Microsoft SharePoint® Online an eine revisionskonforme Archivkomponente übergeben und dabei gesetzeskonform und revisionssicher archiviert. Der Zugriff auf die so archivierten Dokumente kann anschließend sowohl über die Microsoft SharePoint® Varianten selbst als auch im Rahmen von Prozessen, die im DMS-System implementiert sind, ablaufen. Neben der Archivierung von Microsoft SharePoint® Inhalten ist auch eine Bereitstellung von archivierten Dokumenten in Microsoft SharePoint® möglich. Dabei werden Dokumente, die außerhalb von Microsoft SharePoint® entstanden sind, automatisch in Microsoft SharePoint® zur Verfügung gestellt. Die Archivkomponente stellt dabei sicher, dass die Inhalte jederzeit synchronisiert sind und bei Änderungen an den Dokumenten auch versioniert werden. Diese Variante hat sich zum einen als die am wenigsten aufwendige und zum anderen als die kostengünstigste herausgestellt.

 

 

 

Welche Anforderungen erfüllt Ihr Microsoft SharePoint® System?

 

Ob Industrieunternehmen, öffentliche Einrichtungen, KMUs oder sonstige Organisationen, im oder über das Netzwerk des VOI finden Sie einen passenden Partner - Sprechen Sie uns an!

Wilhelm Flintrop
stellv. Vorstandsvorsitzender
1st.-consulting UG
Geschäftführer

Kontakt