ISO 15489: die beste Praxis des Records Management

Gesetze und Regulierungen schreiben nicht Records Management vor, sondern Anforderungen an die Verfügbarkeit von Geschäftsunterlagen. Wie diese erfüllt werden, ist aus rechtlicher Sicht unerheblich.

  • Anerkannte Praxis — Der Anspruch von ISO 15489 ist «To standardize international best practice in Records Management». Dies gibt privaten Unternehmen und staatlichen Institutionen die Sicherheit, ihre Nachweispflichten nicht auf der grünen Wiese zu erfüllen, sondern nach anerkannten Prinzipien und auf der Grundlage von praxiserprobten Methoden.
  • Entscheidgrundlage — Der als Schweizer Norm anerkannte Standard ermöglicht es, bestehende technische oder organisatorische Systeme nach soliden Prinzipien zu beurteilen und Produkte von Anbietern nach einheitlichen Kriterien zu bewerten und Fehlinvestitionen zu vermeiden.

Records Management ist die «…als Führungsaufgabe wahrzunehmende effiziente und systematische Kontrolle und Durchführung der Erstellung, Entgegennahme, Aufbewahrung, Nutzung und Aussonderung von Schriftgut einschliesslich der Vorgänge zur Erfassung und Aufbewahrung von Nachweisen und Informationen über Geschäftsabläufe und Transaktionen in Form von Akten.»
(Deutsche Übersetzung: DIN ISO 15489-1.)

Dies beinhaltet eine Aufbau- (Aufgaben, Rollen, Infrastruktur) und Ablauforganisation (Prozesse, Verantwortlichkeiten, Infrastruktureinsatz). ISO 15489 definiert nur den Zweck von Aufgaben und Prozessen. Ihre Ausgestaltung hängt von den konkreten geschäftlichen und gesetzlichen Prüfkriterien für die Qualitätsmerkmale vertrauenswürdiger Unterlagen ab.

Um die Aufbau- und Ablauforganisation samt Infrastruktur erfolgreich zu etablieren, ist vorher eine sorgfältige Analyse der Grundlagen nötig. ISO 15489 nennt den dafür relevanten Definitionsbedarf.

ISO 15489 Records Management: Bestimmung der Grundlagen

  • Regelungsumfeld, Umfang und Fristen, Geschäftsprozesse — Welche Gesetze, Regulierungen und Geschäftserfordernisse stellen Anforderungen an Verfügbarkeit, Vertrauenswürdigkeit und Aufbewahrung von Unterlagen? Welche Unterlagen sind davon wielange betroffen, und in welchen Geschäftsprozessen werden sie erzeugt oder empfangen?
  • Risikoanalyse, Prüfkriterien — Welche Risiken entstehen, wenn bestimmte Anforderungen aus dem Regelungsumfeld nicht erfüllt werden? Welche Prüfkriterien sind für die gesetzeskonforme Nachweisbarkeit der Qualitätsmerkmale vertrauenswürdiger Unterlagen relevant?
  • Klassifikation, Sicherheitsbedarf — Wie müssen Unterlagen klassifiziert, geordnet und mit Metadaten versehen werden, damit sie vollständig und zuverlässig nachgewiesen werden können? Welche Schutzmassnahmen bezüglich Verlust von und Zurgiff auf Unterlagen sind zwingend?
  • Infrastruktur, Ausbildungsbedarf — Welche Hilfsmittel (Geräte, IT-Systeme, Schulung etc.) sollen zur Umsetztung der Prozesse des Records Management eingesetzt werden?
  • Ist-Bewertung — Welche Anforderungen werden bereits heute erfüllt bzw. wo werden welche Anforderungen noch nicht erfüllt? Wo liegt der primäre Handlungsbedarf?

Records Management kann unternehmensweit, in einer Unternehmenseinheit, einem Geschäftsprozess oder einem IT-System eingeführt werden. In jedem Fall handelt es sich um ein interdisziplinäres Projekt, in dem fachliche, rechtliche, organisatorische und technische Aspekte beachtet werden müssen.

Der begleitende technische Report SN ISO/TR 15489-2 (Guidlines) — deutsche Übersetzung: DIN ISO/TR 15489-2 (Richtlinien) — beschreibt (unverbindlich) ein Projektvorgehen zur Erhebung und Analyse.

Geht es nicht um eine Neueinführung, sondern um die Beurteilung und Verbesserung eines bestehenden Records Management, so werden diese Grundlagen eher von unten nach oben erarbeitet. Das heisst, es werden der bereits abgedeckte Regelungsbedarf und die Schwachstellen identifiziert.