Records Management nachhaltig etablieren und führen

ISO 15489 Records Management und ergänzende Standards ermöglichen die Identifikation, Analyse und Umsetzung von Anforderungen an die Führung vertrauenswürdiger Unterlagen in Geschäftsprozessen und IT-Systemen. Doch die 15 Jahre Erfahrung mit ISO 15489 haben gezeigt, dass dies nicht genügt.

  • Theorie — ISO 15489 setzt implizit voraus, dass allen Beteiligten die Notwendigkeit und der Nutzen einsichtig und verständlich sind, die nötigen Ressourcen verfügbar und die Verantwortlichkeiten zur Einführung und Führung des Records Management geklärt sind.
  • Realität — Meistens trifft nichts davon zu, weshalb Projekte rasch auf der Strecke bleiben. Der Standard ISO 30301 «Management Systems for Records» (MSR) hilft, Records Management als Führungsaufgabe und Teil der Unternehmensarchitektur zu etablieren und nachhaltig zu führen.

Ein MSR funktioniert wie andere Management-Systeme — ISO/IEC 27001 (Informationssicherheit), ISO 9001 (Qualität) oder ISO 14001 (Umweltmanagement) — als Verbesserungsprozess in einem Regelkreis, der die Fähigkeiten der Organisation mit ihren Vorgaben und Randbedingungen in Einklang bringen soll.

(Zum Vergrössern auf das Bild klicken.)

ISO 30301 Management System for Records (MSR)

«Management Systems for Records» (MSR) gemäss ISO 30301 umfassen Prozesse zur Führung, Planung, Verbesserung, Umsetzung und Qualitätssicherung des Records Management. Zur Identifikation der relevanten Geschäftsprozesse und Risiken können die Standards ISO/TR 26122 «Work Process Analysis for Records» bzw. ISO/TR 18128 «Risk Assessment for Records Processes and Systems» genutzt werden.

Ein MSR bildet den Startpunkt zur Einführung oder Verbesserung des Records Management und soll einen gleichberechtigten Platz neben bereits vorhandenen Management-Systemen (z.B. Risiko, Qualität, Informationssicherheit) der Organisation einnehmen.

Anders als monolithische Projekte «Records Management jetzt!» oder ein Potpourri aus unkoordinierten Projekten ist ein MSR für die Organisation nicht invasiv, sondern führt zu einem kontinuierlichen Verbesserungsprozess, aus dem wirkungsorientiert Projekte oder Programme abgeleitet werden.

  • Leadership — Die Führung und Verfügbarkeit von Geschäftsunterlagen beeinflusst Erfolg, Risiken und Reputation der Organisation. Unternehmensführung und Verantwortliche für Risiko- und Qualitäts-Management sollen dies verstehen und im Rahmen des MSR als Verantwortung in einem Umfeld annehmen, das die Einhaltung rechtlicher Vorgaben und ethischer Grundätze erwartet.
  • Sichtbarkeit — Das MSR soll die Organisation befähigen, sich selber sowie externe Stellen von der Übereinstimmung ihres Records Management mit den eigenen Vorgaben und Zielen sowie Vorgaben Dritter zu überzeugen und diese Übereinstimmung intern wie extern sichtbar zu machen.
  • Durchsetzung — Die obersten Vorgaben und Ziele (Records Policy & Objectives) sowie die wichtigsten Rollen und Verantwortlichkeiten zum Records Management sollen durch die Unternehmensführung im Rahmen des MSR definiert und durchgesetzt werden können.
  • Monitoring und Reporting — Qualität, Effizienz und Erfolg des Records Management sollen durch das MSR regelmässig überprüft, Verbesserungs- und Handlungsbedarf identifiziert und entsprechende Entscheidgrundlagen zu Handen der Unternehmensführung aufbereitet werden.
  • Änderungsmanagement — Änderungen in der Struktur, den Zielen und Geschäftsprozessen sowie der IT-Infrastruktur der Organisation müssen durch das MSR antizipiert werden, um das kontinuierliche und reibungslose Funktionieren des Records Management gewährleisten zu können.

Die Serie ISO 3030x ist noch im Entshehen. Bisher sind zwei von vier geplanten Standards erschienen.

  • ISO 30300: Fundamentals and vocabulary — Grundlagen, Vokabular, Ziele und Umfang von «Management Systems for Records» sowie Bezug zu ISO 15489 Records Management.
  • ISO 30301: Requirements — Anforderungen an Prozesse und Messkriterien. Inklusive Checkliste zur Selbstbewertung eines MSR. Anhang B nennt Anforderungen aus den Management-Systemen ISO/IEC 27001 (Informationssicherheit), ISO 9001 (Qualität) und ISO 14001 (Umweltmanagement), die ohne ein funktionierendes MSR und Records Management nicht erfüllt werden können.
  • ISO 30302: Guidelines for implementation — Richtlinien und Hilfestellung zu Umsetzung und Ausführung eines MSR. (Publikation ca. Ende September 2015.)
  • ISO 30303, ISO 30304 — Geplant. Enthalten Anforderungen an Anbieter von ISO 30301-Zertifizierungen sowie Richtlinien zur Auditierung und Bewertung eines fremden MSR.