Den Unternehmen müssen zahlreiche gesetzliche Verpflichtungen erfüllen, die auch Dokumentationspflichten beinhalten, um durch sachverständige Dritte nachvollziehbar zu werden.
Typische Verpflichtungen sind beispielsweise:
- Dokumentationspflichten der Datenschutzgrundverordnung (DSGVO)
- Verfahrensdokumentation zur Erfüllung der Anforderungen aus den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GOBD)
- Dokumentationspflichten aus dem „Gesetz zum Schutz von Geschäftsgeheimnissen“ (GeschGehG)
Die Aufzählung könnte noch um viele Bereiche fortgeführt werden. Möglicherweise sind im Unternehmen durch ein Qualitätsmanagementsystem (QMS gem. ISO 9001) bereits Prozesse dokumentiert, im Unternehmen bekannt gemacht und vor allem, das Managementsystem verfügt über die notwendige Akzeptanz im Unternehmen.
Die Folge aus den unterschiedlichen Anforderungen ist, dass in Unternehmen zahlreiche Dokumenteninseln entstehen, die getrennt betrachtet werden. Die Verpflichtungen werden zudem von unterschiedlichen Personen im Unternehmen oder externen Beratern verantwortet.
Dies führt zwangsläufig zu zahlreichen Risiken:
- Mehrfache Dokumentation identischer oder zumindest ähnlicher Sachverhalte
- Notwendige Aktualisierungen werden nicht in allen Dokumentationen durchgeführt
- Niemand weiß genau, in welcher Dokumentation eine konkrete Information zu finden ist
- Die Akzeptanz der „Dokumentationsinseln“ sinkt erheblich
Das Ziel im Unternehmen muss folglich sein, dass ein integriertes Managementsystem geschaffen wird, die die verschiedenen Anforderungen weitestgehend vereinheitlicht.
Ein integriertes Managementsystem könnte folgende Anforderungen einheitlich betrachten:
Aber geht das in der Praxis überhaupt? Um diese Frage zu beantworten, muss eine einheitliche Herangehensweise gefunden werden. Die Begrifflichkeit „Managementsystem“ deutet darauf hin, dass es Vorgaben der Unternehmensleitung geben muss. Typischerweise werden diese grundsätzlichen Vorgaben anhand einer Leitlinie definiert. Unternehmen mit einem QM-System haben bereits eine Leitlinie definiert. Es spricht nichts dagegen, in der Leitlinie auch weitere Aspekte zu berücksichtigen. Die Leitlinie eines integrierten Managementsystems könnte folgende Aspekte beinhalten:
- Vorgaben für das Qualitätsmanagement
- Vorgaben für Datenschutz und Informationssicherheit
- Vorgaben für Betriebs- und Geschäftsgeheimnisse
- Vorgaben für steuer- und handelsrechtliche Vorgaben
Die Geschäftsprozesse im Unternehmen sind nach unserer Auffassung der wesentliche Faktor für ein integriertes Managementsystem. Für jeden Geschäftsprozess kann anhand einfacher Fragen bewertet werden, ob diese für die einzelnen Compliance-Anforderungen relevant sind:
| Compliance | Frage |
|---|---|
| Qualität | Ist der Prozess bedeutsam für die Wertschöpfung und Leistungserbringung des Unternehmens? |
| Datenschutz | Werden im Prozess personenbezogene Daten verarbeitet? |
| Informationssicherheit | Hängt die Funktionsfähigkeit des Prozesses wesentlich von IT-Systemen ab? |
| Geschäftsgeheimnisse | Werden im Prozess Betriebs- und/oder Geschäftsgeheimnisse verwendet? (z.B. Patente, Rezepturen, besondere Produktionsverfahren, spezielle Vorgaben von Kunden) |
| Verfahrensdokumentation (GOBD) | Ist der Prozess für die steuerliche Rechnungslegung relevant? |
Fazit: Die einheitliche Betrachtung der unterschiedlichen Anforderungen birgt hohe Vorteile für Unternehmen. Themenspezifische Anforderungen können einfach in die einheitlichen Strukturen aufgenommen werden. Für die Mitarbeiter im Unternehmen besteht ein einheitlicher Zugriff auf alle relevanten Informationen und die Akzeptanz steigt.
Haben Sie Fragen? In unserer Beratungspraxis haben wir bereits Datenschutzmanagementsysteme und GOBD-Verfahrensdokumentationen in bestehende QM-Systeme integriert. Nehmen Sie gerne Kontakt mit uns auf oder vereinbaren einen Termin.