In diesem Artikel werden ein hierzulande eher selten verwendeter Begriff der Information Governance (IG) und der Zusammenhang mit dem Informationsmanagement in Unternehmen beschrieben. Information Governance ist ein Teilbereich der Corporate Governance und darauf ausgerichtet, informationsbezogene Risiken in Unternehmen und Organisationen optimal zu bewältigen.

Einleitung

Wir leben in einer Welt der Datenflut, noch niemals in der Geschichte nahmen die Informationsmengen so rasant zu. Und es ist kein Ende in Sicht. Die Cloud, Social Networks, Industrie 4.0, Internet of Things und die immer weiter gehende  Durchdringung unseres Lebens durch die rasant fortschreitende Digitalisierung werden weiter für ein exponentielles Datenwachstum sorgen. Die Flut von Emails und überlaufende Server lassen selbst große Unternehmen schon kämpfen. Die Verwaltung und Kontrolle von Unternehmensinformation wird immer zeitaufwendiger und teurer.

Fehler bei beim Informationsmanagement stellen ein Risiko für Unternehmen und deren Manager dar.

 

Definition

Information Governance (IG) ist als Teilbereich der Corporate Governance eine Querschnittsmaterie bestehend aus den Teilbereichen:

1.) Information Management

2.) IT Governance (Systeme / Infrastruktur)

3.) Information Risk Management

4.) Security & Rechtemanagement

5.) Compliance

Information Governance beschreibt die Verfahren, Organisation und Technologien, welche benötigt werden, um Unternehmensinformationen während ihres gesamten Lebenszyklus´ (Erzeugung, Erfassung und Empfang, Verteilung, Nutzung, Archivierung oder Löschung) in Übereinstimmung mit den strategischen Vorgaben des Unternehmens und den externen und internen Vorschriften zu bewirtschaften. Ziel ist der aktive, gesteuerte und kontrollierte Umgang mit Informationsbeständen.

Information Governance ist mehr als ein trockenes Rahmenwerk. Es fokussiert darauf, wie eine Organisation die Sicherheit, die Erfüllung von Vorschriften und ethische Standards beim Management ihrer Informationsbestände einhält. IG ist eine langfristige, multidisziplinäre Initiative und betrifft dabei alle Bereiche eines Unternehmens und deren Vertreter.

 

Warum

Die falsche Antwort ist: Das wird schon alles von der IT-Abteilung erledigt. IT-Abteilungen sind heute meist froh, wenn Sie tagtäglich benötigte Systeme korrekt gewartet und gesichert am Laufen halten. Für langfristige konzeptionelle Initiativen bleibt wenig Zeit.

Es droht ein Informationsinfarkt. Die einher gehenden Risiken (operativ, rechtlich und finanziell) müssen vermieden und nebenbei die Innovations- und Wettbewerbsfähigkeit gesteigert werden. Informationsbestände sind eine der wichtigsten Produktionsfaktoren und stellen gleichzeitig ein Risiko dar (z.B. Datenschutz, Datenverlust, Betriebsprüfungen, Discovery Prozesse). Seit 2017 können die Gegenparteien die Offenlegung von Information im Rahmen eines Kartellverfahrens fordern. In UK & USA ist das auch in Zivilverfahren schon immer der Fall gewesen.

Folgende Fakten bewirken die Notwendigkeit einer korrekten Information Governance:

1.) Nicht alle Informationsbestände können für immer aufbewahrt werden.

2.) Nicht alles kann aber sofort gelöscht werden.

3.) Viele Mitarbeiter benötigen dringend Hilfe bei der Strukturierung von Information.

4.) Die Wahrscheinlichkeit eines Datenverlustes steigt stark. (z.B. Cyberangriff).

5.) Es wird nicht einfacher und leichter, da die Informationsbestände rasant steigen.

6.) Chaos in E‐Mail, geteilten Server-Laufwerken, Kollaborationsplattformen und vielen anderen Applikationen sind mittlerweile endemisch.

7.) Information Governance als Teilbereich der Corporate Governance wird eine immer wichtigere Pflicht als Teil ordnungsgemäßer Geschäftsführung (siehe EU-DSGVO, NIS2 Richtlinie etc).

Rahmenbedingungen / Umsetzung

 

Welche Prinzipien müssen in einer Umsetzung beachtet werden?

1.) IG ist ein permanenter, multidisziplinärer Prozess, an dem Vertreter aller Unternehmensbereiche teilnehmen.

2.) Verantwortlichkeit: für jeden Informationsbestand müssen Verantwortliche definiert werden.

3.) Transparenz: alle Maßnahmen, wie eine Organisation Information verarbeitet müssen dokumentiert werden.

4.) Integrität: es muss nachgewiesen werden, ob die verwendeten Systeme Information korrekt verarbeiten.

5.) Schutz: Dokumentation aller Maßnahmen, die eine Veränderung, Korrumpierung oder den Verlust von Information verhindern.

6.) Compliance: Dokumentation, dass die Verarbeitung von Information  entsprechend externer und interner Richtlinien erfolgt.

7.) Verfügbarkeit: auch zukünftig muss jegliche Information langfristig wieder gefunden und lesbar gemacht werden.

8.) Aufbewahrung: es muss eine korrekte Aufbewahrung innerhalb der gültigen Fristen gewährleistet sein.

9.) Disposition: wird Information nicht mehr operativ benötigt, so muss sie korrekt archiviert, gelöscht oder vernichtet werden.

10.) Training und Kommunikation sind sehr wichtige Komponenten.

Resultat

Unternehmen mit umgesetzter IG gewinnen Kontrolle über ihre Informationsbestände. Sie verfügen über eine genaue Aufstellung, die Schaffung, Nutzung, Verarbeitung und Disposition ihrer Informationsbestände dokumentiert. Die umgesetzten Maßnahmen verhindern den Verlust wertvoller Unternehmensinformation und gewährleisten eine korrekte Handhabung auf allen Unternehmensebenen.

Die Mitarbeiter erlangen ein besseres Verständnis für und verwenden eine gemeinsame Terminologie zur Beschreibung der Informationsbestände. Das Management hat die Sicherheit, dass Informationsbestände verlässlich, gültig, genau und qualitätsgesichert sind. Zugriff, Nutzung und Speicherung entsprechen allen Compliance und rechtlichen Anforderungen.

Ein erster Start besteht meist in einer groben Beurteilung des Reifegrades der o.g. IG-Teilbereiche. Damit wird anfänglich ein Überblick für die Geschäftsführung gewonnen, wo Handlungsbedarf besteht.

 

Mag. Markus Lenotti
Geschäftsführer
Lenotti Advisors GmbH