Jana Maria Guggenberger Aufbau und Ablauf einer IT-Integration
GABLER RESEARCH Betriebswirtschaftliche Forschung zur ...
43 downloads
1329 Views
3MB Size
Report
This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form
Jana Maria Guggenberger Aufbau und Ablauf einer IT-Integration
GABLER RESEARCH Betriebswirtschaftliche Forschung zur Unternehmensführung Herausgegeben von Prof. Dr. Dr. h.c. Herbert Jacob (†), Universität Hamburg Prof. Dr. Karl-Werner Hansmann, Universität Hamburg Prof. Dr. Manfred Layer, Universität Hamburg Prof. Dr. Dr. h.c. Dieter B. Preßmar, Universität Hamburg Prof. Dr. Kai-Ingo Voigt, Universität Erlangen-Nürnberg
Jana Maria Guggenberger
Aufbau und Ablauf einer IT-Integration Phasenmodell und Vorgehenskonzept unter Berücksichtigung spezifischer rechtlicher Aspekte
Mit einem Geleitwort von Prof. Dr. Karl-Werner Hansmann
RESEARCH
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar.
Dissertation Universität Hamburg, 2010
1. Auflage 2010 Alle Rechte vorbehalten © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2010 Lektorat: Ute Wrasmann | Jutta Hinrichsen Gabler Verlag ist eine Marke von Springer Fachmedien. Springer Fachmedien ist Teil der Fachverlagsgruppe Springer Science+Business Media. www.gabler.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Umschlaggestaltung: KünkelLopka Medienentwicklung, Heidelberg Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Printed in Germany ISBN 978-3-8349-2496-4
Geleitwort Die Leistungsfähigkeit der Informationstechnologie vieler Unternehmen spielt eine entscheidende Rolle für deren Geschäftserfolg. Bei zunehmend globaler Geschäftstätigkeit steigt die Forderung nach einheitlichen und zugleich anpassungsfähigen IT-Systemlandschaften. ITIntegration ist daher heute mehr denn je ein bedeutendes Thema für viele Unternehmen. Insbesondere die Erreichung der durch das Management definierten Synergieziele bei der Zusammenführung der Enterprise Resource Planning (ERP) Systeme ist dabei von herausragender Relevanz. Darüber hinaus wächst der Einfluss gesetzlicher Vorschriften auf den Einsatz der IT in Unternehmen. Die Zahl gesetzlicher Regelungen, die sich direkt oder indirekt auf den Einsatz der IT in Unternehmen beziehen, nimmt stetig zu. Die Einführung der elektronischen Betriebsprüfung durch die Änderung der Abgabenordnung und die Formulierung der GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) belegt, dass auch rechtliche Vorschriften den Aufbau unternehmensinterner IT-Strukturen zunehmend bestimmen werden. Die Auslegung gesetzlicher Vorschriften durch Behörden und Verbände führt zu konkreten Anforderungen an die Ausgestaltung von Informationssystemen und Prozessen. Somit sind bei der Neustrukturierung und Konsolidierung bestehender IT-Landschaften zusätzlich zu den technischen Anforderungen auch eine Vielzahl rechtlicher Gesichtspunkte einzubeziehen. ITCompliance verschärft folglich die Anforderungen an eine IT-Integration. Rechtliche Belange finden in IT-Integrationsvorhaben dennoch nur sehr selten Beachtung und blieben bislang in der wissenschaftlichen Literatur nahezu unberücksichtigt. Das vorliegende Buch verfolgt das übergeordnete Ziel, die Forschung zur IT-Integration um ein umfassendes Modell, das insbesondere IT-Compliance-Anforderungen berücksichtigt, zu ergänzen. Dabei werden Aufbau und Ablauf einer IT-Integration beschrieben und ein Vorgehenskonzept zur gesetzeskonformen Systemablösung aufgezeigt und damit die bekannten Techniken und Handlungsweisen des Integrationsmanagements um einen ganzheitlichen Ansatz erweitert. Die Autorin wirkt damit in ihrer Vorgehensweise der Diskrepanz zwischen praktischer Relevanz und wissenschaftlichem Kenntnisstand auf diesem Gebiet entgegen. Im Ergebnis wird somit ein theoretisch fundierter und überaus anwendungsorientierter Beitrag zur Schließung der Forschungslücke auf dem Gebiet der gesetzeskonformen IT-Integration geleistet. Die Ergebnisse bieten der Managementpraxis geeignete Orientierungshilfen und Hinweise zur besseren Bewältigung der Aufgabenstellungen im Rahmen von IT-Integrationen. Durch zahlreiche Checklisten und konkrete Handlungsempfehlungen werden eindeutige und praxisorientierte Hilfestellungen zur Beachtung relevanter IT-Compliance-Aspekte und zur Entwicklung einer Archivierungslösung im Spannungsfeld zwischen rechtlichen V
Anforderungen, wirtschaftlichen Erfordernissen und den organisatorischen und technischen Umsetzungsmöglichkeiten geliefert. Deswegen ist der Arbeit von Frau Guggenberger zu wünschen, dass sie in Theorie und Praxis die gebührende Aufmerksamkeit findet.
Karl-Werner Hansmann
VI
Vorwort Unternehmen, die ihre IT-Systeme zusammenführen, müssen dabei neben klassischen Aspekten wie den Prozessabläufen oder der Hard- und Softwareauswahl vermehrt auch Vorschriften von Gesetzgebern und Behörden berücksichtigen. Das führt dazu, dass bei der Konsolidierung von Anwendungssystemen eine Archivierung der inzwischen sehr umfangreich in elektronischer Form vorliegenden Daten und Unterlagen vorzunehmen ist. Diese spezifische Problemstellung war in meiner Berufspraxis – sei es als IT-Mitarbeitern in Industrieunternehmen oder als ERP-Beraterin – eine der bedeutenden Projektfragen, ohne dass es dafür eine theoretische Musterlösung gab. Entsprechend motiviert habe ich diese Fragestellung detailliert untersucht, um allen Praktikern und Theoretikern eine strukturierte Hilfestellung zur Erfüllung gesetzlicher Anforderungen im Rahmen von IT-Integrationen und unter besonderer Berücksichtigung steuerlicher Vorschriften zu geben. Die Durchführung meines Vorhabens sowie die Anfertigung der vorliegenden Arbeit hätte ohne die inhaltliche und moralische Unterstützung zahlreicher Menschen nicht geschehen können. Ihnen allen möchte ich an dieser Stelle danken. Die vorliegende Arbeit entstand während meiner Tätigkeit als Wissenschaftliche Mitarbeiterin am Institut für Industrielles Management der Universität Hamburg. Mein Dank gilt insbesondere meinem Doktorvater, Herrn Professor Dr. Karl-Werner Hansmann, der mir die Gelegenheit zur Promotion gab, die Arbeit stets gefördert hat und mir durch seine zahlreichen Ratschläge eine große Hilfe war. Des Weiteren danke ich Herrn Professor Dr. Dr. h.c. Dieter Preßmar sehr für sein ausdrückliches Interesse an der Thematik, die motivierenden Gespräche und die Übernahme des Zweitgutachtens. Ferner möchte ich Herrn Prof. Dr. Henrik Sattler danken, der den Vorsitz der Prüfungskommission führte. Im Weiteren gilt mein Dank den Kollegen am Institut für Industrielles Management für die freundliche Zusammenarbeit. Ganz besonders danke ich Dipl. Wirtsch.-Inf. Martin Tschöke für die motivierenden Worte und seine Unterstützung bei allen technischen Problemen. Spezieller Dank gebührt meiner Familie, insbesondere meinen Eltern, Rolf und Ive Guggenberger, die mir in meinem Leben immer Rückhalt gaben und mich gefördert haben. Ohne die Ausbildung, die sie mir ermöglichten, wäre diese Arbeit sicher nicht entstanden. Meinen Söhnen Benjamin und Bennet danke ich für die Nachsicht, dass ich sie in der Zeit des Verfassens der Arbeit so oft vertrösten musste. Der größte Dank gilt meinem Mann, Dr. Nils Bickhoff, der mich während der gesamten Promotionszeit unterstützt und mich durch Höhen und Tiefen begleitet hat. Er hatte stets ein offenes Ohr für mich und warf mit seiner wissenschaftlichen Erfahrung immer einen kritischen Blick auf meine Arbeit. Nils half mir VII
durch zahlreiche Diskussionen mit viel Geduld und durch mentale Aufbauarbeit in kritischen Phasen und hat mir die erforderlichen Freiräume für die Fertigstellung der Arbeit geschaffen.
Jana Maria Guggenberger
VIII
Inhaltsverzeichnis Abbildungsverzeichnis ..................................................................................................... XV Tabellenverzeichnis ....................................................................................................... XVII Abkürzungsverzeichnis ...................................................................................................XIX
Teil 1: 1.1
Einleitung ........................................................................................................ 1 Motivation der Arbeit.............................................................................................. 2
1.2 Stand der Forschung................................................................................................ 6 1.3 Aufgabenstellung und Themenabgrenzung............................................................ 10 1.4 Vorgehensweise und Gang der Untersuchung........................................................ 11 Teil 2:
Zur Relevanz und Komplexität der IT-Integration..................................... 14
2.1 Begriffsdefinitionen .............................................................................................. 14 2.1.1 IT und die Komponenten der IT-Landschaft.................................................... 14 2.1.2 Integration....................................................................................................... 17 2.1.3 IT-Integration.................................................................................................. 20 2.2 Anlässe einer IT-Integration.................................................................................. 21 2.2.1 M&A als externer Anlass einer IT-Integration................................................. 21 2.2.1.1 Grundlegungen ......................................................................................... 22 2.2.1.2 Der M&A-Prozess .................................................................................... 25 2.2.1.3 Motive von M&As.................................................................................... 27 2.2.1.4 Zusammenschlussrichtung ........................................................................ 36 2.2.1.5 Integrationstyp .......................................................................................... 38 2.2.1.6 Bedeutung der IT-Integration bei M&As................................................... 45 2.2.2 Reorganisation als interner Anlass einer IT-Integration ................................... 47 2.3 Ziele und Aufgaben der IT-Integration .................................................................. 49 2.3.1 Synergieeffekte einer IT-Integration................................................................ 53 2.3.1.1 Kosteneinsparungen .................................................................................. 56
IX
2.3.1.2 Wertsteigerung durch Qualitätsverbesserung............................................. 61 2.3.2 Aufgaben der IT im Rahmen der Integration ................................................... 67 2.4 Parameter der IT-Integration ................................................................................. 68 2.4.1 Allgemeine situative Umfeldbedingungen....................................................... 69 2.4.2 Gegebene Parameter der IT-Landschaften ....................................................... 74 2.4.2.1 Parameter der isolierten Betrachtung......................................................... 75 2.4.2.2 Parameter der IT-Landschaften im Gesamtkontext .................................... 81 2.4.3 Gestaltungsparameter ...................................................................................... 83 2.4.3.1 Angestrebter IT-Integrationsgrad .............................................................. 84 2.4.3.2 Integrationsgeschwindigkeit/-dauer ........................................................... 85 2.4.3.3 Integrationskosten bzw. IT-Integrationsbudget .......................................... 88 2.4.3.4 Qualitätsrichtlinien für die Ausgestaltung der zukünftigen IT-Landschaft ........................................................................................... 89 2.4.3.5 Integrationsmethoden................................................................................ 95 2.4.3.6 IT-Integrationsteam................................................................................. 101 2.5 Zusammenfassung der theoretischen Grundlegung .............................................. 101 Teil 3:
Archivierung als IT-Compliance-Anforderung bei einer IT-Integration.............................................................................................. 103
3.1
Begriffliche Grundlegung zur Archivierung ........................................................ 104
3.2
Archivierung als Sorgfaltspflicht......................................................................... 106
3.2.1 Corporate Governance und IT-Governance ................................................... 107 3.2.2 Corporate Compliance und IT-Compliance ................................................... 111 3.2.2.1 Compliance-Management ....................................................................... 114 3.2.2.2 Wesentliche Aspekte der IT-Compliance ................................................ 116 3.3
Gesetzliche Verpflichtungen zur elektronischen Archivierung und Implikationen...................................................................................................... 128
3.3.1 Aufbewahrungspflicht nach Handels- und Steuerrecht................................... 129 3.3.2 Anforderungen der GoB................................................................................ 132 3.3.3 Anforderungen der GoBS.............................................................................. 133
X
3.3.4 Anforderungen der GDPdU........................................................................... 136 3.3.4.1 Grundlegungen ....................................................................................... 136 3.3.4.2 Zur steuerlichen Relevanz ....................................................................... 140 3.3.4.3 Zur originären Digitalität......................................................................... 141 3.3.4.4 Zur maschinellen Auswertbarkeit............................................................ 141 3.3.4.5 Zum Umgang mit nicht maschinell auswertbaren Belegen....................... 142 3.3.5 Art und Ort der Aufbewahrung...................................................................... 142 3.3.5.1 Art der Archivierung............................................................................... 143 3.3.5.2 Ort der Aufbewahrung ............................................................................ 144 3.3.6 Aufbewahrungsfristen ................................................................................... 145 3.3.7 Spezielle Herausforderungen der Archivierung ............................................. 147 3.3.7.1 Identifizierung und Trennung der Datenbestände .................................... 148 3.3.7.2 Problematik und Lösungsansätze der E-Mail-Archivierung ..................... 153 3.3.8 Sanktionen .................................................................................................... 159 3.4 Wirtschaftliche Gründe für eine elektronische Archivierung................................ 162 3.5
Funktionale Anforderungen an eine elektronische Archivierungslösung .............. 167
3.6 Resümee: Archivierung im Kontext der IT-Integration........................................ 169 Teil 4:
Theoretisches Phasenmodell zur IT-Integration unter Berücksichtigung der IT-Compliance ........................................................ 174
4.1 Gestaltungsebenen und IT-Integrationsobjekte .................................................... 174 4.1.1 IT-Strategie................................................................................................... 175 4.1.1.1 Aufgabe, Inhalt und Bedeutung der IT-Strategie ..................................... 175 4.1.1.2 Verantwortliche der IT-Strategieentwicklung.......................................... 177 4.1.1.3 Idealtypischer Prozess zur Strategieentwicklung und Ausrichtung des IT-Projektportfolios an der IT-Strategie ........................ 178 4.1.2 Zusammenführung der IT-Organisation......................................................... 181 4.1.2.1 Aufgabenebenen der Organisationsintegration ........................................ 182 4.1.2.2 Aufbauorganisatorische Gestaltung der IT............................................... 184 4.1.2.3 Ablauforganisatorische Gestaltung der IT ............................................... 189 XI
4.1.2.4 Personalbezogene Gestaltung der IT........................................................ 191 4.1.3 Integration der IT-Landschaften .................................................................... 198 4.1.3.1 Grundlegungen ....................................................................................... 198 4.1.3.2 Point-to-Point (PTP)-Schnittstellen ......................................................... 201 4.1.3.3 Electronic Data Interchange (EDI) .......................................................... 202 4.1.3.4 Data Warehousing................................................................................... 203 4.1.3.5 Middleware............................................................................................. 205 4.1.3.6 Enterprise Application Integration (EAI)................................................. 206 4.1.3.7 Enterprise Information Portal (EIP)......................................................... 209 4.1.3.8 Enterprise Resource Planning (ERP) ....................................................... 210 4.1.3.9 Rechtliche Aspekte im Rahmen von Unternehmenszusammenschlüssen . 214 4.1.4 Integration der Anwender.............................................................................. 215 4.2
Phasenmodell des IT-Integrationsprozesses ......................................................... 218
4.2.1 Phasenübergreifende Aktivitäten................................................................... 220 4.2.2 Die Phase der strategischen Entscheidungsfindung – Schaffung des Integrationsrahmens ............................................................... 222 4.2.2.1 Schritt 1: Entscheidungsvorbereitung ...................................................... 223 4.2.2.2 Schritt 2: Grundsätzliche Integrationsentscheidungen und ITBestandsanalyse ...................................................................................... 226 4.2.2.3 Schritt 3: Entwicklung der Integrationsalternativen ................................. 228 4.2.2.4 Schritt 4: Auswahl einer Integrationsalternative ...................................... 229 4.2.3 Die Planungs- und Konzeptionsphase............................................................ 231 4.2.3.1 Schritt 1: Projektdefinition ...................................................................... 231 4.2.3.2 Schritt 2: IT-Projektportfolioanpassung................................................... 233 4.2.3.3 Schritt 3: Entwurf des IT-Integrationsplans als Teil des IT-Masterplans........................................................................................ 235 4.2.3.4 Schritt 4: Grobkonzeption ....................................................................... 238 4.2.4 Die Umsetzungs- und Abschlussphase .......................................................... 239 4.2.5 Zusammenfassung des Modellnutzens und der kritischen Erfolgsfaktoren ............................................................................................. 242 XII
Teil 5:
5.1
Lösungsansätze und Vorgehenskonzept zur GDPdU-konformen Systemablösung.......................................................... 245 Lösungsaspekte der Archivierung........................................................................ 245
5.1.1 Organisatorische Maßnahmen ....................................................................... 246 5.1.2 Technische Maßnahmen................................................................................ 250 5.1.2.1 Archivtaugliche Datenformate................................................................. 255 5.1.2.2 Archivierungsmedien und Speichersysteme............................................. 258 5.1.3 Zusammenfassung der Lösungsansätze zur Erfüllung der funktionalen Anforderungen.......................................................................... 262 5.2
Vorgehenskonzept zur GDPdU-konformen Systemablösung ............................... 268
5.2.1 Ermittlung abzulösender Anwendungssysteme .............................................. 268 5.2.2 Wahl einer grundlegenden Archivierungslösung ........................................... 269 5.2.2.1 Alternative Lösungswege zur GDPdU-konformen Systemablösung ...................................................................................... 269 5.2.2.2 Vorgehensweise in der Planungs- und Konzeptionsphase ........................ 274 5.2.3 Migrations- und Archivierungsleitfaden ........................................................ 276 5.3 Teil 6:
Zusammenfassung des Vorgehenskonzeptes........................................................ 282 Zusammenfassung und Implikationen ....................................................... 283
6.1 Zusammenfassung der Ergebnisse ....................................................................... 283 6.2 Implikationen für Wissenschaft und Praxis.......................................................... 284
Literaturverzeichnis......................................................................................................... 287
XIII
Abbildungsverzeichnis Abbildung 1: Komponenten der Informationstechnologie..................................................... 15 Abbildung 2: IT-(System)Landschaft ................................................................................... 16 Abbildung 3: Ebenen des Integrationsprozesses innerhalb des Unternehmens....................... 19 Abbildung 4: Übersicht der IT-Integrationsobjekte............................................................... 20 Abbildung 5: Erscheinungsformen von Unternehmenszusammenschlüssen .......................... 23 Abbildung 6: Phasen des M&A-Prozesses............................................................................ 26 Abbildung 7: Theorien von Unternehmenszusammenschluss-Motiven ................................. 28 Abbildung 8: Integrationstypen ............................................................................................ 39 Abbildung 9: Zusammenhang von Bindungsrichtung und Bindungsgrad .............................. 43 Abbildung 10: Zielhierarchie der IT-Integration ................................................................... 50 Abbildung 11: Intensitätsstufen der Anwendungsintegration ................................................ 76 Abbildung 12: Beziehung der Parameter zur Integration der IT-Landschaft .......................... 84 Abbildung 13: Aufbau des dritten Teils .............................................................................. 104 Abbildung 14: Governance, Compliance und deren Risikomanagement ............................. 108 Abbildung 15: Compliance-relevante Rechtsgebiete........................................................... 112 Abbildung 16: Einfluss gesetzlicher Rahmenbedingungen auf die Archivierung................. 120 Abbildung 17: Gesetzliche Verpflichtung zur Archivierung ............................................... 129 Abbildung 18: Anwendungslandschaft aus der Sicht steuerrelevanter Daten....................... 151 Abbildung 19: Aufbau der Gestaltungsebenen bzw. Integrationsobjekte............................. 174 Abbildung 20: Modelle zur situativen IT-Organisationsintegration..................................... 187 Abbildung 21: Einordnung der IT-Bereiche in das Gesamtunternehmen ............................. 215 Abbildung 22: Phasenmodell der IT-Integration ................................................................. 219 Abbildung 23: Schaffung des Integrationsrahmens – Integrationsphase 1 ........................... 223 Abbildung 24: Schlüsselaktivitäten der ersten Integrationsphase ........................................ 230 Abbildung 25: Ergebnisse der ersten Integrationsphase ...................................................... 231 Abbildung 26: Planung und Konzeption – Integrationsphase 2 ........................................... 239 Abbildung 27: Umsetzung und Betrieb – Integrationsphase 3 ............................................. 240 XV
Abbildung 28: Vorgehenskonzept zur GDPdU-konformen Systemablösung in Phase 1 – Schaffung des Integrationsrahmens............................................ 269 Abbildung 29: Vorgehenskonzept zur GDPdU-konformen Systemablösung in Phase 2 – Planung und Konzeption............................................................ 276 Abbildung 30: Vorgehenskonzept zur GDPdU-konformen Systemabschaltung in Phase 3 – Integrationsumsetzung und –abschluss....................................... 281
XVI
Tabellenverzeichnis Tabelle 1: Übersicht der Unternehmenszusammenschluss-Literatur........................................ 8 Tabelle 2: Hauptziele der IT-Integration............................................................................... 51 Tabelle 3: Beispielhafte positive und negative Synergien der IT-Integration......................... 54 Tabelle 4: Kurzfristige und mittel- bis langfristige Kostensenkungsmaßnahmen................... 61 Tabelle 5: Beispielhafte Übersicht des Verbesserungspotenzials........................................... 66 Tabelle 6: Merkmale/Parameter der IT-Landschaft............................................................... 75 Tabelle 7: Vorteile einer hohen und einer niedrigen Integrationsgeschwindigkeit ................. 87 Tabelle 8: Gegenüberstellung der vier Integrationsmethoden.............................................. 100 Tabelle 9: Übersicht bedeutsamer IT-Compliance-Anforderungen...................................... 126 Tabelle 10: Rechtliche Vorgaben zur elektronischen Archivierung ..................................... 128 Tabelle 11: Archivierungsanforderungen der GoB.............................................................. 132 Tabelle 12: Archivierungsanforderungen der GoBS............................................................ 135 Tabelle 13: Aufbewahrungsfristen und -formen archivierungspflichtiger Unterlagen nach Handels- und Steuerrecht..................................................... 147 Tabelle 14: Funktionale Anforderungen an die elektronische Archivierung ........................ 168 Tabelle 15: Personelle und kulturelle Konfliktpotenziale .................................................... 198 Tabelle 16: Gegenüberstellung der Integrationstechnologien .............................................. 213 Tabelle 17: Checkliste zur IT-Bestandsaufnahme ............................................................... 227 Tabelle 18: Aktivitäten des IT-Compliance-Checks............................................................ 232 Tabelle 19: Kritische Erfolgsfaktoren der IT-Integration .................................................... 244 Tabelle 20: Organisatorische und technische Umsetzungsmöglichkeiten der funktionalen Anforderungen an eine Archivierungslösung ............................. 267 Tabelle 21: Inhalt der Verfahrungsdokumentation zum Archivierungsvorgehen ................. 280
XVII
Abkürzungsverzeichnis Abs.
Absatz
AGB
Allgemeine Geschäftsbedingungen
AO
Abgabenordnung
AWV
Arbeitsgemeinschaft für wirtschaftliche Verwaltung e. V.
Bafin
Bundesaufsicht für Finanzdienstleister
BDSG
Bundesdatenschutzgesetz
BGB
Bürgerliches Gesetzbuch
BilMoG
Bilanzrechtsmodernisierungsgesetz
BPR
Business Process Reengineering
BSI
Bundesamt für Sicherheit in der Informationstechnik
CD-R
Compact Disc Recordable
CD-ROM
Compact Disc Read only Memory
CD-RW
Compact Disc Rewritable
COBIT
Control Objectives for Information and related Technology
CIO
Chief Information Officer
CPU
Central Processing Unit
DIN
Deutsches Institut für Normung
DMS
Dokumenten-Management-System
DSS
Decision-Support-System
DV
Datenverarbeitung
DVD
Digital Versatile Disc
EAI
Enterprise Application Integration
EDI
Electronic Data Interchange
EDV
Elektronische Datenverarbeitung
EIP
Enterprise Information Portal
EIS
Executive-Information-System
eEPK
Erweiterte Ereignisgesteuerte Prozesskette XIX
EPK
Ereignisgesteuerte Prozesskette
ERP
Enterprise Resource Planning
ETL
Extract, Transform, Load
FAIT
Fachausschuss für Informationstechnologie
F&E
Forschung und Entwicklung
GAufzV
Gewinnabgrenzungsaufzeichnungsverordnung
GDPdU
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
ggf.
gegebenenfalls
GIF
Graphics Interchange Format
GoB
Grundsätze ordnungsmäßiger Buchführung
GoBS
Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme
GWB
Gesetz gegen Wettbewerbsbeschränkung
HGB
Handelsgesetzbuch
IDEA
Interactive Data Extraction and Analysis
IDW
Institut der Wirtschaftsprüfer e. V.
IEC
International Electrotechnical Commission
ISCI
Information Systems Compatibility Index
ISO
International Organization for Standardization
ISO-OSI
International Standard Organisation – Open System Interconnect
IT
Informationstechnologie
KG
Kommanditgesellschaft
KonTraG
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
KWG
Kreditwesengesetz
LaA
Liste abzulösender Anwendungen
M&A
Mergers and Acquisitions
MIS
Management-Information-System
MSS
Management-Support-System
OHG
Offene Handelsgesellschaft
o. V.
ohne Verfasser
XX
PDF
Portable Document Format
PKS
Planungs- und Kontrollsystem
PMI
Post Merger Integration
PS
Prüfungsstandard
PTP
Point-to-Point
Rz.
Randziffer
SOX
Sarbanes-Oxley-Act
StGB
Strafgesetzbuch
TCP/IP
Transmission Control Protocol/Internet Protocol
TIFF
Tagged Image File Format
TKG
Telekommunikationsgesetz
TMG
Telemediengesetz
Tz.
Teilziffer
UStG
Umsatzsteuergesetz
WORM
Write once read multiple
XML
Extensive Markup Language
Ziff.
Ziffer
ZPO
Zivilprozessordnung
Z1
Zugriffsart 1
Z2
Zugriffsart 2
Z3
Zugriffsart 3
XXI
Teil 1: Einleitung IT-Integration ist heute mehr denn je ein bedeutendes Thema für viele Unternehmen. Wie eine aktuelle Studie der Unternehmensberatung Deloitte belegt, spielt die Informationstechnologie insbesondere im Rahmen von Unternehmenszusammenschlüssen eine zentrale Rolle für deutsche Großunternehmen. „Ganze 31 Prozent der IT-Projekte im Zuge einer Fusion scheitern, nur 16 Prozent können innerhalb der vorgegebenen Zeit und mit dem eingeplanten Budget abgeschlossen werden – brisant, denn die IT bildet heute oft das Fundament ganzer Geschäftsfunktionen.“1 Heilmann bezeichnet IT-Integration als einen "Dauerbrenner", da sich schon die frühe Wirtschaftsinformatik-Literatur mit dieser Thematik auseinandergesetzt hat, auch wenn sich die Inhalte, die mit dem Begriff IT-Integration in Verbindung gebracht werden, im Laufe der Jahre deutlich erweitert haben. 2 Im Rahmen dieser Arbeit soll unter IT-Integration die strategische, organisatorische und technische Zusammenführung verschiedener IT-Bereiche und Systemlandschaften verstanden werden. Gegenwärtig gewinnt diese Thematik zunehmend an Relevanz. Die Konsolidierung der betrieblichen Anwendungssysteme stellt den Kern einer umfangreicheren IT-Integration dar. Die Vereinheitlichung der sogenannten Enterprise Resource Planning (ERP) Systeme3 wurde von der Management- und IT-Beratung Capgemini in einer aktuellen Umfrage als einer der wichtigsten IT-Trends der Anwenderunternehmen identifiziert.1 Bei zunehmend globaler Geschäftstätigkeit steigt die Forderung der Unternehmen nach harmonisierten und zugleich flexiblen IT-Systemlandschaften. Die Systeme sollten in der Lage sein, Geschäftsprozesse effizient und unternehmensweit so einheitlich wie möglich abzubilden und dabei die Anwender effektiv und so individuell wie nötig zu unterstützen. Um auf sich verändernde Marktgegebenheiten reagieren und neue Konzepte zeitnah umsetzen zu können, muss die IT-Strategie überdacht und eine Integration der Unternehmens-IT vorangetrieben werden. Darüber hinaus gewinnt der Einfluss gesetzlicher Vorschriften auf den Einsatz der IT in Unternehmen zunehmend an Bedeutung. Die Einführung der digitalen Betriebsprüfung ist ein 1 2 3
Deloitte (2008), S. 1. Vgl. Heilmann, H. (2007), S. 4. Ein ERP-System ist ein integriertes betriebswirtschaftliches Softwarepaket, welches die wesentlichen Geschäftsprozesse eines Unternehmens unterstützt. In der Regel handelt es sich bei den eingesetzten ERPSystemen um Standardsoftwarelösungen. Standardsoftware wird für die Verwendung bei vielen Unternehmen entwickelt und ist daher durch Customizing an die individuellen Anforderungen der Unternehmen anzupassen. ERP-Systeme dienen der Planung und Optimierung des Ressourceneinsatzes im Unternehmen und stellen den Anwendern funktionsbezogene, entscheidungsrelevante Informationen bereit. Vgl. Hansmann, K.-W. (2006), S. 154; vgl. Kor, A. (2002), S. 1521; vgl. Jacob, O. (2008), S. V; vgl. Strahringer, S.; Gmeiner, R. (2004), S. 95.
J. M. Guggenberger, Aufbau und Ablauf einer IT-Integration, DOI 10.1007/978-3-8349-8920-8_1, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2010
1
Beispiel dafür. Dennoch finden rechtliche Belange in IT-Integrationsprozessen nur sehr selten Beachtung. Aus diesem Grund soll in der vorliegenden Arbeit ein Ansatz entwickelt werden, der seinen Fokus auf die rechtlichen Aspekte der IT-Integration legt. Eine Zusammenführung von Anwendungslandschaften geht in der Regel mit der Ablösung von Anwendungssystemen einher. Dieser Umstand macht die Berücksichtigung rechtlicher Archivierungsanforderungen erforderlich. Die gesetzlichen Regelwerke sind in diesem Bereich sehr undurchsichtig und verwirrend. Bisher besteht kaum Transparenz darüber, welche konkreten Konsequenzen die rechtlichen Archivierungsanforderungen auf den Einsatz der Unternehmens-IT haben. Die wissenschaftliche Forschung bietet der Unternehmenspraxis zur Erfüllung der verschiedenen gesetzlichen Vorgaben bislang kaum Hilfestellung. Daher sollen die Anforderungen strukturiert und ein Konzept entworfen werden, das den Integrationsansatz in diesem Punkt konkretisiert und klare Lösungswege aufzeigt. Im Folgenden werden zunächst die Motivation und das Ziel der vorliegenden Arbeit dargestellt und der Stand der Forschung auf diesem Themengebiet erläutert. Anschließend wird die konkrete Forschungsfrage definiert und eine thematische Abgrenzung vorgenommen. Schließlich wird eine geeignete Forschungsmethode für die Auseinandersetzung mit der Thematik gewählt und letztlich der Gang der Untersuchung beschrieben.
1.1
Motivation der Arbeit
Die Informationstechnologie und deren Leistungsfähigkeit spielt eine entscheidende Rolle für den Geschäftserfolg vieler Unternehmen. Insbesondere bei der Integration von Unternehmen oder einzelnen Geschäftsbereichen ist die Berücksichtigung der IT unabdingbar. Für die Erreichung der durch das Management definierten Synergieziele ist die IT von herausragender Relevanz, da ihr eine Doppelrolle zukommt.2 Zum einen fungiert die IT als entscheidender Synergiehebel: Eine effiziente IT-Integration ist eine grundsätzliche Voraussetzung für die Ausschöpfung der Synergiepotenziale in den verschiedenen Funktionsbereichen des Unternehmens, wie beispielsweise im Vertrieb oder in der Finanzbuchhaltung.3 Zum anderen ist die IT auch eine wesentliche Synergiequelle und damit selbst aufgefordert, im Rahmen der Integration zum Beispiel durch die Zusammenführung des IT-Betriebs und die Konsolidierung der Anwendungslandschaften deutliche Einsparungen zu erwirken.4 In fast allen Branchen werden die Geschäftsprozesse von Informationstechnologie durchdrungen. Das Banken- und Versicherungsgeschäft ist heute praktisch ein reines Informationsge-
1
Vgl. Schaffry, A. (2007), S. 1. Vgl. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007), S. 63; vgl. Rigall, J.; Hornke, M. (2007), S. 496. 3 Vgl. Rigall, J.; Hornke, M. (2007), S. 496. 4 Vgl. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007), S. 64. 2
2
schäft.1 Erst durch die Zusammenführung und Vereinheitlichung der IT-gestützten Geschäftsprozesse2 sowie der betrieblichen Anwendungssysteme ist es möglich, die bei einer Integration angestrebten Synergiepotenziale auszuschöpfen. Heterogene Systemlandschaften sind in vielen Unternehmen das Ergebnis einer über Jahre gewachsenen Architektur der Informationstechnologie. Zahlreiche Schnittstellen und Medienbrüche verhindern eine schnelle und fehlerfreie Informationsverarbeitung und führen zu unübersichtlichen und inflexiblen IT-Landschaften.3 Somit bieten diese heterogenen Systemlandschaften von sich aus eine Fülle von Einsparungspotenzialen. Ein Aspekt, der bei der Integration von IT-Systemlandschaften sehr oft vernachlässigt wird, ist die Berücksichtigung der gesetzlichen Vorschriften, die Einfluss auf den Einsatz der Informationstechnologie nehmen. Die IT-Verantwortlichen eines Unternehmens stehen vor der Aufgabe, die Unternehmensleitung durch den gezielten Einsatz der IT-Ressourcen bei der Erreichung strategischer Unternehmensziele zu unterstützen und dabei die IT-Systeme rechtskonform zu betreiben. Die Neustrukturierung und Zusammenführung verschiedener Systemlandschaften birgt somit neben einer Vielzahl von technischen Problemen ebenfalls eine Reihe von rechtlichen Problemen in sich. Die IT-Compliance4 verschärft daher die Anforderungen an eine IT-Integration: Die Auslegung gesetzlicher Vorschriften durch Behörden und Verbände führt zu konkreten Anforderungen an die Ausgestaltung von IT-Systemen und IT-Prozessen.5 Durch die Integration der Informationstechnologie eines oder mehrerer Unternehmen wird eine neue Situation geschaffen, die eine erneute oder zum Teil erstmalige Berücksichtigung dieser Forderungen notwendig macht. Diese gesetzlichen Vorschriften sollten grundsätzlich in allen IT-Projekten Berücksichtigung finden, dennoch wird ihnen insbesondere bei Integrationsprojekten zu wenig Aufmerksamkeit geschenkt. Dies ist typischerweise darauf zurückzuführen, dass man bei einer IT-Integration der grundsätzlichen Auffassung ist, dass IT-Systeme und IT-Prozesse im Integrationsprozess lediglich geändert und angepasst und nicht von Grund auf erneuert werden. Regulatorische Anforderungen treten somit in den Hintergrund, da sie gewöhnlich bereits bei der Einführung der bestehenden IT-Systeme beachtet worden sind. Bei einer ITIntegration wird jedoch fast immer die Abschaltung von Altsystemen angestrebt, was die Berücksichtigung gesetzlicher Archivierungsvorschriften notwendig macht. Aus diesem Grund sollen in dieser Arbeit die rechtlichen Anforderungen an die elektronische Archivie-
1
Vgl. Penzel, H.-P. (1999), S.105; vgl. Hübner, H. (1996), S. 7. Unter einem Geschäftsprozess wird eine zusammenhängende abgeschlossene Abfolge von Tätigkeiten verstanden, die der Erfüllung von betrieblichen Aufgaben dient. Vgl. Staud, J. (2001), S. 6; vgl. Scheer, A.W. (1998), S. 3. 3 Vgl. Oswald, O. (2003); S. 2. 4 Unter IT-Compliance versteht man die Einhaltung und Umsetzung von gesetzlichen Vorschriften beim Einsatz von Informationstechnologien. Vgl. Rath, M. (2006), S. 2. Siehe hierzu genauer Abschnitt 3.2.2. 5 Vgl. hierzu und im Folgenden Greipl, D. (2007), S. 47. 2
3
rung und speziell die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), die am 1.1.2002 in Kraft getreten sind, hervorgehoben werden. Die Einhaltung der GDPdU bringt umfangreiche Archivierungsanforderungen mit sich und erfordert entsprechende Prozessanpassungen, die innerhalb des Integrationsprozesses von der Entwicklung des Integrationskonzeptes bis hin zur letztendlichen Datenmigration unbedingt beachtet werden sollten. Empirische Untersuchungen in den USA belegen, dass innerhalb von fünf Jahren über die Hälfte der Unternehmenszusammenschlüsse scheitern.1 Verschiedene Studien von Unternehmensberatungen und Wissenschaftlern in Europa und Deutschland haben ebenfalls Misserfolgsquoten von 50-80 % ermittelt.2 Die Gründe liegen fast ausschließlich im mangelhaften Integrationsmanagement.3 Diese Erkenntnis lässt sich auch auf Integrationsaktivitäten innerhalb des Unternehmens übertragen, da interne Integrationsvorhaben in der Regel ähnliche Ziele verfolgen und der Erfolg der Umstrukturierungsmaßnahmen ähnlichen Voraussetzungen unterworfen ist.4 Unabhängig davon, ob eine interne Restrukturierung oder ein Unternehmenszusammenschluss der Auslöser einer IT-Integration ist, handelt es sich dabei um eine hochkomplexe Herausforderung. Ein umfangreiches IT-Integrationsprojekt, beispielsweise nach dem Zusammenschluss von Großunternehmen, stellt IT-Projekte wie die Jahr-2000-Umstellung, die Euro-Einführung oder eine ERP-Systemeinführung in den Schatten und nimmt eine viel größere Dimension an.5 Unter IT-Projekten werden hier in erster Linie solche Projekte verstanden, bei denen eine Entwicklung oder Anpassung der IT-Landschaft im Mittelpunkt steht. Ein Projekt wird dabei als ein einmaliges Vorhaben definiert, bei dem ein Projektleiter unterstützt durch ein Projektteam innerhalb einer festgelegten Zeitspanne beauftragt wird, ein eindeutig beschriebenes Ziel zu erreichen.6 Die Vielzahl an Managementseminaren und Kongressen zu verschiedenen Aspekten der ITIntegration zeigt, dass die Bedeutung dieser Thematik von den Unternehmen bereits erkannt wird und man sich durch Erfahrungsberichte und Empfehlungen Unterstützung bei der Bewältigung dieser Aufgabenstellung wünscht. Die bereits erwähnte Komplexität eines ITIntegrationsprojektes ist im Wesentlichen bedingt durch den Umfang der zu integrierenden Geschäftsprozesse, welche durch über Jahre gewachsene Anwendungslandschaften, eine Vielzahl von Schnittstellen und eine oftmals uneinheitlich gestaltete Infrastruktur unterstützt
1
Vgl. Picot, G. (2005b), S. 449. Vgl. hierzu einen Überblick bei Jansen, S. A. (2001), S. 244. 3 Vgl. Deloitte (2000), S. 3 ff; Ernst & Young (2006), S. 8 ff. 4 Vgl. Rathjen, P. (2006), S. 437. 5 Vgl. Penzel, H.-G. (1999), S. 105. 6 Siehe DIN 69901; vgl. Kupper, H. (1993), S. 19 ff. 2
4
werden.1 Bei der Integration der IT-Landschaften sind verschiedenste Anforderungen zu beachten. Die Zusammenführung der IT-Organisation macht zudem die Berücksichtigung organisatorischer, personeller und kultureller Aspekte notwendig. Darüber hinaus erfordert ein ganzheitlicher Ansatz die Betrachtung der Strategieanpassung als Ursprung der Integrationsaktivitäten und die Einbeziehung der internen und externen Anwender. Viele IT-Integrationsvorhaben erfüllen nicht die in sie gesetzten Erwartungen, was auf die Unterschätzung der menschlichen und kulturellen Aspekte sowie der Komplexität der Aufgabenstellung zurückgeführt wird.2 Das wiederum bedeutet, dass der Aufgabenumfang von den Verantwortlichen nicht beherrscht wird. Die vorliegende Arbeit möchte den Verantwortlichen ein theoretisch fundiertes und praktisch anwendbares Instrument zur Seite stellen. Denn nur durch eine strukturierte und schrittweise Vorgehensweise lässt sich die Fülle der Anforderungen transparent darstellen und anschließend gezielt und koordiniert umsetzen. Die Integrationsaktivitäten werden so auf ein überschaubares Maß reduziert. Da sich der komplexe IT-Integrationsprozess nicht schon zu Beginn des Integrationsprojektes als Ganzes planen lässt, soll in dieser Ausarbeitung ein Modell für ein schrittweises Vorgehen entwickelt werden. Das Modell gibt dabei an, wie die Prinzipien, Methoden, Verfahren und Werkzeuge der IT-Integration einzusetzen sind. Die Beachtung gesetzlicher Anforderungen und insbesondere der Anforderungen an die elektronische Archivierung werden hierbei in den Vordergrund gestellt. Um Affekthandlungen zu minimieren, bietet sich ein mehrstufiges systematisches Vorgehen an. Dabei können die beabsichtigten Einsparungs- und Synergiepotenziale bzw. die angestrebten Qualitätsverbesserungen realisiert und die komplizierte Integration der IT-Landschaften gesetzeskonform gestaltet werden, ohne die aufbau- und ablauforganisatorischen Aspekte der IT-Bereichszusammenführung sowie die Anforderungen der Anwender aus den Augen zu verlieren. Daher soll ein mehrphasiges Modell entwickelt werden, in dessen Phasen sich ein Vorgehenskonzept zur GDPdU-konformen Systemablösung einfügt. IT-Verantwortliche werden bei einer IT-Integration oftmals vor eine vollkommen neue Aufgabe gestellt. Insbesondere bei Unternehmenszusammenschlüssen müssen sie plötzlich ohne Einarbeitungszeit ein Integrationsprojekt durchführen, auf das sie in den seltensten Fällen in ihrem bisherigen Berufsleben vorbereitet wurden.3 Zudem haben sich die wenigsten Integrationsverantwortlichen zuvor mit den gesetzlichen Archivierungsanforderungen auseinandergesetzt. Bei der Integration der Informationstechnologie handelt es sich um einen sehr individuellen Prozess, innerhalb dessen enge Wechselbeziehungen zwischen den verschiedenen Parametern der IT-Integration bestehen und somit ist keine IT-Integration wie die andere.
1
Vgl. Lauritzen, S. (2000), S. 20. Vgl. Lauritzen, S. (2000), S. 22. 3 Vgl. Reuß, A.; Fill, C.; Fritsch, W. (1999), S. 26. 2
5
Jedes Integrationsprojekt hat seine Eigenarten und unterscheidet sich von anderen IT-Integrationsvorhaben. Dennoch lassen sich gewisse typische Problemstellungen identifizieren, die in ihrem grundlegenden Muster immer wieder auftreten. Deshalb soll im weiteren Verlauf versucht werden, die wesentlichen Anforderungen und Stellschrauben herauszuarbeiten, auf Stolpersteine und Fallstricke aufmerksam zu machen und mit Hilfsmitteln wie Aktivitätenkatalogen und Checklisten sowie konkreten Handlungsempfehlungen die IT-Integration zu einer beherrschbaren, koordinierbaren und kontrollierbaren Aufgabenstellung werden zu lassen. Dadurch kann das hochkomplexe Integrationsvorgehen signifikant erleichtert werden. Eine spontane und nicht fundierte Entwicklung dieser Instrumente kann in der Praxis zu Unsicherheit führen und den Integrationserfolg gefährden. Nur durch ein systematisches und konsequentes Vorgehen, das den komplexen und interdisziplinären Anforderungen einer ITIntegration Rechnung trägt, können Risiken erkannt und das vorhandene Potenzial ausgeschöpft werden. Auf die Einhaltung gesetzlicher Vorgaben wird dabei in dieser Arbeit besonderes Augenmerk gelegt. Aus diesem Grund sollen die gesetzlichen Anforderungen an die elektronische Archivierung zusammengefasst und strukturiert werden, um die jeweiligen Konsequenzen ableiten, Lösungsmöglichkeiten erarbeiten und ein Konzept zur GDPdU-konformen Systemablösung entwickeln zu können. Hierbei gilt es, den entsprechenden Handlungsbedarf einer jeden Phase des Integrationsprozesses aufzuzeigen. Dadurch lassen sich die relevanten Anforderungen rechtzeitig berücksichtigen, eine unter Zeitdruck erfolgende Analyse gesetzlicher Vorgaben sowie eine überstürzte Auseinandersetzung mit Umsetzungsalternativen vermeiden und die Synergiepotenziale durch Systemabschaltungen zeitnah realisieren.
1.2
Stand der Forschung
Dieser Abschnitt fasst den Stand der wissenschaftlichen Forschung zu den Themengebieten "IT-Integration" und "rechtliche Archivierungsanforderungen" zusammen. Anschließend wird die bestehende Forschungslücke aufgezeigt, zu deren Schließung die vorliegende Arbeit einen Beitrag leisten soll. Die Phase der Integration wird in der Literatur zu Unternehmenszusammenschlüssen ausführlich behandelt.1 Der Integrationsprozess wird dabei überwiegend aus betriebswirtschaftlicher und juristischer Sicht betrachtet. Vorrangig wird auf die Überwindung kultureller Barrieren, das Synergiemanagement und das Beteiligungscontrolling eingegangen. Aspekte der IT werden nur oberflächlich berücksichtigt.2
1 2
6
Vgl. Brüning, I.; Pedain, C.; Deaslay, P.J. (2002), S. 138. Vgl. Vielba, F.; Vielba, C. (2006), S. 6; vgl. Brüning, I.; Pedain, C.; Deaslay, P.J. (2002), S. 139.
Bei der Literaturauswahl zu dem Themenbereich der IT-Integration wird für die vorliegende Arbeit auf die Ausgangssituation eines Unternehmenszusammenschlusses der Schwerpunkt gelegt, da hierbei grundsätzlich die Anforderungen an eine IT-Integration am höchsten sind. Das hat verschiedene Ursachen: Die Realisierung der erwarteten Synergieeffekte hängt zu etwa 50 % von der Integration der IT-Systeme ab.1 Und weiterhin ist ca. die Hälfte der typischen Projekte infolge eines Unternehmenszusammenschlusses an die IT-Integration gekoppelt.2 Der zeitliche Druck für die Integration der IT ist bei Unternehmenszusammenschlüssen deutlich höher als bei einer rein strategischen Entscheidung für eine IT-Integration. Zudem haben drei Viertel der Unternehmen im Rahmen von Unternehmenszusammenschlüssen Schwierigkeiten bei der Integration der IT.3 Die Tabelle 1 listet beispielhafte Literatur aus dem Themengebiet der Unternehmenszusammenschlüsse seit 1989 auf und segmentiert sie in drei Kategorien: •
Allgemeine Literatur zur Unternehmenszusammenschlussproblematik
•
Literatur zum Integrationsmanagement
•
Literatur zur IT-Integrationsthematik
Es fällt auf, dass die wissenschaftliche Unternehmenszusammenschluss-Literatur der Informationstechnologie nach wie vor eine nachrangige Bedeutung beimisst, während Unternehmenszusammenschlüsse im allgemeinen und auch andere Vertiefungsgebiete, welche in der Tabelle nicht aufgeführt sind, wie beispielsweise die Integration von Unternehmenskulturen, sehr ausführlich behandelt werden. Darüber hinaus wird deutlich, dass sich die wissenschaftliche Literatur zur IT-Integration im Rahmen von Unternehmenszusammenschlüssen bisher nicht mit den damit verbundenen rechtlichen Aspekten auseinandersetzt. Die wenigen wissenschaftlichen Beiträge mit dem Fokus der IT-Integration haben eher einen theoretischen Charakter. Über diese erste Übersicht der Tabelle 1 hinaus gibt es zu der Herausforderung der IT-Integration in Bezug auf personelle, organisatorische, kulturelle oder technische Aspekte zahlreiche Artikel und Beiträge aus der Unternehmenspraxis, auf die bei der Modellentwicklung zurückgegriffen wird.4
1
Vgl. Meier, A.; Spang, S. (2000), S. 7 f.; vgl. Rigall, J.; Hornke, M. (2007), S. 496; vgl. Vielba, F.; Vielba, C. (2006), S. 15. 2 Vgl. Papathanassis, A. (2004), S. 42. 3 Vgl. PriceWaterhouseCoopers (1999), S. 3. 4 Siehe hierzu die Ausführungen im zweiten und vierten Teil sowie die dort angegebene Literatur. 7
Allgemein M&A
Integrationsmanagement
IT-Integrationsmanagement
Balz, U.; Arlinghaus, O. (Hrsg.), Praxisbuch M&A, 2003;
Büttgenbach, M., Integration, 2000;
Herold, J. T., Eine strategische Controllingkonzeption, 2003;
Bamberger, B., Unternehmensakquisitionen, 1994; BenDaniel, D. J.; Rosenbloom, A. H.; Hanks Jr., J. J., International M&A, 2002; Budzinski, O.; Kerber, W., Megafusionen, 2003; DePamphilis, D. M., M&A and other Restructuring Activities, 2005; Devine, M., Successful Mergers, 2002;
Clever, H., Post-MergerManagement, 1993; Dabui, M., Postmerger-Management, 1998;
Kromer, G., Integration der Informationsverarbeitung, 2001;
Gerpott, G.J., Integrationsgestaltung, 1993;
Papathanassis, A., Post-Merger Integration and Management of Information and Communication Systems, 2004;
Grewe, A.-K., Integration akquirierter Unternehmen, 2004;
Robert, J., IT-Systemintegration bei Unternehmensfusionen, 2002;
Grüter, H., Bausteine eines Integrationsmanagements, 1991;
Rentrop, C. E., Informationsmanagement in der Post-Merger Integration, 2004;
Habeck, M. M.; Kröger, F.; Träm, M. R., After the Merger, 2000;
Frank, G.-M.; Stein I., (Hrsg.) Management von Unternehmensakquisitionen, 1993;
Scott Morton, M. S., The Corporation of the 1990s, 1991;
Hermsen, C., Integrationsmanagement, 1994;
Vielba, F.; Vielba, C., Reducing the M&A Risk, 2006;
Gaughan, P. A., Mergers, Acquisitions, and Restructurings, 2002;
von Hoyningen-Huene, J., Integration, 2004;
u. a.
Haspeslagh, P.C.; Jemison, D.B., Akquisitionsmanagement, 1992;
Metz, M., Controlling des Integrationsprozesses, 2002;
Jansen, S.A., M&A, 2001;
Paprottka, S., Integration, 1996;
Jung, W., Praxis des Unternehmenskaufs, 1993;
Penzel, H.-G.; Pietig, C., Mergerguide, 2000;
Picot, A.; Nordmeyer, A.; Pribilla, P. (Hrsg.), Management von Akquisitionen, 2000;
Schäfer, M., Integrationscontrolling, 2001;
Picot, G. (Hrsg.), Handbuch M&A, 2005; Sautter, M. T., Strategische Analyse von Unternehmens-akquisitionen, 1989;
Scheiter, D., Integration akquirierter Unternehmungen, 1989; Schuster, M., Integration von Organisationen, 2005; Sommer, S., Integration akquirierter Unternehmen, 1996;
Sherman, A. J.; Hart, M. A., M&As from A to Z, 2006;
Strohmer, M. F., Integration nach M&A, 2001;
Spickers, J., Unternehmenskauf, 1995;
u. a.
Steinöcker, R., M&As, 1998; Strohmer, M. F., Internationale M&As, 2005; Vogel, D. H., M&A, 2002; Wirtz, B. W., M&A Management, 2003; Wirtz, B. W. (Hrsg.), Handbuch M&A Management, 2006; u. a.
Tabelle 1: Übersicht der Unternehmenszusammenschluss-Literatur Quelle: eigene Darstellung1
1
8
Tabelle 1 listet die Titelzum Teil verkürzt auf.
Zusammenfassend muss der Kenntnisstand der wissenschaftlichen Forschung zur Integration der Informationstechnologie im Rahmen von Unternehmenszusammenschlüssen als unbefriedigend bezeichnet werden.1 Diese Tatsache ist erstaunlich, da eine Studie der Unternehmensberatung Accenture ergeben hat, dass eine erfolgreiche Integration der IT einen entscheidenden Beitrag zum Erfolg eines Unternehmenszusammenschlusses leistet. 2 Einer Kurzstudie von SAP aus dem Jahr 2004 folgend, starten große Unternehmen in Deutschland im Schnitt alle sechs Monate ein umfangreiches Integrationsprojekt.3 Doch auch unabhängig von Unternehmenszusammenschlüssen findet die IT in der Literatur zum Integrationsmanagement noch immer sehr selten Beachtung. Die vorhandene WirtschaftsinformatikLiteratur beschäftigt sich im Wesentlichen mit technischen Lösungen zur Integration der betrieblichen Anwendungssysteme oder der IT-Infrastruktur.4 Eine ganzheitliche Betrachtung der Zusammenführung von IT-Strategie, IT-Organisation, IT-Landschaft und Anwender existiert bisher nicht. Allgemeine rechtliche Anforderungen an die Integration der IT werden in der wissenschaftlichen Literatur kaum berücksichtigt. Die steigende Bedeutung sowie die anhaltende Vernachlässigung rechtlicher Vorgaben und insbesondere der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen durch die betroffenen Unternehmen werden in vielen Wirtschaftsartikeln immer wieder betont. Dennoch finden auch spezifische rechtliche Aspekte wie die GDPdU und die daraus resultierenden Anforderungen an die Unternehmens-IT bisher kaum Beachtung in der wissenschaftlichen Forschung. Eine Verknüpfung der beiden Themenbereiche IT-Integration und Anforderungen aus den GDPdU an die IT fand bislang in dem gerade einmal acht Seiten umfassenden Beitrag „Compliance-Anforderungen an Integrations- und Migrationsprojekte“ von Greipl statt.5 Es besteht somit eine deutliche Diskrepanz zwischen der Bedeutung rechtlicher Aspekte einer IT-Integration in der Praxis und dem Kenntnisstand der Forschung im Allgemeinen sowie im speziellen Kontext dieser Arbeit. Es fehlen ein ganzheitlicher Ansatz sowie eine theoretisch fundierte Auseinandersetzung mit den gesetzlichen Anforderungen an die IT im Rahmen von IT-Integrationsprojekten, welche der gegenwärtigen Unternehmenspraxis befriedigende Erklärungsansätze zur Ableitung von konkreten Handlungsempfehlungen liefern können. Die wissenschaftliche Forschung kann den Unternehmen bis heute in diesem Punkt kaum Hilfestellung geben. Mit dem vorliegenden Forschungsvorhaben soll ein weiterer Beitrag zur Schließung der bestehenden Forschungslücke geleistet werden.
1
Vgl. Kromer G.; Stucky, W. (2002), S. 524. Vgl. Accenture (2002), S. 2 ff. 3 Vg. SAP (2004), S. 5. 4 Vgl. Schelp, J.; Winter, R. (2006), S. V. 5 Vgl. Greipl, D. (2007), S. 47 ff. 2
9
1.3
Aufgabenstellung und Themenabgrenzung
Ziel der Arbeit ist, ein theoretisch fundiertes und praktisch anwendbares Phasenmodell für den Aufbau und den Ablauf der IT-Integration unter Beachtung rechtlicher Archivierungsanforderungen in Form eines Vorgehenskonzeptes zu entwickeln. Das Modell sollte alle Phasen und Parameter enthalten, die den Integrationsablauf bzw. die Integrationsentscheidungen maßgeblich beeinflussen. Realisiert werden soll das Ziel in zwei Schritten: Im ersten Schritt erfolgt zum einen die Untersuchung der existierenden wissenschaftlichen Konzepte, welche Erfahrungen und Schlussfolgerungen über die Integration der Informationstechnologie beinhalten, und zum anderen eine Analyse der rechtlichen Anforderungen, die sich bei einer IT-Integration aus den gesetzlichen Vorschriften ergeben. Im zweiten Schritt sollen die gewonnenen Erkenntnisse zum einen für den Modellaufbau zusammengeführt werden und zum anderen als Basis für die Entwicklung von Lösungsalternativen und einem Vorgehenskonzept genutzt werden. Aus der grundsätzlichen Zielsetzung wird eine konkrete Forschungsfrage abgeleitet: Wie kann ein ganzheitliches Modell des IT-Integrationsprozesses unter Berücksichtigung gesetzlicher Anforderungen an die Archivierung aussehen? Die Fragestellung soll durch die Unterteilung in sechs Teilfragen spezifiziert werden: Welche Parameter und Rahmenbedingungen beeinflussen eine IT-Integration? Welche gesetzlichen und innerbetrieblichen Anforderungen an die elektronische Archivierung sind speziell im Rahmen der IT-Integration zu berücksichtigen? Welche Aspekte sind zu berücksichtigen, um einen ganzheitlichen IT-Integrationsansatz zu entwickeln, der die IT-Strategie, die IT-Organisation, die IT-Landschaft und die Anwender einbezieht? Welche Erkenntnisse lassen sich aus der Literatur gewinnen und für die einzelnen Phasen des Modells nutzbar machen? Welche praktischen Hilfestellungen lassen sich für die Einhaltung rechtlicher Vorgaben im IT-Integrationsprozess entwickeln? Welche praxisorientierten Lösungswege zur Erfüllung der gesetzlichen Anforderungen an die elektronische Archivierung bei der IT-Integration lassen sich für ein Vorgehenskonzept ableiten? Allgemeine betriebswirtschaftliche, steuerliche und juristische Aspekte eines Integrationsprojektes werden im Rahmen dieser Arbeit nicht behandelt. Diese Themenkomplexe wurden in der wissenschaftlichen Literatur bereits ausführlich beschrieben. Sehr wohl betrachtet wer-
10
den betriebswirtschaftliche, steuerliche und vor allem juristische Aspekte, die den Einsatz der Informationstechnologie betreffen. Dabei bezieht sich diese Arbeit ausschließlich auf Anforderungen nach deutschem Recht für privatwirtschaftliche Unternehmen. Die zu untersuchenden Archivierungsanforderungen gelten somit für digitale Daten, die von den deutschen Behörden als steuerlich relevant angesehen werden. Aufbewahrungspflichten des öffentlichen Sektors werden nicht betrachtet. Forschungsgegenstand ist dabei der interne Integrationsprozess innerhalb eines Unternehmens bzw. mehrerer Unternehmen im Fall eines Unternehmenszusammenschlusses. Klar ausgegrenzt wird die Thematik der Integration von externen Marktteilnehmern beispielsweise durch die Einführung eines elektronischen Datenaustausches mit Geschäftspartnern. Die vorliegende Arbeit befasst sich mit der Phase der Integration, somit werden gegebenenfalls vorgelagerte Phasen bewusst ausgegrenzt. Die Integration von zwei Integrationsparteien steht im Vordergrund der Betrachtung, die Erkenntnisse sind jedoch auf die Integration mehrerer Integrationsparteien übertragbar.
1.4
Vorgehensweise und Gang der Untersuchung
Entsprechend der formulierten Forschungsfragen liegt der Erkenntnisfortschritt der vorliegenden Arbeit in den folgenden Punkten: 1. Gewinnung eines theoretischen Bezugsrahmens für das IT-Integrationsmanagement zur Strukturierung von Teilaktivitäten innerhalb des Integrationsprozesses. (Teil 2) 2. Theoretische Grundlegung der gesetzlichen Aufbewahrungspflichten steuerrelevanter Unterlagen und Aufbereitung der Anforderungen für den Einsatz von Informationstechnologie. (Teil 3) 3. Zusammenführung der theoretischen Grundlagen und Entwicklung eines Phasenmodells zur IT-Integration, das die Einhaltung gesetzlicher Vorgaben in den Vordergrund stellt. (Teil 4) 4. Ableitung praktischer Umsetzungsmöglichkeiten und Entwicklung eines praxisorientierten Vorgehenskonzeptes zur gesetzeskonformen Systemablösung innerhalb des Integrationsprozesses. (Teil 5) Im Rahmen der betriebswirtschaftlichen Forschung werden Theorien, Modelle, Instrumente und Methoden entwickelt, um dem Management bei der Unternehmensführung Hilfestellung zu leisten.1 Jetzt ist das geeignete Forschungsvorgehen zur Beantwortung der formulierten Forschungsfrage festzulegen. Dabei stehen drei alternative Vorgehensweisen zur Auswahl: die Durchführung einer empirischen Erhebung, die Untersuchung von Fallstudien oder eine theoretische Analyse.
11
Die Untersuchung mittels einer breiten empirischen Erhebung scheidet aus, da die zeitlichen und sachlichen Rahmenbedingungen keine repräsentative Stichprobe ermöglichen. Obwohl die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen bereits 2002 in Kraft getreten sind, setzen sich viele Unternehmen erst jetzt mit der Umsetzung der entsprechenden Anforderungen auseinander. Erschwerend kommt hinzu, dass die Begrifflichkeiten auf den Forschungsgebieten der IT-Integration und der IT-Compliance nicht klar und einheitlich definiert sind, und somit die Fragestellungen bei einer Fragebogenerhebung unterschiedlich interpretiert werden würden. Die qualitative Fallstudienanalyse scheidet aus, da eine theoretisch fundierte Auseinandersetzung mit den neuen gesetzlichen Anforderungen an die elektronische Archivierung, die ein wesentliches Element dieser Arbeit ist, bisher nicht stattgefunden hat. Somit könnte ein allgemeingültiges und eindeutiges Fallstudiendesign nicht entwickelt werden, da die theoretischen Grundlagen fehlen. Bislang ist die Thematik gesetzlicher Aufbewahrungserfordernisse digitaler Unterlagen geprägt durch eine unzureichende wissenschaftliche Erkenntnis, fehlende Genauigkeit und Widersprüchlichkeiten. Diese Tatsache macht als ersten Schritt eine theoretische Aufbereitung der Problemstellung erforderlich. Insbesondere um diese Form der theoretischen Modellentwicklung vorzunehmen und dabei die komplexen Zusammenhänge sowie die verschiedenen Anforderungen und Rahmenbedingungen zu beachten, wird somit eine theoretische Analyse als geeignetes Forschungsvorgehen ausgewählt. Die Erkenntnisse können dann in folgenden Arbeiten empirisch überprüft und erweitert werden. Diese Arbeit möchte die wissenschaftliche Literatur mit dem Schwerpunkt der IT-Integration dahingehend ergänzen, dass sie theoretisch fundiert die aktuellen Kenntnisse und Modelle weiterentwickelt und dabei speziell die Compliance-Anforderungen berücksichtigt. Da die Integration der IT in der Regel mit der Ablösung von Anwendungssystemen verbunden ist, wird auf die Beachtung der Aufbewahrungspflichten digitaler Unterlagen ein Schwerpunkt gelegt. Es ist also ein Ziel der Arbeit, Strukturen auf Basis theoretischer Forschung zu entdecken und damit die bisher wenigen wissenschaftlichen Beiträge auf dem Arbeitsstand der aktuellen Forschung zu ergänzen. Es soll ein Modell entwickelt werden, welches ein strukturiertes Vorgehen zur gesetzeskonformen IT-Integration ermöglicht und durch ein Konzept zur GDPdU-konformen Systemabschaltung ergänzt wird. Hierzu wird nach diesem einleitenden Teil im zweiten Teil der vorliegenden Arbeit auf die Relevanz der IT-Integration eingegangen, dabei werden die Motive und Ziele sowie gegebene und gestaltbare Parameter einer IT-Integration beleuchtet.
1
Vgl. Ulrich, H. (1984), S. 193.
12
Der dritte Teil ist eine intensive Auseinandersetzung mit gesetzlichen Vorschriften, die sich auf den Einsatz der IT beziehen und speziell bei IT-Integrationen von Bedeutung sind. Hier werden aus rechtlichen und regulativen Vorschriften sowie unternehmensinternen Zielsetzungen die grundlegenden Anforderungen an die Aufbewahrung digitaler Unterlagen herausgearbeitet. Damit stellt dieser Teil ein Kernstück zur Differenzierung gegenüber allgemeinen Arbeiten zur IT-Integration dar. Im vierten Teil der Arbeit wird die gewonnene Strukturierung von Aktivitäten und Einflussfaktoren des Integrationsprozesses mit den erarbeiteten Compliance-Aspekten verknüpft und ein theoretisches Modell hergeleitet, das den Aufbau und die Phasen des Ablaufs der ITIntegration beschreibt. Dabei werden als Bestandteil des Phasenmodells spezielle Aktivitätenkataloge zur Berücksichtigung rechtlicher Anforderungen erarbeitet. Im fünften Teil werden Umsetzungsalternativen zur Erfüllung der gesetzlichen Archivierungsanforderungen entwickelt und das Phasenmodell um ein schrittweises Vorgehenskonzept zur GDPdU-konformen Systemablösung erweitert. Der letzte Teil dieser Arbeit fasst die Implikationen der Forschungsarbeit zusammen und liefert einen gestaltungsorientierten Ausblick für Wissenschaft und Praxis.
13
Teil 2: Zur Relevanz und Komplexität der IT-Integration In diesem Teil der Arbeit wird eine theoretische Grundlegung vorgenommen. Zu diesem Zweck erfolgt im ersten Abschnitt eine terminologische Abgrenzung der für diese Arbeit relevanten Begriffe der Informationstechnologie. Die Auseinandersetzung mit dem Vorhaben einer IT-Integration bedarf der Erläuterung der Unternehmenssituation, aus der die Entscheidung für die Durchführung eines IT-Integrationsprojektes resultiert. Daher sollen im zweiten Abschnitt die Anlässe einer IT-Integration beleuchtet werden. Die Ziele einer ITIntegration sind Inhalt des dritten Abschnitts. Im vierten Abschnitt wird auf die gegebenen und die gestaltbaren Parameter der IT-Integration eingegangen und die jeweiligen Abhängigkeiten beschrieben. Der fünfte Abschnitt fasst noch einmal die Bedeutung und Komplexität eines Integrationsvorhabens zusammen. Die Innovationsleistung liegt dabei insbesondere in der ganzheitlichen Betrachtung der Unternehmens-IT im Rahmen von IT-Integrationen sowie in der Erarbeitung zweckmäßiger Parameter zur Bewertung der IT-Landschaft.
2.1
Begriffsdefinitionen
Der Begriff IT-Integration setzt sich aus zwei Begriffsbestandteilen zusammen. Zu den Begriffen "Informationssysteme" und "Informationstechnologie" lassen sich ebenso wie zu dem Begriff "Integration" in der wissenschaftlichen Literatur eine Vielzahl von Definitionen finden.1 In diesem Abschnitt sollen beide Begriffsbestandteile definiert und zusammengeführt werden.
2.1.1 IT und die Komponenten der IT-Landschaft Der erste Begriffsbestandteil, die Informationstechnologie, kurz "IT", umfasst im Rahmen dieser Arbeit zwei wesentliche Komponenten: 1. die Informations- und Kommunikationstechnik, die eingesetzt wird, um das Unternehmen bei der Abwicklung des Geschäftes zu unterstützen; darunter werden Hardware, Software, Netze und Kommunikationsdienste gefasst, die sich in einem Unternehmen in Form einer IT-Landschaft darstellen und 2. die Organisation, also •
1
die Mitarbeiter, die die Anwendungssysteme zur Bewältigung ihrer täglichen Arbeit nutzen und
Vgl. Biethahn, J.; Mucksch, H.; Ruf, W. (2004), S. 11; vgl. Alpar, P. et al. (2005), S. 28; vgl. Hansen, H. R. (1996); S. 67; vgl. Gabriel, R.; Beier, D. (2003), S. 45.
14
J. M. Guggenberger, Aufbau und Ablauf einer IT-Integration, DOI 10.1007/978-3-8349-8920-8_2, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2010
•
die IT-Mitarbeiter, welche die Informationsverarbeitung ermöglichen, indem sie mit ihrem individuellen Know-how die Technik pflegen, warten und gegebenenfalls geänderten Anforderungen anpassen, die Anwender beim Umgang mit der Technik unterstützen und technische Innovationen einbringen, um die Zukunftsfähigkeit der Systeme zu gewährleisten.
Unter Informationsverarbeitung wird der Vorgang der Erfassung, Speicherung, Übertragung und Transformation der Daten verstanden.1 Zwischen Informationstechnik und Kommunikationstechnik soll hier nicht weiter unterschieden werden, da sie heute weitgehend zusammengewachsen sind.2 Die folgende Abbildung stellt die Komponenten der IT graphisch dar.
Abbildung 1: Komponenten der Informationstechnologie Quelle: eigene Darstellung in Anlehnung an Seibt, D. (2002) zitiert nach Schröder, D. (2005), S. 34.
Zur Abgrenzung von Informationstechnologie bzw. Informationssystemen3 und Anwendungssystemen bzw. Applikationen1 bietet sich folgende Definition an:
1
Vgl. Hansen, H. R. (1996), S. 10. Vgl. Alpar, P. et al. (2005), S. 29. 3 Die Begriffe Informationstechnologie und Informationssysteme werden in der Literatur häufig synonym verwendet. In der vorliegenden Arbeit wird vorwiegend die Abkürzung IT gebraucht. 2
15
„Unter Informationssystemen werden von Menschen geschaffene, künstliche Systeme verstanden, die der Informationsversorgung und Kommunikation in Organisationen dienen. Sie umfassen •
eine betriebliche Aufgabenstellung, zu deren Lösung Informationen erforderlich sind,
•
die Informationstechnologie, die die Informationsversorgung unterstützt, und
•
Menschen, die Informationen zur Lösung der betrieblichen Problemstellung nutzen.“2
Unter Anwendungssystemen versteht man „die Gesamtheit aller Programme, die als Anwendungssoftware für ein konkretes betriebliches Anwendungsgebiet entwickelt, eingeführt und eingesetzt werden, und [..] die zugehörigen Daten, die in unterschiedlichen Formen der Datenorganisation [..] bereitgestellt werden.“3 Die IT-Landschaft, welche die technische Komponente der IT darstellt, wird somit erneut differenziert in die Anwendungslandschaft und die IT-Infrastruktur.
Abbildung 2: IT-(System)Landschaft Quelle: eigene Darstellung4
1
Die Begriffe Anwendung und Applikation werden in dieser Arbeit synonym verwendet. Es wird darunter ein eigenständiges und abgrenzbares System verstanden, dass aus Softwarebausteinen besteht. Vgl. Dern, G. (2003), S. 17. 2 Becker, J.; Wiese, J. (2000), S. 235. 3 Stahlknecht, P.; Hasenkamp, U. (2005), S. 204. 4 Vgl. Stahlknecht, P.; Hasenkamp, U. (2005), S. 204 f.; vgl. Schröder, D. (2005), S. 30. 16
Abbildung 2 veranschaulicht die Bestandteile der IT-Landschaft eines Unternehmens und ihren Zusammenhang. Im Rahmen dieser Arbeit steht die Integration der Anwendungssysteme im Vordergrund. Die Rolle der IT hat sich in den letzten Jahren verändert. Sie hat sich von der reinen Unterstützungsfunktion zu einem kritischen Erfolgsfaktor gewandelt und gewinnt in immer stärkerem Umfang an strategischer Bedeutung für das Unternehmen.1 Der Einsatz von neuen Informationstechnologien beeinflusst die Wettbewerbsfähigkeit von Unternehmen tiefgreifend. Die Produkte und Dienstleistungen eines Unternehmens sind dem Kunden schnell, kostengünstig und qualitativ hochwertig zur Verfügung zu stellen und dabei ist den individuellen Kundenwünschen möglichst umfassend zu entsprechen.2 Zusätzlich führen Globalisierung, rasante Veränderungen der Märkte und gesetzliche Neuregelungen zu sich stetig ändernden Rahmenbedingungen, die eine kontinuierliche Anpassung und Erweiterung der Unternehmens-IT erforderlich machen. Diese Aufgaben können nur mit leistungsfähiger Informationstechnologie und harmonisierten IT-Landschaften erfüllt werden. Abgesehen von wenigen Branchen, wie beispielsweise der Landwirtschaft oder Teilen der Rohstoffindustrie, in denen die IT eine untergeordnete Rolle spielt, ist der IT-Einsatz von existenzieller Bedeutung und wird als zentraler Erfolgsfaktor eines modernen Unternehmens angesehen. In gleichem Maße, wie Anwendungssysteme betriebswirtschaftliche Wertschöpfungsketten abdecken, wächst auch die Bedeutung dieser Ressource.3 Dennoch stellte Colony4 nach einer inoffiziellen Umfrage von Forrester im Jahr 2006 fest, dass der Stellenwert der IT in den meisten Unternehmen unterschätzt wird und dass der Unternehmensführung oftmals ihre eigenen IT-Systeme unbekannt sind und sie deren Bedeutung nicht erkennen.5 Im Rahmen einer kompletten Reorganisation und Neuausrichtung der IT, wie sie Unternehmen bei umfangreichen IT-Integrationsprojekten erfahren, besteht die Möglichkeit, die IT zukünftig so zu positionieren, dass sie auch strategisch den Stellenwert einnimmt, den sie faktisch bereits besitzt.
2.1.2 Integration Der zweite Begriffsbestandteil Integration wird etymologisch auf den lateinischen Terminus integrare (vervollständigen, wiederherstellen, erneuern), integratio (Wiederherstellen des Ganzen) bzw. integer (ganz, unversehrt, vollständig) zurückgeführt und beschreibt im allge-
1
Vgl. Vielba, F.; Vielba, C. (2006), S. 15. Vgl. hierzu und für die folgende Ausführung Tolkmit, G.; Teusch, W. (1998), S. 4 f. 3 Vgl. Kromer, G.; Stucky, W. (2002), S. 523. 4 George F. Colony ist Chairman of the Board und Chief Executive Officer von Forrester. 5 Zitiert bei Donner, A. (2007), S. 1. 2
17
meinen Sprachgebrauch einen Vorgang, durch den aus sich gegenseitig ergänzenden Teilen eine neue umfassende Einheit geschaffen wird.1 In der Literatur wird dieser Begriff vielfältig definiert, da er in verschiedenen wissenschaftlichen Disziplinen wie z. B. der Anthropologie, der Biologie und der Mathematik verwendet wird.2 In der betriebswirtschaftlichen Literatur wird die Integration über die Integrationsbegriffe Integrationsprozess, Integrationsmittel, Integrationsobjekte und Integrationsziele definiert. Integration ist danach ein Prozess, der durch den Integrationsinitiator ausgelöst und vorangetrieben wird und in dem durch Interaktion der Mitarbeiter sowohl ein Know-howTransfer als auch eine veränderte Nutzung der materiellen Ressourcen und damit Potenziale zur Unternehmenswertsteigerung realisiert werden können.3 In der Wirtschaftsinformatik wird hingegen allgemein zwischen Daten-, Funktions-, Prozess-, Methoden-, Software- und Hardwareintegration unterschieden.4 Die Entscheidung, ein Integrationsprojekt durchzuführen, fällt dann, wenn sich Unternehmen entschließen, zielgerichtet und methodisch eine Veränderung des Unternehmens vorzunehmen, um die Wertschöpfung durch Zusammenführung von Funktionen zu steigern. Betrachtet man das Unternehmen als Zielobjekt dieses Veränderungsprozesses aus einem rein unternehmensinternen Blickwinkel, lassen sich vier Zielebenen ausmachen, die von der Veränderung direkt betroffen sind.5
1
Vgl. Lehmann, H. (1969), Sp. 768; Lehmann, H. (1980), Sp. 976. Vgl. Pfohl, H.-C; Hofmann, E. (2003), S. 306. 3 Vgl. Gerpott, T. J. (1993), S. 115. 4 Vgl. Mertens, P. (2007), S. 1 ff.; vgl. Hildebrand, K. (2007), S. 117. 5 Vgl. Österle, H.; Winter, R. (2000), S. 12. 2
18
Abbildung 3: Ebenen des Integrationsprozesses innerhalb des Unternehmens Quelle: in Anlehnung an Baumöl, U. (2003), S. 249.
Ein solcher Veränderungsprozess beginnt auf der Strategieebene. Die Geschäftsstrategie erfährt eine Anpassung und basierend auf dieser Strategieänderung ist das Unternehmen bestrebt durch eine Integration Synergiepotenziale auszuschöpfen bzw. einen Mehrwert zu generieren. Die Integration von Unternehmen oder Geschäftsbereichen erfordert die Harmonisierung von Geschäftsprozessen. So wird im Rahmen eines Integrationsprojektes die Redefinition der betroffenen Geschäftsprozesse vorgenommen, die Implementierung durchgeführt und überwacht und einer Erfolgskontrolle unterzogen. Veränderungen auf den beiden zuvor genannten Ebenen erfordern unweigerlich auch eine Anpassung der Informationstechnologie.1 Somit ist die gesamte IT-Landschaft sowie das IT-Leistungsprogramm neu zu durchdenken und entsprechend zu modifizieren. Die vierte Ebene, die aus Unternehmenssicht von einem solchen Veränderungsprozess betroffen ist, wird hier als "Faktor Mensch" bezeichnet und umfasst die Unternehmenskultur, die Führungsstrukturen, die herrschenden Verhaltensweisen, die Unternehmensstruktur mit der bestehenden Aufbau- und Ablauforganisation sowie die Machtstrukturen der involvierten Manager und Mitarbeiter.2 Wichtig ist, der auf dieser Ebene aufkommenden Unsicherheit und Instabilität, die bei jedem Veränderungsprozess entstehen,
1 2
Vgl. Baumöl, U. (2003), S. 246. Vgl. Baumöl, U. (2003), S. 247. 19
entgegenzuwirken und eine stabile und vertrauensvolle Basis für die Zusammenarbeit zu schaffen.1
2.1.3 IT-Integration Führt man beide Begriffsbestandteile zusammen, wird der Vorgang der IT-Integration genauer spezifiziert: In dieser Arbeit soll unter IT-Integration ein Prozess verstanden werden, der von dem Unternehmen und der verantwortlichen Unternehmensleitung sowohl direkt als auch indirekt vorangetrieben wird. Ein Integrationsverantwortlicher steuert diesen Prozess, indem durch Interaktion der Mitarbeiter sowohl ein Know-how-Transfer als auch eine veränderte Nutzung der Informationstechnik zur Erreichung der individuellen Integrationsziele angestrebt wird. Dabei kristallisieren sich vier für die IT-Integration relevante Integrationsobjekte heraus, die sich wiederum in IT-interne und -externe Integrationsobjekte unterscheiden lassen. Diese vier Integrationsobjekte der IT-Integration werden in der folgenden Abbildung kurz zusammengefasst und ausführlich in Abschnitt 4.1 beschrieben. Interne Integrationsobjekte •
IT-Strategie
•
IT-Organisation, was die Struktur, den IT-
Externes Integrationsobjekt •
Leistungsumfang bzw. die IT-Prozesse sowie die IT-Mitarbeiter in ihrer jeweiligen Rolle mit ihren individuellen Fähigkeiten
Anspruchsgruppen, darunter werden die verschiedenen Anwender-, Kunden- und Lieferantengruppen gefasst, welche mit ihren individuellen Anforderungen an die IT den IT-Integrationsprozess beeinflussen
und die gelebte Kultur umfasst •
IT-Landschaft sowie die darin abgebildeten IT-gestützten Geschäftsprozesse
Abbildung 4: Übersicht der IT-Integrationsobjekte Quelle: eigene Darstellung
Für die interne IT-Integration gilt es, einen abgestimmten Anpassungsprozess der IT-Strategie, einen gemeinsamen Koordinations- und Reorganisationsprozess der IT-Organisation sowie einen Konzeptions-, Umsetzungs- und Migrationprozess der IT-Landschaft aufzusetzen. Für die externe Integration ist in erster Linie ein abgestimmter und auf die Anspruchsgruppen zugeschnittener Kommunikationsprozess zu schaffen.1 Dabei ist die Berücksichtigung und Zusammenführung individueller Anforderungen aus Anwendersicht sowie die abgestimmte Anpassung vorhandener Schnittstellen sicherzustellen. Zusätzlich ist darauf zu ach1
Vgl. Baumöl, U. (2003), S. 247. Siehe hierzu auch Abschnitt 4.1.2.
20
ten, dass die Integration der IT in Einklang mit dem internen Reorganisationsprozess und den übrigen IT-Vorhaben gebracht wird. Sowohl der Umfang als auch die Umfeldbedingungen eines solchen Veränderungsprozesses sind situationsabhängig. Die Umfeldbedingungen werden insbesondere dadurch bestimmt, ob der Integrationsprozess durch einen Unternehmenszusammenschluss oder eine rein interne Reorganisation des Unternehmens ausgelöst wird. Die Auseinandersetzung mit dem Prozess der IT-Integration erfordert somit die Darstellung beider Ausgangssituationen. Daher soll nachfolgend zunächst eine Abgrenzung des Begriffes Unternehmenszusammenschluss mit anschließender Erläuterung des Mergerprozesses, der Mergermotive, der Zusammenschlussrichtung und der Integrationstypen vorgenommen werden, um abschließend die Bedeutung der IT-Integration im Rahmen von Unternehmenszusammenschlüssen hervorzuheben. Die Ausführungen zu internen Reorganisationsprojekten schließen die Betrachtung der Ausgangssituationen von IT-Integrationsvorhaben ab.
2.2
Anlässe einer IT-Integration
Unterschiedliche Unternehmenssituationen können IT-Integrationsprojekte initiieren, aber auch Anforderungen aus dem IT-Bereich oder den Fachabteilungen führen regelmäßig zu verschiedenen Integrationsanstrengungen innerhalb der IT. Umfangreiche Integrationsaktivitäten innerhalb eines Unternehmens sind vor allem auf strategische Entscheidungen zurückzuführen und erfordern eine Zusammenführung der Informationstechnologie. In der vorliegenden Arbeit werden Integrationsvorhaben behandelt, die auf der Strategieebene2 ausgelöst werden. Dabei wird zwischen externen und internen Anlässen einer IT-Integration unterschieden. In den folgenden Abschnitten werden die situativen Rahmenbedingungen im Fall eines Unternehmenszusammenschlusses auf der einen Seite und eines internen Reorganisationsvorhabens auf der anderen Seite beschrieben.
2.2.1 M&A als externer Anlass einer IT-Integration Seit 2004 ist eine neue Welle von Unternehmenszusammenschlüssen zu beobachten.3 Nach dem Einbruch der New Economy befindet sich die Wirtschaft damit in der sechsten Fusionswelle.4 Das Jahr 2007 war ein neues Rekordjahr auch wenn im zweiten Halbjahr die Zahl der angekündigten Transaktionen (um 11 %) und die Transaktionsvolumina (sogar um 34 %)
1
Vgl. Jansen, S. A. (2001), S. 228. Vgl. Abbildung 3: Ebenen des Integrationsprozesses innerhalb des Unternehmens. 3 Vgl. Picot, G. (2005a), S. 4. 4 Vgl. Vollmer, M. (2008), S. 405. 2
21
zurückgegangen sind. Diese Tatsache kann laut Zierz1 als Hinweis darauf gedeutet werden, dass die Unternehmen sich gegenwärtig darauf konzentrieren, die zahlreichen Unternehmenskäufe der letzten Jahre zu integrieren.2 Trotz dieser beachtlichen Transaktionseuphorie darf nicht übersehen werden, dass jeder zweite Unternehmenszusammenschluss scheitert. Die Boston Consulting Group Inc. führte in der Zeit von 1992 bis 2006 eine repräsentative Studie unter 3.200 Transaktionen durch und stellte fest, dass in 58 % der Fälle der Zusammenschluss zu einer Reduzierung des Börsenwertes führte.3 Zu einem ähnlichen Ergebnis kamen auch eine Studie von Ernst & Young und zahlreiche weitere Untersuchungen.4 Als Hauptursache für das Scheitern gilt neben überhöhten Kaufpreisen und mangelhaften Akquisitionsstrategien ein schlecht strukturierter und ineffizient durchgeführter Integrationsprozess.5 Während sich die Literatur ausgiebig mit dem Thema Integration und dieser Phase des Akquisitionsprozesses, der sogenannten Post Merger Integrations-Phase, auseinandersetzt, wird der Aspekt der IT-Integration dabei stark vernachlässigt. Diese Tatsache ist äußerst verwunderlich, da die Integration der Informationstechnologie für den Erfolg eines Unternehmenszusammenschlusses von großer Relevanz ist.6 Aufgrund der Notwendigkeit der IT-Integration zur Realisierung der angestrebten Synergieeffekte stellt die IT bei der Umsetzung des verhandelten Zusammenschlusses einen wesentlichen Erfolgsfaktor dar.7 Ein IT-Verantwortlicher formulierte hierzu treffend: „IT is not the deal-maker but it can certainly be the dealbreaker.“8
2.2.1.1 Grundlegungen Unternehmenszusammenschlüsse und -käufe ist die Übersetzung des aus dem englischen stammenden Begriffspaars "Mergers & Acquisitions" (M&A). Im heutigen Sprachgebrauch wird es synonym verwendet mit den Begriffen Unternehmensakquisition, -übernahme und fusion und beschreibt eine Zusammenführung von Unternehmen, die mit der Auflösung der rechtlichen und wirtschaftlichen Selbstständigkeit eines der Unternehmen zumindest teilweise einhergeht.9 In der Literatur herrscht eine große Begriffsvielfalt und eine allgemeingültige Definition hat sich bis heute nicht durchgesetzt.10 Eine gute Übersicht der Definitionen des "Mergers & Acquisitions"-Begriffs bietet Wirtz.11
1
Leif Zierz ist Partner im Bereich Corporate Finance und Leiter von M&A bei KPMG. Vgl. von Frentz, C. (2007), ohne Seitenangabe. Vgl. Simmons, J.; Choudhury, A. (2007), S. 1. 4 Vgl. Ernst & Young (2006), S. 8; vgl. Wildemann, H. (2003a), S. 596. 5 Vgl. Simmons, J.; Choudhury, A. (2007), S. 3; vgl. Ernst & Young (2006), S. 20; vgl. Vollmer, M. (2008), S. 405; vgl. Haspeslagh, P.C.; Jemison, D.B. (1992), S.129 ff; vgl. Jansen, S. A. (2002b), S. 265. 6 Vgl. Accenture (2002), S. 5; vgl. Abele, E.; Elzenheimer, J.; Bundschuh, M. (2004), S. 239. 7 Vgl. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007), S. 59. 8 Zitiert bei Vielba, F.; Vielba, C. (2006), S. 12. 9 Vgl. Achleitner, A.-K.; Wirtz, B.; Wecker, R. M. (2004), S. 480 f.; vgl. Haspeslagh, P.C.; Jemison, D.B. (1992), S. 165 ff. 10 Vgl. Achleitner, A.-K.; Wirtz, B.; Wecker, R. M. (2004), S. 478; vgl. Bamberger, B. (1994), S. 3. 11 Vgl. Wirtz, B. (2003), S. 11. 2 3
22
In der folgenden Grafik sind die verschiedenen Erscheinungsformen von Unternehmenszusammenschlüssen in Abhängigkeit von ihrer Bindungsintensität dargestellt. In der Literatur wird der Bindungsgrad1 des Zusammenschlusses als eine wichtige Determinante der Integration einer Unternehmensakquisition angesehen.2 Er gibt die Intensität der Verbindung zwischen den Zusammenschlussunternehmen an. Damit ist der Bindungsgrad ein Maß für die Einschränkung der Selbstständigkeit der Zusammenschlusspartner und stellt daher ein problemadäquates Gliederungskriterium dar.3
Abbildung 5: Erscheinungsformen von Unternehmenszusammenschlüssen Quelle: eigene Darstellung in Anlehnung an Wirtz, B. (2003), S. 13; Picot, G. (2005), S. 21; sowie Bamberger, B. (1994), S. 6 f.; Pausenberger, E. (1989), S. 623 ff.
Man unterscheidet Unternehmenszusammenschlüsse im weiten und im engen Sinn. Zu den Unternehmenszusammenschlüssen im weiten Sinn werden auch Unternehmenskooperationen gezählt. Darunter wird eine freiwillige Zusammenarbeit verstanden, bei der die Unternehmen ihre rechtliche, und in den von der Kooperation nicht betroffenen Bereichen auch ihre wirt-
1
Der Bindungsgrad der Zusammenschlussunternehmen wird in der Literatur oftmals auch als Integrationsgrad bezeichnet. In dieser Arbeit soll der Begriff Integrationsgrad jedoch lediglich als Parameter der ITLandschaft verwendet werden. 2 Vgl. Haspeslagh, P. C.; Jemison; D. B. (1992), S. 173 ff.; vgl. Hermsen, C. (1996), S. 36 ff. 3 Vgl. Pausenberger, E. (1989), S. 623. 23
schaftliche, Selbstständigkeit bewahren.1 Diese Form der Zusammenarbeit erfordert im Allgemeinen keine IT-Integration, wie sie in dieser Arbeit beschrieben und untersucht werden soll, daher werden Unternehmenskooperationen hier, abgesehen von einer Ausnahme, nicht weiter betrachtet. Bei der Gründung eines Joint Venture treten häufig Problemstellungen auf, wie sie in dieser Arbeit beschrieben werden. Daher soll diese spezielle Form der Zusammenarbeit von Unternehmen, die den Kooperationen zuzuordnen ist, hier kurz genauer beleuchtet werden. Joint Venture sind dadurch charakterisiert, dass mindestens zwei oder mehr rechtlich und wirtschaftlich selbstständige Gesellschaften ein gemeinsames – typischerweise rechtlich eigenständiges – Unternehmen erwerben oder gründen und kontrollieren.2 Dabei formt erst die gemeinsame unternehmerische Aufgabe das Joint Venture und grenzt diese Kooperationsform von einer reinen Finanzbeteiligung ab.3 So entstehen oftmals grenzüberschreitende Gemeinschaftsunternehmen, welche beispielsweise der Erschließung neuer Märkte oder der Entwicklung neuer Technologien dienen. Wobei die Erreichung dieses Geschäftsziels durch den Verbund der jeweiligen Ressourcen der Einzelunternehmen möglich wird.4 Das Joint Venture wird dabei gemeinschaftlich allerdings nicht zwangsläufig paritätisch geführt.5 Oftmals werden aus den originären Partnerunternehmen Teile des Geschäftes und damit auch Teile der IT-Funktionalität herausgelöst und in dem neugegründeten Unternehmen zusammengeführt. Bei dieser Zusammenführung stellt die IT-Integration eine Herausforderung für das Gründungsunternehmens dar, die der in dieser Arbeit beschriebenen Problemstellung gleicht. Parallel dazu sind die Kooperationsgesellschaften verpflichtet, eine GDPdU-konforme Archivierung der Vorgänge und Daten aller ausgelagerten Funktionalitäten sicherzustellen. Da zur Bewältigung dieser Aufgaben die Aktivitäten beider Gesellschaften in ähnlicher Weise zu koordinieren sind, wie bei Unternehmenszusammenschlüssen im engeren Sinn, kann das im vierten Teil dieser Arbeit vorgestellte Phasenmodell sowie das im fünften Teil entwickelte Vorgehenskonzept auch bei IT-Integrationen dieser Kooperationsform Anwendung finden. Verlieren die Unternehmen ihre wirtschaftliche und fakultativ ihre rechtliche Selbstständigkeit, handelt es sich um einen Unternehmenszusammenschluss im engen Sinn, so wie der Begriff auch in der vorliegenden Arbeit verwendet wird. Bei diesen Unternehmenszusammenschlüssen wird nach rechtlichen und wirtschaftlichen Kriterien wiederum zwischen zwei Grundformen, der Konzernierung (Akquisition) und der Fusion (Merger), differenziert.1 Unter einer Konzernierung wird der Kauf eines gesamten Unternehmens oder von Unternehmensteilen bei Beibehaltung der rechtlichen Selbstständigkeit verstanden. Diese Form des Zusam1
Vgl. für die folgenden Ausführungen Wirtz, B. (2003), S. 13 ff. Vgl. Berndt, R; Altobelli, C. F.; Sander, B. (2005), S. 147. Vgl. Seibert, K. (1981), S. 17. 4 Vgl. Gaughan, P. A. (2002), S. 19. 5 Vgl. Kabst, R. (2000), S. 13. 2 3
24
menschlusses, bei der das erworbene Unternehmen seine wirtschaftliche Selbstständigkeit einschränkt oder ganz aufgibt, wird in den zwei Ausprägungsarten Asset Deal und Share Deal unterschieden. Während es sich bei einem Asset Deal um einen Vermögenserwerb handelt, bei dem der Käufer Wirtschaftsgüter, das bedeutet alle wesentlichen Aktiva und Passiva, in das Betriebsvermögen übernimmt, stellt ein Share Deal einen Beteiligungserwerb dar, bei dem durch den Käufer eine mehrheitliche Übernahme von Gesellschaftsanteilen erfolgt.2 Die Fusion ist gekennzeichnet durch die höchste Bindungsintensität.3 Bei der Fusion wird ebenfalls zwischen zwei Ausprägungsarten differenziert. Im Fall einer Fusion durch Aufnahme übernimmt das Käuferunternehmen das gesamte Vermögen einschließlich der Verbindlichkeiten des erworbenen Unternehmens, welches seine Existenz verliert. Bei einer Fusion durch Neugründung gehen die beteiligten Unternehmen in einer neu gegründeten Gesellschaft auf und das Vermögen der sich vereinigenden Unternehmen geht in die neue Gesellschaft über. Während einige Autoren ebenfalls das Eingehen verschiedener Kooperationsformen unter dem Begriff Unternehmenszusammenschluss fassen, sollen hier lediglich Unternehmenszusammenschlüsse4 im engen Sinn betrachtet werden.5 Unter "Post Merger Integration" wird der Integrationsprozess nach einer Fusion verstanden. In der Unternehmenszusammenschluss-Literatur, die sich schwerpunktmäßig mit dem Integrationsmanagement befasst, steht die Unternehmenszusammenschlussform der Fusion stark im Vordergrund, da eine Fusion bzw. ein Merger die engste Form eines Zusammenschlusses darstellt.6 Allgemein kann gesagt werden, dass je höher die Bindungsintensität der Zusammenschlussunternehmen ist, desto höher sind in der Regel die Integrationsanforderungen.7 Aus diesem Grund wird auch in dieser Arbeit auf Fusionen und die daraus resultierenden Umfeldbedingungen für die IT-Integration ein Fokus gelegt. Im Weiteren soll jedoch keine bewusste Differenzierung der Unternehmenszusammenschlussformen vorgenommen werden.
2.2.1.2 Der M&A-Prozess Da sich diese Arbeit mit der Integration der IT befasst, bedarf es zur Berücksichtigung der aus dieser Situation resultierenden Einflussfaktoren einer Einteilung dieses Vorhabens in die einzelnen Phasen eines Unternehmenszusammenschlusses. In der Literatur erfolgt eine Beschrei-
1
Vgl. für die folgenden Ausführungen Wirtz, B. (2003), S. 13 ff. Vgl. Wirtz, B. (2003), S. 16. 3 Vgl. Bamberger, B. (1994), S. 7f.; vgl. Paprottka, S. (1996); S. 9. 4 Das Begriffspaar Mergers & Acquistions (M&A) und Unternehmenszusammenschlüsse wird im Folgenden synonym verwendet. 5 Vgl. Vogel, D.H. (2002), S. 12. 6 Vgl. Achleitner, A.-K.; Wirtz, B.; Wecker, R. M. (2004), S. 481. 7 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 524. 2
25
bung des Unternehmenszusammenschlussvorhabens anhand von Prozessmodellen, denen überwiegend eine Gliederung in drei idealtypische Hauptphasen zugrunde liegt.1 Die Pre Merger-Phase beinhaltet die den Unternehmenszusammenschluss auslösenden und vorbereitenden Aktivitäten. Die Merger-Phase umfasst im Wesentlichen die Vertragsverhandlungen und den Vertragsabschluss. Die Verschmelzung zu einer harmonisierenden Einheit durch eine strategische, organisatorische, administrative, operative, kulturelle und technische Integration der Zusammenschlussunternehmen und die Realisierung angestrebter Synergiepotenziale sind die Bestandteile der Post Merger Integration-Phase.
Abbildung 6: Phasen des M&A-Prozesses Quelle: eigene Darstellung in Anlehnung an Dabui, M. (1998), S. 21; Jansen, S. A. (2001), S. 164.
Die Umsetzung von Maßnahmen zur IT-Integration im Rahmen von Unternehmenszusammenschlüssen ist überwiegend Bestandteil der Post Merger Integration-Phase. Dennoch ist es sinnvoll und empfehlenswert, frühzeitig – also schon in der Pre Merger- und in der MergerPhase – die Belange der IT zu berücksichtigen, da es sich um einen sehr komplexen Aufgabenbereich handelt und sonst eine realistische Bewertung der Synergiepotenziale nicht
1
Vgl. Bowditch, J. L.; Buono, A. F. (1989), S. 87; vgl. Clever, H. (1993), S. 29ff.; vgl. Dabui, M. (1998), S. 21ff.; vgl. Gomez P.; Weber, B. (1989b), S. 39 f. vgl. Picot, G. (2005a) S. 18; vgl. Jansen, S.A. (2001), S. 164.
26
möglich ist.1 So kann zum Beispiel durch die Einbeziehung des IT-Verantwortlichen in das Zusammenschlussvorhaben und durch eine IT-Due Diligence eine fehlerhafte Einschätzung des IT-Integrationsaufwandes vermieden werden.2 Unter einer Due Diligence, was wörtlich übersetzt "mit gebührender Sorgfalt" bedeutet, wird die systematische und professionelle Analyse der Chancen und Risiken eines Unternehmenszusammenschlusses vor und während der laufenden Vertragsverhandlungen verstanden.3 Obwohl eine intensive IT-Due Diligence in der Regel aus Geheimhaltungsgründen nicht möglich ist, sollte versucht werden, in einer frühen Phase des Unternehmenszusammenschlussprozesses durch die Beschaffung von Informationen Transparenz über die IT-Funktionalität und die IT-Kosten zu schaffen.4 Dies gelingt beispielsweise mit Hilfe einer Bestandsaufnahme bezüglich der vorhandene ITInfrastruktur, der verwendeten IT-Anwendungen, der bestehenden Service- und Lizenz-Verträge sowie der Anzahl der jeweiligen Benutzer. Diese Informationen sollten auch bei der Kaufpreisermittlung einfließen. So kann beispielsweise das Aufdecken von Investitionsversäumnissen, gravierenden Softwaremängeln oder IT-Sicherheitsrisiken zu entsprechenden Kaufpreisreduzierungen führen.5 Ebenso sollte bei beiden Zusammenschlusspartnern darauf hingewirkt werden, nicht unmittelbar vor dem Kaufvertragsabschluss noch langfristig bindende Verträge abzuschließen oder umfangreiche IT-Projekte aufzusetzen, welche die anschließende IT-Integration erschweren oder kurzfristig abgeschrieben werden müssen.6 Derartige Handlungen und überstürzte Entscheidungen sind verlockend und oftmals zu beobachten, da nach dem Unternehmenszusammenschluss mit einem vorübergehenden Investitionsstop gerechnet wird. Die vorliegende Arbeit konzentriert sich auf den Prozess der IT-Integration, der Aktivitäten in allen drei Merger-Phasen umfasst. Aus diesem Grund wird eine phasenübergreifende Betrachtungsweise gewählt.
2.2.1.3 Motive von M&As In der Unternehmenszusammenschluss-Literatur lässt sich eine Vielzahl von Motiven für Unternehmenszusammenschlüsse finden. Das fundamentalste Motiv für Unternehmenszusammenschlüsse ist das Streben nach Wachstum.7 Die Unternehmen haben die Möglichkeit, sich zwischen internem und externem Wachstum zu entscheiden. Während ein interner
1
Vgl. Brüning, I.; Pedain, C.; Deasley, P.J. (2002), S. 138; vgl. KPMG (1999), S. 16. Vgl. Accenture (2002), S. 4; vgl. Pack, H. (2005), S. 314; vgl. Lucks, K. (2002), S. 50. 3 Vgl. Pack, H. (2005) S. 290. 4 Vgl. Rigall, J.; Hornke, M. (2007), S. 498. 5 Vgl. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007), S. 60. 6 Vgl. Rigall, J.; Hornke, M. (2007), S. 498. 7 Vgl. Gaughan, P. A. (2002), S. 111. 2
27
Wachstumsprozess deutlich langsamer vonstatten geht, birgt das plötzliche Wachstum durch einen Unternehmenszusammenschluss zahlreiche Risiken.1 Trautwein hat eine klare Strukturierung der Zusammenschlussmotive in drei Kategorien dahingehend vorgenommen, ob es sich bei der Entscheidung für einen Unternehmenszusammenschluss um eine punktuelle, rationale Entscheidung handelt, ob der Unternehmenszusammenschluss das Ergebnis eines Prozesses ist oder ob den Motiven makroökonomische Erklärungsansätze zugrunde liegen. Innerhalb der ersten Kategorie unterscheidet Trautwein weiterhin in Motive, von denen die Aktionäre bzw. die Manager des übernehmenden Unternehmens profitieren. Die verschiedenen Motive werden im Folgenden kurz erläutert. Net gains through
Efficiency theory
synergies Wealth transfers from
Monopoly theory
customers Merger as rational
Merger benefits
choice
bidder´s share-
Wealth transfers from
holders
target´s shareholders Net gains through
Raider theory
Valuation theory
private information Merger benefits managers
Empire-building theory
Merger as process outcome
Process theory
Merger as macroeconomic phenomenon
Disturbance theory
Abbildung 7: Theorien von Unternehmenszusammenschluss-Motiven Quelle: Trautwein, F. (1990), S. 284.
Die Effizienztheorie ist die bekannteste und populärste Theorie. Sie basiert auf der Annahme, dass das Zusammenschlussunternehmen durch den effizienteren Einsatz der Unternehmensressourcen erfolgreicher ist als die einzelnen Unternehmen bzw. Unternehmensteile. Unter Unternehmensressourcen sind hierbei die der Verfügungsmacht des Unternehmens unterliegenden Mittel zu verstehen, welche zur Erstellung von Leistungen verwendet werden können.2 Die Realisierung von gemeinsamen Synergiepotenzialen ist das von den Entscheidern am häufigsten angeführte Motiv für einen Unternehmenszusammenschluss.3
1
Vgl. Buchinger, G. (1974), S. 6 f. Vgl. Gerpott T. J. (1993), S. 85. 3 Vgl. Bamberger, B. (1994), S. 62; vgl. Trautwein, F. (1990), S. 285. 2
28
Trautwein gliedert die Synergiepotenziale in 1. operative Synergien durch Größenvorteile oder Know-how-Transfer, 2. finanzielle Synergien, wie sie beispielsweise aus den geringeren Kapitalkosten resultieren und 3. Managementsynergien mit strategischem Hintergrund.1 ad 1: Die betriebswirtschaftlichen Ursachen für die Ergebnisverbesserung durch eine Kostenreduktion mittels gemeinsamer effizienterer Nutzung der vorhandenen Ressourcen wird im Wesentlichen in der Ausnutzung der Economies of Scale und der Economies of Scope gesehen.2 Economies of Scale oder auch Betriebsgrößenersparnisse liegen vor, wenn die Stückkosten eines Produktes bei steigender Menge pro Zeiteinheit sinken.3 Diese produktbezogene Kostendegression liegt begründet in Losgrößenersparnissen, welche zurückzuführen sind auf die sinkenden Rüstkosten, die Verteilung der Fixkosten auf eine größere kumulierte Ausbringungsmenge und die Nutzung der Spezialisierungsvorteile, welche sich aus der möglichen Arbeitsteilung aufgrund größerer Produktionszahlen ergibt.4 Dieses operative Synergieprinzip basiert auf der materiellen Verflechtung der beiden Integrationspartner.5 Prinzipiell ist es möglich, solche Kostendegressionspotenziale aufgrund von Größenvorteilen nicht nur in der Produktion sondern auch in anderen Funktionsbereichen auszuschöpfen.1 Je verschiedener die IT-Produkte und IT-Prozesse beider Integrationsparteien sind, desto schwieriger lassen sich entsprechende Synergiepotenziale ausschöpfen, da die bei der Zusammenführung entstehenden Integrationskosten die Kosteneinsparungen übersteigen. Übertragen auf den IT-Bereich ist es beispielsweise möglich, •
vorhandene Anwendungssysteme und Lizenzen gemeinsam zu nutzen und durch die Abschaffung von Anwendungen und die Kündigung von Lizenzverträgen die Fixkosten zu reduzieren,
•
durch eine zentrale Verwaltung und eine Zusammenlegung der Infrastruktur die Kapazitätsauslastung zu optimieren, indem beispielsweise mehrere Applikationen auf einem Appikationsserver zusammengeführt werden oder
•
mit Hardwarelieferanten oder Softwareherstellern verbesserte Einkaufskonditionen oder Lizenz- und Serviceverträge auszuhandeln. Dabei ist es möglich, Einsparungen durch die Bündelung der Bestellvolumina sowie durch den Informationsaustausch
1
Vgl. Trautwein, F. (1990), S. 284 f. Vgl. Gaughan, P. A. (2002), S. 116 ff.; vgl. Albrecht, S. (1994), S. 6 f. Vgl. Porter, M. E. (1986), S. 29 f. 4 Vgl. Sautter, M. (1989), S. 237. 5 Vgl. Wildemann, H. (2003a), S. 597. 2 3
29
über Preiskonditionen und Verhandlungstaktiken der Anbieter von Beratungsleistungen, Soft- und Hardware zu erlangen. Im Fall von Mehrproduktunternehmen können Economies of Scope auftreten. Economies of Scope oder auch Verbund-/Reichweiteneffekte treten auf, wenn eine gemeinsame Produktion verschiedener Produkte für zwei oder mehr Unternehmen günstiger ist als eine getrennte Herstellung.2 Unter Economies of Scope werden somit Kosteneinsparungen verstanden, die durch die gemeinsame Nutzung von Produktionsfaktoren bei der Herstellung von Produkten erreicht werden. Im Gegensatz zu den Kapazitätsauslastungseffekten handelt es sich bei den Economies of Scope um Synergien, die aus der gemeinsamen Nutzung kapazitätsunabhängiger Faktoren resultieren.3 Voraussetzung für die Realisierung von Economies of Scope ist die Mehrfachnutzung von Ressourcen, die dadurch nicht verbraucht werden und auch nicht direkt zu einem höheren Verbrauch anderer Ressourcen führen.4 Bei der Realisierung von Economies of Scope-Vorteilen entstehen Integrationskosten insbesondere aufgrund des Koordinationsaufwands.5 Auch die Erzielung von Economies of Scope ist in anderen Funktionsbereichen als der Produktion möglich, so können beispielsweise im IT-Bereich •
durch den Know-how-Transfer der Mitarbeiter Prozessverbesserungen, Rationalisierungen oder technischen Fortschritt realisiert werden,
•
durch die Vereinheitlichung der IT-Infrastruktur Planung- und Entwicklungskosten bei künftigen IT-Projekten gespart werden, da die Kompatibilität sichergestellt ist und
•
ein technischer IT-Support oder eine Hotline für verschiedene Anwendungen gemeinsam genutzt werden.
ad 2: Deutlich seltener als die operativen Synergieeffekte werden heute finanzielle Synergien wie beispielsweise der Coinsurance-Effekt im Rahmen der Risikoreduktion durch Diversifikation als Motiv für eine Akquisition angeführt.6 Diese Motive spielten in den späten sechziger Jahren eine bedeutende Rolle bei der Entscheidung für einen Unternehmenskauf.7 Unter dem Coinsurance-Effekt versteht man die Stabilisation der Einkommensströme und die Verringerung zeitlicher Gewinnschwankungen aufgrund der nicht vollkommen korrelierenden Einkommensströme der Zusammenschlussunternehmen.8 Weitere Beispiele für finanzielle
1
Vgl. Kogeler, R. (1992), S. 55. Das Konzept der Economies of Scope geht auf Baumol, Panzar und Willig zurück. Vgl. Baumol, W.J.; Panzar, J. C.; Willig, R. D. (1982), S. 76. 3 Vgl. Köppen, J. (2004), S. 80 f. 4 Vgl. Wildemann, H. (2003a), S. 597 f. 5 Vgl. Wildemann, H. (2003a), S. 598. 6 Vgl. Bamberger, B. (1994), S. 62 f. 7 Vgl. Gaughan, P. A. (2002), S. 123 ff. 8 Vgl. Albrecht, S. (1994), S. 9. 2
30
Synergien sind die Erhöhung der Verschuldungsfähigkeit oder die Realisierung von Steuervorteilen (Steuertheorie).1 ad 3: Managementsynergien können beispielsweise durch den Transfer strategischer Überlegungen und Vorgehensweisen sowie die Einführung effizienterer Prozesse in den Bereichen Planung oder Controlling realisiert werden.2 Dieses Unternehmenszusammenschlussmotiv (Theorie des überlegenen Managements) liegt vor, wenn Unternehmen ihre eigenen Ressourcen nicht optimal nutzen aufgrund von Unzulänglichkeiten im Management und das Management des erwerbenden Unternehmens dieser Aufgabe besser gewachsen ist und zeitgleich über freie Managementkapazitäten verfügt.3 Die Erschließung von Synergiepotenzialen wird in der Regel als Hauptziel einer Fusion angegeben, dabei sollen die positiven Verbundeffekte die Kosten des Zusammenschlusses überkompensieren.4 Der Monopol- oder Marktmachttheorie liegt die Annahme zugrunde, dass ein Unternehmenszusammenschluss durchgeführt wird, um die Marktmacht zu stärken.5 Im Idealfall führt ein Zusammenschluss zu einer Monopolstellung und damit zur absoluten Marktmacht, jedoch wenn dies nicht der Fall ist, kann durch eine Verringerung der Anbieterzahl die Einflussnahme auf den Markt aktiver gestaltet werden. Es ergeben sich beispielsweise für die sich zusammenschließenden Unternehmen verschiedene Möglichkeiten, wie •
die Quersubventionierung von Produkten,
•
die Aufteilung des Marktes unter den größten Konkurrenten durch einen kollusiven Marktauftritt,
•
Gegenseitigkeitsgeschäfte,
•
Absprachen zwischen den Unternehmen, um durch Zusammenfassung von Unternehmensfunktionen wie beispielsweise dem Einkauf die Konkurrenz zu begrenzen,
•
Ausschließlichkeitsgeschäfte oder
•
den Aufbau von Markteintrittsbarrieren, um durch Androhung von Gegenangriffen potenzielle Herausforderer abzuschrecken.6
1
Vgl. Köppen, J. (2004), S. 16. Vgl. Trautwein, F. (1990), S. 284. 3 Vgl. Weston, J. F.; Chung, K. S.; Hoag, S. E. (1990), S. 191f.; vgl. Gaughan, P. A. (2002), S. 151; Trautwein, F. (1990), S. 285. 4 Vgl. Wirtz, B. (2003), S. 298. 5 Vgl. Albrecht, S. (1994), S. 11; vgl. Bamberger, B. (1994), S. 63. 6 Vgl. Trautwein, F. (1990), S. 285 f.; vgl. Albrecht, S. (1994), S. 11, Vgl. Büttgenbach, M. (2000), S. 23. 2
31
Aus der US-amerikanischen Wirtschaftspresse leiteten Holderness und Sheehan die RaiderTheorie ab. Sie stützt sich auf die Annahme, dass die Summe der Unternehmensteile des Akquisitionsobjektes mehr wert ist als das gesamte Unternehmen. Diese Überlegung wird auf die Vermutung zurückgeführt, dass die einzelnen Unternehmensteile getrennt voneinander wirtschaftlicher agieren können als gemeinsam oder dass das Unternehmen über versteckte Vermögenswerte verfügt.1 Der Käufer erwirbt Anteile des Unternehmens, um durch eine Zerschlagung bei einem Verkauf der einzelnen Unternehmensteile eine Wertsteigerung zu erlangen oder das Vermögen des Unternehmens in das eigene zu transferieren.2 Holderness und Sheehan stellten jedoch in ihrer Studie über 69 sogenannte Raider-Transaktionen fest, dass lediglich bei den Aktionären des erworbenen Unternehmens deutliche Wertzuwächse zu beobachten waren.3 Bei der Valuation-Theorie wird von einem ineffizienten Kapitalmarkt und einer Informationsasymmetrie zwischen den Marktteilnehmern ausgegangen. 4 Zu einem Unternehmenskauf kann es kommen, falls der potenzielle Käufer den Unternehmenswert eines Übernahmekandidaten höher einschätzt als der Eigentümer.5 Der Arbitragegewinn ("bargain") ergibt sich aus der Differenz der Unternehmensbewertung des Übernahmekandidaten am ineffizienten Kapitalmarkt und dem für den potenziellen Käufer erwarteten Wert des Unternehmens.6 Liegen dem Käufer Informationen vor, wonach er den Unternehmenswert des Zielunternehmens besser beurteilen kann als die übrigen Marktteilnehmer, hat er die Möglichkeit einen Arbitragegewinn zu realisieren. Die Empire-Building-Theorie unterstellt Größenwahn oder Selbstüberschätzung des Managements.7 Die Hybris-Hypothese und die Managerialism-Hypothese lassen sich in dieser Theorie zusammenfassen. Die auf Roll zurückgehende Hybris-Hypothese geht davon aus, dass ein gesteigertes Geltungsbedürfnis der Manager des erwerbenden Unternehmens eine wesentliche Ursache für das Zustandekommen und spätere Scheitern von Unternehmenszusammenschlüssen ist.8 So kommt es zu fehlerhaften Bewertungen der Übernahmekandidaten, was zu einer Vernichtung von Shareholder Value führt, obwohl die Manager eine Shareholder Value Maximierung anstreben.9 Die Managerialism-Hypothese geht hingegen davon aus, dass das Management eigene Interessen und damit keine Maximierung des Shareholder Value ver-
1
Vgl. Köppen, J. (2004), S. 19. Vgl. Holderness C.G.; Sheehan D. P. (1985), S. 556. Vgl. Trautwein, F. (1990), S. 290. 4 Vgl. Albrecht, S. (1994), S. 20 f.; vgl. Bühner, R. (1989), S. 159. 5 Vgl. Trautwein, F. (1990), S. 286. 6 Vgl. Ravenscraft, D. J.; Scherer, F. M. (1987), S. 8. 7 Vgl. Trautwein, F. (1990), S. 287 f. 8 Vgl. Roll, R. (1986), S.197 ff. 9 Vgl. Gaughan, P. A. (2002), S. 147 ff. 2 3
32
folgt.1 Damit geht die Managerialism-Hypothese im Gegensatz zur Hybris-Hypothese von einem rationalen Verhalten der Manager aus. Die Prozesstheorie besagt, dass es sich bei der Entscheidung für einen Unternehmenszusammenschluss nicht um eine punktuelle rationale Entscheidung sondern um eine Abfolge von Prozessschritten mit mehr oder weniger rationalen Entscheidungen handelt. Als Ursache für diese nur bedingt rationalen Entscheidungen führt Trautwein die begrenzten Möglichkeiten der Informationsauswertung, die Trägheit gegenüber Veränderungen und die politischen Machtkämpfe an.2 Die Disturbance-Theorie geht auf Gort zurück und beinhaltet einen makroökonomischen Erklärungsansatz. Diese Theorie basiert auf der Annahme, dass neue Trends oder Entwicklungen gesamtwirtschaftliche Störungen und damit eine Welle von Unternehmenszusammenschlüssen auslösen können.3 Sie geht davon aus, dass beispielsweise technologische Entwicklungen die individuellen Erwartungen der Menschen so verändern können, dass ganz andere Ressourcenkombinationen nachgefragt werden als bisher und dadurch ein Motiv für einen Unternehmenszusammenschluss entsteht.4 Jansen spannt das Feld möglicher Unternehmenszusammenschlussmotive noch weiter und nimmt eine Kategorisierung in reale Motive, spekulative Motive und Managementmotive vor. Unter Managementmotive fasst Jansen neben der Empire-Building-Theorie auch die FreeCash-Flow-Theorie von Jensen.5 Diese Überlegung geht davon aus, dass Manager durch die Einbehaltung von Free-Cash-Flow eine Ausweitung ihrer Macht und Kontrolle über das Unternehmen anstreben, anstatt Auszahlungen an die Eigentümer vorzunehmen.6 Nach der Free-Cash-Flow-Theorie gehen Manager Unternehmenszusammenschlüsse trotz niedriger Erfolgsaussichten ein, um dadurch einen höheren Anteil an freien liquiden Mitteln zu erlangen.7 Unter den spekulativen Motiven für Unternehmenszusammenschlüsse lassen sich die Valuation- und die Raider-Theorie zusammenfassen. Die realen Motive für Unternehmenszusammenschlüsse differenziert Jansen weiter in Synergien, verbesserte Managementleistungen und Steuervorteile, was bedeutet, dass er in diesem Punkt die Monopol- und MarktmachtTheorie, die Effizienztheorie und die Steuertheorie vereint. Die Steuertheorie geht davon aus, dass die Realisierung von Steuervorteilen ein Motiv für Unternehmenszusammenschlüsse darstellt. 8
1
Vgl. Marris, R. (1964), S. 49 ff. Vgl. Trautwein, F. (1990), S. 288 f. Vgl. Gort, M. (1969), S. 624 ff. 4 Vgl. Trautwein, F. (1990), S. 290. 5 Vgl. Jansen, S. A. (2001), S. 174. 6 Vgl. Jensen, M. C. (1986), S. 323. 7 Vgl. Albrecht, S. (1994), S. 24. 8 Die Gesetzgebung bietet hier zahlreiche Möglichkeiten. Vgl. hierzu Baur, H.; Kuhnert, M. (2003), S. 402; vgl. Büttgenbach, M. (2000), S. 23; vgl. auch Gaughan, P.A. (2002), S. 154 ff. 2 3
33
Zu den Synergien, die sich aus einem Unternehmenszusammenschluss ergeben, zählt Jansen1 1. die Erhöhung der Marktmacht und des Marktanteils 2. die Kostenreduktionen 3. den Zeitgewinn, der sich durch den Zukauf gegenüber dem internen Wachstum ergibt 4. die Internationalisierung 5. den Markt- und Ressourcenzugang 6. die Systemkompetenz 7. die Wettbewerbsberuhigung 8. die Standardgenerierung. Bei den Punkten 2, 5, und 8 handelt es sich um Synergiepotenziale, die auch Treiber für eine IT-Integration sein können. Kosteneinsparungen sind zumeist das Hauptziel bei einer ITIntegration. Das Kosteneinsparungspotenzial ist oftmals erheblich.2 Der Ressourcenzugang kann im IT-Bereich in zweierlei Hinsicht von Relevanz sein. Wenn erfahrene IT-Spezialisten am Markt knapp sind, während sie für interne IT-Projekte dringend gebraucht werden und ein potenzieller Übernahmekandidat die entsprechende IT-Kompetenz im erforderlichen Umfang besitzt, kann dies ein Beweggrund für einen Unternehmenskauf sein.3 Ebenso kann ein Unternehmen als Kaufobjekt attraktiv sein, das über eine IT-Lösung verfügt, welche dem erwerbenden Unternehmen einen Mehrwert verschaffen würde.4 PricewaterhouseCoopers fand 1999 in einer Befragung von 125 Unternehmen, die kurz zuvor fusioniert waren, heraus, dass, obwohl nur 26 % der Unternehmen den Zugang zu neuen Technologien anstrebten, 63 % der befragten Unternehmen Synergien durch diesen neuen Technologiezugang realisieren konnten.5 Damit gehört der Zugang zu neuen Technologien zwar nicht zu den bedeutendsten Zusammenschlussmotiven, dennoch ist das Synergiepotenzial nicht zu unterschätzen. Die Möglichkeit der Standardisierung ist insbesondere im IT-Bereich ein dominantes Motiv für ein Integrationsvorhaben.6 Ein hoher Standardisierungsgrad der IT-Landschaft stellt ein Qualitätsmerkmal dar.7
1
Vgl. Jansen, S. A. (2001), S. 174. Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 525; vgl. Berensmann, D.; Spang, S. (1998), S. 36; vgl. Trapp, R.C.; Otto, A. (2002), S. 104; vgl. Allwermann, R. (1993), S. 6. 3 Vgl. Lauritzen, S. (2000), S. 19. 4 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 533 f. 5 Vgl. PriceWaterhouseCoopers (1999), S. 5. Die Tendenz ist steigend, denn drei Jahre zuvor waren es nur 23 % bzw. 55 % gewesen. Vgl. hierzu die aufgeführten Ergebnisse der Studie bei Feldman, M. L.; Spratt, M. F. (2000), S. 35. 6 Vgl. Penzel, H.-P. (1999), S. 115. 7 Vgl. hierzu Abschnitt 2.4.2 Gegebene Parameter der IT-Landschaft. 2
34
Ist der Unternehmenskauf vorwiegend kostenmotiviert, steht auch bei der IT-Integration die Kostenorientierung im Vordergrund und folglich werden Entscheidungen zur Gestaltung der zukünftigen IT-Landschaft in erster Linie aufgrund von Kostengesichtspunkten getroffen.1 Verfolgt der Unternehmenszusammenschluss jedoch beispielsweise das Ziel schneller Absatzsynergien, wird die Priorität auf einer hohen Integrationsgeschwindigkeit und einer leistungsfähigen und hochwertig ausgestatteten IT-Landschaft liegen, um eine optimale Vertriebsunterstützung sicherzustellen. Grundsätzlich sollten sich die Ziele eines Unternehmenszusammenschlusses aus der Unternehmensstrategie ableiten lassen. Ein Unternehmen verfolgt in der Regel eine Vielzahl von zum Teil miteinander verwobenen Einzelzielen.2 Die übergeordneten Unternehmensziele wie Gewinnmaximierung, Unternehmenswachstum, Marktmachterlangung, Risikostreuung und Rentabilitätssteigerung stellen dabei die Basis dar.3 Wenig sinnvoll ist deshalb eine isolierte Sicht der Motive von Unternehmenszusammenschlüssen, da in der Realität eine Reihe von Beweggründen zu einer Entscheidung für einen Zusammenschluss führen. Bamberger hat durch die Gegenüberstellung verschiedener empirischer Untersuchungen einen Versuch unternommen, die Frage zu klären, welche Motive in der Praxis von bedeutender Relevanz sind. Dabei kommt er zu dem Ergebnis, dass insbesondere das Ziel der Erlangung von Marktmacht durch erweiterte Marktanteile sowie die Ausschöpfung von Synergien und Größenvorteilen die wichtigsten Zusammenschlussmotive zu sein scheinen.4 A.T. Kearney identifizierte in einer Umfrage bei 260 Zusammenschlusstransaktionen von Fortune 500 Unternehmen ebenfalls die Erhöhung der Marktpräsenz durch Wachstum des Stammgeschäftes und die Realisierung von Kostensynergien als die relevantesten Zielsetzungen von Unternehmenszusammenschlüssen und Akquisitionen.5 Und auch Jansen und Körnen kamen in ihrer Untersuchung von 103 Fusionen mit deutscher Beteiligung zu dem gleichen Ergebnis in diesem Punkt.6 In jedem Fall liegt rational motivierten Unternehmenszusammenschlüssen eine Wertsteigerungslogik zugrunde.7 In dieser Arbeit wird als Zielsetzung der Unternehmenstätigkeit und damit auch jeglicher Aktivitäten der verantwortlichen Manager die Steigerung des Unternehmenswertes unterstellt und daher wird ebenso davon ausgegangen, dass ein Unternehmenszusammenschluss an erster Stelle diesem Ziel dient. Liegt das primäre Ziel eines Unternehmenszusammenschlusses in der Realisierung von Synergien, so entscheidet die Integration maßgeblich über den Erfolg der Transaktion.8
1
Vgl. hierzu und im Folgenden Rigall, J.; Hornke, M. (2007), S. 498. Vgl. Cooke, T. E. (1986), S. 37. 3 Vgl. Paprottka, S. (1996), S. 23; Vgl. Gerpott, T. J. (1993), S. 61 f. 4 Vgl. Bamberger, B. (1994), S. 70 ff. 5 Vgl. Picot, G. (2005a), S. 23. 6 Vgl. Jansen, S. A.; Körner, K. (2000), S. 7. 7 Vgl. Müller-Stewens, G. (2006), S. 787. 8 Vgl. Müller-Stewens, G. (2006), S. 788. 2
35
Die Zusammenschlussrichtung und der Integrationstyp haben ebenfalls einen entscheidenden Einfluss auf die Integration und die Ausprägung der Synergiepotenziale. Daher soll speziell auf diese beiden Umfeldbedingungen eines Unternehmenszusammenschlusses in den folgenden Abschnitten näher eingegangen werden.
2.2.1.4 Zusammenschlussrichtung Unternehmenskäufe lassen sich hinsichtlich ihres Bindungsgrades1 und entsprechend ihrer Bindungsrichtung kategorisieren. Bezüglich der Bindungsrichtung erfolgt allgemeingültig eine Unterteilung in die drei Kategorien der horizontalen, der vertikalen und der konglomeraten Akquisition, welche zum Teil in der Literatur noch durch eine vierte Bindungsrichtung, die konzentrische Akquisition spezifiziert wird.2 Diese vier Stoßrichtungen lassen sich mit der Produkt-/Markt-Matrix von Ansoff erklären.3 In der Praxis sind die Übergänge zwischen diesen Zusammenschlussformen fließend bzw. es existieren verschiedenste Mischformen.4 Horizontale Zusammenschlüsse finden statt zwischen Unternehmen, die in der gleichen Branche tätig sind und in der gleichen Produktions- und Handelsstufe miteinander konkurrieren.5 Das Bundeskartellamt nimmt eine weitere Unterscheidung in horizontale Zusammenschlüsse mit bzw. ohne Verbreiterung des Produktprogramms vor.6 Bei horizontalen Zusammenschlüssen ohne Produktausweitung schließen sich Firmen zusammen, die mit den gleichen Produkten auf den gleichen Märkten konkurrieren, während sich bei horizontalen Zusammenschlüssen mit Produktausweitung zwei Unternehmen verbinden, die auf benachbarten Märkten innerhalb der gleichen Branche tätig sind.7 Die Zielsetzung liegt überwiegend in der Erlangung von Marktmacht, der Realisierung von Kostensynergien und bei verwandten Tätigkeitsbereichen ebenfalls in der Produktausweitung.8 Die Synergiepotenziale werden als supplementär oder gleichartig bezeichnet, wenn eine hohe Übereinstimmung der Subsysteme bzw. Teilbereiche der Zusammenschlussunternehmen besteht und damit im Zuge der Integration ein Mehrwert beispielsweise durch Economies of Scale und Scope geschaffen werden kann.9 Mit abnehmender Übereinstimmung nimmt auch die Supplementarität ab und es steigt das Synergiepotenzial durch Komplementarität beispielsweise durch Technologie- oder Know-how-Transfer.10
1
Vgl. hierzu Abschnitt 2.2.1. Vgl. Gerpott, T.J. (1993), S. 43; vgl. auch Gaughan, P. (2002), S. 7 f. sowie S. 136 ff. bzw. vgl. Möller, W.-P. (1983); S. 87 ff.; vgl. auch Baur, H.; Kuhnert, M. (2003), S. 396. 3 Vgl. Ansoff, H. I. (1987), S. 109 ff. 4 Vgl. Bühner, R. (1985); S. 28. 5 Vgl. Bühner, R. (1989), S. 158. 6 Vgl. Schubert, W.; Küting, K. (1981), S. 29; vgl. Jansen, S. A. (2001), S. 26. 7 Vgl. Pausenberger, E. (1989), S. 622. 8 Vgl. Schubert, W.; Küting, K. (1981), S. 22. 9 Vgl. Paprottka, S. (1996), S. 120 ff. 10 Vgl. Pfohl, H.-C.; Hofmann, E. (2003), S. 318. 2
36
Vertikale Zusammenschlüsse erfolgen, wenn sich Unternehmen verbinden, die auf vor- oder nachgelagerten Produktions- oder Handelsstufen agieren.1 Bei dieser Form des Zusammenschlusses wird weiter unterschieden zwischen Rückwärtsintegration, bei der in der Wertschöpfungskette vorgelagerte Unternehmen erworben werden, und Vorwärtsintegration, bei der nachgelagerte Unternehmen integriert werden.2 Bei dieser Zusammenschlussrichtung existiert meistens bereits eine Käufer-Verkäufer-Beziehung vor dem Unternehmenskauf. Unternehmenszusammenschlüsse dieser Art dienen der Sicherung von Beschaffungs- bzw. Absatzmärkten, der Erhöhung der Profitabilität sowie dem Aufbau von Markteintrittsbarrieren.3 Einige Experten argumentieren, dass bei einer vertikalen Integration die Zusammenarbeit entlang der Wertschöpfungskette verbessert werde und dadurch zusätzliche Innovationschancen entstehen.4 Die bedeutendste Synergieart dieser Bindungsrichtung wird als Transaktionssynergie bezeichnet.5 Die Ausprägungen dieser Synergiepotenziale sind abhängig vom Umfang und der Wiederholungshäufigkeit der Transaktionen zwischen den Zusammenschlussunternehmen. Zusätzlich bestehen durch Supplementarität und Komplementarität weitere Synergiepotenziale, welche beispielsweise auf ein hohes Maß an Standardisierung bzw. auf komplementäres Wissen zurückzuführen sind.6 Konglomerate7 Akquisitionen sind gegeben, wenn sich die Tätigkeitsfelder der Zusammenschlussunternehmen vollkommen unterscheiden, sie also mit unterschiedlichen Produkten auf verschiedenen Märkten ohne vertikale Beziehung aktiv sind. Bei dieser Expansion in neue Produkt-Markt-Felder steht somit nicht die Realisierung von Synergien sondern zumeist eine Risikoreduzierung durch Diversifizierung im Vordergrund.8 Unter dieser Kategorie werden allgemein auch die konzentrischen Akquisitionen subsumiert. Hier besteht eine Verbindung zwischen den jeweiligen Know-how-Potenzialen zum Beispiel bezogen auf die Fertigungstechnologie oder im Bereich Marketing bei ähnlichen Kostenstrukturen und Absatzmärkten.9 Bei dieser Bindungsrichtung lassen sich im Allgemeinen nur schwer leistungswirtschaftliche Synergiepotenziale durch Supplementarität und Komplementarität ausfindig machen und Transaktionssynergiepotenziale sind praktisch nicht gegeben. Somit erscheint maximal eine partielle Integration in ausgewählten Bereichen sinnvoll.
1
Vgl. Bühner, R. (1989), S. 158. Vgl. Jansen, S. A. (2001), S. 26; vgl. Pausenberger, E. (1989), S. 622. Vgl. Azarmi, T.; Häcker, C. (2004), S. 887. 4 Vgl. Buzzell, R. D. (1984), S. 52. 5 Vgl. Paprottka, S. (1996), S. 123 f. 6 Vgl. Paprottka, S. (1996), S. 124. 7 Hier findet man in der Literatur auch Bezeichnungen wie "heterogen", "diagonal", "lateral" oder "diversifiziert". Vgl. hierzu z. B. Pausenberger, E. (1989), S. 623. 8 Vgl. Schubert W.; Küting, K. (1981), S. 33 ff. 9 Vgl. Baur, H.; Kuhnert, M. (2003), S. 396; vgl. auch Hermsen, C. (1996), S. 36 und die dort angegebene Literatur. 2 3
37
Horizontal ausgerichtete Unternehmenszusammenschlüsse ohne Produktausweitung bilden weiterhin mit über 60 % die Mehrheit aller Transaktionen und erhöhen stetig den Konzentrationsgrad einzelner Branchen.1 Des Weiteren sind horizontale Zusammenschlüsse aus Sicht der IT-Integration am interessantesten, da sich hier die Synergiepotenziale am ausgeprägtesten darstellen. Bei horizontalen Transaktionen ließen sich zudem wesentlich höhere Anforderungen an das Integrationsmanagement beobachten.2 Aus diesem Grund wird in der vorliegenden Arbeit ein Fokus auf horizontale Unternehmenszusammenschlüsse gelegt.
2.2.1.5 Integrationstyp Haspeslagh und Jemison sehen in der Integration den Schlüssel zum Erfolg eines Unternehmenszusammenschlusses. Erst durch die Zusammenführung beider Unternehmen kann eine Wertschöpfung erreicht werden.3 Um eine Wertschöpfung zu erlangen, müssen Interdependenzen zwischen den Unternehmen geschaffen werden. Diese Interdependenzen führen dazu, dass die Grenzen zwischen dem übernehmenden und dem erworbenen Unternehmen verschoben oder aufgelöst werden.4 Das Integrationsvorhaben zweier Unternehmen führt zur Einschränkung der bisherigen Autonomie, muss aber nicht zwangsläufig auch eine vollständige Aufhebung bedeuten. Die Integration kann verschiedenartig gestaltet werden. Es besteht die Möglichkeit, Synergiepotenziale zu realisieren und dennoch weiterhin dem erworbenen Unternehmen ein gewisses Maß an Autonomie zu gewähren. Durch eine kombinierte Betrachtungsweise der beiden Schlüsselaspekte Autonomiebewahrung und strategische Interdependenzen lassen sich drei bzw. vier Integrationstypen ableiten:5
1
Vgl. Jansen, S. A. (2001), S. 26. Vgl. Jansen, S. A. (2002a), S. 7. 3 Vgl. Haspeslagh, P.C.; Jemison, D.B. (1992), S. 129 ff. 4 Vgl. Haspeslagh, P.C.; Jemison, D.B. (1992), S. 167. 5 Vgl. Haspeslagh, P.C.; Jemison, D.B. (1992), S. 173 ff. 2
38
Abbildung 8: Integrationstypen Quelle: in Anlehnung an Haspeslagh, P.C.; Jemison, D.B. (1992), S. 174.
In der Praxis wird die Ausprägung der strategischen Interdependenzen und der unternehmerischen Autonomie durch die übergeordneten Unternehmens- und Zusammenschlussziele bestimmt.1 Wenn das leistungswirtschaftliche Synergiepotenzial gering ist, und die Hauptaufgabe darin besteht, den Erfolg des übernommen Unternehmens zu bewahren und fortzuführen, liegt der Integrationstyp der Erhaltung vor.2 Mögliche Motive dieses Integrationstyps sind in der Risikominimierung durch Diversifikation oder der Effizienzsteigerung durch Know-howTransfer zu sehen. Bei einer Erhaltungsakquisition entsteht eine Wertschöpfung durch die Förderung des übernommenen Unternehmens oder durch die Übertragung von Führungskonzepten oder Verfahrenweisen in das übernehmende Unternehmen.3 Aufgrund des hohen Erfordernisses zur Wahrung der Autonomie sind maximal die Ausschöpfung von leistungswirtschaftlichen Synergien im administrativen Bereich z. B. durch die Zusammenlegung der Buchhaltung oder von finanzwirtschaftlichen Synergien beispielsweise durch Ausnutzung von Steuervorteilen, verbesserte Möglichkeiten der Kapitalbeschaffung oder der Liquiditätssicherung denkbar.4 Entscheidend für den Erfolg einer Akquisition dieser Form ist, dass die Kern1
Vgl. Haspeslagh, P.C.; Jemison, D.B. (1992), S. 174. Vgl. Haspeslagh, P.C.; Jemison, D.B. (1992), S. 176 f. 3 Vgl. Hoyningen-Huene, J. (2004), S. 169. 4 Vgl. Haspeslagh, P.C.; Jemison, D.B. (1992), S. 176 f.; vgl. Sommer, S. (1996), S. 87. 2
39
kompetenzen und das operative Geschäft des erworbenen Unternehmens nicht beeinflusst werden, damit die Motivation und Leistungsbereitschaft der Mitarbeiter erhalten bleiben und die Arbeit wie gewohnt fortgesetzt werden kann.1 Bei diesem Integrationstyp wird das übernommene Unternehmen in einer völlig unabhängigen Rechtsform geführt.2 Der Bindungsgrad dieses Unternehmenszusammenschlusses ist sehr gering. Die Unternehmensgrenzen der beiden Zusammenschlussunternehmen bleiben fast vollständig erhalten. Daher gibt es in den meisten Fällen kaum Integrationsaktivitäten. Im IT-Bereich erfolgt in der Regel maximal die Konsolidierung der finanzwirtschaftlichern Informationen durch eine Vernetzung der verschiedenen Anwendungssysteme zur Erleichterung des Konzernabschlusses. Die Vorzüge dieses Integrationstyps liegen in der Vermeidung von umfangreichen Strukturänderungen und einem Kulturschock der Mitarbeiter, des Weiteren ist bei Ausbleiben des erwarteten Akquisitionserfolges eine Trennung von dem erworbenen Unternehmen problemlos möglich.3 Der Integrationstyp der Erhaltung kann jedoch auch durch bestehende Beteiligungsverhältnisse vorübergehend erzwungen sein. Wenn das erwerbende Unternehmen noch nicht über den notwendigen unternehmerischen Einfluss verfügt, können Integrationsaktivitäten durch andere Anteilseigner blockiert werden.4 Die Symbiose beschreibt einen Integrationstyp, bei dem eine partielle Integration vorgenommen wird, um auf der einen Seite die bestehenden Synergiepotenziale dieses Unternehmenszusammenschlusses weitestgehend auszuschöpfen und auf der anderen Seite die vorhandene Autonomie zu bewahren, da die erworbenen Fähigkeiten in ihrem organisatorischen Kontext erhalten bleiben müssen. So ist bei "Aufrechterhaltung der Grenzen" zwischen den Unternehmen gleichzeitig für ihre "Durchlässigkeit" zu sorgen.5 Daher stellt dieser Integrationstyp für das Management eine besonders komplexe Herausforderung dar. Die Unternehmen agieren zunächst weiter getrennt voneinander, um Schritt für Schritt in einem langsamen Prozess die Unternehmens- oder Funktionsbereiche mit den größten Überschneidungen und Synergiepotenzialen zusammenzuführen, während strategisch wichtige Funktionen weiter autonom geführt werden. Es wird eine Standardisierung von Leistungsprozessen sowie eine Abstimmung der Produkt-, Markt- und Personalentwicklung notwendig.6 Die partielle Integration der Unternehmensstruktur kann in verschiedenen Gestaltungsformen auftreten. Dabei ist das vollständige Ersetzen bestimmter Abteilungen ebenso denkbar, wie die Neuzusammensetzung von Abteilungen mit Mitarbeitern aus beiden Unternehmen.7 Dieser Integrationstyp findet
1
Vgl. Jansen, S. (2001) S. 234. Vgl. Jansen, S. (2001) S. 233. 3 Vgl. Baur, H.; Kuhnert, M. (2003), S. 404. 4 Vgl. Sommer, S. (1996), S. 88. 5 Vgl. Haspeslagh, P.C.; Jemison, D.B. (1992), S. 178. 6 Vgl. Jansen, S. (2001), S. 234. 7 Vgl. Ott, J. (1990), S. 176. 2
40
häufig Anwendung bei der Übernahme eines direkten Konkurrenten.1 So können leistungswirtschaftliche Synergien beispielsweise in der Logistik, der Produktion oder der Beschaffung ebenso realisiert werden wie finanzwirtschaftliche Synergien zum Beispiel durch ein konzernweites zentrales Liquiditätsmanagement, während die Kunden die Zusammenschlussunternehmen weiterhin als verschiedene Firmen wahrnehmen. In der Regel wird von der IT bei Wahl dieses Integrationstyps die Zusammenführung der Back-Office-Funktionen erwartet.2 Eine Absorption ist gegeben, wenn eine komplette Eingliederung aller Unternehmensbereiche erfolgt. Dabei sollen die Grenzen zwischen den Unternehmen letztendlich vollständig aufgelöst werden.3 Die wirtschaftliche und rechtliche Selbstständigkeit des erworbenen Unternehmens geht verloren. Zusammenschlüsse dieses Integrationstyps sind gekennzeichnet durch den größtmöglichen Bindungsgrad, daher bringt diese umfassende Integration auch den umfangreichsten Integrationsaufwand mit sich. Die Konsolidierungs-, Koordinations- und Harmonisierungsaktivitäten, die bei der partiellen Integration nur in bestimmten Bereichen durchgeführt werden müssen, betreffen bei der Absorption alle Bereiche und alle Prozesse.4 Bei dieser Zusammenführung zweier verschiedener Organisationen zu einem neuen Unternehmen handelt es sich um den tiefgreifendsten, schwierigsten und langwierigsten Integrationsprozess.5 Charakteristisch für diesen Integrationstyp ist jedoch das Bestreben, die Integration so schnell wie möglich zu bewerkstelligen.6 Bezüglich der Synergiepotenziale ist dieser Integrationstyp aufgrund der Möglichkeit der gemeinsamen Ressourcennutzung der effektivste. In der Regel sind im IT-Bereich die Integrationsobjekte IT-Strategie, IT-Organisation, IT-Systemlandschaften und die damit unterstützten Geschäftsprozesse sowie die jeweiligen Anwendergruppen in vollem Umfang zusammenzuführen. Da ein solches Integrationsvorhaben Probleme in den unterschiedlichsten Bereichen aufwirft und das verantwortliche Management vor die größten Herausforderungen stellt, soll in der vorliegenden Arbeit immer wieder auf die speziellen Anforderungen dieses Integrationstyps eingegangen werden. Das letzte Feld der Abbildung 8 trägt die Bezeichnung Holding-Struktur. Dahinter verbergen sich Unternehmenskäufe, die auf dem Wertmitnahme-Effekt basieren und deren primäre Motivation in der Ausnutzung von Marktineffizienzen besteht.7 Ziel ist es, einem unterbewerteten Unternehmen aus wirtschaftlichen Schwierigkeiten zu helfen, um es nach einer Sanierung weiterzuveräußern.8 Bei Unternehmenskäufen dieser Art erfolgt keine Integration
1
Vgl. Sommer, S. (1996), S. 86 f. Vgl. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007), S. 61. 3 Vgl. Haspeslagh, P.C.; Jemison, D.B. (1992), S. 176. 4 Vgl. Jansen, S. A. (2001), S. 235. 5 Vgl. Steinöcker, R (1993), S. 110; vgl. Jansen, S. A. (2001), S. 235; vgl. Baur, H. ; Kuhnert, M. (2003), S. 393. 6 Vgl. Sommer, S. (1996), S. 85. 7 Vgl. Hoyningen-Huene, J. (2004), S. 168. 8 Vgl. Haspeslagh, P.C.; Jemison, D.B. (1992), S. 175. 2
41
im engeren Sinne.1 Die rechtliche Souveränität des übernommen Unternehmens bleibt erhalten, der Integrationsbedarf ist sehr gering und das Synergiepotenzial unterscheidet sich insbesondere aus IT-Sicht nicht von dem beim Typ Erhaltung. Die einzige Integrationsmaßnahme bei Unternehmenszusammenschlüssen dieses Integrationstyps liegt in der Ausübung einer Holding-Funktion.2 Daher liegt der Schwerpunkt der IT-Integrationsmaßnahmen zumeist in der Unterstützung der Geschäftsleitung und der Fachbereiche bei der Zusammenführung von Funktionen wie der Finanz- und Controllingbereiche.3 In der Praxis sind die Übergänge zwischen den beschriebenen Integrationstypen fließend.4 Keiner der vorgestellten Integrationstypen ist per se zu bevorzugen. Vielmehr ist die Entscheidung von der Unternehmensstrategie, der individuellen Situation und den jeweiligen internen und externen Einflussfaktoren abhängig.5 So fließen beispielsweise interne Faktoren wie das Zusammenschlussmotiv, die Bindungsrichtung, die finanzielle Situation und die Größe bzw. der Größenunterschied der Unternehmen sowie externe Faktoren wie die individuelle Marktsituation, Forderungen externer Anspruchsgruppen oder wettbewerbsrechtliche Regelungen in die Entscheidung über den Bedarf an Autonomie und strategischen Interdependenzen ein.6 Empirische Untersuchungen zeigen, dass die in der Praxis gewählten Integrationstypen oftmals stark von den vorgestellten Idealtypen abweichen und individuelle Mischtypen entwickelt wurden.7 So wurden beispielsweise zeitlich versetzte Umsetzungen dynamischer Integrationstypen sowie eine nach Geschäftsbereichen differenzierende Wahl der Integrationstypen beobachtet. Die Einteilung in drei bzw. vier Integrationstypen erfolgt zur übergreifenden Charakterisierung des Integrationsmanagements im Rahmen von Unternehmenszusammenschlüssen. Sie beinhaltet dabei je nach erforderlichem Maß an Auflösung bzw. Bewahrung der Unternehmensgrenzen und der Notwendigkeit der strategischen Zusammenarbeit Empfehlungen zum Bindungsgrad.8 Diese Differenzierung zwischen den Integrationstypen wurde vorgenommen, weil darin idealtypische Gestaltungsvarianten einer Unternehmensintegration beschrieben werden, auf die in der vorliegenden Arbeit verschiedentlich zurückgegriffen wird. Diese Grundmuster sind auch in den verschiedenen IT-Integrationsmethoden wieder zu finden, die im Abschnitt 2.4.3.5 vorgestellt werden. Der erforderliche Grad an Interdependenzen zwi-
1
Vgl. Jansen, S. (2001), S. 234. Vgl. Haspeslagh, P.C.; Jemison, D.B. (1992), S. 175. 3 Vgl. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007), S. 61. 4 Vgl. Ott, J. (1990), S. 176; Sommer, S. (1996), S. 89. 5 Vgl. Shrivastava, P. (1986), S. 73. 6 Vgl. Rohloff, S. (1994), S. 55 f. 7 Vgl. Jansen, S. A. (2002b), S. 8. 8 Vgl. Hoyningen-Huene, J. (2004), S. 171. 2
42
schen beiden Zusammenschlussorganisationen bestimmt wesentlich das notwendige Maß an IT-Integration und wirkt sich damit direkt auf den angestrebten Integrationsgrad aus.1
Abbildung 9: Zusammenhang von Bindungsrichtung und Bindungsgrad Quelle: eigene Darstellung
Abbildung 9 veranschaulicht die Verknüpfung von Bindungsgrad und Bindungsrichtung. Dabei wird zur Vereinfachung ein Zusammenschluss von gleichberechtigten Unternehmen unterstellt, ein sogenannter "Merger of Equals". Bei einem deutlichen Größenunterschied beider Zusammenschlusspartner beeinflusst die Dominanz des größeren Unternehmens die Entscheidung hinsichtlich des Bindungsgrades und so kommt es beispielsweise auch bei konglomeraten Zusammenschlüssen zur Absorption des kleinen Unternehmens. Hinsichtlich des Einflusses der Bindungsrichtung auf den Integrationstyp lässt sich feststellen, dass im Fall von horizontalen und vertikalen Unternehmenszusammenschlüssen die Entscheidung in der Regel zugunsten der Absorption oder Symbiose zur Voll- bzw. Teilintegration der administrativen und operativen Bereiche fällt.2 Jedoch rät Buzzell nach einer Untersuchung von 1.649 Produktionsbetrieben eindeutig von einer Teilintegration bei vertikalen Zusammenschlüssen ab, da sich die Extrempositionen des Integrationsspektrums Absorption und Erhal-
1 2
Vgl. McKiernan, P.; Merali, Y. (1995), S. 58. Vgl. Möller, W.-P. (1983), S. 251; Rohloff, S. (1994), S. 54 f. 43
tung als die rentableren Integrationstypen herausstellten.1 Der Bindungsgrad ist jedoch bei konglomeraten Akquisitionen generell deutlich geringer. So erfolgt bei konzentrischen Akquisitionen oftmals eine Verschmelzung einzelner Funktionsbereiche wie beispielsweise der Forschungsabteilung, während es bei rein konglomeraten Akquisitionen lediglich zu einer Zusammenlegung des Headquarters kommt, um die Führung und Kontrolle der neuen Gesellschaft zu gewährleisten. Zu der Frage, ob eine positive Korrelation zwischen Bindungsgrad der Zusammenschlussunternehmen und der Überschneidung der von ihnen bearbeiteten Produkt-Markt-Felder existiert oder nicht, gibt es in der Literatur widersprüchliche Aussagen.2 Porter stellte durch eine Langzeituntersuchung von 33 US-Konzernen fest, dass Diversifikationsstrategien nur dann erfolgreich waren, wenn die Chancen der Aufgabenzentralisierung und des Know-how-Transfers genutzt wurden.3 Somit scheint das Vorhandensein von Synergiepotenzialen grundsätzlich eine zwingende Voraussetzung für den Erfolg von langfristigen Unternehmenszusammenschlüssen zu sein. Sicher ist jedoch, dass die situativen Umstände des Unternehmenszusammenschlusses von Bedeutung sind für die Ausgestaltung der IT-Integration. Unstrittig ist auch, dass sowohl die Integrationsrichtung als auch die Entscheidung für einen Integrationstyp und der damit angestrebte Bindungsgrad Einfluss auf das Synergiepotenzial im IT-Bereich haben. Das Synergiepotenzial ist bei horizontalen Zusammenschlüssen grundsätzlich am größten, da beispielsweise oftmals nach einer Harmonisierung gleichartiger Geschäftsprozesse die unterstützenden Anwendungssysteme zusammengeführt werden können. Hingegen birgt eine vollständige Integration der Anwendungslandschaft bei vertikalen Zusammenschlüssen deutlich weniger Kostensenkungspotenzial, da sich die Prozesskette in diesem Fall verlängert.4 Die verschiedenen Stufen der Wertschöpfungskette haben in der Regel unterschiedliche Anforderungen an die Funktionalität der Anwendungssysteme und daher sind die Synergiepotenziale bei vertikalen Integrationsbestrebungen oftmals sehr beschränkt.5 Dennoch lassen sich auch hier beispielsweise in der Vereinheitlichung der IT-Infrastruktur oder der Zusammenführung von Hosting-, Support- und Einkaufsaktivitäten system- und prozessübergreifende Synergien festmachen. Eine Vernetzung über die Wertschöpfungskette sollte in jedem Fall vorangetrieben werden. Das Synergiepotenzial konglomerater Unternehmensakquisitionen kann dagegen in den meisten Fällen vernachlässigt werden. Jedoch ist, selbst im
1
Vgl. Buzzell, R. D. (1984), S. 58. Vgl. auf der einen Seite Möller, W.-P. (1983), S. 245 ff.; vgl. Scheiter, D. (1989), S. 122 ff.; vgl. Paprottka, S. (1996), S. 133 f.; vgl. Hermsen, C. (1994), S. 37 und vgl. auf der anderen Seite Dabui, M. (1998); S. 164 f.; Metz, M. (2002), S. 30 f. 3 Vgl. Porter, M. E. (1987), S. 30 ff. 4 Vgl. Hövelmann, N.; Baumgart, W. (1999), S. 12; vgl. Komus, A.; Reiter, O. (2000), S. 35. 5 Vgl. Rigall, J.; Hornke, M. (2007), S. 497. 2
44
Fall von konglomeraten Zusammenschlüssen, eine Vernetzung der IT-Infrastruktur und eine Konsolidierung der Kostenrechnungs- und Finanzsysteme erforderlich.1 Auch die Wahl des Integrationstyps hat einen entscheidenden Einfluss auf die IT-Integration. Zum einen ist die Wahl der IT-Integrationsmethode von der Ausprägung des Integrationstyps abhängig, und zum anderen sind bei einer Absorption die Möglichkeiten zur Ausschöpfung von Synergiepotenzialen grundsätzlich am umfangreichsten. Die Grenzen zwischen den IT-Systemen können dabei ebenso schwinden wie die Grenzen zwischen den Unternehmen. Bei einer Symbiose ist eine weit reichende IT-Integration nur in Teilbereichen möglich und daher sind auch die Synergiepotenziale deutlich geringer. Im Fall der Erhaltung in Reinform sind sie sogar zu vernachlässigen, da man nur in Einzelfällen eine gemeinsame IT-Ressourcennutzung anstrebt.2 Grundsätzlich gilt: Je höher der Bindungsgrad und je verwandter die Geschäftaktivitäten, desto größer ist das Synergiepotenzial.3 Eine IT-Integration, wie sie in dieser Arbeit beschrieben wird, ist insbesondere für die Unternehmenszusammenschlüsse von Belang, die in dem markierten Bereich der Abbildung 9 eingruppiert werden, da die Integrationsanforderungen in diesen Fällen in der Regel am höchsten sein werden. Die Handlungsempfehlungen des im vierten Teil der Arbeit vorgestellten Phasenmodells sowie das im fünften Teil entwickelte Vorgehenskonzept lassen sich jedoch auch auf Integrationsvorhaben aller übrigen Unternehmenszusammenschlussformen übertragen.
2.2.1.6 Bedeutung der IT-Integration bei M&As Der Kern jedes Integrationsprozesses ist die Zusammenführung von Ressourcen und die anschließende gemeinsame Nutzung.4 Hierbei lässt sich zwischen materiellen und immateriellen Ressourcen unterscheiden. Beim materiellen Ressourcentransfer geht es um die Zusammenführung der Vermögensgegenstände beider Unternehmen. Unter immateriellem Ressourcentransfer versteht man die Verschmelzung von Prozessen und funktions- oder managementbezogenen Fähigkeiten sowie die gemeinsame Nutzung von Patenten, Rechten und Wissen.5 Das Synergiepotenzial im IT-Bereich wird neben der Globalisierung als entscheidender Treiber von Unternehmenszusammenschlüssen gesehen.6 Wie bereits erwähnt sehen viele Autoren in einem gelungenen Integrationsprozess den Schlüssel zum Erfolg von Unternehmenszusammenschlüssen.7 Bei der Zusammenführung verschiedener Unternehmen sind im Rahmen des Integrationsprozesses viele Aspekte zu beachten. Der Informationstechnologie sollten dabei
1
Vgl. Paprottka, S. (1996), S. 187. Vgl. Komus, A.; Reiter, O. (2000), S. 36. 3 Vgl. Komus, A.; Reiter, O. (2000), S. 35. 4 Vgl. Baur, H.; Kuhnert, M. (2003), S. 406. 5 Vgl. Baur, H.; Kuhnert, M. (2003), S. 406; vgl. Sommer, S. (1996), S. 71. 6 Vgl. Holzwart, G. (2000), S. 56; vgl. Komus, A.; Reiter, O. (2000), S. 35; vgl. auch Baumöl, U. (2003) S. 245 ff. 7 Vgl. Haspeslagh, P.C.; Jemison, D.B. (1992), S. 129 ff.; vgl. auch Ernst & Young (2006), S. 8. 2
45
neben kulturellen Faktoren die höchste Aufmerksamkeit geschenkt werden.1 Probleme bei der IT-Integration stellen eine starke Belastungsprobe für den Unternehmenszusammenschluss dar.2 Eine mangelnde IT-Integration hat bereits große Unternehmenszusammenschlüsse scheitern lassen. 3 Studien von Accenture und PWC haben gezeigt, dass die Integration der Informationstechnologie in der Post Merger Integration-Phase einen entscheidenden Erfolgsfaktor für Unternehmenszusammenschlüsse darstellt.4 Zudem belegen sie, dass es sich bei der ITIntegration um eine der größten Herausforderungen nach dem Vertragsabschluss handelt, da annähernd Dreiviertel der befragten Unternehmen von Schwierigkeiten bei der IT-Integration berichteten. Untersuchungen haben ebenfalls gezeigt, dass in der Unterschätzung der Bedeutung der Informationstechnologie für die Zusammenführung der Unternehmen eine wesentliche Ursache für den Misserfolg von Unternehmenszusammenschlüssen liegt.5 Voraussetzung für die Zusammenführung von IT-gestützten Geschäftsprozessen ist die Vereinheitlichung der IT-Systeme. Viele geschäftkritische Prozesse sind ohne den Einsatz von Informationstechnologie nicht mehr wirtschaftlich realisierbar.6 Die IT hat die Aufgabe die Prozesse innerhalb des Unternehmens nicht nur effizienter zu gestalten, sondern sie auch bereichs- und unternehmensübergreifend zu integrieren und zu beschleunigen. Insbesondere wenn der angestrebte Bindungsgrad der beteiligten Unternehmen als hoch einzustufen ist, sind die neuen Geschäftsprozesse schnell und vor allem effektiv durch den Einsatz einer integrierten IT-Landschaft zu unterstützen.7 Von erheblicher Relevanz ist die Zusammenführung der Berichterstattungs- und Steuerungssysteme, da sie einen Großteil der entscheidungsrelevanten Informationen bereit stellen, die für ein erfolgreiches Lenken der betroffenen Bereiche sowie für die Erfolgsmessung des Integrationsprozesses erforderlich sind.8 Das Kosteneinsparungspotenzial liegt im Durchschnitt zwischen 10 und 30 % der IT-Gesamtkosten.9 Zu der Realisierung von Synergien in anderen Bereichen kann die Integration der IT einen entscheidenden Beitrag leisten. So können ca. die Hälfte der fachseitigen Synergiepotenziale erst realisiert werden, wenn die IT erfolgreich integriert wurde.10 Da die Unternehmen durch eine zunehmende Nutzung der Informationstechnologie gekennzeichnet sind, handelt es sich bei der Integration der IT oftmals um das erste gemeinsame Pro-
1
Vgl. Penzel, H.-G. (2000), S. 25 ff.; vgl. Welge, M. K.; Al-Laham, A. (1999), S. 454. Vgl. Nicolaus, M. (2006), S. 27. Vgl. Hövelmanns, N.; Baumgart, W. (1999), S. 12. 4 Vgl. dazu Accenture (2002), S. 5 ff.; vgl. auch PriceWaterhouseCoopers (1999), S. 3. 5 Vgl. Brüning, I.; Pedain, C.; Deaslay, P.J. (2002), S. 138; vgl. Karrner, H; Eckert, R. (2005), S. 377. 6 Vgl. Schott, K.; Mäurer, R. (2001), S. 39 f. 7 Vgl. Hövelmanns, N.; Baumgart, W. (1999), S. 13. 8 Vgl. Lehner, U.; Schmidt, M. (2000), S. 185. 9 Vgl. Trapp, R.C.; Otto, A. (2002), S. 104; vgl. Berensmann, D.; Spang, S. (1998), S. 36; vgl. Allwermann, R. (1993); S. 6; vgl. Strahringer, S.; Zdarsky, F. (2003), S. 524 ff. 10 Vgl. Meier, A.; Spang, S. (2000), S. 7f.; vgl. Berensmann, D.; Spang, S. (1998), S. 36. 2 3
46
jekt nach einem Unternehmenszusammenschluss.1 Das Top-Management ist daher bemüht, das kulturelle Zusammenwachsen der Zusammenschlussunternehmen mit Hilfe der IT zu beschleunigen, um so die Umsetzung der strategischen Ziele der Fusion zu ermöglichen. Die Integration der IT wird genutzt, um den Veränderungsprozess der Unternehmensorganisation voranzutreiben.2 Man spricht in diesem Fall von der sogenannten IT-Push-Integration, bei der die IT die erforderliche Verschmelzung beider Unternehmen "sanft" aber "schnell" vorantreiben soll.3 Hier wird somit umgekehrt die IT-Integration genutzt, um die Verschmelzung der Zusammenschlussunternehmen zu forcieren. Die Analyse erfolgreicher Unternehmenszusammenschlüsse ergab, dass die IT-Integration aufgrund der Zusammenarbeit der verschiedenen Funktionsbereiche eine herausragende und proaktive Rolle im Integrationsprozess gespielt hat.4 Zusammenfassend kann gesagt werden, dass Unternehmenszusammenschlüsse in der Regel Integrationsaktivitäten nach sich ziehen. Die Bedeutung der Integration materieller und immaterieller Ressourcen im IT-Bereich wächst zum einen mit dem angestrebten Bindungsgrad und zum anderen in dem Maße, in dem die betriebswirtschaftlichen Wertschöpfungsprozesse des Unternehmen durch die IT unterstützt und durchdrungen werden.5 Dabei beeinflusst die Informationstechnologie den Integrationserfolg bei Unternehmenszusammenschlüssen auf mehreren Ebenen. Auf der einen Seite lassen sich durch die Integration der IT bedeutende Einsparungspotenziale realisieren. Die konsolidierten Informationssysteme bilden zudem die Basis für die effiziente Steuerung und Kontrolle des Integrationsprozesses. Eine mangelhafte Integration der Informationstechnologie kann die gesamte Unternehmensintegration deutlich verzögern. Unerwartete Kosten im IT-Bereich oder Störungen im Betriebsablauf können sogar den Erfolg eines Unternehmenszusammenschlusses gefährden. Auf der anderen Seite kann durch die Integration der IT die Verschmelzung der Zusammenschlussunternehmen forciert und der Abbau kultureller Barrieren vorangetrieben werden. Es handelt sich also bei der IT-Integration um einen kritischen Erfolgsfaktor für den Fusionserfolg.6
2.2.2 Reorganisation als interner Anlass einer IT-Integration Neben einem Unternehmenszusammenschluss als externen Anlass gibt es Reorganisationen als interne Auslöser einer IT-Integration. Denn wenn sich ein Unternehmen in einer Krisensituation befindet, sind oftmals auch ineffiziente IT-Strukturen für die prekäre Lage des
1
Vgl. Lauritzen, S. (2000), S. 21; vgl. Gerpott; T.J. (2003), S. 469. Vgl. McKiernan, P.; Merali, Y. (1995), S. 55. 3 Vgl. Lauritzen, S. (2000), S. 19; vgl. auch Strahringer, S.; Zdarsky, F. (2003), S. 524 f. 4 Vgl. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007), S. 65. 5 Vgl. Kromer, G.; Stucky, W. (2002), S. 523; vgl. Hövelmanns, N.; Baumgart, W. (1999), S. 13. 6 Vgl. Brüning, I.; Pedain, C.; Deaslay, P.J. (2002), S. 138, 144; vgl. Strahringer, S.; Zdarsky, F. (2003), S. 526; vgl. Johnston, K. D.; Yetton, P. W. (1996), S. 189. 2
47
Unternehmens verantwortlich. „Restrukturierungsmaßnahmen in der IT können einen wertvollen Beitrag zur Sanierung des Unternehmens leisten.“1 Unzureichend verknüpfte und nichtintegrierte IT-Systeme lassen sich als Ursache für folgende Defizite bei Krisenunternehmen häufig feststellen:2 •
ungenügende Steuerungs- und Kontrollmöglichkeiten der Unternehmensleitung aufgrund fehlender bzw. nicht konsolidierter Controllingdaten, wie z. B. dem Kundenund Produktergebnis, lieferantenbezogener Bestellvolumina, Bestandshöhe und –entwicklung oder dem Liquiditätsstatus (demzufolge können keine sinnvollen Frühwarnprozesse aufgesetzt werden und die Reaktionsmöglichkeiten sind stark eingeschränkt)
•
mangelhafte Abbildung der Geschäftsprozesse, was sich z. B. in langen Durchlaufzeiten, hohen Prozesskosten und überdurchschnittlicher Fehleranfälligkeit widerspiegelt
•
laufende IT-Kosten beispielsweise für den Betrieb der Rechenzentren oder für die Wartung und Pflege der Anwendungssysteme, die in einem nicht vertretbaren Verhältnis zu ihrem Nutzen stehen
Erfolgt eine IT-Integration im Rahmen eines umfangreichen Restrukturierungsprojektes, steht dieser Veränderungsprozess ähnlich wie nach einem Unternehmenszusammenschluss unter einem außerordentlichen Zeitdruck und zusätzlich unter einem erhöhten Kostendruck. Für eine erfolgreiche Koordination und Steuerung des IT-Integrationsprozesses sind hierbei die Abstimmungen zwischen den betroffenen Bereichen in gleicher Weise erforderlich wie bei Unternehmenszusammenschlüssen. In anderen Fällen werden nach Unternehmenszusammenschlüssen oftmals die zuvor getroffenen Vereinbarungen ignoriert und eine Harmonisierung der bestehenden Prozesse und Strukturen über Jahre verschleppt, da man die Risiken einer Zusammenführung scheut.3 So kommt es dazu, dass eine Integration der IT erst Jahre nach dem Zusammenschluss im Rahmen interner Neustrukturierungsprojekte erfolgt. IT-Integrationsprojekte werden jedoch nicht nur in Zusammenschluss- oder Krisenunternehmen angestoßen. Durch eine Restrukturierung im IT-Bereich lassen sich Wertsteigerungen und Kosteneinsparungen bis zu 30 % auch ohne vorangegangene Unternehmenszusammenschlüsse oder Krisensituationen erreichen.4 Neuentwicklungen im Bereich der Informationstechnologie sind heutzutage beispielsweise zentrale Treiber für das Aufsetzen von Veränderungs- und Integrationsprojekten.1 Eine umfangreiche Vereinheitlichung der IT-Landschaft wird in einigen Fällen auch vom Management genutzt, um eine Reorganisation der 1
Baur, A. (2004), S. 26. Vgl. Baur, A. (2004), S. 25. Vgl. Lucks, K. (2002), S. 44 ff. 4 Vgl. Arthur D. Little (2002), S. 1 f. 2 3
48
Geschäftsprozesse vorzunehmen.2 Durch eine veränderte Ausgestaltung der IT kann das Geschäft eines Unternehmens vollkommen neue Formen annehmen.3 Während die Bedürfnisse der Anwender weiter steigen, wissen die IT-Verantwortlichen teilweise nicht einmal, welche IT-Systeme sie weltweit im Einsatz haben bzw. welche ITProjekte momentan laufen. Unter dem Stichwort IT-Portfoliomanagement wird daher zunehmend die Forderung nach einem Überblick über die unternehmensweiten IT-Ressourcen gestellt, um so Systemduplikate und Redundanzen aufzuspüren, der unnötigen Systemvielfalt entgegenzutreten und eine Vereinheitlichung vornehmen zu können.4 Die strategische Neuausrichtung eines Unternehmens kann ebenso wie verschiedenartige Reorganisation-, Qualitäts- oder Prozessverbesserungs- sowie Kostensenkungsprojekte der interne Auslöser einer IT-Integration sein.5 Umfangreichen IT-Integrationsvorhaben geht üblicherweise eine Entscheidung auf der Strategieebene voraus, die z. B. zu einer internen Reorganisation oder einem Unternehmenszusammenschluss führen. Je nach dem, was der Auslöser für eine IT-Integration ist, ergeben sich unterschiedliche Umfeldbedingungen und individuelle Zielsetzungen für die Zusammenführung der IT. Unabhängig von dem Auslöser des IT-Integrationsprozesses sollen im folgenden Abschnitt allgemeine Ziele der IT-Integration beschrieben werden.
2.3
Ziele und Aufgaben der IT-Integration
Die übergeordneten Ziele einer IT-Integration liegen in der Erschließung von Wachstumspotenzialen und der Stärkung der Wettbewerbsposition des Unternehmens. Zur Zielerreichung ist der Veränderungsprozess so zu steuern, dass konsequent beim und durch den Einsatz der IT eine Verbesserung der Wirtschaftlichkeit des Unternehmens angestrebt wird. Um im Rahmen der IT-Integration zu einer Verbesserung der wirtschaftlichen Situation beizutragen, bieten sich folgende Alternativen: 6 •
die Steigerung des Umsatzes durch das Erschließen neuer, möglichst innovativer Geschäftsfelder, um das Ausschöpfen eines externen Gewinnsteigerungspotenzials zu ermöglichen oder
•
die Realisierung von Synergieeffekten, um durch eine effizientere Unternehmensorganisation eine interne Gewinnsteigerung zu erreichen.
1
Vgl. Österle, H.; Winter, R. (2003), S. 11 ff.; vgl. Baumöl, U. (2003), S. 245. Vgl. Davenport, T. H.; Short, J. E. (1990), S. 11 ff. 3 Vgl. Davenport, T. H.; Short, J. E. (1990), S. 12. 4 Vgl. Gartner (2007), S. 5 f. 5 Vgl. Vogler, P. (2006), S. 21. 6 Vgl. Baumöl, U. (2003), S. 249; vgl. Rosenkranz, F. (2002), S. 17. 2
49
Abbildung 10: Zielhierarchie der IT-Integration Quelle: eigene Darstellung in Anlehnung an Rosenkranz, F. (2002), S. 17.
Diese Forderungen nach Umsatzsteigerung und Synergierealisierung bestehen unabhängig von der stetig steigenden Komplexität der Unternehmens-IT und der kontinuierlich zunehmenden Zahl relevanter Anforderungen an die IT, die sich aus Gesetzen und Normen ergeben.1 Eine unmittelbare Umsatzsteigerung mittels IT-Integration soll in dieser Arbeit nicht weiter betrachtet werden. Das Ermitteln neuer Geschäftsfelder beispielsweise durch die Einführung eines elektronischen Datenaustausches mit Geschäftspartnern ist nicht Bestandteil dieser Arbeit und wurde bereits ausgegrenzt.2 Die vorliegende Arbeit befasst sich mit dem zweiten Punkt, der internen Gewinnsteigerung. Sowohl die Senkung der Kosten durch das Eruieren von Rationalisierungspotenzialen als auch die Verbesserung der Qualität durch das Ausschöpfen des Wertsteigerungspotenzials tragen zur intern getriebenen Gewinnsteigerung bei.3 Aus dieser grundsätzlichen Zielsetzung lassen sich für ein IT-Integrationsvorhaben allgemein die folgenden Hauptziele ableiten.
1
Vgl. Böhm, M. (2008), S. 16. Siehe hierzu Abschnitt 1.3. 3 Vgl. hierzu genauer Abschnitt 2.3.1. 2
50
•
Steigerung von Effizienz und Effektivität der Geschäftsprozessunterstützung durch die Vereinheitlichung von IT-Infrastruktur und Anwendungslandschaft
•
Erhöhung der Flexibilität, um auf Veränderungen im Markt, auf neue Kundenanforderungen sowie auf gesetzliche Anforderungsänderungen besser und schneller reagieren zu können
•
Kundenorientierung und Qualitätssteigerung des IT-Leistungsprogramms, um die Anwenderzufriedenheit zu steigern
•
Kostensenkung im IT-Bereich
Tabelle 2: Hauptziele der IT-Integration Quelle: eigene Darstellung1
Die Liste der angeführten Hauptziele einer IT-Integration stellt nur ein Grundraster dar. Diese allgemein formulierte Zielsetzung steht auch im Einklang mit den drei wichtigsten Beweggründen deutscher Großunternehmen für IT-Integrationsvorhaben: die Vereinfachung der Geschäftsprozesse, ein schnelles Reagieren auf veränderte Geschäftsbedingungen und die Senkung der Kosten für die IT-Landschaft.2 Die hohe Relevanz der Verbesserung und Vereinheitlichung von Geschäftsprozessen als Zielsetzung eines IT-Integrationsprojektes ist nicht verwunderlich, da es kein geeigneteres Instrument zur innerbetrieblichen Koordination gibt, als die IT.3 Die einzelnen Ziele werden selbstverständlich in verschiedenen Integrationsprojekten sehr unterschiedlich gewichtet und um individuelle strategische und operative Ziele des jeweiligen Unternehmens ergänzt. Rentrop hat zahlreiche von verschiedenen Autoren formulierte Teilziele der IT-Integration in einer Übersicht zusammengetragen.4 Grundvoraussetzung für einen erfolgreichen IT-Integrationsprozess ist die Vorgabe eindeutiger quantitativer Ziele. Die Ziele der IT-Integration müssen dabei aus der aktuellen Unternehmensstrategie abgeleitet werden.5 Für die Teilprojekte des Integrationsprojektes sind ebenfalls klare und ambitionierte Ziele zu definieren.6 Bei der Formulierung der IT-Integrationsziele sollte darauf geachtet werden, dass sich diese in evaluierbare Ziele innerhalb der
1
Vgl. Berensmann, D.; Spang, S. (1998), S.36; vgl. Hövelmann, N.; Baumgart, W. (1999), S. 13; vgl. Komus, A.; Reiter, O. (2000), S. 35 ff.; vgl. Bender, K.; Ammann, C.; Meitner, H. (2000), S. 25; vgl. Specht, G. (2003), S. 359. 2 Vgl. SAP (2004), S. 6. 3 Vgl. Davenport, T. H.; Short, J. E. (1990), S. 12. 4 Vgl. Rentrop, C. E. (2003), S. 53. 5 Vgl. Komus, A; Reiter, O. (2000), S. 35. 6 Vgl. Berensmann, D.; Spang, S. (1998), S. 37. 51
Teilprojekte spezifizieren lassen.1 Ein Beispiel dafür könnte der konsolidierte Konzernabschluss mit Hilfe eines integrierten ERP-Systems sein.2 Dabei dienen die Integrationsziele und die zur Zielerreichung herauszuarbeitenden Erfolgsfaktoren als Orientierungsraster bei der Durchführung des Integrationsprojektes.3 Basierend auf den Zielen der IT-Integration und den Anforderungen an die zukünftige IT-Welt können der Zeitrahmen sowie das Integrationsbudget festgelegt werden. Hierbei ist zu berücksichtigen, dass die Erfolgswahrscheinlichkeit mit zunehmender Projektdauer abnimmt, sodass es unter Umständen sinnvoller sein kann, bestimmte Optimierungsaktivitäten in Anschlussprojekten erfolgen zu lassen.4 Als weiterer Zielkonflikt ist zu beachten, dass eine maximale Integration und eine optimale Gestaltung der Geschäftsprozesse zwar wünschenswert wären, aber aus Kosten- und Nutzenerwägungen zumeist dennoch nicht angestrebt werden sollten.5 Allgemein kann festgehalten werden, dass das übergeordnete Ziel der Integration der Informationstechnologie in der Stärkung der Wettbewerbsposition des Unternehmens besteht. Folglich geht es darum, durch die Zusammenführung der IT eine Qualitätssteigerung der ITLeistungen, die Steigerung der Anwenderzufriedenheit, die Optimierung von IT-gestützten Geschäftsprozessen und die Erhöhung der Flexibilität auf der einen Seite sowie die Kostensenkung auf der anderen Seite zu erreichen. Die Prioritätenverteilung bezüglich dieser Teilziele variiert stark je nach Unternehmensstrategie und Unternehmenssituation. Erreicht werden sollen diese Ziele durch eine Komplexitätsreduktion bezogen auf den Einsatz der IT, die IT-gestützten Geschäftsprozesse und die IT-Organisation. Der Erfolg der IT-Integration kann jedoch nur vor dem Hintergrund der definierten Ziele gemessen werden und daher sollte die Zieldefinition vor der eigentlichen Zusammenführung abgeschlossen sein.6 Um die definierten Ziele zu erreichen, müssen die Synergiepotenziale realistisch bewertet und konsequent ausgeschöpft werden.7 Auf mögliche positive wie negative Synergieeffekte einer IT-Integration sowie auf die Aufgaben der IT im Integrationsprozess wird in den folgenden Abschnitten genauer eingegangen. Von einer erfolgreichen IT-Integration kann gesprochen werden, wenn nach deren Abschluss die spezifischen Ziele der IT-Integration und damit auch die übergeordneten Ziele des Unternehmens in Bezug auf die Integration realisiert wurden.8
1
Vgl. Hövelmanns, N.; Baumgart, W. (1999), S. 14; vgl. Komus, A; Reiter, O. (2000), S. 38. Vgl. Komus, A; Reiter, O. (2000), S. 38. 3 Vgl. Achleitner, A.-K.; Wecker, R.; Wirtz, B.W. (2004), S. 1506. 4 Vgl. Berensmann, D.; Spang, S. (1998), S. 37. 5 Vgl. Pfohl, H.-C.; Hofmann, E. (2003), S. 310. 6 Vgl. Rigall, J.; Hornke, M. (2007), S. 498. 7 Vgl. Handschuh, M; Buchta, D. (2000), S. 32. 8 Vgl. Achleitner, A.-K.; Wecker, R.; Wirtz, B.W. (2004), S. 1506. 2
52
2.3.1 Synergieeffekte einer IT-Integration Der Begriff Synergie hat seinen etymologischen Ursprung im Griechischen und bedeutet "Zusammenwirken".1 In der Naturwissenschaft wird unter dem Begriff Synergie das Zusammenwirken von Substanzen mit überadditivem Resultat verstanden.2 Ansoff beschrieb den Synergiebegriff als erster im betriebswirtschaftlichen Kontext mit der einprägsamen Gleichung "2+2=5" als einen Umstand, bei dem durch die Zusammenführung von Einzelaktivitäten eine Gesamtwirkung erzielt wird, welche die Summe der unabhängigen Einzelwirkungen übersteigt.3 Bei dieser Überlegung wurden ursprünglich nur positive Synergien berücksichtigt.4 Innerhalb von Integrationsprozessen ist jedoch auch das Auftreten negativer Synergien, sogenannter Dyssynergien, möglich.5 Während unter Synergieeffekten tatsächlich realisierte Synergien verstanden werden, verbirgt sich hinter dem Begriff Synergiepotenziale die maximal realisierbare Synergie.6 Synergiepotenziale werden überwiegend nach Funktionsbereichen differenziert.7 Im Rahmen dieser Arbeit stehen die Synergiepotenziale im IT-Bereich im Vordergrund, welche bereits durchaus auf eine längere Tradition zurückblicken. Everling beschrieb schon 1963 Vor- und Nachteile von Verbundeffekten im Verwaltungsbereich beispielsweise für den Einsatz von Lochkartenabteilungen oder Großrechenanlagen.8 Bei dem parallelen Betrieb mehrerer IT-Landschaften innerhalb eines Unternehmens gehen Effizienzvorteile verloren.9 Mittels der Zusammenführung von IT-Anwendungen bzw. der gemeinsamen Nutzung einer integrierten IT-Infrastruktur durch verschiedene Geschäftseinheiten können redundante Komponenten der IT-Landschaften abgeschafft und das interne Know-how zum Betrieb und zur Anwendungsbetreuung, welches oftmals sehr weitläufig verteilt ist, gebündelt werden.10 Es besteht die Möglichkeit, Skaleneffekte aus der Zusammenführung und Standardisierung der IT-Landschaften zu generieren, beispielsweise bedingt durch die Reduzierung des Aufwands für Pflege, Wartung und Instandhaltung der IT-Landschaft.11 Die Vereinheitlichung von IT-Prozessen ermöglicht einen Qualitätsgewinn und eine flexiblere Serviceorganisation. So können beispielsweise durch eine Standardisierung der IT-Schulungen Kosten gespart und das Anwendungswissen gezielter verteilt werden.
1
Vgl. Wildemann, H. (2003a), S. 596. Vgl. Paprottka, S. (1996), S. 41; vgl. Jansen S.A. (2001), S. 103 f. Vgl. Ansoff, H. I. (1966), S. 97. 4 Vgl. Sommer, S. (1996), S. 67; vgl. Thiemann, J. (2004), S. 9. 5 Vgl. Hofmann, E. (2004), S. 238; vgl. auch Bisani, F. (1990), S. 12; vgl. Pfohl, H.-C.; Hofmann, E. (2003), S. 307. 6 Vgl. Thiemann, J. (2004), S. 9. 7 Vgl. Jansen, S.A. (2001), S. 104; vgl. Paprottka, S. (1996), S. 77 ff.; vgl. Bühner, R. (1989), S. 159. 8 Vgl. Everling, W. (1963), S. 207. 9 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 99. 10 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 99. 11 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 99. 2 3
53
Positive Synergien
Negative Synergien
• Rationalisierungseffekte durch Bündelung von Ressourcen:
• Restrukturierungs- und Systemanpassungskosten
Zusammenlegung zweifach vorhandener Aufgaben und Technik (z. B. der Rechenzentren) Konsolidierung der Support- und MaintenanceAktivitäten Zusammenführung der IT-Projekte zu einem IT-Gesamtprojektportfolio
• Reduzierung der Betriebs-, Entwicklungs- und Wartungskosten durch Integration der IT-Landschaften • Integration der Anwendungssysteme führt zu:
Medienbruchreduzierung Einsparungen von Lizenzkosten Steigerung der Benutzerfreundlichkeit durch einheitliche Verfahren und Reduzierung der Anwendungsvielfalt
• Konsolidierung der Stammdaten und Stammdatenpflege ermöglicht:
• Schulungsbedarf der IT-Mitarbeiter und der Anwender • Steigende Komplexität der informationstechnischen Aufgabenstellung • Zunehmende Koordinationskosten • Arbeitsunzufriedenheit und Leistungsabfall bei Mitarbeitern der IT • Flexibilitätseinschränkung durch umfangreichere ITSysteme und hohen Standardisierungsgrad • Kundenverluste durch lange Integrationszeiten verbunden mit Störungen im Betriebsablauf und fehlerhaften Prozessabläufen • Anwenderunzufriedenheit durch schlechte Systemverfügbarkeit und unbefriedigende Anwenderbetreuung in der Integrationsphase • Innovationsstillstand durch hohen Integrationsaufwand
Verbesserte Datenqualität Aufwandsreduzierung für Datennachbereitung und Korrekturen Verbesserte Entscheidungsqualität durch einheitliche Reportingaussagen
• Reduzierung der Transaktionskosten sowie der Bearbeitungs- und Durchlaufzeiten durch Zusammenführung, Standardisierung und Optimierung der IT-gestützten Geschäftsprozesse • Realisierung neuerer technischer Möglichkeiten • Lerneffekte, die sich durch die Kombination der jeweiligen Best-Practice-Lösung ermitteln lassen • Verbesserung der Informationsqualität durch Vereinheitlichung der Informations- und Datenflüsse und -inhalte • Höhere Qualität des Anwendersupports • Sicherung der Software-/Hardware-/ Telekommunikations-/Dienstleistungs-Lieferanten/ Abnehmerbeziehung und ggf. Verhandlung verbesserter Konditionen durch ein integriertes IT-Beschaffungsmanagement (Größeneffekt) • Transfer von IT-Know-how • Erhöhung der IT-Sicherheit/ Reduzierung des Daten-
missbrauchspotenzials
Tabelle 3: Beispielhafte positive und negative Synergien der IT-Integration Quelle: eigene Darstellung1
1
Vgl. Pfohl, H.-C.; Hofmann, E. (2003), S. 325; vgl. Lauritzen, S. (2000), S. 21; vgl. Wildemann, H. (2003a), S. 601; vgl. Rigall, J.; Hornke, M. (2007), S. 497; vgl. Kampmann, S.; Sulzbach, S. (2007), S. 64 ff.
54
In Tabelle 3 werden positive und negative Synergien als mögliche Konsequenz eine IT-Integration beispielhaft dargestellt. Dabei realisieren sich positive Synergien nicht von selbst, sie müssen konsequent erarbeitet werden.1 Dafür muss der Prozess der Synergieentfaltung durch ein professionelles Integrationsmanagement geplant und gesteuert werden.2 Die Zielsetzung der Integration besteht somit darin, die potenziellen positiven und negativen Synergien zu identifizieren, um anschließend in möglichst großem Umfang positive Synergien auszuschöpfen und das Eintreten negativer Synergien zu minimieren.3 In Bezug auf die Synergierealisierung kann die Integration dann als erfolgreich angesehen werden, wenn der Saldo aller positiven und negativen synergetischen Integrationseffekte positiv ist.4 Synergieeffekte können grundsätzlich entlang der gesamten Wertschöpfungskette erschlossen werden, dabei ist die Verwirklichung der Synergiepotenziale abhängig von der Zusammenführung der materiellen und immateriellen Ressourcen beider Zusammenschlussparteien. 5 Das Synergiepotenzial im IT-Bereich, dass sich aus der gemeinsamen Nutzung von IT-Ressourcen ergibt, basiert im wesentlichen auf der Zusammenführung der IT-gestützten Geschäftsprozesse, der Vereinheitlichung der Technik, der Zusammenlegung des IT-Personals und der Konsolidierung der IT-Leistungsprogramme. Konkret kann bei der Erschließung von Synergieeffekten zwischen den vier Optionen Wegfall, Zugang, Transfer und Koordination unterschieden werden.6 Im Fall von Redundanzen oder Doppelarbeit erreicht man mit einem Wegfall annähernd gleiche Leistungsergebnisse bei geringerem Ressourceneinsatz und kann so Kosteneinsparungen realisieren.7 Unter der Option Zugang wird die Nutzung von vorhandenen Ressourcen der jeweils anderen Partei mit dem primären Ziel der Wertsteigerung durch eine Verbesserung von Prozessen und Leistungsprogrammen verstanden. Hinter der Option Transfer verbirgt sich die gemeinsame Nutzung von Ressourcen durch die neu entstandene IT-Organisation. Sie zielt im Wesentlichen auf die Realisierung von Synergien aus Komplementärbeziehungen ab, z. B. durch Übertragung von Know-how oder Kompetenzen. Bei der Koordination werden durch ein abgestimmtes Vorgehen die Effizienz und die Effektivität des Ressourceneinsatz erhöht. So können sich beispielsweise IT-Mitarbeiter stärker spezialisieren, um so Anwenderanforderungen individueller zu erfüllen und damit eine Wertsteigerung zu erlangen. Bei der Integration der IT in der Praxis ergeben sich vielfältige Kombinationsmöglichkeiten dieser vier Optionen zur Erschließung positiver Synergien.
1
Vgl. Bisani, F. (1990), S. 11; Wildemann, H. (2003a), S. 596. Vgl. Bisani, F. (1990), S. 16. 3 Vgl. Sommer, S. (1996), S. 68. 4 Vgl. Pfohl, H.-C.; Hofmann, E. (2003), S. 325. 5 Vgl. Wirtz, B. (2003), S. 298. 6 Vgl. Specht, G. (2003), S. 340. 7 Vgl. für die folgenden Ausführungen Specht, G. (2003), S. 340 f. 2
55
Strategisch akquirieren bedeutet nach Gomez, Wertlücken aufzuspüren und Möglichkeiten zur Erschließung von Wertsteigerungen wahrzunehmen.1 Unternehmen sollten somit bei der Realisierung von Synergien aus Zusammenschlüssen insbesondere das Wachstumsziel verfolgen und sich nicht ausschließlich auf Kostensenkungspotenziale konzentrieren. Zu diesem Schluss kamen auch Habeck et al. nach der Auswertung von 115 Unternehmenszusammenschlüssen, da die Fokussierung auf Kostensynergien zu einem kurzfristigen, aber nicht zu einem dauerhaften Erfolg führe.2 Bei der Untersuchung von Jansen und Körner gaben die Unternehmen neben der mangelnden Einbindung der Mitarbeiter und der unzureichenden Kommunikationsstrategie die starke Konzentration auf Kostensynergien statt auf Innovationen als die drei wesentlichen Fehler innerhalb des Integrationsprozesses an.3 Das bedeutet übertragen auf die hier behandelte Integration der IT, welche in der Praxis oftmals schwerpunktmäßig auf die Realisierung von Kostensynergien abstellt, dass die Wertsteigerung und die Identifizierung von Wachstumschancen im Zuge der Integration nicht aus den Augen verloren werden darf. Sollte sich der Integrationsprozess rein auf Kosteneinsparungen konzentrieren, wird „ein globaler Fortschritt in Richtung einer dauerhaften und nachhaltigen Wertsteigerung nicht möglich“4 sein. Somit ist bei der IT-Integration der zukünftige IT-Einsatz so zu planen, dass die Kostensenkungspotenziale weitestgehend ausgeschöpft werden, während der geschäftliche Nutzen optimiert wird. Auf den folgenden Seiten soll auf die Kostensenkungs- und die Wertsteigerungspotenziale, die mit einer IT-Integration einhergehen, genauer eingegangen werden.
2.3.1.1 Kosteneinsparungen Insbesondere globale Konzerne verfügen aufgrund uneinheitlicher IT-Landschaften und unkoordinierter IT-Aktivitäten innerhalb des Unternehmens über ein signifikantes Einsparungspotenzial, das mittels Vereinheitlichung der unternehmensweiten IT-Strategie realisiert werden kann.5 Dabei lässt sich das Vorgehen zur Ausschöpfung der Kostensenkungspotenziale grob in kurzfristige und mittel- bis langfristige Maßnahmen unterteilen. 6 Kurzfristige Synergiemaßnahmen werden auch als "Quick Wins" bezeichnet. Sie erfordern einen geringen Aufwand bei einer relativ schnellen Umsetzbarkeit.7 Durch die Realisierung von Quick Wins lassen sich schnell messbare Integrationserfolge erzielen, die als positive
1
Vgl. Gomez, P. (1989), S. 441 ff. Vgl. Habeck, M. ; Kröger, F.; Träm, M. (2000), S. 9, S. 51ff. 3 Vgl. Jansen, S. A. (2000a), S. 337. 4 Hinterhuber, A.; Hinterhuber, H. H. (2003), S. 26. 5 Vgl. Meitner, H. (2003); S. 19. 6 Vgl. für die folgenden Ausführungen Baur, A. (2004), S. 29; vgl. Meitner, H. (2003), S. 19; vgl. Arthur D. Little (2002), S. 1 f. 7 Vgl. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007), S. 63. 2
56
Signalwirkung fungieren können.1 Bei einer unternehmensweiten IT-Integration zählt eine erste grobe Überarbeitung des Projektportfolios zu den wesentlichen kurzfristigen Maßnahmen.2 Eine kritische Überprüfung der IT-Projekte und der jeweiligen Budgets lässt eine aussagefähige Beurteilung der Investitionskostenstruktur der IT zu.3 Alle laufenden und geplanten Projekte, die eindeutig der überarbeiteten Unternehmen- und IT-Strategie entgegenstehen, sind sofort zu stoppen. Es ist in der Regel nicht sinnvoll, alle Projekte zu unterbrechen bzw. zu streichen, jedoch sollten sie konsequent an den neuen Anforderungen ausgerichtet werden.4 Die Überprüfung und Überarbeitung der gegenwärtigen IT-Lieferantenbeziehungen zählt sowohl zu den kurzfristigen als auch zu den mittelfristigen Kostensenkungsmaßnahmen der IT-Integration.5 Bestehende Verträge mit Lieferanten und Service Providern in Form von Rahmenverträgen, Service-, Pflege oder Wartungsverträgen für Hard- oder Softwareprodukte sowie Verträge für Telekommunikationsdiente und Beratungsleistungen sind auf die Erschließung von Synergien durch Wegfall, Zugang, Transfer oder Koordination zu untersuchen. Nach einer Aufstellung der bestehenden Verträge sollte in einem Vertragsaudit die Angemessenheit bezüglich der Unternehmenssituation genau analysiert werden.6 Die Zahl der unternehmensweit gekauften Lizenzen ist der Zahl der jeweiligen Anwender dieser Software gegenüberzustellen. Vertragskündigungen und Neuverhandlungen gehören zu den ersten Maßnahmen im Rahmen einer IT-Integration.7 So erlaubt beispielsweise die Gegenüberstellung der Telefonieverträge einen Vergleich der Tarife und es lassen sich in der Regel durch Konsolidierung und Neuverhandlung schnell bedeutende Einsparungen realisieren. Ebenso bieten bestehende Dienstleistungsverträge oftmals ein beachtliches Einsparungspotenzial. Gerade in Großunternehmen etablieren sich externe IT-Spezialisten häufig innerhalb langlaufender IT-Projekte so im Unternehmen, dass nach Abschluss des Projektes versäumt wird, sie durch interne Mitarbeiter zu ersetzen. 8 Daher gehört das Ersetzen von externen Mitarbeitern durch interne Ressourcen ebenfalls zu einem kurz- bis mittelfristigen Kostensenkungspotenzial bei einer IT-Integration.9 In ähnlicher Weise sind die bestehende Hardwareausstattung und die aktuelle Verwendung zu erfassen. So ist es möglich, kurzfristig bei starker Überdimensionierung auf der einen Seite und mangelnder Ausstattung auf der anderen Seite einen Ausgleich herzustellen oder in anderer Form steuernd einzugreifen und beispielsweise
1
Vgl. Vollmer, M. (2008), S. 409. Vgl. Bentley, R. (2002), S. 32. Vgl. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007), S. 59. 4 Vgl. Müller, R. (2000), S. 73 f. 5 Vgl. Arthur D. Little (2002), S. 1. 6 Vgl. Baur, A. (2004), S. 29. 7 Vgl. Berensmann, D.; Spang, S. (1998), S. 39. 8 Vgl. Baur, A. (2004), S. 29; vgl. Allwermann, R. (1993), S. 6. 9 Vgl. Meitner, H. (2003), S. 19. 2 3
57
überhöhte Leasingzahlungen zu reduzieren.1 Alle geplanten IT-Anschaffungen sind ebenfalls genau gegen den konsolidierten Bestand und die strategische Zielsetzung zu prüfen. Durch eine Zusammenlegung der Beschaffungsaktivitäten ist es möglich, mittelfristig den Einkauf von Hard- und Software sowie von IT-Dienstleistungen deutlich effizienter zu gestalten. Die Transaktionskosten der Beschaffung sinken. Eine deutliche Verbesserung der Einkaufskonditionen ist mittelfristig durch eine Konsolidierung der künftigen Anforderungen und Bedarfe zu erwarten. Es ist möglich, die Einkaufsmacht gegenüber den Lieferanten zu steigern, indem die Beschaffungsvolumina zusammengeführt und die Lieferantenanzahl reduziert wird.2 Durch die sich ergebende Mengensteigerung ist es möglich, Verhandlungsvorteile zu erreichen und auf diese Weise bessere Einkaufpreise und Beschaffungskonditionen durchzusetzen. Um zu einer effizienten Beschaffung von IT-Produkten und Dienstleistungen zu gelangen, muss eine zwischen den betroffenen Geschäftsbereichen und Fachabteilungen abgestimmte Vorgehensweise entworfen und eingeführt werden.3 Auf diesem Wege können Transaktionskosten reduziert, Mengenvorteile erwirkt und eine konsequent an der IT-Strategie orientierte Beschaffung sichergestellt werden. Im IT-Einkaufsbereich sollte zusätzlich zur Kostenreduktion mittelfristig ein höheres Maß an Automatisierung nach einer Konsolidierung der Einkaufsprozesse angestrebt werden.4 Mittelfristig sind des Weiteren durch eine firmenweite Zusammenführung und Vereinheitlichung der IT-Landschaften nachhaltige Kostensenkungen zu erwirken. Voraussetzung dafür ist die Definition einer unternehmensweit abgestimmten IT-Infrastruktur sowie einer weitestgehend konsolidierten Anwendungslandschaft. Bei der Gestaltung dieser an der IT-Strategie ausgerichteten IT-Ziellandschaft sind alle unnötigen Redundanzen zu eliminieren. Bei der Auswahl betriebswirtschaftlicher Applikationen sollte in der Regel auf Individuallösungen verzichtet und eine Zusammenführung auf eine möglichst geringe Anzahl von Standardsoftwarelösungen angestrebt werden.5 Auf diesem Wege lässt sich der erforderliche Schulungsaufwand minimieren und Mitarbeiter können universeller eingesetzt werden. Da die Hersteller von Standardsoftware ihre Produkte regelmäßig weiterentwickeln, bieten Standardsoftwarepakete gegenüber Individuallösungen einen gewissen Investitionsschutz.6 Ebenso sollten Anpassungen und Erweiterungen der Standardsoftware soweit wie möglich vermieden werden. Abweichungen vom Standard bei der Ausgestaltung der Anwendungslandschaften in Form von Modifikationen oder Erweiterungen führen beispielsweise bei Releasewechseln zu zusätzlichem Aufwand. Die Kosten je Releasewechsel liegen nach Erfahrungswerten bei 10
1
Vgl. Baur, A. (2004), S. 29. Vgl. Wildemann, H. (2003b), S. 662. 3 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 100 f. 4 Vgl. Meitner, H. (2003), S. 19. 5 Vgl. Allwermann, R. (1993), S. 4 f.; vgl. Rigall, J.; Hornke, M. (2007), S. 501. 6 Vgl. Rigall, J.; Hornke, M. (2007), S. 501. 2
58
bis 30 % der initialen Modifikationskosten.1 Ist das Unternehmen bereit, den Standard zu akzeptieren, wird die Anwendungslandschaft dadurch übersichtlicher und Pflege sowie Wartung der Systeme sind mit deutlich weniger Aufwand verbunden.2 Weitere mittelfristige Kostensenkungsziele lassen sich beispielsweise durch die Zentralisierung bestehender Server in zentralen Rechenzentren oder die Zusammenlegung verschiedener Rechenzentren verfolgen. Die Bündelung und Zentralisierung der Aufgaben der IT-Mitarbeiter ist ein entscheidender Schritt im Zuge der IT-Integration und birgt ein großes Einsparungspotenzial. Kostensenkungseffekte treten auf, wenn Leitungsspannen verkürzt, Doppelbesetzungen von Führungspositionen eliminiert und eventuell sogar die Anzahl der Führungskräfte im Verhältnis zu dem Mitarbeitern verringert werden können.3 Nach der Konsolidierung der Personalkapazitäten aller laufenden und geplanten Projekte sind auch die übrigen durch die IT angebotenen Leistungsprogramme zusammenzuführen. Die Benutzerbetreuung oder der Systembetrieb können zusammengefasst und beispielsweise in Form eines Help Desks oder Service Centern organisiert werden. Das Aufstellen konsolidierter Service Level Agreements (SLA)4 sowie die Festlegung einheitlicher interner Verrechnungssätze für IT-Services tragen ebenfalls dazu bei, die Dienstleistungsmentalität und das Kostenbewusstsein stärker im IT-Bereich zu verankern.5 Allgemein ist die Senkung des administrativen Aufwands innerhalb der IT-Bereiche durch Einführung und konsequente Umsetzung einer einfachen und einheitlichen Preisverrechnung an die Fachbereiche ein erprobtes Instrument zu Kostenreduzierung, das gleichzeitig Transparenz über die fachseitig verursachten IT-Kosten schafft.6 Zusätzlich könnte beispielsweise über die Einführung eines Schichtmodells beim User Support nachgedacht werden, um durch die Senkung des Service Levels in "nicht-Spitzenzeiten" Kosten zu sparen und dabei dennoch die erforderliche Verfügbarkeit zu garantieren.7 Bei der Zusammenführung der IT ist auch darauf zu achten, ob sich über die Zeit bestimmte Aufgaben im IT-Bereich angesiedelt haben, deren Erledigung grundsätzlich in den Aufgabenbereich der Fachabteilungen fällt. In diesem Fall können im Zuge der Reorganisation der IT weitere Mitarbeiterkapazitäten eingespart werden. Innerhalb des Integrationsprozesses können die beteiligten Mitarbeiter ihr Wissen hinsichtlich systemübergreifender Zusammenhänge quasi nebenbei deutlich erweitern, was mittelfristig den Wartungs- und Pflegeaufwand der IT-Landschaft deutlich reduziert.8
1
Vgl. Becker, J.; Winkelmann, A.; Vering, O. (2008), S. 67. Vgl. Glöckner, J. (2006), S. c07. Vgl. Wildemann, H. (2003a), S. 601; vgl. Wildemann, H. (2003b), S. 661. 4 Unter einen Service Level Agreement wird in diesem Fall ein Vertrag zwischen dem IT-Bereich als Dienstleister und dem Fachbereich als Kunden verstanden, der den IT-Leistungsumfang, die Leistungsqualität und z. B. Reaktionszeiten beschreibt. 5 Vgl. Baur, A. (2004), S. 29. 6 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 100; vgl. Meitner, H. (2003), S. 19. 7 Vgl. Meitner, H. (2003), S. 19. 8 Vgl. Penzel, H.-G. (1999), S. 115. 2 3
59
Auch über ein eventuelles Outsourcing von IT-Leistungen ohne strategische Relevanz sollte im Rahmen der IT-Integration nachgedacht werden. Voraussetzung für derartige Überlegungen ist eine entsprechende Kostentransparenz und als hilfreich für eine gewissenhafte Entscheidungsfindung erweist sich eine Stärken- und Schwächenanalyse des IT-Bereichs.1 Ein Outsourcing von Teilbereichen oder die Ausgründung von IT-Service-Gesellschaften kann unter Umständen einen Effizienzgewinn bewirken.2 So wird beispielsweise das Risiko eines schwankenden Personalbedarfs von der ausgegründeten Firma übernommen. Die neue Gesellschaft kann indessen ihre Leistungen auch anderen Marktteilnehmern anbieten. Das Hauptmotiv der Unternehmen für das Auslagern von IT-Aufgaben liegt dem Marktforschungsunternehmen Gartner zufolge nach wie vor in der Einsparung von IT-Kosten.3 Eine undifferenzierte Fremdvergabe der internen IT-Leistungen ist jedoch unbedingt zu vermieden, um nicht die operativen und strategischen Möglichkeiten des Unternehmens zu einem späteren Zeitpunkt ungewollt einzuschränken.4 Damit sind verschiedene Kriterien zur Beurteilung der Alternative des Outsourcings zu berücksichtigen. Neben der Kostenbetrachtung sollten auch die strategische Relevanz, der potenzielle Know-how-Verlust sowie personalpolitische und rechtliche Aspekte in die Überlegungen mit einfließen.5 Folgende Tabelle fasst die wichtigsten kurz- und mittel- bis langfristigen Maßnahmen zur Kosteneinsparung im Rahmen von IT-Integrationsprojekten zusammen.
1
Vgl. Grohmann, H. H. (2003), S. 21. Vgl. hierzu und im Folgenden Rathjen, P. (2006), S. 422. 3 Vgl. Thole, S. (2007), S. 9. 4 Vgl. Baur, A. (2004), S. 27. 5 Vgl. Rathjen, P. (2006), S. 423. 2
60
Kurzfristige Maßnahmen (Quick Wins)
Kurzfristige Projektportfolioanpassung: sofortiger Stop aller durch die IT-Integration überflüssig gewordener oder redundanter Projekte, Maßnahmen und Investitionen; Fokussierung auf Projekte mit strategischer Bedeutung Konsolidierung von Bedarfen; Vertragsaudits und Einkaufsverhandlungen; ggf. Vertragskündigungen und Ersetzen von externen durch interne Ressourcen Auflistung einer Übersicht der Hardwareausstattung zur Schaffung einer möglichst ausgeglichenen und sinnvollen Dimensionierung
Mittel- bis langfristige Maßnahmen
Zusammenführung der IT-Infrastruktur
Gestaltung eines einheitlichen Applikationsportfolios
Konsolidierung der Datenzentren
Standardisierung und Modernisierung der ITZiellandschaft im Zuge der Integration
Ablösung von kostenintensiven Altsystemen
Bündelung der IT-Aufgaben und -Prozesse
Aufbau von systemübergreifendem ProzessKnow-how
Integration des Beschaffungs- und Lizenzmanagements; Vereinheitlichung, Konsolidierung und weitestgehende Automatisierung der IT-Einkaufsprozesse
Überprüfen von Sourcing-Optionen wie dem Outsourcing von IT-Leistungen oder dem Offshoring Shared Services
Tabelle 4: Kurzfristige und mittel- bis langfristige Kostensenkungsmaßnahmen Quelle: eigene Darstellung1
Abschließend lässt sich sagen, dass je stärker die durch die Integration herbeigeführte Komplexitätsreduzierung der IT ausfällt, desto günstiger können IT-Leistungen angeboten und desto deutlicher kann auch der Anwendernutzen gesteigert werden.
2.3.1.2 Wertsteigerung durch Qualitätsverbesserung Neben der Erlangung von Kostensenkungspotenzialen sollte bei der Realisierung von Synergieeffekten insbesondere das gezielte Ausschöpfen von Wertsteigerungspotenzialen im Mittelpunkt stehen. McKiernan und Merali haben in einer Studie festgestellt, dass die Möglichkeiten der Qualitäts- und Effektivitätsverbesserung von IT-Landschaften und IT-Organisationen innerhalb des Integrationsprozesses vollkommen vernachlässigt wurden und sehen darin eine Ursache für das Scheitern von Integrationsprojekten.2 Durch die Integration der IT ist es möglich, Wettbewerbsvorteile zu schaffen und interne Veränderungsprozesse gezielt voranzutreiben.3 So bietet beispielsweise ein Archivierungsprojekt im Rahmen einer IT-Integration die Möglichkeit, neben den gesetzlichen auch die internen Anforderungen zu berücksichtigen. Bei der Durchführung eines IT-Integrationsprojektes handelt es sich, wie bei jedem IT-Pro-
1
Vgl. Baur, A. (2004), S. 27 ff.; vgl. Meitner, H. (2003), S. 19; vgl. Arthur D. Little (2002), S. 1 f.; vgl. Strahringer, S.; Zdarsky, F. (2003), S. 525; vgl. Penzel, H.-G. (1999), S. 115; vgl. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007), S. 64 f. 2 Vgl. McKiernan, P.; Merali, Y. (1995), S. 58. 3 Vgl. McKiernan, P.; Merali, Y. (1995), S. 55. 61
jekt, um eine IT-Investition. Jede größere IT-Investition verändert ein Unternehmen derart, dass die IT- und die Prozesslandschaft nach dem Veränderungsprozess nicht mehr vergleichbar ist mit dem Zustand vor der Investition.1 Die Wertsteigerung durch den Veränderungsprozess lässt sich an der Anwenderzufriedenheit und dem nachhaltigen Geschäftserfolg durch den IT-Einsatz messen. Rechnerisch lassen sich diese Werte jedoch nur sehr schwer und ungenau bestimmen. Laut Gartner belegt der Aspekt "Wachstum ermöglichen" auf der Liste der zehn wichtigsten IT-Strategien weltweit den ersten Platz, während er in der deutschen Rangliste gar nicht erscheint. Demgegenüber wird in Deutschland der Optimierung von Geschäfts- und IT-Prozessen eine besonders hohe Bedeutung beigemessen.2 Bei der Integration der IT handelt es sich um eine IT-Investition, die eine verbesserte und zugleich kostenreduzierte Unterstützung des Geschäftes beim zukünftigen Einsatz der IT angestrebt. Zur Untersuchung der Wertsteigerungspotenziale sind die folgenden Fragen zu beantworten: Wo und wie können Unternehmen durch die Integration besser werden?3 Wie lässt sich die Kunden- und Anwenderzufriedenheit steigern, indem die bestehenden IT-Landschaften zusammengeführt und die Leistungsprogramme gebündelt werden? Wie kann eine einfache und flexible IT-Landschaft geschaffen werden, die die Geschäftsprozesse bedarfsgerecht abbildet? Bei einer wertorientierten Betrachtung des IT-Integrationsprozesses steht daher eine optimale Geschäftsunterstützung, die Schaffung von Flexibilität und Handlungsspielräumen für marktspezifische, gesetzliche oder geschäftsstrategische Anforderungen sowie die Erhöhung von Effizienz und Effektivität der IT-Landschaft im Vordergrund.4 Über die IT-Wertschöpfung in Unternehmen entscheidet nicht nur die Höhe des IT-Budgets sondern vor allem die effektive Art der Mittelverwendung.5 Ein IT-Integrationsprozess bietet in der Regel zahlreiche Möglichkeiten, den Einsatz der Mittel für den IT-Betrieb effizienter zu gestalten und effektiver in abgestimmte IT-Projekte zu investieren. Um eine Qualitätsverbesserung im IT-Bereich zu erlangen, kristallisieren sich drei wesentliche Dimensionen heraus, die bei der IT-Integration Berücksichtigung finden sollten: Optimierung der IT-Landschaft, beispielsweise durch
1
•
die Steigerung der Informationsqualität
•
eine verbesserte Anwenderunterstützung mittels einer bedarfsgerechten, einheitlichen Abbildung der Geschäftsprozesse
Vgl. Blomer, R.; Bernhard, M. G. (2003), S. 13. Vgl. o.V. (2008b), S. 9. 3 Vgl. Penzel, H.-G. (1999), S. 106; vgl. Garimella, K. (2001), S. 38. 4 Vgl. Bernhard, M. G.; Blomer, R. (2003), S. 19. 5 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 95. 2
62
•
die Wahrung bzw. Schaffung flexibler und benutzerfreundlicher Systemumgebungen
Vereinheitlichung und Qualitätssteigerung des Leistungsprogramms bzw. der Leistungsprozesse Qualitätsverbesserung des IT-Managements durch einen effektiveren Einsatz des ITBudgets Die Zusammenführung der IT-Landschaften birgt neben den bereits beschriebenen Kostensenkungspotenzialen auch ein hohes Qualitätsverbesserungspotenzial. Die Qualität der ITLandschaft wird z. B. daran gemessen, in welchem Umfang sie den Anforderungen der Interessengruppen genügt und eine Ausfallsicherheit gewährleistet, wie flexibel und schnell sie an geänderte Anforderungen angepasst werden kann, wie beherrschbar ihre Komplexität ist und wie transparent sie dokumentiert wurde.1 Durch die Verbesserung der Informationsqualität kann beispielsweise die Anwenderzufriedenheit gesteigert werden. Informationen haben generell die Aufgabe in effizienter Art und Weise Fragen zu beantworten und Handlungen oder Entscheidungen zu ermöglichen.2 Eine qualitativ hochwertige, bedarfsgerechte Information erfüllt oder übertrifft die Erwartungen des Anwenders. Die IT hat dabei die Aufgabe die relevanten Informationen in der richtigen Form, zur richtigen Zeit, zu vertretbaren Kosten, am richtigen Ort, verständlich, vollständig und fehlerfrei zur Verfügung zu stellen.3 Um diese Aufgabe erfüllen zu können, sind IT-Systemlandschaften erforderlich, die aufgabengerechte, steuerbare, selbsterklärende und erwartungskonforme Anwendungen als Bestandteile eines abgestimmten Applikationsportfolios und eine hoch performante und störungsfreie Infrastruktur bereitstellen. Bei der Zusammenführung verschiedener IT-Landschaften ist die Erfüllung dieser Aufgabe durch die steigende Quantität verfügbarer Informationen mit zahlreichen Schwierigkeiten verbunden. Ein Problem ist beispielsweise die Vermeidung eines "Information Overloads". Zu dieser Informationsüberlastung kann es kommen, wenn bei dem Anwender die naturgemäß begrenzte Aufnahmekapazität von Informationen überschritten wird und daher aus den empfangenen Informationen kein neues sinnvolles Wissen mehr gewonnen werden kann.1 Durch die Vereinheitlichung der Daten und Vermeidung von Redundanzen sowie der medienbruchfreien Zusammenführung der Anwendungssysteme kann dem zunehmenden Information Overload entscheidend entgegen gewirkt werden und die Anwenderzufriedenheit bedeutend gesteigert werden. Die Zusammenarbeit einzelner Fachbereiche mit anderen Bereichen oder Standorten wird durch die Zusammenführung der ITLandschaften und die Bildung von Datenzentren deutlich vereinfacht. Die relevanten Daten 1
Vgl. Umek, A.; Tannhäuser, C. (2006), S. 56 f.; vgl. Herz, S. et al. (2008), S. 70; zur Qualität der IT-Landschaft siehe genauer die Ausführungen in Abschnitt 2.4.3.4. Vgl. Eppler, M. J. (2003), S. 205. 3 Vgl. Eppler, M. J. (2003), S. 205. 2
63
und Informationen sind dadurch zentral verfügbar und der Anwender muss sich nicht aufwendig die erforderlichen Informationen zusammensuchen. Auch die Änderungskontrolle wird deutlich vereinfacht. Selbst wenn die Anwender an den verschiedensten Standorten gemeinsame Aufgabenstellungen bewältigen oder Projekte durchführen, kann sichergestellt werden, dass alle Beteiligten an der gleichen "Version" arbeiten. Komplexe Analyseverfahren können gemeinsam genutzt werden. So wird durch die Integration der IT die Gefahr des Daten- oder Informationsverlustes deutlich reduziert und eine Vielzahl von Medienbrüchen kann vermieden werden. Die Systemverfügbarkeit lässt sich steigern und Anwendungen werden leistungsfähiger. In Bezug auf die Risikoerkennung und die Reduktion von Gefahren ergeben sich durch die IT-Integration Synergien, da relevante Risiken im Unternehmensverbund nicht mehr so leicht übersehen werden. Negative Auswirkungen bestimmter Risiken werden durch die Zusammenführung der Informationen für das Gesamtunternehmen kumuliert und ermöglichen so ein schnelles Handeln, während sie in einzelnen Frühwarnsystemen nicht als Gefahr wahrgenommen würden. So kann beispielsweise die Zahlungsunfähigkeit eines Kunden, zu dem innerhalb des Unternehmens von einander unabhängig betriebene Geschäftsbeziehungen bestehen, früh erkannt werden.2 In zahlreichen Funktionsbereichen lässt sich die Informationsqualität durch Zusammenführung der Anwendungssysteme verbessern. Bei der Abbildung der Geschäftsprozesse sind auf der einen Seite die individuellen Anforderungen der Kunden und Anwender zu berücksichtigen und auf der anderen Seite gilt es, sowohl die Erweiterbarkeit als auch die Anpassungsfähigkeit der IT-Landschaften zu stärken. Dieser Balanceakt zwischen Individualisierbarkeit und Standardisierung der Systeme ist einer der großen Problempunkte bei der Verbesserung der Prozessqualität innerhalb des ITIntegrationsprozesses. Ob die Integration der IT ein geeigneter Zeitpunkt ist, um eine Prozessoptimierung durchzuführen, wird in der Literatur sehr unterschiedlich beurteilt. Während Brüning et al. deutlich von einer Prozessoptimierung abraten und Penzel sogar behauptet „Integrationen und Reengineering sind diametrale Gegensätze“3, bietet der Umorientierungsprozess für Allwermann eine ausgezeichnete Chance "Altbewährtes" in Frage zu stellen, da die Bereitschaft, Ungewohntes zu akzeptieren, in dieser Situation sehr groß ist.4 Bender et al. sehen in der Erhöhung der Prozesseffizienz durch Beseitigung von Redundanzen und obsoleten Prozessen sogar ein Hauptziel der Integration.5 Jansen bezeichnet Fusionen als „das ultimative Change-Management-Instrument für bereits wandelresistente Unternehmen.“1 Einigkeit besteht hingegen darüber, dass die Integration der IT die Möglichkeit schafft, unstrukturierte Prozesse und uneinheitliches Vorgehen in standardisierte und abgestimmte Prozessab1
Vgl. Eppler, M. J. (2003), S. 204. Vgl. Lazanowski, M.; Huther, H. (2003), S. 383. Penzel, H.-G. (1999), S. 107. 4 Vgl. Allwermann, R. (1993), S. 4; vgl. Brüning, I.; Pedain, C.; Deasley, P. J. (2002), S. 139. 5 Vgl. Bender, K.; Ammann, C.; Meitner, H. (2000), S. 25. 2 3
64
läufe zu überführen.2 Die Zusammenführung der Systeme und die Vereinheitlichung der Daten bietet die Möglichkeit den Arbeitsaufwand der Anwender deutlich zu reduzieren und zugleich das Fehlerpotenzial zu senken. Durch eine konsolidierte Erfassung und Verteilung von Fachwissen und Erkenntnissen kann der Know-how-Transfer unternehmensweit gefördert werden und Leistungsverbesserungen in den betroffenen Bereichen erzielt werden. Darüber hinaus eröffnet die Integration den beteiligten Mitarbeitern einen neuen Blickwinkel durch den Zwang sich mit einer anderen IT-Welt auseinanderzusetzen. Die Integration schafft bei den Mitarbeitern Know how über Systemzusammenhänge und über das Management von Großprojekten, was schließlich die Integrationsfähigkeit der IT als eigene Kompetenz entstehen lässt.3 Eine weitere wesentliche Quelle der Qualitätsverbesserung ist in der Integration der IT-Organisation und der angebotenen Leistungsprogramme zu sehen. Die Zusammenführung der ITOrganisation reduziert den Vermittlungsaufwand und erleichtert die Kommunikation erheblich. Mittels abgestimmter Konzeption und Umsetzung eines konsolidierten Leistungsprogramms kann die Anwenderzufriedenheit deutlich gesteigert werden. Es ist möglich den Servicegrad zu steigern und die Service- und Supportstrukturen zu optimieren. So kann beispielsweise eine bessere Erreichbarkeit des Personals durch die Zusammenführung der Mitarbeiterressourcen erwirkt werden. Es muss dafür eindeutig geklärt sein, wo der Anwender bei Fragen, Problemen oder Störungen schnell qualifizierte Hilfe bekommt. Durch die Integration der IT-Landschaften werden auch Wartung und Pflege beträchtlich vereinfacht und Aktualisierungen können problemloser und regelmäßiger eingeplant werden. Der routinemäßige Pflegeaufwand reduziert sich insgesamt. Dadurch können sich die IT-Mitarbeiter wieder stärker auf das Projektgeschäft und die Bedürfnisse der Anwender konzentrieren. Die Servicequalität lässt sich somit entscheidend verbessern. Durch die Einführung firmenweit einheitlicher Standards können verschiedenste Verbesserungspotenziale realisiert werden.4 Unterliegen beispielsweise Softwaretests einem Standardtestverfahren, kann die Softwareentwicklung deutlich optimiert werden. Diese Maßnahme führt gleichzeitig zu einer Reduzierung von Nachbesserungsarbeiten. Als letzter Punkt soll kurz die Möglichkeit der Qualitätsverbesserung im IT-Bereich durch einen effektiveren Einsatz des IT-Budgets hervorgehoben werden. Der Einsatz finanzieller und personeller Ressourcen kann optimiert werden, indem der IT-Betrieb durch die Zusammenführung der Aktivitäten effizienter und zugleich kostengünstiger gestaltet wird und alle
1
Zitiert bei Fischer, G.; Sommer, C. (2001), S. 79. Vgl. Davenport, T. H. ; Short, J. E. (1990), S. 17. 3 Vgl. Penzel, H.-G. (1999), S. 115; vgl. Mitchell, D. (1989), S. 48. 4 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 99. 2
65
laufenden und geplanten IT-Projekte effektiver umgesetzt werden.1 Dabei ist darauf zu achten, dass die IT-Projekte untereinander abgestimmt sind, in Einklang mit der IT-Strategie stehen und die Ergebnisse den Anforderungen der Anwender entsprechen. Integrationsmaßnahme
erlauben / ermöglichen
Verbesserungspotenzial (a)
Abbildung der Geschäftsprozesse in einem integrierten Anwendungssystem
unstrukturierte/uneinheitliche Prozesse in standardisiertes Vorgehen zu überführen schnelle und einfache, funktions- und standortunabhängige Bereitstellung der Informationen; verbesserten Zugriff
X
integrierte Ablaufsteuerung; Änderung der üblichen Aufgabenabfolge und paralleles Arbeiten am gleichen Vorgang
(b)
(c)
X
X
X
X
X
X
detaillierte Statusverfolgung von Geschäftsvorfällen (Geschäftsprozess-Trackings)
X
konsolidierte Risikoermittlung durch integrierte Controlling-, Auswertungs- und Analyseverfahren
X
Integriertes Wissensmanagement
einheitliche Erfassung des Fachwissens; gesamtheitliche Bereitstellung
X
Zusammenführung der IT-Landschaft
Reduzierung des Wartungs- und Pflegeaufwands; Steigerung und Leistungsfähigkeit und Systemverfügbarkeit
X
Konsolidierung des ITLeistungsprogramms
Verbesserung der Servicequalität; Freistellung von IT-Mitarbeiterkapazitäten für Projektgeschäft und Anwenderbetreuung
X
X X X X
Tabelle 5: Beispielhafte Übersicht des Verbesserungspotenzials Quelle: eigene Darstellung
Tabelle 5 fasst noch einmal beispielhaft verschiedene Möglichkeiten zur Qualitätsverbesserung zusammen, die sich durch die Integration der IT ergeben. Zur Veranschaulichung wird jeweils ein kurzes Umsetzungsbeispiel aufgeführt, das differenziert wird nach dem Verbesserungspotenzial in den Bereichen (a) Informationsqualität, (b) Anwendungsunterstützung und (c) Erweiterbarkeit bzw. Anpassungsfähigkeit der IT-Landschaft.
1
Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 95.
66
2.3.2 Aufgaben der IT im Rahmen der Integration Um die IT-Integration zum Erfolg zu führen und die im vorherigen Abschnitt beschriebenen positiven Synergiepotenziale auszuschöpfen, ist von den IT-Verantwortlichen gemeinsam mit ihren Mitarbeitern ein ganzes Bündel an Aufgaben zu erfüllen. Es lassen sich dabei drei grundlegende Aufgaben, die von der Informationstechnologie im Rahmen einer IT-Integration zu erfüllen sind, herausarbeiten: 1 1. die Sicherstellung des störungsfreien Betriebs der Informationssysteme und der notwendigen Services 2. die Gewährleistung der technischen Grundvoraussetzungen für die Integration 3. die konsequente Verfolgung der Integrationsziele zur Erwirtschaftung angestrebter Synergien Oberste Priorität bei allen IT-Integrationsaktivitäten hat die Forderung KBO – keep the business operating.2 Damit ist gemeint, dass der laufende Geschäftsbetrieb unter keinen Umständen dauerhaft gestört werden darf. Wenn die IT-Landschaft eines Unternehmens einschließlich Daten und Kommunikationsnetze auch nur für kurze Zeit ausfällt, kann dies die Existenz des Unternehmens gefährden.3 Die Zusammenführung von zwei oder mehr IT-Landschaften erfordert bis zum Zeitpunkt der Migration die Aufrechterhaltung des status quo, da die Anwendungssysteme weiterhin parallel betrieben und unterstützt werden müssen. Auch wenn die IT-Organisation offiziell verschmolzen wird, bedeutet das nicht automatisch eine Vereinheitlichung des Leistungsprogramms. Bei aufkommenden Problemen oder Störungen muss die Unterstützung der Anwender gewährleistet seien. Beeinträchtigungen des Systembetriebs und der Anwenderunterstützung lassen sich im Laufe des Integrationsprozesses nicht vollständig vermeiden, jedoch speziell die kundenseitigen Prozesse des Unternehmens sollten weiterhin möglichst reibungslos ablaufen. Die Schaffung der Grundlagen für die Integration beinhaltet in erster Linie den Aufbau einer einheitlichen Kommunikationsstruktur und einer leistungsfähigen Kommunikationsplattform.4 Die Netzwerke und die IT-Infrastruktur müssen ad hoc in geeigneter Weise verbunden werden, um den rudimentärsten Anforderungen an die Kommunikation, wie dem Austausch von Dateien und E-Mails, kurzfristig genügen zu können.1 Und insbesondere bei Unternehmenszusammenschlüssen oder bereichsübergreifenden Restrukturierungsprojekten kommt noch die 1
Vgl. im Folgenden Trapp, R.C.; Otto, A. (2002), S. 103; vgl. auch Brüning, I.; Pedain, C.; Deasley, P. J. (2002), S. 138 f.; vgl. Karrner, H; Eckert, R. (2005), S. 377. Vgl. Brüning, I.; Pedain, C.; Deasley, P. J. (2002); S. 138; vgl. Davenport, T. H.; Short, J. E. (1990), S. 24; vgl. Karrner, H; Eckert, R. (2005), S. 377. 3 Vgl. Steger, U. (2007), S. 137. 4 Vgl. Komus, A.; Reiter, O. (2000), S. 38. 2
67
über die IT-Integration hinausgehende Unterstützung der Verschmelzungsprozesse bzw. der übrigen Integrations- und Reorganisationsprojekte als dringende Aufgabenstellung hinzu. Die klare Definition der IT-Integrationsziele aufbauend auf den Unternehmenszielen und der gegebenenfalls angepassten IT-Strategie ist die grundlegende Voraussetzung für den Start eines Integrationsprojektes. Die Ziele werden bestimmt durch die Anforderungen an die zukünftige IT-Welt und die Vorgaben hinsichtlich des Zeit- und Finanzmittelbudgets.2 Aus diesen Zielen und den jeweiligen Synergiepotenzialen sind konkrete Maßnahmen abzuleiten, welche die Realisierung der Kostensenkungs- und Wertsteigerungspotenziale ermöglichen.3 Nur durch die konsequente Verfolgung der ambitionierten Integrationsziele kann das Integrationsvorhaben erfolgreich sein.
2.4
Parameter der IT-Integration
Zur konsequenten Verfolgung der Integrationsziele bedarf es eines professionellen Integrationsmanagements, welches die Berücksichtigung einer Vielzahl von Rahmenbedingungen und Parametern erfordert. Im folgenden Abschnitt sollen diese Parameter und die bestehenden Abhängigkeiten dargestellt werden. Bei der Entscheidungsfindung bezüglich Integrationsmethode und Integrationsvorgehen ist die Einbeziehung aller relevanten Einflussfaktoren ausgesprochen wichtig. Fehler in der frühen Planungsphase sind später nur mit erheblichem Zusatzaufwand zu kompensieren und können die Realisierung der angestrebten Synergieeffekte gefährden.4 Auch für die Bestimmung der optimalen Integrationsgeschwindigkeit und die Kalkulation der Integrationskosten ist die Berücksichtigung aller bedeutenden Einflussfaktoren erfolgsentscheidend. In der vorliegenden Arbeit werden die Einflussfaktoren der IT-Integration differenziert in •
Umfeldbedingungen, die sich aus der Situation des Unternehmens bzw. aus der Konstellation der Integrationsparteien ergeben,
•
gegebene Parameter der IT-Landschaften, die zum einen separat und zum anderen in der Gegenüberstellung zu beurteilen sind und
•
1
Gestaltungsparameter der IT-Integration, welche durch die Ziele der Integration und die zuvor beschriebenen Einflussfaktoren determiniert werden.
Vgl. Trapp, R.C.; Otto, A. (2002), S. 103. Vgl. Komus, A.; Reiter, O. (2000), S. 38. 3 Vgl. hierzu Abschnitt 2.3.1. 4 Vgl. Trapp, R.C.; Otto, A. (2002), S. 103. 2
68
2.4.1 Allgemeine situative Umfeldbedingungen Eine bedeutende Umfeldbedingung ist die wirtschaftliche Situation, in der sich das Unternehmen zum Zeitpunkt der Integrationsentscheidung befindet. So macht es einen großen Unterschied, ob sich das Unternehmen in einer Krisensituation befindet und um das Überleben kämpft, ob es seine derzeitige Marktposition halten möchte oder ob es sich in einer starken Expansionsphase befindet. Während im ersten Fall die Kostensynergien deutlich im Vordergrund stehen, wird im letzten Fall bei der Gestaltung der IT-Landschaft in der Regel besonderer Wert auf eine Wertsteigerung und den Einsatz innovativer Techniken gelegt.1 Die Größe und Dominanz der Integrationsparteien hat einen maßgeblichen Einfluss auf die Integration. In diesem Zusammenhang wird oftmals zwischen der absoluten und der relativen Größe unterscheiden.2 Bei Unternehmenszusammenschlüssen sind die verschiedenen Unternehmensgrößen entscheidend, die beispielsweise nach der Zahl der Mitarbeiter, dem Umsatz oder dem Börsenwert bemessen werden kann.3 Die Zahl der von der IT-Integration betroffenen Standorte, der Zahl der Anwender, die Zahl der IT-Mitarbeiter und die Zahl der Anwendungssysteme sind Kennziffern, welche die Größe der Integrationsparteien aus IT-Sicht kennzeichnen. Eine zunehmende absolute Größe der Integrationsparteien wirkt sich tendenziell komplexitätssteigernd auf das Integrationsvorhaben aus, was sich wiederum auf die Integrationsgeschwindigkeit und den Integrationsaufwand auswirkt. So hat eine Studie ergeben, dass die Fusion gleichstarker Partner erheblich länger dauert als wenn die Integrationsparteien einen deutlichen Größenunterschied aufweisen.4 Als Komplexitätstreiber gelten hier beispielsweise die Sortimentsgröße, die Kundenanzahl, die Lieferantenvielzahl und das Maß der Globalisierung des Unternehmens.5 Das vorliegende Größenverhältnis der Integrationspartner beeinflusst die Auswahl der Integrationsmethode. Ein starker Größenunterschied der Integrationsparteien führt zu einem Machtungleichgewicht zwischen den jeweiligen Führungskräften und Interessengruppen.6 In diesem Fall wird in der Regel aus Gründen der Aufwands- und Risikominimierung empfohlen, dass die kleinere Partei die Organisation, die Geschäftsprozesse und die technischen Lösungen der größeren Partei übernimmt, selbst wenn die kleine Partei über ein deutlich innovativeres Vorgehen und objektiv betrachtet die besseren Lösungen verfügt.7 Idealerweise sollten dennoch die IT-Strukturen des kleineren Integrationspartners als Anregung für neue Ansätze genutzt werden.8 Bei Unternehmenszusammenschlüssen
1
Vgl. Grohmann, H. H. (2003), S. 20. Vgl. Haspeslagh, P.C.; Jemison, D.B. (1992), S. 180. 3 Vgl. Wöhe, G. (2005), S. 18. 4 Vgl. Jansen, S. A. (2000b), S. 389. 5 Vgl. Durst, M. (2007), S. 14. 6 Vgl. Metz, M. (2002), S. 61. 7 Vgl. Berensmann, D.; Spang, S. (1998), S. 36. 8 Vgl. Komus, A.; Reiter, O. (2000), S. 37. 2
69
mit einem ausgewogenen Größenverhältnis spricht man, wie bereits in Abschnitt 2.2.1.5 beschrieben, von einem "Merger of Equals". Dieser Fall erhöht die Komplexität und erfordert einen Auswahlprozess der zukünftigen gemeinsamen IT-Landschaft bei einem theoretischen Machtgleichgewicht beider Parteien, sodass Entscheidungen zur Gestaltung der zukünftigen Organisation und IT-Landschaft eher gemeinsam getroffen werden.1 Jedoch besteht bei Unternehmenszusammenschlüssen zwischen dem erwerbenden und dem erworbenen Unternehmen immer eine Über-/Unterordnungsstellung, selbst wenn es sich um einen sogenannten Merger of Equals handelt.2 Der Integrationsprozess wird dabei von dem Akquisiteur vorangetrieben, welcher letztendlich auch über die Entscheidungsverantwortung verfügt.3 Des Weiteren haben die Unternehmens- und IT-strukturen4 bzw. die formalen Aufbau- und Ablaufstrukturen, die Macht- und Führungsstrukturen sowie die Unternehmenskultur Einfluss auf die Ausgestaltung des Integrationsvorgehens. Bezüglich der Aufbauorganisation wird in der Regel zwischen einer verrichtungsorientierten Funktionalorganisation, einer marktorientierten Spartenorganisation oder einer gebietsorientierten Regionalorganisation unterschieden.5 Liegt bei beiden Integrationsparteien die gleiche Organisationsform bzw. Zentralisationsform vor, kann davon ausgegangen werden, dass dies die Integration der Geschäftsprozesse und der betriebswirtschaftlichen Anwendungssysteme deutlich erleichtert. Anderenfalls ist die Organisationsform einer Partei der anderen anzupassen oder die Vereinheitlichung der Prozesse und Systeme kann nicht im vollen Umfang erfolgen. Die Aufbau- und Ablauforganisation sind eng mit einander verknüpft. Veränderungen der Aufbauorganisation bewirken in der Regel auch eine Anpassung der ablauforganisatorischen Beziehungen.6 Oder vielmehr ergibt sich die neue Aufbauorganisation aus der veränderten Ablauforganisation.7 Aus ablauforganisatorischer Sicht ist der Standardisierungsgrad von Relevanz. Dabei reicht das Spektrum von einem freien Ablauf ohne vorgegebene Strukturierung bis hin zu starren, vordefinierten Routinevorgängen.8 Allgemein gilt auch hier: Je standardisierter und je ähnlicher die Integrationsparteien in Bezug auf Verhaltensweisen, Arbeitsteilung, Regelungen zur Aufgabenerfüllung und Kontrollmechanismen strukturiert sind, desto problemloser lässt sich der Integrationsprozess gestalten.1 Hinsichtlich der IT-Prozesse ist des Weiteren das Maß an Automatisierung und Spezialisierung zu untersuchen. Die Arbeitsabläufe sind auf ihre Gleichartigkeit und ihre Vereinbarkeit zu überprüfen. Unterschiede in der Ausgestaltung der Standardisierung, Spezialisierung und Automatisierung der IT-Prozesse beeinflussen den 1
Vgl. Lauritzen, S. (2000), S. 21; vgl. Strahringer, S.; Zdarsky, F. (2003); S. 531. Vgl. hierzu auch Jansen, S. A. (2000b), S. 388. 3 Vgl. Metz, M. (2002), S. 42. 4 Vgl. hierzu Abbildung 3. 5 Vgl. Lazanowski, M.; Huther, H. (2003), S. 374. 6 Vgl. Schmidt, G. (1994), S. 21. 7 Vgl. Osterloh, M.; Frost, J. (2006), S. 136. 8 Vgl. Lazanowski, M.; Huther, H. (2003), S. 375. 2
70
Aufwand zur Harmonisierung der IT-Ablauforganisation direkt und können zusätzlich zu Akzeptanzproblemen bei den Anwendern führen. Die individuellen Anforderungen der Anwender hinsichtlich der technischen und der persönlichen Unterstützung durch die IT beeinflussen sowohl die Ausgestaltung der IT-Ziellandschaft als auch das Vorgehen bei der IT-Integration. Zu den IT-Strukturen, die sich auf die IT-Integration auswirken, zählen auch die laufenden und geplanten Projekte sowie die IT-Service- und IT-Support-Strukturen beider Integrationsparteien. Des Weiteren ist der Ressourceneinsatz bezüglich Mitarbeiter, Fremdressourcen, Betriebsmittel und Finanzmittel zu beleuchten, um eine entsprechende Kostentransparenz zu schaffen. Diese Zahlen dienen als Indikator für die Bedeutung der IT im Unternehmen und für den Geschäftserfolg und fließen in die Integrationsentscheidungen mit ein. Darüber hinaus hat die geographische Verteilung der Standorte Einfluss auf das Synergiepotenzial und die Umsetzungsgestaltung beispielsweise bei einer nach Länder oder Regionen gegliedertem Roll-out-Vorgehensweise. Auch die Integrationsrichtung beeinflusst die Komplexität des Integrationsprojektes. Wie bereits in Abschnitt 2.2.1.4 beschrieben wurde, verfügen horizontale Zusammenschlüsse allgemein über ein deutlich größeres Synergiepotenzial und dadurch gestaltet sich die Integration entsprechend umfangreicher als beispielsweise bei konglomeraten Zusammenschlüssen. Erfolgt die IT-Integration jedoch aufgrund einer internen Reorganisation, so sind zur Abschätzung von Synergiepotenzial und Integrationsaufwand die Überschneidung des Leistungsprogramms auf der einen Seite und der Kundengruppen auf der anderen Seite genauso von Bedeutung. Als Leistungsprogramm der Integrationspartner werden die Produkte und Dienstleistungen bezeichnet, die die jeweilige Partei am Markt anbietet. Bezüglich des Überdeckungsgrads der Leistungsprogramme sollen die bereits in Abschnitt 2.2.1.4 eingeführten drei Ausprägungen differenziert werden:2 die Leistungsprogramme sind identisch oder weisen teilweise Überschneidungen auf (horizontal) die Leistungen des einen Integrationspartners dienen als Vorleistung für die Erstellung von Leistungen des anderen Integrationspartners (vertikal) die Leistungsprogramme weisen keine Überschneidung oder Abhängigkeit auf (konglomerat) Neben der Produktseite ist bezüglich der Integrationsrichtung aber auch die Marktseite zu betrachten. Hier lässt sich der Überdeckungsgrad zwischen identischem und überschneidungsfreiem Kundenstamm festlegen.
1 2
Vgl. Metz, M. (2002), S. 60. Vgl. Metz, M. (2002), S. 62. 71
Sind die Integrationsparteien in verschiedenen Branchen tätig, beschränkt sich die IT-Integration zumeist auf eine gemeinsame Nutzung von Büro- oder E-Mail-Anwendungssystemen, der IT-Infrastruktur oder von Services. Bei gemeinsamen Kunden kann die Kopplung von vertriebsunterstützenden Anwendungssystemen zur Ausschöpfung von Cross-Selling-Potenzialen sinnvoll sein.1 Aus der Integrationsrichtung bzw. dem Überdeckungsgrad von Leistungsprogramm und Kundenstamm lassen sich somit Synergiepotenziale ableiten und können Schlussfolgerungen für die zeitliche und finanzielle Integrationsplanung und die Prioritätensetzung gezogen werden. Der Erfolg eines Integrationsvorhabens hängt im großen Maße von den unternehmenspolitischen Einflüssen und der Einstellung der Mitarbeiter beider Integrationsparteien zu dem anstehenden Veränderungsprozess ab. Insbesondere bei ausgeglichenen Größenverhältnissen kann das Integrationsklima ein hohes Erfolgsrisiko darstellen.2 Psychologische Auswirkungen von Fusionen können sich in Verlustängsten und dem Empfinden eines Vertrauensbruchs ausdrücken. Der Erfolg der Integration wird durch die Menschen bestimmt.3 Ob es gelingt, die Integrationsziele zu erreichen, hängt entscheidend von dem Wissen, der Kompetenz und der Veränderungsbereitschaft der Mitarbeiter sowie den Führungs- und Managementfähigkeiten der Integrationsverantwortlichen ab. Die Motivation und die allgemeine Stimmung der betroffenen IT-Mitarbeiter und Anwender ist durch das Integrationsmanagement unbedingt zu beachten und bewusst zu steuern, da sich durch das Unterschätzen menschlicher, unternehmenspolitischer und kultureller Hemmnisse schon viele Erwartungen an umfangreiche Integrationsvorhaben nicht erfüllt haben.4 Insbesondere bei feindlichen Unternehmensübernahmen ist dieser Aspekt sehr kritisch, da die Gefahr besteht, dass sich die Mitarbeiter des erworbenen Unternehmens als Verlierer des Veränderungsprozesses sehen und durch Abwehrhaltungen und mangelnde Kooperationsbereitschaft Konflikte entstehen.5 Derartige Probleme können zu einer deutlichen Verzögerung des Integrationsprojektes führen. Zur Schaffung eines positiven Integrationsklimas sind alle Beteiligten und Betroffenen der IT-Integration und damit vorrangig das Integrationsteam und die IT-Mitarbeiter, jedoch auch die Anwender und die betroffenen Kunden und Lieferanten zu berücksichtigen. Welche Instrumente den ITVerantwortlichen hier zur Verfügung stehen, soll noch genauer in Teil 4 beschrieben werden. Die Häufigkeit von Integrationsaktivitäten ist für die Entscheidungsfindung ebenfalls von Bedeutung. Unternehmen, die in regelmäßigen Zeitintervallen Übernahmen kleiner Gesellschaften durchführen, nehmen am eigenen Unternehmen in der Regel nur geringfügige Anpassungen vor und rollen ihre bestehenden vordefinierten Geschäftsprozesse und einge-
1
Vgl. Berensmann, D.; Spang, S. (1998), S. 36. Vgl. Lauritzen, S. (2000), S. 21. 3 Vgl. Pribilla, P. (2000), S. 64. 4 Vgl. Lauritzen, S. (2000), S. 22. 5 Vgl. Kley, M. D. (2000), S. 90; vgl. Hermsen, C. (1994), S. 44 ff.; vgl. Metz, M. (2002), S. 15. 2
72
setzten IT-Lösungen auf die neuen Tochtergesellschaften aus.1 Wenn in kurzen Zeitabständen stetig neue Integrationsvorhaben zu bewältigen sind, bleibt den IT-Verantwortlichen keine Zeit für eine Analyse des Integrationspartners oder eine Untersuchung von Alternativen und die Effizienz hat die höchste Priorität. Hinzu kommt, dass die verantwortlichen Mitarbeiter bereits über umfangreiche Integrationserfahrungen verfügen und dadurch eine gewisse Routine bei der Überwindung von Integrationsproblemen entwickeln konnten. Handelt es sich bei dem Integrationsvorhaben dagegen um eine Ausnahme, sollten bei der Zusammenführung der verschiedenen IT-Welten die im Zuge der Integration realisierbaren Verbesserungspotenziale berücksichtigt werden.2 Durch zahlreiche Vorschriften von Gesetzgebern und Behörden werden rechtliche Rahmenbedingungen geschaffen, die bei der Integrationsplanung beachtet werden müssen.3 Das Handelsgesetz, die Abgabenordnung, das Bundesdatenschutzgesetz und die Richtlinien, Erlasse und Schreiben des Bundesministeriums der Finanzen beeinflussen maßgeblich die Integration der Anwendungssysteme. Beispielsweise erfordern die Anforderungen an die externe Rechnungslegung eine rasche Zusammenführung der Anwendungen im Rechnungswesen.4 Erlaubt der Arbeitgeber seinen Mitarbeitern die private Nutzung der elektronischen Kommunikationsmedien, ist bei der Zusammenführung der gesamten IT-Systemlandschaft das Telekommunikationsgesetz zu berücksichtigen.5 Überall dort, wo eine Protokollierung, Archivierung und Einsichtnahme in Kommunikationsinhalte und Verbindungsdaten erfolgt, ist die Einhaltung der gesetzlichen Anforderungen sicherzustellen. Auf die rechtlichen Rahmenbedingungen, die eine elektronische Archivierung erforderlich machen, wird im dritten Teil dieser Arbeit sehr ausführlich eingegangen. Im vierten Teil wird ein Phasenmodell zur IT-Integration entwickelt, dass die Beachtung rechtlicher Aspekte in den Mittelpunkt stellt. Des Weiteren beeinflussen die Bedeutung der IT für das Unternehmen sowie die künftige ITStrategie das Integrationsvorgehen. Bei Unternehmenszusammenschlüssen hat zudem der in Abschnitt 2.2.1.5 beschriebene Integrationstyp einen erheblichen Einfluss auf die Gestaltungsparameter der IT-Integration. Letztendlich wirkt sich die Bedeutung und Priorität des IT-Integrationsprojektes innerhalb des Unternehmens auf die Bestimmung der Gestaltungsparameter aus.
1
Vgl. Lauritzen, S. (2000), S. 20; vgl. Strahringer, S.; Zdarsky, F. (2003); S. 531. Vgl. Trapp, R.C.; Otto, A. (2002), S. 104. 3 Vgl. Greipl, D. (2007), S. 47. 4 Vgl. Lehner, U.; Schmidt, M. (2000), S. 185. 5 Vgl. Greipl, D. (2007), S. 50. 2
73
2.4.2 Gegebene Parameter der IT-Landschaften Im folgenden Abschnitt sollen die systemtechnischen Einflussfaktoren auf die IT-Integration hervorgehoben werden. Dabei wird unterschieden zwischen den isoliert zu betrachtenden Parametern und den Parametern, die sich aus der Gegenüberstellung bzw. dem Gesamtkontext der IT-Landschaften ergeben. Bezüglich der isoliert zu betrachtenden Parameter ist weiterhin zu differenzieren zwischen dem derzeitigen Zustand und Umfang der zu integrierenden ITLandschaften und der zukünftigen Zusammensetzung und Ausgestaltung der IT-Ziellandschaft. Die angestrebten Parameter der IT-Ziellandschaft zählen zu den Gestaltungsparametern und werden im Abschnitt 2.4.3.4 genauer betrachtet. Die Analyse der IT-Landschaft umfasst die Darstellung der Anwendungslandschaft mit Angaben zu Anwenderzahlen, Funktionsumfang und bestehenden Schnittstellen. Zur Beschreibung des Zustands der IT-Landschaft werden die Merkmale bzw. Parameter Integrationsgrad, Heterogenitätsgrad, Standardisierungsgrad, Spezialisierungsgrad, Automatisierungsgrad, Innovationsgrad, Gesetzeskonformität und Dokumentationsgüte der IT-Landschaft sowie der Abdeckungsgrad interner Anforderungen verwendet. Sie dienen als Indikatoren für die Qualität, die Zukunftssicherheit und die Flexibilität, auf veränderte Umfeldbedingungen kurzfristig reagieren zu können. Es ist somit die unternehmensspezifische IT-Situation zu beleuchten.1 In die Beurteilungen fließen sowohl technische Gesichtspunkte wie die Aktualität der IT-Landschaft als auch die Qualität der derzeitigen IT-Unterstützung relevanter Geschäftsprozesse ein. 2 Um den Aufwand für die IT-Integration planen zu können, müssen beide IT-Landschaften nicht nur isoliert betrachtet werden, sondern zusätzlich in Beziehung gesetzt werden. Dabei gilt es, Gemeinsamkeiten und Unterschiede aufzuzeigen. Der Überdeckungsgrad der IT-gestützten Geschäftsprozesse beider Parteien fließt dabei in die Untersuchung ein. Die Kompatibilität der einzelnen Komponenten der IT-Landschaften ist ebenfalls zu berücksichtigen, wenn eine Kombination beider IT-Landschaften in Frage kommt. Die Priorität jeder Anwendung ist im Gesamtkontext zu bewerten. Ebenso sind Ausschlusskriterien zu formulieren. Abschließend sollten die IT-Landschaften bezüglich ihrer Stärken und Schwächen im Vergleich beurteilt werden. Die Untersuchungsergebnisse dieser Parametergrößen dienen als Entscheidungsgrundlage für die Wahl der Integrationsmethode, die Ausgestaltung der IT-Ziellandschaft und die Integrationsplanung. In der Praxis bewegt sich der Spielraum für diese Gestaltungsparameter der IT-Integration, die im Abschnitt 2.4.3 ausführlich beschrieben werden, in dem bekannten magischen Dreieck von Qualität, Zeit und Kosten.
1 2
Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 88. Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 93.
74
Isolierte Betrachtung der IT-Landschaften
Indikator für Integrationsaufwand
Aktivitäten
Integrationsgrad Heterogenitätsgrad Standardisierungsgrad
•
Aktuellen Status analysieren
•
Zielgrößen für zukünftige IT-Landschaft definieren
•
Bestehende IT-Landschaften werden zueinander in Beziehung gesetzt
Spezialisierungsgrad Automatisierungsgrad Innovationsgrad Gesetzeskonformität Dokumentationsgüte Grad der Anforderungsabdeckung Gegenüberstellung der IT-Landschaften im Gesamtkontext
Überdeckungsgrad Kompatibilitätsgrad Priorität der Anwendung Ausschlusskriterien
Tabelle 6: Merkmale/Parameter der IT-Landschaft Quelle: eigene Darstellung
Tabelle 6 fasst noch einmal die Parameter der IT-Landschaft zusammen, auf die in den anschließenden Abschnitten genauer eingegangen wird.
2.4.2.1
Parameter der isolierten Betrachtung
Der Integrationsgrad beschreibt das Maß, in dem die Anwendungslösungen sowie die jeweilige Infrastruktur der verschiedenen Fachbereiche des Unternehmens verknüpft sind. Entscheidend sind dabei die Anzahl der Applikationen in Abhängigkeit von dem Umfang der abgebildeten Funktionalitäten. Es ergeben sich zahlreiche Möglichkeiten, die Menge der Geschäftsprozesse eines Unternehmens auf eine beliebige Menge von Anwendungssystemen abzubilden.1 So ist es möglich, dass in einem Unternehmen mehrere von einander unabhängige Systemlandschaften existieren. Je geringer der Integrationsgrad der bestehenden ITLandschaften und speziell der Anwendungslandschaften, desto komplexer gestaltet sich das Integrationsvorhaben.
1
Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 532. 75
Abbildung 11: Intensitätsstufen der Anwendungsintegration Quelle: eigene Darstellung in Anlehnung an Accenture (2004), S. 10.
Wie in Abbildung 11 grafisch dargestellt ist, lässt sich der Integrationsgrad1 der Anwendungslandschaften grob in drei Intensitätsstufen der Integration unterteilen:2 Stand-alone-Position (Independent Operations): Bei dieser Extremform werden die Anwendungssysteme getrennt voneinander eingesetzt und es besteht keinerlei Integration. In der Regel handelt es sich dabei um speziell für einzelne Funktions- und Aufgabenbereiche entwickelte Insellösungen. Partielle Integration: Hier lassen sich wiederum zwei Varianten unterscheiden: a) eine Integration der Anwendungssysteme erfolgt durch Konsolidierung bestimmter Daten z. B. in einer Datenbank, oder b) die verschiedenen Anwendungssysteme werden über Schnittstellen zum Austausch von Daten und zur Integration von Geschäftsprozessen verbunden.
1
Die Namensgebung ist hier in der Literatur nicht einheitlich. Auch die Begriffe Integrationsreichweite oder Integrationstiefe werden in diesem Zusammenhang teilweise synonym verwendet. 2 Vgl. Steinöcker, R. (1993), S. 106 ff.; vgl. Lazanowski, M.; Huther, H. (2003), S. 388. 76
Vollintegration (Single Instance): Dabei handelt es sich um das andere Extrem, in dem alle Anwendungen sehr stark miteinander verbunden und beispielsweise in einem ERP-System integriert sind. Die bestehende IT-Systemlandschaft eines Unternehmens ist in der Regel das Resultat eines über Jahre laufenden Weiterentwicklungsprozesses. Der technische Fortschritt oder veränderte Anforderungen waren der Auslöser für die stetige Weiterentwicklung oder die Neueinführung technischer Lösungen, die aus Gründen des Investitionsschutzes und der Aufwandsminimierung mit der bestehenden IT-Systemlandschaft in Einklang gebracht werden mussten und damit deren Heterogenitätsgrad kontinuierlich steigerten.1 Unter Heterogenität wird in diesem Zusammenhang die Verschiedenartigkeit der Komponenten der IT-Landschaft bzw. der einzelnen Anwendungen innerhalb der Anwendungslandschaft verstanden. Einige Anwendungssysteme, die spezielle Geschäftsfunktionen unterstützen, lassen sich in Unternehmen durch Eigenentwicklung oftmals kostengünstiger erstellen, pflegen und warten als durch einen unabhängigen Softwarehersteller.2 Eine weitere Ursache für die Heterogenität der IT-Landschaften ist die Autonomie der Verantwortlichen beim Einsatz von Anwendungssystemen oder IT-Infrastrukturkomponenten. Wenn in Unternehmen Bereiche oder Abteilungen eigenverantwortlich die Entwicklung oder Anschaffung von IT-Lösungen entscheiden, führt dies schnell zu heterogenen Systemlandschaften, da der Lösungserwerb nicht aus der Gesamtperspektive des Unternehmens erfolgt, sondern lediglich die individuellen Anforderungen des jeweiligen Fachbereiches Berücksichtigung finden.3 Unternehmensweite Standards und Vorgaben beispielsweise bezüglich der Dokumentation werden in diesen Fällen in der Regel nicht eingehalten.4 Die verschiedenen Anwendungssysteme werden dabei oftmals über hochspezialisierte Schnittstellen miteinander verbunden, was die Flexibilität der IT-Landschaft wiederum sehr stark einschränkt. Der entscheidende Nachteil dieser schleichend entstandenen, heterogenen Systemlandschaften liegt in dem bedeutend höheren Aufwand für Betrieb und Pflege und der redundanten Datenhaltung, welche auch in anderen Fachbereichen wie beispielsweise dem Controlling den Arbeitsaufwand deutlich steigert.5 Mit der Heterogenität der IT-Landschaften steigt auch das Risiko, dass Daten unvollständig oder falsch übertragen werden. Insbesondere bei Unternehmen, die infolge von Unternehmenszusammenschlüssen mehrere Systemlandschaften parallel betreiben, steigen die Betriebskosten unverhältnismäßig stark. Das kann soweit gehen, dass den IT-Mitarbeitern kaum Zeit bleibt, sich strategischen Aufgaben zu widmen, da ihre Kapazitäten ausschließlich zur Pflege und Wartung der ITLandschaften beispielsweise für Releasewechseldurchführungen oder Fehlerbehebungen
1
Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 524, vgl. auch Schilken, K. (2002), S. 44. Vgl. Dahlke, K.; Volmering, T. (2003), S. 58. 3 Vgl. Conrad, S. et al. (2006), S. 23; vgl. Seidel, B. (2004), S. 20; vgl. Durst, M. (2007), S. 2. 4 Vgl. Durst, M. (2007), S. 20. 5 Vgl. Roth, F. (2008), S. 62 ff. 2
77
genutzt werden.1 Von diesem Entwicklungsprozess waren neben den Anwendungssystemen auch die Hardwareplattformen, die Betriebssysteme, die Kommunikationsprotokolle sowie die unternehmensweit eingesetzten Netze und Leitungen betroffen.2 Daher ist bei der Integration die Heterogenität auf den verschiedenen Ebenen zu berücksichtigen.3 Ein hoher Heterogenitätsgrad hindert Unternehmen des Weiteren daran, neue Technologien einzuführen. Damit hemmt eine extreme Heterogenität der IT-Landschaft die Innovationsfähigkeit der Unternehmen. Als Einflussgröße in Bezug auf die Gestaltungsparameter der Integration ist die tatsächliche Heterogenität der Systemlandschaft entscheidend und nicht die, welche vom Anwender wahrgenommen wird. Bei einer einheitlich gestalteten Benutzeroberfläche kann durch ein homogenes Erscheinungsbild die Anwenderzufriedenheit gesteigert werden, obwohl der Anwender im Hintergrund auf verschiedenen Anwendungen mit unterschiedlichen Betriebssystemen und vielfältigen Hardwarelösungen arbeitet. Ein hoher Heterogenitätsgrad der bestehenden Systemlandschaften wirkt sich komplexitätssteigernd auf das Integrationsprojekt aus, während der Heterogenitätsgrad der Zielsystemlandschaft einen signifikanten Einfluss auf den zukünftigen Aufwand für Administration, Betrieb und Service hat.4 Der Parameter Standardisierungsgrad gibt an, inwieweit sich die betrachtete IT-Landschaft und die abgebildeten Geschäftsprozesse durch den einheitlichen Einsatz von Lösungen und Verfahrensweisen auszeichnen. Auftraggeber der IT-Abteilung eines Unternehmens ist sowohl die Geschäftsleitung als auch die einzelnen Fachbereiche.5 Dieses Beziehungskonstrukt kann Konflikte in der Aufgabenerfüllung des IT-Bereichs auslösen.1 Einerseits verlangt die Unternehmensleitung nach einer unternehmensweit optimalen Ausgestaltung der ITLandschaft, andererseits erwarten die Funktionsbereiche Lösungen, die ihren spezifischen Anforderungen entsprechen. Um diesem Konflikt zu begegnen, werden unternehmensübergreifende Standards festgelegt. Die Standardisierungsbestrebungen im IT-Bereich umfassen allgemein die Bemühungen einer technischen Vereinheitlichung des Hardware- und Softwareeinsatzes sowie die methodische Vereinheitlichung von Prozessen. Durch die Einhaltung dieser Standards beispielsweise durch die Verwendung von Standardsoftware, Standardschnittstellen oder Standardtestverfahren können die oben beschriebene Heterogenität der ITLandschaft sowie die IT-Kosten verringert werden. Eine Standardisierung der IT-Landschaft erhöht die Flexibilität hinsichtlich Veränderungen der Geschäftsabläufe und reduziert gezielt die Komplexität. Ein hoher Standardisierungsgrad der bereits vorhandenen IT-Landschaften reduziert damit die Komplexität des Integrationsvorhabens und erleichtert die Kalkulation des Aufwands. Je geringer der Standardisierungsgrad der verwendeten Anwendungssysteme, der 1
Vgl. Auer, G. (2007), S. 1. Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 535. Vgl. Conrad, S. et al. (2006), S. 22. 4 Vgl. hierzu Abschnitt 2.4.3.4. 5 Vgl. Gurbaxani, V.; Kemerer, C. F. (1990), S. 282. 2 3
78
abgebildeten Geschäftsprozesse und der bestehenden IT-Infrastruktur, desto aufwendiger gestaltet sich die Zusammenführung der IT-Landschaften. Sehr außergewöhnliche Geschäftsprozesse mit einem hohen Spezialisierungsgrad2 erfordern oftmals maßgeschneiderte IT-Anwendungen und sind damit ein entscheidender Kostentreiber der laufenden IT-Kosten. Von einem hohen Spezialisierungsgrad verspricht sich ein Unternehmen in der Regel einen Wettbewerbsvorteil, da zum Beispiel mit Hilfe einer Speziallösung ein besonderer Kundennutzen geschaffen wurde. Für die Gestaltung von Kernprozessen, die einen schwer imitierbaren und schwer substituierbaren Nutzen liefern sollen, ist organisatorische Maßschneiderei erforderlich.3 Ein hoher Spezialisierungsgrad der bestehenden ITLandschaften wirkt sich komplexitätssteigernd und synergiemindernd auf das Integrationsprojekt aus. So lassen sich beispielsweise bei Auftragsabwicklungsprozessen, welche ausnehmend kundenspezifisch oder mit einer hohen Variantenvielfalt gestaltet sind, in der Regel nur in geringem Umfang Synergieeffekte erzielen.4 Insgesamt wirkt sich ein hoher Spezialisierungsgrad der IT-gestützten Geschäftsprozesse sowie der IT-Landschaft komplexitätssteigernd auf die IT-Integration aus. Bei der Analyse der Gestalt von IT-Landschaften ist auch der Automatisierungsgrad zu berücksichtigen. Die Aufgaben der Informationsverarbeitung sind zum Teil dem Mensch und damit dem Mitarbeiter und zum Teil der Maschine und damit der Systemlandschaft zugeordnet. Der Grad der Zuordnung von Aufgaben an die IT-Systeme entspricht dem Automatisierungsgrad.5 Ein geringer Automatisierungsgrad der bestehenden IT-Landschaften deutet auf ein erhöhtes Verbesserungspotenzial hin. Das Integrationsprojekt bietet die Möglichkeit, verschiedene manuelle Tätigkeiten der Anwender und der IT-Mitarbeiter zu automatisieren.6 Der Innovationsgrad der IT-Landschaft ergibt sich zum einen aus der technischen Aktualität der eingesetzten Komponenten und zum anderen aus dem Innovationsstand der Geschäftsprozesse. Die jeweiligen Lebenszykluspositionen der Anwendungssysteme und IT-Infrastrukturelemente spiegeln dabei die technische Aktualität der IT-Landschaft wider. Durch den technischen Vorsprung innovativer IT-Landschaften und gestraffter Betriebsabläufe lassen sich entscheidende Wettbewerbsvorteile erzielen. Der Innovationsgrad hat in erster Linie einen entscheidenden Einfluss auf die Auswahl einer Integrationsmethode.1 Das Alter der Komponenten der IT-Landschaft ist zwar per se kein Beweis für eine mangelhaft umgesetzte Unternehmens- und IT-Strategie, jedoch zeigt sich häufig, dass ältere IT-Landschaften die 1
Vgl. Gurbaxani, V.; Kemerer, C. F. (1990), S. 284. Der Spezialisierungsgrad wird in der Literatur auch als Individualisierungsgrad bezeichnet. Vgl. Wildemann, H. (2003b), S. 661. 3 Vgl. Osterloh, M.; Frost, J. (2006), S. 268. 4 Vgl. Wildemann, H. (2003b), S. 661. 5 Vgl. Ferstl, O. K.; Sinz, E. J. (1994), S, 48. 6 Vgl. hierzu Abschnitt 2.4.3.4. 2
79
strategischen Veränderungen nicht mehr problemlos umsetzen können.2 Lassen sich die Integrationsziele nicht mit den vorhanden Lösungen umsetzen oder stehen die Kosten der Integration in keinem vertretbaren Verhältnis zum Nutzen, sind die entsprechenden Komponenten der IT-Landschaft abzulösen. Damit erhöht ein niedriger Innovationsgrad der vorhandenen IT-Landschaften den Kosten- und Zeitaufwand des Integrationsvorhabens. Der Grad der Gesetzeskonformität gibt an, in welchem Maße gesetzliche Vorschriften beim Einsatz der IT gewahrt werden. Die Einhaltung von gesetzlichen Regeln und Vorgaben beim Einsatz der IT und bei der Abwicklung IT-gestützter Geschäftsprozesse ist ein Qualitätsmerkmal einer IT-Landschaft. Prozesse und IT-Landschaften werden als "compliant" bezeichnet, wenn die Abläufe, die Datenhaltung und der Technologieeinsatz den gesetzlichen Anforderungen entsprechen. Bei der Bestimmung dieses Parameters sind sowohl Richtlinien, die sich direkt auf den IT-Einsatz beziehen, als auch Vorschriften, die nur indirekt Einfluss auf den IT-Einsatz ausüben, zu berücksichtigen. Ein weiterer Parameter der IT-Landschaft, der den Integrationsaufwand entscheidend beeinflusst, ist die Dokumentationsgüte der Prozessabläufe, Systemhandhabung und technischen Ausgestaltung der IT-Landschaft. Insbesondere der Einsatz betriebswirtschaftlicher Anwendungssysteme erfordert die Dokumentation der abgebildeten Funktionalitäten und organisatorischen Strukturen, des Umgangs mit der Software, der unterstützenden Prozesse sowie der verwendeten Datenobjekte und -strukturen.3 Erstellung und Pflege von Systemen und Prozessdokumentationen stellen einen wichtigen Mehrwert für ein Unternehmen dar.4 Zudem dienen Dokumentationen dem Unternehmen zur Absicherung gegen einen Wissensverlust beim Weggang von Know-how-Trägern. In vielen Unternehmen wird die kontinuierliche Pflege der Dokumentationen dennoch vernachlässig. Die mangelnde Kenntnis über die bestehenden Zusammenhänge innerhalb der vorhandenen Systemumgebungen erschwert die Planung und Kalkulation des Integrationsaufwands.5 Aufwendige Analysen der Ist-Situation in den jeweiligen Bereichen sind notwendig, wenn nur eine mangelnde Transparenz bezüglich der Ausgestaltung der IT-Infrastruktur, dem Design und dem Customizing6 der Anwendungslandschaft sowie der Abhängigkeiten und technologischen Möglichkeiten der Komponenten der ITLandschaft besteht. Die vorliegenden Dokumentationen der beteiligten Anwendungssysteme und Infrastrukturkomponenten sind auf ihre Aktualität zu überprüfen. Je besser die Komponenten der IT-Landschaft dokumentiert und je fundierter der Überblick über bestehende Ver-
1
Vgl. Trapp, R.C.; Otto, A. (2002), S. 105; siehe hierzu Abschnitt 2.4.3.5. Vgl. Becker, J.; Winkelmann, A.; Vering, O. (2008), S. 67. 3 Vgl. Klaus, H.; Rosemann, M; Gable, G.G. (2000), S. 143. 4 Vgl. Groß, S.; Lamm, M. (2008), S. 333. 5 Vgl. Vogler, P. (2006), S. 27. 6 Die Anpassung von Standardsoftware durch das Setzen von Parametern in Abhängigkeit von den unternehmensindividuellen Anforderungen ohne Programmänderungen wird als Customizing bezeichnet. Vgl. Stahlknecht, P.; Hasenkamp, U. (2005), S. 297; vgl. Alpar, P. et al. (2005), S. 357. 2
80
flechtungen dargestellt wurde, desto zuverlässiger kann der Aufwand geplant werden, und desto geringer ist das Risiko unerwarteter Verzögerungen. Eine detaillierte, verständliche und aussagekräftige Dokumentation, die systematisch aktualisiert wird, lässt auf einen hohen Qualitätsanspruch des Unternehmens schließen.1 Bei Unternehmenszusammenschlüssen empfiehlt es sich daher, ganz genau zu regeln, welche Dokumentationen über die IT-Landschaft dem Käuferunternehmen schon im Vorwege zur Kaufpreisverifizierung und Kalkulation des Integrationsaufwands zur Verfügung gestellt werden sollten.2 Der Grad der Abdeckung interner Anforderungen ist ein Parameter der IT-Landschaft und insbesondere der Anwendungslandschaft, der einen wesentlichen Indikator für die Qualität der IT-Landschaft und den Integrationsaufwand darstellt. Er gibt an, in welchem Umfang die bestehenden Anforderungen der Anwender durch den Einsatz der IT erfüllt werden. Dabei wird die Qualität der IT-Unterstützung des Geschäftes daran gemessen, ob die Verarbeitung der Daten und Prozesse derzeit fehlerfrei erfolgt und die Abbildung der Prozesse den Anforderungen der betroffenen Geschäftsbereiche entspricht. So kann ein Unternehmen beispielsweise über umfangreiche Prozesse im Bereich des Kundenbeziehungsmanagements3 verfügen, die bisher nur unzureichend durch den Einsatz geeigneter Anwendungslösungen unterstützt werden oder deren Umsetzungslösungen nicht den funktionalen Anforderungen entsprechen. In diesem Fall ist der Abdeckungsgrad der Anwenderanforderungen des CRM-Bereichs als gering einzustufen. Im Rahmen der IT-Integration sind für die beschriebenen Parameter nicht nur der Ist-Zustand zu bewerten, sondern auch Zielwerte zu formulieren. Auf diese angestrebten Parameter der IT-Landschaft wird genauer in den Abschnitten 2.4.3.1 und 2.4.3.4 eingegangen.
2.4.2.2
Parameter der IT-Landschaften im Gesamtkontext
Die Wahl einer Integrationsmethode ist abhängig von dem jeweiligen Überdeckungsgrad der Geschäftsprozesse und der Anwendungssysteme beider Integrationsparteien.4 Der Überdeckungsgrad gibt Aufschluss darüber, inwieweit übereinstimmende Funktionalitäten durch Anwendungssysteme beider Integrationsparteien abgedeckt werden. Bei sehr verschiedenartigen Geschäftsabläufen spricht man auch von einem sehr geringen Überdeckungsgrad. Lassen sich jedoch eine Vielzahl redundanter Prozesse beider Integrationsparteien ausmachen, eröffnet sich durch die Integration ein hohes Rationalisierungspotenzial. Einen direkten Ein-
1
Vgl. Groß, S.; Lamm, M. (2008), S. 333. Vgl. Söbbing, T. (2007), S. 171. 3 Das Kundenbeziehungsmanagement wird auch als Customer Relationship Management (CRM) bezeichnet und verfolgt das Ziel, die Beziehungen zu den Kunden eines Unternehmens möglichst optimal zu gestalten. 4 Vgl. Lauritzen, S. (2000), S. 22. 2
81
fluss auf den Überdeckungsgrad und damit das Synergiepotenzial hat die Integrationsrichtung.1 Der Kompatibilitätsgrad beschreibt die Verträglichkeit, Vereinbarkeit und Zusammenschließbarkeit der Geschäftsprozesse auf der einen Seite und der entsprechenden Soft- und Hardwarekomponenten beider Integrationsparteien auf der anderen Seite. Als kompatibel werden Systeme bezeichnet, die zusammenpassen und ohne großen Aufwand z. B. über offene Schnittstellen miteinander zum Datenaustausch verbunden werden können. Geschäftsprozesse gelten als kompatibel, wenn sie problemlos miteinander vereinbar sind und im Fall einer IT-Unterstützung in einem gemeinsamen Anwendungssystem abgebildet werden können. Sollen die IT-gestützten Geschäftsprozesse bei einem geringen Überdeckungs- oder Kompatibilitätsgrad in einen Anwendungssystem zusammengeführt werden, wirkt sich dies entsprechend komplexitätssteigernd auf das Integrationsvorhaben aus. Die Kompatibilität der Komponenten der bestehenden IT-Landschaften ist erforderlich, wenn sie erhalten bleiben sollen und in die IT-Ziellandschaft zu integrieren sind. Je stärker bei dem Einsatz der vorhandenen IT-Lösungen auf einheitliche Standards, Normen, Protokolle und Schnittstellen geachtet wurde, desto höher ist die Kompatibilität der Hard- und Softwarekomponenten einzuschätzen.2 Die Anwendungssysteme beider IT-Landschaften werden im Gesamtkontext betrachtet und in Hinblick auf das zukünftige Geschäft mit Prioritäten bewertet. Die Prioritäten werden dabei in Abhängigkeit von der strategischen Relevanz und der Bedeutung hinsichtlich der Unterstützung kritischer Erfolgsfaktoren vergeben.3 Diese Prioritätenliste fließt gemeinsam mit einer Dokumentation der Abhängigkeiten der verschiedenen Anwendungssysteme in die Integrationsplanung ein. Vor der Entscheidung für eine Integrationsmethode und über die Ausgestaltung der IT-Ziellandschaft sind spezielle Ausschlusskriterien festzulegen und die potenziellen Komponenten der zukünftigen IT-Landschaft einer Überprüfung auf technische und funktionale K.-o.-Kriterien zu unterziehen. So gehört beispielsweise die Skalierbarkeit der zur Auswahl stehenden IT-Lösung zu den wesentlichen technischen Ausschlusskriterien. Nur wenn die Systeme die Verarbeitung der zukünftigen Daten- und Transaktionsvolumina problemlos gewährleisten können, kommen sie für die Integration in Betracht.4 Hierfür ist eine möglichst genaue Abschätzung der künftigen Auslastung erforderlich. Zudem sollten die Basistechnologien zukunftssicher sein. Spätestens wenn es für die eingesetzte Technologie kein Wartungsperso-
1
Vgl. hierzu Abschnitt 2.2.1.4 sowie die Ausführungen zur Integrationsrichtung in Abschnitt 2.4.1. Vgl. Paprottka, S. (1996), S. 185. 3 Die kritischen Erfolgsfaktoren stellen dabei die notwendigen Bedingungen zur Umsetzung der Unternehmensstrategie dar und lassen sich aus den Kernkompetenzen des Unternehmens ableiten. Vgl. Herz, S. et al. (2008), S. 73. 4 Vgl. Berensmann, D.; Spang, S. (1998), S. 39; vgl. Strahringer, S.; Zdarsky, F. (2003), S. 533. 2
82
nal mehr gibt, weil beispielsweise die letzten Programmierer in Pension gehen, muss auch ein funktionierendes System abgelöst werden.1 Neben der Zukunftssicherheit zählen vor allem die Stabilität und die Ausfallsicherheit der IT-Landschaft zu den Kriterien, die schnell zum Ausschluss bestimmter Lösungen führen können. Bei international agierenden Unternehmen sollten die Anwendungslösungen mehrsprachen- und multiwährungsfähig sein und nach Möglichkeit sogar über länderspezifische Versionen verfügen.2 Selbstverständlich muss die IT-Lösung zu dem Zeitpunkt der Migration im erforderlichen Umfang verfügbar sein und darf im Preis nicht weit über dem zur Verfügung stehenden Budget liegen.
2.4.3 Gestaltungsparameter Neben den gegebenen Parametern einer IT-Integration sind eine Reihe von Gestaltungsparametern zu Beginn eines Integrationsprojektes festzulegen. Dazu zählen die Integrationsgeschwindigkeit, die Höhe des Integrationsbudgets, die Qualitätsrichtlinien für die Ausgestaltung der zukünftigen IT-Landschaft, die Integrationsmethode sowie die Besetzung des Integrationsteams. Diese variierbaren Parameter stehen in einer engen Abhängigkeit zueinander und werden im Wesentlichen von dem Anlass der Integration, den Integrationszielen, den zuvor beschrieben situativen Rahmenbedingungen und den Parametern der bestehenden ITLandschaften sowie bei Unternehmenszusammenschlüssen zusätzlich von dem angestrebten Integrationstyp3 beeinflusst. Bei der Festlegung der Gestaltungsparameter ist die konsequente Verfolgung der Integrationsziele eine zwingende Voraussetzung für den Erfolg der Integration. Nun gilt es unter Berücksichtigung aller relevanten Rahmenbedingungen und Parameter eine Balance zu finden zwischen zeitlichem und finanziellem Aufwand und einer sinnvollen Ausgestaltung der IT-Ziellandschaft. Darauf aufbauend kann eine fundierte Entscheidung bezüglich der Integrationsmethode und eine geeigneten Personalauswahl hinsichtlich des Projektleiters und seines Integrationsteams getroffen werden. Die beschrieben Abhängigkeiten sind in der folgenden Abbildung zur Veranschaulichung grafisch dargestellt und den jeweiligen Abschnitten zugeordnet.
1
Vgl. Sneed, H. M. (2002), S. 3. Vgl. META Group (1999), S. 121. 3 Der Integrationstyp wurde bereits in Abschnitt 2.2.1.5 Integrationstyp beschrieben. 2
83
Abbildung 12: Beziehung der Parameter zur Integration der IT-Landschaft Quelle: eigene Darstellung
2.4.3.1 Angestrebter IT-Integrationsgrad Der optimale Integrationsgrad aus Kosten-Nutzen-Aspekten lässt sich ermitteln, indem alternative Integrationsszenarien entwickelt werden, um die jeweils kalkulierten Integrationskosten den entsprechenden Synergiepotenzialen gegenüberzustellen.1 Je höher der angestrebte Integrationsgrad, desto stärker müssen die Anwendungssysteme vereinheitlicht werden.2 Ein hoher Integrationsgrad schafft eine starke Abhängigkeit von den eingesetzten Systemen, der durch ein gut durchdachtes Risikomanagement begegnet werden sollte, um beispielsweise Störungen oder den Ausfall von Anwendungen kurzfristig ausgleichen zu können.3 Die optimale Integrationsstufe der Anwendungslandschaft eines Unternehmens ist abhängig von der Geschäftssituation. Selbst die Stand-alone Position kann sinnvoll sein, wenn Unternehmen beispielsweise durch die Nutzung spezieller Individuallösungen besonders erfolgreich sind oder die durch die Anwendungen unterstützten Bereiche und Funktionen kaum Überschneidungen aufweisen und dementsprechend der Überdeckungsgrad
1
Vgl. Pfohl, H.-C.; Hofmann, E. (2003), S. 323 f.; vgl. Strahringer, S.; Zdarsky, F. (2003), S. 549; vgl. Wildemann, H. (2003a), S. 601. 2 Vgl. Allwermann, R. (1993), S. 4. 3 Vgl. Zaddach, M. (2007), S. 90. 84
der Geschäftsprozesse sehr gering ist. Eine wesentliche Voraussetzung für eine erfolgreiche IT-Integration ist die frühzeitige Einigung auf den angestrebten Integrationsgrad. Dieser ist aus der Unternehmens- und der IT-Strategie abzuleiten und legt den Gestaltungsrahmen für die IT-Integration fest. Eine Untersuchung von IT-Integrationsaktivitäten im Rahmen von Unternehmenszusammenschlüssen hat ergeben, dass die überwiegende Mehrheit der untersuchten Zusammenschlussunternehmen eine vollständige Integration der IT anstrebte. In der Studie verfolgten 75 % der befragten Unternehmen das Ziel der vollständigen Integration, bei 20 % sollte eine Teilintegration umgesetzt werden und 5 % der befragten Unternehmen hatten keine Integrationspläne.1
2.4.3.2 Integrationsgeschwindigkeit/-dauer Die Geschwindigkeit der Integration eines erworbenen Unternehmens in den Unternehmensverbund wird in der Literatur als ein kritischer Erfolgsfaktor für den Zusammenschlusserfolg gesehen.2 Definiert wird die Integrationsgeschwindigkeit als die pro Zeiteinheit realisierten Ressourcentransfers.3 Dabei wird die zeitpunkt- und die zeitraumbezogene Dimension der Integrationsgeschwindigkeit unterscheiden.4 Die zeitpunktbezogene Betrachtung beschreibt den Zeitpunkt nach Vertragsabschluss, an dem bestimmte Entscheidungen getroffen werden und ab dem der Integrationsprozess beginnt bzw. die entsprechenden Integrationsmaßnahmen veranlasst werden. Bezüglich der zeitpunktbezogenen Betrachtungsweise konnte die Untersuchung von Jansen und Körner bei Unternehmenszusammenschlüssen jedoch keinen signifikanten Zusammenhang zwischen der Integrationsgeschwindigkeit und der entsprechenden Umsatz- bzw. Börsenwertentwicklung feststellen.5 Damit wurde der weit verbreiteten Annahme widersprochen, dass die hohe Integrationsgeschwindigkeit der wesentlichste Erfolgsfaktor ist. Im Gegenteil belegt die Studie, dass die sinnvoll genutzte Zeit für eine sorgfältige Planung der Integrationsmaßnahmen sich erfolgswirksamer auswirkt als eine schnelle und dadurch eventuell übereilte Umsetzung. Die zeitraumbezogene Betrachtung berücksichtigt die Dauer des Integrationsprozesses.6 Wie bereits in Abschnitt 2.2.1.2 beschrieben wurde, liegt dieser Arbeit eine Mergerphasen-übergreifende und damit keine zeitpunkt- sondern eine zeitraumbezogene Betrachtungsweise zugrunde. Zudem beziehen sich die Ausführungen in dieser Arbeit nicht ausschließlich auf die Ausgangssituation eines Unternehmenszusammenschlusses. Unter Integrationsdauer wird somit der Zeitraum des Integrationsprozesses ver-
1
Vgl. Stylianou, A. C.; Jeffries, C. J.; Robbins, S. S. (1996), S. 210. Vgl. Gerpott. T. J.; Schreiber, K. (1994), S. 99; Mitchell, D. (1989), S. 44 ff.; vgl. PriceWaterhouseCoopers (1999), S. 3 ff. 3 Vgl. Gerpott, T. J. (1993), S. 384 f. 4 Vgl. Gerpott, T. J. (1993), S. 161 ff. 5 Vgl. Jansen, S. A. (2000a), S. 337. 6 Vgl. Gerpott, T. J. (1993), S. 162; vgl. auch Wirtz, B. (2003), S. 287. 2
85
standen, während die Integrationsgeschwindigkeit zusätzlich den Umfang der Integrationsmaßnahmen und Veränderungen zum Erreichen der angestrebten Integrationsziele berücksichtigt.1 Über die optimale Integrationsgeschwindigkeit wurde im Schrifttum viel diskutiert. Es lassen sich zwei Extrempositionen festmachen.2 Auf der einen Seite wird davon ausgegangen, dass bei Unternehmenszusammenschlüssen ein nur relativ schmales Zeitfenster zur Integration direkt nach dem Vertragsabschluss existiert und eine schnelle Integration erfolgsentscheidend ist.3 Danach führt das Verschleppen von Integrationsmaßnahmen zu einer Wertvernichtung.4 Durch eine schnelle Umsetzung des Veränderungsprozesses können Unsicherheiten, Abwanderungen von Kunden, Lieferanten und Mitarbeitern sowie Opportunitätskosten durch ungenutzten Ressourcentransfer reduziert oder ganz vermieden werden.5 Konsequenzen, die aus geschwindigkeitsbedingten Fehlentscheidungen resultieren, werden als weniger gravierend eingestuft als eine Verlängerung des Integrationsprozesses. Auf der anderen Seite wird davon ausgegangen, dass fundierte Entscheidungen aufgrund der Notwendigkeit von Detailinformationen und gründlichen Untersuchungen nur langsam und schrittweise getroffen werden können.6 Fehler bei der Planung und Konzeption der zukünftigen IT-Landschaft können einen enormen finanziellen Aufwand bei Umsetzung und Betrieb der IT-Ziellandschaft hervorrufen und damit sogar den Integrationserfolg gefährden.7 Zusätzlich können bei einem langsamen Zusammenwachsen ein Kulturschock der Mitarbeiter sowie Widerstände bei der Maßnahmenumsetzung vermieden werden.8 Sowohl der hohen als auch der niedrigen Integrationsgeschwindigkeit lassen sich Vor- und Nachteile zuordnen, wobei die Vorteile der einen Extremposition als Nachteile der entgegengesetzten Geschwindigkeitsausprägung ausgelegt werden können. Die folgende Tabelle stellt beispielhaft Vorteile der beiden Extremausprägungen gegenüber.
1
Vgl. Gerpott, T. J. (1993), S. 161 f.; Gerpott, T. J. (2003), S. 469. Vgl. Wirtz, B. (2003), S. 288; vgl. Renneke, L. (2007), S. 54; vgl. Gerpott, T. J. (1993), S. 162 ff.; vgl. Scheiter, D. (1989), S. 133 f. 3 Vgl. Buono, A. F.; Bowditch, J. L. (1989), S. 15; vgl. Feldman, M. L.; Spratt, M. F. (2000), S. 47; vgl. PriceWaterhouseCoopers (1999), S. 3. 4 Vgl. Feldman, M. L.; Spratt, M. F. (2000), S. 25; vgl. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007), S. 62. 5 Vgl. Mitchell, D. (1989), S. 44; vgl. Gerpott, T. J. (1993), S. 162. 6 Vgl. Boehm, D. C. (1985), S. 112; vgl. Homburg, C.; Bucerius, M. (2004), S. 160. 7 Vgl. Trapp, R. C.; Otto, A. (2002), S. 104. 8 Vgl. Gomez, P.; Weber, B. (1989a), S. 76; vgl. Gomez, P.; Weber, B. (1989b), S. 73. 2
86
Hohe Integrationsgeschwindigkeit/
Niedrige Integrationsgeschwindigkeit/
niedrige Zeitdauer der Integrationsgestaltung
hohe Zeitdauer der Integrationsgestaltung
•
Nutzung von Veränderungserwartungen der ITMitarbeiter und der Anwender
•
•
Schnelle Realisierung von Wertsteigerungspotenzialen bzw. Reduzierung der Opportunitätskosten durch unveränderte Ressourcennutzung
Ausführliche Analyse der Integrationsgestaltungsebenen IT-Strategie, IT-Organisation, IT-Landschaft und ITAnwender beider Integrationspartner und dadurch wechselseitiges gründliches Kennen lernen der Fähigkeiten, Wertvorstellungen und Führungssysteme
•
Vermeidung/Abbau von Unsicherheit durch das rasche Schaffen klarer organisatorischer Strukturen
•
Motivation der IT-Mitarbeiter und –Anwender durch nachhaltige Einbindung und Nutzung ihres Wissens bei der Planung und Umsetzung der IT-Integration
•
IT-Push: schnelle Umsetzung strategischer Ziele durch Integration der IT - die Zusammenführung der IT wird genutzt, um die Integration anderer Unternehmensbereiche zu beschleunigen 1
•
Fundierte IT-Strategieentwicklung auf Basis der Unternehmensstrategie und der IT-Ziele.
•
Zuverlässige Planung der Integrationsaktivitäten durch vertiefte Analysen der zukünftigen Anforderungen und der Synergiepotenziale mittels des Ressourcentransfers Bessere Bewältigung der hohen Komplexität Geringeres Fehlentscheidungsrisiko Sachgerechte Reorganisationsprioritäten
•
Vermeidung einer Überforderung der verantwortlichen und beteiligen Mitarbeiter bezüglich Arbeitsvolumen und Lernfähigkeit.
Tabelle 7: Vorteile einer hohen und einer niedrigen Integrationsgeschwindigkeit Quelle: eigene Darstellung2
Zwischen diesen beiden Extrempositionen gibt es eine dritte Position, die ein der Situation angemessenes Ausbalancieren zwischen einer hohen und einer niedrigen Integrationsgeschwindigkeit in Abhängigkeit von den sich daraus ergebenden Vor- und Nachteilen in der jeweiligen Unternehmenssituation empfiehlt.3 Diese Position wird auch in dieser Arbeit vertreten und beruht auf der Überlegung, dass zur Bestimmung der optimalen Integrationsgeschwindigkeit, basierend auf den Zielen der Integration, Kosten-Nutzen-Betrachtungen anzustellen sind, die alle relevanten Rahmenbedingungen und Parameter berücksichtigen.4 Dieser situative Ansatz bezieht auch die Erfahrungen zahlreicher Praktiker mit ein, dass bestimmte kritische Integrationsgestaltungsthemen bis zu einem vordefinierten Zeitpunkt umgesetzt werden sollten.5 Als Beispiel werden hier oft Personalentscheidungen bezüglich relevanter Führungspositionen angeführt, welche mit einer entsprechenden zeitlichen Priorität getroffen und umgesetzt werden sollten. Auch die Studie von Jansen und Körner identifizierte „schnelle Entscheidungen über die Führungsstruktur“ als die wichtigste Aufgabe bei Unternehmenszu-
1
Vgl. hierzu die Ausführungen in Abschnitt 2.2.1.6. Vgl. Gerpott, T. J. (2003), S. 470. 3 Vgl. Gerpott, T. J. (1993), S. 163; vgl. Wirtz, B. (2003), S. 288; vgl. Trapp, R. C.; Otto, A. (2002), S. 104; vgl. Gerpott , T. J. (2003), S. 470. 4 Vgl. Gerpott. T. J.; Schreiber, K. (1994), S. 105; vgl. Wirtz, B. (2003), S. 288 ff. 5 Vgl. Gerpott. T. J.; Schreiber, K. (1994), S. 104. 2
87
sammenschlüssen.1 Des Weiteren hängen die Integrationsgeschwindigkeit sowie die Integrationsplanung von dem qualitativen und quantitativen Niveau der verfügbaren Informationen, den zur Verfügung stehenden Integrationsressourcen und der jeweiligen wirtschaftlichen Situation der Integrationsparteien ab.2 So steht beispielsweise bei einer internen Reorganisation aufgrund von wirtschaftlichen Schwierigkeiten eine schnelle Kostenreduktion oder bei der Übernahme eines Unternehmens in einer wirtschaftlich prekären Lage eine schnelle und direkte Einflussnahme deutlich im Vordergrund.3 Bei Unternehmenszusammenschlüssen gibt es darüber hinaus zusätzliche Aspekte, die bei der Ermittlung der optimalen Integrationsgeschwindigkeit zu berücksichtigen sind: So bedingen zum Beispiel die rechtlichen Anforderungen der externen Rechnungslegung eine zügige Integration des Rechnungswesens.4 Der Zeitraum, in dem die landesspezifischen Rechnungslegungsvorschriften einen Ansatz der Projektkosten als Integrationskosten gestatten, ist ebenfalls entscheidend für die Integrationsgeschwindigkeit.5 Unternehmen sind in der Regel daran interessiert, dass der Großteil der Integrationskosten in die Gewinn- und Verlustrechnung des entsprechenden Fiskaljahres eingeht und nicht unnötig das Betriebsergebnis der folgenden Jahre belastet. Grundsätzlich soll die Integration so schnell wie möglich umgesetzt werden, um die Realisierung der Synergieeffekte nicht unnötig zu verzögern, und dennoch mit der nötigen Sorgfalt vorgegangen werden, um die Realisierung der Synergieeffekte nicht zu gefährden.
2.4.3.3 Integrationskosten bzw. IT-Integrationsbudget Bei der Schätzung der Integrationskosten bzw. der Festlegung des Integrationsbudgets stehen die quantitativ messbaren Kosten im Vordergrund. Zu diesen Kosten zählen Anschaffungskosten, die bei der Gestaltung der zukünftigen IT-Landschaft anfallen, sowie Kosten des internen und externen Personaleinsatzes im Integrationsprojekt, welche den größten Anteil der Integrationskosten ausmachen.6 Zusätzlich fließen Restrukturierungskosten für Entlassungen, Versetzungen und Schulungen der Mitarbeiter in die Kalkulation der Integrationskosten mit ein.7 Kaum Berücksichtigung finden dagegen die nur schwer quantifizierbaren Integrationskosten wie Koordinations-, Inflexibilitäts-, Kompromiss- oder Opportunitätskosten.8 Koordinationskosten ergeben sich aus der Notwendigkeit der Abstimmung mit den übrigen ITVorhaben und Unternehmensprojekten sowie zwischen den Integrationsparteien. Inflexibili-
1
Vgl. Jansen, S. A. (2000a), S. 336. Vgl. Wirtz, B. (2003), S. 290 ff.; vgl. Gerpott. T. J.; Schreiber, K. (1994), S. 108 ff. 3 Vgl. Baur, A. (2004), S. 27; vgl. Gerpott. T. J.; Schreiber, K. (1994), S. 110. 4 Vgl. Lehner, U.; Schmidt, M. (2000), S. 185. 5 Vgl. Trapp, R. C.; Otto, A. (2002), S. 105. 6 Vgl. Lazanowski, M.; Huther, H. (2003), S. 385. 7 Vgl. Pfohl, H.-C.; Hofmann, E. (2003), S. 324. 8 Vgl. Gerpott, T.J. (1993), S. 104. 2
88
tätskosten können beispielsweise aus der Flexibilitätseinschränkung infolge der Standardisierung der IT-Systeme oder der Harmonisierung der Geschäftsprozesse resultieren. Kompromisskosten entstehen zum Beispiel, wenn bei der Vereinheitlichung der IT-Landschaften und der Leistungsprogramme nicht allen Anforderungen beider Integrationsparteien optimal entsprochen werden kann, was in der Praxis der Normalfall ist. Opportunitätskosten ergeben sich beispielshalber, wenn im Rahmen eines umfangreichen Integrationsvorhabens bestimmte Aufgaben des Tagesgeschäftes sowie laufende Projekte vernachlässigt werden. Kosten, die sich aus dem Leistungsabfall der Mitarbeiter, aus Fluktuation und erhöhten Krankheitsraten aufgrund von Motivationsrückgang, Unsicherheitsempfinden und Misstrauen gegenüber den anstehenden Veränderungen ergeben, lassen sich kaum noch einschätzen.1
2.4.3.4 Qualitätsrichtlinien für die Ausgestaltung der zukünftigen ITLandschaft Qualität wird nach DIN 55350 / ISO 8402 allgemein definiert als „die Gesamtheit der Merkmale und Merkmalswerte eines Produktes oder einer Dienstleistung bezüglich ihrer Eignung, festgelegte und vorausgesetzte Erfordernisse zu erfüllen“. Die Qualitätsmerkmale einer ITLandschaft sind je nach Betrachtungsweise, Funktion oder Branche sehr unterschiedlich. Der Qualitätsbegriff erhält dadurch mehrere Dimensionen, welche sich zum Teil auch widersprechen können.2 Dies gilt für die Qualität einer IT-Landschaft und insbesondere für Anwendungssoftware und findet in der Norm DIN 66272 / ISO 9126 Berücksichtigung. So können Anwendungssysteme als gut bewertet werden, wenn die in der Norm aufgeführten Qualitätseigenschaften •
Funktionalität,
•
Zuverlässigkeit,
•
Benutzbarkeit,
•
Effizienz,
•
Änderbarkeit/Wartbarkeit und
•
Übertragbarkeit/Portabilität3
den Ansprüchen der Interessengruppen genügen. Bei der Beurteilung der einzelnen Qualitätsmerkmale sind die drei Anspruchsgruppen IT-Anwender, IT-Mitarbeiter und Manager zu
1
Vgl. Gerpott, T.J. (1993), S. 111. Vgl. Wolle, B.; Müller, V. (2003), S. 68. 3 Unter Portabilität wird der Grad der Plattformunabhängigkeit des Softwareproduktes verstanden. So erhöht beispielsweise die Standardisierung der IT-Infrastruktur die Portabilität der Anwendungssysteme. Vgl. Preßmar, D. B.; Wall, F. (1993), S. 115. 2
89
unterscheiden.1 So ist im Rahmen der Integration festzulegen, welche Qualitätsmerkmale die einzelnen Anwendungsprogramme und die notwendigen Infrastrukturelemente in welchem Umfang erfüllen müssen, um den Anforderungen der Interessengruppen zu entsprechen. Hinter dem Schlagwort Zuverlässigkeit verbirgt sich beispielsweise die Forderung nach Ausfallsicherheit. So umfassen die Qualitätsanforderungen z. B. die Gewährleistung der Ausfallsicherheit von Anwendungssystemen, die in hohem Maße kritische Erfolgsfaktoren unterstützen.2 In Abschnitt 2.4.2.1 wurden die gegebenen Parameter der bestehenden IT-Landschaften beschrieben. Für diese erhobenen Parameter der zu integrierenden Systemumgebungen sind – abgeleitet aus der IT-Strategie und den Integrationszielen – Zielgrößen für die zukünftige ITLandschaft zu definieren. Bei diesen festzulegenden Zielgrößen handelt es sich beispielsweise um die folgenden Parameter, die einen Gestaltungsrahmen für die Qualität und die Ausgestaltung der zukünftigen IT-Landschaft bilden. Heterogenitätsgrad In der heutigen Informationsgesellschaft wird der Wettbewerb immer stärker zum Zeitwettbewerb, der von den Unternehmen Schnelligkeit und Flexibilität fordert.3 Gesetzesänderungen, Geschäftsprozessanpassungen, Reorganisationen der Unternehmensstrukturen, Unternehmenszusammenschlüsse oder Verkäufe von Unternehmensteilen – Veränderung dieser Art müssen in den betroffenen Anwendungssystemen nachvollzogen werden.4 Zur Abbildung systemübergreifender Prozesse werden Anwendungen miteinander verknüpft, um Daten auszutauschen. Je komplexer und vielfältiger die IT-Landschaften gestaltet sind, desto aufwendiger ist die Errichtung derartiger Verknüpfungen. Zudem steigen mit dem Grad der Heterogenität auch die Kosten für Administration, Service und Betrieb.5 Des Weiteren büßen Geschäftsprozesse und die IT-Landschaft an Flexibilität, auf veränderte Umfeldbedingungen oder Gesetzesanforderungen schnell reagieren zu können, bei zunehmender Heterogenität ein. IT-Landschaften werden in der Regel nach ihrer Anpassungsfähigkeit an Veränderungen im Geschäftsumfeld beurteilt.6 Insbesondere dynamische Märkte erfordern ein hohes Maß an Wandlungsfähigkeit und Reaktionsgeschwindigkeit. Unternehmen sind somit bemüht, durch Integration und Standardisierung den Heterogenitätsgrad so niedrig wie möglich zu halten.7 Daher sollte durch die IT-Integration eine deutliche Komplexitätsreduktion und eine Senkung des Heterogenitätsgrads angestrebt werden, um die laufenden IT-Kosten zu reduzieren und durch die Zielsystemlandschaft eine schnelle und flexible Anpassung an neue Geschäfts-
1
Vgl. Wolle, B.; Müller, V. (2003), S. 68. Vgl. Herz, S. et al. (2008), S. 73. 3 Vgl. Acker, O. et al. (2006), S. 16. 4 Vgl. Acker, O. et al. (2006), S. 17. 5 Vgl. Herz, S. et al. (2008), S. 71. 6 Vgl. Andresen, K.; Gronau, N. (2005), S. 30 f. 7 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 535. 2
90
situationen zu gewährleisten.1 Ziel ist es, die IT-Ziellandschaft so homogen wie möglich und so heterogen wie nötig zu gestalten. Der optimale Heterogenitätsgrad lässt sich ermitteln, indem die Mehrkosten für Inflexibilität, Pflege und Betrieb der heterogenen Systemlandschaften den Integrationskosten zur Homogenisierung der Komponenten gegenübergestellt werden.2 Standardisierungsgrad Durch die Einhaltung übergreifender Standards können Synergieeffekte erzielt werden.3 Bei der Festlegung des zukünftig angestrebten Standardisierungsgrades sind verschiedene Aspekte zu berücksichtigen. Neben den bereits diskutierten Kostensenkungsaspekten wird die zunehmende Standardisierung der IT motiviert durch die gesteigerte Forderung nach Anpassungsfähigkeit und Erweiterbarkeit der IT-Landschaften, erleichtertem Austausch von Systemkomponenten sowie der Vereinfachung des Daten- und Informationstransfers. Unter Abweichungen vom Standard und Modifikationen der Anwendungssysteme leidet die künftige Releasefähigkeit. Der Standardisierungsgrad der Prozesse ist ein Maß für den Umfang, in dem sich Vorgänge definieren lassen, die für sich wiederholende Prozesse einen gleichartigen Ablauf gewährleisten. Eine Standardisierung von Prozessen erfordert ihre exakte Dokumentation. Mittels Prozessstandardisierung können Reduzierungen der Komplexität und der Durchlaufzeiten erreicht werden.4 Standardisierte Vorgehensweisen tragen zusätzlich entscheidend zur Qualitätssicherung im IT-Bereich bei. Eine konsequente Standardisierung und Vereinfachung der IT-Landschaft senkt die Kosten in vielen Bereichen des Unternehmens. Insbesondere die Personalverwaltung und die Finanzabteilungen eines Unternehmens profitieren von einem hohen Standardisierungsgrad der IT.5 Auch bezüglich der IT-Infrastruktur sollte ein hoher Standardisierungsgrad angestrebt werden, um die Technologievarianz zu reduzieren und damit die Pflege und Wartung zu vereinfachen. Bei verstärkender Standardisierung von Geschäftsprozessen und IT-Systemen müssen jedoch in der Regel Flexibilitätseinschränkungen dahingehend geduldet werden, dass nicht alle Spezialprozesse und Anwenderwünsche umgesetzt werden können.6 Vertretbar ist das Festhalten an unternehmensweiten Standards, wenn ein gesamtbetriebliches Optimum erzielt wird, während es sich für einzelne Fachbereiche nur um eine suboptimale Lösung handelt.7
1
Vgl. Schilken, K. (2002), S. 44. Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 536. 3 Vgl. Durst, M. (2007), S. 19. 4 Vgl. Wildemann, H. (2003b), S. 661. 5 Vgl. Butters, I. (2005), S. 1. 6 Vgl. Pfohl, H.-C.; Hofmann, E. (2003), S. 324 f. 7 Vgl. Gurbaxani, V.; Kemerer, C. F. (1990), S. 282. 2
91
Spezialisierungsgrad Eine starke Kunden- und Anwenderorientierung führt in der Regel zu einem hohen Spezialisierungsgrad bei der Abbildung der Geschäftsprozesse. Je spezialisierter die Prozesse und Anwendungen gestaltet werden, desto aufwendiger sind Wartung und Pflege und desto umfangreicher ist das erforderliche IT-Spezialwissen, dass generell vorgehalten werden muss. Die Verwendung von Applikationen oder Prozessen, die von den Fachbereichen gefordert werden, weil sie spezielle Probleme lösen, kann in bestimmten Fällen gesamtunternehmerisch sinnvoll sein, auch wenn dabei die definierten Standards nicht eingehalten werden können.1 Insgesamt sollte bei der Ausgestaltung der IT-Landschaft ein möglichst geringer Spezialisierungsgrad angestrebt werden und Speziallösungen gut begründete Ausnahmen bleiben. Vor der Entscheidung für eine Spezial- und gegen eine Standardlösung sollten daher kritische Kosten-/Nutzenuntersuchungen durchgeführt werden. Aufgrund der Notwendigkeit auf veränderte gesetzliche oder betriebliche Anforderungen schnell reagieren zu können, ist ein hoher Grad an Flexibilität der IT-Landschaft erforderlich. Durch die Anpassung und Erweiterung von Anwendungssystemen steigt jedoch der Spezialisierungs- und Heterogenitätsgrad der IT-Landschaft. Daher wird stets trotz starker Integrations- und Standardisierungsbestrebungen die Tendenz zu mehr Spezialisierung und Heterogenität bestehen bleiben.2 Automatisierungsgrad Liegt bei mindestens einer der bestehenden IT-Landschaften ein geringer Automatisierungsgrad vor, sollte untersucht werden, wie im Zuge der Integration die Automatisierung vorangetrieben werden kann. So kann das Integrationsprojekt beispielsweise zum Anlass genommen werden, den manuellen Aufwand für Dateneingaben oder das Zusammentragen von Controllingkennzahlen auf ein Minimum zu beschränken. Viele Aufgaben wie beispielsweise das Client-Management oder das Aufspielen von Sicherheits-Updates lassen sich weitgehend automatisieren, was freie Kapazitäten im IT-Bereich schafft.3 Ein hoher Automatisierungsgrad der angestrebten IT-Landschaft erhöht die Qualitätssicherheit, reduziert den administrativen Arbeitsaufwand und ermöglicht den Mitarbeitern mehr Raum für die Erledigung strategischer Aufgaben. Innovationsgrad Die IT kann durch geschäftsorientierte technische Innovationen nachhaltig zur Wertschöpfung des Unternehmens beitragen.4 Hingegen verhindern veraltete Anwendungssysteme eine
1
Vgl. Durst, M. (2007), S, 23. Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 536. 3 Vgl. Auer, G. (2007), S. 3. 4 Vgl. Umek, A.; Tannhäuser, C. (2006), S. 53. 2
92
zielstrebige und konsistente Umsetzung moderner Anforderungen der Fachbereiche.1 Die ITBranche ist geprägt durch ein sehr hohes Innovationsniveau und kurze Produktlebenszyklen, daher sollte bei dem Entwurf der zukünftigen Zielsystemlandschaft vorausschauend gehandelt und möglichst zukunftsweisende Lösungen verwendet werden.2 Um auch zukünftig wettbewerbsfähig zu bleiben, ist es ratsam, die Integration veralteter Systeme zu vermeiden. So sollte beispielsweise im Zweifelsfall die Wahl eher auf die integrierte Standardsoftwarelösung als auf die in einer ungebräuchlichen Programmiersprache geschriebene, mangelhaft dokumentierte Individualsoftwarelösungen fallen.3 Ebenso empfiehlt es sich zur Sicherung der Zukunftssicherheit der IT-Ziellandschaft, innovative Technologien überholten Infrastrukturlösungen vorzuziehen. „Die Informationstechnologie ist zu einem der wichtigsten Innovationsträger in einer Unternehmung geworden, die durch neue Technologien dem Unternehmen ein hohes Veränderungspotenzial zur Verfügung stellt und es dem Unternehmen ermöglicht, seine Anpassungsfähigkeit zu verbessern.“4 Das bedeutet, dass die IT das Unternehmen nicht nur in die Lage versetzen sollte, die Geschäftsprozesse effizienter zu gestalten, sondern sie auch bei veränderten Rahmenbedingungen und Anforderungen anpassen zu können. Genau abzuwägen ist allerdings, ob ein Technologiewechsel im Rahmen der Integration notwendig und sinnvoll ist oder ob dieser besser zu einem späteren Zeitpunkt erfolgen sollte, um die Komplexität des Integrationsvorhabens nicht unnötig zu erhöhen. Gesetzeskonformität Die Einhaltung von gesetzlichen Regeln und Vorgaben beim Einsatz der IT erscheint auf den ersten Blick selbstverständlich. Dennoch wird dieser Aspekt oftmals und insbesondere bei ITIntegrationsprojekten vernachlässigt und vom Aufwand deutlich unterschätzt. Im Rahmen der Zusammenführung von Anwendungssystemen werden in der Regel Datenmigrationen und Systemabschaltungen vorgenommen. So ist beispielsweise bei der Transformation von personenbezogenen Daten, auf die Einhaltung datenschutzrechtlicher Bestimmungen zu achten. Im Fall von Systemabschaltungen werden zahlreiche Daten und Informationen unwiederbringlich vernichtet, daher ist z. B. die Berücksichtigung der Aufbewahrungsverpflichtungen von besonderer Bedeutung. Auf die Anforderungen an die IT-Landschaft, die aus gesetzlichen Vorschriften resultieren, wird sehr ausführlich im folgenden Teil eingegangen. Dokumentationsgüte Durch die Dokumentation der IT-Landschaft soll eine Transparenz geschaffen werden, welche die Steuerung und Beherrschung der Komplexität gewährleistet. Hauptadressaten der
1
Vgl. Hafner, M.; Winter, R. (2005), S. 629. Vgl. Weber, J. (2003), S. 56. 3 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 533. Siehe auch die entsprechenden Ausführungen im Abschnitt 2.3.1.1. 4 Weber, J. (2003), S. 56. 2
93
System-, Projekt- und Verfahrensdokumentationen sind die betroffenen Fachbereiche und der IT-Bereich.1 Ausführlich dokumentierte und anschließend an die Betroffenen kommunizierte Prozesse sind eine Grundvoraussetzung für den problemlosen Ablauf in der neuen Organisation.2 Zudem gehören z. B. Verfahrensdokumentationen zum Prüfungsumfang einer Betriebsprüfung. In Dokumentationsrichtlinien sollte zu Beginn des Projektes ein standardisiertes Vorgehen für die Erstellung sowie für Güte, Art und Umfang der erforderlichen Dokumentationen festgelegt werden, sofern dies nicht bereits Bestandteil der "Governance, Risk & Compliance-Richtlinien" des Unternehmens ist.3 Je komplexer sich die zukünftige IT-Landschaft darstellt und je höher der Heterogenitäts- und Spezialisierungsgrad gewählt wurde, desto wichtiger ist eine gute Dokumentation für künftige IT-Projekte. Es ist darauf zu achten, dass sich die Dokumentation leicht anpassen lässt. Aufgrund laufender Veränderungen der ITLandschaft sollten umgesetzte Änderungsanforderungen ohne großen Aufwand in die Dokumentation aufzunehmen sein. Abdeckungsgrad der Anwenderanforderungen Bei der Festlegung dieses Gestaltungsparameters wird bestimmt, in welchem Maß die ITZiellandschaft den Bottom-up-Anforderungen der Geschäftsbereiche bzw. der Benutzergruppen genügt. Die hochwertigste IT-Landschaft ist nutzlos, wenn sie nicht den Bedürfnissen der Anwender entspricht. Auf der anderen Seite kann in der Regel nicht allen Anwenderforderungen nachgekommen werden, wenn eine Komplexitätsreduktion der IT-Landschaft erreicht werden soll. Üblicherweise ist die Wunschliste der Anwender nach IT-Lösungen und ITLeistungen groß und die Managementfähigkeiten sowie die finanziellen und personellen Ressourcen, beliebig viele Projekte parallel steuern und umsetzen zu können, begrenzt.4 Zusammenfassend kann gesagt werden, dass bei der Ausgestaltung der IT-Landschaft folgende Anforderungen zu erfüllen sind: •
den individuellen Ansprüchen der drei Interessengruppen an die Funktionalität der ITLandschaft ist beispielsweise durch einen sinnvollen Spezialisierungs- und Automatisierungsgrad zu genügen
1
•
die Zuverlässigkeit und Ausfallsicherheit ist z. B. durch einen hohen Innovationsgrad zu gewährleisten
•
die Effizienz, Flexibilität und Zukunftsfähigkeit der Systeme ist z. B. durch einen hohen Integrations- und Innovationsgrad zu ermöglichen
Vgl. Stahlknecht, P.; Hasenkamp, U. (2005), S. 317. Vgl. Zaddach, M. (2007), S. 88. 3 Siehe hierzu Abschnitt 3.2.1 ff. 4 Vgl. Grohmann, H. H. (2003), S. 22. 2
94
•
die Komplexität ist beispielsweise durch einen hohen Standardisierungs- und einen geringen Heterogenitätsgrad handhabbar zu gestalten
•
die Transparenz der Prozesse und Datenflüsse sowie die Wartbarkeit der Systeme ist durch eine hohe Dokumentationsgüte sicherzustellen
•
juristische Konsequenzen sowie eine Verweigerung des Testats durch den Betriebsprüfer sind durch die erforderliche Gesetzeskonformität zu verhindern
2.4.3.5
Integrationsmethoden
Der angestrebte Integrationsgrad sowie die Richtlinien für die Ausgestaltung der IT-Ziellandschaft sind eng mit der Integrationsmethode verwoben. Sie werden in erster Linie bestimmt durch die Unternehmensstrategie bzw. die IT-Strategie und die Anforderungen des Geschäftes, welche in der Formulierung der Integrationsziele spezifiziert wurden. Der angestrebte Integrationsgrad beschreibt den Umfang und die Integrationsmethode die Art, in der die bestehenden IT-Systemlandschaften beider Parteien zusammengeführt werden. In der Literatur werden im Wesentlichen vier verschiedene Integrationsmethoden unterschieden, welche in der Praxis auch in Mischformen Anwendung finden.1 Migration oder Absorptionsmethode Bei der Absorptionsmethode wird die bestehende IT-Systemlandschaft eines Integrationspartners als zukünftige Zielsystemlandschaft ausgewählt. Diese IT-Ziellandschaft ersetzt innerhalb des Integrationsprozesses die IT-Landschaft des anderen Partners vollständig. Demzufolge wird eine komplette Anwendungslandschaft sowie die vorhandene Infrastruktur aufgegeben und es findet eine Migration aller erforderlichen Daten und Prozesse statt, mit dem Ziel nach Abschluss des Integrationsprozesses die betroffenen Anwendungssysteme abzuschalten. Es muss sich somit nur eine Integrationspartei mit einer neuen IT-Landschaft vertraut machen. Dienstleistungszentren zur Unterstützung der Anwender können zusammengelegt werden. Ein klarer Vorteil dieser Methode liegt in der zumeist deutlich höheren Integrationsgeschwindigkeit, den niedrigeren Integrationskosten und dem geringen Projektrisiko.2 Diese Aspekte sind insbesondere bei Unternehmenszusammenschlüssen von Relevanz, da in diesen Fällen in der Regel ein sehr begrenztes Zeitfenster für die Integration der IT zur Verfügung steht. Aus diesem Grund wird von vielen IT-Beratern und -Managern sowie Fachjournalisten diese Integrationsmethode als die einzig praktikable beschrieben.1 Tatsächlich hat eine empirische Studie von IT-Integrationsprojekten im Rahmen von Unternehmens1
Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 531; vgl. Kromer, G. (2001), S. 61 ff.; vgl. Trapp, R.O.; Otto, A. (2002), S. 105 ff.; vgl. Buxmann, P.; Miklitz, T. (2006), S. 1066 ff.; vgl. Penzel, H.-G. (1999), S. 108 f.; vgl. Brüning, I.; Pedain, C.; Deasley, P.J. (2002), S. 139; vgl. Handschuh, M; Buchta, D. (2000), S. 31 f.; vgl. Lehmann, J.; Scheuse, T. (2000), S. 16. 2 Vgl. Müller, R. (2000), S. 73; vgl. Giera, J. (2005), S. 4.
95
zusammenschlüssen bestätigt, dass in zwei Drittel aller Fälle die Selektion eines Anwendungssystems erfolgte.2 Selbstverständlich müssen die Anwender, deren bisherige Systemlandschaft abgelöst wurde, im Umgang mit der Zielsystemlandschaft individuell, ihrem Aufgabenprofil entsprechend geschult werden. Diese Veränderungen können bei den Mitarbeitern insbesondere dann Unzufriedenheit hervorrufen, wenn die Zielsystemlandschaft ihre Erwartungen und Anforderungen nicht in dem Umfang erfüllen, wie es die bisherige ITSystemlandschaft getan hat. Da bei dieser Vorgehensweise neue Entwicklungen und innovative Technologien nicht berücksichtigt werden, entspricht die Ziellandschaft in der Regel nicht dem neuesten Stand der Informationstechnik. Nur selten ist eine IT-Landschaft einer anderen in allen Bereichen überlegen, sodass es bei diesem Alles-oder-Nichts-Ansatz zu einer Wertvernichtung kommt.3 Best of Breed- oder Cherry-Picking-Methode Diese Methode beschreibt eine Vorgehensweise, bei der die jeweils beste Einzellösung, welche die bestehenden Anforderungen optimal erfüllt, ausgewählt wird. Die Gestaltung der Anwendungslandschaft wird bei Wahl dieser Methode durch eine Zusammensetzung aus bestehenden Anwendungen und Anwendungskomponenten vorgenommen. Es ist somit nicht zwingend die Verschmelzung der jeweils besten Softwarebausteine zu einem einzelnen Anwendungssystem erforderlich.4 Bezüglich dieser Methode lassen sich streng genommen zwei Varianten unterscheiden: Entweder wird aus der Gesamtheit der zu integrierenden IT-Lösungen beider Integrationsparteien grundsätzlich die jeweils bessere Lösung ausgewählt und von der anderen Partei übernommen. Oder es wird beim Fehlen einer optimalen Lösung eine neue erworben bzw. entwickelt und in die Zielsystemlandschaft integriert, wobei dieses Vorgehen auch als Mischform der Cherry-Picking- und der Greenfield-Methode interpretiert werden kann. Durch den Auswahlprozess der jeweils bestgeeigneten Lösung können die Anforderungen beider Integrationsparteien berücksichtigt werden und damit steigt die Akzeptanz der Zielsystemlandschaft. Problematisch gestaltet sich allerdings die Identifikation der jeweils besten Lösung. Naturgemäß halten die betroffenen Fachabteilungen ihre bestehende Lösung für das bessere Teilsystem. Je größer die Anzahl der zu integrierenden Anwendungen ist, desto aufwendiger gestaltet sich die Durchführung dieses Ansatzes.5 Diese Form der Integration erhöht die Heterogenität der Zielsystemlandschaft und damit den Koordinations-, Anpas1
Vgl. Holzwart, G. (2000), S. 56; vgl. Penzel, H.-G. (2000), S. 26. Es wurden bei der untersuchten Stichprobe die Office-Systeme in 80 %, die E-Mail-Systeme in über 70 %, die Rechnungswesen-/Controlling-/Finanzsysteme, Marketing-/Vertriebs-/Kundeninformationssysteme sowie die Beschaffungs-/Lagerhaltungs-/Versandsysteme in ca. 65 %, die Produktionssysteme in 55 % und die Personalsysteme in 35 % durch die Absorptionsmethode zusammengeführt. Vgl. Kromer, G.; Stucky, W. (2002), S. 528. 3 Vgl. Duthoit, C.; Dreischmeier, R.; Kennedy, S. (2004), S. 5. 4 Damit wird die Definition in dieser Arbeit deutlich weiter gefasst als bei Kromer und Stucky. Vgl. Kromer, G.; Stucky, W. (2002), S. 528. 5 Vgl. Reuß, A.; Fill, C.; Fritsch, W. (1999), S. 27. 2
96
sungs- und den Schnittstellenaufwand erheblich.1 Demzufolge verursacht diese Methode vergleichsweise hohe Integrationskosten, führt zu einer tendenziell geringeren Integrationsgeschwindigkeit und kann das Projektrisiko drastisch erhöhen.2 Sie lässt sich auch nur umsetzen, wenn die Anwendungen gleich geschnitten sind, dass bedeutet den gleichen Funktionsumfang abdecken, um überhaupt miteinander verglichen bzw. durch die jeweils andere Lösung ersetzt werden zu können. Neben einem hohen Überdeckungsgrad erfordert die Anwendung dieser Methode auch einen hohen Kompatibilitätsgrad der ausgewählten Komponenten der IT-Landschaft. Erhaltung oder Koexistenz-Methode Als Koexistenz-Methode wird ein Ansatz bezeichnet, bei dem die bestehenden IT-Systemlandschaften weitgehend unabhängig voneinander erhalten bleiben. Es werden kaum Veränderungen an den Systemen vorgenommen, die IT-Landschaften werden parallel weiterbetrieben und nur in einem relativ geringem Umfang über Schnittstellen miteinander verbunden. Streng genommen kann auch hier weiter unterschieden werden zwischen einer Erhaltung in Reinform ohne jede Verbindung beider Parteien und einer Koexistenz beider Systemlandschaften mit geringem Datenaustausch z. B. über vereinzelte Schnittstellen oder eine Middlewarelösung.3 Diese Vorgehensweise lässt sich schnell und kostengünstig umsetzen, kann aber nicht als Integrationsmethode im engeren Sinn bezeichnet werden und wird daher von einigen Autoren auch nicht als Option betrachtet.4 Auf diesem Wege lassen sich keine Rationalisierungspotenziale aus der Zusammenführung der IT-Landschaften realisieren. Synergiepotenziale dieser Integrationsmethode liegen maximal in der Zusammenlegung von IT-Services oder der Konsolidierung der IT-Beschaffung.5 Speziell bei Unternehmenszusammenschlüssen kann der Parallelbetrieb beider Systemlandschaften jedoch unter Umständen als geeignete Interimslösung fungieren.6 Eine anschließende Trennung beider Integrationsparteien verursacht bei Anwendung dieser Methode die wenigsten Probleme. Neuentwicklung oder Greenfield-Methode Bei Anwendung der Greenfield-Methode werden die bestehenden Systemlandschaften abgelöst und eine neue und modernere Zielsystemlandschaft durch Anschaffung von Standardlösungen oder durch Neuentwicklung von Individuallösungen geschaffen. Vorteil dieser Vorgehensweise ist, dass den veränderten Umfeldbedingungen und den künftigen Anforderungen
1
Vgl. Buxmann, P.; Miklitz, T. (2006), S. 1066; vgl. Duthoit, C.; Dreischmeier, R.; Kennedy, S. (2004), S. 4; vgl. Penzel, H.-G. (1999), S. 109. 2 Vgl. Buxmann, P.; Miklitz, T. (2006), S. 1067; vgl. Giera, J. (2005), S. 4. 3 Vgl. Kromer, G. (2001), S. 61 ff. 4 Vgl. Pfohl, H.-C.; Hofmann, E. (2003), S. 321; vgl. Lehmann, J.; Scheuse, T. (2000), S. 16; vgl. Lauritzen, S. (2000), S. 23. 5 Vgl. Giera, J. (2005), S. 2. 6 Vgl. Buxmann, P.; Miklitz, T. (2006), S. 1067. 97
beider Integrationsparteien optimal entsprochen werden kann und damit eine entsprechend hohe Akzeptanz der Zielsystemlandschaft erreicht wird. Bei der Anwendung dieser Methode kann auf eine Ist-Analyse der bestehenden IT-Landschaften verzichtet werden und gleich mit der Soll-Konzeption begonnen werden. Jedoch ist eine entsprechende Neuentwicklung zumeist derart kosten- und zeitaufwendig, dass die Einsparungen schnell überkompensiert werden.1 Sind die bestehenden Systemlösungen veraltet, bietet sich diese Vorgehensweise an, um modernere Technologien nutzen zu können und Geschäftsprozesse effizienter zu gestalten. Erfüllen die vorhandenen Systemlandschaften nicht die technischen Ausschlusskriterien und erfordert die Unternehmensstrategie einen hohen Integrationsgrad, muss auf diese Integrationsmethode zurückgegriffen werden. Auf der anderen Seite handelt es sich bei diesem Vorgehen um die kosten- und zeitintensivste Methode.2 Was darauf zurückzuführen ist, dass bei Anwendung dieser Methode weder die zukünftigen technischen Lösungen noch das erforderliche IT-Fachwissen im Unternehmen vorhanden sind. Aufgrund des hohen Aufwands und des schwer kalkulierbaren Risikos einer Umstellung auf eine für alle Parteien vollkommen unbekannte Zielsystemlandschaft, wird von einigen Autoren insbesondere bei Unternehmenszusammenschlüssen von dieser Integrationsmethode pauschal abgeraten.3 Wenn jedoch die technologischen Vorteile den hohen Aufwand und das Projektrisiko rechtfertigen, stellt auch die Greenfield-Methode eine Option dar.4 Neben diesen vier Methoden in Reinform sind verschiedene Mischtypen denk- und umsetzbar. Kombinationen zwischen der Absorptions- und der Cherry-Picking-Methode werden häufig empfohlen, da sie besonders praktikable Ansätze darstellen, welche die verschiedenen Vorteile der beiden Methoden vereinen. Hervorgehoben seien die Absorption mit Erweiterung/Ergänzung und die Choosing Clusters-Methode. Bei der Absorption mit Erweiterung/Ergänzung wird eine der beiden bestehenden IT-Landschaften ausgewählt und für alle notwendigen Funktionalitäten, die dabei nicht abgedeckt werden, wird die entsprechende Lösung der anderen Integrationspartei in die Ziellandschaft integriert. Deutlich weiter in Richtung Cherry-Picking-Methode geht die Choosing Clusters-Methode, bei der eine Bündelung von Anwendungen und Daten zu Clustern erfolgt, welche als relativ unabhängige Einheiten fungieren können.5 Anschließend wird nicht Anwendung für Anwendung, wie bei der Cherry-Picking-Methode, sondern Cluster für Cluster die bessere Lösung ausgewählt. Dabei sollte die Anzahl der Cluster so gering wie möglich sein.6 Auf diese Weise kann die Kom-
1
Vgl. Komus, A.; Reiter, O. (2000), S. 39. Vgl. Lehmann, J; Scheuse, T. (2000), S. 16; vgl. Penzel, H.-G. (1999), S. 108. 3 Vgl. Hövelmanns, N.; Baumgart, W. (1999), S. 13; vgl. Strahringer, S.; Zdarsky, F. (2003), S. 531. 4 Vgl. Handschuh, m.; Buchta, D. (2000), S. 31; vgl. Pfohl, H.-C.; Hofmann, E. (2003), S. 330; vgl. Lehmann, J; Scheuse, T. (2000), S. 16; vgl. Komus, A.; Reiter, O. (2000), S. 36; vgl. Buxmann, P.; Miklitz, T. (2006), S. 1067. 5 Vgl. Duthoit, C.; Dreischmeier, R.; Kennedy, S. (2004), S. 3 f. 6 Vgl. Duthoit, C.; Dreischmeier, R.; Kennedy, S. (2004), S. 5. 2
98
plexität des Integrationsvorhabens deutlich reduziert werden und dennoch eine Ziellandschaft aus Bestandteilen beider bestehenden IT-Landschaften generiert werden. Die Schwierigkeit besteht hier in der Identifikation vergleichbarer Cluster und anschließend in der objektiven Auswahl frei von unternehmenspolitischen Einflüssen. Zu klären bleibt, in welcher Beziehung Integrationstyp und Integrationsmethode im Fall von Unternehmenszusammenschlüssen zueinander stehen. Der angestrebte Integrationstyp ist ebenso wie die Wahl der Integrationsmethode geprägt von der Unternehmensstrategie und den Integrationszielen. Aufgrund der ähnlichen Namensgebung könnte eine 1:1 Zuordnung zwischen Integrationstyp und Integrationsmethode vermutet werden, sodass bei einer Absorption auch die Absorptionsmethode, bei einer Symbiose die Cherry-Picking-Methode und bei der Erhaltung die Koexistenz-Methode zu wählen sei. Eine vollständige Verschmelzung der Unternehmen bei vollkommener Auflösung der Unternehmensgrenzen, wie in der Reinform des Integrationstyps Absorption, bedingt in der Regel tatsächlich die vollständige Integration der IT, sodass die bisher getrennten IT-Welten zu einer neuen gemeinsamen verschmelzen und nicht mehr in ihrer ursprünglichen Form erkennbar sind.1 Diese kann jedoch nicht nur durch die Absorptions-Methode sondern auch durch die Cherry-Picking- oder die GreenfieldMethode erreicht werden. Grundsätzlich besteht dennoch die Möglichkeit, dass auch bei einer vollständigen Verschmelzung der Unternehmen die parallele Fortführung der bestehenden ITLandschaften zumindest für einen begrenzten Zeitraum sinnvoll sein kann, um beispielsweise das Integrationsrisiko zu minimieren oder um eine zu erwartende Entwicklung abzuwarten.2 Theoretisch ist auch der umgekehrte Fall denkbar, dass voneinander getrennt agierende Unternehmen gemeinsam eine IT-Landschaft betreiben. Zusammenfassend kann also festgehalten werden, dass die Wahl des Integrationstyps im Fall eines Unternehmenszusammenschlusses nicht automatisch auch die Integrationsmethode festlegt.
1 2
Vgl. Komus, A.; Reiter, O. (2000), S. 35. Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 532. 99
Absorption
CherryPicking
Koexistenz
Greenfield
Integrationsgeschwindigkeit
+
-
+
--
Integrationskosten-
+
-
++
--
0
-
+
--
Synergiepotenzial
+
+
--
0
Technologieinnovation
0
+
-
++
Investitionsschutz
0
0
+
--
ArchivierungsaufwandMinimierung
0
0
+
-
Minimierung IntegrationsrisikoMinimierung
Tabelle 8: Gegenüberstellung der vier Integrationsmethoden Quelle: eigene Darstellung1
In Tabelle 8 werden die vier alternativen Integrationsmethoden noch einmal nach verschiedenen Kriterien bewertet. Keine der vier Integrationsmethoden ist grundsätzlich richtig oder falsch.2 Da jede Integrationsmethode spezifische Vor- und Nachteile hat, sollte die Entscheidung vor dem Hintergrund der zukünftigen IT-Strategie und der Relevanz der verschiedenen Kriterien in der individuellen Unternehmenssituation getroffen werden.3 Fehlentscheidungen bei der Wahl der Integrationsmethode können zu einer ungenügenden Unterstützung der Geschäftsprozesse und damit zu erhöhten Prozesskosten in Form von Personalaufwand oder zu einer für den Kunden bemerkbaren Beeinträchtigung des Tagesgeschäftes führen.4 Das IT-Integrationsprojekt sowie die Zielsystemlandschaft werden letztendlich nach ihrem Zielerreichungsgrad bewertet, sodass die konsequente Verfolgung der Integrationsziele sowie der IT-Strategie des Gesamtunternehmens bei der Wahl der Integrationsmethode erfolgsentscheidend sind. Die jeweiligen Konsequenzen der gewählten Integrationsmethode für die Integrationsgeschwindigkeit, die Integrationskosten und das Integrationsrisiko sollten dabei unbedingt berücksichtigt werden. Insbesondere bei Unternehmenszusammenschlüssen kommt
1
Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 534; vgl. auch Handschuh, M.; Buchta, D. (2000), S. 31; vgl. Giera, J. (2005), S. 2 ff. 2 Vgl. Giera, J. (2005), S. 2. 3 Vgl. Handschuh, M.; Buchta, D. (2000), S. 31. 4 Vgl. Trapp, R.O.; Otto, A. (2002), S. 105. 100
der Auswahlentscheidung einer Integrationsmethode eine besondere Bedeutung zu, da sie mit einer deutlichen Signalwirkung verbunden ist.1
2.4.3.6 IT-Integrationsteam Der Erfolg der Integration wird vor allem durch die Menschen bestimmt, die am Integrationsprozess beteiligt sind. Daher ist die Auswahl eines erfahrenen und qualifizierten Projektleiters sowie die Zusammenstellung eines motivierten und leistungsfähigen Integrationsteams von entscheidender Relevanz für den Integrationserfolg. Die Integration der IT löst in der Regel eine Vielzahl von Einzelprojekten aus, welche ganzheitlich geplant und stringent gesteuert werden müssen.2 Die IT-Verantwortlichen müssen auf der einen Seite ihren eigenen Bereich neu aufstellen und auf der anderen Seite die Umgestaltung und Zusammenführung der Fachbereiche aktiv vorantreiben.3 Motor der Integration sind die verantwortlichen Führungskräfte und das Integrationsteam, welche die Integration planen und durchführen und durch regelmäßige Audits die Zielerreichung überprüfen.4 Das Erreichen der Integrationsziele ist somit abhängig von dem Wissen und der Eignung, der Veränderungsbereitschaft und der Motivation, den Kompetenzen und der Qualifikation und vor allem den Managementfähigkeiten der für die Integration verantwortlichen Mitarbeiter.5 Demzufolge ist der Auswahl sowohl des Integrationsmanagers bzw. des Projektleiters als auch des Integrationsteams eine hohe Bedeutung beizumessen. Verantwortlichkeiten sind klar zu definieren. Auf die Aufgaben und die personelle Besetzung der Integrationsverantwortlichen wird im vierten Teil noch genauer eingegangen. Zusammenfassend kann gesagt werden, dass die spezifischen Umfeldbedingungen, sowie die gegebenen Parameter der bestehenden IT-Landschaft entscheidend die Anforderungen an das IT-Integrationsmanagement bestimmen und den Spielraum der beschriebenen Gestaltungsparameter festlegen.
2.5
Zusammenfassung der theoretischen Grundlegung
Die Abhängigkeit der Unternehmen von der Informationstechnologie nimmt in fast allen Branchen stetig zu, da die IT die Kerngeschäftsprozesse immer stärker durchdringt.6 Die Integration umfangreicher IT-Landschaften erfolgt auf Basis einer strategischen Entscheidung. Durch die Zusammenführung der IT lassen sich hohe Kosteneinsparungen und Quali-
1
Vgl. Lauritzen, S. (2000), S. 22. Vgl. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007), S. 62. 3 Vgl. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007), S. 61. 4 Vgl. Pribilla, P. (2000), S. 75. 5 Vgl. Pribilla, P. (2000), S. 64. 6 Vgl. Nicolaus, M. (2006), S. 26; vgl. Meitner, H. (2003), S. 5. 2
101
tätsverbesserungen erzielen. Zugleich wird die notwendige Transparenz geschaffen, um auf sich verändernde Umfeldbedingungen künftig schnell und flexibel reagieren zu können. Bei der Integration der IT handelt es sich um eine äußerst komplexe Aufgabenstellung, bei der zahlreiche Parameter zu beachten sind. Dennoch darf die IT das Integrationsvorhaben nicht bremsen oder gar verhindern, sondern sollte genutzt werden, um bestehende Synergiepotenziale auszuschöpfen und die Integration voranzutreiben.1 Der Erfolg einer IT-Integration trägt maßgeblich zum Erfolg der Umgestaltung der Geschäftsprozesse bei und ist damit eine entscheidende Voraussetzung für eine erfolgreiche strategische Neuausrichtung des Unternehmens.2 Die Bedeutung der IT-Integration für die Umsetzung der geänderten Geschäftsstrategie ist direkt abhängig von dem Unterstützungsgrad der Unternehmensprozesse durch die vorhandenen Anwendungssysteme. Je höher der Anteil IT-gestützter Geschäftsprozesse an dem gesamten Geschäftsprozessvolumen ist und je bedeutsamer die IT-gestützten Geschäftsprozesse für den Unternehmenserfolg sind, desto größer ist die Relevanz der IT-Integration für den Erfolg der Strategieänderung. Eine IT-Integration von Großunternehmen erfordert Investitionen von bis zu 1000 Personenjahren und von mehreren Hundertmillionen Euro und kann sich über einen Zeitraum von zwei bis sechs Jahren erstrecken.3 Der Aufwand und die Kosten für die IT-Integration müssen genau überwacht werden, da sie die Integrationsgeschwindigkeit und den Unternehmenswert der neuen Gesellschaft maßgeblich mitbestimmen.4 Ebenso ist ein gezieltes Risikomanagement erforderlich. Das Umschalten von der bestehenden Anwendungslandschaft auf die neue gemeinsame Lösung stellt ein großes Risiko für den operativen Geschäftsbetrieb dar. Ein Systemausfall kann zum Verlust von Aufträgen und Kunden führen und damit sogar existenzbedrohend sein. Zudem stellt eine strategische Entscheidung wie ein Unternehmenszusammenschluss oder eine Reorganisation eine hervorragende Möglichkeit dar, sich von alten, historisch gewachsenen und mittlerweile ineffizienten Strukturen und Abläufen zu trennen, Standards ohne größere Widerstände einzuführen und eine Harmonisierung herbeizuführen. In Zeiten des Umbruchs, wie sie ein Unternehmenszusammenschluss oder eine Reorganisation darstellt, ist die Bereitschaft der Mitarbeiter, Bestehendes zu überdenken und Ungewohntes zu akzeptieren, deutlich größer als in Zeiten der Ruhe.5 Daher sollte die Gelegenheit genutzt werden, die IT-Strategie der aktuellen Unternehmensstrategie anzupassen und die IT-Organisation sowie die IT-Landschaft den neuen Anforderungen entsprechend zu gestalten, um dem Unternehmen dadurch einen langfristigen Wettbewerbsvorteil zu verschaffen.
1
Vgl. Handschuh, M.; Buchta, D. (2000), S. 29. Vgl. Vogler, P. (2006), S. 18. 3 Vgl. Berensmann, D.; Spang, S. (1998), S. 36. 4 Vgl. Trapp, R.C.; Otto, A. (2002), S. 103. 5 Vgl. Allwermann, R. (1993). S. 4. 2
102
Teil 3: Archivierung als IT-Compliance-Anforderung bei einer IT-Integration Unternehmen stehen vor der großen Herausforderung, bei der Ausübung des Geschäftes und insbesondere in Veränderungsprozessen für eine transparente Organisation, ein angemessenes Risikomanagement und die Einhaltung der relevanten Gesetze zu sorgen.1 Die Vorschriften von Gesetzgebern und Behörden stehen bei IT-Integrationsprojekten dennoch selten im Mittelpunkt, da davon ausgegangen wird, dass die Berücksichtigung der gesetzlichen und regulatorischen Anforderungen bereits bei der Einführung der einzelnen Anwendungssysteme erfolgte.2 Die Integration von Anwendungen führt jedoch zu veränderten Bedingungen und zu neuen Compliance-Anforderungen. Darüber hinaus werden bereits bestehende Anwendungen oftmals nicht rechtskonform betrieben. Der Veränderungsprozess einer IT-Integration bietet die Möglichkeit, hier Abhilfe zu schaffen. Aus diesem Grund setzt sich diese Arbeit intensiv mit den rechtlichen Aspekten der IT-Integration auseinander. Die Integration der IT ist im Regelfall mit der Abschaltung von Anwendungssystemen verbunden, da ein wesentliches Synergiepotenzial in der Vermeidung eines Parallelbetriebs mehrerer Anwendungen liegt. Aufgrund gesetzlicher Vorgaben besteht die Notwendigkeit, die aufbewahrungspflichtigen Daten vor einer Systemabschaltung in das zukünftige Anwendungssystem zu migrieren oder sie zu archivieren. In diesem Teil der Arbeit sollen externe und betriebsinterne Anforderungen an die Archivierung digitaler Unterlagen herausgearbeitet werden. Der Schwerpunkt liegt dabei auf der Ermittlung der für die Archivierung relevanten Vorschriften, um eine gesetzeskonforme Abschaltung der Anwendungssysteme zu gewährleisten. Die Leistung dieses Teils der Arbeit besteht insbesondere darin, alle relevanten rechtlichen Aspekte zusammenzutragen und sie bezüglich ihrer jeweiligen Anforderungen für die Umsetzung einer elektronischen Archivierungslösung zu untersuchen, um entsprechende Konsequenzen für die IT-Integration ableiten zu können. Zu diesem Zweck wird zuerst der Begriff "Archivierung" definiert. Im zweiten Abschnitt werden die Begriffe "Corporate Governance" und "Corporate Compliance" erläutert und die verschiedenen IT-Compliance-Aspekte herausgearbeitet. Anschließend wird im dritten Abschnitt vor dem Hintergrund der allgemeinen IT-Compliance-Anforderungen genauer auf die Verpflichtung zur elektronischen Archivierung eingegangen. Nach der Identifikation relevanter Gesetze und Regelungen beleuchtet der vierte Abschnitt wirtschaftliche Beweggründe für die Umsetzung einer elektronischen Archivierung. Im fünften Abschnitt erfolgt eine Zu-
1
Diese Verantwortlichkeiten werden häufig auch mit den Schlagworten "Governance, Risk and Compliance" zusammengefasst. 2 Vgl. Greipl, D. (2007), S. 47.
J. M. Guggenberger, Aufbau und Ablauf einer IT-Integration, DOI 10.1007/978-3-8349-8920-8_3, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2010
103
sammenführung der zuvor beschriebenen gesetzlichen Rahmenbedingungen und wirtschaftlichen Zielsetzungen zu allgemeinen funktionalen Anforderungen an die Archivierungslösung. Der sechste Abschnitt fasst die Erkenntnisse dieses Teils zusammen und stellt sie in den Kontext der Ergebnisse des zweiten Teils zur IT-Integration. Der dritte Teil ist dabei wie folgt aufgebaut.
Abbildung 13: Aufbau des dritten Teils Quelle: eigene Darstellung
3.1
Begriffliche Grundlegung zur Archivierung
Der Begriff "Archiv" stammt aus der Antike, denn wichtige Dokumente der Stadt und ihrer Bürger wurden im Archeion, dem Regierungs- oder Amtsgebäude, aufbewahrt.1 Die physischen Gegebenheiten der Archive haben sich verändert. Seit knapp 50 Jahren entstehen Informationen und Dokumente in zunehmendem Maße digital. Damit wird die elektronische Archivierung immer wichtiger und die Anforderungen an die Aufbewahrung von Dokumenten haben sich gewandelt.
1
Vgl. o. V. (2004), S. 53.
104
Der Begriff "elektronische Archivierung" steht für die unveränderbare Aufbewahrung elektronischer Daten über einen langen Zeitraum.1 Die elektronische Archivierung erfolgt in der Regel mit ausdrücklichen Archivsystemen, dabei handelt es sich um unabhängige, externe Speichersysteme. Die im angloamerikanischen Sprachgebrauch verwendeten Begriffe "Storage", "Preservation" und "Record Management" werden im Deutschen in dem Begriff "elektronische Archivierung" zusammengefasst. Archivierung bedeutet damit vor allem eine Auslagerung von Daten aus dem aktiven operativen System und eine Speicherung auf externen Speichermedien. Zwei Definitionen haben sich in Deutschland in diesem Zusammenhang durchgesetzt: 2 1. Von elektronischer Langzeitarchivierung wird gesprochen, wenn Informationen über einen Zeitraum von mindestens 10 Jahren zugreifbar aufbewahrt werden. 2. Eine revisionssichere elektronische Archivierung liegt vor, wenn die Aufbewahrung kaufmännischer Dokumente den handels- und steuerrechtlichen Bestimmungen entspricht und sie daher den Anforderungen des Handelgesetzbuches, der Abgabenordnung, den Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme sowie den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen für den jeweils vorgeschriebenen Aufbewahrungszeitraum genügt. Der Begriff "revisionssichere Archivierung" kommt weder in den Gesetzestexten noch in den Schreiben des Bundesfinanzministeriums vor. Er wurde von Kampffmeyer geprägt und soll verdeutlichen, dass die Rechtssicherheit der Archivierungslösung von der individuellen Unternehmenssituation abhängt und dass die Rechtskonformität erst im laufenden Betrieb nachgewiesen werden kann.3 In dieser Arbeit umfasst die elektronische Archivierung die langfristige und unveränderbare Speicherung von Archivierungsobjekten auf maschinenlesbaren Datenträgern mit dem Ziel, diese bedarfsgerecht bereitzustellen. Als revisionssicher wird die elektronische Archivierung bezeichnet, wenn sie den handels- und steuerrechtlichen Bestimmungen genügt. Die elektronische Archivierungslösung gilt als rechtskonform, wenn bei der Umsetzung darüber hinaus auch alle weiteren IT-Compliance Anforderungen, wie beispielsweise der Datenschutz, berücksichtigt wurden. Es sollen hier drei verschiedene Erscheinungsformen digitaler Archivierungsobjekte unterscheiden werden:4
1
Vgl. hierzu und im Folgenden Kampffmeyer, U. (2006), S. 455. Vgl. Kampffmeyer, U. (2006), S. 456. 3 Vgl. Kampffmeyer, U. (2007), S. 2. 4 Vgl. Odenthal, R. (2007), S. 14. 2
105
Daten: Sie liegen in strukturiert auswertbarer Form vor und lassen sich erneut gliedern in: •
betriebswirtschaftliche Anwendungsdaten und
•
steuernde Parameter wie Tabelleneinstellungen.
Unterlagen: Das sind Informationen oder Dokumente, die z. B. durch Verarbeitung und Aufbereitung betriebswirtschaftlicher und steuernder Daten entstehen oder zur Dokumentation von Systemen oder Abläufen erstellt werden. Programme: Darunter wird z. B. betriebswirtschaftliche Anwendungssoftware gefasst, die mit Hilfe steuernder Parameter eine Verarbeitung der Daten ermöglichen. Die Speicherung, das Wiederfinden und die Lesbarmachung bzw. das Bereitstellen der Informationen ist eine notwendige Voraussetzung für eine effiziente Arbeitsweise moderner Unternehmen und wird darüber hinaus vom Gesetzgeber für bestimmte Informationsobjekte gefordert.1 Obwohl der Einsatz moderner Technologien die Langzeitarchivierung von Informationen deutlich komfortabler werden lässt, als dies bei der Aufbewahrung in Papierform der Fall war, sind insbesondere mit dem exponentiellen Wachstum elektronischer Informationen neue Probleme verbunden. Die Papierausgabe ist nur noch eine mögliche Repräsentationsform des ursprünglichen elektronischen Dokuments. So erhalten beispielsweise elektronische Rechnungen mit einer elektronischen Signatur den gleichen Rechtscharakter wie bisher lediglich manuell unterzeichnete Schriftstücke. Diese digitalen Unterlagen liegen nur in elektronischer Form rechtskräftig vor. Die Manipulierbarkeit digitaler Unterlagen sowie deren Abhängigkeit von sich stetig verändernden Technologien machen ein gut durchdachtes Archivierungskonzept erforderlich.2
3.2
Archivierung als Sorgfaltspflicht
Die langfristige Aufbewahrung bestimmter Dokumente zählt zu den allgemeinen Sorgfaltspflichten des Managements.3 So kann beispielsweise durch die gesetzeskonforme Archivierung von Unterlagen der Nachweis über dessen Inhalt erbracht und Beweisschwierigkeiten ausgeräumt werden. Dennoch hat die Mehrheit der Firmen noch nicht einmal einheitlich festgelegt, wie die elektronische Archivierung erfolgen soll. Die Ursache für diese Nachlässigkeit wird in den hohen Kosten und dem komplexen Zusammenspiel von juristischen, technischen und betriebswirtschaftlichen Vorgaben gesehen. Oftmals sind sich die Projektverantwortlichen bei der Einführung einer elektronischen Archivierungslösung nicht der relevanten Vor-
1
Vgl. hierzu und im Folgenden Kampffmeyer, U. (2006), S. 455. Vgl. Nimz, B. (2000), S. 8. 3 Vgl. Speichert, H. (2007), S. 298. 2
106
schriften bewusst. Dieser Umstand ist insbesondere darauf zurückzuführen, dass es bei der Fülle von Gesetzestexten und Verordnungen schwer fällt, alle die Aufbewahrung elektronischer Dokumente betreffenden Anforderungen herauszufinden. Aus diesem Grund sollen in diesem Abschnitt die für die elektronische Archivierung relevanten gesetzlichen Rahmenbedingungen herausgearbeitet werden. Zunächst erfolgt eine Einordnung der juristischen Anforderungen an die elektronische Archivierung in die strategischen Themenfelder Corporate Governance und Corporate Compliance und deren Bestandteile IT-Governance und IT-Compliance.
3.2.1 Corporate Governance und IT-Governance „Der Begriff Corporate Governance umfasst [...] alle gesetzlichen Regeln und anerkannten Standards sorgfältiger Unternehmensführung.“1 Der gesellschaftsrechtlich geprägte Begriff umschreibt die verantwortungsvolle Steuerung des Unternehmens durch beispielsweise den Vorstand einer AG oder den Geschäftsführer einer GmbH.2 Ausgelöst durch zahlreiche Finanzskandale in den letzten Jahren wurden eine Reihe von Richtlinien und Gesetzen erlassen, die eine verantwortungsvolle Unternehmensführung und -steuerung sicherstellen sollten, um damit insbesondere „das Vertrauen der Anleger in die Richtigkeit und Verlässlichkeit der veröffentlichten Finanzdaten von Unternehmen wieder herzustellen“3. In diesem Zusammenhang seien • das mit Wirkung vom 1. Mai 1998 in Kraft getretene "Gesetz zur Kontrolle und Transparenz im Unternehmensbereich" (KonTraG) 4, • der am 30. Juli 2002 in den Vereinigten Staaten in Kraft getretenen "Sarbanes-OxleyAct" (SOX)5, • die 2004 aktualisierten "Principles of Corporate Governance" der OECD1,
1
Wecker, G.; Galla, S. (2008), S. 44. Vgl. Rath, M. (2008), S. 119. Ohmann-Sauer, I. (2007), S. 520. 4 Mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich wurden Bestimmungen zur Jahresabschlussprüfung in Deutschland geschaffen. Seit der Einführung des Gesetzes muss der Prüfer das Risikomanagement des Unternehmens genau untersuchen und beurteilen. Vgl. Knolmayer, G. F. (2007), S. 99. Mit dem Gesetz sollen Schwächen und Fehlsteuerungen in deutschen Unternehmen früher erkannt werden. Zugleich hat dieses Gesetz eine Reform der Corporate Governance in Deutschland eingeleitet. Vgl. Speichert, H. (2007), S. 245; vgl. Roth, B.; Schneider, U. K. (2005), 19. 5 SOX ist ein Gesetz, das die Unternehmensberichterstattung in den USA festlegt. Seine Namensgeber sind die Verfasser, der Senator Paul S. Sarbanes und der Abgeordnete Michael Oxley. Der SOX enthält elf Artikel und wurde zur Vermeidung weiterer Bilanzskandale erlassen. Er ist für in- und ausländische Unternehmen verpflichtend, die an US-Börsen gehandelt werden, sowie für deren Tochterunternehmen. Mit diesem Gesetz sollte das Vertrauen der Anleger in die Verlässlichkeit der Kapitalmarktinformationen wiederhergestellt werden. Aus dieser Rechnungslegungsvorschrift resultieren ähnlich rechtliche Anforderungen wie aus dem KonTraG. Vgl. Ohmann-Sauer, I. (2007), S. 520; vgl. Acker, O. et al. (2006), S. 22; vgl. Speichert, H. (2007), S. 256. 2 3
107
• das seit 2007 geltende "Basel II-Abkommen"2 sowie • der "Deutsche Corporate Governance Kodex" erwähnt. Die "Regierungskommission deutscher Corporate Governance Kodex" wurde vom Bundesministerium der Justiz im September 2001 eingesetzt, um gesetzliche Regelungen und anerkannte Standards sorgfältiger Unternehmensführung zusammenzufassen.3 Am 26. Februar 2002 wurde der Deutsche Corporate Governance Kodex verabschiedet und trat am 26. Juli 2002 in Kraft. Seitdem wurden zahlreiche Änderungen beschlossen, letztmalig mit dem Datum vom 6. Juni 2008. Der Kodex schafft keine neuen Gesetzesnormen, sondern gibt die bestehenden gesetzlichen Vorschriften verkürzt und verständlich wider und ist zumindest für börsennotierte Unternehmen verbindlich.1 Das Zusammenspiel von Governance und Compliance wird in der folgenden Abbildung dargestellt.
Abbildung 14: Governance, Compliance und deren Risikomanagement Quelle: eigene Darstellung
1
Organisation for Economic Co-operation and Development (OECD) Im Basel II-Abkommen haben sich die Banken der Mitgliedsstaaten der Europäischen Union dazu verpflichtet, strenge Kriterien bezüglich der Kreditvergabe einzuhalten. Dabei handelt es sich um Regeln für die Analyse und Bewertung des Eigenkaptiales sowie der Risiken von Unternehmen. Da die Banken zur Berechnung der Ausfallrisiken von Krediten ihrer Bankkunden mittels des Ratingverfahrens nach Basel II deren IT-Risiken mit einbeziehen, ergeben sich für die Unternehmen, die zukünftig keine schlechteren Kreditkonditionen hinnehmen möchten, erhebliche Compliance-Anforderungen beispielsweise an die Datensicherheit. Vgl. Sury, U. (2005), S. 70; vgl. Acker, O. et al. (2006), S. 22; vgl. Speichert, H. (2007), S. 261. 3 Vgl. hierzu und im Folgenden Wecker, G.; Galla, S. (2008), S. 45. 2
108
Aufgrund der zunehmenden IT-Unterstützung des unternehmerischen Handels und der stetig steigenden Komplexität von Geschäftsprozessen sind Corporate Governance und Compliance heutzutage untrennbar mit IT-Governance und IT-Compliance verbunden.2 IT-Governance ist ein elementarer Bestandteil der allgemeinen Governance-Struktur des Unternehmens und beinhaltet die Führung, die organisatorischen Strukturen und die Prozesse, welche gewährleisten, dass bei dem Einsatz der Unternehmens-IT die Strategie und die Ziele des Unternehmens verfolgt werden.3 Unter IT-Governance werden daher alle Maßnahmen zur Organisation, Steuerung und Kontrolle des IT-Einsatzes eines Unternehmens zur Ausrichtung an Unternehmenszielen verstanden.4 IT-Governance gibt damit dem IT-Bereich vor dem Hintergrund der Unternehmensstrategie und allgemeiner Rahmenbedingungen die strategische Ausrichtung vor. Nur mittels der richtigen Ausrichtung der IT auf die Unternehmensziele ist die IT langfristig in der Lage, dem Unternehmen Wettbewerbsvorteile zu verschaffen.5 Im Rahmen eines Risikomanagements werden die Risiken potenzieller Regelverstöße beurteilt und entsprechende personelle, organisatorische und technische Maßnahmen abgeleitet.6 Die Richtlinien der Corporate Governance sollen dem Unbehagen der Aktionäre bezüglich der Verwendung ihrer bereitgestellten Finanzmittel entgegentreten. Im übertragenen Sinn hat ITGovernance die Aufgabe das Unbehagen der Unternehmensführung bezüglich Kosten und Nutzen des IT-Einsatzes abzubauen.7 IT-Governance sorgt dafür, dass die unterschiedlichen IT-Ziele im Unternehmen ausbalanciert werden und Entscheidungen aus einer übergreifenden Gesamtperspektive des Unternehmens getroffenen werden. Damit soll die IT-Governance analog zur Corporate Governance in ein einheitliches Rahmenwerk des Gesamtunternehmens eingebunden werden.8 Die Governance Grundsätze "Zurechenbarkeit", "Verantwortlichkeit", "Transparenz" und "Fairness" sollen eine verantwortungsvolle, offene und effiziente Unternehmensführung und steuerung gewährleisten.9 Die Festlegung der unternehmensindividuellen Corporate Governance stellt eine Art Unternehmensverfassung dar und enthält damit die Definition, wer über Entscheidungsbefugnis verfügt und wer für Ergebnisse verantwortlich ist.10 Neben der Klärung, Festschreibung und Durchsetzung von Verantwortlichkeiten, Entscheidungsbefugnissen und Unternehmensprozessen liefert die Corporate Governance auch einen strukturier1
Vgl. Theusinger, I.; Liese, J. (2008), S. 1420. Vgl. Sury, U. (2005), S. 71; vgl. Rath, M. (2008), S. 120; vgl. Rath, M. (2007), S. 54. Vgl. hierzu und im Folgenden Brun, R. (2008), S. 60 f.; vgl. IT Governance Institute (2003), S. 11. Das ITGovernance Institute beschäftigt sich mit der Entwicklung von Prinzipien und Standards zur ITGovernance. 4 Vgl. Fröhlich, M.; Glasner, K. (2007), S. 17; vgl. Rath, M. (2007), S. 54. 5 Vgl. IT Governance Institute (2003), S. 6. 6 Vgl. Klotz, M.; Dorn, D.-W. (2008), S. 7. 7 Vgl. Acker, O. et al. (2006), S. 4. 8 Vgl. Fröhlich, M.; Glasner, K. (2007), S. 17. 9 Vgl. Böhm, M. et al. (2007), S. 38 ff.; vgl. Fröhlich, M.; Glasner, K. (2007), S. 18; vgl. Sury, U. (2005), S. 71. 10 Vgl. Grohmann, H. H. (2003), S. 18. 2 3
109
ten Rahmen für die Formulierung der Unternehmensziele, die Identifizierung möglicher Methoden zu ihrer Umsetzung sowie die Verfahren der Erfolgskontrolle.1 Dabei stellt die IT sowohl Basis als auch Instrument zur Einhaltung der Corporate Governance Grundsätze dar.2 Die IT-Governance hat die Aufgabe, durch klare und eindeutig definierte Steuerungsmechanismen, Berechtigungskonzepte und Entscheidungsstrukturen die IT-seitige Ausfallsicherheit des Geschäftes sicherzustellen.3 Bezogen auf die IT lassen sich durch die Beantwortung der folgenden IT-spezifischen Fragestellungen entsprechende Verantwortungsbereiche bestimmen:4 •
Wie und wofür soll die IT genutzt werden?
•
Welche Leistungen soll die IT erbringen und wie werden sie gemessen und bewertet?
•
Welcher Bereich übernimmt dabei welche Aufgabe?
•
Welche IT-Prinzipien und IT-Richtlinien werden benötigt?
•
Wer entscheidet über IT-Investitionen und Prioritäten?
•
Wie werden IT-Kosten verrechnet?
Die Beantwortung dieser Fragen kann nicht losgelöst von der ökonomischen Situation des Unternehmens, den Führungsstrukturen, der Unternehmenskultur und der Ausgestaltung der IT-Landschaft erfolgen.5 IT-Governance ist eine Aufgabe der strategischen Unternehmensführung und regelt das Zusammenwirken aller mit IT befassten Stellen. Das Regelwerk enthält die Beschreibung von Zuständigkeiten und Aufgaben aller Beteiligten, vom Chief Information Officer (CIO) über die einzelnen qualitätssichernden Funktionen und die Leiter der ITBereiche bis hin zum jeweiligen Mitarbeiter.6 Dementsprechend vielschichtig sind die Inhalte: Während sich der CIO in erster Linie mit Strategie- und Führungsleitlinien auseinander setzt, beschäftigt sich das IT-Management mit der Zieldefinition und Ausgestaltung der IT-Landschaft und die IT-Mitarbeiter mit der Umsetzung der entsprechende Regeln und Standards. Das gemeinsame Grundverständnis besteht darin, dass bei der Organisation, Steuerung und Kontrolle der IT eine konsequente Ausrichtung an der Unternehmensstrategie erfolgt.7 Ein bedeutender Aspekt der IT-Governance ist es also, Regeln, Verfahren und Maßnahmen zur Führung und Leistungserbringung in der IT-Organisation des Unternehmens festzulegen.8
1
Vgl. Acker, O. et al. (2006), S. 7 f. Vgl. Sury, U. (2005), S. 71. 3 Vgl. Acker, O. et al. (2006), S. 18. 4 Vgl. Grohmann, H. H. (2003), S. 18. 5 Vgl. Grohmann, H. H. (2003), S. 18. 6 Vgl. Acker, O. et al. (2006), S. 25. 7 Vgl. Fröhlich, M.; Glasner, K. (2007), S. 17. 8 Vgl. hierzu und im Folgenden Rigall, J.; Hornke, M. (2007), S. 500. 2
110
Sie sollen möglichst effizient zur Umsetzung und Unterstützung der Unternehmensstrategie und -ziele beitragen. Daher erfolgt neben der Herleitung IT-spezifischer Führungsgrundsätze und Regeln auch eine Herleitung geeigneter Bewertungsmaßstäbe, um die Leistung der IT entsprechend zu beurteilen. Insbesondere die Definition von Richtlinien, Kriterien und Standards soll dabei der Kontrolle, Weiterentwicklung und Verbesserung der IT-Leistungen dienen. Ein schlüssiges Governance-Gesamtkonzept enthält neben einem Entscheidungs- und Organisationskonzept auch ein Rahmenwerk für die Umsetzung von Compliance-Anforderungen.1 Die Einhaltung gesetzlicher Auflagen zählt ebenso wie der Berücksichtigung von Governance-Richtlinien zu den Sorgfaltspflichten des Managements.
3.2.2 Corporate Compliance und IT-Compliance Bislang gibt es weder eine gesetzliche noch eine allgemein anerkannte Definition des Begriffs "Compliance". Jedoch wurde in der Neufassung des Deutschen Corporate Governance Kodex vom 14. Juni 2007 der Begriff "Compliance" eingefügt und damit definitorisch für börsennotierte Unternehmen präzisiert. „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance).“2 Diese Umschreibung richtet sich primär an börsennotierte Unternehmen, kann aber auch als allgemeine Definition verwendet werden.3 Compliance ist danach eng mit der Corporate Governance verflochten. Der englische Begriff "Compliance" umschreibt allgemein die Pflicht, die für das Unternehmen geltenden gesetzlichen Vorschriften einzuhalten und drückt daher den Wert der Rechtstreue innerhalb eines Unternehmens aus.4 Damit umfasst Compliance alle organisatorischen Maßnahmen eines Unternehmens, die sicherstellen, dass sich sowohl die Geschäftsleitung als auch die Mitarbeiter rechtmäßig verhalten.5 Dies setzt die fachliche Kompetenz und die persönliche Verantwortung im Umgang mit den gesetzlichen Pflichten, Vorschriften und anderen Verhaltensmaßregeln voraus.6 Viele Vorstände und Geschäftsführer haben erkannt, dass sie präventiv handeln müssen, um ihrer Compliance-Verantwortung nachzukommen. In zahlreichen Unternehmen werden daher Compliance-Verantwortliche als zentrale Anlaufstelle benannt. Diese Ansprechpartner sind damit beauftragt, sicherzustellen und zu kontrollieren, dass alle für das
1
Vgl. Böhm, M. et al. (2007), S. 25 ff.; vgl. Fröhlich, M.; Glasner, K. (2007), S. 18. Deutscher Corporate Governance Kodex (2007), Ziffer 4.1.3. 3 Vgl. Vetter, E. (2008), S. 30. 4 Vgl. Vetter, E. (2008), S. 29; vgl. Ohmann-Sauer, I. (2007), S. 520. 5 Vgl. Vetter, E. (2008), S. 29. 6 Vgl. Wecker, G.; Galla, S. (2008), S. 44. 2
111
unternehmerische Handeln maßgeblichen Rechtsvorschriften eingehalten werden.1 Auf diesem Weg soll das Risiko minimiert werden, dass sich Rechtsverstöße oder Unregelmäßigkeiten feststellen lassen, die sich auf die Geschäftsaktivitäten und die Reputation des Unternehmens am Markt auswirken.2 Compliance dient damit der aktiven Vorbeugung von Risiken im Unternehmen mittels Präventions- und Kontrollmaßnahmen sowie dem Aufbau einer Sicherungslösung.3 Die Bandbreite der relevanten Rechtsgebiete ist groß. Weltweit sollen über 25.000 Compliance-Anforderungen existieren.4 Es gelten jedoch nicht alle Gesetze und Normen für jedes Unternehmen, was zum Teil zu einer großen Rechtsunsicherheit in den Unternehmen führt.5 Die Liste der relevanten Compliance-Anforderungen an ein Unternehmen ist von der konkreten Unternehmenssituation abhängig. Diese wird bestimmt durch Faktoren wie Rechtsform, Organisation, Größe und Wirtschaftszweig, in dem das Unternehmen tätig ist.6 Folgende Abbildung stellt die wesentlichen Rechtsgebiete dar.
Abbildung 15: Compliance-relevante Rechtsgebiete Quelle: Vetter, E. (2008), S. 36.
1
Dieser Compliance-Verantwortliche wird auch als Compliance-Beauftragter oder als Corporate Compliance Officer bezeichnet. Vgl. Acker, O. et al. (2006), S. 20; vgl. Ohmann-Sauer, I. (2007), S. 520 ff. Einige Unternehmen richten auch die Funktion eines IT-Sicherheitsbeauftragten ein, der mit seinen Kenntnissen und Fähigkeiten zur Erfüllung der Sorgfaltspflichten und zur Einhaltung rechtlicher Vorschriften beiträgt. Vgl. Witt, B. C. (2008), S. 129. 2 Vgl. Vetter, E. (2008), S. 30. 3 Vgl. Vetter, E. (2008), S. 35 f. 4 Vgl. Rath, M. (2008), S. 121. 5 Vgl. Ortgies, M. (2008), S. 40. 6 Vgl. Vetter, E. (2008), S. 35. 112
Diese Zusammenfassung relevanter Compliance Bereiche veranschaulicht sehr deutlich, dass bei Unternehmen mit einer ausgeprägten IT-Unterstützung des Geschäftes die meisten Compliance-Anforderungen auch die IT-Compliance betreffen. Bestandteil sind neben allgemeinen Vorgaben auch spezielle IT-Richtlinien für verschiedene Anwendungsbereiche. Als Beispiel lassen sich die Stammdatenverwaltung, die Datensicherheit oder die Benutzer- und Zugangsverwaltung anführen. Damit wird die Compliance der IT zu einer notwendigen Voraussetzung für die Corporate Compliance des Unternehmens.1 IT-Compliance bedeutet zum einen, dass die Unternehmens-IT die an sie gestellten rechtlichen Anforderungen erfüllt, und zum anderen, dass mit Hilfe der IT die Corporate Compliance unterstützt wird.2 Daher wird in diesem Zusammenhang von direkten und indirekten IT-Compliance-Anforderungen gesprochen. Die relevanten Anforderungen lassen sich hinsichtlich ihrer Rechtsnatur in vier Kategorien unterscheiden:3 1. Anforderungen in Form formeller Gesetze sind in parlamentarischen Verfahren entstanden und beinhalten in der Regel keine konkreten Vorgaben zur Umsetzung. 2. Anforderungen in Form materieller Gesetze4 werden von der Verwaltung erlassen, um eine Ermächtigungsnorm in einem formellen Gesetz zu konkretisieren. 3. Anforderungen der Verwaltung in Formen wie Rundschreiben, Richtlinien, Verlautbarungen, Bekanntmachungen oder Verwaltungsanweisungen dienen größtenteils dazu, Gesetze auszulegen, sie zu präzisieren oder die Rechtsauffassung der Verwaltung zu bestimmten Fragen darzustellen. In der Regel sind sie nicht unmittelbar rechtlich bindend, entwickeln jedoch oftmals durch die weit reichenden Kontrollbefugnisse der Verwaltung einen faktischen Umsetzungszwang für die betroffenen Unternehmen. 4. Allgemeine Richtlinien und Standards haben keinen unmittelbaren Rechtscharakter, jedoch gelten sie zunehmend als Orientierungs- und Interpretationshilfe und werden aufgrund ihrer Hinweise zur praktischen Umsetzung zum Maßstab für angemessenes oder sorgfältiges Verhalten. Maßnahmen zur Erlangung der Konformität der IT-Landschaft mit gesetzlichen und regulatorischen Vorgaben werden als Investitionen in IT-Compliance bezeichnet. Die Einhaltung dieser Vorgaben erfordert die zutreffende Interpretation der Vorschriften, die Ableitung konkreter Anforderungen und Maßnahmen sowie die entsprechende Umsetzung und Aufrechterhaltung durch ein systematisches Compliance-Management.5
1
Vgl. Böhm, M. (2008), S. 17. Vgl. Lensdorf, L. (2007), S. 413; vgl. Lensdorf, L.; Steger, U. (2006), S. 206. 3 Vgl. hierzu und im Folgenden Lensdorf, L.; Steger, U. (2006), S. 206. 4 Bei diesen Rechtsnormen handelt es sich lediglich um materielle Gesetze, welche in der Normenhierarchie unter den Bundesgesetzen stehen. 5 Vgl. Böhm, M. (2008), S. 17. 2
113
3.2.2.1 Compliance-Management Aus der Vielzahl der rechtlichen Anforderungen an ein Unternehmen ergibt sich eine Reihe von Problemstellungen. Daher sollte jedes Unternehmen bestrebt sein, zusätzlich zur Bewältigung der rechtlichen Einzelprobleme im Tagesgeschäft, die Themengebiete zu gliedern und über ein strukturiertes Compliance-Management systematisch zu lösen.1 Der Aufbau einer Compliance Organisation sollte strukturiert vorgenommen werden.2 Zur Installation eines effizienten Compliance-Managements bedarf es einer strukturierten Vorgehensweise, die sich in fünf Schritte gliedern lässt:3 1. Situations- und Risikoanalyse Im ersten Schritt erfolgt eine Identifikation der einschlägigen Rechtsvorschriften. Nachdem die relevanten Gesetze und Normen in Erfahrung gebracht wurden, sind die betroffenen Unternehmensabläufe und Systeme zu identifizieren. Danach gilt es, diese mit den Vorschriften abzugleichen. Nicht erfüllte Regeln, lückenhafte Umsetzungen sowie die vorliegenden Rechtsrisiken sind zu ermitteln. Dabei empfiehlt sich eine Abschätzung sowohl des sachlichen als auch des monetären Schadensumfangs bei Eintritt des Risikos. Anschließend werden konkrete organisatorische und technische Maßnahmen zur Risikoreduzierung festgelegt. 2. Bekenntnis zur Compliance Die Unternehmensleitung muss sich uneingeschränkt zur Compliance bekennen, ComplianceMaßnahmen konsequent vorantreiben und diesbezüglich klare Botschaften an die Mitarbeiter richten. 3. Organisation Es sind Verantwortliche zu bestimmen, die alle erforderlichen organisatorischen und technischen Maßnahmen umsetzen. Compliance betrifft viele Bereiche der Organisationsstruktur im Unternehmen. Für das Geschäftsleitungsorgan gilt kraft Gesetz das Prinzip der Gesamtverantwortung. Um das persönliche Haftungsrisiko zu reduzieren, ist eine klare und eindeutige Verteilung der Aufgaben und Verantwortlichkeiten sinnvoll. In der Unternehmenspraxis ist eine Aufteilung der Compliance-Aufgaben sowohl in horizontaler als auch in vertikaler Richtung üblich. Zum einen wird in der Regel die Compliance-Verantwortung auf die Mitglieder der Geschäftsleitung begründet durch die jeweiligen Ressortzuständigkeiten verteilt (horizontale Delegation). Zum anderen wird oftmals die Möglichkeit der Delegation auf nachfolgende Hierarchiestufen genutzt (vertikale Delegation). Es sind folglich aufbau- und
1
Vgl. Nolte, N.; Becker, T. (2008), S. 23. Vgl. Wecker, G.; Galla, S. (2008), S. 43. 3 Vgl. hierzu und im Folgenden Vetter, E. (2008), S. 36 ff.; vgl. Lensdorf, L. (2007), S. 416 ff.; vgl. Ortgies, M. (2008), S. 40 f. 2
114
ablauforganisatorische Regelungen festzulegen und klare Abgrenzungen der Verantwortungsbereiche zu definieren.1 4. Kommunikation Das Bekenntnis der Geschäftsleitung, dass das Unternehmen Rechtsvorschriften und interne Regularien befolgen will und dazu entsprechende organisatorische Maßnahmen eingeleitet hat, muss innerhalb des Unternehmens und an Geschäftspartner kommuniziert werden. Bei den Mitarbeitern muss ein auf die Compliance ausgerichtetes Problembewusstsein geschaffen werden. Zudem sind alle in das Compliance-Management involvierten Personen über die relevanten Anforderungen zu informieren. Informationsmaterial, Handlungsanweisungen und Schulungen sind entsprechend vorzubereiten und durchzuführen. Es ist festzulegen, wer wann wem welche Informationen in welchem Umfang zur Verfügung stellt. Den Mitarbeitern des Unternehmens sind Ansprechpartner und Vorgehensweisen mitzuteilen. 5. Dokumentation Um ein effizientes Compliance-Management einzuführen und diese Tatsache auch belegen zu können, müssen alle relevanten Entscheidungen, Prozesse, Maßnahmen und Berichtswege dokumentiert werden. Zu dokumentieren sind sowohl die gesellschaftsrechtliche Entscheidungsfindung in Hinblick auf die Delegation der Verantwortlichkeiten als auch die Belege für die Durchführung der beschlossenen Kontrollmaßnahmen. IT-Compliance ist ein wesentlicher Bestandteil des unternehmensweiten Compliance-Managements. Dabei bietet der Aufbau eines strukturierten IT-Compliance-Managements auch die Möglichkeit, langfristig Kosten zu sparen, indem beispielsweise eine Überlizenzierung vermieden wird. So ist im Rahmen der Situations- und Risikoanalyse bezüglich des IT-Einsatzes z. B. zu untersuchen:2 •
Welche Normen und Gesetze sind für die IT des Unternehmens zu berücksichtigen und welchen Bereichen sind sie zuzuordnen (z. B. Infrastruktur, Nutzung der Anwendungssysteme, Datenhaltung, etc.)?
1 2
•
Welche IT-gestützten Prozesse sind davon betroffen?
•
Welche Risiken resultieren aus einer Vernachlässigung der IT-Compliance-Anforderungen?
•
Welche technischen, organisatorischen und personellen Maßnahmen sind zu ergreifen, um die Einhaltung der IT-Compliance-Anforderungen sicherzustellen?
Vgl. Wecker, G.; Galla, S. (2008), S. 56. Vgl. Klotz, M.; Dorn, D.-W. (2008), S. 9. 115
Die ständigen Änderungen der rechtlichen Anforderungen an den Einsatz der IT in Unternehmen sowie der stetige und schnelle Wandel im IT-Umfeld machen es notwendig, dass das IT-Compliance-Management ein fester Bestandteil und kontinuierlicher Prozess des Arbeitsalltages von der Unternehmensführung bis zum IT-Mitarbeiter wird.1 Ein derart institutionalisierter Prozess durchläuft regelmäßig die beschriebenen Teilschritte der Situations- und Risikoanalyse und die anschließende Umsetzung notwendiger Maßnahmen. Einen allgemeingültigen Standardprozess für IT-Compliance kann es nicht geben, da die relevanten Vorschriften sowie die bestehende IT-Landschaft von Unternehmen zu Unternehmen variieren. In jedem Fall erfordert die Einrichtung eines IT-Compliance-Managements jedoch die Installation von Kontroll- und Steuerungsprozessen, welche die Einhaltung der relevanten Anforderungen sowie deren Dokumentation sicherstellen. Dabei ist eine enge Zusammenarbeit und kontinuierliche Abstimmung zwischen IT- und Rechtsbereich des Unternehmens erforderlich. IT-Compliance ist damit nicht allein Aufgabe der IT-Abteilung oder des CIOs.2 Um die persönliche Haftung der Vorstände nach § 93 Abs. 2 AktG bei Aktiengesellschaften, der Geschäftsführer nach § 43 GmbHG bei GmbHs und der Geschäftsleitung nach § 347 HGB bei KGs oder OHGs zu vermeiden, sollte die verantwortliche Unternehmensleitung die Erfüllung der relevanten IT-Compliance-Anforderungen sicherstellen.3 Eine nicht ordnungsgemäße Erfüllung der gesetzlichen Vorgaben kann umfangreiche haftungsrechtliche Risiken und Geldbußen bis hin zu Freiheitsstrafen nach sich ziehen.4 Diese Regelungen werden noch dadurch verschärft, dass die Verantwortlichen im Zweifelsfall darlegen müssen, welche Maßnahmen sie ergriffen haben, um entsprechende Schäden zu vermeiden.5 Durch Gesetze wie SOX oder KonTraG drohen dem Management erhebliche Strafen, wenn die geschäftliche Tätigkeit beispielsweise nicht vollständig und richtig dokumentiert wurde.6 Die organisatorische Gestaltung sowie Art und Umfang der IT-Compliance-Maßnahmen werden durch die Größe des Unternehmens und die Bedeutung der IT für die Geschäftstätigkeit determiniert.
3.2.2.2 Wesentliche Aspekte der IT-Compliance Bei der Organisation und dem Einsatz der IT haben Unternehmen weitgehende Freiheiten.7 Dieser Spielraum endet, sobald die IT-Landschaft und die entsprechenden Prozesse in den Einflussbereich gesetzlicher Vorschriften gelangen. Die Auslegung der gesetzlichen Vorgaben durch Behörden und Verbände führt zu konkreten Anforderungen an die Organisation und den Einsatz der IT.
1
Vgl. hierzu und im Folgenden Lensdorf, L. Steger, U. (2006), S. 209; vgl. Lensdorf, L. (2007), S. 418. Vgl. Rath, M. (2008), S. 120. 3 Vgl. Rath, M. (2008), S. 120. 4 Vgl. Hofmann, K.; Reiners, W. (2007), S. 5. 5 Vgl. hierzu und im Folgenden Anduleit, M. (2007), S. 28 f. 6 Vgl. Kampffmeyer, U. (2007), S. 4. 7 Vgl. hierzu und im Folgenden Greipl, D. (2007), S. 47. 2
116
Als IT-Compliance wird die Einhaltung1 und Umsetzung rechtlicher Vorgaben bezeichnet, die sich auf den Einsatz von und den Umgang mit IT beziehen.2 Obwohl diese Thematik in der aktuellen Wirtschaftsinformatik-Literatur deutlich an Bedeutung gewonnen hat, fehlt es bisher an einer gängigen Definition. Einer Umfrage zufolge wurden in den USA im Jahr 2005 ca. 15,5 Mrd. US Dollar in die Erfüllung von Compliance-Anforderungen investiert.3 Ein Drittel dieser Mittel wurden laut der Studie für Hard- und Software und zwei Drittel für personelle Kapazitäten verwendet. Es wird erwartet, dass diese Ausgaben weiter deutlich steigen. Eine strukturierte Umsetzung der IT-Compliance-Anforderungen im Unternehmen erkennt man vor allem an den Objekten und Maßnahmen wie z. B. • dem rechtskonformen Einsatz der informations- und kommunikationstechnischen Einrichtungen, • dem Vorliegen von Dokumentationen, Notfallplänen für den Ausfall von IT-Systemen und Richtlinien für den Umgang mit Anwendungssystemen sowie • der Möglichkeit eines kurzfristigen Datenzugriffs.4 Hinter dem Begriff IT-Compliance verbirgt sich damit eine außerordentliche Themenvielfalt. Dazu zählen beispielsweise Themenbereiche wie IT-Sicherheit, elektronischer Rechtsverkehr, Datenschutz, elektronische Buchführung, elektronische Aktenführung, Lizenzmanagement sowie die Versicherung von IT-Risiken. Es gibt kein einheitliches Regelwerk, welches alle Gesetze und Normen zur IT-Compliance umfasst.5 Die Nachvollziehbarkeit und umfassende Dokumentation der Prozesse, der IT-Landschaft sowie aller System- und Prozessänderungen stellen die wichtigsten und von fast allen Gesetzen geforderten Anforderungen an die IT dar.6 Der organisatorische Geltungsbereich der IT-Compliance-Anforderungen lässt sich grob in die folgenden Betätigungsfelder gliedern:7 Rechnungswesen, Buchführung und Warenwirtschaft Steuern Personalwesen Internetpräsenz, elektronische Kommunikation und elektronischer Datenaustausch mit externen Geschäftspartnern
1
Neben dem Begriff "Einhaltung" werden die Begriff "Befolgung", "Entsprechung", "Übereinstimmung" oder "Konformität" verwendet. Vgl. Klotz, M.; Dorn, D.-W. (2008), S. 5. 2 Vgl. hierzu und im Folgenden Nolte, N.; Becker, T. (2008), S. 23, vgl. Rath, M. (2007), S. 54. 3 Vgl. hierzu und im Folgenden Acker, O. et al. (2006), S. 19. 4 Vgl. Klotz, M.; Dorn, D.-W. (2008), S. 5. 5 Vgl. Lensdorf, L. (2007), S. 413; vgl. Nolte, N.; Becker, T. (2008), S. 23. 6 Vgl. Acker, O. et al. (2006), S. 19. 7 Vgl. Klotz, M.; Dorn, D.-W. (2008), S. 10 f. 117
Archivierung und Dokumentenmanagement Betreuung und Gestaltung der IT-Landschaft Datenschutz IT-Beschaffung inkl. Lizenzmanagement Durch das Reglementieren, Dokumentieren und Kontrollieren von Abläufen entsteht ein erheblicher Mehraufwand für die IT-Organisation, welcher zum Teil bis zu 34 % der verfügbaren personellen Ressourcen bindet.1 Besonders hohen Belastungen sind multinationale Konzerne ausgesetzt, die Regularien verschiedener Länder einhalten müssen. Einige gesetzliche Regelungen und Normen beeinflussen den Einsatz der Informationstechnologie indirekt. Hier seien beispielhaft das Strafgesetzbuch und das Betriebsverfassungsgesetz erwähnt. Hinsichtlich der Buchführungs- und der steuerlichen Pflichten sei auf das Handelsgesetz und die Abgabenordnung verwiesen. So fordert beispielsweise § 145 Abs. 1 AO, dass steuerlich relevante Aufzeichnungen einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln und dass sich die Geschäftsvorfälle in ihrer Entstehung und Abwicklung verfolgen lassen. Zusätzlich gibt es eine Reihe von Gesetzen und Richtlinien, die sich direkt auf den ITEinsatz im Unternehmen beziehen. Dazu zählen beispielsweise:2 •
die Gesetze zum Datenschutz, wie das Bundesdatenschutzgesetz (BDSG), das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG),
•
das Gesetz über Rahmenbedingungen für elektronische Signaturen (SigG),
•
die Verwaltungsvorschriften im Bereich der elektronischen Buchführung und der Steuerprüfung wie die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS)3 und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) 4,
•
1
die auf Basis der §§ 18,19 Arbeitsschutzgesetz (ArbSchG) erlassene Bildschirmarbeitsverordnung (BildschArbV),
Vgl. Böhm, M. (2008), S. 16. Vgl. Nolte, N.; Becker, T. (2008), S. 23; vgl. Klotz, M.; Dorn, D.-W. (2008), S. 12 f; vgl. Lensdorf, L.; Steger, U. (2006), S. 206; vgl. Müller, K.-R. (2008), S. 103; vgl. Speichert, H. (2007), S. 251 ff.; vgl. Becker, J.; Hoeren, T. (2007), S. 99 ff. 3 Schreiben des Bundesminiteriums der Finanzen an die obersten Finanzbehörden der Länder vom 7.11.1995; IV A 8 – S 0316 – 52/95; veröffentlicht im BStBl. I 1995, S. 738. 4 Schreiben des Bundesminiteriums der Finanzen an die obersten Finanzbehörden der Länder vom 16.7.2001; IV D 2 – S 0316 – 136/01; veröffentlicht im BStBl. I 2001, S. 415. 2
118
•
nationale und internationale Qualitätsstandards z. B. für die IT-Sicherheit bzw. das ITRisikomanagement wie die Normreihe ISO-2700x und die IT-Grundschutzkataloge1 oder für die Einrichtung und den sicheren Betrieb von IT-Landschaften wie COBIT2 und ITIL3 oder für die Außenprüfung wie der Prüfungsstandard IDW PS 3304 sowie
•
branchenspezifische Regelungen wie z. B. für Banken und Finanzdienstleister das Kreditwesengesetz (KWG) und das Wertpapierhandelsgesetz (WpHG).5
Richtlinien und Standards wie beispielsweise die DIN6-, ISO7- oder IEC8-Normen sind rechtlich nicht bindend und daher nicht unmittelbar durchsetzbar. Doch auch wenn sie keinen Rechtscharakter haben, können sie bei der Etablierung eines IT-Compliance-Managements sehr hilfreich sein.9 Sie dienen als Vorgabe für rechtskonformes Verhalten und liefern Hinweise für die praktische Umsetzung der Compliance-Anforderungen. Hat ein Unternehmen die entsprechenden, anerkannten Standards eingehalten, dokumentiert dies, dass das Unternehmen die jeweiligen gesetzlichen Anforderungen ernst nimmt und es kann in der Regel davon ausgegangen werden, dass die erforderliche Sorgfalt beachtet wurde. „IT-Compliance ist kein Selbstzweck.“10 Der Ursprung der Ausführungen zum Thema Compliance lässt sich in den aktienrechtlichen Vorschriften11 zu der Verantwortung der Vorstandsmitglieder für die Führung des Unternehmens finden.12 Auch wenn das GmbHG keine entsprechende Bestimmung enthält, wurde eine Ausstrahlungswirkung der aktienrechtlichen Regelung auf den Pflichtenrahmen der Geschäftsführer anderer Gesellschaften festgelegt.13 Nach §§ 93 Abs. 2, 116 Abs. 1 HGB, 43 GmbHG haften Vorstände bzw. 1
Die Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik formulieren einen ganzheitlichen Sicherheitsansatz mit Standardsicherheitsmaßnahmen, der ausführlich und detailliert alle relevanten Bereiche der IT-Sicherheit behandelt. Vgl. Speichert, H. (2007), S. 262. 2 Control Objectives for Information and Related Technology 3 Information Technology Infrastructure Library 4 Prüfungsstandard (PS) 330 des Institutes für Wirtschaftsprüfung (IWP): „Abschlussprüfung bei Einsatz von Informationstechnologie“. Der IDW PS 330 betrifft die Durchführung von Abschlussprüfungen (d.h. Prüfungen von Jahres-, Konzern-, und Zwischenabschlüssen) und formuliert Vorgaben, nach denen der Prüfer die Erfüllung von Compliance- und Sicherheitsanforderungen durch das IT-gestützte Rechnungslegungssystem zu beurteilen hat. 5 Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat die Anforderungen auf Basis des § 25a Abs. 1 und 2 KWG für die Kredit- und Versicherungswirtschaft in den beiden Rundschreiben zum Outsourcing (RS 11/2001) und zu den Mindestanforderungen an das Risikomanagement (MaRisk, RS 18/2005) zusammengefasst und den Instituten damit einen Ausgestaltungsrahmen geliefert. Ähnlich wurden für Wertpapierdienstleistungsunternehmen die über die in § 25a Abs. 1 und 4 KWG hinausgehenden Organisationspflichten in § 33 WpHG geregelt. 6 Deutsches Institut für Normung. 7 International Organisation of Standardization. 8 International Eletrotechnical Commission. 9 Vgl. hierzu und im Folgenden Lensdorf, L. (2007), S. 418; vgl. Acker, O. et al. (2006), S. 23. 10 Rath, M. (2007), S. 54. 11 §§ 91 Abs. 2, 93 AktG. 12 Vgl. Nolte, N.; Becker, T. (2008), S. 23. 13 „In das GmbHG soll keine entsprechende Regelung aufgenommen werden. Es ist davon auszugehen, dass für Gesellschaften mit beschränkter Haftung je nach ihrer Größe, Komplexität, ihrer Struktur usw. nichts 119
Geschäftsführer persönlich und gesamtschuldnerisch für die Vernachlässigung der ITCompliance. Um ihrer Sorgfaltspflicht nachzukommen, sind sie verpflichtet, ein wirksames Risikomanagement zu installieren, die rechtskonforme Funktionsweise der IT sicherzustellen und nachvollziehbar zu dokumentieren. Dazu zählt ebenfalls die Verpflichtung, digitale Unterlagen elektronisch zu archivieren.1 Die folgende Abbildung stellt die wesentlichen Aspekte der IT-Compliance dar, die verschiedene Anforderungen an die Umsetzung einer elektronischen Archivierungslösung stellen.
Abbildung 16: Einfluss gesetzlicher Rahmenbedingungen auf die Archivierung Quelle: eigene Darstellung
Diese vier Säulen der IT-Compliance sollen im Folgenden erläutert werden. Ein grundlegender Aspekt der IT-Compliance liegt in der Gewährleistung eines funktionierenden Risikomanagements durch und mit Hilfe der IT. Dies schließt beispielsweise die Erfüllung der rechtlichen Berichts-, Informations- und Dokumentationspflichten eines Unternehmens ein. Die rechtliche Verankerung dieser Verpflichtung findet sich in dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, der Section 404 des Sarbanes-OxleyAct sowie dem Bilanzrechtsmodernisierungsgesetz (BilMoG).2
anderes gilt und die Neuregelung Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführer auch anderer Gesellschaften hat.“ Regierungsbegründung Bundestags Drucksache 13/9712 vom 28.1.1998, S. 15. 1 Vgl. Ortgies, M. (2008), S. 40. 2 Vgl. Klotz, M.; Dorn, D.-W. (2008), S. 6; vgl. Lensdorf, L.; Steger, U. (2006), S. 207. Das Gesetz zur Modernisierung des Bilanzrechts (BilMoG) wurde am 26.3.2009 vom Deutschen Bundestag verabschiedet. Der 120
Diese Gesetze befassen sich konkret mit der Ausgestaltung interner Kontrollsysteme. Aus den Eigenkapitalvereinbarungen aus Basel (Basel II) lassen sich ebenfalls klare Vorgaben für den Einsatz der IT und insbesondere für die Datensicherheit ableiten, die sich auf die Implementierung eines angemessenen Risikomanagements beziehen. Während die Anforderungen aus Basel II lediglich alle Kredit- und Finanzdienstleistungsinstitute betreffen, sind die im Sarbanes-Oxley-Act formulierten Anforderungen der US-amerikanischen Gesetzgeber für alle Unternehmen rechtsverbindlich, die an US-Börsen notiert sind, was beispielsweise auch deutsche Tochterunternehmen einschließt. Das KonTraG betrifft neben Aktiengesellschaften auch GmbHs und KGaAs. Da der IT-Einsatz der heutigen Informationsgesellschaft in der Regel Grundlage und Instrument jeglichen unternehmerischen Handelns ist und zugleich viele Kontrollen durch IT-Unterstützung bewerkstelligt werden, ist die IT von erheblicher Bedeutung für den Compliance-Nachweis eines Unternehmens.1 Nach diesen gesetzlichen Bestimmungen gehört auch die rechtskonforme Archivierung elektronischer Daten zum Risikomanagement der Unternehmen. Das Risikomanagement stellt eine tragende Säule der IT-Compliance dar, und es ergeben sich aus den allgemeinen Sorgfaltspflichten des Managements und der Verpflichtung zum Risikomanagement mittelbare Anforderungen an die elektronische Archivierung. Einige Aspekte, die in den Themenkomplex des Risikomanagements fallen und zugleich die Aufbewahrung elektronischer Dokumente betreffen, werden im Abschnitt 3.4 im Zusammenhang mit den unternehmenseigenen Interessen an einer elektronischen Archivierungslösung noch einmal gesondert aufgegriffen. Als Beispiel seien hier nur die Beweissicherung, der Nachweis eines rechtskonformen Handels oder Produkthaftungserwägungen genannt. Die IT-Sicherheit ist ein weiterer Pfeiler der IT-Compliance im Unternehmen. IT-Sicherheit beschreibt einen Zustand, in dem Gefahren und Schäden beim Einsatz der IT vermieden werden.2 Der Datenschutz und die Datensicherheit zählen zu den wesentlichen Komponenten der IT-Sicherheit.3 Die vorhandene IT-Landschaft ist wirksam gegen Angriffe von innen und außen zu schützen.4 Es geht darum, Vorkehrungen zu treffen, um die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen sicherzustellen. Die erforderliche Zugangskontrolle umfasst dabei zwei Aspekte. Zum einen muss der Zugang zu den Informationssystemen angemessen administriert und kontrolliert werden, um die digitale Identität des
Bundesrat stimmte dem Gesetz am 3.4.2009 zu und es trat am 29.5.2009 in Kraft. Die neuen Regelungen sind verpflichtend für Geschäftsjahre ab dem 1.1.2010 anzuwenden. Vgl. Knolmayer, G. F.; Disterer, G. W. (2007), S. 4; vgl. Sury, U. (2005), S. 71. 2 Vgl. Becker, J.; Hoeren, T. (2007), S. 98. 3 Vgl. hierzu und im Folgenden Rath, M. (2007), S. 54. 4 Dieses kann beispielsweise durch sorgfältig ausgearbeitete Berechtigungskonzepte, die eine gewissenhafte Vergabe von Lese- und Editierrechten anhand interner Sicherheitsbestimmungen beinhalten, sowie den Einsatz von systemadäquaten und aktuellen Firewalls, Verschlüsselungstechniken und Virenschutzprogrammen geschehen. Um Schäden bei Systemausfällen vorzubeugen, können z.B. Backup- und RecoveryStrategien entwickelt werden. Vgl. Rath, M. (2008), S. 127; vgl. Speichert, H. (2007), S. 243. 1
121
Anwenders zu gewährleisten. Zum anderen ist die Nutzung der in den Systemen gespeicherten Daten durch ein Berechtigungskonzept auf die jeweilige Anwendergruppe zuzuschneiden, um so z. B. eine unsachgemäße Handhabung zu verhindern und datenschutzrechtlichen Bestimmungen nachkommen zu können. Die Verarbeitung personenbezogener Daten ist von vielen datenschutzrechtlichen Anforderungen betroffen und die Einhaltung der vielfältigen Richtlinien gestaltet sich für global agierende Unternehmen oftmals problematisch. Bisher gibt es im Umgang mit dem Datenschutz keine internationale Übereinkunft, wie sie in anderen Bereichen beispielsweise mit Basel II für das Kreditwesen existiert.1 Das Bundesdatenschutzgesetz (BDSG) regelt die Verarbeitung personenbezogener Daten privater Unternehmen. In Deutschland sind Prozesse und Zugriffsrechte daher so zu gestalten, dass die Unversehrtheit und die Vertraulichkeit personenbezogener Daten im Sinne des § 9 BDSG gewährleistet ist. Dieser Aspekt ist insbesondere bei der Datenmigration zu beachten. Bei der Integration von Anwendungssystemen werden personenbezogene Daten jedoch auch erfasst und verarbeitet, dies betrifft beispielsweise den Bereich der Log-Dateien.2 Personenbezogene Daten dürfen gemäß § 35 Abs. 2 Nr. 3 BDSG nur für einen klar definierten, geschäftlichen Zweck erhoben werden und sind zu löschen, sobald kein zwingender Grund für das weitere Vorhalten existiert. Der Datenschutz beinhaltet damit auch Anforderungen an die Umsetzung einer elektronischen Archivierungslösung bezüglich der Datensicherheit und der Datenzugriffsverfahren. Um eine IT-Landschaft entsprechend der rechtlichen Bestimmungen zu betreiben, sind darüber hinaus weitere allgemeine gesetzliche Vorgaben zu erfüllen. So ist beispielsweise sicherzustellen, dass dem Unternehmen ausreichend Lizenzen für den Betrieb der verwendeten Soft- und Hardware vorliegen. Durch eine systematische Lizenzverwaltung kann sowohl eine strafrechtlich relevante Unterlizenzierung als auch eine kostenintensive Überlizenzierung vermieden werden.3 Bezogen auf den gesetzeskonformen Betrieb der Archivierungslösung sind z. B. urheberrechtliche Bestimmungen zu beachten. Der gesetzeskonforme Betrieb der Unternehmens-IT zählt ebenfalls zu den bedeutenden Säulen der IT-Compliance.
1
Vgl. Acker, O. et al. (2006), S. 20. In einer Log-Datei werden alle Verarbeitungsschritte protokolliert. Vgl. Greipl. D. (2007), S. 49. So werden beispielsweise die Manipulation oder Weiterleitung von Dokumenten dokumentiert. Vgl. Kampffmeyer, U. (2006), S. 477. 3 Vgl. Rath, M. (2006), S. 5. 2
122
Ein weiterer fundamentaler Eckpfeiler der IT-Compliance besteht in Einhaltung gesetzlicher Bestimmungen, welche explizit die Verpflichtung zur Aufbewahrung elektronischer Dokumente zum Inhalt haben. Es ergeben sich • aus dem Handels- und Steuerrecht, • aus den Aufgaben der Unternehmen im Rahmen von elektronischen Betriebsprüfungen und • aus den Vorgaben zur Anerkennung elektronischer Rechnungen ganz konkrete und unmittelbare Anforderungen an die elektronische Archivierung. Nach dem Handelsgesetz und der Abgabenordnung sind Unternehmen beispielsweise zur Aufbewahrung von „Handelsbriefen“1 während bestimmter Aufbewahrungsfristen verpflichtet und haben dabei die entsprechenden Verwaltungsvorschriften des Bundesfinanzministeriums zu beachten. Dieser Aspekt der IT-Compliance soll in der vorliegenden Arbeit besonders hervorgehoben werden, da er zwingende Anforderungen an die Archivierungslösung formuliert. Zu diesem Zweck werden im folgenden Abschnitt die gesetzlichen Rahmenbedingungen genauer erläutert. Regelungen zur steuerlichen Betriebsprüfung sind in verschiedenen Verwaltungsvorschriften und Gesetzen enthalten. Zu erwähnen seien hier die Betriebsprüfungsordnung (BpO), die Abgabenordnung (AO), die Zivilprozessordnung (ZPO), das Umsatzsteuergesetz (UStG) und das Signaturgesetz (SigG).2 Mit zunehmendem IT-Einsatz und steigender Abhängigkeit von IT-Systemen geraten elektronische Dokumente auch immer stärker in den Fokus von Betriebsprüfungen. Mit den Änderungen der Abgabenordnung wurden im Zuge des Steuersenkungsgesetzes die Grundlagen für die elektronische Betriebsprüfung geschaffen. Das Finanzministerium hat mit den GDPdU die Anforderungen präzisiert. Mit der gesetzlichen Neuregelung wurde der Finanzverwaltung seit dem 1. Januar 2002 das Recht eingeräumt, bei der Außenprüfung auf steuerlich relevante, digitale Daten des Steuerpflichtigen zuzugreifen. Die Neuregelungen sowie die Einführung der digitalen Betriebsprüfung haben ihren Ursprung in der Begehrlichkeit der Wirtschaft, Rechnungen elektronisch abwickeln zu können.3 Mit dem Steueränderungsgesetz wurden die Bestimmungen zum Vorsteuerabzug entsprechend angepasst. Schriftliche Dokumente existieren zunehmend ausschließlich in elektronischer Form. Mit dem "Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr"4 vom 13. Juli 2001 wurden in den §§ 126, 127 BGB
1
§§ 147 Abs. 1 Nr. 2 und 3 AO, 257 Abs. 1 Nr. 2 und 3 HGB. Vgl. Kornprobst, F.; v. Ehrenstein, C.; Frosch-Wilke, D. (2003), S. 53. 3 Vgl. Hagenkötter, A.; Mülot, D.-M. (2002), S. 35. 4 Siehe Bundesgesetzblatt Teil 1, Seite 1542. 2
123
elektronische Dokumente rechtlich anerkannt. So kann beispielsweise die schriftliche Form nach § 126 Abs. 3 BGB durch die elektronische Form ersetzt werden, wenn sich nicht aus dem Gesetz ein anderes ergibt. Im § 126a BGB wurde die qualifizierte elektronische Signatur nach dem Signaturgesetz (SigG) verankert. Sie bietet die Möglichkeit einer Gleichstellung der digitalen Form gegenüber der herkömmlichen Schriftform.1 Dieses schließt die elektronische Aufbewahrung zu Nachweiszwecken ein.2 Unternehmen können damit nach § 14 Abs. 4 Umsatzsteuergesetz (UStG) eine Rechnung in Form einer Papierurkunde oder als elektronische Abrechnung, die gemäß § 2 Nr. 3 SigG mit einer qualifizierten elektronischen Signatur zu versehen ist, erteilen.3 Ein Vorsteuerabzug ist bei elektronischen Rechnungen nur dann erlaubt, wenn gemäß § 14 Abs. 3 UStG die Echtheit der Herkunft und die inhaltliche Unversehrtheit der Rechnung gewährleistet ist.4 Um dieses technisch sicherzustellen, bedarf die Rechnung einer qualifizierten Signatur mit Anbieterakkreditierung gemäß § 15 Abs. 1 SigG.5 Diese elektronische Signatur gewährleistet die Unveränderbarkeit des Nachrichteninhalts und die Authentizität des Unterzeichners und lässt aus einer elektronischen Datei ein Dokument entstehen, das einem handschriftlich unterzeichneten Dokument in Papierform gleichwertig gegenüber steht. Bestimmte Bereiche im Unternehmen, wie beispielsweise der elektronische Handel, werden erheblich behindert, wenn der Einsatz elektronischer Abrechnungen nicht möglich ist und weiterhin Rechnungen in Papierform gestellt werden müssen. Für den Einsatz elektronischer Abrechnungen im Sinne des § 14 Abs. 4 Satz 2 UStG muss jedoch ein ausgereiftes Konzept zur elektronischen Archivierung vorliegen und umgesetzt werden, da Rechnungen nach § 14b UStG zehn Jahre aufzubewahren sind und die GDPdU zahlreiche Richtlinien für die Aufbewahrung der Rechnungen und Signaturschlüssel formuliert.6 Die gesetzlichen Bestimmungen zur Aufbewahrung betrieblicher Daten und Unterlagen stellen damit die vierte bedeutende Säule der IT-Compliance dar. Aufgrund der Allgegenwärtigkeit der IT ist die IT-Compliance von zentraler Bedeutung für die gesetzeskonforme Abwicklung der Geschäftsprozesse des Unternehmens. Die steigende Bedeutung der IT für Unternehmen mit hoher IT-Durchdringung wird noch verstärkt durch den Einfluss externer Umfeldfaktoren und Regularien wie Basel II, SOX oder die GDPdU.7 Die Compliance-Anforderungen variieren je nach Branche, Größe und Struktur des Unternehmens. So haben beispielsweise Banken und Versicherungen sowie Hersteller von Lebensmitteln und Arzneimitteln eine hohe Regulierungsdichte im Vergleich zu anderen Branchen. Es lässt sich daher kein einheitliches Regelwerk und auch kein allgemeingültiger
1
Vgl. Kampffmeyer, U. (2003), S. 8. Vgl. Odenthal, R. (2007), S. 19. 3 Vgl. Speichert, H. (2007), S. 295. 4 Vgl. Odenthal, R. (2007), S. 18. 5 Vgl. Anduleit, M. (2007), S. 28 f.; vgl. Hagenkötter, A.; Mülot, D.-M. (2002), S. 36. 6 Siehe GDPdU II. 1. 7 Vgl. Nicolaus, M. (2006), S. 26. 2
124
Anforderungskatalog zur Compliance formulieren. Die das jeweilige Unternehmen betreffenden Gesetze und Normen sowie die daraus resultierenden Anforderungen sind vom Einzelfall abhängig und daher branchen- und unternehmensbezogen zu ermitteln.1 Dennoch existieren zahlreiche Gesetze und Regelungen, die für nahezu jedes Unternehmen von zentraler Bedeutung sind und den IT-Einsatz entsprechend beeinflussen.2 Auch wenn es kein allgemeingültiges Anforderungspaket zur IT-Compliance geben kann, soll in der Tabelle 9 der Versuch unternommen werden, diese wesentlichen Aspekte der IT-Compliance zu einer Übersicht zusammenzufassen. Wobei darauf hingewiesen sei, dass die Übersicht keinen Anspruch auf Vollständigkeit erhebt und die einzelnen Anforderungsbereiche Überschneidungen aufweisen.
1
Vgl. Wecker, G.; Galla, S. (2008), S. 43; vgl. Nolte, N.; Becker, T. (2008), S. 23; vgl. Lensdorf, L (2007), S. 413. 2 Vgl. Greipl, D. (2007), S. 49. 125
IT-ComplianceAnforderung bzgl.
Inhalt
Gesetzliche Regelung
Risikomanagement (Früherkennungs- und Überwachungssystem)
Pflicht zur Einrichtung eines effektiven Risikomanagements für Aktiengesellschaften
§ 91 Abs. 2 AktG
Ausstrahlungswirkung auch auf andere Gesellschaftsformen
BT-Drucks. 13/9712
IT-gestütztes Informationsund Kontrollsystem
Informations- und Dokumentationspflicht mit Hilfe der IT; gesetzliche Verpflichtung zur Einführung eines internen Kontrollsystems
KonTraG; BilMoG
Kontrolle und Risikoüberwachung
Kontroll- und Dokumentationspflicht; gesetzliche Verpflichtung zur Einführung und Aufrechterhaltung von Kontroll- und Informationssystemen US-amerikanischer börsennotierter Unternehmen
SOX
Audit der IT-Systeme im Rahmen der Jahresabschlussprüfung
Bei der Prüfung der Anwendungssysteme sind Aufbau, Angemessenheit und Funktion des Risikomanagements zu beurteilen.
§ 317 Abs. 4 HGB
Konkrete Anforderungen der Wirtschaftsprüfer an die Rechnungslegung
Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie
IT-Sicherheit
Verpflichtung zur Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit und Vertraulichkeit von Informationen gewährleisten. Die IT-Landschaft ist vor Angriffen von innen und außen zu schützen.
SOX
Pflicht zur Etablierung technischer und organisatorischer Maßnahmen zum Schutz der Daten
§ 9 BDSG (sowie die Anlage zu § 9 Satz 1)
Vorgaben zur Erhebung, Speicherung und Nutzung von personenbezogenen Daten z. B. bei der privaten Benutzung des Internets oder von E-Mail- Anwendungen
§ 28 ff. BDSG
Rechtskonformer Betrieb der IT-Landschaften; vertragsrechtliche Anforderungen
Verpflichtung beim Einsatz der IT, die Einhaltung allgemeiner gesetzlicher Regelungen beispielsweise durch die Einhaltung der Bildschirmarbeitsschutzverordnung oder den Erwerb der erforderlichen Nutzungsrechte (Lizenzen) sicherzustellen
z. B. §§ 18, 19 ArbSchG; BildschArbV
Aufbewahrung elektronischer Unterlagen
Verpflichtung zur Aufbewahrung von Handels- und Geschäftsbriefen und zur elektronischen Speicherung von originär digitalen Dokumenten
§§ 238, 239, 257 HGB, § 147 AO, § 14b UStG, §§ 371, 415 ZPO, § 93 AktG, § 43 GmbHG, die GoB, GoBS und GDPdU
Vorschriften zur rechtskonformen Archivierung elektronischer Daten als Teil des Risikomanagements
KonTraG, SOX
Elektronische Betriebsprüfung
Aufgabe, dem Wirtschaftsprüfer originär digitale, steuerrelevante Daten und Unterlagen für eine Außenprüfung in auswertbarer Form zur Verfügung zu stellen
§ 147 AO; GoBS; GDPdU
Elektronische Rechnungsschreibung
Vorgaben zur Anerkennung elektronischer Rechnungen in Form von Anforderungsdefinitionen für Anbieter von Zertifizierungsdiensten und Softwareprodukten für elektronische Signaturen; Vorgaben für Prüf- und Bestätigungsstellen, die die Einhaltung bzw. Umsetzung dieser Anforderungen prüfen
SigG; § 126a BGB; UStG
Datenschutz/ Datensicherheit
Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren
Section 302 und 404
(Vorgaben für den Prüfer: - IDW PS 330 - IDW RS FAIT 1 - IDW RS FAIT 3) z. B. § 2 Abs. 2 BSIG 1
TMG; TKG
z. B. Urheberrecht
Tabelle 9: Übersicht bedeutsamer IT-Compliance-Anforderungen Quelle: eigene Darstellung, vgl. Rath, M. (2008), S. 122 ff.; vgl. Lensdorf, L. (2007), S. 413 ff.
1
Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik
126
Der Lebenszyklus von Anwendungssystemen wird stetig kürzer, und damit wird auch die Rückwärts-Kompatibilität der Software immer problematischer, was den Zugriff auf alte Datenbestände erschwert. 1 Daher gehört – zumindest für größere Unternehmen – die elektronische Archivierung, ergänzt um ein entsprechendes IT-Lebenszyklus-Management, zu den Aufgaben, die aus den Anforderungen der IT-Compliance resultieren.2 Eine Archivierung elektronisch vorliegender Datenbestände wird in verschiedenen Rechtsvorschriften aus den unterschiedlichen Anlässen gefordert.3 Damit wird die elektronische Archivierung zu einem bedeutenden Bestandteil der IT-Compliance. Zu den erforderlichen Maßnahmen gehören beispielsweise die Festlegung organisatorischer Richtlinien zur innerbetrieblichen elektronischen Archivierung, entsprechende Verfahrensdokumentationen, Berechtigungs- und Zugriffskonzepte sowie geeignete Customizingeinstellungen in den jeweiligen Anwendungssystemen, aber auch der Einsatz notwendiger technischer Lösungen wie Archivierungsprogramme und Verschlüsselungstechniken. Die Geschäftsleitung ist somit gehalten, im Rahmen der Compliance-Aktivitäten gemeinsam mit den Experten aus den Bereichen IT, Recht und Steuern eine fundierte Archivierungsstrategie zu entwickeln. Zu diesem Zweck sind die für das Unternehmen relevanten rechtlichen und wirtschaftlichen Anforderungen an die elektronische Archivierung zu erheben, um auf Basis dieser Rahmenbedingungen ein Archivierungskonzept zu entwerfen. Die gesetzlichen Anforderungen an die elektronische Archivierung lassen sich in der Regel nicht mehr rückwirkend erfüllen.4 Wurden Daten im Rahmen einer IT-Integration erst einmal komprimiert oder gelöscht, liegt ein unumkehrbarer Gesetzesverstoß vor. Um eine gesetzeskonforme Integration der IT-Landschaften zu gewährleisten, müssen die relevanten Bestimmungen bekannt sein und die entsprechenden Anforderungen berücksichtigt werden. Aus diesem Grund sollen die allgemeinen regulativen und rechtlichen Aufbewahrungsvorschriften nachfolgend zusammengetragen und genauer auf die daraus resultierenden Anforderungen untersucht werden. Die Pflicht zur Aufbewahrung von Daten und Unterlagen ergibt sich abgesehen von den handels- und steuerrechtlichen Gesetzen auch aus anderen geschäfts- und branchenspezifischen Rechtsvorschriften.5 Auf diese speziellen Vorschriften wird teilweise aber nicht vollständig - in Abschnitt 3.4 hingewiesen. Zu diesen gesetzlichen Regelungen zählen beispielsweise das Arzneimittel- oder Produkthaftungsgesetz sowie Vorschriften zum Umweltschutz.
1
Vgl. Rath, M. (2008), S. 130; vgl. Acker, O. et al. (2006), S. 17. Vgl. o. V. (2004), S. 53. 3 Vgl. Hoppen, P. (2008), S. 674. 4 Vgl. Schult, B.; Vedder, R. (2005), S. 285. 5 Vgl. van Acken, J. et al. (2002), S. 10. 2
127
Zusammenfassend kann festgehalten werden, dass sich auch die IT-Compliance-Anforderungen an die Aufbewahrung elektronischer Dokumente grob in unmittelbare und mittelbare Vorgaben untergliedern lassen.1 Allgemeine rechtliche Vorschriften aus denen sich eine unmittelbare Aufbewahrungspflicht ergibt § 257 HGB: handelsrechtliche Aufbewahrungspflichten
mittelbare Aufbewahrungspflicht ergibt Risikomanagement: § 91 Abs. 2 AktG; KonTraG, SOX, BilMoG
§ 147 AO; § 14b UStG; GAufzV: steuerrechtliche Aufbewahrungspflichten GoB: Anforderungen an die Aufbewahrung rechnungslegungsrelevanter Unterlagen GoBS: Vorgaben für die Aufbewahrung digitaler Unterlagen
allgemeine Sorgfaltspflichten: § 93 Abs. 1 AktG § 43 Abs. 1 GmbHG
GDPdU: Anforderungen an die Archivierungslösung bezüglich des Zugriffs und der Prüfbarkeit elektronischer Daten
Tabelle 10: Rechtliche Vorgaben zur elektronischen Archivierung Quelle: eigene Darstellung
Die maßgeblichen rechtlichen und regulativen Vorschriften, die unmittelbar eine Aufbewahrungspflicht digitaler Unterlagen in Unternehmen begründen, werden in dem folgenden Abschnitt zusammengetragen, ausführlich dargestellt und bezüglich ihrer Anforderungen an die Umsetzung der Archivierungslösung untersucht.
3.3
Gesetzliche Verpflichtungen zur elektronischen Archivierung und Implikationen
Die Pflicht zur Aufbewahrung von Geschäftsunterlagen ergibt sich vornehmlich aus dem Handels- und dem Steuerrecht. Die Archivierung ist eine begleitende Nebenpflicht der betrieblichen Aufzeichnungserfordernisse.2 Auch die Grundlagen der neuen Anforderungen an die elektronische Archivierung digitaler Geschäftsunterlagen sind in den Änderungen der Abgabenordung zu finden, welche im Zuge der Steuerreform im Oktober 2000 verabschiedet wurden.3 Diese Anforderungen an die Archivierung elektronischer Dokumente werden durch die vom Bundesministerium der Finanzen formulierten Grundsätze präzisiert. Der Gesetzgeber hat umfangreiche Anforderungen an die Aufbewahrung digitaler rechnungslegungs-
1
Vgl. Lensdorf, L. (2008), S. 332. Vgl. Odenthal, R. (2007), S. 15. 3 Vgl. v. Bredow, F.; Kampffmeyer, U. (2001), S. 459. 2
128
relevanter Unterlagen formuliert, die Unternehmen bei der Abschaltung von Anwendungssystemen zu beachten haben. Hintergrund ist, dass Unternehmen anderenfalls die Möglichkeit hätten, durch einen Systemwechsel die Überprüfbarkeit der Daten zu vereiteln.1 Die wesentlichen rechtlichen Rahmenbedingungen, die unmittelbare Anforderungen an die elektronische Archivierung statuieren, sind in der folgenden Abbildung dargestellt. Dabei wird der Zusammenhang der verschiedenen Vorschriften, Verwaltungsanweisungen und Stellungnahmen veranschaulicht.
Abbildung 17: Gesetzliche Verpflichtung zur Archivierung Quelle: eigene Darstellung in Anlehnung an Brand, T. (2007), S. 16.
In den folgenden Anschnitten wird erst auf die rechtlich bindenden Gesetze und Verordnungen eingegangen und anschließend die diese Bestimmungen konkretisierenden Schreiben des Bundesministeriums der Finanzen erläutert.
3.3.1 Aufbewahrungspflicht nach Handels- und Steuerrecht Die §§ 239, 257 HGB regeln die grundsätzlichen Anforderungen an die Aufbewahrung kaufmännischer Unterlagen unabhängig davon, ob diese in Papierform oder digital vorliegen.2 In
1 2
Vgl. Höreth, U.; Schiegl, B. (2001), S. 2512; vgl. Hagenkötter, A.; Mülot, D.-M. (2002), S. 32. Vgl. hierzu und im Folgenden Kampffmeyer, U. (2003), S. 6 f. 129
den §§ 146, 147, 200 AO sind die allgemeinen Anforderungen an die Aufbewahrung und Prüfung von steuerlichen Aufzeichnungen festgeschrieben. Die Änderungen der Abgabenordnung im Rahmen des Steuersenkungsgesetzes führten zur Einführung der digitalen Betriebsprüfung, die der Finanzverwaltung den Datenzugriff und die Prüfung digitaler Unterlagen des Steuerpflichtigen erlaubt. Die damit verbundenen Pflichten wurden in den GDPdU detailliert beschrieben.1 Die Archivierungspflicht betrifft diejenigen, die zur Buchführung verpflichtet sind.2 Das sind nach § 238 Abs. 1 HGB Kaufleute, nach § 141 AO gewerbliche Unternehmer sowie Landund Forstwirte, deren Betrieb bestimmte Umsatz- und Gewinngrenzen überschreiten und nach § 140 AO Gewerbetreibende, die nach anderen Gesetzen als den Steuergesetzen Bücher und Aufzeichnungen zu führen haben.3 Nach § 147 AO wird damit auch eine Archivierungspflicht für Personen wie Freiberufler oder Landwirte festgelegt, die aufgrund der fehlenden Kaufmannseigenschaft keine Handelsgeschäfte abwickeln.4 Somit besteht für Unternehmen neben der handelsrechtlichen Archivierungsverpflichtung nach § 257 HGB auch eine entsprechende Pflicht zur Archivierung aus den steuerrechtlichen Bestimmungen des § 147 AO. Beide Vorschriften sind weitgehend deckungsgleich.5 Der § 147 AO enthält einige Besonderheiten. Durch die Änderungen der Abgabenordnung bezüglich des Datenzugriffs der Finanzverwaltung wurden die steuerrechtlichen Anforderungen an die elektronische Archivierung ab dem 1. Januar 2002 erhöht.6 § 257 Abs. 1 HGB bzw. § 147 Abs. 1 AO listet die Unterlagen auf, die nach dem Handelsbzw. Steuerrecht aufzubewahren sind. Die Gesetze wurden aufeinander abgestimmt, da Unternehmen aus handelsrechtlichen und aus steuerrechtlichen Gründen beispielsweise zur Aufbewahrung von Büchern, Jahresabschlüssen, Buchungsbelegen sowie empfangenen und der Wiedergabe versendeter Handelsbriefe verpflichtet sind.7 Unter Handelsbriefen werden nach § 257 Abs. 2 HGB Schriftstücke verstanden, die ein Handelsgeschäft betreffen. Dies umfasst Dokumente, die die Vorbereitung, den Abschluss, die Durchführung oder die Rückgängigmachung zum Gegenstand haben.8 Nach § 147 Abs. 1 Nr. 5 AO umfasst die Aufbewahrungspflicht alle Unterlagen, die für die Besteuerung relevant sind. Damit sind im Rahmen einer Außenprüfung Unterlagen vorzule-
1
Siehe hierzu Abschnitt 3.3.4. Vgl. van Acken, J. et al. (2002), S. 11. Vgl. Hofmann, K.; Reiners, W. (2007), S. 5. 4 Vgl. Lensdorf, L. (2008), S. 335. 5 Vgl. Lensdorf, L. (2008), S. 335. 6 Vgl. van Acken, J. et al. (2002), S. 9. 7 Vgl. § 257 Abs. 1 Nr. 2 und 3 HGB und § 147 Abs. 1 Nr. 2 und 3 AO. 8 Vgl. Hofmann, K.; Reiners, W. (2007), S. 6; vgl. van Acken, J. et al. (2002), S. 15; vgl. Bonner Handbuch der Rechnungslegung, § 257 HGB, Rn 34. 2 3
130
gen, die als steuerlich relevant einzuordnen sind.1 In der Praxis hat sich gezeigt, dass sich steuerrelevante Daten nur unternehmensspezifisch bestimmen lassen. 2 Zu den aufbewahrungspflichtigen Unterlagen gehören z. B. auch „Erforderliche Arbeitsanweisungen“ und „Sonstige Organisationsunterlagen“.3 Dokumentationen der Anwendungssysteme inklusive Datenflussplänen und Erläuterungen zu Systemeinstellungen zählen damit ebenfalls zum relevanten Archivierungsumfang. Zusätzlich zur Abgabenordnung werden in der Gewinnabgrenzungsaufzeichnungsverordnung (GAufzV) Inhalt, Art und Umfang der Dokumentationspflichten von Aufzeichnungen im Sinne des § 90 Abs. 3 AO genauer spezifiziert. Dabei wird festgelegt, welche Unterlagen zur Darstellungen der internen Berechnung von Verrechnungspreisen zu erstellen und aufzubewahren sind. Werden die Daten elektronisch erstellt, sind sie auch entsprechend zu archivieren und unterliegen uneingeschränkt dem Datenzugriff. Für die Aufbewahrung von Rechnungen sei auf § 14 b UStG und das entsprechende BMFSchreiben vom 29. Januar 2004 hingewiesen, in dem in Tz. 8 (Rz. 67 bis 77) gesondert auf die Aufbewahrung von Rechnungen eingegangen wird. Wurden aufbewahrungspflichtige Dokumente in einem Anwendungssystem erzeugt, versendet oder empfangen, sind sie entsprechend elektronisch zu archivieren. Nach den §§ 257 HGB, 147 AO sind grundsätzlich die Originale aufzubewahren. Die beschriebenen gesetzlichen Regelungen weisen einen hohen Abstraktionsgrad auf. Deutlichere Hinweise zur praktischen Ausgestaltung von Archivierungslösungen geben die Verwaltungsanweisungen des Finanzministeriums, die in den folgenden Abschnitten erläutert werden. Alle prüfungspflichtigen Unternehmen sind darauf angewiesen, dass der Wirtschaftprüfer die Ordnungsmäßigkeit der Buchführung bestätigt. Aus den für die Buchführung geltenden Regelungen der §§ 238 ff. und 257 HGB sowie §§ 145 bis 147 AO hat der Fachausschuss für Informationstechnologie (FAIT) beim Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) die Anforderungen der GoB für den Einsatz der IT weiter präzisiert und hierzu verschiedene Rechnungslegungsstandards entwickelt. Die Stellungnahme der IDW zur Rechnungslegung kann auch den Unternehmen Hilfestellung bei der Auslegung der handelsrechtlichen Vorschriften geben.4
1
Der Begriff "steuerlich relevante Daten" wird im Fragen- und Antwortenkatalog des Bundesministeriums der Finanzen präzisiert. In Abschnitt 3.3.4.2 wird dieser Begriff ausführlich erläutert. 2 Vgl. Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S. 1214; siehe hierzu Abschnitt 3.3.7.1. 3 Siehe hierzu die Übersicht der Tabelle 13. 4 Hervorzuheben seien hier die Stellungnahme der IDW zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1) sowie die Grundsätze ordnungsgemäßer Buchführung beim Einsatz elektronischer Archivierungsverfahren (IDW RS FAIT 3). Vgl. Lensdorf, L. (2008), S. 337. 131
3.3.2 Anforderungen der GoB Ebenso wie bei der Buchführung sind auch bei der Archivierung die "Grundsätze ordnungsmäßiger Buchführung" (GoB) einzuhalten.1 Die GoB fassen Richtlinien zusammen, nach denen sich ein Kaufmann bei seiner Buchführung und Bilanzierung und laut § 257 Abs. 3 HGB auch bei seiner Archivierung zu richten hat. Grundsatz der
Anforderung an die
Umsetzung
Archivierung Transparenz und Übersichtlichkeit (§ 238 Abs. 1 HGB)
Das Archivierungsvorgehen muss eindeutig nachvollziehbar sein.
Protokollierung des Archivierungsvorgehens; Dokumentation des Archivierungsverfahrens
Vollständigkeit (§ 239 Abs. 2 HGB, § 246 Abs. 1 S. 1 HGB)
Archivierungspflichtige Unterlagen sind während der gesamten Aufbewahrungsfrist komplett aufzubewahren.
Sicherung der archivierungspflichtigen Dokumente und Daten vor Verlust; z. B. durch Transaktionskontrollen bei technischen Prozessen sowie eine Qualitätssicherung bei manuellen Prozessen, um eine lückenlose Erfassung archivierungspflichtiger Dokumente sicherzustellen; Verwaltung von Aufbewahrungsfristen
Richtigkeit (§ 239 Abs. 2 HGB)
Die Unterlagen müssen den ursprünglichen Inhalt übereinstimmend wiedergeben.
Manipulation am Dokumenteninhalt ist auszuschließen
Zeitgerechtigkeit (§ 239 Abs. 2 HGB)
Die Unterlagen sind der korrekten Periode zuzuordnen und zeitnah zu archivieren.
Korrekte und einheitliche Pflege der Datumsfelder; Planung regelmäßiger Archivierungsläufe
Ordnung und Wahrheit (§ 239 Abs. 2 HGB)
Ein erkennbares und funktionierendes Archivierungsverfahren mit exakter und aussagekräftiger Dokumentation muss vorhanden sein.
Definition von Vorgaben, die festlegen, welche Unterlagen von wem zu welchem Zeitpunkt mit welchem Verfahren wo zu archivieren sind; eine entsprechende Verfahrensbeschreibung, ein vollständiges und aktuelles Datenträgerverzeichnis sowie eine eindeutige Kennzeichnung der Datenträger gewährleisten das Wiederfinden der auf Datenträgern gespeicherten Daten
Der Aufbewahrungsort muss sicher sein (siehe hierzu die Ausführungen im Abschnitt 3.3.5.2). Unveränderlichkeit (§ 239 Abs. 3 HGB)
Jedes Dokument muss unveränderbar und so archiviert werden, dass der ursprüngliche Inhalt feststellbar ist.
Entsprechende Verfahrensanweisungen; Einsatz geeigneter Speichermedien z. B. mit Änderungssperren, um die Manipulation der archivierten Unterlagen auszuschließen; wirksame Zugangsund Zugriffskontrollen
Tabelle 11: Archivierungsanforderungen der GoB Quelle: eigene Darstellung2
1 2
Vgl. Lensdorf, L. (2008), S. 334. Vgl. Lensdorf, L. (2008), S. 334; vgl. Hoppen, P. (2008), S. 676.
132
Tabelle 11 fasst die relevanten Vorgaben der GoB in Bezug auf die elektronische Archivierung zusammen. Auch wenn auf die GoB im Gesetz häufig Bezug genommen wird, sind die Grundsätze nicht vollständig kodifiziert und nur in Teilen durch Regelungen des HGBs spezifiziert.1
3.3.3 Anforderungen der GoBS Die "Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme" (GoBS) bestehen aus einem BMF-Schreiben und einer Ausarbeitung der Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V. (AWV), die im Bundessteuerblatt Teil 1 vom 14.12.1995 veröffentlicht wurde. Die GoBS stellen eine Konkretisierung der GoB in Bezug auf eine IT-gestützte Buchführung dar und beziehen sich auf alle Vorgänge, bei denen außerhalb des eigentlichen Buchhaltungsbereichs buchführungsrelevante Daten erzeugt, erfasst, verarbeitet, übertragen oder gespeichert werden. 2 Dabei wird die Buchhaltung als integrierte und nicht als isolierte und eindeutig abgrenzbare Unternehmensfunktion betrachtet.3 Der Anwendungsbereich der GoBS umfasst damit nicht nur Anwendungssysteme der Finanz- und Anlagenbuchhaltung, sondern auch solche, die rechnungslegungsrelevante Geschäftsprozesse abbilden, wie beispielsweise Materialwirtschaftssysteme. Es wird deutlich, dass nahezu alle Geschäftsprozesse damit den Bestimmungen des Handels- und Steuerrechts unterliegen.4 Die GoBS regeln, unter welchen Voraussetzungen die Finanzverwaltung eine IT-Unterstützung zur Erstellung steuerlicher Aufzeichnungen gestattet und welche Aufzeichnungen, Aufbewahrungen und Dokumentationen bezüglich des IT-Einsatzes sie erwartet.5 Es handelt sich bei den GoBS um Verwaltungsanweisungen und daher verfügen sie nicht über eine unmittelbare Außenwirkung.6 Dennoch sind sie für die Unternehmen von zentraler Bedeutung, da sie bindend für die Finanzverwaltung sind. Die sich aus den GoBS ergebenden Anforderungen gelten nicht nur für die Datenhaltung in produktiven Buchführungs- bzw. ERP-Systemen sondern auch in Dokumenten-Management-7 und elektronischen Archivsystemen.8 Hinsichtlich der Archivierung digitaler Unterlagen sind insbesondere die Ziffern 5 bis 8 mit Vorgaben zur Datensicherheit, Verfahrensdokumentation und Prüfbarkeit, zu Aufbewah-
1
Vgl. Lensdorf, L. (2008), S. 334. Vgl. Acker, O. et al. (2006), S. 21. Die GoBS befinden sich derzeit in Aktualisierung. Vgl. Groß, S. ; Lamm, M. (2008), S. 331. 3 Vgl. Philipp, M. (1998), S. 313. 4 Vgl. Philipp, M. (1998), S. 313 ff. 5 Vgl. Odenthal, R. (2007), S. 20. 6 Vgl. Lensdorf, L. (2008), S. 334. 7 Unter dem Begriff Dokumentenmanagement wird in Deutschland die Verwaltung digitaler Dokumente, die vorwiegend ursprünglich in Papierform vorlagen, in elektronischen Systemen verstanden. In der Regel handelt es sich damit um ein dynamisches Ablagesystem zur Verwaltung der Unterlagen vor der elektronischen Archivierung. Vgl. Kampffmeyer, U. (2006), S. 469 ff. 8 Vgl. Kampffmeyer, U. (2003), S. 7. 2
133
rungsfristen und zur Wiedergabe der auf Datenträgern geführten Unterlagen von Relevanz. Damit geben die GoBS die wesentlichen Anforderungen an eine ordnungsgemäße Aufbewahrung elektronischer Dokumente vor und sind daher von grundlegenderer Bedeutung für die elektronische Archivierung als die GDPdU.1 Die GoBS legen den Umgang mit digitalen Unterlagen und die Anforderungen an die Sicherung und Bereitstellung dieser Dokumente sowie an die Dokumentation des Verfahrens im Detail fest. Die GDPdU verweist an vielen Stellen auf die Vorgaben zur ordnungsgemäßen Aufbewahrung der GoBS und damit sind die GoBS als maßgebliches Dokument in der GDPdU referenziert.2 Im Fokus der GoBS stehen neben Ordnungsmäßigkeitsanforderungen vor allem Anforderungen an die Sicherheit. Unter Teilziffer 5.2 wird gefordert, dass nicht nur die auf Datenträgern gespeicherten Daten zu sichern und zu schützen sind, sondern auch Informationen, die aufgrund anderer Rechtsgrundlagen erforderlich sind. Darunter ist insbesondere die Software wie Betriebssysteme und Anwendungsprogramme und deren Dokumentation zu fassen, die für die Lesbarmachung der archivierten Unterlagen notwendig ist. Teilziffer 5.4 verlangt zusätzlich konkret die Vorhaltung der zur Lesbarmachung erforderlichen Infrastrukturkomponenten wie Hardware und Leitungen. Wie ein Unternehmen die Umsetzung dieser Anforderungen an die Datensicherheit im Einzelfall gewährleistet, ist nach Teilziffer 5.5 von den gegebenen technischen Bedingungen und Möglichkeiten abhängig und bleibt dem Unternehmen im Rahmen der Vorgaben überlassen. Ein schrittweises Vorgehen zur Datensicherung wird in Teilziffer 5.5.2 ff. wie folgt beschrieben: 1. Durchführung von Datensicherungsprozeduren 2. Ergreifung von Maßnahmen zur Auffindbarkeit bzw. zur Reduzierung des Risikos hinsichtlich Vernichtung und Diebstahl von Daten 3. Sicherstellung der Datenträgerlesbarkeit bei Langzeitspeicherung aufbewahrungspflichtiger Unterlagen durch in regelmäßigen Abständen stattfindende Lesbarkeitsüberprüfungen der Datenträger 4. Dokumentation und stetige Aktualisierung des Datensicherungskonzeptes (Teilziffer 5.6 und 5.7) Damit beschreiben die GoBS detaillierte Anforderungen an ein Datensicherheitskonzept zum Schutz buchführungsrelevanter Daten innerhalb des Unternehmens. Die Prämissen, die sich
1
Erst durch die Änderung der Abgabenordnung im Oktober 2000 und durch die zu deren Konkretisierung formulierten GDPdU entstand für Unternehmen die Verpflichtung, originär digitale Unterlagen elektronisch zu archivieren und sie dem Prüfer ab dem 1. Januar 2002 in auswertbarer Form zur Verfügung zu stellen. Die wesentlichen Anforderungen an die Umsetzung der Archivierungslösung ergeben sich jedoch aus den 1995 veröffentlichten GoBS, auf die die GDPdU verschiedentlich verweist. 2 Vgl. Kampffmeyer, U. (2003), S. 7. 134
als Sicherheits- und Betriebsanforderungen für alle relevanten Produktiv- und Archivsysteme ergeben, sind in Tabelle 12 kurz zusammengefasst. Prämisse der
Anforderung an die
Umsetzung
Archivierung Vertraulichkeit
Das Archivierungsverfahren muss vertraulich mit sensiblen Daten umgehen.
Ausschließlich zweckgebundene Aufbewahrung geschäftlicher und personenbezogener Daten
Integrität
Der Ausschluss von Datenverlust und unberechtigter Änderung ist zu gewährleisten.
Richtige, vollständige sowie fehler- und manipulationsfreie Archivierung digitaler Unterlagen durch geeignete technische und organisatorische Maßnahmen Während des Migrationsvorgangs sowie beim Datenzugriff muss hard- und softwareseitig eine Bearbeitung der Daten ausgeschlossen werden.
Autorisierung
Der Datenzugriff muss auf den berechtigten Personenkreis beschränkt sein.
Einrichtung eines sicheren und durchdachten Kontrollsystems beispielsweise durch Zuweisung von Benutzerrechten
Authentizität
Archivierte Daten und Unterlagen müssen jederzeit eindeutig dem verursachenden Geschäftsvorfall zugeordnet werden können.
Archivierung von Informationen zur Verknüpfung korrespondierender Datenbestände und Unterlagen sowie einer eindeutigen Verbindung zwischen Original und konvertiertem Abbild
Verfügbarkeit
Archivierte Dokumente müssen jederzeit lesbar gemacht werden können.
Daten sowie Hard- und Software zur Lesbarmachung müssen jederzeit – auch in Notfällen – betriebsbereit sein. Dies ist durch entsprechende organisatorische und technische Maßnahmen sowie durch einen geeigneten Aufbewahrungsort sicherzustellen.
Verbindlichkeit
Durch das Archivierungsverfahren muss die Verbindlichkeit der archivierten Dokumente einschließlich der damit verbundenen Rechtsfolgen sichergestellt werden.
Der Beweiswert der Unterlagen ist durch geeignete organisatorische und technische Maßnahmen zu sichern.
Nachvollziehbarkeit
Das Archivierungsvorgehen muss eindeutig nachvollziehbar sein und dem in der Praxis eingesetzten Verfahren und Programmen entsprechen.
Protokollierung des Archivierungsvorgehens; Dokumentation des Archivierungsverfahrens; kontinuierliche Aktualisierung der Dokumentation
Tabelle 12: Archivierungsanforderungen der GoBS Quelle: eigene Darstellung1
1
Vgl. Roth, B.; Schneider, U. K. (2005), S. 19; vgl. Odentahl, R. (2007), S. 35 f. 135
3.3.4 Anforderungen der GDPdU Im Zuge des Steuersenkungsgesetzes1 vom 23. Oktober 2000 hat der Gesetzgeber der Finanzverwaltung Zugriffsrechte auf die IT der Unternehmen und deren steuerrelevante Daten geschaffen. Durch diese Möglichkeit der digitalen Betriebsprüfung haben die Prüfer bei allen Betriebsprüfungen, Umsatzsteuersonderprüfungen und Lohnsteueraußenprüfungen neue Datenzugriffsrechte erhalten.2 Diese Zugriffsrechte sowie die allgemeinen Anforderungen an die Archivierung digitaler Unterlagen nach § 147 AO und den GoBS wurden durch das Bundesfinanzministerium (BMF) unter steuerrechtlichen Gesichtspunkten durch die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) konkretisiert.3 Danach sind die Unternehmen bereits seit dem 1. Januar 2002 verpflichtet, dem Betriebsprüfer alle steuerrelevanten Daten in auswertbarer Form zur Verfügung zu stellen. Folglich genügt es nicht mehr, originär digitale Unterlagen auszudrucken und in Papierform zu archivieren.4 Mit der Gesetzesänderung soll dem Prüfer die Möglichkeit zur elektronischen Aufbereitung der geschäftlichen Unternehmensdaten mittels Prüfsoftware gegeben werden. Um ein Ausweichen der Unternehmen auf Archivierungslösungen, die diese Zielsetzung nicht erfüllen, zu verhindern, wird die klare Verpflichtung formuliert, steuerrelevante Daten digital in strukturiert auswertbarer Form vorzuhalten.5
3.3.4.1 Grundlegungen Bei den GDPdU handelt es sich ebenso wie bei den GoBS um eine Verwaltungsanweisung. Dabei sind die in den GDPdU enthaltenen Vorgaben wie folgt gegliedert: I.
Datenzugriff,
II.
Prüfbarkeit digitaler Unterlagen und
III. Archivierung digitaler Unterlagen. Zu I. Datenzugriff Nach § 147 Abs. 6 AO stehen dem Betriebsprüfer bei der steuerlichen Außenprüfung drei Möglichkeiten des Datenzugriffs zur Verfügung:6 (Z1) der unmittelbare Lesezugriff durch Verwendung der unternehmenseigenen Hardund Software sowie der notwendigen Stammdaten und Verknüpfungen,
1
Bundesgesetzblatt Teil I 2000. S. 1433, Artikel 7 und 8. Vgl. Schult, B.; Vedder, R. (2005), S. 274; vgl. Hartmann, V. (2005), S. 5. 3 Vgl. Rath, M. (2008), S. 131; vgl. auch Eckhardt, J. (2008), S. 103. 4 Vgl. hierzu auch §§ 146 Abs. 5, 147 Abs. 6 AO. 5 Vgl. Odenthal, R. (2007), S. 21. 6 Vgl. GDPdU I. 1.; vgl. Rath, M. (2008), S. 130; vgl. Lensdorf, L. (2008), S. 336. 2
136
(Z2) der mittelbare Zugriff über Auswertungen des Unternehmens nach Vorgaben des Prüfers und (Z3) die Datenüberlassung. Welche dieser drei Zugriffsarten der Betriebsprüfer nutzt, liegt in seinem Ermessen. Die Finanzbehörden haben auch die Möglichkeit die drei Zugriffsmöglichkeiten kumulativ in Anspruch zu nehmen, daher müssen sich die Unternehmen auf alle drei Zugriffsarten vorbereiten.1 Der unmittelbare Nur-Lesezugriff (Z1) umfasst das Lesen, Filtern und Sortieren der Daten, daher muss die Zugangsberechtigung des Prüfers so eingestellt sein, dass der Prüfer Zugriff auf alle steuerlich relevanten Daten und die vorhandenen Auswertungsprogramme der betroffenen Anwendungen hat.2 Diese Zugriffsmöglichkeit wird in der Praxis von Prüfern vorwiegend bei größeren Unternehmen in Anspruch genommen, da die bestehenden ERPSysteme von Großbetrieben und Konzernen oftmals komfortable Auswertungsmöglichkeiten zur Verfügung stellen.3 Beim mittelbaren Datenzugriff (Z2) hat der Steuerpflichtige die steuerrelevanten Daten nach den Vorgaben des Betriebsprüfers auszuwerten und ihm anschließend im Nur-Lesezugriff zur Verfügung zu stellen.4 Der Unterschied zum Z1-Zugriff liegt darin, dass die Arbeit des Sortierens und Filterns durch den Steuerpflichtigen übernommen wird. In diesem Fall nutzt die Finanzbehörde die Erfahrung des Steuerpflichtigen oder eines beauftragten Dritten im Umgang mit dem Anwendungssystem.5 Dabei können jedoch nur Auswertungen verlangt werden, die unter Verwendung der bestehenden Auswertungsmöglichkeiten des IT-Systems generiert werden können.6 Bei der Datenüberlassung (Z3) sind dem Prüfer neben den gespeicherten Unterlagen alle zur Auswertung erforderlichen Informationen wie Datenstrukturen, Datenfelder, Formatangaben, Felddefinitionen und Verknüpfungen auf einem maschinell verwertbaren Datenträger zur Verfügung zu stellen.7 Die Datentypen, Inhalte der Datenfelder und die Gliederung des Datenbestandes sind dem Prüfer zu beschreiben.8 Das Verdichten von Daten unter Verlust angeblich nicht steuerrelevanter Daten ist nicht zulässig. 9 Gegenüber den ersten beiden Zugriffsarten hat die Finanzverwaltung in diesem Fall die Möglichkeit, die überlassenen Daten mit eigenen Programmen auszuwerten. Jedoch lässt sich in der Praxis immer wieder feststellen, dass ein großer Teil der vorhandenen Tabellenverknüpfungen und des Beziehungswissens verloren geht. Diese Zugriffart wird überwiegend bei der Prüfung kleinerer und mittlerer Unternehmen genutzt. 1
Vgl. Lensdorf, L. (2008), S. 336; vgl. Schult, B.; Vedder, R. (2005), S. 277; vgl. van Acken, J. et al. (2002), S. 38; vgl. Hartmann, V. (2005), S. 16. Vgl. GDPdU I. 2. a). 3 Vgl. Schult, B.; Vedder, R. (2005), S. 279. 4 Vgl. Graebel, K,-D. (2008), S. 23. 5 Vgl. Kornprobst, F.; v. Ehrenstein, C.; Frosch-Wilke, D. (2003), S. 55. 6 Vgl. GDPdU I. 1. b). 7 Vgl. GDPdU I. 2. c). 8 Vgl. Kornprobst, F.; v. Ehrenstein, C.; Frosch-Wilke, D. (2003), S. 56. 9 Vgl. Hartmann, V. (2005), S. 18. 2
137
Zu II. Prüfbarkeit digitaler Unterlagen Im Abschnitt II der GDPdU werden die Anforderungen an die Prüfbarkeit digitaler Unterlagen spezifiziert. Dabei werden unter Ziffer 1 die Anforderungen an elektronische Abrechnungen im Sinne des § 14 Abs. 4 Satz 2 UStG konkretisiert und unter Ziffer 2 die Anforderungen an die Prüfbarkeit sonstiger aufbewahrungspflichtiger Unterlagen definiert. Daraus ergeben sich klare Vorgaben für die Archivierung aufbewahrungspflichtiger Unterlagen. So hat beispielsweise die Speicherung entweder auf einem Datenträger zu erfolgen, der Änderungen nicht mehr zulässt, oder es ist durch das IT-System sicherzustellen, dass Änderungen der Daten nicht möglich sind. Elektronische Rechnungen sind gemäß § 14b UStG vom Absender und vom Empfänger zu archivieren. Zur revisionssicheren Archivierung elektronischer Rechnungen mit qualifizierter Signatur gemäß § 15 Abs. 1 SigG sind die Dokumentation der Signaturprüfung, der Signaturprüfschlüssel, das qualifizierte Zertifikat und beim Einsatz von Kryptographietechniken ist der Kryptographieschlüssel und die verschlüsselte sowie die entschlüsselte Abrechnung aufzubewahren.1 Demzufolge sind bei Verwendung einer elektronischen Signatur auch sämtliche Dokumente, die in diesem Zusammenhang digital erzeugt wurden, elektronisch mit Bezug zur Rechnung zu archivieren. Der Bezug ist erforderlich, um bei einer späteren Recherche die Zuordnung zur jeweiligen Datei und die Prüfung der Signatur zu ermöglichen.2 Damit ergeben sich aus den notwendigen Voraussetzungen zur Prüfbarkeit digitaler Unterlagen die folgenden Anforderungen an die elektronische Archivierung:1 der Originalzustand muss erkennbar und überprüfbar sein es darf keine Änderungsmöglichkeit bestehen im Fall der Verwendung von Signaturprüfschlüsseln oder Kryptographietechniken im Rechtsverkehr sind die entsprechenden Schlüssel aufzubewahren bei Einsatz von Kryptographieverfahren sind sowohl die verschlüsselten als auch die entschlüsselten Dokumente zu archivieren bei Konvertierung der Datenformate sind ebenfalls beide Versionen aufzubewahren und gemeinsam mit Informationen zum Migrationvorgehen unter demselben Index zu verwalten der Dateneingang, die Konvertierung von Datenformaten, ggf. durchgeführte Signaturberechtigungsprüfungen, das Archivierungsvorgehen sowie weitere Verarbeitungen sind zu protokollieren und zu archivieren 1 2
Siehe GDPdU II. 1; siehe hierzu auch die Ausführungen zur elektronischen Rechnung in Abschnitt 3.2.2.2. Vgl. v. Bredow, F.; Kampffmeyer, U. (2001), S. 462; vgl. Hoppen, P. (2008), S. 676.
138
Zu III. Archivierung digitaler Unterlagen Abschnitt III der GDPdU umfasst Anforderungen an die Archivierung originär digitaler Unterlagen. Unterlagen gelten als originär digital, wenn sie elektronisch erstellt wurden und damit entweder im IT-System des Steuerpflichtigen erzeugt wurden oder in elektronischer Form in das IT-System eingegangen sind.2 So dürfen originär digitale Unterlagen nicht ausschließlich in ausgedruckter Form, auf Mikrofilm oder in maschinell nicht auswertbaren Formaten wie beispielsweise PDF-Dateien archiviert werden.3 Unterlagen, die in Papierform anfallen, können dagegen weiterhin mikroverfilmt oder in Aktenordnern aufbewahrt werden. Insbesondere das Recht des unmittelbaren Datenzugriffs ist die Ursache dafür, dass Altsysteme nicht mehr so einfach wie bisher abgeschaltet werden können. Steuerrelevante Daten sind im Originalzustand mit ihren Verknüpfungen über den gesamten Aufbewahrungszeitraum im Produktivsystem oder in einer Archivlösung mit Auswertungsmöglichkeiten, die quantitativ und qualitativ denen des Produktivsystems entsprechen, bereit zu halten.4 Da die GDPdU zum Teil einen großen Klärungsbedarf und Interpretationsspielraum aufweisen, hat das Bundesfinanzministerium ergänzend einen Katalog von "Fragen und Antworten zum Datenzugriff der Finanzverwaltung" entworfen und wiederholt aktualisiert.5 Auch wenn von dem Fragen- und Antwortenkatalog zum Datenzugriff der Finanzverwaltung keine Rechtsbindung ausgeht, stellt er für den Steuerpflichtigen eine Orientierungshilfe dar und dient dazu, die Sichtweise des BMF zu konkretisieren. Es sei jedoch darauf hingewiesen, dass es noch immer zahlreiche Diskussionspunkte gibt, die nicht abschließend geklärt wurden. Während beispielsweise die GDPdU ganz klar festlegt, dass sich der sachliche Umfang der Außenprüfung durch die Regelungen zum Datenzugriff nicht erweitert, erklärt der Fragenund Antwortenkatalog, dass auch freiwillig geführte Aufzeichnungen der Verpflichtung zum Datenzugriff unterliegen.6 Aufgrund dieses Widerspruchs legte sowohl das Finanzgericht Hamburg in seinem Urteil7 vom 13.11.2006 als auch das Finanzgericht Münster in seinem Urteil8 vom 16.05.2008 fest, dass sich der Umfang der Außenprüfung nicht verändert hat und damit der Umfang der Herausgabepflichten digitaler Aufzeichnungen den gesetzlichen Aufzeichnungspflichten entspricht. Ein weiterer Widerspruch beider BMF-Schreiben ist darin zu sehen, dass die GDPdU die Verpflichtung zur Archivierung in auswertbarer Form auf
1
Siehe GDPdU II. 1; vgl. Lensdorf, L. (2008), S. 337; vgl. van Acken, J. et al. (2002), S. 41; vgl. Hagenkötter, A.; Mülot, D.-M. (2002), S. 36 ff. Vgl. Lensdorf, L. (2008), S. 337; vgl. Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S.1215; siehe hierzu auch die Erläuterungen in Abschnitt 3.3.4.3. 3 Vgl. GDPdU III. 1. 4 Auf die entsprechenden organisatorischen und technischen Konsequenzen wird in Teil 5 genauer eingegangen. 5 Zuletzt wurde der Fragen- und Antwortenkatalog am 23.1.2008 aktualisiert. 6 Vgl. GDPdU I; vgl. BMF (2008), Abschnitt I; Nr. 9, S. 4. 7 Aktenzeichen 2 K 198/05. 8 Aktenzeichen 6 K 879/07. 2
139
strukturiert vorliegende und zur Weiterverarbeitung im IT-System geeignete Daten beschränkt und daher unstrukturierte Daten wie Textdokumente davon ganz klar ausschließt. Der Fragenund Antwortenkatalog hingegen formuliert, dass alle Daten des Rechnungswesens, die einmal beim Steuerpflichtigen auf einem maschinell auswertbaren Datenträger gespeichert wurden, auch in auswertbarer Form vorzuhalten sind. Verwendete Begrifflichkeiten, die von zentraler Bedeutung für die Umsetzung der Archivierungslösung sind und weiterhin Anlass zu Missverständnissen geben, sollen in den folgenden Abschnitten kurz erläutert werden. Einer der wesentlichen Streitpunkte bei Diskussionen um eine GDPdU-konforme Archivierung ist die Einordnung der bestehenden Unternehmensdaten und Dokumente als „steuerlich relevante Daten“1 sowie als „originär digitale Unterlagen“2. Die geforderte "maschinelle Auswertbarkeit der Daten"3 sowie der Umgang mit nicht maschinell auswertbaren Daten geben ebenfalls immer wieder Anlass zu Auseinandersetzungen.
3.3.4.2 Zur steuerlichen Relevanz Das große Problem bei der Ermittlung der steuerrelevanten Daten liegt darin, dass es keine allgemein gültige Definition dieses Terminus und damit auch keine abschließende und alles umfassende Liste steuerlich relevanter Daten geben kann.4 Die steuerliche Relevanz der Daten ist im Einzelfall durch das steuerpflichtige Unternehmen abhängig von seiner Geschäftstätigkeit zu beurteilen.5 Allgemein gilt jedoch, dass Daten immer dann steuerlich relevant sind, wenn sie für die Besteuerung des Steuerpflichtigen von Bedeutung sind.6 Diese Formulierung lässt den Unternehmen Interpretationsmöglichkeiten. Zu den steuerrelevanten Daten zählen damit in erster Linie die Daten der Finanzbuchhaltung, der Anlagenbuchhaltung sowie der Lohnbuchhaltung. Steuerrelevante Daten finden sich jedoch beispielsweise auch in der Kosten- und Leistungsrechnung, der Auftrags- und Bestellabwicklung sowie der Material- und Warenwirtschaft. Die steuerliche Relevanz der Daten in den aufgeführten Anwendungen ist auf die zunehmende Integration und Verknüpfung der Anwendungssysteme mit dem Buchführungssystem einer IT-Landschaft zurückzuführen. Dabei sind vom Steuerpflichtigen alle Informationen vorzuhalten, die für die steuerliche Veranlagung des Unternehmens im Sinne von Entstehung, Entfallen oder Minderung der Steuerlast notwendig sind. Vom Zugriffsrecht der Finanzbehörden ausgenommen sind hingegen beispielsweise Personalakten oder Unterlagen aus dem Bereich Forschung und Entwicklung ebenso wie interne betriebswirtschaftliche Kalkulationen, Managementerfolgsrechnungen oder Planungsrechnungen einschließlich der
1
GDPdU I. 1. GDPdU III. 1. 3 GDPdU I. 3. a). 4 Vgl. Dauen, S. (2007), S. 28; vgl. Hartmann, V. (2005), S. 23. 5 Siehe zur Identifizierung archivierungspflichtiger Daten auch Abschnitt 3.3.7.1. 6 Vgl. BMF (2008), Abschnitt I, Nr. 6, S. 3. 2
140
Steuerplanungen.1 Zusammenfassend kann gesagt werden, dass Daten, die Tatsachen wiedergeben, welche mit steuerlichen Folgen für das Unternehmen verbunden sind, steuerlich relevant sind.2 Wohingegen Daten, die eine steuerliche Wertung von Tatsachen wiedergeben, nicht steuerlich relevant sind.
3.3.4.3 Zur originären Digitalität Originär digitale Daten sind in einem IT-System durch Verarbeitungsschritte entstanden.3 Dabei können die Daten in einem Anwendungssystem des Steuerpflichtigen erzeugt bzw. manuell erfasst worden oder in elektronischer Form eingegangen sein.4 So sind beispielsweise auch eingescannte Dokumente nach einem BFH-Beschluss vom 26. September 2007 als originär digital anzusehen.5 Während § 257 Abs. 3 Nr. 1 HGB für bestimmte aufbewahrungspflichtige Dokumente nur die bildliche und inhaltliche Übereinstimmung mit dem Original fordert, sind nach § 147 Abs. 6 AO steuerrelevante Unterlagen im Originalformat mit allen Verknüpfungen elektronisch zu speichern, wenn sie elektronisch erstellt wurden. Die Daten sind dabei im Originalzustand und mit ihren Originalverknüpfungen aufzubewahren, um die geforderte maschinelle Auswertbarkeit zu ermöglichen. Damit ist eine Verdichtung steuerrelevanter Daten, wie sie bisher gewöhnlich bei Systemwechseln und Datenmigrationen erfolgte, nicht mehr zulässig.6
3.3.4.4 Zur maschinellen Auswertbarkeit Nach § 147 Abs. 2 Nr. 2 AO sind steuerrelevante Daten, die zugleich originär digital sind, in maschinell auswertbarer Form aufzubewahren.7 Genau diese Forderung der Abgabenordnung wird in der Literatur viel diskutiert, da sie die revisionssichere Archivierung elektronischer Dokumente deutlich erschwert. Nach dem Fragen- und Antwortenkatalog des BMF versteht die Finanzverwaltung unter dem Begriff maschinelle Auswertbarkeit den „wahlfreien Zugriff auf alle gespeicherten Daten einschließlich Stammdaten und Verknüpfungen mit Sortier- und Filterfunktionen [...].“8 Die aufbewahrungspflichtigen Unterlagen müssen somit maschinell lesbar, filterbar bzw. selektierbar und sortierbar sein.9 Maschinell auswertbar sind alle Daten, die als Datensatz vorliegen.10 Entsprechende Datensätze verkörpern dabei eine steuerrelevante
1
Vgl. Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S. 1214. Vgl. hierzu und im Folgenden Schult, B.; Vedder, R. (2005), S. 284. Vgl. Groß, S.; Kampffmeyer, U.; Matheis, P. (2004), S. 1084. Die Abgabenordnung formuliert „mit Hilfe eines Datenverarbeitungssystems erstellt“. Siehe hierzu § 147 Abs. 6 AO. 4 Vgl. GDPdU III. 1. 5 Diese Ansicht wird auch im Fragen- und Antwortenkatalog vertreten. Vgl. BMF (2008), Abschnitt I, Nr. 8, S. 4. 6 Vgl. Schult, B.; Vedder, R. (2005), S. 275. 7 Siehe zur Art der Archivierung genauer Abschnitt 3.3.5.1. 8 BMF (2008), Abschnitt I, Nr. 10, S. 4. 9 Vgl. van Acken, J. et al. (2002), S. 39. 10 Vgl. Groß, S.; Kampffmeyer, U.; Matheis, P. (2004), S. 1084. 2 3
141
Transaktion und setzen sich aus steuerrelevanten Informationen zusammen.1 Jeder Datensatz beinhaltet neben identifizierenden Attributen auch Stammdaten wie Konto und Steuersatz sowie Werte wie Betrag, Währung und Datum. Die Vollständigkeit und die Verknüpfung dieser Attribute stellt die Auswertbarkeit der Datensätze im Zusammenhang sicher. Die sachlogische Auswertbarkeit der Daten wird dabei durch Aufbewahrung der Stamm- und Bewegungsdaten in der Verbindung mit der Verknüpfung der Stamm- zu den Bewegungsdaten erreicht. Um steuerrelevante Daten für die Betriebsprüfung maschinell auswertbar vorzuhalten, müssen sie somit in ihrem ursprünglichen Zustand mit allen Verknüpfungen für Sortier- und Filterfunktionen und in entsprechend auswertbaren Formaten aufbewahrt werden.2 Daher wird in den GDPdU ganz klar eine ausschließliche Aufbewahrung in grafischen und damit nicht maschinell auswertbaren Formaten wie beispielsweise TIFF-, BMP-, JPG- oder PDF-Dateien ausgeschlossen.3
3.3.4.5 Zum Umgang mit nicht maschinell auswertbaren Belegen Über die maschinell auswertbaren Datensätze hinaus existieren in der Regel originär digitale Unterlagen, die schwach oder gar nicht strukturiert in einem Anwendungssystem vorliegen und als steuerlich relevant einzustufen sind.4 Es handelt sich dabei um Dokumente, die nicht zur Weiterverarbeitung in Buchführungssystemen geeignet sind.5 Hierzu zählen beispielsweise bestimmte E-Mails, Textdokumente oder eingescannte Dokumente. Diese Belege sind so zu archivieren, dass eine Veränderung nicht möglich ist, die Beziehung zwischen Beleg und zugehörigem Datensatz nicht aufgelöst oder verändert werden kann und der Bestand der Belege gegen Verlust geschützt ist. Es ist zudem sicherzustellen, dass diese Dokumente während der vorgeschriebenen Aufbewahrungszeiträume über die Attribute eines Index recherchiert und zur Anzeige gebracht werden können. Nach den GDPdU mit Verweis auf die GoBS ist dieses Vorgehen in einer Verfahrensdokumentation nachvollziehbar zu beschreiben.
3.3.5 Art und Ort der Aufbewahrung Das Handelsgesetz und die Abgabenordnung legen fest, wie die Aufbewahrung digitaler Unterlagen zu erfolgen hat. Der Verbleib der Daten und Dokumente ist in der Abgabenordnung geregelt und die GoB sowie die GoBS geben die Beschaffenheit des Aufbewahrungsortes vor.
1
Vgl. hierzu und im Folgenden Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S. 1215; vgl. Groß, S.; Kampffmeyer, U.; Matheis, P. (2004), S. 1084. 2 Vgl. Schult, B.; Vedder, R. (2005), S. 276. 3 Siehe GDPdU, III. 1; vgl. Hartmann, V. (2005), S. 23. Siehe hierzu genauer Abschnitt 5.1.2.1. 4 Vgl. Groß, S.; Kampffmeyer, U.; Matheis, P. (2004), S. 1084 f. 5 Vgl. van Acken, J. et al. (2002), S. 39; vgl. Hagenkötter, A.; Mülot, D.-M. (2002), S. 32. 142
3.3.5.1 Art der Archivierung Die Anforderungen an die Art und Weise der elektronischen Archivierung werden ebenso wie bei den herkömmlichen Papierarchiven allgemeingültig aus dem Handelgesetzbuch und der Abgabenordnung abgeleitet. Nach § 239 HGB müssen die steuerrelevanten Aufzeichnungen vollständig, richtig, zeitgerecht und geordnet vorliegen, unveränderbar aufbewahrt werden und innerhalb der Aufbewahrungsfrist jederzeit verfügbar sein und lesbar gemacht werden können. Die handels- und steuerrechtlichen Forderungen zur Archivierungsart sind größtenteils identisch. Bezüglich der Art der Archivierung treffen § 257 HGB bzw. § 147 AO die folgenden Festlegungen: Die Archivierung hat geordnet zu erfolgen. (§ 257 Abs. 1 HGB bzw. § 147 Abs. 1 AO) Eine Speicherung auf einem Bildträger oder auf anderen Datenträgern (mit Ausnahme der Eröffnungsbilanzen und Abschlüsse) ist zulässig, wenn bestimmte Voraussetzungen erfüllt werden. (§ 257 Abs. 3 HGB bzw. § 147 Abs. 2 AO) Die geordnete Archivierung erfordert nach § 238 Abs. 1 HGB, dass sich die Geschäftsvorfälle in ihrer Entstehung und Abwicklung verfolgen lassen und dass einem sachverständigen Dritten innerhalb angemessener Zeit ein Überblick über die Geschäftsvorfälle und die Unternehmenssituation vermittelt werden kann.1 Folglich können die zu archivierenden Unterlagen mit Ausnahme der Eröffnungsbilanzen, der Abschlüsse und der im Steuerrecht zusätzlich unter § 147 Abs. 1 Nr. 4a AO aufgeführten Unterlagen auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht und sichergestellt ist, dass die Wiedergabe oder die Daten
1
1.
laut § 257 Abs. 3 Nr. 1 HGB (bzw. laut § 147 Abs. 2 Nr. 1 AO) mit den empfangenen Handels- (oder Geschäfts-)briefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich bei der Lesbarmachung übereinstimmen und
2.
nach § 257 Abs. 3 Nr. 2 HGB (bzw. nach § 147 Abs. 2 Nr. 2 AO) während der Dauer der Aufbewahrungsfrist (jederzeit) verfügbar sind und jederzeit innerhalb angemessener Frist (bzw. unverzüglich) lesbar gemacht (und maschinell ausgewertet) werden können.
Vgl. Lensdorf, L. (2008), S. 333. 143
Es wird deutlich, dass die steuerrechtlichen über die handelsrechtlichen Pflichten hinausgehen: Während das Handelsrecht eine Lesbarmachung in angemessener Frist fordert, verpflichtet das Steuerrecht zu einer unverzüglichen Lesbarmachung. Zudem fordert das Steuerrecht die Sicherstellung der maschinellen Auswertbarkeit originär digitaler Daten. Seit 2002 ist es demnach nicht mehr zulässig, Unterlagen, die digital erzeugt wurden, lediglich in Papierform aufzubewahren, und damit hat sich die Art der Archivierung steuerrelevanter Unterlagen verschärft.1 Zusammenfassend lässt sich sagen, dass nach §§ 239 Abs. 4, 257 Abs. 3 HGB bzw. § 147 AO Handels- bzw. Geschäftsbriefe auf Datenträgern gespeichert werden können, wenn dabei die GoB und die GoBS eingehalten werden. Zusätzlich muss die Revisionssicherheit der Unterlagen gewährleistet sein, indem den GDPdU entsprochen wird. Das bedeutet, dass die Daten mit den Originalen übereinstimmen müssen, innerhalb der vorgeschriebenen Aufbewahrungsfristen verfügbar sind und in angemessener Zeit in auswertbarer Form zur Verfügung gestellt werden können. Die Forderung, dass die Wiedergabe der Buchungsbelege sowie empfangener Handels- und Geschäftsbriefe mit dem Original bildlich übereinstimmen muss, dient im Wesentlichen der Erfüllung der Beweisfunktion.2 Die GDPdU legen ferner fest, dass empfangene Daten in ihrer ursprünglichen Form und bei einer Konvertierung in ein unternehmenseigenes Format auch in der konvertierten Form zu archivieren sind. Sind in den aufbewahrungspflichtigen Daten und Unterlagen personenbezogene Daten enthalten, so sind bei der Archivierung die entsprechenden datenschutzrechtlichen Bestimmungen und insbesondere die darin vorgesehenen Rechte zur Berichtigung, Sperrung und Löschung dieser Daten zu beachten.
3.3.5.2 Ort der Aufbewahrung Das HGB schreibt keinen bestimmten Aufbewahrungsort vor.3 Eine Prüfung muss jederzeit möglich sein und daher ist die Zugriffmöglichkeit dementsprechend zu organisieren. Gemäß § 146 Abs. 2 Satz 1 AO sind die Bücher und sonstige rechnungslegungsrelevante Aufzeichnungen im Geltungsbereich der Abgabenordnung aufzubewahren. Unternehmen können sich jedoch im Rahmen der Buchführungs- und Aufbewahrungserleichterung unter bestimmten Voraussetzungen die Archivierung im Ausland durch die Finanzverwaltung genehmigen lassen. 4 Die archivierten Daten und Dokumente müssen somit entweder im Inland verbleiben oder der physische Zugriff muss in vergleichbarer Weise ermöglicht werden, um die Belegfunktion erfüllen zu können.
1
Vgl. Pletschacher, S. (2002), S. 411. Vgl. Groß, S.; Lamm, M. (2008), S. 331. 3 Vgl. van Acken, J. et al. (2002), S. 46. 4 Vgl. Odenthal, R. (2007), S. 76. 2
144
Die Datenträger sind so zu lagern, dass die Daten weder verfälscht oder vernichtet noch entwendet werden können.1 Um eine sichere Archivierung nach den GoB sowie den GoBS zu garantieren, muss für die Beschaffenheit des Aufbewahrungsortes gewährleistet werden, dass günstige physikalische Lagerbedingungen herrschen und die für den Datenträger geltenden Grenzwerte2 in Hinblick auf Raumtemperatur und Luftfeuchtigkeit eingehalten werden, für den Archivierungsort kein erhöhtes Risiko besteht und die Archivmedien zudem so gut wie möglich gegen Einwirkung von schädigenden Einflüssen wie z. B. Feuer, Wasser, aggressiven Gasen und auch Staub geschützt sind, die Datenträger sich unter Verschluss befinden, nur Berechtigte Zugriff auf das Archiv haben und die Einlagerung, Entnahme und Verwendung von Archivmedien sowie die Überlassung von Datenträgern protokolliert wird und eine Rücklaufkontrolle für entnommene Datenträger des Archivs existiert.3 Um die archivierten Daten zusätzlich gegen einen möglichen Datenverlust durch Diebstahl, Brand oder vorsätzliche Angriffe zu schützen, empfiehlt es sich, die Datensicherung z. B. durch Dopplung und getrennte Lagerung der Datenträger zu intensivieren.4 Bei der Aufbewahrung von Kopien handelt es sich jedoch um keine zwingende Forderung zur Erfüllung der Aufbewahrungspflichten.
3.3.6 Aufbewahrungsfristen Die Aufbewahrungsfrist für empfangene Handelsbriefe (§ 257 Abs. 1 Nr. 2 HGB) und Wiedergaben abgesandter Handelsbriefe (§ 257 Abs. 1 Nr. 3 HGB) beträgt nach § 257 Abs. 4 HGB sechs Jahre. Alle Handelsbücher, Inventaraufzeichnungen, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse nach § 325 Abs. 2a HGB, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen (§ 257 Abs. 1 Nr. 1 HGB) sind ebenso wie alle Buchungsbelege (§ 257 Abs. 1 Nr. 4 HGB) nach § 257 Abs. 4 HGB und alle Rechnungen nach § 14b Abs. 1 UStG zehn Jahre aufzubewahren. Gemäß § 257 Abs. 5 HGB beginnt die Aufbewahrungsfrist mit dem Schluss des jeweiligen Kalenderjahrs und kann damit bis zu sieben bzw. elf Jahren betragen.
1
Vgl. Hagenkötter, A.; Mülot, D.-M. (2002), S. 48. Richtlinien für die Lagerung von Datenträgern werden in den Europäischen Normen DIN EN 1047-1 und EN 1047-2 gegeben. 3 Vgl. Lensdorf, L. (2008), S. 334; Hoppen, P. (2008), S. 677 f; vgl. Dauen, S. (2007), S. 23; vgl. van Acken, J. et al. (2002), S. 36. 4 Vgl. Hoppen. P. (2008), S. 678; vgl. BSI (2008), IT-Grundschutzkataloge, Baustein B 1.4 zur Datensicherung und Merkblatt M 6.20 zur geeigneten Aufbewahrung der Backup Datenträger. 2
145
Entsprechende Aufbewahrungsfristen wurden für empfangene und die Wiedergaben abgesandter Handels- und Geschäftsbriefe (§ 147 Abs. 1 Nr. 2, 3 AO) in § 147 Abs. 3, 4 AO festgelegt, um dem Umstand Rechnung zu tragen, dass nicht alle Berufsgruppen den Bestimmungen des HGB unterliegen. Die Verfahrendokumentation zur IT-gestützten Buchführung gehört nach den GoBS zu den Arbeitsanweisungen und Organisationsunterlagen im Sinne des § 257 Abs. 1 HGB und § 147 Abs. 1 AO und ist zehn Jahre aufzubewahren. Dem folgend sind neben den aktuellen Dokumentationen steuerrelevante Daten verarbeitender Anwendungssysteme auch die Beschreibungen früherer IT-gestützter Prozesse und Systeme sowie entsprechende Veränderungsnachweise zu archivieren. In Abhängigkeit vom zurückliegenden Prüfungszeitraum lässt sich der Umfang notwendiger Dokumentationen bestimmen. Die Aufbewahrungsfrist beginnt mit dem Schluss des Kalenderjahres, in dem buchhaltungsrelevante Daten nach dem entsprechenden Verfahren entstanden sind bzw. erfasst, bearbeitet oder archiviert wurden. Dabei wird deutlich, dass die Festlegung der Aufbewahrungsfrist von der inhaltlichen Interpretation der aufzubewahrenden Daten und ihrer Funktion im Rechnungslegungsprozess sowie im Rechtsverkehr abhängt.1 Ist eine Zuordnung der digitalen Unterlagen zu den vorgeschriebenen Aufbewahrungsfristen nicht möglich, sollte von der längsten Frist ausgegangen werden.2 Folgende Übersicht stellt zusammenfassend die archivierungspflichtigen Unterlagen aus handels- und steuerrechtlicher Sicht gegenüber und ordnet die jeweils vorgeschriebenen Aufbewahrungsfristen und -formen zu.
1 2
Vgl. Odenthal, R. (2007), S. 66. Vgl. Eckhardt, J. (2008), S. 104.
146
Archivierungspflichtige Unterlagen nach Handelsrecht
Steuerrecht
Frist in Jahren
Aufbewahrungsform
Eröffnungsbilanzen
Eröffnungsbilanzen
10
Jahresabschlüsse
Jahresabschlüsse
10
Original (in Urschrift)
10
Original (in Urschrift)
10
inhaltliche Wiedergabe
Konzernabschlüsse und Einzelabschlüsse Handelsbücher
Geschäftsbücher und Aufzeichnungen
Original (in Urschrift)
Inventare
Inventare
10
inhaltliche Wiedergabe
Lageberichte und Konzernlageberichte
Lageberichte
10
inhaltliche Wiedergabe
Erforderliche Arbeitsanweisungen
Erforderliche Arbeitsanweisungen
10
inhaltliche Wiedergabe
Sonstige Organisationsunterlagen
Sonstige Organisationsunterlagen
10
inhaltliche Wiedergabe
Empfangene Handelsbriefe
Empfangene Geschäftsbriefe
6
Originalgetreue bildliche Wiedergabe, wenn sie ursprünglich als Bild existiert haben (bei elektronisch erzeugten Dokumenten im Originalformat) ggf. mit Signatur- und/oder Kryptographieschlüssel
Abgesandte Handelsbriefe
Abgesandte Geschäftsbriefe
6
inhaltliche Wiedergabe
Buchungsbelege
Buchungsbelege
10
Originalgetreue bildliche Wiedergabe, wenn sie ursprünglich als Bild existiert haben (bei elektronischer erzeugten Dokumenten im Originalformat) ggf. mit Signatur- und/oder Kryptographieschlüssel
Sonstige Unterlagen, soweit für die Besteuerung von Bedeutung
6
inhaltliche Wiedergabe
-
Tabelle 13: Aufbewahrungsfristen und -formen archivierungspflichtiger Unterlagen nach Handels- und Steuerrecht Quelle: eigene Darstellung1
3.3.7 Spezielle Herausforderungen der Archivierung Die Identifizierung archivierungspflichtiger Daten und der Umgang mit archivierungspflichtigen E-Mails zählen zu den bedeutendsten Herausforderungen bei der Umsetzung einer gesetzeskonformen elektronischen Archivierung. Beide Problemstellungen sollen in den folgenden Abschnitten genauer beleuchtet werden.
1
Siehe hierzu die Ausführungen in Abschnitt 3.3.5.1. Vgl. hierzu auch van Acken, J. et al. (2002), S. 18 und S. 45; vgl. Dauen, S. (2007), S. 17 und S. 25. 147
3.3.7.1 Identifizierung und Trennung der Datenbestände Der Steuerpflichtige hat nach § 200 Abs. 1 AO die Aufgabe, die rechnungslegungsrelevanten Unterlagen zu qualifizieren und dem Prüfer im Rahmen einer Außenprüfung vorzulegen. Viele Unternehmen fürchten nicht revidierbare Folgen einer unzureichenden Qualifizierung archivierungspflichtiger Unterlagen.1 Für zahlreiche Unternehmen gilt es als problematisch, steuerlich relevante Daten zu identifizieren und den elektronischen Zugriff auf dieses Suchfeld zu begrenzen.2 Fehler bei der Identifizierung der Daten lassen sich im Fall einer Systemabschaltung rückwirkend nicht mehr korrigieren. Theoretisch wurden durch die Gesetzesänderung und die neu geschaffenen Zugriffsrechte weder der Prüfungsgegenstand noch der Umfang der prüfungsrelevanten Daten verändert.3 Dennoch haben sich in der Praxis sowohl die Prüfungsinhalte als auch die Prüfungstiefe erweitert, da dem Prüfer durch die Datenzugriffsrechte und die Möglichkeit des Filtern und Sortierens faktisch umfangreichere Prüfungs- und Auswertungsmöglichkeiten zur Verfügung stehen als bei den bisherigen Stichprobenmethoden. Durch diese neuen technischen Analysemöglichkeiten von Massendaten sind Daten vorgeschalteter Anwendungssysteme beispielsweise zur Zeiterfassung oder Reisekostenabrechnung von größerem Interesse für den Prüfer als bisher. Trotz veränderter Zugriffsart und damit verbundenen Aufbewahrungsvorschriften bleibt jedoch die Qualifizierung steuerrelevanter Datenbestände im Grunde bestehen, sodass sich unabhängig von der IT-Verarbeitung die Bestimmung der aufbewahrungspflichtigen Dokumente in erster Linie unverändert aus § 257 Abs. 1 HGB sowie § 147 Abs. 1 AO herleiten lässt.4 Die verschiedenen Rechtsvorschriften fordern unterschiedliche Aufbewahrungsfristen, die in der Regel bei sechs, zehn oder sogar dreißig Jahren liegen.5 Die steuerrelevanten Dokumente sind bei der Ablage periodengerecht dem jeweiligen Geschäftsverkehr zuzuordnen, um dem Betriebsprüfer den unmittelbaren Zugriff auf die Informationen im ERP- oder Buchhaltungsbzw. Archivsystem zu ermöglichen. 6 Aus Unternehmenssicht ist es sinnvoll, zwischen steuerrelevanten, anderen archivierungspflichtigen oder archivierungswürdigen und den übrigen Daten zu unterscheiden. Die Zuordnung sollte auch mittels des Anwendungs- bzw. Archivsystems nachvollzogen werden können. Das zukünftige Anwendungs- sowie gegebenenfalls das Archivsystem sollte neben der Differenzierung zwischen steuerlich relevanten und den sonstigen Daten sowie der Trennung nach Jahren und Steuerarten eine differenzierte Zugriffs-
1
Vgl. Odenthal, R. (2007), S. 64. Vgl. Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S. 1214; vgl. Höreth, U.; Schiegl, B. (2001), S. 2510. Vgl. GDPdU, I; vgl. Schult, B.; Vedder, R. (2005), S. 274; vgl. Hagenkötter, A.; Mülot, D.-M. (2002), S. 20; vgl. Hartmann, V. (2005), S. 5. 4 Siehe hierzu Abschnitt 3.3.1. 5 Eine detailierte Übersicht der handels- und steuerrechtlichen Aufbewahrungsfristen liefert Tabelle 13. Schadensersatzansprüche bei deliktischen Produkthaftungsfällen haben zum Teil eine Verjährungsfrist von 30 Jahren. Siehe hierzu die Ausführungen zur Produkthaftung in Abschnitt 3.4. 6 Vgl. Rath, M. (2008), S. 131. 2 3
148
verwaltung erlauben.1 Das Zugriffsrecht des Prüfers ist im Rahmen der digitalen Betriebsprüfung auf steuerlich relevante Daten beschränkt.2 Daher sollte das Berechtigungskonzept im Fall eines Z1-Zugriffs vorsehen, dass das Berechtigungsprofil des Prüfers lediglich mit einer Leseberechtigung ausgestattet ist und dass die Zugriffsmöglichkeit auf den relevanten Datenbestand gemäß Prüfungsanordnung3 reduziert wird.4 Diese Maßnahmen sind zweckmäßig, da für den Prüfer kein Verwertungsverbot für zusätzlich zugänglich gemachte Daten besteht und die Finanzverwaltung auch keine Haftung für unbeabsichtigt gelöschte Daten übernimmt.5 Der relevante Datenbestand wird dabei begrenzt durch den Prüfungszeitraum, die sachliche Abgrenzung des Prüfungsgegenstands auf steuerrelevante Daten und die fachliche Abgrenzung, je nach Prüfungsanlass in Abhängigkeit davon, ob es sich um eine Außenprüfung, eine Umsatzsteuersonderprüfung oder eine Lohnsteueraußenprüfung handelt. Unternehmensinterne, sensible Daten, wie beispielsweise Aufsichtsrats- und Vorstandsprotokolle ohne steuerliche Relevanz oder Personaldaten, die dem Datenschutz unterliegen, sind vom Zugriffsrecht der Finanzverwaltung ausgeschlossen und sollten demzufolge IT-technisch auch gegen den Zugriff geschützt werden. Während es sich bei der Identifizierung steuerrelevanter Unterlagen in Papierform in den meisten Unternehmen um einen Standardprozess handelt, führen die veränderten Gegebenheiten der digitalen Betriebsprüfung bei der Identifizierung des steuerlich relevanten Datenbestandes oftmals zu Unsicherheiten, weil geeignete Ordnungskriterien fehlen.6 Da beispielsweise der Begriff des Handels- bzw. Geschäftsbriefes sehr weit gefasst ist, stufen viele Unternehmen zur Vereinfachung die gesamte Geschäftskorrespondenz als aufbewahrungspflichtig ein.7 In größeren Unternehmen wirkt die Anzahl der IT-Anwendungen, die steuerrelevante Informationen generieren oder verarbeiten geradezu unüberschaubar. Die Identifizierung steuerrelevanter Daten und Unterlagen sollte idealerweise bereits im Tagesgeschäft erfolgen.8 Von den Anforderungen zur elektronischen Archivierung sind verschiedene Anwendungen betroffen. So werden im Wesentlichen in den Anwendungssystemen für die Finanzbuchhaltung, Anlagenbuchhaltung, Lohnbuchhaltung, Faktura, Reisekostenabrechnung oder Zeiterfassung steuerlich relevante Daten erzeugt. Zusätzlich enthalten jedoch auch Anwendungen
1
Vgl. Rath, M. (2008), S. 133. Vgl. Pletschacher, S. (2002), S. 411.; vgl. Groß, S. (2002), S. 34. Nach § 196 AO ist jeder Steuerpflichtige vor Beginn einer Prüfung über den genauen Umfang der Außenprüfung durch eine schriftlich zu erteilende Prüfungsanordnung mit Rechtsbehelfsbelehrung zu informieren. 4 Siehe hierzu die Ausführungen zur IT-Sicherheit im Abschnitt 3.2.2.2. 5 Vgl. Schult, B.; Vedder, R. (2005), S. 278 f.; vgl. Dauen, S. (2007), S. 29; vgl. Hartmann, V. (2005), S. 23. Ausgenommen von dieser Regelung sind Berufsgeheimnisträger. Daten von Berufsgeheimnisträgern nach § 102 AO wie z.B. Anwälten oder Steuerberatern unterliegen einem allgemeinen Verwertungsverbot. Vgl. Hagenkötter, A.; Mülot, D.-M. (2002), S. 21. 6 Vgl. Groß, S.; Kampffmeyer, U.; Matheis, P. (2004), S. 1086. 7 Vgl. Speichert, H. (2007), S. 292. 8 Vgl. Kornprobst, F.; v. Ehrenstein, C.; Frosch-Wilke, D. (2003), S. 54. 2 3
149
der Warenwirtschaft, Materialwirtschaft, sowie der Kosten- und Leistungsrechnung steuerrelevante Daten.1 Liegen alle diese Anwendungen integriert in einem ERP-System vor, ist dieses eindeutig als Hauptsystem steuerrelevanter Datenbestände zu betrachten. Des Weiteren können auch E-Mail-Systeme oder Office-Anwendungen zur Textverarbeitung oder Tabellenkalkulation sowie Datenbanksysteme steuerlich relevante Daten enthalten.2 Es wird unterschieden zwischen dem Hauptsystem, den Nebensystemen und vorgelagerten Systemen. Unter dem Hauptsystem wird das Anwendungssystem verstanden, in dem der überwiegende Teil steuerrelevanter Daten eines Unternehmens erzeugt, verarbeitet und gespeichert wird.3 Es handelt sich dabei in der Regel um das kaufmännische Anwendungssystem der Finanzbuchhaltung, Lohnabrechnung und Anlagenbuchhaltung. Als Nebensysteme werden Anwendungssysteme bezeichnet, in denen Daten entstehen, verarbeitet oder gespeichert werden, die nicht oder nur in verdichteter Form in das Hauptsystem übertragen werden. Anwendungen der Waren- und Materialwirtschaft, der Zeiterfassung oder Reisekostenabrechnung sowie E-Business-Lösungen sind dieser Kategorie zuzurechnen. In vielen Unternehmen liegen verschiedene, hier als Haupt- und Nebensysteme klassifizierte Bestandteile der IT-Landschaft als integrierte Komponenten in einer ERP-Anwendung vor. In vorgelagerten Systemen werden Daten erfasst und verarbeitet und anschließend in das Haupt- bzw. ERP-System übertragen. Anwendungen, die eingehende Papierdokumente scannen und klassifizieren, sowie Kassensysteme oder Zahlungsverkehrsysteme zählen z. B. zu den vorgelagerten Systemen.4 Die folgende Abbildung stellt die Anwendungslandschaft aus einer steuerlichen Betrachtungsweise dar. Dabei wird die Datenübertragung steuerrelevanter Daten aus den Vor-, Neben- und Hauptsystemen in ein Archivsystem skizziert.
1
Als Beispiel lässt sich die Adidas AG anführen. Hier liegen steuerrelevante Daten in den folgenden Individualanwendungen vor: Adi Race – Buchhaltungssystem; Confirm – Fakturasystem; DMU Moser – Zollabwicklungssystem; EVA – System zur Exportpapiererstellung; IB und adi ciss – Materialwirtschaftssystem; Marlis und MSO – Materialstammdatensysteme; RBO – Kassensysteme für adidas Stores; SAX – Überwiesungssystem; Scan View – optisches Belegarchiv; Treasury System – System für die Bewertung von Finanzanlagen. Vgl. Adidas (2006), S. 4. 2 Vgl. Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S. 1214; vgl. Hoppen, P. (2008), S. 675. 3 Vgl. hierzu und im Folgenden Groß, S.; Kampffmeyer, U.; Matheis, P. (2004), S. 1085. 4 Die Abgrenzung zwischen Vor- und Nebensystemen ist in der Literatur nicht immer eindeutig. So wird z. B. das Zeiterfassungssystem teilweise zu den Vor- und teilweise zu den Nebensystemen gezählt. Vgl. z.B. Hoppen, P. (2008), S. 676; vgl. dagegen Kampffmeyer, U. (2003), S. 14 f. 150
Abbildung 18: Anwendungslandschaft aus der Sicht steuerrelevanter Daten Quelle: eigene Darstellung in Anlehnung an Kampffmeyer, U. (2003), S. 14.
Zur Bestimmung steuerrelevanter Archivierungsobjekte lassen sich zwei Vorgehensweisen unterscheiden: das systemorientierte Identifizierungsverfahren (progressive Vorgehensweise) und das prozessorientierte Identifizierungsverfahren (retrograde Vorgehensweise).1 Bei der systemorientierten Identifizierung werden ausgehend von der IT-Landschaft betroffene Anwendungssysteme und –komponenten ausgewählt und anschließend wird auf aufbewahrungspflichtige Daten und Unterlagen geschlossen. Bei der prozessorientierten Vorgehensweise steht der mit der Erzeugung der Daten verbundene Geschäftsprozess im Vordergrund. Ausgangspunkt ist die betriebliche Bilanz. Von den Bilanzpositionen lässt sich auf die zugehörigen Konten schließen. Die entsprechenden Kontensalden werden aus manuellen Buchungsprozessen in Haupt- oder Nebenbüchern generiert oder sie sind das Resultat einer automatischen Buchung eines IT-gestützten Geschäftsprozesses. Durch Betrachtung des Datenflusses können weitere steuerrelevante Unterlagen, die einen Geschäftsvorfall betreffen, identifiziert werden. Als Beispiel seien hier eingescannte Papierdokumente oder E-Mails sowie Programmeinstellungen für automatische Buchungen wie z. B. Abschreibungen genannt. So lassen sich alle relevanten Unterlagen einer Prozesskette ausfindig machen. Bei dieser Vorgehensweise zur Identifizierung steuerrelevanter Unterlagen steht eine fachliche und weniger
1
Vgl. hierzu und im Folgenden Odenthal, R. (2007), S. 61 f. 151
die technische Betrachtungsweise im Vordergrund. Sie verlangt eine gute Kenntnis der ITgestützten Geschäftsprozesse und ist in der Regel zeitlich aufwendiger als ein systemorientiertes Vorgehen. Es ist auch möglich, beide Vorgehensweisen zu kombinieren. Unabhängig davon, für welche Vorgehensweise sich ein Unternehmen entscheidet, sollte die Identifizierung archivierungspflichtiger Unterlagen strukturiert vorgenommen und ausreichend dokumentiert werden. Auf diesem Weg können sich Unternehmen gegen den Vorwurf einer unzureichenden Qualifizierung schützen. Die beispielhafte Auflistung der folgenden Dokumente, die als steuerrelevante Informationsträger für die elektronische Archivierung in Betracht kommen, soll einen Eindruck darüber vermitteln, wie vielfältig die in Frage kommenden Anwendungssysteme und Datenformate ausfallen können:1 elektronisch erzeugte Dokumente (z. B. aus Programmen zur Textverarbeitung oder Tabellenkalkulation), ein- und ausgehende elektronische Faxe, ein- und ausgehende E-Mails, elektronische Ein- und Ausgangsrechnungen, Signaturschlüssel, ein- und ausgehende EDI-Dokumente2, sonstiger elektronischer Datenaustausch mit Kunden oder Lieferanten, Reportlisten, Journale, etc., Daten aus Buchhaltungs-/ERP-Systemen und ggf. aus Nebensystemen (Stamm- und Bewegungsdaten, steuernde Parameter sowie Daten und Unterlagen zur Dokumentation der jeweiligen Datenverarbeitung), elektronische Informationen zur Ermittlung interner Verrechnungspreise und gescannte Dokumente. Ein spezielles Problem stellt die Identifizierung steuerrelevanter E-Mails dar.3 Die Aussonderung archivierungspflichtiger E-Mails lässt sich kaum automatisieren. Daher hat das Unternehmen die Entscheidung zu treffen, ob die Qualifizierung den Anwendern überlassen wird
1
Vgl. Brand, T. (2004), S. 37. Zum Teil sind auch eingehende EDI-Nachrichten archivierungspflichtig. Sie können als einzelne Dateien oder in Form von Protokolldateien vorliegen und sind dann archivierbar auszusondern. Aus der EDI-Nachricht ist der fachliche Inhalt zu übernehmen und die maschinellen Verarbeitungsregeln zur Übernahme zu dokumentieren. Es besteht jedoch keine Notwendigkeit technische Informationen bezüglich des Datentransportes aufzubewahren. Vgl. van Acken, J. et al. (2002), S. 34 f. 3 Vgl. hierzu und im Folgenden Hoppen, P. (2008), S. 675. 2
152
oder ob die gesamte E-Mail-Korrespondenz archiviert wird. Wird dem Anwender die Verantwortung der Aussonderung übertragen, ist der zu archivierende Datenbestand klein und qualitativ hochwertig. Bei diesem Verfahren können jedoch Anwenderfehler nicht ausgeschlossen und demzufolge eine lückenlose Archivierung nicht sichergestellt werden. Eine Archivierung des kompletten E-Mail-Bestandes birgt dagegen zahlreiche Schwierigkeiten, die im folgenden Abschnitt beschrieben werden.
3.3.7.2 Problematik und Lösungsansätze der E-Mail-Archivierung E-Mails sind sowohl innerhalb von Unternehmen als auch über Unternehmensgrenzen hinweg zu einem entscheidenden Bestandteil der geschäftlichen Kommunikation geworden. Kaum ein Unternehmen kann heute auf die Verwendung von Internet- und E-Mail-Zugängen durch seine Mitarbeiter verzichten.1 Die Nutzung der E-Mail-Anwendungen dient den Mitarbeitern zur Erfüllung ihrer dienstlichen Aufgaben und ist zu einer Selbstverständlichkeit geworden. Demzufolge ist die Frage, wie diese Dokumente in Hinblick auf die elektronische Archivierung zu behandeln sind, für die Praxis von eminenter Relevanz.2 „Es existiert kein spezielles Gesetz, das die Archivierung von E-Mails explizit zum Gegenstand hat.“3 Jedoch legen § 257 HGB sowie § 147 AO aus handelsrechtlicher bzw. steuerrechtlicher Sicht Aufbewahrungspflichten fest, die die Archivierung bestimmter E-Mails fordern. Aufgrund der Tatsache, dass es sich bei dem Informationsaustausch über E-Mail um ein formloses, digitalisiertes und schwer kontrollierbares Kommunikationsmittel handelt, welches vielfach sowohl betrieblich als auch privat genutzt wird, wird die Aufbewahrung der steuerrelevanten E-Mail-Korrespondenz kontrovers diskutiert.4 Die Aufbewahrungsfrist für empfangene und Wiedergaben abgesandter Handels- und Geschäftsbriefe beträgt nach § 257 Abs. 4 HGB bzw. § 147 Abs. 3, 4 AO sechs Jahre. Der Begriff "Brief" aus § 257 Abs. 1 Nr. 2, 3 HGB und § 147 Abs. 1 Nr. 2, 3 AO umfasst auch E-Mails, die einen Geschäftsabschluss vorbereiten, abschließen, durchführen oder rückgängig machen.5 Da es sich bei der elektronischen Post um originär digitale Dokumente handelt, sind die Aufbewahrungsvorschriften der GoBS zu beachten.6 Die GDPdU fordern eine elektronische Archivierung steuerrelevanter E-Mails.7 Die Pflicht zur vollständigen E-Mail-Archivierung besteht in Deutschland bisher nicht. Jedoch lässt sich für Unternehmen, die an die amerikanische Rechtssprechung gebunden sind, aus dem Sarbanes-Oxley-Act (SOX) die Verpflichtung ableiten, die E-Mail-Korrespondenz, insbesondere die des Managements, umfassend elektronisch zu archivieren. Auf-
1
Vgl. Nolte, N.; Becker, T. (2008), S. 24. Vgl. Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S. 1216. 3 Lensdorf, L. (2008), S. 332. 4 Vgl. Odenthal, R. (2007), S. 28. 5 Vgl. Eckhardt, J. (2008), S. 103; vgl. Lensdorf, L. (2008), S. 333. 6 Siehe hierzu GoBS, Abschnitt/Teilziffer VIII/8 b) Nr. 2. 7 Vgl. BMF (2008), Abschnitt III, Nr. 9, S. 10. 2
153
grund der Tatsache, dass bestimmte E-Mails nicht in angemessener Zeit bereitgestellt werden konnten, wurden in den USA Gerichtsurteile gefällt, die dies als Verstoß gegen GovernanceRegeln interpretierten.1 Auf der anderen Seite sind der Archivierung von E-Mails auch rechtliche Grenzen gesetzt, da die Unternehmen beim Einsatz von E-Mail-Systemen das Fernmeldegeheimnis, das Datenschutzrecht und entsprechende arbeitsrechtliche Bestimmungen zu beachten haben.2 Tangiert die vorgeschriebene Aufbewahrung von Unterlagen die Persönlichkeitsrechte der Mitarbeiter, sind Datensicherheit und Datenschutz genau aufeinander abzustimmen.3 Viele Unternehmen erlauben oder dulden stillschweigend die private Nutzung des E-MailZugangs durch ihre Mitarbeiter. Diese private Nutzung ist rechtlich relevant, denn aus der Gestattung oder Duldung durch das Unternehmen können bedeutende Einschränkungen für die Verfügungsgewalt des Arbeitgebers über die E-Mails seiner Mitarbeiter entstehen.4 Hier ist das Telekommunikationsgesetz (TKG) zu beachten, denn das Unternehmen wird nach § 3 Nr. 6 TKG in Verbindung mit §§ 78 ff. TKG zum Dienstanbieter von Telekommunikationsdiensten. Ist die private Nutzung erlaubt oder geduldet, so tritt der Arbeitnehmer dem Arbeitgeber im Rahmen der privaten Verwendung nach § 3 Nr. 10 TKG als „Dritter“ gegenüber. Für den Umgang mit der E-Mail-Archivierung ist diese Drittbezogenheit das entscheidende Kriterium.5 Damit muss der Arbeitgeber als Dienstanbieter nach § 109 TKG zum einen besondere Maßnahmen zum technischen Schutz der E-Mail-Kommunikation ergreifen und die privaten E-Mails gegen den Zugriff Dritter schützen. Zum anderen ist der Arbeitgeber verpflichtet nach § 88 TKG das Fernmeldegeheimnis zu wahren und ihm ist daher nicht gestattet, sich Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Somit steht die gesamte E-Mail-Korrespondenz des Arbeitnehmers bereits unter dem Schutz des Fernmeldegeheimnisses, wenn lediglich die Option des Mitarbeiters besteht, den dienstlichen E-Mail-Zugang auch privat zu nutzen.6 § 88 Abs. 3 TKG beschreibt klare Einschränkungen bezüglich Protokollierung, Archivierung und Einsichtnahme in Kommunikationsinhalte und Verbindungsdaten. Eine undifferenzierte Archivierung aller E-Mails ist den Unternehmen damit nicht erlaubt.7 Das Fernmeldegeheimnis nach § 88 TKG ist grundrechtlich in Art. 10 Abs. 1 des Grundgesetzes verankert und Verstöße werden durch § 206 Abs. 1 StGB strafrechtlich sanktioniert.8 Ein Verstoß kann mit einer Freiheitsstrafe bis zu fünf Jahren oder einer Geldstrafe geahndet werden. Das Konfliktpotenzial wird hier häufig unter-
1
Vgl. Knolmayer, G. F.; Disterer, G. W. (2007), S. 2. Vgl. Eckhardt, J. (2008), S. 103. 3 Vgl. Speichert, H. (2007), S. 299. 4 Vgl. Hauschka, C. E. (2006), S. 259. 5 Vgl. Eckhardt, J. (2008), S. 104. 6 Vgl. Nolte, N.; Becker, T. (2008), S. 25. 7 Vgl. Greipl, D. (2006), S. 50. 8 Vgl. Nolte, N.; Becker, T. (2008), S. 24; vgl. Eckhardt, J. (2008), S. 104. 2
154
schätzt, denn es gibt zahlreiche Situationen in denen ein Unternehmen ein berechtigtes Interesse hat, von Inhalten dienstlicher E-Mails Kenntnis zu nehmen. Bereits das Suchen nach Schlüsselwörtern wie beispielsweise einer Projektnummer in allen E-Mails ist ein strafrechtlicher Verstoß gegen das Fernmeldegeheimnis.1 In seinem Urteil zur Speicherung von Verbindungsdaten vom 2. März 2006 hat das Bundesverfassungsgericht den Schutz durch das Fernmeldegeheimnis konkretisiert. Dieses Urteil grenzt die nach Abschluss des Übertragungsvorgangs im Herrschaftsbereich des Kommunikationsteilnehmers gespeicherten Verbindungsdaten klar vom Schutz durch Art. 10 Abs. 1 GG aus. Es lassen sich daraus zwei Kriterien ableiten: der Abschluss des Übertragungsvorgangs und die Beherrschbarkeit durch den Empfänger.2 Damit fällt eine Archivierung von EMails vor dem Zugang an den entsprechenden Mitarbeiter in den Geltungsbereich des Fernmeldegeheimnisses. Ob die Archivierung bereits empfangener E-Mails unter den Schutz des Fernmeldegeheimnisses fällt, bleibt weiterhin strittig, da die E-Mails auf den Systemen des Arbeitgebers gespeichert werden und sich damit in dessen Herrschaftsbereich befinden. Das Urteil könnte dahingehend ausgelegt werden, dass in dieser Konstellation die E-Mails weiterhin dem Schutz des Fernmeldegeheimnisses unterliegen. Toleriert der Arbeitgeber die private Nutzung des E-Mail-Zugangs, ist es ihm nach dem Telekommunikationsgesetz nicht erlaubt, die E-Mails zu speichern bzw. bedarf die Archivierung der E-Mails einer Einwilligung der Betroffenen.3 Aus den Forderungen des Gesetzgebers resultiert auf der einen Seite die Verpflichtung zur Aufbewahrung ausgewählter E-Mails und auf der anderen Seite ein vollständiges Speicherverbot der privaten elektronischen Post. Dieser Interessenkonflikt lässt sich nachträglich nur sehr schlecht lösen.4 Bei einer erlaubten oder geduldeten Privatnutzung des E-Mail-Zugangs ist das Unternehmen ebenfalls zur Einhaltung des Telemediengesetzes (TMG) verpflichtet.5 Der Arbeitgeber darf als Dienstanbieter nach § 12 Abs. 2 TMG die „für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit ein Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.“ Die Archivierung der Daten stellt dabei einen anderen Zweck dar. Die steuer- und handelrechtlichen Vorschriften aus der Abgabenordnung und dem Handelsgesetzbuch liefern jedoch diese gesetzliche Erlaubnis, da sich hieraus die konkrete Verpflichtung zur Archivierung bestimmter E-Mails ergibt. Problematisch ist hierbei dennoch wiederum, dass die Archivierungspflicht auf steuerrelevante E-Mails beschränkt ist und nicht auf
1
Vgl. Nolte, N.; Becker, T. (2008), S. 25. Vgl. hierzu und im Folgenden Eckhardt, J. (2008), S. 104 f. 3 Vgl. Hauschka, C. E. (2006), S. 259; vgl. Eckhardt, J. (2008), S. 104; vgl. Keller, M.-L. (2008), S. 52. 4 Vgl. Nolte, N.; Becker, T. (2008), S. 25. 5 Vgl. Eckhardt, J. (2008), S. 106. 2
155
private E-Mails erweitert werden kann und damit die Einwilligung der Mitarbeiter eingeholt werden muss.1 Das Bundesdatenschutzgesetz (BDSG) kommt zum Tragen, wenn weder das Telekommunikationsgesetz noch das Telemediengesetz einschlägig ist. Dies ist beispielsweise der Fall, wenn das Unternehmen den Mitarbeitern die private Nutzung des E-Mail-Zugangs untersagt hat. In der Regel ist bei geschäftlichem E-Mail-Verkehr der Mitarbeiter von der Übertragung und Speicherung personenbezogener Daten nach dem BDSG auszugehen.2 Vor dem Hintergrund der Kontroll- und Einsichtsrechte des Arbeitgebers ist die Archivierung von EMails nach § 28 Abs. 1 Nr. 1 BDSG zu dienstlichen Zwecken zulässig, soweit und solange Geschäftszwecke es erfordern.3 Damit ist die Archivierung von E-Mails nach dem BDSG in dem Umfang zulässig, wie es HGB und AO von dem Unternehmen fordern. Jedoch ist die Zugriffsberechtigung des Prüfers gemäß der Anlage zu § 9 BDSG so zu gestalten, dass sie den datenschutzrechtlichen Anforderungen genügt. Ist den Mitarbeitern die private E-MailNutzung erlaubt bzw. wird sie geduldet, ist der gesetzliche Zulässigkeitstatbestand nicht gegeben und die Verarbeitung, Speicherung und Nutzung dieser E-Mails erfordert damit nach § 4 Abs. 1 BDSG die Einwilligung der Mitarbeiter. Wird dem Arbeitnehmer die private Verwendung des E-Mail-Zugangs untersagt, sind dem Arbeitgeber der uneingeschränkte Zugriff, die Speicherung und die Einsichtnahme aller EMails gestattet. Allerdings ist der Umgang mit eingehenden privaten E-Mails bei ausschließlich dienstlich gestatteter E-Mail-Nutzung rechtlich umstritten, da nach Art. 10 GG auch der Kommunikationspartner des Mitarbeiters durch das Fernmeldegeheimnis geschützt ist.4 Ein Totalverbot der privaten E-Mailnutzung müsste in der Praxis zudem konsequent durchgesetzt und Zuwiderhandlungen entsprechend sanktioniert werden.5 Da viele Unternehmen ohnedies auch weiterhin ihren Mitarbeitern die private E-Mail-Nutzung erlauben möchten, um dem Betriebsklima nicht zu schaden, muss nach Alternativen gesucht werden. Um sich dem Strafbarkeitsrisiko nach § 206 Abs. 1 StGB sowie nach § 202b StGB in Verbindung mit dem § 88 TKG nicht auszusetzen, kann es im Veränderungsprozess einer IT-Integration zweckmäßig sein, die E-Mail-Verwaltung zukünftig neu zu organisieren. Fehlendes Zugriffsrecht auf den vorhandenen E-Mail-Geschäftsverkehr führt zu Problemen in verschiedenen Compliance-Bereichen.6 So zum Beispiel im Fall der Betriebsprüfung: Wurden steuerrelevante und private E-
1
Vgl. Eckhardt, J. (2008), S. 106 f. Vgl. Eckhardt, J. (2008), S. 108. Vgl. Eckhardt, J. (2008), S. 108. 4 Vgl. Eckhardt, J. (2008), S. 105. 5 Vgl. Keller, M.-L. (2008), S. 52. 6 Auch wenn eine E-Mail nicht den beweisrechtlichen Status einer Urkunde im Sinne der Zivilprozessordnung besitzt, kann beispielsweise bei einem Rechtsstreit mit einem Geschäftspartner die Einsichtnahme in den Schriftverkehr zum Erfolg der Beweisführung beitragen. Vgl. Eckhardt, J. (2008), S. 103; vgl. auch Nolte, N.; Becker, T. (2008), S. 25. 2 3
156
Mails oder Dokumente aus Office-Anwendungen nicht getrennt gespeichert, wird der Steuerprüfer alle Unterlagen einsehen. Der Prüfer wird die Dokumente mit den vorhandenen Suchund Auswertungshilfen bearbeiten und nach steuerlich relevanten Stichworten durchsuchen.1 Da dabei gegen das Telekommunikationsgesetz und den Datenschutz verstoßen wird, ergibt sich die Notwendigkeit zur Formulierung einer einheitlichen und systematischen Vorgehensweise zur praktischen Handhabung einer Datenschutz- und GDPdU-konformen E-Mail- und Dokumenten-Archivierung. Trotz dieser bekannten Forderungen des Gesetzgebers existiert diesbezüglich in vielen Unternehmen bisher weder ein entsprechendes Problembewusstsein noch ein konkreter Lösungsansatz. Bis heute verfügt kaum ein Unternehmen über ein einheitlich strukturiertes Ablageverfahren archivierungspflichtiger E-Mails oder Textdokumente. Eine relativ einfache aber dafür auch sehr umstrittene Möglichkeit besteht darin, die Mitarbeiter zu verpflichten, ihre privaten E-Mails deutlich im E-Mailkopf zu kennzeichnen, um eine automatische Trennung vornehmen zu können.2 Eine weitere Lösungsmöglichkeit ergibt sich dadurch, die E-Mail-Korrespondenz der Mitarbeiter streng zu trennen und den Arbeitnehmern einen E-Mail-Zugang ausschließlich zur geschäftlichen Verwendung und eine weitere E-Mail-Adresse rein für die private Nutzung zur Verfügung zu stellen. 3 Eine andere Alternative wäre, die Mitarbeiter aufzufordern, über den zur Verfügung gestellten Internetzugang einen eigenen E-Mail-Anbieter bzw. einen Freemail-Account für private E-Mail-Korrespondenz zu nutzen.4 Fraglich bleibt jedoch bei diesen Vorgehensweisen, wie oben bereits erwähnt, ob der § 88 TKG trotz ausgeschlossener Privatnutzung gegenüber dem externen Kommunikationspartner zum Tragen kommt. Eine weitere Lösungsalternative, die diese Problematik berücksichtigt, besteht darin, die Archivierung so zu gestalten, dass der Arbeitnehmer seinen Arbeitgeber beauftragt, die Archivierung empfangener und versendeter steuerrelevanter E-Mails für ihn vorzunehmen.5 Für den Mitarbeiter als Kommunikationsteilnehmer besteht keine Pflicht gegenüber seinem Kommunikationspartner, die Kommunikation zu schützen oder geheim zu halten und damit kann er sie dem Arbeitgeber straffrei mitteilen. Eine denkbare Vereinbarung wäre, dass der Arbeitnehmer nach einer gewissen Frist (z. B. 3 Monate) alle privaten E-Mails durch Löschen oder Verschieben zu entfernen hat und damit der verbleibende Inhalt zur Archivierung freigegeben wird.6 Diese Lösung bietet sich an, wenn der überwiegende Teil der E-Mail-Korrespondenz archivierungspflichtig ist. Anderenfalls könne eine Vereinbarung darüber getroffen werden, dass archivierungspflichtige E-Mails nach einer gewissen Zeitspanne an einen Archivierungsaccount weiterzuleiten oder in einen
1
Vgl. Eckhardt, J. (2008), S. 104; vgl. Hagenkötter, A.; Mülot, D.-M. (2002), S. 16; vgl. Hartmann, V. (2005), S. 23. 2 Vgl. Keller, M.-L. (2008), S. 52. 3 Vgl. Nolte, N.; Becker, T. (2008), S. 25; vgl. Eckhardt, J. (2008), S. 109. 4 Vgl. Anduleit, M. (2008), S. 28 f. 5 Vgl. Eckhardt, J. (2008), S. 105. 6 Vgl. Speichert, H. (2007), S. 300. 157
Archivordner zu verschieben sind. Dabei wird die Archivierung von E-Mails teilautomatisiert und der Mitarbeiter steht in der Verantwortung, eine korrekte Zuordnung der digitalen Unterlagen bezüglich der Steuerrelevanz vorzunehmen. Größtmögliche Sicherheit kann erreicht werden, indem individuell mit jedem Mitarbeiter die private E-Mail-Nutzung besprochen und schriftlich mit gegenseitiger Unterschrift vereinbart wird.1 So lässt sich ein generelles Einverständnis in einer entsprechenden Betriebsvereinbarung2 zum E-Mail-Umgang oder im individuellen Arbeitsvertrag festlegen.3 Mit der getroffenen Übereinkunft kann eine legalisierende Wirkung erreicht werden und den Aufbewahrungspflichten nachgekommen werden, ohne gegen das Datenschutzrecht zu verstoßen.4 Eine solche Maßnahme erweist sich auch aus anderen IT-Compliance-Aspekten als sinnvoll, da der Einblick des Arbeitgebers in das elektronische Postfach des Mitarbeiters z. B. in dessen Urlaub oder im Krankheitsfall durch eine Vertretung im Sinne des § 202a StGB als "Ausspähen von Daten" ausgelegt werden könnte.5 In jedem Fall sollte unmissverständlich und eindeutig geregelt sein, in welchem Umfang die private E-Mail-Nutzung zulässig ist.6 Dabei sollten die Richtlinien auch klare Sanktionen im Fall von Verstößen vorsehen.7 Anlass zur Diskussion gibt auch die Bestimmung des Archivierungsumfangs einer steuerrelevanten E-Mail. Findet der Rechtsverkehr über eine E-Mail-Anwendung statt, ist bei der Archivierung steuerlich relevanter E-Mails somit darauf zu achten, dass auch die Anhänge mit einer entsprechenden Zuordnung gespeichert werden, da die Finanzverwaltung die Archivierung der Inhalte dieser E-Mails im Originalformat fordert.8 Genauer bedeutet dies, dass Anlagen zur E-Mail dann aufzubewahren sind, wenn die E-Mail ohne den Anhang unvollständig ist. Dies ist zum Beispiel bei einem der E-Mail angehängten Vertragsentwurf oder bei einer elektronisch versandten Rechnung mit Signatur der Fall.9 Zudem muss sichergestellt sein, dass bei Verschlüsselung der E-Mails eine Entschlüsselung innerhalb der gesetzlichen Aufbewahrungsfristen jederzeit möglich ist.10 Zu klären bleibt, inwieweit die maschinelle Auswertbarkeit der Unterlagen, die § 147 Abs. 2 Nr. 2 AO sowie die GDPdU fordern, bei der Archivierung von E-Mails gewährleistet werden
1
Vgl. Eckhardt, J. (2008), S. 109. Dabei handelt es sich um einen Vertrag zwischen Arbeitgeber und Mitarbeitervertretung mit rechtssetzendem Charakter, der das Arbeitsverhältnis spezifiziert. In einer derartigen Vereinbarung sollten der Umfang der erlaubten Privatnutzung sowie gegebenenfalls verbotene Nutzungen und vereinbarte Kontrollmaßnahmen konkretisiert werden. Des Weiteren empfiehlt es sich Abwesenheitsregelungen, Löschverpflichtungen und Konsequenzen bei Verstößen in die Vereinbarung aufzunehmen. 3 Vgl. Anduleit, M. (2007), S. 28 f; vgl. Speichert, H. (2007), S. 300. 4 Vgl. Speichert, H. (2007), S. 300. 5 Vgl. Rath, M. (2007), S. 54. 6 Vgl. Keller, M.-L. (2008), S. 52. 7 Vgl. Keller, M.-L. (2008), S. 52. 8 Vgl. Rath, M. (2008), S. 130. 9 Vgl. Lensdorf, L. (2008), S. 332; vgl. Hoppen, P. (2008), S. 675 f. 10 Vgl. Rath, M. (2008), S. 130; vgl. auch Eckhardt, J. (2008), S. 103. 2
158
kann.1 Die GDPdU legen ganz klar fest, dass die Pflicht zur Archivierung einer Unterlage im Sinne des § 147 Abs. 1 AO in maschinell auswertbarer Form für elektronische Dokumente, die nicht zur IT-gestützten Weiterverarbeitung geeignet sind, wie beispielsweise Textdokumente, nicht besteht. Da es sich bei E-Mails um nicht strukturierte Dokumente handelt, wird teilweise die Auffassung vertreten, dass eine maschinelle Auswertbarkeit nicht sichergestellt werden muss. 2 Auf der anderen Seite wird im Fragen- und Antwortenkatalog des BMF ganz eindeutig eine maschinelle Auswertbarkeit steuerlich relevanter E-Mails gefordert.3 Dies lässt den Schluss zu, dass maschinell auswertbare Anhänge und signierte E-Mails dem Prüfer in auswertbarer Form zur Verfügung gestellt werden müssen. Wenn eine E-Mail weder Anhang noch Signatur besitzt, enthält sie hinsichtlich einer maschinellen Auswertung jedoch keine weitergehenden Informationen als das entsprechende Schriftstück, damit beschränkt sich die Forderung nach maschineller Auswertbarkeit auf Dateianhänge mit strukturierten Daten.4 Für die Aufbewahrungsform ist somit zu unterscheiden zwischen dem Textteil der E-Mail, der einem Geschäftsbrief gleicht, und dem Anhang.5 Während der Textteil schwach strukturierte oder unstrukturierte Informationen enthält, kann der Anhang Dokumente in maschinell auswertbaren Formaten enthalten. Damit muss der Textteil elektronisch auffindbar und mit eindeutiger Zuordnung zum Geschäftsvorfall archiviert werden, wobei das Format eine bildliche Wiedergabe und langfristige Lesbarkeit gewährleisten muss. Die Anhänge sind hingegen in auswertbarer Form und im Originalformat zu archivieren. Zusammenfassend lässt sich formulieren: Die Schaffung einer rechtskonformen Lösung beinhaltet auch die Verpflichtung, eine unternehmensinterne Verfahrensweise zur einheitlichen Ablage und Archivierung von EMails zu definieren, die die Rechte der Mitarbeiter berücksichtigt.6 Im Fall einer digitalen Betriebsprüfung muss auf E-Mails mit steuerrelevantem Inhalt lesend zugegriffen werden können und beigefügte Anhänge gelesen und gegebenenfalls ausgewertet werden können. Der Zugriff, die Indizierung und die eindeutige Zuordnung von E-Mails und Anhängen mit steuerrelevantem Inhalt sind daher so zu organisieren, dass sowohl das Wiederfinden als auch der Schutz von Informationen sichergestellt sind.1
3.3.8 Sanktionen Auch wenn die IT-Compliance als Chance verstanden werden sollte, schützt die Einhaltung der Gesetze und Richtlinien das Unternehmen in erster Linie vor Strafen, Auflagen und der Einschränkung der Geschäftstätigkeit. Die Missachtung der Vorgaben kann der Reputation 1
Vgl. Lensdorf, L. (2008), S. 336. Vgl. Lensdorf, L. (2008), S. 336. Vgl. BMF (2008), Abschnitt III, Nr. 9. 4 Vgl. Lensdorf, L. (2008), S. 336; vgl. Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S. 1216. 5 Vgl. hierzu und im Folgenden Knolmayer, G. F.; Disterer, G. W. (2007), S. 6. 6 Vgl. Rath, M. (2008), S. 130; vgl. Eckhardt, J. (2008), S. 104. 2 3
159
des Unternehmens schaden, steuer- und datenschutzrechtliche Sanktionen nach sich ziehen sowie zivil- oder strafrechtliche Folgen haben.2 Das Risiko fehlender oder mangelhafter ITCompliance im Unternehmen bemisst sich nach der Schwere des Regelverstoßes und reicht von Wettbewerbsnachteilen, Imageschäden, Umsatzausfällen oder Vertragsstrafen über Schadensersatz-, Zwangsgeld- oder Bußgeldforderungen bis hin zu Freiheitsstrafen.3 Die Bedeutung der IT-Compliance für eine gute Reputation der Unternehmen hat in den letzten Jahren stark zugenommen. Folgende rechtliche Sanktionen kommen in Betracht, wenn das Unternehmen gegen die Vorgaben zur elektronischen Archivierung verstößt: Die Nachlässigkeit bei der Einhaltung des Datenzugriffsrechtes wird spätestens bei einer Betriebsprüfung in Form von steuerrechtlichen Sanktionen bestraft. Verstöße gegen die GDPdU werden mit einem Bußgeld, Zwangsmitteln oder der Schätzung der Besteuerungsgrundlage geahndet.4 Die Festsetzung eines Bußgeldes von bis zu 5.000 bzw. 50.000 Euro ist möglich, wenn eine Steuergefährdung nach § 379 AO bzw. eine Steuerordnungswidrigkeit nach § 377 AO vorliegt.5 Die Buchführungspflicht gemäß § 238 Abs. 1 AO kann durch Zwangsmittel erwirkt werden. Die Verhängung von Zwangsmitteln nach §§ 328 Abs. 1 Satz 1, 329, 332 AO erfolgt im Wesentlichen in Form von Zwangsgeldern bis zu 25.000 Euro.6 Die Möglichkeit der Androhung und Festsetzung von Zwangsgeld besteht, wenn Unternehmen die durch die Steuergesetze gebotenen Handlungen unterlassen.7 Hinsichtlich des Datenzugriffsrechtes wäre dies also beispielsweise der Fall, wenn dem Betriebsprüfer im Rahmen der Außenprüfung die Buchungsdaten durch den Steuerpflichtigen nicht in angemessener Zeit in auswertbarer Form zur Verfügung gestellt werden. Die Höhe des Zwangsgeldes wird dabei nach den im Einzelfall vorliegenden Umständen bestimmt. Wurden elektronische Unterlagen zur Dokumentation von Verrechnungspreisen nicht gemäß der Anforderung der GAufzV aufbewahrt, kann die Finanzverwaltung das für das Unternehmen ungünstigste Verfahren zu Gewinnermittlung konzerninterner Geschäfte im Sinne einer Strafschätzung anwenden.8 Die Schätzung von Besteuerungsgrundlagen nach § 162 Abs. 2 Satz 2 AO stellt das äußerste Mittel steuerrechtlicher Sanktionen dar. Die Schätzung des Jahresergebnisses kommt dann in Betracht, „wenn der Steuerpflichtige Bücher oder Aufzeichnungen, die er nach den Steuergesetzen zu führen hat, nicht vorlegen kann oder die sachliche Richtigkeit der Buchführung im Sinne des § 158 AO zu beanstanden ist und mithin aufgrund gravierender Mängel nicht als
1
Vgl. Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S. 1216 ff. Vgl. Böhm, M. (2008), S. 26. Vgl. Klotz, M.; Dorn, D.-W. (2008), S. 7; vgl. Anduleit, M. (2007), S. 29; vgl. Kittl, C.; Zeidler, C. (2007), S. 58. 4 Vgl. BMF (2008), Abschnitt I, Nr. 17, S. 5. 5 Vgl. hierzu und im Folgenden Lensdorf, L. (2008), S. 337; vgl. Lensdorf, L.; Steger, U. (2006), S. 208.; vgl. Anduleit, M. (2007), S. 29. 6 Vgl. Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S. 1219. 7 Vgl. hierzu und im Folgenden Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S. 1219. 8 Vgl. Odenthal, R. (2007), S. 24. 2 3
160
Grundlage für die Besteuerung dienen kann.“1 Können die entsprechenden Unklarheiten und Zweifel jedoch durch zumutbare Ermittlungen beispielsweise auf Grundlage papierbasierter Dokumente bzw. anhand von Ausdrucken ausgeräumt werden, so scheidet eine Sanktionierung durch die Schätzung von Besteuerungsgrundlagen aus.2 Darüber hinaus kommen bei einer unzureichenden Trennung von steuerrelevanten und personenbezogenen Daten auch datenschutzrechtliche Sanktionen wie Schadenersatz nach § 7 BDSG oder ein Bußgeld aufgrund einer Ordnungswidrigkeit nach § 43 Abs. 3 BDSG in Betracht, wenn beispielsweise personenbezogene Daten einer Prüfung unterzogen werden. Zivilrechtliche Sanktionen können sich aus der persönlichen Haftung von Vorständen, Aufsichtsräten und Geschäftsführern nach §§ 91 Abs. 2, 93 Abs. 1 und 2, 116 AktG; 43 Abs. 2 GmbHG ergeben. Die Mitarbeiter unterhalb der Geschäftsführungsebene haften gemäß § 280 BGB in Verbindung mit den Pflichten ihres jeweiligen Beschäftigungsverhältnisses. Ferner drohen strafrechtliche Sanktionen. Beispielsweise kann nach § 283b StGB die Verletzung von Buchführungspflichten mit einer Geld- oder Freiheitsstrafe bis zu 2 Jahren oder nach § 274 Abs. 1 Nr. 2 StGB die Beseitigung beweiserheblicher Daten mit einer Geld- oder Freiheitsstrafe bis zu 5 Jahren geahndet werden kann. Abschließend sei noch erwähnt, dass strafrechtliche Sanktionen auch in Betracht kommen, wenn bei einer unsachgerechten E-MailArchivierung der Vorwurf der Verletzung des Post- und Fernmeldegeheimnisses nach § 206 StGB erhoben wird. Des Weiteren kommen Sanktionen im Sinne von Nachteilen für Unternehmen in Betracht, die sich nicht direkt aus gesetzlichen Aufbewahrungspflichten ableiten lassen und stattdessen im Zusammenhang mit den wirtschaftlichen Beweggründen für die Umsetzung einer elektronischen Archivierung stehen.3 Kann z. B. eine Partei in einem Prozess aufbewahrungspflichtige Unterlagen nicht vorlegen, kann das Gericht gemäß § 444 ZPO ohne jedes Beweisverfahren den Vortrag des Gegners zu Lasten der Partei als bewiesen ansehen.4 Ebenso kann der rechtzeitige Zugriff auf bestimmte Beweismittel prozessentscheidend sein, da das Gericht im Verfahren Fristen setzen kann, innerhalb derer aufbewahrungspflichtige Dokumente vorzulegen sind und eine Vorlage nach Ablauf der Frist ausgeschlossen wird. Damit können in Gerichtsverfahren durch die Verletzung der Aufbewahrungspflichten klare Nachteile entstehen. Sind Unternehmen in gerichtlichen Auseinandersetzungen nicht in der Lage, beweiserhebliche Dokumente einzureichen, kann dies zum Prozessverlust führen und entsprechende finanzielle und andere Folgeschäden mit sich bringen, selbst wenn das Unternehmen seinen gesetzlichen Aufbewahrungspflichten vollständig gerecht wird. Weitere Nachteile dieser Art
1
Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S. 1219. Siehe hierzu BFH-Urteil vom 24.6.1997, BStBl II 1998, S. 51. 3 Vgl. Odenthal, R. (2007), S. 24.; vgl. Speichert, H. (2007), S. 297; siehe auch Abschnitt 3.4. 4 Vgl. hierzu und im Folgenden Speichert, H. (2007), S. 297. 2
161
werden im folgenden Abschnitt erläutert. Zusammenfassend lässt sich feststellen, dass die Folgen einer unzureichenden elektronischen Archivierung unternehmensindividuell zu beurteilen sind. Da es sehr schwierig ist, rechtliche und finanzielle Konsequenzen zu kalkulieren, sollte in Integrationsprojekten der Archivierungsthematik die notwendige Aufmerksamkeit gewidmet und die gebotene Sorgfalt zugewendet werden. Es existieren also zahlreiche gesetzliche und quasi-gesetzliche Anforderungen an die elektronische Archivierung, die zu beachten sind. Diesen Anforderungen muss der Steuerpflichtige mit einem strategischen Archivierungskonzept begegnen. Jedoch sind die Anforderungsformulierungen der aufgeführten Regelwerke vielfach sehr allgemein gehalten und lassen konkrete Lösungswege vermissen. So besteht auch keine Möglichkeit Buchhaltungs- oder Archivierungssysteme von der Finanzverwaltung als GDPdU-konform zertifizieren zu lassen, da die verschiedenen Kombinations- und Ausgestaltungsmöglichkeiten selbst marktgängiger Anwendungssysteme laut dem BMF keine allgemeingültigen Aussagen zur GDPdU-Konformität erlauben.1 Die Gesetze und Verordnungen wurden bewusst system- und medienneutral formuliert. Ein richtiges Archivsystem bzw. Speichermedium kann es also nicht geben. Das gesamte Archivierungsverfahren muss sicher und gut durchdacht sein. Da nicht auf eine GDPdU-zertifizierte Archivierungslösung zurückgegriffen werden kann, muss jedes Unternehmen eine, der individuellen Unternehmenssituation entsprechende, Lösung finden. Zur Bewältigung dieser Aufgabe soll für die Unternehmen eine Hilfestellung entwickelt werden. Zu diesem Zweck werden zunächst im folgenden Abschnitt 3.4 die wirtschaftlichen Beweggründe für die Einführung einer elektronischen Archivierung beschrieben, um abschließend die funktionalen Anforderungen an eine Archivlösung im Abschnitt 3.5 zusammenzutragen. Ziel ist es, für diese allgemeingültigen Anforderungen, die aus den externen gesetzlichen Bestimmungen und den wirtschaftlichen Zielsetzungen innerhalb eines Unternehmens abgeleitet werden, Umsetzungsmöglichkeiten zu bestimmen.
3.4
Wirtschaftliche Gründe für eine elektronische Archivierung
Im vorangegangenen Abschnitt wurden die gesetzlichen Rahmenbedingungen der Archivierung digitaler Unterlagen hergeleitet. Diese sollte jedoch nicht als lästige Pflichtübung verstanden werden, denn Unternehmen können auch ein erhebliches Eigeninteresse an der Umsetzung einer systematischen Archivierung haben. Es ergeben sich neben gesetzlichen und regulativen Vorgaben auch Anforderungen aus den verschiedenen unternehmensinternen Beweggründen, Dokumente elektronisch aufzubewahren und einen einheitlichen Zugriff auf Geschäftsunterlagen jederzeit zu gewährleisten. Archivsysteme bieten die Möglichkeit, auf Grundlage von Indexmerkmalen beliebige Daten und digitale Unterlagen unabhängig vom
1
Vgl. BMF (2008), Abschnitt I, Nr. 16, Seite 5; vgl. Hartmann, V. (2005), S. 29.
162
jeweiligen Ursprungssystem, Format und Verwendungszweck zu speichern und als Wissenspool bereitzustellen. Steuerrelevante Daten sind nur eine von vielen Informationsarten, die mit Archivsystemen verwaltet werden können. „Geschäftserfolg ist heute mehr denn je abhängig vom schnellen und zuverlässigen Zugriff auf Informationen.“1 Folglich steigt auch der Bedarf an einer nachhaltigen Sicherung dieser Informationen vor Veränderung und Verlust und der Wunsch nach kürzeren Suchzeiten, einer höheren Zugriffsgeschwindigkeit und komfortableren Recherchemöglichkeiten. Daher machen auch betriebsinterne Anforderungen eine systematische Aufbewahrung digitaler Dokumente notwendig. Wird eine standardisierte Ablage von relevanten Dokumenten eingeführt, kann dadurch sowohl die Datensicherheit als auch das Qualitätsmanagement entschieden verbessert werden. Da den Mitarbeitern das Wiederfinden archivierter Unterlagen gravierend erleichtert wird, lässt sich der Service verbessern, die Anwenderzufriedenheit steigern und die Belastung der Mitarbeiter reduzieren. Die Umsetzung einer elektronischen Archivierungslösung ist mit Investitionen in die Unternehmens-IT verbunden. Der Mehrwert dieser Investition für das Unternehmen steigt mit den Kosteneinsparungen und dem ökonomischen Nutzen der bereitgestellten digitalen Unterlagen. Daher sollten bei der Formulierung funktionaler Anforderungen an die elektronische Archivierung neben den gesetzlichen Vorschriften auch betriebliche Zielsetzungen und Erfordernisse berücksichtigt werden. Den potenziellen Kostenersparnissen und Nutzeneffekten sind die entstehenden Speicherkosten, Kosten für die Archivierungslösung, einmalig die entstehenden Projektkosten und gegebenenfalls die Kosten für die elektronische Erfassung bestehender Unterlagen in Papierform gegenüberzustellen. Zudem werden die besseren Recherchemöglichkeiten und die größere Speicherkapazität mit der begrenzten Lebensdauer und der Dynamik der Informationsträger gegeneinander abgewogen.2 Die elektronische Archivierung ist in der Regel günstiger als die herkömmliche Papierarchivierung aufgrund des damit einhergehenden Platz- und Organisationsbedarfs. Immer mehr Unternehmen scannen ihre papierbasierten Dokumente ein und vernichten sie anschließend, um auf diesem Weg entsprechende Kosten- und Effizienzvorteile zu erwirken.3 Durch das
1 2 3
Acker, O.; et al. (2006), S. 18. Vgl. Nimz, B. (2000), S. 8. Siehe hierzu auch die Ausführungen in Abschnitt 5.1.2. Vgl. Groß, S. ; Lamm, M. (2008), S. 331. Durch interne Regelungen und Kontrollen sollte grundsätzlich sichergestellt werden, dass nur Dokumente gescannt werden, für die eine optische Archivierung zulässig ist. Vgl. van Acken, J. et al. (2002), S. 26. Unter welchen Voraussetzungen die Vernichtung von Originalbelegen aus umsatzsteuerlicheren Gesichtspunkten zulässig ist, wird explizit im BMF-Schreiben vom 29. Januar 2004 – IV B 7 – S 7280 – 19/04, BStBl. I 2004 beschrieben. Vgl. Groß, S. ; Lamm, M. (2008), S. 331. Während das Original in Papierform in gerichtlichen Auseinandersetzungen innerhalb strenger Vorschriften über Urkundenbeweiskraft verfügt, unterliegt das digitale Abbild der freien Beweiswürdigung eines Richters. Daher empfiehlt sich für bestimmte Dokumente zur Wahrung der Rechtssicherheit die zusätzliche Aufbewahrung des Originaldokuments. Vgl. Odenthal, R. (2007), S. 38 f. Bei einer elektronischen Belegarchivie163
Scannen von Papierdokumenten werden den Mitarbeitern der Zugriff, das Lesen am Rechner und die Auswertung erleichtert.1 Da Dokumente oftmals auch elektronisch erzeugt werden, kann durch eine elektronische Archivierung ein Medienbruch vermieden und eine konsequente Papiervermeidung erreicht werden. Eine deutliche Kostenreduktion lässt sich durch eine Vereinheitlichung der Archivierungsprozesse und die Abschaffung von Insellösungen erreichen. Neben dem Weggang von Mitarbeitern sind undurchsichtige Ablagestrukturen und die Abschaffung von IT-Anwendungen, die zur Lesbarmachung wichtiger Dokumentationen erforderlich sind, die häufigste die Ursache für einen Wissensverlust im Unternehmen. Dokumentationen von Projekten, Produkten, Systemen und Prozessen spielen in vielen Unternehmen eine wesentliche Rolle und erfordern daher einen Wissenserhalt und zum Teil einen schnellen Zugriff.2 Um dieses intellektuelle Kapital zu sichern, bietet sich die Umsetzung einer elektronischen Archivierungslösung an.3 Eine systematische Archivierung elektronischer Dokumente ermöglicht spätere Recherchen oder den Beleg früherer Vorgänge. Können aufbewahrungspflichtige Dokumente in einem Prozess nicht zeitnah vorgelegt werden, kann dies als Beseitigung einer Urkunde interpretiert werden und aufgrund der Vorlegungspflichten und Beweislast zu abweisenden Urteilen führen, da nach § 444 ZPO der vom Gegner behauptete Vortrag ohne Beweisverfahren als bewiesen angesehen wird.4 Zusätzlich werden im allgemeinen Geschäftsverkehr durch E-Mails oder sonstige elektronische Dokumente auch ohne elektronische Signatur gewollte Rechtsfolgen ausgelöst. Die Zivilprozessordnung greift auch bei schriftlichen Erklärungen dieser Art.5 Die Aufbewahrung dieser Dokumente, denen ein besonderer Beweiswert zukommt, erfolgt nach freiem Ermessen des Unternehmens. Damit lässt sich für bestimmte Dokumente ohne steuerliche Relevanz bzw. nach Ablauf der gesetzlichen Aufbewahrungsfristen ein entsprechendes Aufbewahrungserfordernis für das digitale Original und den gegebenenfalls zugehörigen Signaturschlüssel ableiten. Zudem kann sich beispielsweise eine Haftung für Organisationsmängel sowohl aus der Produzentenhaftung nach § 823 BGB als auch aus der Produkthaftung gemäß dem Produkthaftungsgesetz ergeben. Die Produkthaftung unterscheidet sich von der Produzentenhaftung im Wesentlichen dadurch, dass es zur Haftung des Herstellers auch ohne dessen Verschulden kommen kann. Da es in Produkthaftungsfällen oft zugunsten des Konsumenten zu einer
rung und der Vernichtung der Originale hat das Unternehmen dem Prüfer Einsicht in die digitalisierten Belege unmittelbar am Bildschirm zu ermöglichen. Vgl. Groß, S.; Lamm, M. (2008), S. 333. 1 Vgl. Gutzmann, U. et al. (2007), S. 3. 2 Vgl. Kittl, C. ; Zeidler, C. (2007), S. 58. 3 Vgl. Tritschler, C.; Horky, B.; Voigtländer, D. (2007), S. 68. 4 Vgl. Speichert, H. (2007), S. 297 und S. 346. 5 Vgl. Odenthal, R. (2007), S. 33. 164
Beweiserleichterung oder sogar zu einer Beweislastumkehr kommt, wird der Produzent aufgefordert seine Unschuld zu beweisen.1 Daher muss der Hersteller eines Produktes in der Lage sein, zu belegen, dass bei der Entwicklung und Fertigung des Produktes nach dem damaligen Stand der Wissenschaft und Technik keine Fehler gemacht wurden und es keine Unregelmäßigkeiten gab. Dieser Beweis kann nur durch eine systematische Dokumentation des Entwicklungs-, Produktions- und Qualitätssicherungsprozesses und eine vollständige und unveränderbare Aufbewahrung von Zeichnungen, Konstruktionsdaten und Produktunterlagen erbracht werden.2 „Beispielsweise muss ein Hersteller von Sicherheitsgurten über viele Jahre hinweg dokumentieren können, aus welchen Teilen die von ihm gefertigten Rückhaltessysteme für Automobile bestehen und von welchem Lieferanten sie bezogen wurden.“3 Aus diesem Grund sollten Testprotokolle, Materialspezifikationen und Produktdokumentationen ebenso wie die im Anwendungssystem erzeugten Lagerbewegungssätze gespeichert und langfristig archiviert werden, um Rohstoffe, Zwischenerzeugnisse und Endprodukte auch nachträglich rekonstruieren zu können.4 Aus mehreren Gesetzen lassen sich Anspruchsgrundlagen der Produzenten- oder der Produkthaftung ableiten.5 Es wird dabei zwischen vertraglicher Anspruchsgrundlage und außervertraglicher Anspruchsgrundlage differenziert. Existiert zwischen dem Geschädigten und dem Hersteller ein Vertrag, lassen sich beispielsweise gemäß §§ 434 ff. BGB Sachmangelansprüche oder gemäß §§ 633 ff. BGB Sach- und Rechtsmangelansprüche stellen.6 Liegt jedoch kein vertraglicher Gewährleistungsanspruch vor, hat der Geschädigte die Möglichkeit auf Basis des Deliktsrechts nach §§ 823, 831 BGB oder auf Grundlage des Produkthaftungsgesetzes Verschuldungs- oder Gefährdungshaftungsansprüche geltend zu machen.7 Kann ein Kunde gegenüber einem Unternehmen Produkthaftungsansprüche geltend machen, so ist es wiederum in der Lage Regressansprüche wegen Schlechtleistung gegen den beteiligten Vorlieferanten zu stellen, wenn er die Materialverwendung des betroffenen Produktes genau belegen kann.8 Daher ist eine genaue Rückverfolgbarkeit schadhafter Teile, Chargen, Lieferlose sowohl gegenüber dem Kunden als auch gegenüber dem Zulieferer unbedingt erforderlich.1 Der Nachweis eines rechtskonformen Handels erfordert in der Unternehmenspraxis, dass bestimmte Dokumente zeitnah vorgelegt werden müssen. Da die entsprechenden Dokumente überwiegend digital vorliegen, kommt der sicheren Aufbewahrung und Bereitstellung von elektronischen Unterlagen, für die eine Rechtspflicht zur Aufbewahrung nicht oder nicht mehr 1
Vgl. Adams, H. W. (2007), S. 38. Vgl. Drinkewitz-Latschenberger, M. (2003), S. 526 f. 3 Mertens, P. (2007), S. 107. 4 Vgl. Mertens, P. (2007), S. 107. 5 Vgl. Ensthaler, J.; Strübbe, K. Bock, L. (2007), S. 42. 6 Vgl. Steimle, V.; Dornieder, G. (2008), S. 65 f. 7 Vgl. Adams, H. W. (2007), S. 38 f. 8 Vgl. Steimle, V.; Dornieder, G. (2008), S. 73. 2
165
besteht, aus anderen Compliance-Aspekten wie der Beweissicherung ebenfalls eine hohe Bedeutung zu.2 Zusätzlich resultieren beispielsweise aus dem Geräte- und Produktsicherheitsgesetz sowie den §§ 12 Abs. 2, 20 Abs. 6 des Medizinproduktegesetzes (MPG) weitere branchenspezifische Aufbewahrungspflichten, denen nachzukommen ist, um Hinweisen auf Produktmängel nachgehen zu können bzw. Produktmängel auszuschließen. Schadensersatzansprüche verjähren bei der deliktischen Produkthaftung zum Teil erst nach einer Frist von 30 Jahren, da dieser Zeitraum der grundsätzlichen Verjährungsfrist im BGB entspricht.3 Aufbewahrungszeiträume werden zudem durch Produktlaufzeiten und die betriebsgewöhnliche Nutzungsdauer bestimmt. Allerdings ist anzumerken, dass die Unterlagen nicht zwingend elektronisch vorgehalten werden müssen. So kann die Aufbewahrung von Dokumenten in Papierform zur Beweisführung durchaus zweckmäßig sein, jedoch erscheint das Ausdrucken aller relevanten Material- und Lagerbewegungssätze nicht besonders zielführend. Aus diesem Grund zählt die Produkthaftung auch zu den entscheidenden Argumenten für eine elektronische Archivierung. Z. B. Chemie- und Pharmaherstellern, Kraftwerksbetreibern oder Anlagenbauern erscheinen daher die kaufmännischen Aufbewahrungsfristen vergleichsweise gering. Digitalen Unterlagen, deren Archivierungsnotwendigkeit einen Zeithorizont von zehn Jahren überschreiten, ist bezüglich der Anforderung der Langzeitverfügbarkeit bei Auswahl des Archivformats und -mediums besondere Beachtung zu schenken.4 Zu den wirtschaftlichen Gründen für die Umsetzung einer einheitlichen elektronischen Archivierungslösung zählen somit zusammenfassend:5
1
•
die Reduzierung von Kosten durch Papiervermeidung, Raumersparnis und die Entlastung der Mitarbeiter sowie durch eine Optimierung des IT-Ressourceneinsatzes, da die Produktivsysteme entlastet werden und eine Mehrfachablage vermieden wird
•
die Gewinnung von Informationstransparenz
•
eine Prozessverbesserungen, da beispielsweise digitalisierte Dokumente in elektronische Ablaufverfahren eingebunden werden können
•
die Steigerung der Informationsverfügbarkeit durch die Möglichkeit des Mehrfachzugriffs und der parallelen Bearbeitung sowie durch einen sofortigen und standortunabhängigen Zugriff bei dezentralen Verarbeitungsprozessen und einer zentralen Daten- und Dokumentenarchivierung
Vgl. Steimle, V.; Dornieder, G. (2008), S. 74. Vgl. van Acken, J. et al. (2002), S. 30. 3 Vgl. Adams, H. W. (2007), S. 38. 4 Vgl. Odenthal, R. (2007), S. 67. 5 Vgl. Brand, T. (2005), S. 28; vgl. Speichert, H. (2007), S. 346; vgl. Tritschler, C.; Horky, B.; Voigtländer, D. (2007), S. 68 f; vgl. Odenthal, R. (2007), S. 38 und S. 59; vgl. Dauen, S. (2007), S. 22 f. 2
166
•
die Serviceverbesserung durch eine schnellere Auskunftsfähigkeit gegenüber Kunden und Lieferanten, da die bereichsübergreifende Suche nach Dokumenten deutlich vereinfacht wird
•
der Erhalt des intern vorliegenden Wissens und Know-hows
•
der Auf- oder Ausbau von E-Commerce- oder E-Business-Aktivitäten und effizienterer Prozesse sowie der Sicherung der Beweiskraft durch den Einsatz elektronisch signierter Schriftstücke1
•
der verbesserte Schutz gegen Datenverlust und Manipulation durch automatische Back-ups des kompletten Archivs
•
die Erfüllung verschiedener Anforderungen des Qualitätsmanagements, da beispielsweise die Ordnungsmäßigkeit und Vollständigkeit sowie der Schutz vor Manipulation oder Entnahme leichter zu bewerkstelligen ist als bei Papierarchiven
•
Aufbewahrungsansprüche aufgrund der Auskunfts-, Rechnungslegungs- und Herausgabepflichten gemäß §§ 259, 666, 667 BGB
•
Vorlegungspflichten und Beweislast in Prozessen, die zum Prozessverlust führen können
•
die Absicherung gegen Haftung für Organisationsmängel und insbesondere gegen Produkthaftungsforderungen
•
die Abwehr von Ansprüchen aus dem Geräte- und Produktesicherheitsgesetz
•
der Nachweis der Erfüllung branchenspezifischer gesetzlicher Bestimmungen wie beispielsweise dem Gesetz über Medizinprodukte (MPG)
3.5
Funktionale Anforderungen an eine elektronische Archivierungslösung
Aus den im Abschnitt 3.3 beschriebenen gesetzlichen Aufbewahrungspflichten und den im Abschnitt 3.4 erläuterten wirtschaftlichen Beweggründen zur elektronischen Archivierung ergeben sich funktionale Anforderungen an die Archivierungslösung. Diese funktionalen Anforderungen sollen zu einem einheitlichen Kriterienkatalog zusammengefasst werden, um darauf aufbauend Umsetzungsmöglichkeiten für die Archivierungslösung ableiten zu können.
1
Durch die Verwendung qualifizierter elektronischer Signaturen erlangen elektronisch erstellte Dokumente den gleichen Rechtscharakter wie handschriftlich unterschriebene Unterlagen. Gemäß § 371a ZPO erfahren diese Unterlagen Beweiserleichterung in gerichtlichen Auseinandersetzungen. Diese Dokumente sind auch nur in elektronischer Form rechtskräftig und erfordern für Nachweiszwecke eine elektronische Archivierung. 167
Vorschrift/Beweggrund
Inhalt
Funktionale Anforderung
Deutsche Handels- und Steuergesetzgebung HGB, AO, GAufzV, UStG, GoB
Aufbewahrung steuerrelevanter Unterlagen entsprechend der Aufbewahrungsfristen
• • • • • • •
GoBS
Aufbewahrung digitaler Unterlagen entsprechend der Aufbewahrungsfristen
• • •
GDPdU
Bereitstellung von elektronischen Unterlagen mit steuerlicher Relevanz im Rahmen der digitalen Außenprüfung
Zivilrecht (BGB, ZPO)
Auskunfts-, Rechnungslegungs- und Herausgabepflichten; Vertragsrecht bei Einsatz elektronisch signierter Schriftstücke Absicherung gegen Produkthaftungsforderungen; Aufbewahrung der Produktunterlagen; Dokumentation der Qualitätssicherung, Zeichnungen, Materialstammund Bewegungsdaten Schutz personenbezogener Daten bei den Archivierungsund Zugriffsverfahren Risikocontrolling und Eigenmittelbestimmung im Kreditbereich Transparenz und Nachvollziehbarkeit von Unternehmensprozessen; Rechnungslegung börsennotierter Unternehmen Informationstransparenz; Wissenserhalt; Serviceverbesserung
Produkthaftung (ProdHaftG)
Datenschutz (BDSG; TKG, TMG) Corporate Governance (Basel II; KonTraG; SOX – Geltungsbereich: USA und verpflichtend für deutsche Tochterunternehmen)
Interne/Wirtschaftliche Beweggründe
• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •
Transparenz Vollständigkeit Richtigkeit Zeitgerechtigkeit Ordnung Unveränderbarkeit Einhaltung der Aufbewahrungsfristen (Langzeit-)Verfügbarkeit Lesbarmachung Datensicherheit (Vertraulichkeit; Integrität; Autorisierung; Authentizität) Nachvollziehbarkeit Ermöglichung der drei Zugriffsarten Prüfbarkeit Wiederauffindbarkeit Zugang und Lesbarmachung unverzügliche Bereitstellung Reproduktionssicherheit Maschinelle Auswertbarkeit Verfügbarkeit Zugreifbarkeit Datensicherheit Reproduktionssicherheit Sicherung des Beweiswerts Unveränderbarkeit Vollständigkeit Zugang und Lesbarmachung Langzeitverfügbarkeit Verfahrensdokumentation Aufbewahrungszeiträume je nach Produktlaufzeiten Zugriffskontrollen Datensicherheit Lösch- und Entsorgbarkeit Datensicherheit Auswertungsfunktionen für das Risikocontrolling Transparenz Unveränderbarkeit Vollständigkeit Unverzüglicher Zugriff Datensicherheit Verfügbarkeit Zugreifbarkeit Datensicherung Ordnungsmäßigkeit Vollständigkeit Recherchierbarkeit Einfache Nutzung
Tabelle 14: Funktionale Anforderungen an die elektronische Archivierung Quelle: eigene Darstellung
168
Diese allgemeingültigen Anforderungskriterien sind unternehmensspezifisch zu interpretieren und anschließend entsprechend der individuellen Zielsetzungen und bestehenden organisatorischen und technischen Möglichkeiten umzusetzen. Zur Erfüllung aller gesetzlichen und wirtschaftlichen Anforderungen ist ein Archivierungskonzept zu entwickeln, das aufbauend auf der individuellen Unternehmenssituation geeignete organisatorische und technische Umsetzungsmöglichkeiten kombiniert. Das Archivierungskonzept umfasst dabei die Entscheidungen über das Vorgehen zur Archivierung mit konkreten, aufeinander abgestimmten technischen und organisatorischen Maßnahmen. Auf wesentliche organisatorische und technische Lösungsaspekte zur Gestaltung einer den Anforderungen entsprechenden Archivierungslösung wird im Teil 5 der Arbeit eingegangen.
3.6
Resümee: Archivierung im Kontext der IT-Integration
Die bisherigen Ausführungen von Teil 3 haben die Anforderungen an eine Archivierungslösung weitgehend unabhängig von einer IT-Integration betrachtet. Die beschriebenen Anforderungskriterien verändern sich bei einer IT-Integration nicht, allerdings gewinnt bei der Zusammenführung zweier IT-Landschaften die IT-Compliance hinsichtlich der Erfüllung gesetzlicher Anforderungen und Richtlinien ein immer größeres Gewicht.1 Dennoch wird im Rahmen von Integrationsprojekten die Compliance-Thematik oftmals ausgespart, was nicht nachzuvollziehen ist, da auch bei Integrationsvorhaben sicherzustellen ist, dass nicht gegen geltendes Recht verstoßen wird.2 Trotz der komplexen Kombination aus Recht, Steuern und IT müssen die Unternehmen sowohl beim Einsatz als auch bei der Abschaltung ihrer Anwendungssysteme den hohen IT-Compliance-Anforderungen entsprechen.3 Die elektronische Archivierung vereint viele verschiedene IT-Compliance-Aspekte.4 Schwierigkeiten resultieren oftmals aus unklaren Begrifflichkeiten sowie der fehlenden Genauigkeit und zum Teil Widersprüchlichkeit gesetzlicher Anforderungen.5 Häufig wird daher in Integrationsprojekten unnötig viel Zeit auf die Klärung rechtlicher und regulativer Vorschriften und die Ableitung funktionaler Anforderungen an die Archivierungslösung sowie auf kontroverse Diskussionen über Nebensächlichkeiten verwendet. Vielfach tritt die Archivierungsproblematik ungeplant auf, da sich zu Beginn des Projektes kein Verantwortlicher genauere Gedanken über die Konsequenzen der Systemabschaltungen gemacht hat, sodass ein Archivierungsprojekt weder budgetiert noch zeitlich eingeplant wurde. Um den Integrationsprozess an dieser Stelle zu beschleunigen, kann diese Arbeit Unterstützung leisten und zur schnelleren Lösungsfindung
1
Vgl. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007), S. 60. Vgl. Mellert, C. R. (2008), S. 77. 3 Vgl. Rath, M. (2008), S. 138. 4 Diese wurden in Abschnitt 3.2.2.2 ausführlich dargelegt. 5 Vgl. Odenthal, R. (2007), S. 79. 2
169
beitragen. Ziel und Zweck der Archivierung sind unternehmensindividuell festzulegen. Darauf aufbauend sind die jeweiligen funktionalen Anforderungen an die elektronische Archivierungslösung zu bestimmen. Hieran ausgerichtet lassen sich nach einer kritischen Auseinandersetzung mit gegebenenfalls bestehenden Archivierungslösungen praktikable organisatorische und technische Umsetzungsmöglichkeiten entwickeln. Die Etablierung eines angemessenen IT-Compliance-Managements zur Sicherstellung eines rechtskonformen IT Einsatzes gehört zu den grundsätzlichen Pflichten der Unternehmensleitung.1 Bei Unternehmenszusammenschlüssen sind neben der IT auch alle anderen Bereiche zu integrieren. Dies umfasst unter anderem auch die Zusammenführung des Compliance-Managements. Wurde ein Unternehmen erworben, ist z. B. die Kompatibilität der Compliance Systeme zu untersuchen.2 Ähnlich wie bei der Zusammenführung der IT-Landschaften ist eine Methode zur Integration auszuwählen. Da sich die rechtlichen und technischen Rahmenbedingungen des IT-Einsatzes stetig wandeln, besteht die Notwendigkeit, ein IT-ComplianceManagement als einen fortlaufenden Prozess im Unternehmen zu installieren. Die Ermittlung des Handlungsbedarfes und die Definition von Abhilfemaßnahmen müssen dabei zu Routinetätigkeiten des IT-Bereichs werden. Die Sorgfaltspflichten des Managements bezüglich Berichterstattung und Informationstransparenz wurden in den letzten Jahren deutlich verschärft. Die Unternehmensleitung sollte die Einhaltung der IT-Compliance-Anforderungen jedoch nicht nur als Hemmnis sondern auch als Chance begreifen, sich positiv gegenüber dem Wettbewerb abzuheben.3 Daher empfiehlt es sich, die Einhaltung rechtlicher Vorgaben zum Vorteil des Unternehmens zu nutzen.4 Während des gesamten Integrationsprozesses ist ein funktionierendes Compliance-Management aufgrund der einzuhaltenden gesetzlichen Regelungen und der mit der Missachtung verbundenen Risiken äußerst wichtig.5 Gegebenenfalls ist der Compliance-Verantwortliche frühzeitig in den Veränderungsprozess zu involvieren, um eine reibungslose Integration auch aus Compliance-Gesichtspunkten zu gewährleisten.6 IT-Compliance-Aspekte sind bereits bei der Formulierung der IT-Strategie und der Festlegung der Gestaltungsparameter zu berücksichtigen. Migrations- und Integrationsprojekte haben in der Regel Änderungen der Anwendungssysteme, der IT-Infrastruktur und der entsprechenden Prozesse sowie der Dokumentationen und Kontrollverfahren zur Folge. Eine IT-Compliance-Überprüfung sollte daher
1
Vgl. Rath, M. (2008), S. 138. Vgl. Mellert, C. R. (2008), S. 83. 3 Vgl. hierzu ausführlicher Böhm, M. (2008), S. 20 ff. 4 Vgl. Schultze-Melling, J. (2007), S. 6. 5 Verfügt das Unternehmen zum Zeitpunkt der IT-Integration nicht über ein fest installiertes IT-ComplianceManagement, sollte dieser Mangel aus Kapazitätsgründen im Anschluss an die IT-Integration behoben werden. 6 Vgl. Mellert, C. R. (2008), S. 83. 2
170
Bestandteil der Planungsphase des Integrationsprojektes sein. 1 Die Realisierung zahlreicher Kosteneinsparungspotenziale, die sich im Rahmen der IT-Integration identifizieren lassen, wie beispielsweise die Vermeidung eines Parallelbetriebs von Anwendungssystemen oder die Überlizenzierung, unterstützen gleichzeitig die unternehmensinternen IT-Compliance-Bestrebungen.2 Ein weiterer Renditeaspekt der IT-Compliance-Bemühungen könnten verbesserte Kreditkonditionen aufgrund eines guten Ratings der operativen IT-Risiken nach Basel II sein.3 „Ziel muss es allerdings sein, keine Insellösungen für einzelne Anforderungen zu schaffen, sondern eine IT-Strategie zu finden, die neben der Erfüllung von IT-Compliance-Anforderungen auch für den Geschäftsbetrieb insgesamt nutzbringend ist.“4 Die IT als Querschnittsfunktion sollte nicht auf jede rechtliche oder regulatorische Anforderung individuell reagieren, sondern durch ein strategisch einheitliches Vorgehen ganzheitlich und nachhaltig für einen rechtskonformen Betrieb der IT-Landschaft sorgen.5 Integrationsprojekte führen auf der einen Seite häufig zu Konflikten mit verbindlichen gesetzlichen Anforderungen und bieten auf der anderen Seite oftmals die Möglichkeit, diese endlich umfassend einzuhalten.6 Durch eine geeignete IT-Compliance-Strategie kann die IT ihrer Verantwortung im Integrationsprozess nachkommen und als Innovator agieren. Im Rahmen einer IT-Integration muss sich das Management somit nicht nur informationstechnischen sondern auch rechtlichen Schwierigkeiten stellen. Dabei sind die bestehenden Richtlinien zu priorisieren und zusammenzuführen. Beispielsweise sollte dem Datenschutz sowie der Datensicherung erhöhte Aufmerksamkeit gewidmet werden, wenn durch erhöhte Personalfluktuation die Gefahr des Datenmissbrauchs besteht. IT-Integrationsprojekte sind in der Regel für alle Beteiligten sehr kräftezehrend, da es sich um eine komplexe Aufgabenstellung handelt.7 Dennoch ist bei der komplizierten Umgestaltung der Unternehmens-IT die Berücksichtigung der rechtlichen Rahmenbedingungen schon zu Beginn des Projektes erforderlich. Die rechtlichen Aspekte, die bei einer Restrukturierung der IT zu beachten sind, sind äußerst vielfältig und unübersichtlich. Die IT-Integration erfordert in der Regel die Abschaltung von Altsystemen. Ist die Ablösung von Anwendungssystemen geplant, sind die steuerrelevanten Altdaten unverändert und revisionssicher in die neue Anwendung zu übertragen oder entsprechend zu archivieren. Eine Vielzahl elektronischer Archivierungsprojekte findet ihren Ursprung in anstehenden Systemwechseln.8 Es gilt eine Archivierungslösung zu entwickeln, die mindestens den in Abschnitt
1
Vgl. hierzu die Ausführungen im folgenden Teil. Vgl. Rath, M. (2008), S. 138. 3 Vgl. Acker, O. et al. (2006), S. 23. 4 Rath, M. (2008), S. 138. 5 Vgl. Acker, O. et al. (2006), S. 25. 6 Vgl. Greipl, D. (2007), S. 47. 7 Vgl. hierzu und im Folgenden Schultze-Melling, J. (2007), S. 1. 8 Vgl. Odenthal, R. (2007), S. 77. 2
171
3.3 beschriebenen gesetzlichen Anforderungen und im Regelfall auch den in Abschnitt 3.4 erläuterten unternehmensinternen Anforderungen genügt. Die allgemeingültigen Anforderungskriterien, die in Tabelle 14 zusammengefasst wurden, sind abhängig von der individuellen Unternehmenssituation zu interpretieren und mittels entsprechender organisatorischer und technischer Maßnahmen umzusetzen. Diese Aufgabenstellung besteht grundsätzlich und damit unabhängig von einem Integrationsvorhaben. Die Abschaltung von Altsystemen kann deutlich beschleunigt werden, wenn die Unternehmen sich bereits vor der IT-Integration der relevanten Anforderungen bewusst sind. Allgemeingültig kann jedoch zur organisatorischen und technischen Umsetzung der Archivierungslösung im Rahmen der IT-Integration folgendes gesagt werden: Zur Erfüllung der gesetzlichen Aufbewahrungspflichten ist eine Speicherung rechnungslegungsrelevanter Dokumente erforderlich, die den jeweiligen in Tabelle 14 aufgeführten funktionalen Anforderungen entspricht. Diese Aufbewahrung kann sowohl in einem produktiven Rechnungslegungssystem als auch in einem Archivierungssystem erfolgen. Werden im Rahmen der IT-Integration Anwendungssysteme der bestehenden IT-Landschaft abgeschaltet und durch andere Anwendungen ersetzt, ist somit dafür zu sorgen, dass aufbewahrungspflichtige Daten entweder in das zukünftige Produktivsystem migriert oder elektronisch archiviert werden.1 Archivierungslösungen sind dann erforderlich, wenn steuerrelevante Daten innerhalb des Aufbewahrungszeitraums nicht weiterhin in einem Produktivsystem vorgehalten werden sollen. Bei einem Systemwechsel mittlerer und größerer Anwendungen ist eine Migration des kompletten archivierungspflichtigen Datenbestandes in ein anderes Produktivsystem eher unwahrscheinlich. Zu große Datenmengen oder unterschiedliche, nicht anpassbare Datenstrukturen sind beispielsweise dafür ursächlich.2 Aufgrund der gesetzlichen Aufbewahrungsfristen von sechs oder zehn Jahren wird demzufolge eine Auslagerung steuerrelevanter Daten und damit eine Archivierungslösung erforderlich.3 In der Regel wird ein bestimmter aktueller Datenbestand vom Ursprungssystem in das zukünftige Produktivsystem migriert.4 Vom übrigen Datenbestand werden die aufbewahrungspflichtigen oder aus sonstigen Gründen aufbewahrungswürdigen Daten archiviert. Unabhängig davon, ob die aufbewahrungspflichtigen Daten des abzuschaltenden Anwendungssystems in das zukünftige Produktivsystem migriert oder in einem Archivsystem archiviert werden sollen, hat das empfangende System –
1
Unter einem Produktivsystem wird eine Anwendung verstanden, die aktiv und unmittelbar nutzbar ist, Daten verarbeitet und einen direkten Zugriff auf die originär digitalen Unterlagen zulässt. Vgl. Groß, S.; Kampffmeyer, U.; Matheis, P. (2004), S. 1085. Ein Archivsystem dient dagegen der unveränderbaren Aufbewahrung der Daten unabhängig von ihrem Datenformat, dem Ursprungssystem und dem Aufbewahrungsgrund. 2 Vgl. Odenthal, R. (2007), S. 77. Siehe hierzu genauer Abschnitt 5.2.2.1. 3 Vgl. hierzu und im Folgenden Groß, S.; Kampffmeyer, U.; Matheis, P. (2004), S. 1085. 4 Zum Migrationvorgehen siehe genauer die Ausführungen in Abschnitt 5.2.3. 172
im gleichen Maße wie zuvor das Ursprungssystem – die funktionalen Anforderungen zu erfüllen. Auf der anderen Seite hat das Compliance-Management auch die Aufgabe, darauf zu achten, dass die Erfüllung der gesetzlichen Anforderungen nicht den Fortschritt und Innovationen im Unternehmen hemmt. Daher sollten die Maßnahmen zur gesetzeskonformen Aufbewahrung digitaler Unterlagen nicht die Langlebigkeit von Anwendungssystemen ungewollt steigern. Vielfach bleiben Applikationen weit über ihre geplante Lebensdauer in Betrieb, was die Kosten und die Komplexität der IT-Landschaft unnötig in die Höhe treibt.1 Die Ablösung von Anwendungssystemen wird oftmals so lange verschoben, bis das notwendige Expertenwissen für die Betreuung der Systeme nicht mehr im Unternehmen vorhanden ist und für die Wartung hohe Kosten durch den Einkauf externen Know-hows entstehen. Die notwendigen Aktivitäten sind entsprechend in die Integrationsplanung einzubeziehen. Der Einsatz von Archivsystemen sollte dabei ebenfalls im Gesamtzusammenhang betrachtet, geplant und umgesetzt werden.2 Zählt die Synergierealisierung durch die Vermeidung eines Parallelbetriebs mehrerer Anwendungssysteme zu den Integrationszielen, sollte nicht mit dem Verweis auf die umfangreichen rechtlichen Anforderungen auf diese Synergiepotenziale verzichtet werden. In Teil 4 wird dem entsprechend ein Phasenmodell entwickelt, dass die regulativen und rechtlichen Vorschriften sowie unternehmensinterne Effizienzziele rechtzeitig berücksichtigt. Die Kosten für die Archivierung aufbewahrungspflichtiger und aufbewahrungswürdiger Daten werden dabei in die Kalkulation der Integrationskosten aufgenommen. Es zeigt sich, dass Integrationsvorhaben deutlich erleichtert werden, wenn Unternehmen schon vor der Integration ein funktionsfähiges Compliance-Management installiert haben und Konzepte für die Aufbewahrung archivierungspflichtiger Dokumente existieren. Wünschenswert wäre, dass die Gesetzesänderungen zum Anlass genommen werden, die Datenhaltung in einem strategischen Prozess den neuen Anforderungen anzupassen. Die Praxis zeigt jedoch, dass dies in der Regel nicht der Fall ist und die Notwendigkeit zur Einhaltung der Aufbewahrungspflichten die Komplexität der IT-Integrationsprojekte damit erheblich steigert.
1 2
Vgl. Durst, M. (2007), S. 15 f. Siehe hierzu die Ausführungen in Abschnitt 4.2.3. 173
Teil 4: Theoretisches Phasenmodell zur IT-Integration unter Berücksichtigung der IT-Compliance In Teil 2 dieser Arbeit wurden u. a. die vier Ebenen des Veränderungsprozesses innerhalb des Unternehmens beschrieben. Aufgrund der ganzheitlichen Betrachtungsweise wird zunächst von diesen Ebenen auf die IT-Integrationsobjekte geschlossen. Im zweiten Abschnitt wird dann aufbauend auf dem in Teil 2 geschaffenen Bezugsrahmen der IT-Integration und den in Teil 3 gewonnenen Erkenntnissen zur IT-Compliance ein Phasenmodell entwickelt, das die im ersten Abschnitt dieses Teils erläuterten Integrationsobjekte berücksichtigt. Das Phasenmodell wird den Integrationsprozess mit seinen Schlüsselaktivitäten und Teilergebnissen beschreiben, auf mögliche Probleme und Risiken hinweisen und die kritischen Erfolgsfaktoren der IT-Integration herausstellen.
4.1
Gestaltungsebenen und IT-Integrationsobjekte
Betrachtet man die Ebenen des Veränderungsprozesses aus IT-Sicht, lassen sich vier wesentliche Gestaltungsebenen unterscheiden: eine die Richtlinien zur IT-Governance und ITCompliance umfassende IT-Strategie, die nach Aufbau- und Ablauforganisation sowie ITKultur differenzierte IT-Organisation, die für die Abbildung der Geschäftsprozesse notwendige IT-Landschaft und die betroffenen Anwender.
Abbildung 19: Aufbau der Gestaltungsebenen bzw. Integrationsobjekte Quelle: eigene Darstellung
174
J. M. Guggenberger, Aufbau und Ablauf einer IT-Integration, DOI 10.1007/978-3-8349-8920-8_4, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2010
Das Integrationsmanagement steuert dabei die Zusammenführung dieser vier Gestaltungsebenen der beiden IT-Bereiche A und B. Wie in Teil 2 ausführlich beschrieben, lassen sich insbesondere durch die Zusammenführung der Gestaltungsebenen IT-Landschaft und ITOrganisation Synergiepotenziale realisieren. In den folgenden vier Abschnitten werden die vier Gestaltungsebenen und die relevanten Aspekte ihrer Zusammenführung detailliert erläutert.
4.1.1 IT-Strategie Die Informationstechnologie ist sowohl zu einer Ressource als auch zu einem strategischen Erfolgsfaktor geworden.1 In diesem Abschnitt werden Aufgabe und Inhalt der IT-Strategie beschrieben. Des Weiteren werden die Verantwortlichkeiten zur Strategieentwicklung dargestellt und ein idealtypisches Vorgehen geschildert.
4.1.1.1 Aufgabe, Inhalt und Bedeutung der IT-Strategie Das strategische IT-Management hat die Aufgabe, den Wertbeitrag der IT zum Unternehmenserfolg zu steigern und die Kosten und Risiken des IT-Einsatzes zu reduzieren, um die langfristige Leistungsfähigkeit und das Überleben des Unternehmens zu sichern.2 Die ITVerantwortlichen sind daher gefordert, kosten- und wertorientiert zu planen, die IT-Landschaft technologisch aktuell zu halten und durch eine zweckmäßige Gestaltung von IT-Landschaft und IT-Organisation den Anforderungen der Fachbereiche und Kunden sowie gesetzlichen Regelungen gerecht zu werden.3 Um die IT strategisch planen zu können, sind somit Kenntnisse der vielfältigen Anforderungen sowie das Wissen um die aktuellen IT-Trends notwendig. Die IT-Strategie legt die geschäftsorientierte Ausrichtung der IT über einen mittel- bis langfristigen Zeitraum fest.4 Sie dient als Grundlage für die Entscheidung über ITInvestitionen und deren Priorisierung. Je unterschiedlicher die bisherigen IT-Strategien der Integrationspartner ausfallen, desto wahrscheinlicher sind Komplikationen bei der Integration beider IT-Bereiche.5 Mit der Definition einer einheitlichen IT-Strategie6 wird die Rolle der IT im Unternehmen festgelegt und die Art und Weise bestimmt, wie die IT zukünftig als strategisches Werkzeug
1
Vgl. Brunner, H.; Gasser, K.; Pörtig, F. (2003), S. 25. Vgl. Blomer, R.; Bernhard, M. G. (2003), S. 29. Vgl. hierzu und im Folgenden Tiemeyer, E. (2008a), S. 1. 4 Vgl. Schwarze, L. (2006), S. 50. 5 Vgl. Rigall, J.; Hornke, M. (2007), S. 500. 6 In der Literatur werden neben dem Begriff IT-Strategie auch die Begriffe Informatikstrategie, Informationsstrategie, Informationsmanagement-Strategie, Informationssystem-Strategie oder Informationsverarbeitungsstrategie synonym oder ähnlich verwendet. Vgl. Biethahn, J.; Mucksch, H.; Ruf, W. (2004), S. 61; vgl. Bodendorf, F.; Durst, M. (2006), S. 1416; vgl. Meitner, H. (2003), S. 16; vgl. Stahlknecht, P.; Hasenkamp, U. (2005), S. 222; vgl. Gabriel, R.; Beier, D. (2003), S. 92 ff. 2 3
175
zur Unterstützung des Unternehmenserfolgs beitragen kann.1 Die IT-Strategie spiegelt die Bedeutung der IT für das Unternehmen und den Durchdringungsgrad der Organisation wider. Von der IT-Strategie eines Unternehmens lässt sich unmittelbar auf die Qualität und die Kosten der Unternehmens-IT schließen.2 Durch das IT-Anwendungs- und Projektportfolio wird eine bewertbare Entwicklung der IT im Unternehmen dargelegt.3 Eine moderne IT-Landschaft, die hohen Sicherheitsstandards unterliegt und rechtskonform betrieben wird, ist entsprechend leistungsfähig und zugleich kostenintensiv. Die IT-Strategie legt organisatorische und technische Vorgaben fest, an denen sich die Ausgestaltung der übrigen Gestaltungsebenen der IT-Integration orientiert. Die IT-Strategie enthält somit die strategischen Ziele sowie grundsätzliche IT-Leitlinien auf dem Gebiet der Informations- und Kommunikationstechnologie.4 Sie gibt ein Konzept vor, wie die strategischen IT-Ziele verfolgt und durch spezifische Maßnahmen erreicht werden sollen. Die strategischen IT-Ziele enthalten richtungsweisende Vorgaben für die ZukuFnft und konkrete Teilkonzepte, beispielsweise bezüglich der Ausgestaltung von IT-Prozessen, der IT-Anwendungslandschaft sowie des IT-Projektportfolios.5 Essentielle Inhalte der IT-Strategie sind:6 IT-Vision / IT-Leitbild IT-Governance inklusive einer Organisationsstrategie mit Leitlinien für die Ablauforganisation und die Konzeption der Kern- und unterstützenden Prozesse sowie Rahmenbedingungen für die Gestaltung der Aufbauorganisation wie z. B. den Grad der Zentralisierung und die Struktur der Berichtswege IT-Compliance-Richtlinien mit Vorgaben für die Einhaltung der gesetzlichen Vorschriften und zur Verwendung von Standards IT-Einsatzstrategie mit Investitionsrichtlinien und Vorgaben zur Ausgestaltung der ITLandschaft und der zu besetzenden Leistungsfelder inklusive einer Ressourcenstrategie bezüglich Mitarbeitern, Fremdressourcen, Betriebs- und Finanzmitteln Strategische Vorgaben zur Anwenderorientierung und dem Umgang mit internen und externen Kunden der IT
1
Vgl. Brunner, H.; Gasser, K.; Pörtig, F. (2003), S. 25. Vgl. Rigall, J.; Hornke, M. (2007), S. 500. 3 Vgl. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007), S. 59. 4 Vgl. Biethahn, J.; Mucksch, H.; Ruf, W. (2004), S. 61. 5 Vgl. Meitner, H. (2003), S. 9; vgl. Tiemeyer, E. (2008b), S. 43 f. 6 Vgl. Hövelmanns, N.; Baumgart, W. (1999), S. 15; vgl. Rigall, J.; Hornke, M. (2007), S. 496. 2
176
Die Erarbeitung der IT-Strategie ist ein interaktiver Prozess, wobei jeder Durchlauf den Reifegrad erhöht.1 Ein solcher Durchlauf kann zeitlich fest eingeplant sein oder auch durch ein Ereignis wie ein Integrationsprojekt initiiert werden.
4.1.1.2 Verantwortliche der IT-Strategieentwicklung Die Aufgabe der IT besteht darin, das Unternehmen bei der Abwicklung des Geschäftes zu unterstützen. Folglich sind die Entscheidungen des Top-Managements und der IT-Verantwortlichen so eng miteinander verzahnt wie in keinem anderen Bereich.2 Die Unternehmensführung ist gemeinsam mit dem Chief Information Officer (CIO) in der Verantwortung, eine abgestimmte IT-Strategie zu formulieren, mit konkreten IT-Vorhaben und Maßnahmen auszugestalten und in einer durch Priorisierung festgelegten Reihenfolge umzusetzen.3 „Eine hohe IT-Wertschöpfung wird dann erreicht, wenn sich die IT-Strategie kontinuierlich an den Geschäftsvorgaben orientiert und wenn sie gleichzeitig substanzielle Impulse für die strategischen und taktischen Geschäftsziele gibt.“4 Während der CIO mit dem klaren Ziel, den Unternehmenswert zu steigern, in Informationstechnologie investiert, sei es durch eine anvisierte Umsatzsteigerung des Unternehmens oder durch eine Kostensenkung in den IT- oder Fachbereichen, sieht die Geschäftsleitung in der IT vielfach lediglich einen reinen Kostenfaktor und weniger ein wertvolles strategisches Instrument.5 Die Bedeutung, die der IT im Unternehmen beigemessen wird, lässt sich unter anderem daran erkennen, ob der CIO der Geschäftsleitung angehört und ob die IT-Leistungen im Jahresbericht des Unternehmens aufgeführt werden.6 Oftmals existiert eine fachliche Distanz zwischen der obersten Führungsebene und den IT-Verantwortlichen. So wird z. B. das Verständnis von Auswirkungen der Informationstechnologie auf den Geschäftserfolg bzw. das Vermitteln der Probleme und Konsequenzen verschiedener Lösungsalternativen erschwert, wenn der CIO kein Mitglied der Geschäftsführung ist.7 Dieses ungenügende Verständnis für den Wertbeitrag von IT liegt zum großen Teil in der unzureichenden Kommunikation zwischen Unternehmensführung und IT-Verantwortlichen begründet.8 Um diesem allgemeinen Problem im Rahmen der IT-Integration entgegenzuwirken, sollte der Integrationsprozess von einem regen gegenseitigen Austausch zwischen dem Projektverantwortlichen und der Geschäftsleitung gekennzeichnet sein. Dabei muss der Geschäftsführung verständlich dargestellt werden, welche Zusammenhänge bestehen, welche Auswirkungen die
1
Vgl. Tiemeyer, E. (2008a), S. 1 f. Vgl. Abschnitt 2.1; vgl. Holzwart, G. (2000), S. 56. 3 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 102. 4 Pfeifer, A.; Holtschke, B. (2003), S. 101. 5 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 81. 6 Vgl. Kratz, J. (2003), S. 643. 7 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 527. 8 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 82. 2
177
verschiedenen Vorgehensweisen und Lösungsalternativen mit sich bringen, welche Kostensenkungspotenziale existieren und wie langfristig eine Wertschöpfung durch die IT erlangt werden kann. Die Integration der Geschäftsprozesse und der IT-Landschaften eröffnet dem Unternehmen neue strategische Möglichkeiten. Um diese vollumfänglich nutzen zu können, sollte die IT-Strategie unbedingt dokumentiert und an alle Verantwortlichen der verschiedenen Geschäftsbereiche kommuniziert werden.1
4.1.1.3 Idealtypischer Prozess zur Strategieentwicklung und Ausrichtung des IT-Projektportfolios an der IT-Strategie Die IT-Strategie wird aus den Unternehmenszielen abgeleitet. Dabei sind in enger Abstimmung auch die IT-Governance- sowie die IT-Compliance-Richtlinien beider Integrationsparteien zusammenzuführen.2 Im Integrationsprozess ergeben sich zeit-liche Abhängigkeiten dadurch, dass die Überarbeitung der Corporate Governance bzw. der Corporate Compliance vor der Formulierung der entsprechenden IT-Richtlinien erfolgen sollte. Die Teilstrategien und Richtlinien in Bezug auf den Technologieeinsatz sind somit richtungsweisend für die Festlegung der Gestaltungsparameter der IT-Ziellandschaft, wie z. B. für den angestrebten Integrations- oder Standardisierungsgrad. Klar definierte Unternehmensziele und Prioritäten sind eine Grundvoraussetzung für die Erarbeitung bzw. Anpassung der IT-Strategie.3 Die generelle Aufgabe der IT-Strategieentwicklung bzw. -anpassung liegt in der Identifizierung und anschließenden Ausformulierung strategischer Vorgaben, welche zur Erreichung der übergeordneten Unternehmensziele am erfolgsversprechendsten scheinen. Die IT-Strategie gibt die Richtung für die Gestaltung der übrigen Integrationsobjekte vor. So bildet sie z. B. die Basis für die organisatorische und räumliche Zuordnung der IT-Ressourcen, die Ausgestaltung der IT-Landschaft und des IT-Leistungsprogramms und die Priorisierung der durchzuführenden IT-Vorhaben, um im höchst möglichen Maße zur Sicherung des langfristigen Unternehmenserfolgs beizutragen.4 Im Rahmen der IT-Integration ist der Bedarf an IT-Investitionen zu ermitteln. Er richtet sich zum einen nach der strategischen Ausrichtung des Unternehmens, der strategischen Rolle der IT in der Branche und für das Geschäft sowie nach den damit verbundenen Anforderungen an die eigene IT. Zum anderen ergibt sich der Bedarf aus dem aktuellen Qualitätsstand der ITLandschaft sowie den finanziellen, organisatorischen und technischen Möglichkeiten.5 Die Beurteilung des Qualitätsstands der IT erfolgt anhand einer Analyse der bestehenden IT-
1
Vgl. Brüning, I.; Pedain, C.; Deaslay, P.J. (2002), S. 139. Siehe hierzu Abschnitt 3.2.1 sowie 3.2.2. 3 Vgl. Blomer, R.; Bernhard, M. G. (2003), S. 25; vgl. Vielba, F.; Vielba, C. (2006), S. 11. 4 Vgl. Achleitner, A.-K-; Wecker, R.M.; Wirtz, B.W. (2004), S. 1505; vgl. Stahlknecht, P.; Hasenkamp, U. (2005), S. 438; vgl. Biethahn, J.; Mucksch, H.; Ruf, W. (2004), S. 61. 5 Vgl. Gabriel, R.; Beier, D. (2003), S. 92; vgl. Pfeifer, A.; Holtschke, B. (2003), S. 102; vgl. Tiemeyer, E. (2008a), S. 1 f. 2
178
Landschaft und des relevanten Marktumfelds sowie einer anschließenden Bewertung der Unterstützungsleistung des Geschäftes durch die IT.1 Die Bewertungskriterien der IT-Qualität sind beispielsweise der technologische Entwicklungsstand der zu integrierenden IT-Landschaften, die jeweilige Gesetzeskonformität sowie der Erfüllungsgrad von Geschäftsbereichsanforderungen und Markterfordernissen.2 Nach Analyse und Bewertung der Situation lässt sich der Investitionsbedarf vor dem Hintergrund der definierten IT-Strategie und der Integrationsziele genau ermitteln. Die strategischen IT-Ziele sind konkret auszuformulieren, die angestrebte IT-Landschaft mit definierten Standards und Qualitätskriterien festzulegen und spezifische Maßnahmen zur Integration abzuleiten.3 Das IT-Projektportfolio stellt eine zentrale Projektübersicht dar, die Aufschluss darüber gibt, welche Projekte derzeit laufen bzw. geplant sind.4 Diese Projekte sind genau auf ihre Vereinbarkeit mit der IT-Strategie zu überprüfen und gegebenenfalls zu stoppen bzw. anzupassen. Nach der Anpassung des IT-Projektportfolios sollte auch über das Integrationsprojekt hinaus die kontinuierliche Validierung aller IT-Projekte hinsichtlich der Ausrichtung an der Unternehmensstrategie und den strategischen Zielen der IT sowie der Geschäftsbereiche durch die IT-Verantwortlichen sichergestellt und als iterativer Prozess eingeplant werden.5 Eine IT-Strategie lässt sich nur umsetzen, wenn sie kontinuierlich in die IT-Projekte von der Planung bis zur Einführung eingebracht wird.6 Definierte Integrationsmaßnahmen, die in Projekten umgesetzt werden, sind in das Portfolio aufzunehmen. Zur abgestimmten Umsetzung bietet sich die Erstellung eines IT-Masterplans an, der das gesamte IT-Projektportfolio darstellt. Dabei beinhaltet der IT-Masterplan • die Definition von Projektziel und -inhalt, • die Priorität des Vorhabens, • den geplanten Zeit- und Kostenaufwand sowie die Ressourcenbedarfe, • die Verbindungen zu anderen IT- und Unternehmensprojekten sowie • bei aktuell laufenden Projekten den erreichten Fortschritt und den geplanten Restaufwand.7 Prioritäten ergeben sich durch die Konzentration auf diejenigen IT-Integrationsvorhaben, bei denen der neue oder veränderte IT-Einsatz aus strategischer Sicht die größten Nutzenvorteile
1
Vgl. Gabriel, R.; Beier, D. (2003), S. 92 ff. Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 103. Wesentliche Bewertungskriteren wurden bereits in Abschnitt 2.4.3.4 erläutert. 3 Vgl. Gabriel, R.; Beier, D. (2003), S. 96; vgl. Komus, A.; Reiter, O. (2000), S. 35; vgl. Meitner, H. (2003), S. 9. 4 Vgl. Handschuh, M.; Buchta, D. (2000), S. 30; vgl. Schwarze, L. (2006), S. 49 ff. 5 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 89. 6 Vgl. Bodendorf, F.; Durst, M. (2006), S. 1415. 7 Vgl. Handschuh, M.; Buchta, D. (2000), S. 30; vgl. Pfeifer, A.; Holtschke, B. (2003), S. 102. 2
179
in Relation zu den geplanten Kosten und dem Zeitaufwand verspricht.1 Der IT-Masterplan sollte bezüglich des Projektfortschritts kontinuierlich aktualisiert und bezüglich der zugrunde liegenden Kosten-/ Nutzenüberlegungen und möglicher Risiken regelmäßig überprüft werden.2 Er dient den IT-Verantwortlichen als Entscheidungs- und Arbeitsgrundlage für das Integrationsmanagement.3 Die definierten Gestaltungsparameter liefern gemeinsam mit dem ITProjektportfolio und dem IT-Masterplan die Grundlage für die Umsetzung der IT-Integration. Ein effektives Projektportfoliomanagement schränkt die Anzahl der Projekte auf das erforderliche Maß ein und schafft Kapazitäten für die Integration.4 Die Priorisierung des Projektportfolios ermöglicht eine Trennung wichtiger Vorhaben von unwichtigen. Auf diese Weise ist es möglich, die Integrationsprojekte zeitlich an der richtigen Stelle einzuplanen ohne dabei andere, für das Unternehmen wichtige IT-Vorhaben zu vernachlässigen. In die Priorisierung der einzelnen IT-Projekte und die Integrationsplanung sollten die Verantwortlichen der betroffenen Geschäftsbereiche sowie die Systemnutzer einbezogen werden. Voraussetzung dafür ist eine strukturierte Kommunikation zur Schaffung der erforderlichen Transparenz. Bei dem beschriebenen Vorgehen handelt es sich um einen idealtypischen Prozess zur Entwicklung und Anpassung der IT-Strategie und des IT-Projektportfolios, welcher leider so in der Praxis kaum Anwendung findet.5 Die Ursache dafür wird beispielsweise in der bereits beschriebenen mangelnden Kommunikation von CIO, CEO und CFO gesehen.6 Problematisch ist auch die mangelnde Bereitschaft, IT-Projekte tatsächlich IT-Strategie-konform umzusetzen, da beispielsweise die Einhaltung bestimmter Standards zu einem Mehraufwand oder zu Verzögerungen führt und der Nutzen der Regularien den Projektverantwortlichen bzw. den Projektauftraggebern nicht direkt ersichtlich ist. Um zu erreichen, dass die festgelegte ITStrategie auch umgesetzt wird, muss dafür gesorgt werden, dass sie in allen IT-Projekten konsequent eingebracht und eingehalten wird.7 Studien belegen, dass der Umsetzungserfolg der IT-Strategie im Unternehmen abhängig ist von der Handlungsvollmacht des Strategieverantwortlichen und der Einbindung der Anwender, wobei sowohl die internen Benutzer als auch die Geschäftspartner zu berücksichtigen sind.8 Alle übrigen relevanten Einflussfaktoren lassen sich aus diesen beiden Parametern ableiten. Der IT-Strategie kommt im Integrationsprozess eine Doppelfunktion zu. Zum einen ist die ITStrategie ein Integrationsobjekt und zum anderen ist sie die Basis für alle IT-Integrationsmaßnahmen. Das Integrationsmanagement sollte sich bei der Festlegung der Zeit-, Budget- und
1
Vgl. Stahlknecht, P.; Hasenkamp, U. (2005), S. 222. Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 105. 3 Vgl. Brunner, H.; Gasser, K.; Pörtig, F. (2003), S. 29. 4 Vgl. hierzu und im Folgenden Acker, O. et al. (2006), S. 17. 5 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 102. 6 Vgl. Nicolaus, M. (2006), S. 27. 7 Vgl. Bodendorf, F.; Durst, M. (2006), S. 1415. 8 Vgl. Blomer, R.; Bernhard, M. G. (2003), S. 15. 2
180
Qualitätsziele konsequent an der IT-Strategie und den individuellen Integrationszielen orientieren. Zudem ist bei der Konzeption und Durchführung der einzelnen Teilprojekte und Maßnahmen regelmäßig die Strategie- und Zielorientierung zu überprüfen. Denn ein IT-Integrationsprojekt eröffnet dem Unternehmen ganz neue Handlungsspielräume zur Umsetzung der Unternehmensstrategie, die unbedingt genutzt werden sollten.1 So lassen sich beispielsweise Unternehmensprozesse an den Vorgaben der Corporate Governance ausrichten und die Gesetzeskonformität der IT-Landschaft verbessern. Abschließend kann zusammengefasst werden, dass eine klare und konsistente IT-Strategie mit den entsprechenden Teilkonzepten für die einzelnen Bereiche und deren konsequente Umsetzung Grundvoraussetzungen für den Erfolg der IT-Integration sind. Nachdem die harmonisierte IT-Strategie beider Integrationspartner an der Unternehmensstrategie ausgerichtet wurde, können die zukünftigen Investitions- und Leistungsfelder definiert werden.2 Wichtig ist, dass alle IT-Projekte und so auch das Integrationsprojekt nicht isoliert konzipiert und kurzfristig beschlossen und umgesetzt werden.3 Vielmehr sollten sie alle relevanten Anforderungen und Gesetze berücksichtigen und als Ergebnis einer langfristigen IT-Strategie abgestimmt geplant und kontrolliert durchgeführt werden. Im Rahmen der IT-Integration sind vom Integrationsmanagement zur Umsetzung der ITStrategie die folgenden drei Hauptaufgabenbereiche zu betrachten: •
die organisatorische, soziale und kulturelle Integration der IT-Mitarbeiter durch Zusammenführung der IT-Bereiche,
•
die technische Realisierung der Integration durch Zusammenführung der IT-Landschaften und
•
die Konsolidierung der Anwendergruppen.
Auf diese drei Aufgabenbereiche soll in den folgenden Abschnitten genauer eingegangen werden.
4.1.2 Zusammenführung der IT-Organisation Bezüglich der organisationsorientierten Integration lässt sich zwischen der strukturellen Veränderung der Aufbau- und Ablauforganisation auf der einen Seite und der Zusammenführung des Personals und der verschiedenen Kulturen auf der anderen Seite unterschieden.1 Während es sich bei der Integration der Aufbau- und Ablauforganisation durch die Vereinheitlichung von Stellenbeschreibungen und die integrierte Gestaltung von Organigrammen bzw. die Har1 2 3
Vgl. Becker, J.; Winkelmann, A.; Vering, O. (2008), S. 67. Vgl. Lauritzen, S. (2000), S. 21; vgl. Hövelmanns, N.; Baumgart, W. (1999), S. 15. Vgl. Stahlknecht, P.; Hasenkamp, U. (2005), S. 222.
181
monisierung von Prozessen eher um "harte" Faktoren handelt, sind bei der personellen und kulturellen Zusammenführung des IT-Bereichs vorwiegend "weiche" Faktoren zu beachten.2 Die strukturelle Integration der IT-Organisation beschreibt die organisatorische Umsetzung der strategischen Integrationsziele über sämtliche IT-bezogene aufbau- und ablauforganisatorische Elemente.3 Die Aufbauorganisation gliedert den IT-Bereich eines Unternehmens in Teilbereiche oder Abteilungen.4 Dabei werden die aus der Gesamtaufgabe des Unternehmens abgeleiteten IT-technischen Teilaufgaben auf die IT-Bereiche und Teilbereiche verteilt und Leitungs-, Informations- und Kommunikationsbeziehungen zwischen den Teilbereichen bestimmt. Bei der Zusammenführung der IT-Aufbauorganisationen gilt es, eine Struktur zu schaffen, in der Aufgaben- und Verantwortungsbereiche und deren Koordination klar und überschneidungsfrei festgelegt sind. Bei der Integration der IT-Ablauforganisation sind die IT-Prozesse zu harmonisieren. 5 Wie bereits in Abschnitt 2.4.1 beschrieben wurde, sind Aufbau- und Ablauforganisation eng miteinander verflochten. Ein umfangreiches IT-Integrationsvorhaben erfordert größtenteils die Neuorganisation des ITBereichs. Die aufbau- sowie die ablauforganisatorische Gestaltung orientiert sich dabei in erster Linie an der IT-Strategie, den Anforderungen ihrer Kunden – der Geschäftseinheiten und der Fachbereiche – und an der IT-Ziellandschaft.6 Die Konsolidierung der IT-Organisation kann eine bedeutende Quelle für Kosteneinsparungen darstellen.7 Durch die Zusammenlegung von IT-Funktionen sowie die Harmonisierung von IT-Prozessen lassen sich die bereits unter dem Begriff "Economies of Scale" beschriebenen Skaleneffekte realisieren. Allgemein gilt: Je kompatibler die bestehenden Strukturen und Prozesse der Integrationsparteien sind, desto größer ist der "organizational fit" und desto geringer ist der notwendige Anpassungsund Änderungsaufwand.8
4.1.2.1 Aufgabenebenen der Organisationsintegration Unabhängig von dem Wandel, dem die IT grundsätzlich und insbesondere in einer Integrationsphase unterworfen ist, lassen sich die Aufgaben der IT in strategische, administrative und operative Aufgabenstellungen gliedern.9 Im Folgenden werden die jeweiligen Kernaufgaben herausgearbeitet. Sie sind sowohl bei der Gestaltung der temporären Integrationsorganisation als auch bei der auf Dauer angelegten Aufbau- und Ablauforganisation zu berücksichtigen.
1
Vgl. Achleitner, A.-K.; Wecker, R.; Wirtz, B.W. (2004), S. 1506. Vgl. Achleitner, A.-K.; Wecker, R.; Wirtz, B.W. (2004), S. 1507; vgl. Faltin, T. (2002), S. 15. Vgl. Brunner, H.; Gasser, K.; Pörtig, F. (2003), S. 31. 4 Vgl. hierzu und im Folgenden Grochla, E. (1995), S. 24 sowie Schmidt, G. (1995), S. 22 ff. 5 Vgl. Rigall, J.; Hornke, M. (2007), S. 500. 6 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 105. 7 Vgl. Trapp, R. C.; Otto, A. (2002), S. 104 und S. 108. 8 Vgl. Rohloff, S. (1994), S. 73. 9 Vgl. hierzu und im Folgenden Lassmann, W. (2006), S. 291. 2 3
182
Die strategische Aufgabenebene umfasst in erster Linie neben der Führung und Steuerung des IT-Bereichs die Entwicklung der IT-Strategie und deren konsequente Umsetzung. Dabei wird die Zielrichtung für den Einsatz der IT zur Unterstützung des Unternehmens festgelegt und die IT-Organisation entsprechend geplant und gesteuert. Es lassen sich folgende Kernaufgaben für die Verantwortlichen zur Integration des IT-Bereichs ableiten: Festlegung der strategischen Ausrichtung der IT und IT-spezifischer Governanceund Compliance-Richtlinien sowie die Installation eines damit verbundenen einheitlichen IT-Risikomanagements, Zusammenführung und Management der IT-Projekt- und Anwendungsportfolios, Gestaltung des integrierten Organisationsaufbaus und homogener IT-Leistungsprozesse, Führung und Motivation der IT-Mitarbeiter mittels eines professionellen Personalmanagements, Zusammenführung der übergeordneten Planung und Steuerung des IT-Bereichs inklusive der Vereinheitlichung der IT-Controllinginstrumente und des Berichtswesens, der Konsolidierung der IT-Finanzen bzw. der IT-Kosten und der Installation einer übergreifenden Budgetplanung, Konsolidierung des IT-Qualitätsmanagements und der Qualitätsrichtlinien zur Gestaltung der IT-Landschaft, Festlegung einer einheitlichen "IT-Sprache" und Vorleben einer gemeinsamen ITKultur sowie Ideengeber und Treiber von Innovationen im Unternehmen. Die administrative Aufgabenebene beinhaltet Aufbau, Entwicklung und Anpassung der ITLandschaft nach den Vorgaben der IT-Strategie bzw. der IT-Governance- und IT-Compliance-Richtlinien. Damit fallen den IT-Mitarbeitern im Kern folgende Aufgaben zu: Vermittlung zwischen Fachbereichen und technischer Umsetzung bei der Durchführung von Integrationsmaßnahmen und den übrigen IT-Vorhaben, gemeinsame Umstrukturierung und Neumodellierung der zu integrierenden Geschäftsprozesse, Planung, Entwicklung, Test und Implementierung der konsolidierten Anwendungslandschaft und der einheitlichen IT-Infrastruktur, technische und organisatorische Zusammenlegung von Standorten und Anwendergruppen,
183
Konsolidierung des Bestandsmanagements und Aufbau einer ausgeglichenen Dimensionierung der IT-Infrastrukturelemente, Einrichtung und Durchführung eines strukturierten Anforderungs- und Änderungsmanagements, Zusammenführung der Einkaufsaktivitäten und Konsolidierung des Lizenzmanagements, Migration der relevanten Datenbestände in die IT-Ziellandschaft und gegebenenfalls in ein Archivierungssystem sowie gesetzeskonforme Ablösung überflüssig gewordener Anwendungen. Die operative Aufgabenebene hat die Produktion und Verarbeitung von Informationen sowie die Sicherstellung der Funktionsfähigkeit der IT-Landschaft zum Inhalt. Die Kernaufgabe liegt damit im Management des Einsatzes der Ressource Information in Abhängigkeit von Angebot und Nachfrage durch Planung der technischen Aspekte des informationswirtschaftlichen Lebenszyklus vor dem Hintergrund der Entscheidung über die Ausgestaltung der IT-Ziellandschaft, Betrieb, Wartung und Pflege der bestehenden IT-Landschaften bis zum Zeitpunkt der Migration und anschließend Betrieb, Wartung und Pflege der IT-Ziellandschaft, Betreuung der Anwender. Während der Phase der Integrationsumsetzung wird die Wartung und Pflege der IT-Landschaften sowie die Anwenderbetreuung auf ein notwendiges Maß reduziert und der Betrieb in der Regel möglichst uneingeschränkt aufrechterhalten.1
4.1.2.2
Aufbauorganisatorische Gestaltung der IT
Die organisatorische Integrationsgestaltung lässt sich grob in zwei zeitlich versetzte Managementaufgaben unterteilen:2 1. Die Entwicklung und der Einsatz von organisatorischen Übergangsregelungen mit klar definierten Zuständigkeiten und Prozessabläufen während des Integrationsprozesses, welche die Bewerkstelligung der in Abschnitt 2.3.2 beschriebenen Aufgaben der IT im Rahmen der Integration ermöglichen.
1
So werden beispielsweise Releasewechselvorhaben verschoben. Jedoch sollten der Betrieb der IT-Landschaft sowie die Abwicklung IT-gestützter Geschäftsprozesse nicht beeinträchtigt werden. Siehe hierzu die Ausführungen in Abschnitt 2.3.2. 2 Vgl. Gerpott, T. J. (2003), S. 463. 184
2. Der Entwurf und die Einführung einer integrierten und auf Dauer angelegten Aufbauund Ablauforganisation für den IT-Bereich. Innerhalb des Integrationszeitraums hat der IT-Bereich neben den Integrationsaktivitäten auch seine Hauptaufgabe – eine das Geschäft unterstützende IT-Dienstleistung anzubieten – zu erfüllen. Bei dem Entwurf temporärer Zuständigkeitsregelungen lassen sich vier Alternativen der strukturellen Integrationsorganisation unterscheiden:1
die Schaffung einer Projektorganisation mit Personal, das für die Dauer des Integrationsprozesses von seinen üblichen Tätigkeiten vollständig freigestellt wird, und die parallele Bewältigung des Tagesgeschäftes durch die IT-Bereiche mit reduzierten Mitarbeiterzahlen
der Einsatz eines Integrationsmanagers, der die Gesamtverantwortung für die Integration und die Koordination der Restrukturierung der IT-Bereiche übernimmt, ohne mit direkter Weisungsbefugnis ausgestattet zu sein
die Einrichtung einer Matrix-Projektorganisation, bei der die Mitarbeiter bei Weiterführung ihrer üblichen Tätigkeiten zusätzlich Integrationsaufgaben übernehmen
die Beibehaltung der bestehenden Organisationsstrukturen bei gleichzeitiger Erweiterung des Verantwortungsbereichs der bestehenden IT-Bereiche um die entsprechenden Integrationsaufgaben
Eine allgemeingültige, optimale Projektorganisation gibt es nicht, da die situativen Rahmenbedingungen zu verschieden sind.2 Dennoch lassen sich einzelne Basisregeln festhalten. Bei umfangreichen Integrationsvorhaben bietet sich aufgrund der Komplexität der Aufgabestellung der Aufbau einer eigenständigen Projektorganisation mit Integrationsteams – also einer Integrationsorganisation als Projekt neben den bestehenden Organisationsstrukturen der Integrationsparteien – an.3 Die Anzahl der Ebenen der Projektorganisation ist abhängig von der Komplexität des Integrationsvorhabens und der Größe der bestehenden Aufbauorganisation der Integrationsparteien.4 In Abschnitt 4.2.3.3 wird vertiefend auf die professionelle Handhabung und Besetzung von IT-Integrationsprojekten eingegangen. Die auf Dauer angelegte Organisationsstruktur lässt sich vereinfacht in vier situative IT-Organisationsmodelle gliedern.5 Dabei ist die Gestaltung abhängig von dem Autonomiebedarf sowie den strategischen Interdependenzen bzw. dem Überdeckungsgrad der Prozesse beider
1
Vgl. Gerpott, T. J. (2003), S. 465 f. Vgl. Clever, H. (1993), S. 135. 3 Vgl. Penzel, H.-G; Pietig, C. (2000), S. 55; vgl. Pribilla. P. (2000), S. 71; vgl. Rigall, J.; Hornke, M. (2007), S. 500. 4 Vgl. Gerpott, T. J. (1993), S. 136; vgl. Penzel, H.-G; Pietig, C. (2000), S. 57 ff.; vgl. Lehmann, J.; Scheuse, T. (2000), S. 18. 5 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 105. 2
185
Integrationsparteien. Werden die vier verschiedenen Organisationsmodelle mit den Integrationstypen von Haspeslagh und Jemison in Verbindung gebracht, lässt sich bei Unternehmenszusammenschlüssen abhängig von dem angestrebten Integrationstyp ein idealtypisches IT-Integrations-Organisationsmodell ableiten: Zentralisiertes IT-Organisationsmodell: Bei einer insgesamt zentral geführten Unternehmensstruktur und einem geringen Autonomiebedarf der IT-Bereiche bietet sich eine zentralisierte IT-Organisation an. Dieses ist in der Regel bei Unternehmenszusammenschlüssen vom Integrationstyp "Absorption" der Fall. Die Prozesse weisen hierbei einen relativ hohen Überdeckungsgrad auf und die verschiedenen Geschäftseinheiten verfügen über eine eher geringe unternehmerische Eigenständigkeit. Daher schöpfen die Zusammenschlussparteien den größten Vorteil aus der gemeinsamen Nutzung einer konsolidierten und standardisierten IT-Organisation bzw. IT-Landschaft.1 Eine starke IT-Führung mit ausgedehnten Entscheidungsbefugnissen ist erforderlich, um eine entsprechende Zielsystemlandschaft aufzubauen und zu erhalten. Unabhängiges IT-Organisationsmodell: Liegt ein relativ hoher Autonomiebedarf vor und sind die IT- und Geschäftsprozesse durch einen geringen Überdeckungsgrad gekennzeichnet, ist eine jeweils eigenständige IT-Organisation mit eigener, weitgehend voneinander unabhängiger IT-Verantwortung zu empfehlen. Hier lässt sich als Beispiel ein Unternehmenszusammenschluss vom Integrationstyp "Erhaltung" anführen. Die dezentralisierte Unternehmensstruktur erhält dem Unternehmen die Möglichkeit der späteren Trennung bzw. des Verkaufs von einzelnen Unternehmensteilen. Wie bereits in Abschnitt 2.2.1.4 beschrieben, ist das Synergiepotenzial bei der Wahl dieses Integrationstyps sehr gering. Koordiniertes IT-Organisationsmodell: Weisen die Zusammenschlussparteien sehr unterschiedliche Geschäftsprozesse auf, wird häufig der Weg gewählt, das Unternehmen z. B. nach einem Zusammenschluss in Form einer "Holding" zu strukturieren. Dennoch sollte geprüft werden, ob in den administrativen Bereichen ein höherer Überdeckungsgrad der Geschäftsabläufe besteht. Gegebenenfalls lassen sich durch die Vereinheitlichung der unterstützenden Prozesse und die Zusammenführung der entsprechenden IT-Anwendungen, beispielsweise im Bereich Personalwesen oder Finanzen, Synergiepotenziale erzielen. Auch die Möglichkeit der Bildung gemeinsamer Dienstleistungszentren, z. B. in der Form einer Hotline für die Anwender oder eines IT-Shared Service Centers, ist zu untersuchen. Harmonisiertes IT-Organisationsmodell: Integrationsparteien, die eine Teilintegration anstreben bzw. Unternehmenszusammenschlüsse vom Integrationstyp "Symbiose" sind dadurch gekennzeichnet, dass die Geschäftsprozesse zwar einen mittleren bis hohen Überdeckungsgrad aufweisen, die Zusammenschlussparteien jedoch auch zukünftig sehr autonom
1
Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 105.
186
agieren sollen. Um die bestehenden Synergiepotenziale im vollen Umfang ausschöpfen zu können, bietet sich eine harmonisierte IT-Organisation an. Auf diese Weise lässt sich eine Abstimmung über alle Geschäftsbereiche ermöglichen und zugleich die erforderliche Selbstständigkeit wahren. Die vier beschriebenen Organisationsmodelle werden in der folgenden Grafik dargestellt.
Abbildung 20: Modelle zur situativen IT-Organisationsintegration Quelle: eigene Darstellung in Anlehnung an Pfeifer, A.; Holtschke, B. (2003), S. 106.
Das richtige IT-Integrations-Organisationsmodell gibt es nicht. Die Ausgestaltung der zukünftigen IT-Organisationsstruktur ist stark vom angestrebten IT-Integrationsgrad abhängig. Auch wenn theoretisch beispielsweise eine Beibehaltung der bestehenden Organisationsstrukturen bei einer Vollintegration beider IT-Landschaften denkbar ist, handelt es sich dabei langfristig nicht um eine sinnvolle Lösung, da Synergiepotenziale ungenutzt bleiben. So ist abhängig von dem angestrebten Integrationsgrad, der gewählten Integrationsmethode und dem zukünftig anzubietenden Leistungsprogramm eine Grundsatzentscheidung darüber zu treffen, ob eine, beide oder keine der bestehenden Organisationsstrukturen beibehalten werden sollen. Die Vorgehensweise bei der Zusammenführung der IT-Strukturen lässt sich anhand des gleichen Grundmusters wie die Integrationsmethode zur Zusammenführung der IT-Landschaft in vier Ausprägungen differenzieren. Im Fall der Erhaltung werden beide Organisationsstruk-
187
turen unverändert aufrechterhalten. Sollen die Organisationsstrukturen zu einer einheitlichen IT-Struktur zusammengeführt werden, kann zwischen der Absorptions-, der Cherry-Pickingund der Greenfield-Methode gewählt werden. Auf dem Weg der Absorption wird der Mitarbeiterstamm der einen Integrationspartei bei vollständiger Auflösung der bestehenden Strukturen zum Teil freigesetzt und zum Teil in die Organisationsstruktur der anderen Integrationspartei integriert. Bei diesem Vorgehen wird die hohe Integrationsgeschwindigkeit der Chance, durch die Kombination der erfolgreichsten IT-Prozesse und -Funktionen beider Integrationsparteien eine verbesserte Organisationsstruktur zu generieren, vorgezogen.1 Beim Cherry-Picking-Ansatz werden die verschiedenen Organisationsstrukturelemente zuerst auf ihre zukünftige Notwendigkeit überprüft. Strukturelemente mit identischen Aufgabenbereichen und IT-Prozessen werden vor dem Hintergrund der IT-Strategie und der IT-Integrationsziele bezüglich ihres Kosten-/ Nutzenverhältnisses bewertet und miteinander verglichen, um anschließend das zur Aufgabenerfüllung besser geeignete Element auszuwählen. Zur Gestaltung der neuen Organisationsstruktur werden schließlich die jeweils besseren, auch zukünftig relevanten Organisationselemente redundanzfrei zusammengeführt. Bei Stellen und Funktionen, die mehrfach besetzt sind oder zukünftig entfallen, ist für die betroffenen Mitarbeiter die Freisetzung zu planen und ein Trennungsprozess einzuleiten.2 Diese Vorgehensweise ist nur bei übereinstimmenden Regelungen3 bezüglich der Verantwortungsbereiche möglich. Ist ein Integrationspartner beispielsweise funktional und der andere divisional strukturiert, ist der Cherry-Picking-Ansatz nicht umsetzbar. Bei Anwendung des Greenfield-Ansatzes erfolgt eine grundlegende Neugestaltung der Organisationsstruktur. Hierbei ist eine vollkommene Konzentration auf die Anforderungen der Fachbereiche, die Umsetzung der IT-Strategie und die Erreichung der Integrationsziele möglich. Jede Stelle wird neu beschrieben und anschließend von dem jeweils qualifiziertesten Mitarbeiter besetzt. Allerdings handelt es sich dabei um eine sehr zeitaufwendige Vorgehensweise. Bei größeren Integrationsvorhaben werden die beschriebenen Grundmuster in der Regel kombiniert eingesetzt. Um zu einer aussagefähigen Entscheidungsgrundlage für die Gestaltung der IT-Aufbauorganisation und für die Positionsbesetzung auf Führungs- und Mitarbeiterebene zu gelangen, sind Aufgabenanalysen, Führungskräfte-Auditierungen und gegebenenfalls auch ein Organisationsbenchmarking durchzuführen.1 Die tatsächliche Konsolidierung der auf Dauer angelegten IT-Organisationsstruktur kommt häufig erst in Frage, wenn die Prozesse und IT-Landschaften integriert wurden, da der laufende Geschäftsbetrieb möglichst unbeeinträchtigt aufrechterhalten werden muss. Ein weiterer 1
Vgl. Trapp, R. C.; Otto, A. (2002), S. 104 sowie S. 108. Vgl. Pribilla. P. (2003), S. 73. Dabei ist darauf zu achten, dass die IT-Integration nicht gefährdet wird, siehe hierzu genauer Abschnitt 4.1.2.3. 3 Allgemein werden hierbei funktionale, divisionale oder regionale aufbauorganisatorische Regelungen unterschieden. Siehe hierzu auch die Ausführungen in Abschnitt 2.4.1. 2
188
Grund dafür, von einer grundlegenden Restrukturierung des IT-Bereichs während der Integration der IT-Landschaft abzusehen, ist die mögliche Verunsicherung und Demotivation der Mitarbeiter, welche ihre ungeteilte Aufmerksamkeit dem Integrationsprojekt und dem störungsfreien Weiterbetrieb der bestehenden IT-Landschaften widmen sollen.2 Auf der anderen Seite erfordert die Konsolidierung der IT-Landschaften in vielen Fällen auch die parallele Zusammenführung der IT-Support- und Servicestrukturen. Die zeitliche Abfolge der einzelnen Integrationsaktivitäten ist unternehmens- und situationsabhängig zu planen. Die Besetzung von Führungspositionen sollte jedoch in jedem Fall frühzeitig, eindeutig und überschneidungsfrei geklärt sein. Manager, die der Integration negativ gegenüberstehen und nicht Willens oder in der Lage sind, den Integrationsprozess mit der erforderlichen Durchsetzungskraft zu konzipieren und umzusetzen, sollten schnell ausgewechselt werden.3
4.1.2.3
Ablauforganisatorische Gestaltung der IT
Die IT-Prozesse beschreiben die Ablauforganisation des IT-Bereichs, was sowohl die Führungsaufgaben als auch die administrative und operative IT-Leistungserbringung einschließt. Mittlerweile herrscht allgemein Einigkeit darüber, dass für die erfolgreiche Unterstützung der Kerngeschäftsprozesse eines Unternehmens eine effektive IT-Organisation sowie effiziente IT-Prozesse unverzichtbar sind.4 Daher ist bei der IT-Integration der Harmonisierung der ITProzesse besondere Aufmerksamkeit zu schenken, um neben Kostensenkungen auch Prozessverbesserungen zu erreichen.5 Die steigende Bedeutung des internen IT-Leistungsprogramms ist darauf zurückzuführen, dass ein reibungsloser Geschäftsablauf funktionierende IT-Prozesse bedingt. Mit dem Ausfall von IT-Services sind zum Teil erhebliche Risiken für das Unternehmen verbunden. Bei einer hohen informationstechnischen Durchdringung der Geschäftsabläufe ist die Einhaltung von IT-Service-Levels auch während des Integrationsprozesses von großer Bedeutung, um die Abwicklung unternehmenskritischer Geschäftsprozesse zu gewährleisten.6 Können beispielsweise verschiedene Geschäftsprozesse aufgrund eines ausfallenden IT-Services nicht ausgeführt werden, so ergibt sich eine stetig steigende Anzahl von Geschäftvorfällen, welche nicht abgewickelt werden können. Je länger der Service ausfällt, desto größer ist der entstandene Schaden. Der Ausfall eines solchen Services kann, je nach Unternehmensgröße, Kosten von bis zu ca. 6 Mio. US-Dollar pro Stunde verursachen.7 Im Rahmen der IT-Integration werden neue IT-Prozesse eingeführt, andere modifiziert und wieder andere vollständig abgeschafft. Die Umbruchstimmung des Integrationsprozesses kann
1
Vgl. Wildemann, H. (2003b), S. 661. Vgl. Wurl, H.-J. (2003), S. 221. 3 Vgl. Wurl, H.-J. (2003), S. 221 f. 4 Vgl. Bender, K.; Ammann, C.; Meitner, H. (2000), S. 25. 5 Siehe hierzu die Ausführungen in Abschnitt 2.3.1. 6 Vgl. Rigall, J.; Hornke, M. (2007), S. 497 f. 7 Vgl. Bender, K.; Ammann, C.; Meitner, H. (2000), S. 25. 2
189
genutzt werden, um auch die IT neu zu organisieren.1 Der erste Schritt liegt in der Schaffung von Transparenz über bestehende IT-Prozesse anhand von Dokumentationen und Know-howTrägern. Dabei sind neben den Prozessbeteiligten auch der Prozessinput sowie der -output darzulegen.2 Auf diesem Weg wird ein Überblick der von den einzelnen Organisationseinheiten wahrgenommen Aufgaben geschaffen, um anschließend die Verteilung der IT-Kapazitäten auf die zukünftigen Kernprozesse der IT vornehmen zu können. Die Aufnahme und Analyse bestehender Prozesse dient, gemeinsam mit dem Plan für die Ausgestaltung der zukünftigen IT-Landschaft, als Grundlage für die Neukonzeption des zukünftigen IT-Leistungsprogramms und der IT-Prozesse. Bei der Zusammenführung zu einer einheitlichen Ablauforganisation sind gezielt die Verbesserung der IT-Prozesseffektivität sowie die Erhöhung der IT-Prozesseffizienz durch Abschaffung von redundanten und obsoleten Prozessen bzw. Teilprozessen zu verfolgen. Gegebenenfalls ist das bestehende Service-Level-Management zu überarbeiten und zu vereinheitlichen. So kann beispielsweise durch die Integration der System- und Anwendungsbetreuung eine inhaltliche Aufgabenbündelung erfolgen. Auf diese Weise ist es z. B. möglich, eine zeitlich abgestimmte Organisation der Programmpflege beim Einspielen neuer Pakete bzw. bei der Durchführung von Releasewechseln zu erreichen.3 Durch eine übergeordnete Planung kann eine geschlossene und konsistente Vorgehensweise umgesetzt werden. Folgende Teilziele sollten bei der IT-Prozessharmonisierung konsequent verfolgt werden:4 Umfassende und systematische Abdeckung der erforderlichen Leistungen und Aufgaben der IT Eindeutige Zuordnung von Verantwortlichkeiten und erforderlicher Kompetenz Transparenz über Prozessabläufe, Abhängigkeiten und Schnittstellen als Grundlage für IT-Controlling, Benchmarking und die Einhaltung der IT-Governance- und ITCompliance-Richtlinien Die Zusammenführung der IT-Prozesse erfordert die Vereinheitlichung der Kosten- und Leistungsverrechnung. In der Praxis werden das Umlageverfahren, die direkte Leistungsverrechnung sowie prozess- und produktorientierte Ansätze eingesetzt.5 Die Bündelung der ITLeistungen zu Produkten, die den Anwendern angeboten und in Rechnung gestellt werden, ist schon lange kein Verfahren mehr, welches allein den extern agierenden IT-Dienstleistern vorbehalten bleibt.6 Die produktorientierte IT-Leistungsverrechnung schafft neben Verursachungsgerechtigkeit, Kostentransparenz und der Steigerung des Kostenbewusstseins bei den
1
Vgl. Bender, K.; Ammann, C.; Meitner, H. (2000), S. 25. Vgl. Rigall, J.; Hornke, M. (2007), S. 501. 3 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 100. 4 Vgl. Rohloff, M. (2007), S. 29. 5 Vgl. hierzu genauer Schröder, H.; Kesten, R.; Hartwich, T. (2007), S. 52 ff. 6 Vgl. hierzu und im Folgenden Schröder, H.; Kesten, R.; Hartwich, T. (2007), S. 50 ff. 2
190
Anwendern auch eine stärkere Kundenorientierung der IT-Mitarbeiter. In der Praxis werden die IT-Bereiche häufig als Cost-Center geführt, obwohl erfolgsverantwortliche IT-Organisationen ihren Ressourcenbedarf in der Regel effektiver steuern.1 Empfehlenswert ist, langfristig eine einheitliche, verbrauchsgesteuerte Abrechnung der Betriebskosten an die Fachbereiche einzuführen, die sich an den Vorgaben der IT-Governance orientiert. Die Integration der IT bietet hierzu eine gute Gelegenheit. Auf diese Weise wird dem Kunden des IT-Bereichs ein Instrument in die Hand gegeben, mit dem die Inanspruchnahme der IT-Leistungen und der damit verbundenen Kosten eigenverantwortlich gesteuert werden kann. Die Rechnungsstellung der IT-Kosten an die Fachabteilungen in Ausrichtung am tatsächlichen Verbrauch, dem gewünschten Servicegrad und der Reaktionsgeschwindigkeit, erlaubt den Anwendern die Einflussnahme auf die Kosten ihres IT-Konsums.2 Unabhängig von dem konkreten Modell zur Verrechnung der IT-Kosten sollte die Weiterverrechnung einfach, fair, vorhersehbar und nachvollziehbar erfolgen.3 Der Integrationsprozess schafft die Möglichkeit, die erforderlichen organisatorischen Veränderungen zu veranlassen. Letztendlich ist jedoch für die Ausgestaltung der internen IT-Leistungsverrechnung entscheidend, welche Richtlinien die IT-Strategie vorgibt und was von der jeweiligen Anwendergruppe akzeptiert wird.4
4.1.2.4 Personalbezogene Gestaltung der IT In diesem Abschnitt soll kurz auf personelle Aspekte der IT-Integration und die entsprechenden Instrumente des Personalmanagements sowie auf kulturelle Aspekte bei der Zusammenführung von IT-Organisationsstrukturen eingegangen werden. a) Personelle Integration Die Zusammenführung des IT-Personals mit seinen individuellen Rollen und Fähigkeiten und den zum Teil veränderten Anforderungen an die Mitarbeiterpositionen fordert vor allem soziale Kompetenz von den Verantwortlichen. Es ist ein Auswahlprozess für die Mitarbeiter zur Stellenbesetzung der auf Dauer angelegten Organisationsstruktur zu definieren. Dabei ist sicherzustellen, dass die IT-Mitarbeiter über die künftig erforderlichen Kenntnisse und Qualifikationen verfügen, um den veränderten Anforderungen gerecht zu werden und das eventuell erweiterte Aufgabenspektrum abdecken zu können. Dies bezüglich lassen sich zwei anforderungs- und qualifikationsorientierte Vorgehensweisen unterscheiden:1 Jeder Mitarbeiter hat die Möglichkeit, sich auf zu besetzende Stellen zu bewerben. Wer eine neutrale Beurteilung und objektive Auswahl des geeignetsten Mitarbeiters treffen kann, ist situationsabhängig zu beschließen. 1
Vgl. Bender, K.; Ammann, C.; Meitner, H. (2000), S. 28. Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 100. Vgl. Grohmann, H. H. (2003), S. 21. 4 Vgl. Schröder, H.; Kesten, R.; Hartwich, T. (2007), S. 52. 2 3
191
Basierend auf strukturierten Interviews mit den bisherigen Vorgesetzten der Mitarbeiter, ergänzt um Interviews mit den Mitarbeitern, wird gemeinsam mit einem externen Personalberater eine Beurteilung vorgenommen und durch den zukünftigen Vorgesetzten eine Auswahl getroffen. Die Leistungsfähigkeit der Mitarbeiter, zukünftige Aufgabenstellungen mit ihrem individuellen Know-how bewältigen zu können, und die Leistungsbereitschaft, die Aufgaben auch übernehmen zu wollen, sind zwei wesentliche personenbezogene Faktoren, welche die Auswahl der Mitarbeiter bestimmen.2 Bei der Auswahl der Mitarbeiter sind die jeweiligen vertraglichen Regelungen sowie die gesetzlichen Bestimmungen, wie beispielsweise der Kündigungsschutz, zu berücksichtigen. Eine Beratung durch Rechtsexperten kann hier sehr hilfreich sein.3 Geht z. B. ein Betrieb oder Betriebsteil bei einem Unternehmenszusammenschluss durch Rechtsgeschäft auf einen anderen Inhaber über, so tritt dieser gemäß § 613a Abs. 1 Satz 1 BGB in die Rechte und Pflichten aus den im Zeitpunkt des Übergangs bestehenden Arbeitsverhältnissen ein. Diese Rechte dürfen nach § 613a Abs. 1 Satz 2 BGB nicht vor Ablauf eines Jahres nach dem Zeitpunkt des Übergangs zum Nachteil des Arbeitnehmers geändert werden.4 Bei einem Unternehmenszusammenschluss in Form eines Share Deal liegt lediglich ein Betriebserwerb vor und es kommt zu keinem Betriebsübergang, sodass § 613a BGB in diesem Fall nicht greift. Entsprechende gesetzliche Regelungen sind daher bei der Personalplanung unbedingt zu beachten. Oftmals konzentriert sich die Planung, Konzeption und Umsetzung der IT-Integration allein auf die IT-Landschaft sowie die entsprechenden Leistungsprozesse und lässt dabei die Menschen, die durch die Integration zusammengeführt werden und künftig miteinander auskommen müssen, vollkommen außer Acht.5 Der "Faktor Mensch" und die individuellen Problemstellungen, die er bei der Mitarbeiterintegration mit sich bringt, dürfen im Rahmen der Integration nicht vernachlässigt werden. Bei dieser Aufgabenstellung sind gesunder Menschenverstand, soziale Kompetenz, eine geschulte Beobachtungsgabe, ein offenes Ohr für Ängste und Probleme sowie eine durchgängig offene und konsequente Kommunikation entscheidender als Vorgehensmodelle und zahlenbasierte Werkzeuge.1 Nichtsdestotrotz ist eine systematische Vorgehensweise unverzichtbar, um der durch den Integrationsprozess ausgelösten Unsicherheit und Instabilität entgegen zu wirken und stabilisierende Strukturen zu schaffen. Ein umfangreiches Integrationsprojekt stellt vielfach die Jobsicherheit und die Karrieremöglichkeiten und damit letztendlich die Motivation von IT-Führungskräften und ihren Mitarbei1
Vgl. Pribilla. P. (2003), S. 73. Vgl. Pfohl, H.-C; Hofmann, E. (2003), S. 314. Vgl. Pribilla. P. (2003), S. 73. 4 Vgl. hierzu und im Folgenden Söbbing, T. (2007), S. 169. 5 Vgl. Matuschka, A. (1990), S. 111. 2 3
192
tern in Frage. Massive Widerstände gegen die Veränderungen, sinkende Produktivität der Mitarbeiter sowie die Abwanderung bedeutender IT-Fach- und Führungskräfte können den Erfolg der Integration gefährden, deshalb sollte das Personalmanagement als relevanter Bestandteil des Integrationsmanagements angesehen werden. Unter Personalmanagement soll die Managementtätigkeit von Führungs- und Personalfachkräften in Bezug auf Beschaffung, Einsatz, Führung, Entwicklung, Evaluierung und Freisetzung von Mitarbeitern eines Unternehmens verstanden werden. Das Personalmanagement umfasst auch die Vertragsgestaltung und die situationsgerechte Information der Mitarbeiter.2 In einer Integrationssituation sind Mitarbeiter äußerst sensitiv und die allgemeine Grundstimmung ist eher pessimistisch. Unternehmensinterne Veränderungen lösen häufig Unsicherheit bei den betroffenen Mitarbeitern aus. Besteht Unklarheit über den Fortbestand von Arbeitsplätzen, Entgeltregelungen, Standorten oder die persönlichen Karriereentwicklungsmöglichkeiten, kann dies zu einer von den Mitarbeitern als bedrohlich empfundenen Arbeitssituation führen.3 Je umfangreicher, schneller und unerwarteter die Veränderungen umgesetzt werden, desto größer ist das Unsicherheitsausmaß. Die Verunsicherung kann zur Demotivation und zu ungewünschten Reaktionen der Mitarbeiter führen. Es zählt zu den Aufgaben des Integrationsmanagements, bei der personenbezogenen Integration Maßnahmen zu ergreifen, die der Verunsicherung der betroffenen Mitarbeiter entgegenwirkt. Dabei ist zu berücksichtigen, dass das Handeln der Führungskräfte insbesondere zu Beginn des Integrationsprozesses stark symbolisch interpretiert wird.4 Die IT-Mitarbeiter verfügen über spezifisches IT-Know-how, welches abhängig von der Entscheidung über die Ausgestaltung der künftigen IT-Landschaft im Integrationsprozess oder auch über diesen hinaus von Relevanz ist und entsprechend genutzt werden sollte. Nur durch ein professionelles Personalmanagement, welches die entsprechenden Abhängigkeiten berücksichtigt, gelingt es, das vorhandene IT-Wissen sinnvoll einzusetzen und über IT-Trainings die erforderlichen Kenntnisse entsprechend zu verteilen.5 Teilweise ist der Betrieb komplexer IT-Landschaften abhängig von einigen wenigen Mitarbeitern. Der Weggang von IT-Mitarbeitern in Schlüsselpositionen stellt ein bedeutendes Risiko der IT-Integration dar.6 Wertvolle Know-how-Träger beider Parteien sollten somit frühzeitig identifiziert und über geeignete Anreizsysteme zum Verbleib im Unternehmen motiviert werden.7 Insbesondere die Identifikation von wichtigen Führungskräften und Schlüsselmitarbeitern, die über spezielles
1
Vgl. hierzu und im Folgenden Baumöl, U. (2003), S. 247. Vgl. Pribilla, P. (2000), S. 65. 3 Vgl. hierzu und im Folgenden Gerpott, T. J. (2003), S. 471 f. 4 Vgl. Müller-Stewens, G. (2006), S. 789. 5 Vgl. hierzu und im Folgenden Rigall, J.; Hornke, M. (2007), S. 501. 6 Vgl. Ottersbach, D.; Kolbe, C. (1990), S. 144. 7 Sinnvollerweise wird damit bereits in der ersten Phase des Integrationsprozesses begonnen. Siehe hierzu Abschnitt 4.2.2 2
193
Wissen und schwer ersetzbare Kompetenzen verfügen, sollte so früh wie möglich erfolgen, um deren erforderliche Einbindung im Integrationsprojekt sicherzustellen. In persönlichen Gesprächen können Unsicherheiten ausgeräumt, zukünftige Veränderungen erläutert und Entwicklungsmöglichkeiten aufgezeigt werden.1 Bei Unternehmenszusammenschlüssen erweist es sich zum Teil als sinnvoll, den Übergang bestimmter Schlüsselmitarbeiter gesondert vertraglich zu regeln, um möglich Risiken zu vermeiden.2 Durch die Ablösung wesentlicher Anwendungssysteme oder die Zusammenlegung von Rechenzentren verlieren Kompetenzen ganzer Abteilungen an Wert. Für die Mitarbeiter, die ITLösungen betreuen, welche im Zuge der Integration abgelöst werden sollen, entsteht eine Situation, in der ihr IT-Spezialwissen im Integrationsprozess bis zur Migration von überragender Bedeutung ist und anschließend unabwendbar überflüssig wird. An dieser Stelle gilt es Ängste zu nehmen, Perspektiven aufzuzeigen und durch konkrete Schulungsmaßnahmen den Übergang auf den zukünftigen Arbeitseinsatz zu erleichtern.3 Nach der Entscheidung über die IT-Ziellandschaft ist zu empfehlen, die langfristige Bindung wichtiger Leistungsträger voranzutreiben.4 Daher sollten individuelle Lösungen in Form von Incentives, Verweilboni oder Unterstützung bei der kurzfristigen Klärung der beruflichen Zukunft der einzelnen Mitarbeiter entwickelt und angeboten werden, um ein positives Integrationsklima zu schaffen und bedeutende Mitarbeiter langfristig oder mindestens für den Zeitraum der Integration zu halten.5 Insbesondere Unternehmenszusammenschlüsse stellen für die Konkurrenz eine gute Gelegenheit dar, kompetente Führungskräfte und Mitarbeiter abzuwerben.6 Einem Verlust dieser Schlüsselmitarbeiter ist unbedingt vorzubeugen, da er den Integrationsprozess erheblich erschwert. Zusätzlich ist die Einführung eines zielorientierten Anreizsystems für die IT-Mitarbeiter zu empfehlen, um den engagierten Einsatz der Mitarbeiter insgesamt im Integrationsprojekt durch Bonifizierung zu fördern.7 Falls sich die Vertrags- oder Gehaltsstrukturen der Mitarbeiter beider Integrationsparteien stark unterscheiden, sollte hier für eine Anpassung gesorgt werden, um auf diesem Weg dem Gefühl einer Ungleichbehandlung entgegenzuwirken. Stark differierende Gehaltsgefüge führen beispielsweise leicht zu Konflikten. Die Anpassung von Gehältern, Sozialleistungen und der Altersversorgung kann jedoch zu einem überproportionalen Anstieg der Personalkosten führen, der unbedingt einkalkuliert sein sollte.8
1
Vgl. Pribilla, P. (2000), S. 70. Vgl. Söbbing, T. (2007), S. 171. 3 Vgl. Steinbock, H.-J. (2000), S. 38. 4 Vgl. Handschuh, M; Buchta, D. (2000), S. 32; vgl. Spill, J. (2007), S. 3. 5 Vgl. Handschuh, M; Buchta, D. (2000), S. 32. 6 Vgl. Uder, H. L.; Kramarsch, M. H. (2001), S, 330. 7 Vgl. Wurl, H.-J. (2003), S. 221 f. 8 Vgl. Ottersbach, D.; Kolbe, C. (1990), S. 142. 2
194
Gehören Kosteneinsparungen durch Personalabbau im IT-Bereich zu den erklärten Zielen der Integration, wirkt es sich positiv auf das Betriebsklima aus, wenn dieses von vorneherein offen kommuniziert wird und die Unternehmensleitung sich sichtlich um sozialverträgliche Lösungen für die betroffenen Mitarbeiter bemüht.1 Die Freisetzung von Mitarbeitern im Rahmen der Konsolidierung der Organisationsstrukturen ist nicht nur für die Betroffenen sondern auch für die Mitarbeiter der Personalabteilung und die betroffenen Führungskräfte eine schwierige Aufgabe, sodass der Trennungsprozess möglichst fair gestaltet werden sollte.2 ITFührungskräfte sollten durch die Personalabteilung oder externe Spezialisten bei dieser Aufgabe im Integrationsprozess unterstützt werden. Um die personalbezogene IT-Integration zum Erfolg zu führen, leistet eine zielgruppengerechte Kommunikation einen entscheidenden Beitrag.3 Die Kommunikation ist sowohl der Zielgruppe als auch der Situation anzupassen, um der jeweiligen Wahrnehmung gerecht zu werden. Alle betroffenen IT-Mitarbeiter sind unverzüglich nach der jeweiligen Entscheidungsfindung im Integrationsprozess über die Motive, Ziele und personellen Konsequenzen zu informieren. Auf diesem Weg kann Gerüchten und Spekulationen weitgehend vorgebeugt werden, welche zu unnötiger Verunsicherung der Mitarbeiter und ungewollten Kündigungen von wichtigen Know-how-Trägern führen könnten.4 Zudem sollte die Kommunikation schnell, so direkt wie möglich und mit zugleich klaren und wahren Aussagen erfolgen, um die Durchsetzungskraft und die Glaubwürdigkeit der Verantwortlichen zu signalisieren.5 Eine Akzeptanzförderung sowie eine Reduzierung der Unsicherheit lassen sich nur erreichen, wenn sich die Informationsinhalte im Laufe des Integrationsprozesses dem Informationsbedürfnis der Betroffenen anpassen.6 Der fortdauernde Informations- und Kommunikationsprozess mit den IT-Mitarbeitern sowie mit allen übrigen Betroffenen der IT-Integration ist ein elementarer Bestandteil des Integrationsprozesses, dessen Vernachlässigung die IT-Integration zum Scheitern verurteilen kann. Festzuhalten bleibt, dass die optimale Art und Weise des Übergangs von der Projektorganisation bzw. den bestehenden IT-Organisationen zur dauerhaften Organisationsstruktur ein wesentlicher und zugleich kritischer Erfolgsfaktor der IT-Integration ist. Zur Vermeidung von Unsicherheiten sollte durch eine geeignete Kommunikation, die frühzeitige Benennung von Verantwortlichkeiten und die Definition von Berichtswegen für Klarheit bezüglich der ITAufbauorganisation gesorgt werden.7 Zunächst ist eine funktionsfähige Führungsstruktur für
1
Vgl. Wurl, H.-J. (2003), S. 222. Vgl. Pribilla. P. (2003), S. 73. 3 Vgl. Wurl, H.-J. (2003), S. 221; vgl. Spill, J. (2007), S. 3; vgl. Homburg, C.; Bucerius, M. (2004), S. 158. 4 Vgl. Wurl, H.-J. (2003), S. 221. 5 Vgl. Pribilla. P. (2003), S. 69. 6 Vgl. Homburg, C.; Bucerius, M. (2004), S. 158. 7 Vgl. Rigall, J.; Hornke, M. (2007), S. 500. 2
195
den Integrationszeitraum aufzusetzen.1 Anschließend ist die langfristige, an den Anforderungen, der IT-Strategie und den Integrationszielen orientierte, IT-Organisationsstruktur zu modellieren. b) Kulturelle Integration Unter Unternehmens- oder Bereichskultur wird in der betriebswirtschaftlichen Literatur ein Konglomerat aus Wertevorstellungen, Verhaltensregeln sowie Denk- und Handlungsweisen verstanden, welche von den Mitarbeitern akzeptiert werden und nach denen im beruflichen Umfeld gehandelt wird.2 Kulturen äußern sich z. B. im Managementstil, im Kommunikationsverhalten, in den bestehenden Vertrauensverhältnissen oder im Umgang mit Kunden und Mitarbeitern.3 Verschiedene Diskussionskulturen oder ein unterschiedliches Hierarchieverständnis sind typische Beispiele für kulturelle Unterschiede.4 Der Einfluss von Kulturunterschieden auf den Integrationserfolg ist umstritten. Während einige empirische Untersuchungen keine Korrelation feststellten, ließ sich in anderen Studien ein Zusammenhang nachweisen.5 Selbst innerhalb eines Unternehmens können sich einige Bereiche erheblich hinsichtlich ihrer Kultur unterscheiden, sodass sich beispielsweise funktionsbezogene Normen und Werte differenzieren lassen.6 Die IT ist ein technischer Arbeitsbereich, der innerhalb des Unternehmens über seine eigenen kulturellen Charakteristika verfügt. Diese Subkultur wird auch als IT-Kultur bezeichnet. IT-Mitarbeiter sprechen eine eigene Sprache und arbeiten mit speziellen Denk- und Herangehensweisen.7 Daher sind die kulturellen Differenzen der zu integrierenden IT-Bereiche oftmals deutlich geringer als in anderen Funktionsbereichen. Dennoch können entscheidende kulturelle Unterschiede beispielsweise aus der Verschiedenartigkeit der ITOrganisation oder des Technologieeinsatzes resultieren. Auf die Bewältigung kultureller Unterschiede der Integrationsparteien soll hier nicht näher eingegangen werden, da sich die Unternehmenszusammenschlussliteratur ausgiebig mit dieser Problematik auseinandersetzt.8 Zusammenfassend soll an dieser Stelle nur festgehalten werden, dass die gegenseitige Beeinflussung und Anpassung der Kulturen bereits innerhalb des Integrationsprozesses erfolgt und die diesbezüglichen Interessen beider Parteien Berücksichtigung finden sollten.9 Das Ignorieren kultureller Differenzen kann zu Konflikten oder Demotivation bei den Mitarbeitern führen. Kulturelle Unterschiede können jedoch andererseits durchaus auch anregend und bele-
1
Vgl. Faltin, T., (2002), S. 14. Vgl. Staerkle, R. (1985), S. 532; vgl. Heinen, E.; Dill, P. (1990), S. 17. Vgl. Pribilla, P. (2003), S. 74. 4 Vgl. Scherer, E. (2008), S. 27. 5 Vgl. Wurl, H.-J. (2003), S. 222. 6 Vgl. Nahavandi, A. Malakzadeh, A. R. (1988), S. 80. 7 Vgl. Vielba, F.; Vielba, C. (2006), S. 12. 8 Vgl. Rohloff, S. (1994); vgl. Stafflage, E. (2005); vgl. Hermsen, C. (1994), S. 56 ff.; vgl. Wittwer, A. (1995), S. 47 ff.; vgl. Clever, H. (1993), S. 115 ff. 9 Vgl. Büttgenbach, M. (2000), S. 66. 2 3
196
bend im Integrationsprozess wirken.1 Aufgabe des Integrationsmanagements ist es, die bestehenden Wertevorstellungen, Normen und Denkhaltungen zu erkennen, um Maßnahmen für die Zusammenführung bzw. für den Umgang mit den Unterschieden entwickeln zu können.2 Für die langfristige Leistungsfähigkeit der IT-Mitarbeiter ist entscheidend, frühzeitig die Weichen für die Entwicklung einer neuen gemeinsamen Kultur im IT-Bereich zu stellen.3 Die zentrale Aufgabe besteht darin, ein neues Zusammengehörigkeitsgefühl zu schaffen und die Leistungsbereitschaft und Innovationsfreudigkeit der Mitarbeiter zu stärken. Überzeugende Zielvorstellungen und gemeinsame Erfolgserlebnisse im Integrationsprojekt sind eine gute Basis für die Etablierung einer neuen gemeinsamen IT-Kultur. Die Verantwortlichen müssen den Mitarbeitern somit nicht nur die Angst nehmen, sondern für eine Konsensbildung und eine gemeinsame Interpretation der Ziele sowie einen Gemeinschaftssinn und die Identifikation mit dem Unternehmen sorgen. Gleichzeitig ist durch die integrierten IT-Governance-Richtlinien für die Einstellungen und das Verhalten der Mitarbeiter eine IT-Kultur zu schaffen, die den Mitarbeitern eine Orientierung zur Ausrichtung ihrer Handlungen auf den gemeinsamen Integrationserfolg bietet.4 Bei der Integration der IT sollten die Verantwortlichen daher bestrebt sein, quasi nebenbei eine gemeinsame Kultur zu schaffen, die den Mitarbeitern als Orientierungshilfe dient und Sicherheit gibt. Die Integrationsverantwortlichen geben auf Basis der Unternehmens- und IT-Strategie die Richtung vor, um gemeinsam mit den Teilprojektleitern der einzelnen Integrationsprojekte Mitarbeiter zu motivieren und zu inspirieren, eine neue gemeinsame Kultur zu schaffen.5 Zu einer kontinuierlichen Anpassung der Kulturen kommt es automatisch, wenn beide Integrationsparteien gezwungen sind, sich im Rahmen des Integrationsprojektes und während ihrer täglichen Arbeit mit der Kultur der jeweils anderen Partei auseinanderzusetzen.6 Die gemeinsame Kultur wird dabei geprägt durch den Führungsstil, das gegenseitig entgegengebrachte Vertrauen, die Art des Umgangs und der Zusammenarbeit sowie das Verhalten der Mitarbeiter untereinander. Gelingt es den Verantwortlichen bei den IT-Mitarbeitern Teamgeist und ein Wir-Gefühl, losgelöst von den bisherigen Bereichs- oder Unternehmensgrenzen, zu wecken, ist viel für eine erfolgreiche kulturelle Integration getan.7 Das gemeinsame Verständnis und der vermittelte Sinn und Zweck des Integrationsvorhabens steigern die Mitarbeitermotivation und ermöglichen die Freisetzung der erforderlichen Kräfte, um die IT-Integration erfolgreich umsetzen zu können.8
1
Vgl. Wurl, H.-J. (2003), S. 222; vgl. Pribilla, P. (2000), S. 74 f. Vgl. Clever, H. (1993), S. 115. 3 Vgl. hierzu und im Folgenden Steinbock, H.-J. (2000), S. 40. 4 Vgl. Wittwer, A. (1995), S. 51. 5 Vgl. Handschuh, M; Buchta, D. (2000), S. 33. 6 Vgl. Pfohl, H.-C; Hofmann, E. (2003), S. 322. 7 Vgl. Pribilla, P. (2000), S. 74; vgl. Töpfer, A. (2000), S. 14. 8 Vgl. Wittwer, A. (1995), S. 51. 2
197
•
Angst vor Veränderung oder Arbeitsplatzverlust
•
Unverständnis über die Integrationsnotwendigkeit
•
Unsicherheit durch die Dominanz eines Integrationspartners
•
Postenproblematik bei der Besetzung von Führungspositionen und Konflikte bei der Zuordnung von Verantwortlichkeiten und Aufgabenbereichen
•
Persönliche Animositäten der beteiligten Mitarbeiter
•
Unternehmenspolitische statt sachliche Entscheidungsfindung hinsichtlich der IT-Ziellandschaft und der künftigen IT-Organisation oder IT-Standorte
•
Konflikte aufgrund abweichender IT-Kulturen
•
Blockadehaltung oder Demotivation der IT-Mitarbeiter oder Anwender
•
Abwanderung von Schlüsselmitarbeitern und Leistungsträgern
•
Konflikte beim Übergang von einer temporären Projektorganisation in die auf Dauer angelegte IT-Organisation
•
Fehleinschätzung des organisatorischen Aufwands oder der Synergieeffekte und unerwartete Personalkosten
Tabelle 15: Personelle und kulturelle Konfliktpotenziale Quelle: eigene Darstellung1
Tabelle 15 fasst typische Schwierigkeiten zusammen, die ein zu berücksichtigendes Konfliktpotenzial darstellen und zu massiven Widerständen führen können.
4.1.3 Integration der IT-Landschaften Aus der IT-Strategieanpassung lassen sich veränderte technische Rahmenbedingungen für die Ausgestaltung der IT-Landschaft ableiten. Sowohl die Anwendungslandschaften, worunter alle Anwendungen und ihre Schnittstellen sowie die entsprechenden Datenmodelle gefasst werden, als auch die IT-Infrastruktur, welche die vorhandenen Hardware-Plattformen, die Betriebssystemsoftware und die Kommunikationsmittel einschließlich der Netzwerke beinhaltet, sind somit an den neuen Vorgaben auszurichten.2
4.1.3.1 Grundlegungen Die bestehenden Anwendungsportfolios veranschaulichen die funktionale Unterstützung des Unternehmens mit IT-Applikationen und geben Aufschluss über die bisherigen Konzepte zur technischen und organisatorischen Gestaltung der Anwendungslandschaften.3 Die ITInfrastruktur offenbart hingegen die Konzepte der Trägerplattformen. In vielen Unternehmen
1
Vgl. Recklies, O. (2001), S. 5 f.; vgl. Strahringer, S.; Zdarsky, F. (2003), S. 526. Vgl. Meitner, H. (2003), S. 10; vgl. Voß, S.; Gutenschwager, K. (2001), S.203 ff. Siehe hierzu auch die Ausführungen in Abschnitt 2.1.1. 3 Vgl. Brunner, H.; Gasser, K.; Pörtig, F. (2003), S. 31. 2
198
ist die bestehende IT-Landschaft das Resultat eines über viele Jahre laufenden Anpassungsund Weiterentwicklungsprozesses, sodass die erforderliche Transparenz über die eingesetzten Anwendungen und die zugrunde liegende Infrastruktur oftmals nicht gegeben ist.1 Die Integration der IT-Anwendungssysteme erfordert auch eine Vereinheitlichung der entsprechenden Geschäftsprozesse und vice versa.2 Das eine ist der Schlüssel, um das jeweils andere zu verändern.3 Bei einem IT-Integrationsprojekt zur Harmonisierung der Anwendungslandschaft handelt es sich somit nie um ein rein technisches IT-Projekt, sondern immer auch um ein Reorganisationsprojekt.4 In der Regel fällt die Entscheidung zur umfangreichen Integration der IT schließlich, weil verschiedene Unternehmen oder Bereiche und damit auch deren Ablauforganisationen zusammengeführt werden sollen. Daher hat auch die Kompatibilität der Ablauforganisationen beider Integrationsparteien einen erheblichen Einfluss auf den Integrationsaufwand der IT-Landschaften. Die Auswirkungen der IT-Integration und insbesondere der Anwendungsintegration auf die Geschäftsprozesse werden vielfach unterschätzt. Aufgrund des unterstützenden Charakters der IT wird erwartet, die Anwendungen ließen sich beliebig an redefinierte Geschäftsprozesse anpassen. Dass jedoch insbesondere Standardsoftware nur in begrenztem Maß adaptiert werden kann und nur in zwingenden Fällen modifiziert werden sollte, wird dabei sehr oft übersehen.5 Somit sollten bei der Anpassung der Geschäftsprozesse auch technische Anforderungen und Umsetzungsmöglichkeiten berücksichtig werden. Die Geschäftsprozessarchitektur des Unternehmens verändert sich im Rahmen der Integration, da einige Prozesse überarbeitet oder abgeschafft werden und andere Prozesse hinzukommen. Die Anwendungslandschaft ist entsprechend anzupassen, damit sie den veränderten Anforderungen gerecht wird. Zur Beschreibung der Integration von Anwendungslandschaften soll neben dem Integrationsgrad noch eine weitere Dimension eingeführt werden – die Integrationsschicht. Man unterscheidet drei Schichten auf denen die Anwendungen integriert werden können:6 Präsentationsschicht Verarbeitungsschicht7 Daten(bank)schicht
1
Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 524. Vgl. Krauß, H.-U. (1992), S. 30. 3 Vgl. Davenport, T. H.; Short, J. E. (1990), S. 12. 4 Vgl. Becker, J.; Winkelmann, A.; Vering, O. (2008), S. 67. 5 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 527. 6 Vgl. Engelbrecht, M.; Wegelin, M. (2005), S. 3; vgl. Strahringer, S.; Zdarsky, F. (2003), S. 538 f.; vgl. Conrad, S. et al. (2006), S. 3 f., S. 17. 7 Die Verarbeitungsschicht wird auch als Applikations- oder Anwendungsschicht bezeichnet. 2
199
Die Drei-Schichten-Architektur repräsentiert den heutigen Stand der Technik.1 Diese Arbeit beschäftigt sich mit der Integration von zwei unabhängigen IT-Landschaften, sodass von einer horizontalen Architektur-Integration gesprochen wird.2 Nicht näher betrachtet werden soll die vertikale Integration, bei der es darum geht, innerhalb einer IT-Landschaft die Schichten miteinander zu verschmelzen und dadurch bestehende Prozessbrüche in der Verarbeitung zu bereinigen und den anwendungsinternen Automatisierungsgrad zu erhöhen. Die Datenschicht setzt sich in der Regel aus relationalen Datenbanken zusammen. Die betriebswirtschaftlichen Stamm- und Bewegungsdaten sind in Datenbanktabellen gespeichert.3 Zusätzlich enthält die Datenschicht Anwendungsprogramme, die von der Verarbeitungsschicht ausgeführt werden. Die Integration der Datenschicht versetzt die Anwendungen in die Lage, Daten untereinander auszutauschen bzw. eine gemeinsame Datenbasis zu nutzen.4 Die Verarbeitungsschicht beinhaltet die Verarbeitungsprozesse, die die Anwendungsprogramme ausführen.5 Bei einer Integration der Verarbeitungsschicht werden die verschiedenen Anwendungen bzw. die Komponenten der Anwendungen durch eine Business-Process-Engine mit Hilfe definierbarer Regeln gesteuert.6 Diese Regeln legen fest, welche Prozessschritte einer Anwendung durchlaufen werden und welche Daten dabei auszutauschen sind. Auf diesem Weg werden bereichsübergreifende unternehmensweite Prozessabläufe ermöglicht. Die Integration der Verarbeitungsschicht setzt die Integration der Datenschicht voraus. Auf der Präsentationsschicht werden die Befehle der Anwender über eine graphische Benutzerschnittstelle entgegengenommen und an die Verarbeitungsschicht weitergegeben.7 Über die Präsentationsschicht werden dem Anwender die Ergebnisse der Verarbeitungsschicht visualisiert.8 Bei der Integration auf der Präsentationsschicht wird eine harmonisierte Oberfläche geschaffen und dadurch dem Anwender die Bedienung verschiedener Anwendungen erleichtert. Erfolgt die Integration lediglich auf der Präsentationsschicht, werden die Anwendungen nur scheinbar miteinander verbunden und dem Benutzer wird dadurch eine einheitliche Anwendungslandschaft suggeriert.9 Diese reine Integration der Präsentationsschicht ermöglicht den Anwendungen jedoch keinen Austausch von Daten. Bei einer Integration der Datenschicht ist der besondere Schutz personenbezogener Daten gemäß § 1 BDSG zu beachten. So muss bei der Übertragung personenbezogener Daten eine
1
Vgl. Conrad, S. et al. (2006), S. 3. Vgl. Conrad, S. et al. (2006), S. 3. Vgl. Engelbrecht, M.; Wegelin, M. (2005), S. 2. 4 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 538. 5 Vgl. Engelbrecht, M.; Wegelin, M. (2005), S. 2. 6 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 538. 7 Vgl. Engelbrecht, M.; Wegelin, M. (2005), S. 13. 8 Vgl. Engelbrecht, M.; Wegelin, M. (2005), S. 2. 9 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 539. 2 3
200
Einwilligung des Betroffenen vorliegen.1 Diesbezüglich ist beispielsweise der Zusammenführung von E-Mail-Anwendungen auf der Datenschicht besondere Aufmerksamkeit zu widmen. Auch das Urheberrecht ist bei der Übertragung und Nutzung von Daten zu berücksichtigen. Daten, die aufgrund der Auswahl oder Anordnung der Elemente eine persönliche geistige Schöpfung darstellen, sind nach § 4 Abs. 1 UrhG wie selbstständige Werke geschützt und unterliegen damit den urheberrechtlichen Regelungen. Insbesondere bei Unternehmenszusammenschlüssen, bei denen die Voraussetzungen eines Betriebsübergangs gegeben sind, ist somit darauf zu achten, dass alle erforderlichen Nutzungsrechte gemäß § 31 UrhG auf den neuen Inhaber übertragen werden. Entscheidend für eine effiziente Zusammenführung der Anwendungssysteme und der damit verbundenen Geschäftsprozesse ist ein reibungsloser Informationsaustausch.2 Um diesen zu gewährleisten, stehen den Unternehmen verschiedene Integrationstechnologien zur Verfügung. Im Folgenden sollen die wesentlichen Integrationstechnologien vorgestellt und auf die jeweiligen Vor- und Nachteile hingewiesen werden.
4.1.3.2 Point-to-Point (PTP)-Schnittstellen Die klassische Integration von Anwendungen eines Unternehmens, die miteinander fachlich in Beziehung stehen, erfolgt über die Entwicklung einer direkten 1:1-Verbindung, welche als Point-to-Point-Schnittstelle bezeichnet wird. Dabei handelt es sich um statische Datenimportbzw. Datenexport-Programme, die mit individuellem, anwendungs- und technologieabhängigem Entwicklungsaufwand verbunden sind und sich auf den Datentransfer konzentrieren.3 Der klare Vorteil dieser Integrationstechnologie liegt in der einfachen Implementierung über Konnektoren oder Adapter.4 Der große Nachteil ist darin zu sehen, dass IT-Landschaften mit hohem Heterogenitätsgrad schnell inflexibel und unübersichtlich werden und Änderungen fachlicher oder gesetzlicher Anforderungen in aufwendigen Schnittstellenanpassungen resultieren. Jeder Releasewechsel ist beispielsweise mit hohem Wartungsaufwand im Fall komplexer, PTP-verknüpfter Anwendungslandschaften verbunden. Ein weiterer Nachteil liegt in dem sehr geringen Wiederverwendungspotenzial der einzelnen Schnittstellenprogramme.5 Aufgrund der steigenden Komplexität von IT-Landschaften in Großunternehmen sind die Kapazitäten der IT-Spezialisten in großem Umfang durch die regelmäßigen Schnittstellenentwicklungen und -anpassungen gebunden.6 Daher ist die Schnittstellenwartung mit hohen Kosten verbunden, was dazu führt, dass das Schnittstellenmanagement mit traditionellen Point-to-
1
Vgl. hierzu und im Folgenden Söbbing, T. (2007), S. 169. Vgl. Seidel, B. (2004), S. 17. 3 Vgl. Kaib, M. (2001), S. 15. 4 Vgl. Schwimm, A. (2006), S. 45. 5 Vgl. Schwimm, A. (2006), S. 45. 6 Vgl. Kaib, M. (2001), S. 19. 2
201
Point-Verbindungen in großen Unternehmen kaum noch möglich ist.1 Bei einer großen Anzahl von Point-to-Point-Schnittstellen zwischen den Anwendungssystemen wird auch von "Integrationsspagetti" gesprochen. 2 Die Entwicklung und der Betrieb von Schnittstellen umfasst viele Aufgabenfelder, wie beispielsweise die Gewährleistung der Daten- und Transaktionssicherheit, das Mapping3, das Monitoring4, die Fehleranalyse bzw. die Fehlerbehebung.5 Dadurch wird der Betrieb heterogener Anwendungslandschaften bei Integration über Point-to-Point-Schnittstellen sehr aufwendig. Da diese Aufgaben in ähnlicher Form für jede Schnittstelle gelöst werden müssen, empfiehlt sich für Unternehmen, die die Integration der Anwendungssysteme über zahlreiche Schnittstellen realisieren wollen, diese Aufgabenstellungen einheitlich zu lösen.6 In diesem Fall bietet sich der Einsatz einer Middleware-Lösung oder speziell der Enterprise Application Integration (EAI)-Technologie an. Die Integration von Anwendungen über PTP-Schnittstellen eignet sich daher für eine relativ schnell realisierbare und kostengünstige Verbindung weniger Anwendungen. Allerdings ist die Integration im Gegensatz zur EAI-Technologie auf den Umfang dieser Schnittstelle beschränkt und wird häufig lediglich zur Integration der Datenschicht verwendet.
4.1.3.3 Electronic Data Interchange (EDI) Unter Electronic Data Interchange (EDI) versteht man den direkten elektronischen Transfer strukturierter Geschäftsdaten wie Bestellungen, Rechnungen, Lieferscheine oder Zolldokumente auf der Grundlage vereinbarter Nachrichtenstandards zwischen Anwendungssystemen.7 Die Standardisierung der Datenübertragungsformate ermöglicht den stark automatisierten Austausch von Geschäftsdaten unterschiedlichster Anwendungssysteme ohne erhöhten Abstimmungsbedarf.8 Mit dem UN/EDIFACT (United Nations Electronic Data Interchange For Administration, Commerce and Transport) Standard haben die vereinten Nationen ein weltweit einheitliches Format festgelegt, welches die elektronische Abwicklung geschäftlicher Transaktionen zwischen Unternehmen, unabhängig von Branchen und über Länder hinweg, ermöglicht. Die auszutauschenden Daten werden durch einen Konverter von dem anwendungsspezifischen Format in den jeweiligen EDI-Standard bzw. umgekehrt umgewan-
1
Vgl. Aier, S.; Schönherr, M. (2005), S. 60. Die Gartner Group hat für die entstehenden heterogenen Anwendungslandschaften den Begriff „Application Spagetti“ geprägt. Vgl. Oswald, O. (2003), S. 13. 3 Daten, die über die Schnittstelle ausgetauscht werden, sind oftmals zu konvertieren, damit das empfangende System sie verarbeiten kann. Dieser Vorgang bzw. die entsprechenden Regeln werden als Mapping bezeichnet. 4 Als Monitoring wird die Überwachung der korrekten Verarbeitung bezeichnet. 5 Vgl. Engelbrecht, M.; Wegelin, M. (2005), S. 7. 6 Vgl. Engelbrecht, M.; Wegelin, M. (2005), S. 326. 7 Vgl. Hansmann, K.-W. (2006), S. 230. 8 Vgl. Biethahn, J.; Mucksch, H.; Ruf, W. (2004), S. 80; vgl. Strahringer, S.; Zdarsky, F. (2003), S. 542. 2
202
delt.1 Durch diese Technologie wurde eine Möglichkeit geschaffen, Daten schnell, fehlerfrei und kostengünstig auszutauschen, die ursprünglich für den unternehmensübergreifenden Datenaustausch entwickelt wurde und deren Nutzung weiterhin zunimmt.2 Für global agierende Unternehmen lässt sich sowohl der Massenaustausch von Stamm- und Bewegungsdaten über diese asynchrone3 Kommunikationsform umsetzen, als auch eine Prozesskostensenkung durch den beleglosen Informationsaustausch realisieren.4 Voraussichtlich wird der traditionelle EDI-Datenaustausch, der mit relativ hohen Einführungs- und Betriebskosten verbunden ist, mittelfristig durch einen auf XML 5 basierenden EDI-Standard abgelöst werden. Auf diesem Weg sind die Nutzung der bestehenden Tools zur Konvertierung von XML-Dokumenten sowie der Transport über das Internet möglich.6 Die Integration über EDI bedeutet eine reine Integration der Datenschicht und eignet sich beispielsweise, wenn die Integrationsmethode der Koexistenz gewählt wird und regelmäßig hohe Datenvolumia ausgetauscht werden sollen. Die Autonomie der Integrationsparteien und der IT-Landschaften kann beim Einsatz der EDI-Technologie gewahrt bleiben. Wird hingegen ein hoher Integrationsgrad angestrebt, ist diese Technologie zur Verknüpfung von Anwendungslandschaften ungeeignet.
4.1.3.4 Data Warehousing Es ist möglich, verschiedene Anwendungssysteme über eine Datenbank miteinander zu verknüpfen. Die Datenbank bündelt unternehmensspezifische, unveränderliche Daten verschiedenster Quellen, legt sie zeitpunktbezogen ab und bietet die Möglichkeit, sie nach Sachzusammenhängen geordnet abzurufen.7 Ein Data Warehouse ist somit eine informative Datenbank. Als ein übergeordnetes Anwendungssystem unterstützt sie die Entscheidungsträger mit bedarfsgerechten Informationen bei der Planung und Steuerung des Unternehmens.8 Die entscheidungsrelevanten Informationen können – gegebenenfalls erweitert um weiterführende Analysen und Entscheidungsmodelle mit Lösungsvorschlägen – zeitnah und problemadäquat auf Abruf bereitgestellt werden.9 Jene Datenbanksysteme werden z. B. auch als ManagementInformation-Systeme (MIS), Decision-Support-Systeme (DSS), Executive-Informa–tion-Systeme (EIS), Planungs- und Kontrollsysteme–(PKS), Management-Support-Systeme (MSS)
1
Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 542. Vgl. Strand, R. (2008), S. 32. Bei der asynchronen Kommunikation agiert der Sender unabhängig von der Reaktion des Empfängers. Von synchroner Kommunikation wird gesprochen, wenn der Sender auf eine Antwort des Empfängers wartet, bevor er die Aktivität fortsetzt. 4 Vgl. Strand, R. (2008), S. 32; vgl. Oswald, O. (2003), S. 9. 5 XML steht für Extensive Markup Language und stellt eine formale Sprache dar, welche mittels eines syntaktischen Rahmens die Abbildung hierarchisch strukturierter Informationen in Form von Textdateien erlaubt. 6 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 542. 7 Vgl. Scheer, A.-W. (1996), S. 74. 8 Vgl. Goeken, M. (2006), S. 11. 9 Vgl. Chamoni, P.; Gluchowski, P. (2004), S. 119. 2 3
203
oder Business Warehouse (BW) bezeichnet. 1 Sie unterscheiden sich von operativen Datenbanken im Wesentlichen dadurch, dass der Anwender ausschließlich lesend zum Abrufen komplexer, analytischer Abfragen auf das System zugreift.2 Bei der Integration der Daten verschiedener Anwendungssysteme in einem gemeinsamen Data Warehouse lassen sich die Daten unternehmensweit aus den unterschiedlichsten Systemen einer heterogenen Anwendungslandschaft zu einer einheitlich gestalteten Datenbasis zusammenführen.3 Daten liegen in den verschiedenen Anwendungssystemen in der Regel in unterschiedlichen Datenstrukturen vor. In einem Data Warehouse werden die Daten in einer globalen Sicht und in einheitlicher Form, oftmals verdichtet, zusammengefasst.4 Um das Datenmaterial zu konsolidieren sind die Begriffswelten beider Integrationsparteien zu vereinheitlichen.5 Begriffsdefinitionen sind zu harmonisieren und Wertermittlungen beispielsweise von Umsatz- oder Absatzzahlen identisch zu gestalten. Beim Data-Warehousing findet der Datentransfer nur in eine Richtung statt.6 In regelmäßigen Abständen erfolgt eine Extraktion von Daten aus den operativen Anwendungssystemen und eine Integration in das Data Warehouse. Dabei sind die verschiedenen Kodierungen, Bezeichnungen und Formate zu homogenisieren. Sogenannte Extract, Transform, Load (ETL)-Werkzeuge ermöglichen die Übertragung der Daten aus den verschiedenen Anwendungssystemen, ohne dabei die Datenquellen zu verändern.7 Auf diese Weise können die Daten bei der Übernahme vereinheitlicht, semantisch harmonisiert und ggf. durch Korrektur von Fehlern oder Beseitigung von Inkonsistenzen bereinigt werden, um eine konsistente und systemübergreifende Lösung zu realisieren.8 Die entstehende Datenredundanz muss nach klaren Regeln geplant und gesteuert werden. Sinnvollerweise wird beim Data Warehousing je ein Extraktionsadapter zu jedem relevanten operativen Anwendungssystem und je ein Aufbereitungsadapter zu dem analytischen Anwendungssystem eingesetzt, um die ansonsten notwendige Anzahl bilateraler Point-to-Point-Schnittstellen zu ersetzen.9 Auch bei der Wahl dieser Integrationstechnologie erfolgt die Zusammenführung der Anwendungssysteme rein auf der Datenschicht. Das Data Warehouse wird dabei zu einer zentralen Integrationskomponente im Unternehmen.10 Die Vorteile dieser Technologie liegen vor allem in der hohen Arbeitsleistung und Verfügbarkeit. Es werden übergreifende Auswertungsfunktionalitäten geschaffen. Im Fall umfangreicher Datenanalysen werden die operativen Systeme nicht belastet
1
Vgl. Chamoni, P.; Gluchowski, P. (2004), S. 119; vgl. Goeken, M. (2006), S. 12; vgl. Glöckle, H. (2007), S. 15. Vgl. Goeken, M. (2006), S. 21. 3 Vgl. Goeken, M. (2006), S. 18. 4 Vgl. Glöckle, H. (2007), S. 15. 5 Vgl. Petersen, J.; Zesch, W. (2000), S. B01. 6 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 541. 7 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 541. 8 Vgl. Goeken, M. (2006), S. 19. 9 Vgl. Winter, R. (2006), S. 23. 10 Vgl. Glöckle, H. (2007), S. 16. 2
204
und es sind keine verteilten Abfragen über mehrere Datenquellen hinweg notwendig. 1 Erfolgt die IT-Integration durch ein Data Warehousing, könnte ein weiterer Vorteil darin bestehen, dass den Aufbewahrungspflichten nachgekommen werden kann, indem die gesetzlichen Anforderungen an die Archivierungslösung bei der Konzeption und Umsetzung der Data Warehouse-Lösung Berücksichtigung finden. Als nachteilig anzusehen sind das Erfordernis kapazitätsbindender Übertragungskontrollen und Datenkonsistenzprüfungen, die zum Teil geringe Aktualität der Daten abhängig von den Übertragungsabständen sowie die Kosten für die redundante Datenhaltung in Form von Speicherkosten und Redundanzmanagementkosten.2 Ein weiterer Nachteil ist darin zu sehen, dass durch die Einbindung einer zusätzlichen Komponente in die IT-Landschaft deren Komplexität weiter zunimmt, solange nicht zeitgleich bestehende Data Warehouse-Lösungen abgelöst werden. Das Data Warehousing stellt eine sinnvolle Integrationstechnologie dar, wenn verschiedene Anwendungen zukünftig weiterhin unabhängig voneinander erhalten bleiben sollen, jedoch zu Analyse- und Auswertungszwecken entscheidungsrelevante Daten in großem Umfang aus verschiedenen Anwendungssystemen zusammenzuführen sind. Aus technischer Sicht stellt die Datenbank ein zusätzliches, eigenständiges Anwendungssystem dar, das, von den übrigen operativen Anwendungssystemen losgelöst, als systemübergreifende Plattform zu Auswertungs- und Analysezwecken dient.3 Die bewusste Entscheidung für eine redundante Datenhaltung und den periodischen Datentransfer erhöht den Integrationsbedarf.4 Dabei müssen die Anwendungen zum Einsatz dieser Integrationstechnologie an die spezifischen Schnittstellen der jeweiligen Middelware-Lösung angepasst werden.5 Bei Einsatz dieser Integrationstechnologie findet keine Integration der Verarbeitungsschicht statt.
4.1.3.5 Middleware Unter Middleware-Lösungen werden anwendungsneutrale Programme verstanden, die Daten zwischen Anwendungen übertragen, Funktionsaufrufe auslösen können und dabei die Transaktionssicherheit gewährleisten.6 Eine Middleware bietet eine plattformübergreifende Verteilungsinfrastruktur, über die verschiedene Anwendungen miteinander in Verbindung stehen können. Die Plattformunabhängigkeit ist gegeben, da die Daten und Funktionsaufrufe vor der Übertragung in ein unabhängiges Format umgewandelt und anschließend von der empfangenden Anwendung in das von ihr erwartete Format zurückgeführt werden.7 Es handelt sich um eine Verteilungsplattform, die zwischen den Anwendungen und der Betriebssystemebene
1
Vgl. Schwimm, A. (2006), S. 53. Vgl. Schwimm, A. (2006), S. 53. 3 Vgl. Goeken, M. (2006), S. 16. 4 Vgl. Chamoni, P.; Gluchowski, P. (2004), S. 119. 5 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 544. 6 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 543. 7 Vgl. hierzu und im Folgenden Strahringer, S.; Zdarsky, F. (2003), S. 543 f.; vgl Glöckle, H. (2007), S. 9 2
205
angesiedelt ist und zwischen den Anwendungen, dem Betriebssystem, dem Netzwerkbetriebssystem oder ggf. dem Data Warehouse vermittelt. Durch den Einsatz einer MiddlewareLösung können sehr heterogene Anwendungslandschaften integriert werden. Der Funktionsumfang einer Middleware-Lösung umfasst z. B. die Kommunikation zwischen den Anwendungen, welche synchron oder asynchron erfolgen kann, die Protokollierung des Datenflusses, die Portierung1 und die Sicherheit der Daten vor unberechtigtem Zugriff oder dem Verlust bzw. der Manipulation beim Datentransfer.2 Vielfach stellen Middleware-Lösungen weitere Sonderfunktionen wie die Datenerfassung, -strukturierung, -filterung, -bewertung und – archivierung zur Verfügung. Gegebenenfalls bietet es sich an, diese Funktionalitäten bei der Konzeption und Umsetzung einer Archivierungslösung einzusetzen. Wird die Möglichkeit des Transportes von Funktionsaufrufen genutzt, so erfolgt eine Integration auf der Daten- und Verarbeitungsschicht. Um die vorhandenen Synergiepotenziale nutzen zu können und den Heterogenitätsgrad der Zielsystemlandschaft nicht unnötig zu steigern, muss bei dem Einsatz dieser Integrationstechnologie eine konsequente Konsolidierung und Abschaffung redundanter Geschäftsprozesse und Anwendungssysteme vorangetrieben werden. Der Vorteil des Einsatzes einer geeigneten Middleware-Lösung liegt darin, dass standardisierte Schnittstellen genutzt werden und die vorhandenen Anwendungssysteme beider Integrationsparteien aneinander angekoppelt werden können. Aufgrund der Plattformunabhängigkeit lassen sich sehr heterogene Anwendungssysteme verbinden. Nachteilig ist jedoch, dass die Anwendungen angepasst werden müssen und eine prozessorientierte Integration nicht möglich ist. Der Einsatz dieser Technologie bietet sich an, wenn beide Integrationsparteien bereits die gleiche Middleware-Lösung einsetzen. Bei Wahl der Koexistenz- oder der Cherry-Picking-Methode lassen sich die entsprechenden Anwendungssysteme mit dieser Integrationstechnologie verbinden. Hat man sich zur Integration entscheidungsrelevanter Daten in einem Data Warehouse entschlossen, erfolgt die Kopplung der Systeme in der Regel ebenfalls über eine Middleware-Lösung.
4.1.3.6 Enterprise Application Integration (EAI) Enterprise Application Integration (EAI) ist ein Ansatz zur Kopplung verteilter, heterogener, weitgehend autonomer Anwendungssysteme.3 Dieser Ansatz beinhaltet eine Integrationsarchi-
1
Unter Portierung wird hier die Anpassung der Anwendungssysteme und der Middleware zur Übertragung von Daten und Funktionsaufrufen verstanden. Middleware-Komponenten setzen dabei auf Standard-Schnittstellen und -Protokollen wie beispielsweise TCP/IP oder ISO-OSI-Stack auf. TCP/IP steht für Transmission Control Protocol/Internet Protocol und ist ein Standard-Protokoll-Stack für die Anbindung an das Internet. Ein Protokoll ist dabei eine Konvention, welche bei der Datenübertragung einzuhalten ist. Vgl. hierzu Biethahn, J.; Mucksch, H.; Ruf, W. (2004), S. 77. Die International Standard Organisation (ISO) entwickelte ein Basisreferenzmodell namens Open System Interconnect (OSI) Reference Model. 3 Vgl. Conrad, S. et al. (2006), S. 5. 2
206
tektur, eine Integrationsmethodik und eine Integrationstechnologie.1 Es handelt sich somit um ein Integrationskonzept mit dem Ziel, separat voneinander entwickelte Anwendungen mittels moderner Technologien zu integrieren.2 Die prozessorientierte Zusammenführung der verschiedenen Geschäftsfunktionen, deren Geschäftsprozesse in diversen Anwendungen auf unterschiedlichsten Plattformen abgebildet sind, wird dabei durch ein einheitliches IT-Infrastrukturkonzept unterstützt.3 Die EAI-Technologie basiert auf der Middlewaretechnologie und wurde um zahlreiche Funktionalitäten erweitert, um die Daten- und Anwendungsintegration zu vereinfachen. Zum Einsatz kommen dabei moderne Technologiestandards wie Java und XML. Diese vorgefertigten, standardisierten Integrationslösungen sind individuell konfigurierbar und können unabhängig von der bestehenden Anwendungslandschaft und der verwendeten IT-Infrastruktur implementiert werden.4 Eingriffe in die bestehenden Anwendungen und Datenstrukturen sind dabei nicht notwendig.5 Beim Einsatz eines EAI-Servers werden die Schnittstellen in einer Hub- and Spoke-Architektur6 abgebildet. Der Integrationsserver stellt dabei die Nabe dar, an der die verschiedenen Anwendungssysteme über Speichen angebunden sind.7 Die Anwendungsarchitektur wird quasi um eine zusätzliche Schicht, die Integrationsschicht, erweitert. Die Anwendungen kommunizieren somit nicht direkt miteinander, sondern sind über den zentralen Nachrichtenserver miteinander verbunden. Die Verbindung der Anwendungen erfolgt über Softwaremodule, die als Adapter8 bezeichnet werden. Während die klassische Middlewaretechnologie eine reine Schnittstellenadaption vornimmt, ist mit der EAI-Technologie die Abbildung einer anwendungsübergreifenden Geschäftsprozesslogik möglich.9 Moderne Middleware-Lösungen bieten jedoch mittlerweile vielfach eine BusinessProcess-Engine an, welche ebenfalls die Abbildung einer Geschäftsprozesslogik über autonome Anwendungen hinweg erlaubt. Die zunehmende Verschmelzung der Funktionalitäten lässt die Grenzen zwischen Middleware- und EAI-Lösungen verschwimmen.10 Um diese Funktionalität nutzen zu können und eine effiziente Unterstützung übergreifender Geschäftsprozesse zu implementieren, ist allerdings die Konzeption einer einheitlichen Geschäftsprozesslogik eine zwingende Voraussetzung. Die rein technische Sicht der Datenintegration wird damit um die betriebswirtschaftliche Sicht der Geschäftsprozessintegration erweitert und bietet in Integrationsprojekten die Möglichkeit, durch die Gestaltung harmonisierter, effizienter Prozesse Synergiepotenziale zu realisieren. Die Diskrepanz zwischen der betriebswirt-
1
Vgl. Kaib, M. (2001), S. 13. Vgl. Schilken, K. (2002), S. 45. Vgl. hierzu und im Folgenden Strahringer, S.; Zdarsky, F. (2003), S. 545. 4 Vgl. Kaib, M. (2001), S. 15. 5 Vgl. Schilken, K. (2002), S. 45. 6 Wörtlich übersetzt bedeutet "Hub and Spoke" Nabe und Speiche. 7 Vgl. Engelbrecht, M.; Wegelin, M. (2005), S. 326. 8 Adapter werden in der Literatur auch als Konnektoren bezeichnet. 9 Vgl. Aier, S.; Schönherr, M. (2005), S. 60. 10 Vgl. Aier, S.; Schönherr, M. (2005), S. 61; vgl. Kaib, M. (2001), S. 25. 2 3
207
schaftlichen und der technischen Sicht und den damit verbundenen Nutzenpotenzialen erfordert eine enge Zusammenarbeit der IT- mit den Fachabteilungen im Rahmen des Integrationsprojektes, um zielorientierte Anpassungen der Ablauforganisation vornehmen zu können. Bisher werden EAI-Lösungen in der Praxis jedoch kaum prozessorientiert eingesetzt.1 Die Ursache wird hauptsächlich in dem Mangel einer strukturierten Herangehensweise und dem Fehlen eines Moderators zwischen IT- und Fachabteilung gesehen. Der große Vorteil einer EAI-Lösung besteht darin, dass sich gegenüber der traditionellen Anwendungsverknüpfung über Point-to-Point-Schnittstellen der Entwicklungs- und Wartungsaufwand deutlich reduziert, da jede Anwendung zum Informationsaustausch nur eine physische Schnittstelle benötigt. Es wird eine einheitliche Infrastruktur mit standardisiertem Zugriff geschaffen, in der die Anwendungssysteme nur lose gekoppelt sind. Dadurch wird der Betrieb, die Anpassung sowie die Neuentwicklungen von Schnittstellen und damit die Einbindung zusätzlicher Anwendungssysteme deutlich vereinfacht.2 Ein weiterer Vorteil besteht in der Option eines zentralen Monitorings.3 Der Datenaustausch kann so an zentraler Stelle überwacht und gegebenenfalls auftretende Fehler können vor einer weiteren Verarbeitung bereinigt werden. Als Konsequenz können manuelle Kontroll- und Autorisierungsabläufe oder die erneute Eingabe von Daten entfallen. Auf diesem Weg lässt sich unabhängig von der Art der Speicherung in der heterogenen Anwendungslandschaft eine Konsistenzsicherung der Daten erreichen.4 Hat ein Unternehmen bereits eine EAI-Lösung im Einsatz, lässt sich die Anbindung weiterer Anwendungssysteme enorm beschleunigen. Der weitere Vorteil dieser Integrationstechnologie liegt in der prozessorientierten Integration der Daten- sowie der Verarbeitungsschicht und der daraus resultierenden Möglichkeit, Synergiepotenziale durch eine Vereinheitlichung der Geschäftsprozesse realisieren zu können. Ein zusätzlicher Nutzen über die unternehmensinterne Integration von Daten und Prozessen hinaus ist die Möglichkeit, beim Einsatz einer EAI-Lösung auch die Kunden- und Lieferantenbeziehungen durch eine unternehmensübergreifende Integration zu verbessern.5 Nicht immer ist jedoch ein Transfer der Geschäftsprozesslogik in das Integrationswerkzeug gewünscht, zumal die Abbildung komplexer Abläufe oftmals nicht möglich ist. Die durch den Einsatz einer EAI-Lösung gewonnene Flexibilität birgt auch die Gefahr einer Überfrachtung der IT-Landschaft. Eine tatsächliche Konsolidierung wird oftmals umgangen und der Heterogenitätsgrad der IT-Ziellandschaft steigt. Als weitere Nachteile lassen sich die hohen Anschaffungskosten und der beträchtliche Aufwand bei der prozessorientierten Umsetzung anführen. Somit kommt der Einsatz einer EAI-Lösung aufgrund von Kosten-Nutzen-Abwägungen erst ab einer gewissen
1
Vgl. Aier, S.; Schönherr, M. (2005), S. 62. Vgl. Engelbrecht, M.; Wegelin, M. (2005), S. 326; vgl. Trapp, R.O.; Otto, A. (2002), S. 111. 3 Vgl. Engelbrecht, M.; Wegelin, M. (2005), S. 327; vgl. Kaib, M. (2001), S. 17. 4 Vgl. Conrad, S. et al. (2006), S. 6. 5 Vgl. Kaib, M. (2001), S. 16; vgl. Trapp, R.O.; Otto, A. (2002), S. 113. 2
208
Anzahl zu integrierender Anwendungen, welche eine Prozess- und Datenintegration erfordern, in Betracht. Die EAI-Technologie wird daher vor allem von großen Unternehmen eingesetzt. Bei der Wahl der Cherry-Picking-Methode zur Integration umfangreicher heterogener Anwendungslandschaften auf der Prozessebene bietet sich der Einsatz einer EAI-Lösung an. Die EAI-Technologie kann weiterhin als Grundlage für den Einsatz eines Unternehmensportals dienen, wenn die Anwendungsarchitektur nicht nur auf der Daten- und Verarbeitungsschicht sondern auch auf der Präsentationsschicht integriert werden soll. Mittlerweise vermarkten auch die führenden ERP-Softwareanbieter eigene EAI-Lösungen.1 Der Einsatz einer EAI-Lösung eines ERP-Herstellers kann sinnvoll sein, wenn bereits in größerem Umfang dessen Standardsoftwareprodukte verwendet werden und auf diese Weise mehr Homogenität geschaffen wird. Jedoch sollte genau geprüft werden, ob die strategischen Ziele des ERPAnbieters zur IT-Strategie des Unternehmens passen.
4.1.3.7 Enterprise Information Portal (EIP) Sogenannte Unternehmensportale oder Enterprise Information Portals (EIP) stellen eine unternehmensweite und personalisierte Integrationsplattform dar.2 Die offene Architektur basiert auf den Ideen des World Wide Webs und lässt sich leicht in bestehende IT-Landschaften integrieren. Die Internettechnologie hat dabei die für die Interaktion mit dem Benutzer benötigte Schnittstelle optimiert. Datenmaterial, Informationen und Know-how werden je nach Bedarf unter einer einheitlichen Benutzeroberfläche der Webanwendung präsentiert und ermöglichen auch einem unerfahrenen Nutzer den Zugang.3 Mit der Portaltechnologie lassen sich sowohl unternehmensinterne als auch unternehmensübergreifende Informationsquellen verbinden. Verarbeitet werden können hierbei nicht nur strukturierte sondern auch unstrukturierte Daten wie E-Mails, Office- oder Mediadateien.4 Die elementarste Funktion des Enterprise Information Portals liegt für die meisten Führungskräfte in dem Zugriff auf alle unternehmensweit relevanten Informationen von zentraler Stelle, der benutzerspezifisch angepasst werden kann.5 Weitere Vorteile der Portaltechnologie sind in der einfachen Bedienung und dem einheitlichen Layout, unabhängig von den verknüpften Anwendungen, zu sehen.6 Die Stärken liegen somit in dem Single Sign-On, durch den, mittels einmaliger Passworteingabe, Zugriff auf alle erforderlichen und jeweils zugelassenen Daten und Dienste besteht sowie in der Möglichkeit der Personalisierung. Der Anwender ist in der Lage, auf seinem Bildschirm Dienste und Informationen aus den einzelnen Anwendungssystemen so zusammenzustellen,
1
Vgl. hierzu und im Folgenden Lindner, U.; Risch, R. (2004), S. 36. Vgl. hierzu und im Folgenden Strahringer, S.; Zdarsky, F. (2003), S. 546. 3 Vgl. Forscht, P. (2006), S. 46. 4 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 546. 5 Vgl. Forscht, P. (2006), S. 47. 6 Vgl. Forscht, P. (2006), S. 47. 2
209
dass er bei seiner Arbeit optimal unterstützt wird.1 Ein Unternehmensportal schafft eine Integration der Präsentationsschicht, sodass dem Benutzer über eine einheitliche Oberfläche der Zugriff auf die in der heterogenen IT-Landschaft verteilten Informationen erleichtert wird. Um über das Wissens- und Informationszentrum hinaus Geschäftsprozesse auch anwendungsübergreifend steuern zu können, muss die Integration auch auf den beiden übrigen Schichten erfolgen. Zur prozessorientierten Integration von IT-Landschaften innerhalb eines Unternehmens bietet sich also eine Verbindung der Portaltechnologie mit anderen Integrationstechnologien an. So könnten zum Beispiel bei Anwendung der Cherry-Picking-Methode durch die Kombination eines Unternehmensportals mit einer EAI-Lösung Geschäftsprozesse über die integrierten Anwendungen hinweg mit einheitlichem Portalzugriff gestaltet werden. Während die EIP-Technologie die Interaktion mit dem Anwender verbessert, wird die Interaktion zwischen den Anwendungssystemen durch die EAI-Technologie optimiert.
4.1.3.8 Enterprise Resource Planning (ERP) Die radikalste und homogenste Lösung der Integration verschiedener funktionaler Anwendungslandschaften stellt der Einsatz eines bzw. die Zusammenführung zu einem einheitlichen Enterprise Resource Planning (ERP)-Systems dar.2 Ein ERP-System hat die Aufgabe der bereichssübergreifenden Ressourcenplanung. Dabei sollen die in einem Unternehmen vorhandenen Ressourcen in Form von finanziellen Mitteln, Betriebsmitteln und Mitarbeitern effizient im betrieblichen Ablauf eingeplant und eingesetzt werden. Auf dem Gebiet der ERPSysteme wurden zahlreiche Standardsoftwarelösungen entwickelt.3 Der überwiegende Teil funktionaler Anwendungen wie Finanzen, Rechnungswesen, Auftragsabwicklung, Produktion, Warenwirtschaft, Lagermanagement, Personalmanagement usw. werden hierbei als einzelne Komponenten in einem integrierten Softwarepaket zusammengeführt. Ein "erweitertes ERP-Konzept" umfasst zusätzlich beispielsweise Anwendungen für Supply Chain Management, Customer Relationship Management, Business Intelligence, E-Business oder die elektronische Archivierung von Dokumenten im ERP-System.4 Eine professionelle ERP-Lösung ist ebenfalls in der Lage, verschiedene Kunden- und Lieferantensysteme problemlos anzubinden.5 Jedoch bleibt anzumerken, dass Standardlösungen nicht allen branchen- und unternehmensspezifischen Anforderungen gerecht werden, auch wenn der überwiegende Teil der unternehmenstypischen Aufgaben durch ERP-Systeme abgedeckt wird.6 ERP-Systeme sind
1
Vgl. Forscht, P. (2006), S. 47. Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 540; vgl. auch Herzog, P. (2008), S. 62. Zum Teil wird in der Literatur die Auffassung vertreten, dass nur in diesem Fall von "Integration" gesprochen werden kann und alle übrigen Integrationstechnologien lediglich eine Interoperabilität durch Interaktion der Anwendungssysteme ermöglichen. Vgl. hierzu Reitbauer, A. (2006), S. 388. 3 Vgl. Hansmann, K.-W. (2006), S. 154. 4 Vgl. Gottwald, M. (2008), S. 18 ff., vgl. Seidel, B. (2004), S. 18 . 5 Vgl. Herzog, P. (2008), S. 62. 6 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 536. 2
210
auf allen drei Schichten integriert.1 Steht die Kosten- und Prozesseffizienz im Vordergrund des Integrationsvorhabens und sucht die Unternehmensleitung nach Transparenz, so werden in Integrationsprozessen vielfach unternehmensweite, globale ERP-Projekte aufgesetzt und die Zahl der eingesetzten Anwendungssysteme verschiedener Hersteller auf ein Minimum reduziert.2 In der Praxis entscheiden sich viele Unternehmen für die Integration in einem einheitlichen ERP-System von einem Hersteller, da sich die Wartung und der Betrieb von Anwendungslandschaften, die nach der Cherry-Picking-Methode verschiedene Applikationen verknüpfen, als sehr aufwendig erwiesen hat.3 Die Entscheidung für ein unternehmensweit einheitliches ERP-System schafft die Möglichkeit und birgt gleichzeitig die Notwendigkeit, alle dadurch redundant existierenden Altanwendungen beider Integrationsparteien zu migrieren und anschließend abzulösen. Durch eine reine Sammlung und Verbindung mehrerer ERPSysteme kann der Integrationsgrad nur minimal gesteigert werden. Um einen hohen Integrationsgrad durch eine einheitliche ERP-Lösung zu erreichen, müssen einige Voraussetzungen erfüllt sein bzw. Vorarbeiten geleistet werden: • Die Geschäftsprozesse müssen harmonisiert und in einem hohen Maß standardisiert werden, • die Organisationsstruktur des Unternehmens muss klar und einheitlich gestaltet sein, um im ERP-System effizient umgesetzt werden zu können, und • die Daten müssen vereinheitlicht werden und anschließend muss ein abgestimmter Datenpflegeprozess definiert, beschrieben und organisiert werden, um die erforderliche Datenqualität sicherzustellen.4 Vorteile der Konsolidierung auf ein einheitliches ERP-System sind in der gleichartigen Benutzeroberfläche sowie der einheitlichen Handhabung und Benutzerführung zu sehen, was die Schulung der Anwender erleichtert und die Akzeptanz der Anwendung erhöht.5 Viele Schnittstellen und Medienbrüche erübrigen sich und die redundante Datenhaltung wird minimiert. Aktualisierungen der Software durch das Einspielen von Updates und Upgrades lassen sich deutlich einfacher in den Betriebsablauf einplanen und umsetzen. Aufwendige Abstimmprozesse bezüglich der verschiedenen Releaseperioden und Entwicklungszyklen der unterschiedlichen Hersteller entfallen.6 Die unterschiedlichen Lizenzierungsmodelle werden durch
1
Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 540. Vgl. Scherer, E. (2008), S. 24. Vgl. Seidel, B. (2004), S. 22. Eine empirische Untersuchung im Bankensektor hat ergeben, dass deutsche Bankinstitute überwiegend den Einsatz einer Standardsoftware eines Anbieters vorziehen, während bei internationalen Banken der Cherry-Picking-Ansatz dominiert. Vgl. Strahringer, S.; Gmeiner, R. (2004), S. 99. 4 Vgl. Scherer, E. (2008), S. 25. 5 Vgl. Seidel, B. (2004), S. 16. 6 Vgl. Seidel, B. (2004), S. 16. 2 3
211
ein verbleibendes ersetzt, was schlagartig für Kostentransparenz sorgt.1 Ein Nachteil ist darin zu sehen, dass die Einigung auf ein einheitliches ERP-System auch den Verzicht auf verschiedene Speziallösungen und -prozesse bedeutet, was die Flexibilität der Geschäftsprozessgestaltung einschränkt. Nachteilig ist ebenfalls die entstehende Abhängigkeit von einem Hersteller. Beispielsweise lassen sich technische Innovationen nur nutzen, wenn der betreffende Hersteller diese innovativen Lösungen auch anbietet. Zudem stellt die Möglichkeit der Insolvenz des Herstellers ein beträchtliches Risiko dar. Die Einführung eines einheitlichen ERP-Systems kommt als Integrationstechnologie in Frage, wenn die Absorptions- oder die Greenfield-Methode als Integrationsmethode ausgewählt wurden. Bei der Wahl der Absorptionsmethode müssen sich die Integrationsparteien für ein bestehendes ERP-System als Zielanwendungslandschaft entscheiden und alle übrigen Anwendungen migrieren. Vielfach werden die Absorptions- und die Cherry-Picking-Methode kombiniert, da sich das Unternehmen zwar für ein führendes ERP-System entscheidet, spezifische Anforderungen jedoch weiterhin durch bestehende Spezialanwendungssysteme abgedeckt werden sollen. In diesem Fall wäre die Erweiterung der ERP-Integrationstechnologie um die Portaltechnologie eine mögliche Lösung, wenn keine weitere anwendungsübergreifende Prozessintegration erforderlich ist.2 Da die Greenfield-Methode mit der Ablösung der bestehenden Anwendungssysteme einhergeht und die Erstkonfiguration des ERP-Systems in allen Funktionen erfordert, ist diese sehr aufwendige Vorgehensweise insbesondere im Rahmen von Unternehmenszusammenschlüssen im Regelfall nicht empfehlenswert.3 Die unmittelbare Post Merger Integrations-Phase ist kein geeigneter Zeitpunkt, um ein für alle Mitarbeiter vollkommen neues IT-System einzuführen. Tabelle 16 stellt noch einmal die technischen Zielsetzungen der vorgestellten Integrationstechnologien gegenüber und fasst Vor- und Nachteile zusammen. In der letzten Spalte wird zu jeder Integrationstechnologie beispielhaft eine Integrationsmethode angegeben, bei der dieser Technologieeinsatz sinnvoll sein kann. Der Greenfield-Ansatz ist in der Tabelle 16 nicht zu finden, da im Fall der IT-Zusammenführung nach dieser Integrationsmethode keine bestehenden Komponenten der IT-Landschaften weiterverwendet werden und somit alle Integrationstechnologien für die Verbindung der neuen Komponenten in Frage kommen.
1
Verschiedene Lizenzierungsverträge sehen beispielsweise eine Lizenzierung nach „current user“ oder „named user“ zum Teil auch mit unterschiedlichen User-Rollen oder eine Lizenzierung auf Basis der CPU vor. Vgl. Seidel, B. (2004), S. 16. 2 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 540. 3 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 540; vgl. Penzel, H.-G. (2000), S. 26. 212
Integrationstechnologie
Technische Zielsetzung
Vor- und Nachteile
Integrationsschichten / Integrationsmethoden
PTP
Verbindung einzelner Anwendungen
+ schnell und kostengünstig realisierbar
Daten- und Verarbeitungsschicht
EDI
Massenaustausch von Daten
unübersichtlich und inflexibel; hoher Aufwand bei Wartung und Pflege + Reduzierung der Prozesskosten durch beleglosen Informationsaustausch und Wegfall manueller Datenerfassung
Koexistenz Datenschicht Koexistenz
aufwendige technische Voraussetzungen; Anpassung der Abläufe an EDI-Vorgaben Data Warehousing
Middleware
EAI
Zentrale Datenhaltung und -auswertung
+ hohe Arbeitsleistung und Verfügbarkeit; übergreifende Auswertungsfunktionalität
Datenschicht
redundante Datenhaltung; steigende Komplexität
Koexistenz
Datenaustausch und Transport von Funktionsaufrufen
+ standardisierte Schnittstellen
Daten- und zum Teil Verarbeitungsschicht
Daten- und prozessorientierte Zusammenführung
Schwerfälligkeit bei prozessorientierter Integration + Trennung von Geschäftsprozesslogik und Schnittstellenprogrammierung; geringer Entwicklungs- und Wartungsaufwand der Schnittstellen
Cherry-Picking; Koexistenz Daten- und Verarbeitungsschicht Cherry-Picking
kostenintensiv; Transfer der Geschäftsprozesslogik in das Integrationswerkzeug EIP
ERP
Vereinheitlichung der Benutzeroberfläche
+ Personalisierung der Benutzeroberfläche
Präsentationsschicht
keine Zusammenführung der Daten und Prozesse; oberflächliche Integration
Cherry-Picking
Vollintegration
+ keine Medienbrüche; volle Transparenz
auf allen Schichten
keine Spezial-/ Individuallösungen; Herstellerabhängigkeit
Absorption
Tabelle 16: Gegenüberstellung der Integrationstechnologien Quelle: eigene Darstellung
Trotz des allgemeinen Trends zur Harmonisierung von Geschäftsprozessen und der Konsolidierung von IT-Landschaften wird für Großunternehmen das voll integrierte IT-System, das die bestehenden Anforderungen in einem für alle Länder und Bereiche einheitlichen Releasestand abdeckt, auch künftig noch ein Wunschtraum bleiben. Auch bei einem hohen Integrations- und Standardisierungsgrad der IT-Ziellandschaft wird weiterhin die Notwendigkeit zur
213
Integration von Speziallösungen und zur Anbindung von Altsystemen bestehen. 1 Die jeweils sinnvollste Integrationstechnologie ist von der Unternehmens- sowie der IT-Strategie, den Integrationszielen und der Unternehmenssituation abhängig. Bei der Auswahl einer Integrationstechnologie sollten die beschriebenen Zusammenhänge sowie die jeweiligen Vor- und Nachteile berücksichtig werden. Die verschiedenen Integrationstechnologien lassen sich auch beliebig kombinieren. Auf der Suche nach der optimalen Lösung sollten die Verantwortlichen bestrebt sein, den strategischen Grundsatz "System follows Strategy" zu verwirklichen.2 So wird bei der Gestaltung der IT-Ziellandschaft darauf geachtet, dass die IT in der Lage ist, die Geschäftsstrategie optimal zu unterstützen und dem Unternehmen einen langfristigen Wettbewerbsvorteil zu verschaffen.
4.1.3.9 Rechtliche Aspekte im Rahmen von Unternehmenszusammenschlüssen Bei Unternehmenszusammenschlüssen ist zu unterscheiden, ob es sich um einen Asset Deal oder einen Share Deal handelt.3 Bei einem Asset Deal werden die Komponenten der IT-Landschaft ebenso wie bestehende IT-Verträge durch das Käuferunternehmen übernommen. Die Hardware wird dabei gemäß §§ 433 ff. BGB übertragen. Bei älteren oder geringwertigen Hardwarekomponenten ist der Übertragungsvorgang teilweise so unverhältnismäßig aufwendig, dass sie dem Käufer bis zur endgültigen Abschreibung nur zur Verfügung gestellt werden oder eine Neubeschaffung zweckmäßiger ist.4 Bei der Übernahme von Software-Lizenzen orientiert sich das Verpflichtungsgeschäft an den Richtlinien der §§ 415 ff. BGB. Bezüglich des Verfügungsgeschäftes ist nach § 34 Abs. 1 Satz 1 UrhG die Zustimmung des Urhebers für die Übertragung der Nutzungsrechte erforderlich, dies gilt jedoch nicht im Rahmen der Gesamtveräußerung eines Unternehmens oder der Veräußerung von Teilen eines Unternehmens. Dennoch ist zu prüfen, ob eine Weitergabebeschränkung oder ein Zustimmungsvorbehalt in den Lizenzverträgen oder in den Allgemeinen Geschäftsbedingungen (AGB) vereinbart wurde. Bei Kaufverträgen mit Einmalzahlung für Individualsoftware kommt der Erschöpfungsgrundsatz gemäß § 69c Nr. 3 Satz 2 UrhG zum Tragen. Dieser verhindert die Vereinbarung urheberrechtlich wirksamer Weitergabeverbote. Damit sind formularvertragliche Regelungen z. B. in Form der AGBs im Lizenzvertrag bezüglich pauschaler Weiterveräußerungsverbote oder genereller Zustimmungsvorbehalte rechtlich unwirksam und nicht weiter zu berücksichtigen. Hingegen ist durch individualvertragliche Vereinbarungen ein schuldrechtliches Weiterveräußerungsverbot zulässig. Diese sollten daher gegebenenfalls bei den Integrationsüberlegungen einbezogen werden. Bei einem Share Deal werden keine Wirtschaftsgüter
1
Vgl. Dahlke, K.; Volmering, T. (2003), S. 57; vgl. Seidel, B. (2004), S. 22. Vgl. Scherer, E. (2008), S. 27. 3 Siehe hierzu die Erläuterungen in Abschnitt 2.2.1. 4 Vgl. hierzu und im Folgenden Söbbing, T. (2007), S. 168. 2
214
sondern Gesellschaftsteile übertragen. Dabei wird in einem Share Purchase Agreement genau festgelegt, welche Verbindlichkeiten im IT-Bereich der Käufer übernimmt.1 Die aus der individuellen Unternehmenssituation resultierenden gesetzlichen und vertraglichen Nutzungsrechte sollten frühzeitig in die Entscheidung über die Ausgestaltung der IT-Ziellandschaft einfließen.2
4.1.4 Integration der Anwender Eine oftmals unterschätzte Aufgabe stellt die Zusammenführung der aus IT-Sicht externen Gestaltungsebene der IT-Integration dar. Mit der Konsolidierung der IT-Organisation und der IT-Landschaften sind auch die verschiedenen Anwender- und Anspruchsgruppen zusammenzuführen. Dabei sind sowohl die internen Anwender als auch externe Kunden, Kooperationspartner oder IT-Dienstleister zu berücksichtigen, die von der IT-Integration betroffen sind. Die folgende Abbildung veranschaulicht die Beziehungen des IT-Bereichs als internen Dienstleister zu seinen Kunden und Lieferanten.
Abbildung 21: Einordnung der IT-Bereiche in das Gesamtunternehmen Quelle: eigene Darstellung in Anlehnung an Durst, M. (2007), S. 12.
1 2
Vgl. Söbbing, T. (2007), S. 170. Aus diesem Grund zählt die Erhebung gesetzlicher Rahmenbedingungen zu den ersten Schritten innerhalb des Integrationsprozesses. Siehe hierzu Abschnitt 4.2.2. 215
Wurden die Anwender nicht ausreichend in den Integrationsprozess einbezogen, können Integrationsprojekte scheitern. Aus den sich teilweise widersprechenden Zielsetzungen der einzelnen Geschäftsbereiche, den individuellen Anwenderkulturen sowie den zum Teil sehr unterschiedlich ausfallenden Arbeitsumgebungen resultieren differierende Anwenderbedürfnisse.1 So haben zum Beispiel die Mitarbeiter des Controllings ganz andere Vorstellungen und Anforderungen an die Aufbereitung von Informationen als die Mitarbeiter der Produktion. Oder eine mit vier Personen besetzte Vertriebsabteilung in einer Zweigstelle ist beispielsweise ganz anders organisiert und durchläuft andere Prozesse als eine Vertriebsabteilung mit vierzig Mitarbeitern am Hauptsitz des Unternehmens. Die situationsbedingten Anwenderkulturen werden neben dem Arbeitsumfeld geprägt von der Kultur des Landes, vom Ausbildungsstand der Mitarbeiter und vom Führungsstil der Verantwortlichen. Entsprechendes Konfliktpotenzial sollte bereits zu Beginn des Integrationsprozesses bei der Erhebung der Umfeldbedingungen erkannt werden, um durch geeignete Maßnahmen auftretenden Problemen entgegensteuern zu können.2 Somit sind auf der einen Seite die individuellen, geschäftsbereichsbezogenen Bedürfnisse zu verstehen und zu berücksichtigen und auf der anderen Seite die notwendige Akzeptanz der Entscheidungen bei den Anwendern zu erreichen. Zu diesem Zweck empfiehlt es sich, die Betroffenen zu Beteiligten zu machen. In den von der IT-Integration betroffenen Fachabteilungen werden dabei geeignete Anwender identifiziert, die als sogenannte Key-User in den Integrationsteams mitwirken und die anwenderseitigen Wünsche und Anliegen bei der Gestaltung der zukünftigen IT-Landschaft einbringen. Mit der Entscheidung für eine IT-Ziellandschaft wird auch das Anwendungswissen der Mitarbeiter, deren Applikationen abgelöst werden, unvermeidlich entwertet, was zu beachtlichen Widerständen und Ablehnung führen kann. Die Ängste der Betroffenen, beispielsweise vor einer Überforderung oder dem Verlust ihres Arbeitsplatzes, sollten nicht unterbewertet werden. Um den betroffenen Mitarbeitern den Übergang auf die neue Systemumgebung zu erleichtern und Fehler beim Umgang mit den neuen Anwendungssystemen zu vermeiden, sind ausreichend gezielte Schulungsmaßnahmen einzuplanen.3 Widerstände der betroffenen Anwender gegen die anstehenden Veränderungen bezüglich ihrer gewohnten Arbeitsabläufe und Systemumgebungen können den Integrationserfolg gefährden.4 Das beste Integrationsprojekt ist überflüssig, wenn die Anwender anschließend nicht bereit sind, mit der IT-Ziellandschaft zu arbeiten.
1
Vgl. Scherer, E. (2008), S. 26 f. Siehe hierzu Abschnitt 4.2.2. 3 Vgl. Steinbock, H.-J. (2000), S. 38. 4 Vgl. Strahringer, S.; Zdarsky, F. (2003), S. 526. 2
216
Gegebenenfalls erforderliche Trainings und Einweisungen der Anwender sind rechtzeitig vom Integrationsmanagement zu planen und durchzuführen.1 Dabei kann es sinnvoll sein, geübte Anwender der Applikationen, die in der IT-Ziellandschaft erhalten bleiben, zu Trainern und Schulungsleitern zu machen. Sie sind oftmals am Besten in der Lage anderen Mitarbeitern, die zukünftig ebenfalls mit diesen Applikationen arbeiten werden, den Umgang und die Vorteile zu vermitteln. Auf diesem Weg kann die Zusammenführung der Anwendergruppen aktiv vorangetrieben und der Wissens- und Informationsaustausch unterstützt werden. Durch die kontinuierliche Vermittlung von Zielsetzung und Vorgehensweise des Integrationsprojektes lässt sich die Akzeptanz der Veränderung bei den Anwendern wirksam fördern. Auf den langfristig entstehenden zusätzlichen Nutzen sowie Beeinträchtigungen der Systemverfügbarkeit oder Services sollten die Anwendergruppen individuell hingewiesen werden. Werden Anwendungssysteme, die durch die Integration Änderungen erfahren, von Kunden, Lieferanten oder Kooperationspartnern genutzt, sind auch diese Benutzer zielgruppengerecht mit den jeweiligen Informationen zu versorgen und gegebenenfalls bei Anwenderschulungen einzubeziehen. Bei der Zusammenführung der Lieferantenbeziehungen sind verschiedene rechtliche Aspekte zu beachten. Wird bei der Integration die IT-Beschaffung und damit die Verwaltung vertraglicher Verpflichtungen der IT konsolidiert und zentralisiert, lassen sich Kostensenkungspotenziale ausschöpfen. Zu den Lieferantenverträgen mit IT-Dienstleistern gehören beispielsweise Outsourcing-, Wartungs- oder Pflegeverträge. Bei Unternehmenszusammenschlüssen in Form eines Asset Deals tritt das Käuferunternehmen in der Regel in die vertraglichen Verpflichtungen des erworbenen Unternehmens ein. Zum Teil ist das Käuferunternehmen zur Übernahme verpflichtet und zum Teil ist die Übernahme explizit gewünscht. 2 Eine solche Vertragsübernahme muss entweder zwischen beiden Zusammenschlusspartnern vereinbart und vom IT-Lieferanten gemäß §§ 415, 182, 184 BGB genehmigt werden, oder es erfolgt eine Schuldübernahme nach § 414 BGB und der IT-Lieferant nimmt die Verfügung über die Forderung selbst vor. Die Genehmigung einer Vertragsübertragung wird der IT-Lieferant üblicherweise von der Solvenz der einzelnen Zusammenschlusspartner abhängig machen. Es kann also zusammengefasst werden, dass eine Projektbeteiligung von Anwendern in Schlüsselpositionen ratsam ist, um geschäftsbereichsspezifische Belange einzubeziehen. Alle von der IT-Integration betroffenen internen und externen Anwender und Nutzer der IT-Leistungsangebote sollten zeitnah und regelmäßig über die Ziele der Integration, die geplanten Schritte und den jeweiligen Fortschritt sowie die individuellen Konsequenzen informiert werden. Zentrale Entscheidungen, die im Zuge der IT-Integration getroffen werden, sind
1
Die Planung ist Bestandteil der zweiten Phase und die Durchführung erfolgt in der dritten Phase des Integrationsprozesses. Siehe hierzu Abschnitte 4.2.3 und 4.2.4. 2 Vgl. hierzu und im Folgenden Söbbing, T. (2007), S. 168. 217
unmittelbar an die Betroffenen zu kommunizieren.1 Regelmäßige Informationen über den Projektfortschritt oder auftretende Probleme vermitteln den Anwendern einen Einblick in das Integrationsprojekt. Durch die entstehende Transparenz über die Vorgehensweise und den Prozess der zeitlichen Maßnahmenumsetzung, die jeweiligen Synergiepotenziale, mögliche Hindernisse und gegebenenfalls zeitliche Verzögerungen kann Akzeptanz und Verständnis bei den Anwendern geschaffen werden.2 Durch ein derartiges Anwender-Management lassen sich die Erwartungen an die IT-Unterstützung gezielt steuern. In der Regel sind die internen Anwender über alle Ebenen des Unternehmens verteilt, daher ist auch die Information der Anwender zielgruppengerecht zu gestalten, und sollte so ausführlich wie nötig und dabei so klar und einfach wie möglich erfolgen. Um die Kooperation des Betriebsrats zu sichern, sollte auch dieser stetig in den Informations- und Kommunikationsprozess integriert sein. Vertragsrechtliche Aspekte der Lieferantenbeziehungen sind bereits zu Beginn des Integrationsprozesses zu untersuchen, um die Konsequenzen bei der Wahl einer Integrationsalternative berücksichtigen zu können.3
4.2
Phasenmodell des IT-Integrationsprozesses
Nachdem die vier Gestaltungsebenen der IT-Integration ausführlich erläutert wurden, widmet sich dieser Abschnitt der Beschreibung des Integrationsprozesses mit seinen wesentlichen Schritten. Zu diesem Zweck wird ein Phasenmodell entwickelt, das den zeitlichen Ablauf der IT-Integration veranschaulicht. Die IT-Integration wird dabei in drei Hauptphasen unterteilt, die innerhalb des Modells wiederum in verschiedene aufeinander folgende Prozessschritte gegliedert sind. Zu den Prozessschritten jeder Phase werden die einzelnen Schlüsselaktivitäten dargestellt und die jeweiligen Abhängigkeiten herausgearbeitet. Aufgrund der Komplexität eines IT-Integrationsvorhabens lässt sich ein Integrationsablauf nicht bis ins kleinste Detail planen bzw. verallgemeinern. Das folgende 3-Phasenmodell gibt jedoch ein strukturiertes und schrittweises Vorgehen vor, durch das sich die vielfältigen Anforderungen rechtzeitig erfassen und umsetzen lassen.
1
Vgl. Homburg, C.; Bucerius, M. (2004), S. 158. Vgl. Töpfer, A. (2000), S. 15. 3 Siehe hierzu Abschnitt 4.2.2. 2
218
Abbildung 22: Phasenmodell der IT-Integration Quelle: eigene Darstellung
Eine gut strukturierte Vorgehensweise zur Integration der IT zeichnet sich dadurch aus, dass die Schlüsselaktivitäten der einzelnen Prozessschritte auf den Ergebnissen der vorangegangenen Prozessschritte aufbauen. In der Praxis bleiben oftmals beispielsweise aufwendig entwickelte IT-Strategien oder übergeordnete Zielvorgaben bei der Konzeption und Umsetzung der IT-Vorhaben unberücksichtigt. Eine Studie hat ergeben, dass nach Unternehmenszusammenschlüssen in der Hälfte der Fälle die gegebenen systemtechnischen Rahmenbedingungen, das IT-Integrationsbudget, das zur Verfügung stehende Zeitfenster sowie die erforderlichen Personalressourcen nicht in die IT-Integrationsplanung einbezogen wurden.1 In allen Fällen wurde bei der Integrationsplanung die Erreichung kurzfristiger Ziele angestrebt und eine langfristige IT-Strategie wurde dabei vollkommen außer Acht gelassen. Das entwickelte Modell stellt Methoden des Integrationsmanagements zu den drei Phasen und den jeweiligen Prozessschritten eines Integrationsablaufs zusammen. Anhand dieses methodischen Vorgehens ist es möglich, dass die beschriebenen Fehler vermieden und dennoch die Realisierung von Quick Wins vorangetrieben wird. In den folgenden Abschnitten werden erst die drei phasenübergreifenden Aufgabenbereiche des Integrationsprozesses – a) das Integrationsmanagement, b) die Informations- und Kom-
219
munikationsaktivitäten und c) die Realisierung von Quick Wins und Übergangslösungen sowie die Gewährleistung der technischen Grundvoraussetzungen – und anschließend die drei Phasen sowie deren Prozessschritte beschrieben.
4.2.1 Phasenübergreifende Aktivitäten Eine systematische Kommunikation und ein kompetentes IT-Integrationsmanagement sind Aufgaben, die durchgängig von der Entscheidung zur Integration bis zum Integrationsabschluss zu erfüllen sind. Ein konsequentes und zielorientiertes Integrationsmanagement ist eine Grundvoraussetzung für die Erreichung der angestrebten Synergieeffekte. Die Realisierung positiver Synergien erfordert eine motivierende Führung und die Abstimmung aller IT-Integrationsaktivitäten.2 Das Integrationsmanagement übernimmt über alle Phasen hinweg die Koordination, Steuerung und Kontrolle der Integrationsmaßnahmen. Um Widerstandsreaktionen innerhalb der Integrationsparteien zu begegnen, zählt auch ein professionelles Personalmanagement zu den Aufgaben der Integrationsverantwortlichen. Wie wichtig die Kommunikation und Information während der Integration ist, wurde an vielen Stellen in dieser Arbeit immer wieder betont. Die kontinuierlichen Kommunikationsaktivitäten zählen zu den internen Marketingmaßnahmen des IT-Bereichs. Sie fördern die Akzeptanz der Veränderungen und das Verständnis für die Vorgehensweisen. Bei Unternehmenszusammenschlüssen sollte die Kommunikation übergreifend z. B. durch ein Integrationsbüro koordiniert werden. Von der Anpassung der Unternehmens- und IT-Strategie bis hin zum Integrationsabschluss kann durch eine Regelkommunikation eine positive Grundstimmung gegenüber den Veränderungen erreicht werden.3 Die Bereitstellung ausführlicher und klar verständlicher Informationen hat im Integrationsprozess eine klärende und stimulierende Wirkung. Zudem hat die Kommunikation des Integrationsplans und der geplanten Meilensteine die Aufgabe, eine schnelle Umsetzung der Maßnahmen voranzutreiben.4 Die entstehende Prozesstransparenz sowie die Information über Erfolgserlebnisse und Schwierigkeiten wirken sich positiv auf das Integrationsklima aus. Abschließend ist festzuhalten, dass die Kommunikation im Laufe des IT-Integrationsprozesses offen, proaktiv, zielgruppengerecht und kontinuierlich erfolgen sollte. Die Realisierung von Quick Wins, die zeitnahe Schaffung der technischen Grundvoraussetzungen sowie die Entwicklung gegebenenfalls notwendiger Übergangslösungen wird mit
1
Vgl. hierzu und im Folgenden McKiernan, P.; Merali, Y. (1995), S. 59. Vgl. Bisani, F. (1990), S. 16. 3 Vgl. Zimmermann, R. (2002), S. 81. 4 Vgl. Zimmermann, R. (2002), S. 86. 2
220
besonderer zeitlicher Priorität, losgelöst von der übrigen Vorhabenplanung, vorangetrieben.1 Das Integrationsmanagement gewährleistet dabei die notwendige Abstimmung und verhindert unnötige Verzögerung bei der Ausschöpfung wichtiger Synergiepotenziale sowie bei der Bereitstellung erforderlicher technischer Arbeitsgrundlagen. Bei Unternehmenszusammenschlüssen ist beispielsweise die Schaffung einer gemeinsamen Kommunikationsplattform in der Regel eine Aufgabe, die direkt nach der Vertragsunterzeichnung anzugehen ist. Bevor die ersten Maßnahmen zur Realisierung von Quick Wins eingeleitet werden können, ist die klare Zieldefinition sowie die Schaffung der Kostentransparenz beider IT-Bereiche unbedingt erforderlich.2 Deutlich einfacher haben es hier Unternehmen, die bereits eine verbrauchsorientierte Rechnungsstellung der IT-Kosten an die Fachbereiche eingeführt haben und z. B. als Service Center organisiert sind. Es muss Klarheit darüber herrschen, wie viel Geld wofür und warum ausgegeben wird, um kurzfristige Kostensenkungsmaßnahmen ergreifen zu können.3 Sinnvollerweise erfolgt zuerst eine Zuordnung der Kosten zu Kostenträgern wie Personal, Freiberufler, IT-Berater, Hardware, Software, Kommunikation und Outsourcing, sowie zur Wertschöpfungsstufe wie Planung, Entwicklung, Aufbau oder Betrieb. Dabei wird parallel bewusst die Aufdeckung verdeckter IT-Kosten angestrebt. Darunter werden Kosten verstanden, die bisher nicht im IT-Budget ausgewiesen wurden, jedoch eindeutig dem IT-Bereich zuzuordnen sind. Anschließend erweist sich eine Gegenüberstellung der Kostenstrukturen beider IT-Bereiche als zweckmäßig, um Überschneidungen herauszuarbeiten und eine Konsistenzprüfung hinsichtlich der geplanten IT-Budgets vornehmen zu können. Daraus ergeben sich klare Hinweise auf kurzfristige und mittelfristige Kostensenkungspotenziale. 4 Wurde bei der Aufstellung der IT-Gesamtausgaben bereits eine Zuordnung zur jeweiligen Wertschöpfungsstufe getroffen, wird damit ebenfalls die bestehende Aufteilung des ITBudgets in IT-Investitions- und IT-Betriebskosten deutlich. Die IT-Verantwortlichen bekommen auf diese Weise einen Überblick, in welcher Höhe derzeit Mittel für wertschaffende ITInvestitionen zur Verfügung stehen.5 Auf diese Daten kann bei der Integrations- und Budgetplanung zurückgegriffen werden. Bei einigen Hardwarelieferanten, Service-Providern oder Software-Lizenzgebern steigt die Abnahme bzw. die Anzahl der benötigten Lizenzen und damit lassen sich größere Rabatte erzielen.6 Oftmals sind kurzfristig Mengenvorteile in Preisverhandlungen mit den Lieferanten und Dienstleistern durchzusetzen. Durch die veränderte Situation werden auf der anderen
1
Quick Wins wurden bereits im Abschnitt 2.3.1.1 bei der Darstellung möglicher Kosteneinsparungen erläutert. Die Schaffung der technischen Grundvoraussetzungen zählt, wie im Abschnitt 2.3.2 beschrieben, zu den wesentlichen Aufgaben des IT-Bereichs im Rahmen der IT-Integration. 2 Vgl. Garimella, K. (2001), S. 38. 3 Vgl. Baur, A. (2004), S. 29. 4 Vgl. Meitner, H. (2003), S. 21; siehe hierzu auch Abschnitt 2.3.1.1 sowie Tabelle 4. 5 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 86. 6 Siehe hierzu die Ausführungen in Abschnitt 2.2.1.3 und 2.3.1.1. 221
Seite einige Leistungen und Produkte nicht mehr benötigt. So werden z. B. bei der Zusammenführung von Anwendungssystemen die Software-Lizenzen der abzuschaltenden Systeme überflüssig. Die Neuverhandlung bzw. Kündigung bestehender Lizenz- und Wartungsverträge kann jedoch erst erfolgen, wenn eine Entscheidung über die Ausgestaltung der IT-Ziellandschaft und die Archivierungslösung getroffen wurde.1 Rechtsexperten sollten gegebenenfalls prüfen, ob die Möglichkeit einer vorzeitigen Beendigung des Vertragsverhältnisses mittels eines Aufhebungsvertrages durch Kündigung eines Werkvertrages nach § 649 BGB auf dem Weg einer ordentlichen oder außerordentlichen Kündigung oder über die vertraglichen Kündigungsrechte besteht.2 Teilweise existiert die Notwendigkeit, aufgrund der Komplexität des Integrationsprojektes ITtechnische Übergangslösungen zu schaffen. Bei Unternehmenszusammenschlüssen ist z. B. das externe Berichtswesen innerhalb der ersten hundert Tage zusammenzuführen. Ebenso besteht oftmals die Forderung, sich kurzfristig am Markt bzw. gegenüber den Kunden einheitlich und im neuen, gemeinsamen Erscheinungsbild zu präsentieren.3 Das kann dazu führen, dass die Integration des externen Rechnungswesens oder der Vertriebsaktivitäten sowie der entsprechenden Anwendungsunterstützung mit besonderer Priorität verfolgt werden. Durch eine Trennung zwischen diesen kurzfristigen Integrationsaufgaben und dem eigentlichen Integrationsprojekt, welches die Gestaltung einer auf Dauer angelegten einheitlichen IT-Organisation und IT-Landschaft zum Ziel hat, kann die Komplexität des Integrationsvorhabens erheblich reduziert werden.4
4.2.2 Die Phase der strategischen Entscheidungsfindung – Schaffung des Integrationsrahmens Die Erfahrung hat gezeigt, dass sich IT-Integrationen in der Praxis oftmals als schwieriger und aufwendiger herausstellen, als dies vorher geplant war.5 In der ersten Phase des ITIntegrationsprozesses wird ein Rahmen für die IT-Zusammenführung geschaffen, der zur Vermeidung dieser Probleme beitragen soll. Unter Berücksichtigung aller relevanten Rahmenbedingungen sowie internen und externen Anforderungen wird eine ziel- und strategieorientierte Entscheidung über die grundlegende Ausgestaltung der IT-Ziellandschaft sowie der künftigen IT-Organisation getroffen. Die Fragestellungen für die strategische Ausgestaltung von IT-Organisation und IT-Ziellandschaft lautet: Durch welches IT-Leistungsangebot in Form von Anwendungen und Services können die Unternehmensziele bestmöglich verfolgt
1
Dies geschieht am Ende der ersten Phase bzw. zu Beginn der zweiten Phase. Vgl. Söbbing, T. (2007), S. 167. 3 Vgl. Trapp, R.O.; Otto, A. (2002), S. 103. 4 Vgl. Lauritzen, S. (2000), S. 21. 5 Vgl. BenDaniel, D. J.; Rosenbloom, A. H.; Hanks Jr., J. J. (2002), S. 530. 2
222
bzw. die Zielerreichung optimal unterstützt werden? Nur durch eine enge Abstimmung zwischen dem Integrationsverantwortlichen und der Unternehmensführung können die Ziele der IT-Integration mit den übergeordneten Geschäftszielen in Einklang gebracht werden. In dieser Vorbereitungsphase wird der Grundstein für den späteren Erfolg der Integration gelegt. Fehleinschätzungen der Synergiepotenziale oder eine mangelhafte Herleitung der IT-Ziele, die nicht im Einklang mit den Unternehmenszielen stehen, können die maßgeblichen Ursachen für einen Misserfolg der IT-Integration sein. Die folgende Abbildung veranschaulicht den Prozessablauf der ersten Phase, bei der vier aufeinander folgende Prozessschritte durchlaufen werden.
Abbildung 23: Schaffung des Integrationsrahmens – Integrationsphase 1 Quelle: eigene Darstellung
4.2.2.1 Schritt 1: Entscheidungsvorbereitung Der Schritt der Entscheidungsvorbereitung umfasst in erster Linie die Installation eines Projektes, die Strategieanpassung, die Aufnahme relevanter Gesetze und Regularien und die Erhebung der Unternehmenssituation. 1. Installation eines Projektes / Integrationsmanagements Bei der Integration der Informationstechnologie handelt es sich um eine einmalige, komplexe und innovative Aufgabe, die zeitlich befristet ist. Es fällt die Ähnlichkeit dieser Aufgaben-
223
stellung mit den typischen Aufgaben des Projektmanagements auf, daher wird das Integrationsmanagement in der Regel als Projekt organisiert und die üblichen Werkzeuge wie Meilenstein- und Netzpläne stellen auch hier hilfreiche Instrumente dar.1 Da umfangreiche Integrationsvorhaben zudem in einem interdisziplinären Zusammenhang stehen, hat sich der Projektmanagementansatz durchgesetzt.2 Vorteilhaft an diesem Vorgehen ist die klare Zielsetzung, die stringente Umsetzungs- und Ergebniskontrolle sowie die Tatsache, dass ein projektorientiertes Vorgehen in der IT-Branche tief verwurzelt ist.3 Je tiefgreifender die angestrebten Veränderungen ausfallen und je größer die Unterschiede der Integrationsparteien sind, desto vorteilhafter ist es, die Integration einer eigenständigen Projektorganisation zu übertragen und nicht eine einzelne operative Teileinheit damit zu überfordern.4 Mit der Entscheidung für die Integration der IT ist eine erste temporäre Projektorganisation einzurichten und ein für die IT-Integration Verantwortlicher zu benennen. Dieser Projektleiter oder leitende Integrationsmanager steuert und koordiniert die Schlüsselaktivitäten im Integrationsprozess. Ein professionelles Integrationsmanagement stellt sicher, dass die definierten IT-Integrationsziele bei der Durchführung des Integrationsprojektes stetig verfolgt werden und sich die Integration auf diese Weise durchgängig an den Unternehmenszielen orientiert.5 Dem Projektleiter des IT-Integrationsprojektes obliegt die Verantwortung für das Integrationsmanagement. Je nach Umfang des Integrationsvorhabens sollte der Projektleiter schon zu diesem Zeitpunkt durch ein Integrationsteam unterstützt werden. In jedem Fall sollte bereits im ersten Prozessschritt ein Lenkungsausschuss bestimmt werden.6 Eine hohe Management-Aufmerksamkeit ist für den Erfolg des Integrationsprojektes von entscheidender Bedeutung. Alle wesentlichen Entscheidungen sollten auf Vorstands- bzw. Geschäftsführungsebene getroffenen werden.7 Die Einbeziehung der Unternehmensspitze bewirkt die persönliche Mitverantwortung für das Ergebnis der IT-Integration. Zudem geht von ihr eine psychologische Wirkung aus, die allen Mitarbeitern den Stellenwert und die Priorität des ITIntegrationsvorhabens für das Unternehmen signalisiert. Hinzu kommt, dass nur das TopManagement über die notwendige Durchschlagskraft verfügt.8 Daher sollte die frühzeitige und stetige Mitwirkung und der steuernde Einfluss durch die oberste Führungsebene auch als
1
Vgl. Specht, G. (2003), S. 356; Vgl. hierzu auch die Ausführungen in Abschnitt 4.1.2.3. Vgl. Staehle, W.H. (1999), S. 769. Vgl. Stegkemper, B.; Seisl., P. (2002), S. 23. 4 Vgl. Gerpott, T. J. (2003), S. 465. Zu den Alternativen der strukturellen Integrationsorganisation siehe Abschnitt 4.1.2.2. 5 Vgl. Achleitner, A.-K.; Wecker, R.; Wirtz, B.W. (2004), S. 1506. 6 Der Lenkungsausschuss ist ein Gremium, das sich aus Mitarbeitern der Unternehmensleitung, den Leitern der betroffenen Fachabteilungen, dem zukünftigen Leiter der IT-Bereiche und nach Möglichkeit auch aus Mitgliedern des Vorstands bzw. der Unternehmensführung zusammensetzt. Vgl. Biethahn, J.; Mucksch, H.; Ruf, W. (2004), S. 210. 7 Vgl. Töpfer, A. (2000), S. 14. 8 Vgl. Osterloh, M.; Frost, J. (2006), S. 271. 2 3
224
kritischer Erfolgsfaktor des Integrationsprojektes betrachtet werden.1 Die primäre Aufgabe des Lenkungsausschusses besteht in der Lenkung des Integrationsprojektes durch die Bewilligung von Budgets und Teilprojekten, der Festlegung von Prioritäten und der Entscheidung über alternative Vorgehensweisen. Wichtig ist, dass Entscheidungsstrukturen eindeutig bestimmt und Eskalationsverfahren installiert werden, sodass es bei Uneinigkeiten nicht zu unnötigen Verzögerungen kommt, sondern klar definierte Eskalationsstufen für eine schnelle Klärung sorgen. 2. Strategieanpassung In der Regel gehen größere Integrationsprojekte auch mit einer veränderten Ausrichtung der Unternehmensstrategie einher.2 Dementsprechend ist im ersten Schritt die IT-Strategie an die Unternehmensstrategie anzupassen, da Technologieeinsatzentscheidungen grundsätzlich am Unternehmen auszurichten sind.3 Falls die Veränderung der Unternehmensstrategie bzw. der Geschäftsziele der Auslöser für das Integrationsvorhaben waren, sind neben der IT-Strategie auch die Geschäftsbereichsstrategien entsprechend anzupassen.4 Veränderungen der Geschäftsbereichsstrategien führen wiederum oftmals zu Anpassungen der Geschäftsprozesse, welche bei IT-gestützten Geschäftsprozessen nur durch eine Modifikation der Anwendungssysteme erreicht werden können. 5 Das bedeutet, dass auch die fachbereichsseitigen Änderungsanforderungen die Gestaltung der Integrationsobjekte IT-Landschaft und IT-Organisation beeinflussen. Der erste entscheidende Schritt im Integrationsprozess besteht somit in der Anpassung der IT- und Geschäftsbereichsstrategien an veränderte strategische Unternehmensziele, der Zusammenführung und Harmonisierung der strategischen Zielsetzungen der ITBereiche und der klaren Formulierung einer einheitlichen IT-Strategie. Die Ziele des IT-Integrationsprojektes sind wiederum aus den strategischen IT- und Unternehmenszielen sowie den gegebenenfalls übergeordneten Integrationszielen abzuleiten. Die strategischen IT-Ziele können beispielsweise in der Optimierung der Geschäftsprozesse, der Reduzierung der ITKosten, der Steigerung der IT-Effizienz, der Standardisierung von Hardware, Software oder Prozessen, einer Verbesserung des Leistungsangebotes oder der Erhöhung der Anwenderzufriedenheit liegen.6 Abbildung 23 veranschaulicht, wie aufbauend auf der Unternehmensstrategie eine einheitliche IT-Strategie und verschiedene Geschäftsbereichsstrategien formuliert werden.
1
Vgl. Stegkemper, B.; Seisl., P. (2002), S. 27; vgl. Brunner, H.; Gasser, K.; Pörtig, F. (2003), S. 31. Vgl. Baur, A. (2004), S. 30. 3 Vgl. Voß, S.; Gutenschwager, K. (2001), S. 204. 4 Dabei werden die Geschäftsbereichsziele ebenso wie die IT-Ziele konsequent an den Unternehmenszielen ausgerichtet. 5 Vgl. Baumöl, U. (2003), S. 246; vgl. Komus, A.; Reiter, O. (2000), S. 37. 6 Vgl. Blomer, R.; Bernhard, M. G. (2003), S. 26. 2
225
3. Ermittlung relevanter Gesetze und Erhebung der Unternehmenssituation Neben den internen Geschäftsanforderungen an die IT sind auch die gesetzlichen Anforderungen sowie die situativen Umfeldbedingungen zu berücksichtigen, um die ersten richtungweisenden Entscheidungen zur IT-Integration zu treffen. Aus diesem Grund sollte sich ein ITCompliance-Verantwortlicher zu diesem Zeitpunkt bereits einen groben Überblick über relevante Gesetze und Vorschriften verschaffen, die die IT-Integration betreffen. Eine Hilfestellung bei der Ermittlung der gesetzlichen Vorschriften liefert die Übersicht der in Tabelle 9 zusammengetragenen IT-Compliance-Anforderungen. Dem verantwortlichen Integrationsmanager ist zu empfehlen, parallel dazu die übrigen bestehenden Rahmenbedingungen zu eruieren. Sie geben eine Indikation für die Komplexität und den Aufwand des Integrationsvorhabens. Zudem lassen sich Handlungsspielräume dadurch besser einschätzen. Als Grundraster für die Erhebung der Unternehmenssituation können die in Abschnitt 2.4.1 erläuterten allgemeinen situativen Umfeldbedingungen dienen. Durch dieses Vorgehen ist es dem IT-Integrationsmanagement möglich, bei der Entwicklung von Integrationsalternativen nicht nur den Top-down-Zielvorgaben sondern auch den Bottomup-Anforderungen, die sich aus den verschiedenen Geschäftsbereichsstrategien ergeben, gerecht zu werden.1
4.2.2.2 Schritt 2: Grundsätzliche Integrationsentscheidungen und ITBestandsanalyse Gesteuert durch ein kompetentes Integrationsmanagement laufen im zweiten Schritt die Topdown-Zielvorgaben, die Bottom-up-Geschäftsbereichsanforderungen und die externen gesetzlichen Anforderungen vor dem Hintergrund der ermittelten Umfeldbedingungen zu abgestimmten Integrationsentscheidungen zusammen. Diese ersten grundlegenden Entscheidungen umfassen die personelle Besetzung der Führungspositionen sowie die Festlegung der Führungsstruktur und die eindeutige Bestimmung der Verantwortlichkeiten der Führungskräfte im IT-Bereich. Zudem werden der angestrebte Integrationsgrad aus den IT-Integrationszielen sowie die Qualitätsrichtlinien zur Ausgestaltung der IT-Ziellandschaft aus der IT-Strategie abgeleitet. Parallel zur Definition dieser Gestaltungsparameter erfolgt eine IT-Bestandsaufnahme. Diese Beschreibung des Ist-Zustandes setzt sich aus der Darstellung der bestehenden IT-Landschaften und IT-Prozesse sowie der Erhebung der gegebenen Parameter der IT-Landschaften, die im Abschnitt 2.4.2 beschriebenen wurden, zusammen. Um sich einen Überblick über den Qualitätsstand der IT-Landschaften und den Integrationsaufwand zu verschaffen, sollten die gegebenen Parameter mittels einer isolierten und einer vergleichenden Betrachtungsweise ermittelt werden.2
1 2
Vgl. Meitner, H. (2003), S. 12. Siehe hierzu die Ausführungen in Abschnitt 2.4.2.
226
Im Rahmen der IT-Bestandsaufnahme ist zu empfehlen, die verschiedenen IT-ComplianceAspekte durchgängig in die Zustandsanalyse aufzunehmen. Folgende Fragen sollten bei beiden Integrationspartnern geklärt werden: 1 Welche Hard- und Software ist im Einsatz und welchen Leistungsumfang bieten die Systeme an? Welche Standards existieren bzw. werden verwendet? Wurden die Anwender durch ausreichende Schulungen in die Nutzung der Anwendungssysteme eingewiesen? Welche Wartungs- und Pflegeverträge bestehen derzeit? Wie sind die einzelnen Komponenten der IT-Landschaft miteinander und mit den Geschäftspartnern verbunden und wie wurden die Schnittstellen gestaltet? Welche Zugriffsrechte vergibt das bestehende Berechtigungskonzept? Sind die Zugriffsrechte der verschiedenen Anwendungen aufeinander abgestimmt? Wie sind die Datensicherung und das Archivierungskonzept gestaltet? Existieren einheitliche Regelungen für die Archivierung von E-Mails? Wurden datenschutzkonforme Abwesenheitsvereinbarungen getroffen? Wurden datenschutzkonforme Routinen zur Missbrauchskontrolle entwickelt? Existieren Richtlinien für den einheitlichen Umgang mit Verschlüsselungstechniken, die einen aktuellen technologischen Stand gewährleisten? Entspricht die Archivierungsart den Vorschriften? Entspricht der Archivierungsort den Sicherheitsbestimmungen? In welcher Form werden die Datenflüsse organisiert und überwacht? Welche Sicherheitsprotokolle werden verwendet? Wie ist das Lizenzmanagement strukturiert? Existiert ein Notfallversorgungs-Konzept? Wie sind die Zuständigkeiten in Fällen wie Virenbefall, Plattencrash oder Systemzusammenbruch geregelt?
Wurden Ansprechpartner für IT-Compliance-Fragen definiert? Wurden die Prozesse und Anwendungssysteme ausführlich dokumentiert? Wurden die Dokumentationen bei Änderungen entsprechend aktualisiert?
Tabelle 17: Checkliste zur IT-Bestandsaufnahme Quelle: eigene Darstellung2
Damit liefert die Bestandsanalyse auch einen Überblick über bisher nicht oder nicht ausreichend erfüllte IT-Compliance-Anforderungen. Je offener die Unternehmensführung einem
1 2
Vgl. Lensdorf, L. (2007), S. 416; vgl. Speichert, H. (2007), S. 353 f. Bei den aufgeführten Fragestellungen wird insbesondere der Grad der bestehenden Gesetzeskonformität untersucht. Diese Auflistung greift nur beispielhaft einige Aspekte der IT-Compliance heraus, die in erster Linie für die Archivierungsthematik von Relevanz sind. 227
Cherry-Picking-Ansatz gegenüber steht, desto ausführlicher sollte die qualitative Bestandsanalyse durchgeführt werden. Steht jedoch von vornherein fest, dass die Integration beispielsweise aufgrund der Größenverhältnisse in Form einer Absorption erfolgt, reicht eine relativ kurze Analyse der zu migrierenden IT-Landschaft aus. Bei der Analyse der IT-Landschaft und der bestehenden Prozesse ist besonderer Wert auf die Identifizierung von Synergiepotenzialen zu legen. Dabei sind sowohl positive als auch negative Synergien zu beachten.1 Das Integrationsmanagement hat die Aufgabe, positive Synergien in möglichst großem Umfang zu realisieren und dabei das Eintreten negativer Synergien auf ein Minimum zu beschränken. Es wird nach Vorteilen gesucht, die sich aus der gemeinsamen Nutzung von IT-Ressourcen basierend auf der Zusammenführung der IT-Organisation und der IT-Landschaft ergeben und es werden zugleich die sich ergebenden Nachteile bedacht und einkalkuliert. Dabei ist zu untersuchen, ob bei Zusammenführung der IT-gestützten Geschäftsprozesse, bei Vereinheitlichung der Anwendungssysteme und Infrastrukturkomponenten, bei Zusammenlegung des IT-Personals und bei Konsolidierung der IT-Leistungsprogramme Synergieeffekte durch Wegfall, Zugang, Transfer oder Koordination erschlossen werden können.2 Es existieren verschiedene Methoden zur Analyse von Prozessen, auf die hier nicht näher eingegangen werden soll.3 Zur Qualitätsbewertung sollten die bereitgestellten Leistungen sowie die zugrunde liegenden IT-Prozesse betrachtet werden. Die Anwenderzufriedenheit, das Qualifikationsniveau der IT-Mitarbeiter, IT-Prozessdurchlaufzeiten, die Fehlerquote oder Ausfallzeiten der IT-Prozesse sowie die Problemlösungsquote4 können dabei beispielsweise als Kennzahlen herangezogen werden.5 Anhand dieser qualitativen Kennzahlen lassen sich in der folgenden Phase konkrete Maßnahmen und Synergiepotenziale herausarbeiten.
4.2.2.3 Schritt 3: Entwicklung der Integrationsalternativen Aufbauend auf der Untersuchung bestehender IT-Welten und der Festlegung der ersten Gestaltungsparameter erfolgt im dritten Schritt die Entwicklung und Bewertung potenzieller Integrationsalternativen. Dabei werden sinnvolle Varianten einer IT-Ziellandschaft durch eine zweckmäßige Kombination verschiedener Ausprägungen der voneinander abhängigen Gestaltungsparameter • Integrationsmethode,
1
Siehe hierzu die Ausführungen in Abschnitt 2.3.1. Vgl. hierzu Abschnitt 2.3.1. 3 Das Beratungsunternehmen Roland Berger & Partner hat beispielsweise einen Ansatz zur IT-Prozessanalyse und anschließenden Prozessoptimierung im Rahmen von Integrationsprojekten entwickelt. Vgl. Bender, K.; Ammann, C.; Meitner, H. (2000), S. 25 ff. 4 Dabei sind die Vereinbarungen für den 1st oder 2nd-Level-Support bzw. bestehende Service Level Agreements zugrunde zu legen. 5 Vgl. Schwarze, L.; Holzhammer, U. Kleine, A. (2008), S. 115. 2
228
• Integrationsbudget und • Integrationsgeschwindigkeit in Verbindung mit möglichen Integrationstechniken konzipiert. Entsprechend sind bezüglich der künftigen IT-Organisation mögliche Integrationsalternativen zu entwickeln.1 Basierend auf der Analyse der bestehenden IT-Prozesse, den festgelegten Gestaltungsparametern und den konsolidierten IT-Governance-Richtlinien bzw. der formulierten IT-Strategie sind zielgerichtete IT-Organisationsmodelle zu skizzieren. Die Integrationsalternativen sind so zu gestalten, dass sie die erforderliche Funktionalität im Kontext der neuen Geschäftsstrategie, des Geschäftsmodells und der gegebenenfalls konsolidierten Geschäftsbereichsanforderungen abdecken. Alle in Frage kommenden Applikationen sollten die definierten Ausschlusskriterien wie Zukunftssicherheit, Stabilität und Ausfallsicherheit erfüllen.2 Sind diese Grundvoraussetzungen erfüllt, werden die Varianten auf ihre technische und organisatorische Umsetzbarkeit und die Erfüllung unternehmensinterner und relevanter gesetzlicher Anforderungen überprüft. Für die entwickelten Integrationsalternativen werden unternehmensindividuelle Bewertungskriterien definiert. Dazu zählen die Synergien und Risiken, die Integrationsdauer und entstehende Kosten sowie der Erfüllungsgrad der festgelegten Gestaltungsparameter der ITLandschaft. Nun werden die Einsparungs- und Wertsteigerungspotenziale der Integrationsalternativen quantifiziert und den Kosten gegenübergestellt. In die Kostenkalkulationen fließt neben den Integrationskosten auch der Aufwand für den späteren Betrieb dieser Lösungsalternative ein. Bei den Alternativen, die die Ablösung von Anwendungen vorsehen, werden die Kosten für ein Archivierungsprojekt in das Integrationsbudget eingeplant. Mögliche Folgen der einzelnen Alternativen sind abzuschätzen und bei nicht tolerierbaren Risiken sind entsprechende Fall-Back-Lösungen vorzusehen.3 So sollte beispielsweise untersucht werden, wie wahrscheinlich die Gefahr einer Betriebsstörung ist und welche Konsequenzen derartige Betriebsbeeinträchtigungen haben könnten. Je komplexer das Integrationsprojekt ist, desto wichtiger ist ein durchdachtes Risikomanagement. Anschließend sind die erarbeiteten Alternativen hinsichtlich ihrer Zielerfüllung und vor dem Hintergrund der festgelegten Bewertungskriterien sowie durchgeführter Machbarkeitsstudien zu beurteilen.
4.2.2.4 Schritt 4: Auswahl einer Integrationsalternative Im vierten und letzten Schritt der ersten Phase werden die bewerteten Integrationsalternativen als Entscheidungsvorlage genutzt und eine Auswahl getroffen. Die IT-Anwendungen sind gekennzeichnet durch die unmittelbare Kommunikation mit dem Benutzer. Daher sollten ins1
Siehe hierzu die Erläuterungen möglicher IT-Organisationsmodelle in Abschnitt 4.1.2. Siehe hierzu die Ausführungen im Abschnitt 2.4.2.2. 3 Vgl. Handschuh, M.; Buchta, D. (2000), S. 32. 2
229
besondere die jeweiligen Vor- und Nachteile der Integrationsalternativen bezüglich der Integration der IT-Anwendungslandschaften vor einer Entscheidung sorgfältig abgewogen werden.1 Mit der grundlegenden Entscheidung über die Ausgestaltung der IT-Ziellandschaft und das künftige IT-Organisationsmodell wurde der Rahmen für die IT-Integration geschaffen. Aus der Entscheidung über die Ausgestaltung der künftigen IT-Landschaft lässt sich die Liste der abzuschaltenden Anwendungssysteme ableiten. Diese Liste ist der Startschuss für die Überprüfung weiterer Archivierungserfordernisse im Rahmen des Integrationsprojektes. Die Entscheidung über die IT-Ziellandschaft schafft auch Klarheit über die zukünftig erforderlichen Leistungsprogramme und die administrativen und operativen Aufgabenstellungen der IT. Dies ermöglicht einen Entwurf der künftigen IT-Kernprozesse. Die Entscheidung für eine IT-Ziellandschaft hat oftmals weitreichende Konsequenzen für die personalbezogene Gestaltung der IT. Daher sind an dieser Stelle entsprechende Maßnahmen des Personalmanagements, beispielsweise zur langfristigen Bindung bedeutender Leistungsträger, zu ergreifen.2
Abbildung 24: Schlüsselaktivitäten der ersten Integrationsphase Quelle: eigene Darstellung
Abbildung 24 fasst noch einmal die Schlüsselaktivitäten und Abbildung 25 die Ergebnisse der vier Prozessschritte innerhalb der ersten Integrationsphase zusammen.
1 2
Vgl. Rigall, J.; Hornke, M. (2007), S. 501. Siehe hierzu die Erläuterungen und Empfehlungen in Abschnitt 4.1.2.4
230
Abbildung 25: Ergebnisse der ersten Integrationsphase Quelle: eigene Darstellung
4.2.3 Die Planungs- und Konzeptionsphase Die zweite Phase umfasst die vier aufeinander folgenden Prozessschritte der Projektdefinition, der Anpassung des IT-Projektportfolios, der Erstellung eines IT-Masterplans und der Entwicklung eines Grobkonzeptes.
4.2.3.1 Schritt 1: Projektdefinition Nachdem die Ausgestaltung der IT-Landschaft feststeht und die grundlegende IT-Organisationsstruktur definiert wurde, sind im ersten Schritt dieser Phase die Ziele und angestrebten Synergien zu konkretisieren. Die spezifischen Ziele und Synergiepotenziale bezogen auf die Integrationsobjekte IT-Organisation und IT-Landschaft sowie die Erfolgsfaktoren zur Zielerreichung sind an dieser Stelle exakt herauszuarbeiten und zu kommunizieren. Eine klare Bestimmung der angestrebten Synergieziele sowie eine Schätzung der zu erwartenden Dyssynergien und Integrationskosten bildet die Basis für die Planung und Konzeption der Integration und dient als Orientierungsraster für die Durchführung des Integrationsprojektes.1 Anschließend ist das Integrationsprojekt genau zu definieren. Handelt es sich um ein sehr komplexes 1
Vgl. Penzel, H.-G.; Pietig, C. (2000), S. 75; vgl. Achleitner, A.-K.; Wecker, R.; Wirtz, B.W. (2004), S. 1506. 231
Integrationsprojekt, kann die Clusterung der Integrationsanforderungen in Teilprojekte sinnvoll sein. So ist beispielsweise eine Gruppierung nach regional oder funktional ähnlichen ITAnforderungen möglich. Gegebenenfalls erfolgt eine Definition der Teilprojekte und eines clusterspezifischen Integrationsansatzes zur globalen Harmonisierung der IT. Das Integrationsmanagement hat die herausfordernde Aufgabe, die einzelnen Teilprojekte zu koordinieren, Entscheidungen und Aktivitäten abzustimmen und die Verfolgung der übergeordneten Integrationsziele zu gewährleisten. Um den Projektaufwand für die Erfüllung gesetzlicher Vorgaben besser abschätzen und die erforderlichen Maßnahmen einplanen zu können, ist zu empfehlen, vor der Projektdefinition einen IT-Compliance-Check durchzuführen. Aufbauend auf den Ergebnissen der Bestandsaufnahme konzentriert sich diese Untersuchung speziell auf die anstehenden Veränderungen. Ein solcher IT-Compliance-Check beinhaltet die folgenden Aktivitäten: Identifizierung der für die Gestaltung der IT-Ziellandschaft relevanten Gesetze Ermittlung der von den gesetzlichen Regelungen betroffenen Prozesse und Komponenten der ITZiellandschaft Evaluierung der IT-Compliance durch einen Abgleich, welche Veränderungen die identifizierten gesetzlichen Regelungen betreffen, sowie durch eine Untersuchung, welche Regelungen nach den Veränderungen nicht bzw. nicht mehr erfüllt sind Ermittlung der Konsequenzen und Definition der Prioritäten Erhebung der abzulösenden Anwendungssysteme mit steuerlicher Relevanz und Abschätzung der relevanten Datenvolumina; danach Ableitung anwendungsindividueller Entscheidungen über die Vorgehensweise zur GDPdU-konformen Abschaltung abzulösender Anwendungen1 Formulierung gesetzlicher Anforderungen an die Integrations- und Migrationsprojekte
Erarbeitung von technischen und organisatorischen Maßnahmen zur Erlangung bzw. Wiederherstellung eines gesetzeskonformen IT-Einsatzes
Tabelle 18: Aktivitäten des IT-Compliance-Checks Quelle: eigene Darstellung
Ändert ein steuerpflichtiges Unternehmen im Zuge der Integration die Art seiner Geschäftstätigkeit, sein Bewertungsverfahren oder seine Rechtsform, so ist es beispielsweise verpflichtet, zu überprüfen, ob daraus geänderte Anforderungen an die Aufbewahrung resultieren.2 Wird im Nachhinein eine unvollständige Archivierung festgestellt, kann es sich nicht darauf berufen, dass es diejenigen Daten und Unterlagen aufbewahrt habe, die ihm bisher als aufbewahrungspflichtig bekannt waren. Entsprechende Fehler lassen sich durch einen ITCompliance-Check vermeiden.
1 2
Dieser Aspekt der IT-Compliance-Überprüfung wird im Abschnitt 5.2.2.1 genauer erläutert. Vgl. van Acken, J. et al. (2002), S. 43.
232
Der IT-Compliance-Check gibt unter anderem Aufschluss darüber, ob die geplante Ablösung von Anwendungssystemen die Entwicklung oder Überarbeitung eines Archivierungskonzeptes erforderlich macht. Im Rahmen des IT-Compliance-Checks ist das zu archivierende Datenvolumen abzuschätzen. Insbesondere in heterogenen IT-Landschaften gestaltet sich die Abschätzung des Archivierungsumfangs elektronischer Unterlagen, die für Prüfungs- und Nachweiszwecke aufzubewahren sind, äußerst schwierig. Zu diesem Zeitpunkt ist im Lenkungsausschuss zu klären, ob neben der Erfüllung gesetzlicher Archivierungspflichten weitere Zielsetzungen der Archivierung verfolgt werden sollen und ob im Zusammenhang mit der digitalen Archivierung auch Verbesserungspotenziale betrieblicher Prozesse zu berücksichtigen sind. In diesem Fall sind die bestehenden Archivierungslösungen und -systeme sowie laufende Projekte und geplante Vorhaben zu identifizieren und alle Archivierungsaktivitäten zu konsolidieren, um ein übergreifendes Archivierungskonzept erarbeiten zu können. Ziel und Zweck der elektronischen Archivierung sollten klar und eng abgegrenzt formuliert werden, um die Komplexität zu reduzieren.1 Des Weiteren sind im Lenkungsausschuss die Fragen zu klären, wer zuständig und verantwortlich ist, wer einbezogen werden sollte, wer das Budget für das Archivierungsprojekt und für den späteren Betrieb trägt, welche Ressourcen erforderlich sind und wer langfristig die Betreuung übernimmt. Sollen Archivlösungen eingeführt werden, ist nicht nur der daraus resultierende Aufwand für die Einführung sondern auch für den späteren Betrieb frühzeitig einzuplanen, denn auch Archive sind nicht statisch und müssen regelmäßig dem Stand der Technik angepasst werden. Beispielsweise sollten zukünftig anfallende Migrationskosten für Archivformat- und -medienwechsel entsprechend der geplanten Migrationszyklen in die Budgetierung aufgenommen werden. Die konkretisierten Synergieziele und die Ergebnisse des IT-Compliance-Checks werden in die Definition der Projekte und die Erarbeitung von Maßnahmen für die Realisierung einer integrierten, gesetzeskonformen Unternehmens-IT einbezogen. Die Geschäfts-, IT- und gesetzlichen Anforderungen sind durch den Lenkungsausschuss zu gewichten. Idealerweise wird zu jedem Projekt ein Projektauftrag formuliert, der die kritischen Erfolgsfaktoren enthält.
4.2.3.2 Schritt 2: IT-Projektportfolioanpassung Im zweiten Schritt ist zu prüfen, wie sich die Anpassung der IT-Strategie, die Entscheidungen über die Ausgestaltung der IT-Ziellandschaft sowie das üblicherweise mit hoher Priorität umzusetzende IT-Integrationsprojekt auf das IT-Projektportfolio auswirken und wie sich die Prioritäten verändern. Umfangreiche Integrationsprojekte führen nicht selten zu einer vollkommenen Neugestaltung des IT-Projektportfolios und des IT-Masterplans. Zudem müssen
1
Vgl. Odenthal, R. (2007), S. 59. 233
die IT-Projekte beider Integrationsparteien konsolidiert werden.1 Bei der Zusammenführung der IT-Projektportfolios sind somit neben den aktuellen und geplanten IT-Projekten beider Integrationspartner auch alle im letzten Prozessschritt erarbeiteten Integrationsprojekte zu berücksichtigen.2 Alle laufenden und geplanten Projekte sind hinsichtlich ihres tatsächlichen Nutzens in der aktuellen Situation, des geplanten Aufwands und ihrer strategischen Bedeutung kritisch zu prüfen. Speziell nach Unternehmenszusammenschlüssen sind IT-Projekte auf ihrer Konformität zu den Zielen der neuen IT-Strategie zu untersuchen.3 Das generelle Stoppen aller laufenden Projekte ist nicht ratsam; jedoch muss sichergestellt sein, dass alle weiterlaufenden Projekte die durch die Integration bedingten Rahmenbedingungen und Anforderungen berücksichtigen und an den neuen Zielen ausgerichtet sind.4 Zudem sollte die Zusammenführung der IT-Projektportfolios genutzt werden, um alle Projekte in Zusammenarbeit mit den betroffenen Fachbereichen betriebswirtschaftlich zu überprüfen. Dies erfolgt in der Regel über einen Kosten-/ Nutzenvergleich. Bevor in eine neue ITLösung investiert wird, sollten die betroffenen Fachbereiche und die jeweiligen IT-Spezialisten genau untersuchen, welchen Nutzen diese Investition wirklich bringt. Da der tatsächliche Nutzen eines IT-Projektes in der Praxis oftmals gar nicht oder nur unzureichend untersucht wird, wurden verschiedene Konzepte und Methoden entwickelt, um eine Nutzenbewertung von IT-Investitionen strukturiert vornehmen zu können.5 Alle Projektanforderungen sind genau zu überprüfen und durch rigides Nachfragen ist die Notwendigkeit der einzelnen Forderungen sicherzustellen, denn nur durch eine klare Spezifizierung der Anwenderbedürfnisse sowie gesetzlicher Anforderungen ist es möglich, den Aufwand realisierbar zu halten. Des Weiteren gibt der in der ersten Phase festgelegte, anzustrebende Abdeckungsgrad der Anwenderanforderungen klare Hinweise darauf, in welchem Umfang den Forderungen der Geschäftsbereiche nach IT-Lösungen und IT-Leistungen nachzukommen ist. Wichtig ist ebenfalls, dass bei der Kostenkalkulation sowohl die Integrationskosten in Form von Anschaffungs-, Anpassungs- und Einführungskosten als auch die Kosten des laufenden Betriebs berücksichtigt werden, da die Betriebskosten zu den Einführungskosten in einem Verhältnis von 80:20 stehen. Parallelarbeiten werden konsolidiert und überflüssig gewordene Projekte werden gestoppt. Die strategische Bedeutung der verbleibenden Projekte für das Gesamtunternehmen wird kritisch verifiziert. Nur diejenigen IT-Projekte, die in der neuen Unternehmenssituation und bei veränderten Unternehmensabläufen angemessene Rückflüsse erwarten lassen, werden in das IT-Projektportfolio aufgenommen. Bestehende Projektdefinitionen und Projektaufträge sind gegebenenfalls anzupassen.
1
Vgl. Baur, A. (2004), S. 28. Vgl. Handschuh, M.; Buchta, D. (2000), S. 30. 3 Vgl. Hövelmann, N.; Baumgart, W. (1999), S. 13. 4 Vgl. Müller, R. (2000), S. 74. 5 Vgl. hierzu ausführlich Schröder, H.; Kester, R. (2006), S. 63 ff. 2
234
Die frei werdenden Ressourcen können im Integrationsprojekt wertschöpfend genutzt werden. Die auf diesem Weg kurzfristig frei werdenden Personalkapazitäten werden dringend für die Durchführung der Integrationsprojekte gebraucht, da das Verständnis der bestehenden Prozesse und die Kenntnis der Altsysteme zwingend erforderlich sind und somit ein Einsatz externer Ressourcen nur begrenzt sinnvoll ist.1 Zu diesem Zeitpunkt sind ebenfalls alle laufenden und geplanten Quick Win-Projekte mit der entsprechenden Priorität ins IT-Projektportfolio aufzunehmen, um in die übergreifende Planung einbezogen werden zu können. Damit enthält das neudefinierte IT-Gestamtprojektportfolio – neben allen Integrationsprojekten in Form von Einführungs-, Anpassungs- und Migrations- sowie Compliance- oder Archivierungsprojekten – auch Weiterentwicklungs-, Wartungs- und Neuprojekte, die bereits vor der IT-Integration geplant waren oder begonnen hatten. Anschließend ist das vereinheitlichte und validierte IT-Projektportfolio vor dem Hintergrund der IT-Strategie, der IT-Integrationsziele und der gewichteten fachseitigen und gesetzlichen Anforderungen neu zu priorisieren. Die Priorisierung und Bewertung der IT-Projekte erfolgt ebenfalls mit Hilfe von Kosten-/ Nutzenbetrachtungen. Typische Kriterien sind dabei die strategische Bedeutung des Projektes für das Unternehmen, die Höhe der erwarteten Wertschöpfung durch das Projekt, der Kapitalbedarf, die Zeit bis zur Realisierung der erwarteten Erträge und das Risiko der operativen Umsetzung.2 Die Erstellung eines übergreifenden Projektplans erfordert vor allem eine Priorisierung der Projekte nach Dringlichkeit und Effekt. Für die übergreifende Planung sind zudem die zeitlichen, inhaltlichen und personellen Abhängigkeiten der Projekte zu erfassen. Dabei sind nicht nur die Veränderungen im IT-Bereich sondern im gesamten Unternehmen zu berücksichtigen.
4.2.3.3 Schritt 3: Entwurf des IT-Integrationsplans als Teil des IT-Masterplans Das konsolidierte IT-Projektportfolio dient als Basis für den Integrationsplan bzw. für den übergreifenden IT-Masterplan.3 Aufbauend auf den Veränderungen des IT-Projektportfolios und den neuen Prioritäten ist der IT-Masterplan anzupassen. Bei größeren Integrationsvorhaben insbesondere im Rahmen von Unternehmenszusammenschlüssen treten laufende und geplante IT-Projekte neben dem Integrationsprojekt für den Integrationszeitraum deutlich in den Hintergrund. Die Parallelisierung und Überlappung einzelner Integrationsaktivitäten erfordert eine systematische Planung und ein effizientes Integrationsmanagement. Abhängigkeiten und Prämis-
1
Vgl. Berensmann, D.; Spang, S. (1998), S. 38. Vgl. Müller, R. (2000), S. 74; vgl. Pfeifer, A.; Holtschke, B. (2003), S. 89. Dabei kann beispielsweise die Anzahl der betroffenen Geschäftsvorfälle ein entscheidender Prioritätstreiber der IT-Projektanforderungen sein. Vgl. Meitner, H. (2003), S. 20. 3 Zum Inhalt des IT-Masterplans siehe Abschnitt 4.1.1.3. 2
235
sen sowie die Begrenzung des Zeitrahmens und der zur Verfügung stehenden Personalkapazitäten erlauben keine komplette Parallelisierung, sondern erzwingen die Bildung einer Reihenfolge für die Umsetzung der IT-Projekte.1 Die Projekte sind somit entsprechend ihrer Priorität und unter Berücksichtigung relevanter Prämissen und bestehender Abhängigkeiten bezüglich ihres zeitlichen Ablaufs zu planen. Bestimmte Prämissen lassen sich beispielsweise auf gesetzliche Vorschriften zurückführen. So dürfen z. B. während der Erstellung von Jahresoder Zwischenabschlüssen keine technischen Änderungen an den betreffenden Anwendungssystemen durchgeführt werden.2 Für die Überarbeitung des IT-Masterplans wird auf die Kalkulation des Realisierungsaufwands der einzelnen IT-Projekte zurückgegriffen. Der kalkulierte finanzielle Aufwand ist mit dem geplanten IT-Budget abzugleichen. Bei Abweichungen sind in Abstimmung mit dem Lenkungsausschuss entweder die Projektanforderungen zu überarbeiten oder eine Budgetanpassung vorzunehmen. Der IT-Masterplan umfasst durch die zeitliche Fixierung von Projektteilergebnissen und durch die Zuordnung personeller Kapazitäten und Budgets auch eine übergeordnete Meilenstein- und Ressourcenplanung. Der Integrationsplan ist ein Bestandteil des Masterplans. Er stellt einen groben Arbeitsplan zur Integration der IT dar, der alle wesentlichen Aktivitäten, Meilensteine und Verantwortlichkeiten abstimmt. Er enthält für jedes Teilprojekt eine Prioritätsangabe, den geplanten Anfangs- und Endzeitpunkt, die Verantwortlichen, die Abhängigkeiten zu anderen Projekten und Maßnahmen, den Abarbeitungsstatus und, soweit wie möglich, Angaben über die anteiligen Integrationskosten sowie die geplanten Synergiebeiträge.3 Je höher das qualitative und quantitative Informationsniveau über beide Integrationspartner ist, desto detaillierter und umfassender kann der Integrationsplan erstellt werden.4 Das Integrationsmanagement verfeinert, aktualisiert und korrigiert diesen Plan laufend mit zunehmendem Informationsstand. Auf diese Weise lässt sich der Integrationsplan immer weiter detaillieren und als das Fundament für die Fortschritts- und Zielerreichungskontrolle der Integrationsumsetzung nutzen. Auf der einen Seite kann so anhand eines übergeordneten und abgestimmten Maßnahmen- und Aktivitätenplans die Konsolidierung bestehender Anwendungssysteme und Infrastrukturkomponenten zur angestrebten IT-Ziellandschaft erfolgen. Auf der anderen Seite lassen sich mittels eines Handlungsplans der Aufbau und die Besetzung der künftigen IT-Organisationsstruktur vorbereiten. Im Anschluss an die Planung ist die Installation einer funktionierenden und leistungsstarken Projektstruktur für die Konzeption und Umsetzung der Integrationsmaßnahmen erforderlich. In diesem Zusammenhang sind die personelle Zusammensetzung der verschiedenen Integrationsteams sowie die Besetzung der entsprechenden Teilprojektleiterpositionen zu bestimmen.
1
Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 104. Vgl. Söbbing, T. (2007), S. 170. 3 Vgl. Rigall, J.; Hornke, M. (2007), S. 502. 4 Vgl. Gerpott. T. J.; Schreiber, K. (1994), S. 108. 2
236
Die Auswahl dieser Projektmitarbeiter sollte äußerst gewissenhaft erfolgen. Das Integrationsteam muss im Rahmen des Projektes Prozesse untersuchen und Abläufe neu gestalten. Von den Mitarbeitern des Projektteams wird daher erwartet, dass sie in der Lage sind, komplexe Zusammenhänge zu erkennen und zu analysieren. Zudem sollten sie integrativ in funktionsübergreifenden Teams arbeiten können.1 Um eine Wertsteigerung der IT- und Prozesslandschaft zu erzielen, müssen die Prozesse intellektuell durchdrungen und potenzielle Optimierungsansätze identifiziert werden. Die Mitarbeiter sollten aufgeschlossen auf neue Denkansätze und innovative Technologien reagieren. Neben ihrem Fachwissen sollten sie auch eine hohe soziale Kompetenz bzw. ausgeprägte Team-, Kommunikations- und Konfliktlösungsfähigkeiten mitbringen. Erfahrungsgemäß sind Projektteams erfolgreicher, die sich zu großen Teilen aus Mitarbeitern zusammensetzen, die normalerweise vollständig in das Tagesgeschäft eingebunden sind und sich als Meinungsführer oder Schlüsselanwender herauskristallisiert haben.2 Ihr Expertenwissen und ihre allgemeine Akzeptanz verleiht den getroffenen Entscheidungen und Umsetzungsmaßnahmen die notwendige Durchsetzungsfähigkeit. Die Besetzung der Integrationsteams ist in erster Linie abhängig von den spezifischen Zielen der Teilprojekte vorzunehmen. Werden z. B. mit der Archivierung neben der Erfüllung steuerlicher Vorgaben auch wirtschaftliche Zielsetzungen verfolgt, sind die betroffenen Fachbereiche an dem Projekt zu beteiligen. Gemeinsam mit den Experten aus der IT-, Steuer-/ Revisions- und Rechtsabteilung sowie gegebenenfalls dem IT-Compliance-Verantwortlichen obliegt ihnen im folgenden Prozessschritt die Erstellung eines Archivierungskonzeptes. 3 Integrationserfahrung der Teammitarbeiter und Verantwortlichen ist keine Grundvoraussetzung, aber sie hilft.4 Fehlende Erfahrung beeinträchtigt nicht den Erfolg eines Integrationsvorhabens, sondern sie macht die Aufgabe für die Verantwortlichen schwieriger. Wenn das Management und die Mitarbeiter aufgrund der Doppelbelastung durch die Integrationsaktivitäten und die Aufrechterhaltung des Tagesgeschäftes zu stark belastet sind, bietet sich der Einsatz externer Spezialisten aus der Beratungsbranche an.1 Auf diese Weise kann sowohl einem Ressourcenals auch einem Erfahrungsdefizit begegnet werden. Der Integrationsprozess ist in der Regel durch Zeit- und Kostendruck geprägt und verlangt daher nach einem straffen Projektmanagement. Das erfordert die Anwendung von einheitlichen Projektmanagementmethoden und Standards zur Steuerung und Kontrolle der Qualität der Umsetzung und des Projektfortschritts. Mit den entsprechenden Hilfsmitteln sollte ein kontinuierlicher Abgleich des geplanten mit dem tatsächlichen Mittel- und Ressourceneinsatzes stattfinden. Ebenso ist die Einhaltung des vereinbarten inhaltlichen Integrationsumfangs 1
Vgl. hierzu und im Folgenden o.V. (2008a), S. 26 ff.; vgl. Davenport, T. H.; Short, J. E. (1990), S. 24. Vgl. Töpfer, A. (2000), S. 14; vgl. Handschuh, M; Buchta, D. (2000), S. 33. Vgl. Odenthal, R. (2007), S. 60. 4 Vgl. Vielba, F.; Vielba, C. (2006), S. 11. 2 3
237
bzw. das Erreichen der Integrationsziele zu überprüfen.2 Subjektive Einschätzungen der Projekt- und Teilprojektleiter genügen hier nicht, stattdessen sind quantitative Kennzahlen wie z. B. die bisher verbrauchten Mittel pro Synergierealisierung sowie das termingetreue Einhalten von Meilensteinen erforderlich.3 Das Ergebnis dieses Prozessschrittes ist somit eine schlagkräftige Projektorganisation sowie ein Ablaufplan zur IT-Integration, der in Einklang gebracht wurde mit allen übrigen IT-Vorhaben und der einen realistischen Integrationsweg aufzeigt.
4.2.3.4 Schritt 4: Grobkonzeption Im vierten Schritt der zweiten Phase sind die individuellen Konzepte zu erstellen. Dabei sollte sich jedes Teilprojekt nicht nur an den jeweiligen Teilprojektzielen sondern auch an den übergeordneten IT-Integrationszielen und der IT-Strategie orientieren. Bezogen auf das Archivierungsprojekt bedeutet dies, dass bei der Erstellung des Archivierungskonzeptes die Lösungsfindung in Abhängigkeit von den strategischen Zielsetzungen, den relevanten funktionalen Anforderungen und den Archivierungsobjekten bzw. dem Datenvolumen erfolgen sollte. Nur so kann die geschäftsseitige Harmonisierung aller Integrationsprojekte sichergestellt werden. Zudem muss die Konzeption der einzelnen Integrationsprojekte durch das Integrationsmanagement abgestimmt werden. Das Ergebnis ist ein Integrationskonzept, das einheitlich modellierte Geschäftsprozesse sowie die Umsetzung der IT-Ziellandschaft und der künftigen IT-Organisation mittels organisatorischer und technischer Lösungen beschreibt. Bezogen auf die Archivierung ist z. B. zu untersuchen, ob der Einsatz einer speziellen Softwarelösung notwendig bzw. sinnvoll ist oder ob eine vergleichbare Lösung und die Erfüllung aller relevanten funktionalen Anforderungen auch mit den bestehenden Anwendungssystemen und entsprechenden organisatorischen und technischen Maßnahmen erreicht werden kann.4 Eine organisatorische und technische Umsetzung sollte nicht schon diskutiert werden, wenn die vorzuhaltenden Systeme und Datenbereiche noch nicht feststehen oder die Zielsetzung nicht eindeutig geklärt wurde. Folgende Abbildung stellt die vier aufeinander folgenden Prozessschritte der zweiten Integrationsphase sowie die jeweiligen Schlüsselaktivitäten und die Ergebnisse dar.
1
Vgl. Bisani, F. (1990), S. 16; vgl. Biethahn, J.; Mucksch, H.; Ruf, W. (2004), S. 223 ff; vgl. Hövelmann, N.; Baumgart, W. (1999), S. 15; vgl. Lauritzen, S. (2000), S. 23. 2 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 89. 3 Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 98 f. 4 Vgl. Odenthal, R. (2007), S. 65. 238
Abbildung 26: Planung und Konzeption – Integrationsphase 2 Quelle: eigene Darstellung
4.2.4 Die Umsetzungs- und Abschlussphase Die Integrationsteams können nach der Konzeption mit der Detailplanung, Spezifikation und Umsetzung beginnen. Die Umsetzungsphase ist eine besonders kritische Phase, da jetzt mehr denn je Motivation, Durchsetzungskraft und die Schnelligkeit der Umsetzung bedeutende Erfolgsfaktoren sind.1 Das Integrationsmanagement befindet sich im Zwiespalt, die Zusammenführung verschiedener IT-Welten mit dem Zweck der Synergieausschöpfung möglichst schnell zu bewältigen und dabei gleichzeitig Beeinträchtigungen des Tagesgeschäftes so weit wie möglich zu vermeiden.2 Da die besten Mitarbeiter für die Integration benötigt werden und sie im Tagesgeschäft teilweise unentbehrlich erscheinen, lassen sich Einschränkungen des operativen Geschäftes nicht vollständig verhindern und eine zeitliche Überbelastung bestimmter Mitarbeiter für eine begrenzte Zeit ist unausweichlich.3 Dennoch hat die Aufrechterhaltung des Tagesgeschäftes während der Umsetzungsphase höchste Priorität. Trotz der zusätzlichen Belastung des IT-Bereichs durch die Integrationsaufgaben müssen die Anwender weiter im
1
Vgl. Specht, G. (2003), S. 360. Vgl. Müller-Stewens, G. (2003), S. 155. 3 Vgl. Töpfer, A. (2000), S. 14. 2
239
ausreichenden Umfang unterstützt werden. Negative Auswirkungen der IT-Zusammenführung auf den Kunden sind dabei unbedingt weitestgehend zu vermeiden.1 Folgende Abbildung veranschaulicht den Ablauf der dritten Phase des Integrationsprozesses.
Abbildung 27: Umsetzung und Betrieb – Integrationsphase 3 Quelle: eigene Darstellung
Oftmals lassen sich die IT-Welten aus vielerlei Gründen nicht problemlos harmonisieren.2 Charakteristisch für die dritte Phase ist, dass die einzelnen Teilschritte in iterativen ProblemLösungs-Zyklen durchlaufen werden. Das Zurückspringen und Wiederholen einzelner Umsetzungsschritte wird notwendig, wenn die Validierung der Zwischenergebnisse nicht die gewünschten Resultate liefert. Ein entsprechendes Vorgehen wird am Beispiel der Datenmigration im Abschnitt 5.2.3 erläutert. Unter Berücksichtigung der strategischen Vorgaben sind in dieser Phase die übrigen drei Gestaltungsebenen der IT zu integrieren. Dabei sind durch das Integrationsteam organisationsorientierte, informationsorientierte und anwenderorientierte Integrationsmaßnahmen umzusetzen. Die organisationsorientierte Integration beinhaltet die Zusammenführung der Aufbau- und Ablauforganisation, die Personalintegration und die Entwicklung einer gemein-
1
Lassen sich Beeinträchtigungen nicht verhindern, sind die Kunden, Lieferanten und internen Anwender individuell und rechtzeitig über die Konsequenzen zu informieren. 2 Vgl. hierzu und im Folgenden Specht, G. (2003), S. 357. 240
samen IT-Kultur.1 Die Vereinheitlichung der IT-gestützten Geschäftsprozesse sowie die Zusammenführung der Anwendungssysteme, ihrer Datenbasis und der Infrastrukturkomponenten sind Bestandteil der informationsorientierten Integration.2 Auch die GDPdU-konforme Ablösung von Anwendungssystemen im Rahmen der IT-Integration und der Datenmigrationsprozess zählen zur informationsorientierten Integration. Mit der Zusammenführung der Anwendergruppen zum Informationsaustausch oder bei Tests und Schulungen erfolgt eine anwenderorientierte Integration.3 Sie stellt den Zusammenschluss der vierten Gestaltungsebene der IT-Integration dar. Ob die einzelnen Schlüsselaktivitäten parallel umgesetzt werden oder die Umsetzung zeitlich versetzt erfolgt, wurde im IT-Masterplan festgelegt. So kann es beispielsweise ratsam sein, die Zusammenführung der IT-Aufbau- und Ablauforganisation erst nach der Einführung der IT-Ziellandschaft umzusetzen, um den Betriebsablauf nicht zu gefährden und um Unsicherheiten zu vermeiden. Auch die Einführung bzw. Ablösung verschiedener Anwendungen kann sukzessive umgesetzt werden und muss nicht notwendigerweise zum gleichen Zeitpunkt erfolgen. Weil die IT-Infrastruktur die Basis für die IT-Anwendungslandschaften ist, sollte die Zusammenführung der IT-Infrastruktur grundsätzlich der Integration der Anwendungen zeitlich vorausgehen.4 Da die Integration der Anwendungen sich direkt auf die Arbeitsweise der Benutzer auswirkt, ist in dieser Phase eine gewissenhafte Kommunikation mit dem Anwender von besonderer Wichtigkeit. Das Integrationsmanagement hat zudem die Aufgabe, die Detailplanung und konzeption, die Umsetzung und den Integrationsabschluss zu steuern und zu kontrollieren. Diese Aufgabenstellung macht eine konsequente Führung, Zielverfolgung und ein Integrationscontrolling erforderlich. Die Hauptaufgabe des Integrationscontrollings liegt in der Fortschritts- und Erfolgskontrolle.5 Regelmäßige Reviews und die stetige Messung des Zielerreichungsgrades geben Aufschluss darüber, ob ein korrigierendes Eingreifen aufgrund von Abweichungen notwendig wird. Bei der Zusammenführung der IT-Prozesse zur Anwendungsentwicklung sollte sichergestellt werden, dass die festgelegten Qualitätsrichtlinien zur Gestaltung der IT-Landschaft, wie z. B. der Heterogenitätsgrad, der Standardisierungsgrad oder die Gesetzeskonformität, auch nach Abschluss des Integrationsprojektes aufrechterhalten werden. An dieser Stelle bietet es sich an, einen standardisierten Change Management Prozess aufzusetzen, der genau festlegt, wie zukünftig mit einzelnen Änderungsanforderungen umgegangen wird, um eine übergeordnete
1
Siehe hierzu genauer die Ausführungen in Abschnitt 4.1.2. Vgl. hierzu Abschnitt 4.1.3. 3 Siehe hierzu genauer Abschnitt 4.1.4. 4 Vgl. Rigall, J.; Hornke, M. (2007), S. 501. 5 Vgl. Schäfer, M. (2001), S. 15. Es gibt verschiedene Methoden des Integrationscontrollings. Siehe hierzu genauer Schäfer, M. (2001), S. 80 ff. 2
241
Planung und Koordination gewährleisten zu können. Dabei sollte auf zwei wesentlich Punkte geachtet werden: Zum einen dürfen Anpassungen der IT-Landschaft nicht spontan, dezentral und unmittelbar auf eine einzelne Benutzeranfrage reagierend durchgeführt werden.1 Zum anderen sollte unbedingt vermieden werden, dass sich neue, voneinander unabhängige Organisationseinheiten bilden, indem bestimmte Fachabteilungen eigene IT-Kompetenzen aufbauen oder einkaufen, um den integrierten Anwendungsentwicklungsprozess zu umgehen.2 Die Folge wären ein erneuter Aufbau verdeckter IT-Kosten und die Vernichtung mühsam erarbeiteter Synergien. Häufig ist zu beobachten, dass die Anwender in Großunternehmen die zum Teil aufwendigen Prüf- und Genehmigungsprozesse als entstehende Trägheit der Gesamt- bzw. der IT-Organisation wahrnehmen und mit Frustration und Resignation reagieren. Um die Akzeptanz zu fördern, ist den Anwendern Sinn und Zweck der festgelegten Qualitätsrichtlinien zu vermitteln. Werden Anwenderanforderungen abgelehnt, sollten die individuellen Gründe verständlich kommuniziert werden. Durch ein gut organisiertes Vorschlagswesen lassen sich Verbesserungen erreichen und innovative Ideen gezielt einbringen.
4.2.5 Zusammenfassung des Modellnutzens und der kritischen Erfolgsfaktoren Eine IT-Integration stellt für jedes Unternehmen eine große Herausforderung dar, zugleich birgt der Integrationsprozess jedoch auch außergewöhnliche Chancen zur Optimierung und Erneuerung.3 So bietet es sich beispielsweise an, bei einer Zusammenführung der IT-Landschaft den Grad der Gesetzeskonformität zu steigern. Noch immer setzt ein Großteil der Unternehmen gesetzliche und regulatorische Bestimmungen zur Aufbewahrung elektronischer Unterlagen nur unvollständig um.4 Hinzu kommt, dass durch die Integration eine veränderte Situation geschaffen wird, die eine erneute Überprüfung der Einhaltung gesetzlicher Vorgaben beim Einsatz der IT erforderlich macht. Aufgrund der Komplexität der Aufgabenstellung einer IT-Integration werden gesetzliche Anforderungen jedoch vielfach vernachlässig, obwohl die Unternehmen durch die Missachtung der Vorschriften gravierende Risiken eingehen. Werden rechtliche Vorgaben ignoriert, führt dies zu ungeplantem Aufwand und den in Abschnitt 3.3.8 beschriebenen Sanktionen. Folglich sollten die gesetzlichen Anforderungen bei einer IT-Integration von Beginn an sowohl unter strategischen als auch unter organisatorischen und technischen Gesichtspunkten betrachtet werden. Die Schwierigkeit der IT-Integration liegt insbesondere darin, die durch die vielen verschiedenen internen und externen Anforderungen entstehende Komplexität zu beherrschen. Das
1
Vgl. Pfeifer, A.; Holtschke, B. (2003), S. 100. Vgl. Allwermann, R. (1993), S. 4. 3 Vgl. Steinbock, H.-J. (2000), S. 40. 4 Vgl. hierzu und im Folgenden Anduleit, M. (2008), S. 28. 2
242
entwickelte Phasenmodell liefert hier mit seinem ganzheitlichen Ansatz eine praxisorientierte Hilfestellung. Der spezifische Kontext einer IT-Integration wird maßgeblich durch die internen und externen Anforderungen an den IT-Einsatz sowie die gegebenen Umfeldbedingungen bestimmt. Ein ganzheitlicher Integrationsansatz macht die Berücksichtigung der vier verschiedenen Gestaltungsebenen einer IT-Integration erforderlich. Daher wurde zunächst die Zusammenführung der IT-Strategie, der IT-Organisation, der IT-Landschaft und der IT-Anwender ausführlich betrachtet. Bezugnehmend auf die jeweiligen Integrationsobjekte wurden konkrete Handlungsempfehlungen und mögliche Integrationsmodelle abgeleitet, Konfliktpotenziale aufgezeigt und zur Verfügung stehende Integrationstechnologien vorgestellt. Auch wenn jedes IT-Integrationsvorhaben aufgrund der fall- und kontextspezifischen Gegebenheiten variiert, kann durch die systematische Strukturierung der Teilaktivitäten der Spielraum der Möglichkeiten abgesteckt werden. Zu diesem Zweck wurde anschließend für den IT-Integrationsprozess ein Phasenmodell mit aufeinander aufbauenden Prozessschritten entworfen, das die im zweiten Teil der Arbeit herausgearbeiteten Einflussfaktoren berücksichtigt. Zu jedem Prozessschritt wurden die Schlüsselaktivitäten und Ergebnisse beschrieben, um eine konkrete Hilfestellung für die Managementpraxis zu bieten. Dabei wurden insbesondere die bislang in der Literatur vernachlässigten Compliance-Aspekte der IT-Integration in den Vordergrund gestellt.
243
Abschließend lassen sich die folgenden kritischen Erfolgsfaktoren des IT-Integrationsprozesses zusammenfassen: •
Klare Integrationsvision und IT-Strategie
•
Top-Management-Aufmerksamkeit, -Beteiligung und -Verantwortung
•
Effektive, zielgruppenorientierte und kontinuierliche Kommunikation
•
Realisierung von Quick Wins
•
Einbindung der Anwender
•
Analyse der Ausgangssituation und Entwicklung entsprechend umsetzbarer Integrationsalternativen
•
Berücksichtigung strategischer Zielvorgaben sowie interner und gesetzlicher Anforderungen
•
Realistische Bewertung und systematische Umsetzung von Synergien
•
Fundierte und dennoch schnelle Entscheidungsfindung
•
Keine Revidierung getroffener Entscheidungen in den ersten beiden Phasen
•
Konsequente und frühzeitige Entscheidungen zur IT-Führungsstruktur und Besetzung
•
Frühzeitige und zugleich detaillierte Integrationsplanung, die mit anderen IT-Vorhaben in Einklang gebracht wurde und alle relevanten Parameter berücksichtigt
•
Realistische Einschätzung des Aufwands
•
Kompetentes Integrationsmanagement zur effizienten und integrativen Steuerung des Integrationsprojektes mit einer schlagkräftigen Projektorganisation
•
Professionelles Personalmanagement für den Übergang von der temporären zur dauerhaften IT-Organisation
•
Ziele kontinuierlich im Fokus und stetige Kontrolle der Zielerreichung
•
Ermittlung, Begrenzung und Handhabung der IT-Risiken
• Sicherstellung eines störungsfreien Betriebsablaufs Tabelle 19: Kritische Erfolgsfaktoren der IT-Integration Quelle: eigene Darstellung
Eine gesetzeskonforme Systemabschaltung im Rahmen einer IT-Integration macht in vielen Fällen eine Archivierungslösung erforderlich. Bei der Beschreibung des Integrationsprozesses wurde innerhalb der Prozessschritte auf verschiedene Entscheidungen und Prozessergebnisse hingewiesen, die das Vorgehen zur GDPdU-konformen Ablösung der Anwendungssysteme beeinflussen. Im folgenden Teil wird ein Vorgehenskonzept beschrieben, welches einen sinnvollen Lösungsweg für die elektronische Archivierung steuerrelevanter Unterlagen innerhalb der drei definierten Integrationsphasen aufzeigt.
244
Teil 5: Lösungsansätze und Vorgehenskonzept zur GDPdUkonformen Systemablösung In diesem Teil der Arbeit soll ein Lösungsansatz für die gesetzeskonforme Archivierung im Rahmen der IT-Integration entwickelt werden. Zu diesem Zweck werden im ersten Schritt Umsetzungsmöglichkeiten aufgezeigt, welche die im dritten Teil herausgearbeiteten funktionalen Anforderungen an die Archivierung erfüllen. Im zweiten Schritt wird ein Vorgehenskonzept erarbeitet, dass eine GDPdU-konforme Systemablösung sicherstellt. Dabei werden die erforderlichen Maßnahmen und zu treffenden Entscheidungen den einzelnen Phasen des im vierten Teil entwickelten Integrationsmodells direkt zugeordnet, um auf diese Weise den gesetzlichen Anforderungen zu entsprechen und die Synergien durch die Systemablösung wie geplant realisieren zu können.
5.1
Lösungsaspekte der Archivierung
Die elektronische Archivierung ist ebenso wenig wie die Erfüllung von Compliance-Anforderungen ein Selbstzweck, sondern dient der Erfüllung gesetzlicher und interner Forderungen. Unternehmen stoßen bei ihrem Vorhaben, den gesetzlichen Aufbewahrungspflichten sowie den unternehmensinternen Anforderungen zu genügen, oftmals auf organisatorische, praktische und technisch bedingte Umsetzungsschwierigkeiten.1 Während bei Dokumenten in Papierform Inhalt, Form und Träger der Information eine unzertrennbare Einheit bilden, liegen digitale Unterlagen unabhängig von ihrem physischen Informationsträger vor.2 Die Daten können online oder offline, in unterschiedlichen Formaten und auf verschiedenen Speichermedien aufbewahrt werden. In diesem Abschnitt wird darauf eingegangen, in welcher Form die verschiedenen Aufbewahrungserfordernisse erfüllt werden können. Die Abgabenordnung schreibt für die Aufbewahrung digitaler Unterlagen zwar keine besondere Technik vor, dennoch muss die technische Umsetzung der Archivierungslösung den geforderten funktionalen Anforderungen genügen. Um eine gesetzeskonforme und wirtschaftliche Aufbewahrung elektronischer Unterlagen zu bewerkstelligen, ist die Berücksichtigung vielfältiger organisatorischer und technischer Aspekte erforderlich. Im Abschnitt 3.5 wurden die funktionalen Anforderungen, die aus externen Vorgaben und internen Anliegen resultieren, zu einem einheitlichen Kriterienkatalog zusammengefasst. Dieser Kriterienkatalog wird in diesem Teil der Arbeit genutzt, um daraus allgemeine Hinweise und Empfehlungen für die organisatorische und technische Umsetzung der Archivierungslösung zu formuliert.
1 2
Vgl. Hoppen, P. (2008), S. 674. Vgl. Nimz, B. (2000), S. 8.
J. M. Guggenberger, Aufbau und Ablauf einer IT-Integration, DOI 10.1007/978-3-8349-8920-8_5, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2010
245
5.1.1 Organisatorische Maßnahmen Der Entwurf eines gesetzeskonformen Archivierungskonzeptes gehört zu den ersten organisatorischen Maßnahmen bei der Entwicklung einer Archivierungslösung. Das Archivierungskonzept umfasst eine ausführliche, verständliche und nachvollziehbare Beschreibung des Archivierungsverfahrens und beinhaltet: -
ein Datenidentifizierungskonzept,
-
ein Metadatenkonzept,
-
ein Datenmigrationskonzept und
-
ein Datensicherheitskonzept inklusive eines Berechtigungskonzeptes.
Das Datenidentifizierungskonzept legt ein Verfahren fest, nach dem die zu archivierenden Daten einmalig identifiziert werden sollen. Sinnvollerweise werden zugleich Prozesse festgelegt, nach denen auch zukünftig regelmäßig bestimmte Daten und Unterlagen identifiziert und an die Archivierungslösung übergeben werden, um die Produktivsysteme zu entlasten. Abhängig von der Bedeutung und dem Inhalte der Daten und Unterlagen sowie vom Archivierungszweck ist ein Metadatenkonzept zu entwickeln. Zweckmäßig gewählte Metadaten ermöglichen später das schnelle und themenbezogene Wiederfinden gespeicherter Informationen und können den Fachabteilungen insbesondere die Suche nach unstrukturierten Daten wie Präsentationen und Office-Dokumenten erheblich erleichtern. Das Datenmigrationskonzept erläutert die Übertragung der Daten auf ein anderes Medium und/oder in ein anderes Format. Ein Datensicherheitskonzept beschreibt die Sicherheitsmechanismen zum Schutz der Daten vor Manipulation, Datenverlust und unberechtigter Einsichtnahme. Die Ausgestaltung der Archivierungsabläufe ist ausführlich zu beschreiben. Dabei sollten alle beteiligten Abteilungen einbezogen werden und die Prozesse aus ihrer Sichtweise schildern.1 Auf alle Anforderungskriterien sollte gesondert eingegangen werden, um zu belegen, dass die Anwendung des Archivierungsverfahrens gesetzeskonform erfolgt. Beispielsweise ist das Migrationskonzept so zu formulieren, dass deutlich wird, wie bei der Datenträger- und Formatmigration die Nachvollziehbarkeit des Verfahrens und der Beweiswert der Dokumente gesichert wird. Die erläuterten Emulationsstrategien oder die Beschreibungen des Zurückspielens von Daten ins Produktivsystem müssen z. B. spezifizieren, wie die geforderte Auswertbarkeit realisiert wird. Dieses Archivierungskonzept ist mittels organisatorischer und technischer Maßnahmen einheitlich, systematisch und konsequent umzusetzen. Bei der elektronischen Archivierung steuerrelevanter Daten ist in jedem Fall darauf zu achten, dass die Daten vollständig, strukturiert und auswertbar vom Ursprungssystem übergeben wer-
1
Vgl. Groß, S.; Lamm, M. (2008), S. 333.
246
den.1 So ist im Rahmen der IT-Integration bei der Übergabe der Daten an das zukünftige Produktiv- bzw. Archivsystem die Vollständigkeit, Richtigkeit und das Vorhandensein notwendiger Verknüpfungen zur Sicherstellung der Auswertbarkeit der Daten durch das abzuschaltende Hauptsystem, Neben- oder Vorsysteme sowie den Migrationsprozess sicherzustellen. Für eine vollständige und richtige Archivierung bestimmter Dokumente ist die bildliche und inhaltliche Gleichheit mit dem Original nach der Übertragung zu gewährleisten. Diese Forderung nach bildlicher und inhaltlicher Übereinstimmung mit dem Original wird erfüllt, wenn alle enthaltenen Angaben zur Aussage- und Beweiskraft des entsprechenden Geschäftsvorfalls originalgetreu wiedergegeben werden.2 Es ist organisatorisch sicherzustellen, dass alle Buchungsbelege und Handels- bzw. Geschäftsbriefe entsprechend archiviert werden. Buchungssätze kaufmännischer Anwendungssysteme sind immer mit Stammdaten wie beispielsweise Debitoren- und Kreditorendaten verknüpft.3 Ändern sich solche Stammdaten, werden sie entsprechend im Anwendungssystem angepasst. Um eine vollständige, richtige und zeitgerechte Wiedergabe vergangener Buchungsvorgänge im Produktivsystem zu gewährleisten, muss eine Protokollierung der Änderungen und eine versionisierte Speicherung historischer Stammdaten erfolgen, denn nur so kann eine korrekte Referenzierung der Stammdaten zu Buchungsvorgängen erfolgen. Diese Forderungen der GoBS werden durch viele betriebswirtschaftliche Anwendungssysteme nicht erfüllt, da die Möglichkeit, zu einem Buchungssatz den jeweiligen Stand der zugehörigen Stammdaten zu sichern, entweder nicht aktiviert wurde oder nicht besteht. Damit ist die Einrichtung einer Historienverwaltung der Stammdaten und deren Archivierung eine organisatorische Voraussetzung für die Erfüllung der Kriterien Vollständigkeit, Richtigkeit und Zeitgerechtigkeit. Bei der elektronischen Archivierung sind somit die entsprechenden historischen Stammdaten und die jeweiligen Verknüpfungen, die in den digitalen Unterlagen referenziert sind, ebenfalls elektronisch vorzuhalten.4 Entsprechendes gilt für die Veränderung von Dokumenten in anderen produktiven Anwendungssystemen wie Textverarbeitungs- oder Tabellenkalkulationssystemen: Um die Kriterien der Vollständigkeit, Richtigkeit und Zeitgerechtigkeit zu erfüllen, ist eine Versionisierung der Unterlagen erforderlich. Demzufolge müssen die künftigen Produktivsysteme sowie gegebenenfalls das Archivsystem eine entsprechende Versions- und Historienverwaltung unterstützen. Die Verpflichtung zur Verfügbarkeit und Lesbarmachung der Unterlagen innerhalb einer angemessenen Frist erfordert neben einer ausreichenden Sicherung des Datenbestandes das Vorhandensein aller aufbewahrungspflichtigen Dokumente,
1
Vgl. Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S. 1217. Vgl. Lui, B. (2003), S. 3. 3 Vgl. VOI (2003), S. 9. 4 Vgl. Kornprobst, F.; v. Ehrenstein, C.; Frosch-Wilke, D. (2003), S. 56. 2
247
der erforderlichen Hard- und Software zur Lesbarmachung, der notwendigen Verfahrensbeschreibungen, der entsprechenden Codes zur Entschlüsselung bei Einsatz kryptographischer Verfahren sowie der Mitarbeiter, die mit dem Verfahren vertraut sind.1 Um die Verfügbarkeit digitaler Unterlagen über die langen Zeiträume der vorgeschriebenen Aufbewahrungsfristen zu gewährleisten, ist zu empfehlen, im Rahmen der IT-Integration auf die Einhaltung von Standards zu achten. Dabei sollten die Aufzeichnungs- und Dateiformate, die Metadaten und eingesetzten Archivierungsmedien, soweit es möglich ist, vereinheitlicht werden. So können schon bei der künftigen Datenerzeugung sowie bei der Datenmigration die Anforderungen an die langfristige Datenspeicherung berücksichtigt werden. Um die Langzeitverfügbarkeit gespeicherter Daten sicherzustellen, besteht darüber hinaus die Notwendigkeit, langfristige Migrationskonzepte zu erstellen und Migrationszyklen einzuplanen. Die Zukunftstauglichkeit der Archivformate und -medien reicht bisher nicht aus, die geforderte Datensicherheit über die den Aufbewahrungsfristen entsprechenden Zeitspannen zu erfüllen.2 Daher macht die Langzeitaufbewahrung automatisch eine Migrationsplanung erforderlich. Für die Gewährleistung der Datensicherheit sind diverse organisatorische Maßnahmen zu ergreifen. Um einem Datenverlust vorzubeugen und zugleich die Verfügbarkeit sicherzustellen, ist beispielsweise ein Notfallplan zu entwickeln. Des Weiteren sind auf Basis des Datensicherheitskonzeptes verschiedenste Kontrollprozesse zu installieren. So sind z. B. die Daten nach einer Datenmigration auf Vollständigkeit zu prüfen, die Verfügbarkeit der Daten und die Funktionsfähigkeit der Archivmedien regelmäßig zu untersuchen sowie der Datenzugang und -zugriff stetig zu kontrollieren. Beim Einsatz kryptographischer Verfahren und elektronischer Signaturen sollte das Datensicherheitskonzept auch Kontrollverfahren enthalten, die regelmäßig überprüfen, ob die verwendeten Verschlüsselungen und Signaturen aufgrund technischer Weiterentwicklungen nach wie vor zuverlässig und sicher sind.3 Sind die eingesetzten Verfahren nicht mehr zeitgemäß oder bestehen Korrumpierungsmöglichkeiten, müssen die Daten neu verschlüsselt bzw. signiert werden, um die Integrität der Daten weiterhin zu schützen. Bei Aufbewahrungsfristen von zehn Jahren ist mit einer wiederholten Umschlüsselung signierter oder verschlüsselter Daten zu rechnen.
1
Vgl. Lensdorf, L. (2008), S. 335. Siehe hierzu Abschnitt 5.1.2.2. 3 Vgl. hierzu und im Folgenden BSI (2008), IT-Grundschutzkataloge, Merkblatt M 2.264; vgl. Hoppen, P. (2008), S. 679. 2
248
Zum Schutz sensibler Daten empfiehlt es sich, ein gut durchdachtes Berechtigungskonzept zu entwickeln und dieses technisch durch geeignete Systemeinstellungen sowie die Vergabe von Zugangs- und Zugriffsrechten umzusetzen. Während Zugangsrechte Regeln definieren, die den Zugang zu den Anwendungssystemen prüfen, steuern und ggf. verhindern, bestimmen Zugriffsrechte, ob der Zugriff auf jeweilige Daten und Unterlagen innerhalb des Systems zugelassen oder unterbunden wird.1 Das Berechtigungskonzept ist so zu gestalten, dass den Verantwortlichen der notwendige Datenzugang und -zugriff ermöglicht wird und durch Zugangs- und Zugriffskontrollen die Einhaltung der datenschutzrechtlichen Bestimmungen gemäß § 9 BDSG gewährleistet ist. Um einen Datenmissbrauch zu verhindern, besteht eine weitere Maßnahme darin, Daten und Datenträger, die nicht mehr benötigt werden, endgültig zu löschen bzw. zu zerstören.2 Dazu zählen Archivdaten bzw. Datenträger nach der Migration auf andere Datenträger oder in andere Formate sowie nach Ablauf der Aufbewahrungsfristen. Die Nachvollziehbarkeit des Archivierungsverfahrens setzt voraus, dass die Verfahrensdokumentation detailliert und aussagekräftig formuliert und regelmäßig aktualisiert wird. Für die kontinuierliche Pflege der Verfahrensdokumentation sind klare Richtlinien zu definieren. Ein verständlich beschriebenes Archivierungsvorgehen dient dazu, das Wiederfinden, die Lesbarmachung und die Prüfbarkeit der Daten und Unterlagen innerhalb der Aufbewahrungszeiträume zu ermöglichen. Um das Kriterium der Vollständigkeit und der Prüfbarkeit zu erfüllen, müssen Unternehmen, die Rechnungen mit qualifizierter elektronischer Signatur empfangen oder versenden, diese gemeinsam mit der Signatur und dem Signaturprüfschlüssel archivieren. Beim Einsatz von Kryptographietechniken sind ebenfalls das verschlüsselte und das entschlüsselte Dokument sowie der Kryptographieschlüssel aufzubewahren. Nach den GDPdU darf bei einer Zusammenführung von Anwendungssystemen die bisher verwendete Systemumgebung nur abgeschaltet und abgeschafft werden, wenn ein anderes System Auswertungsmöglichkeiten in der gleichen Weise wie das Ursprungssystem sicherstellt. Somit kann nur dann auf die Aufbewahrung der bislang verwendeten Hard- und Software verzichtet und die damit angestrebten Synergieeffekte realisiert werden, wenn die maschinelle Auswertbarkeit auch weiterhin uneingeschränkt gewährleistet wird.3 Dafür ist in der Regel eine Datenmigration notwendig, die der durch die GoB und die GoBS verlangten Unveränderbarkeit der Daten widerspricht.4 Um diesen Konflikt zu lösen, ist die Unveränderbarkeit der Daten in der Form zu interpretieren, dass die Migration nicht zu einer inhaltlichen Veränderung der Daten führen darf und bei bestimmten Dokumenten auch die bildliche
1
Vgl. Hagenkötter, A.; Mülot, D.-M. (2002), S. 44. Vgl. Hoppen, P. (2008), S. 678. 3 Vgl. BMF (2008), Abschnitt III Nr. 8, S. 10. 4 Vgl. Dauen, S. (2007), S. 34. 2
249
Gleichheit gewährleistet sein muss.1 Irrelevant ist dabei, ob diese Anforderung durch die Migration der Daten in ein anderes Produktivsystem oder in ein Archivsystem erfüllt wird. Auf Datenmigrationen wird in den gesetzlichen Vorschriften nicht eingegangen. Dennoch steht fest, dass die gesetzlichen Anforderungen auch nach einem Migrationsprozess erfüllt werden müssen und das Migrationsvorgehen nachvollziehbar zu dokumentieren ist. Die Übertragung von einem Datenformat in ein anderes wird als Formatmigration bezeichnet. Bei der Formatumsetzung steuerrelevanter Unterlagen ist zusätzlich zur konvertierten Version das Originalformat aufzubewahren. Zudem ist darauf zu achten, dass nicht nur die maschinelle Auswertbarkeit steuerrelevanter Unterlagen erhalten bleibt, sondern auch Dokumente, denen eine Beweisfunktion zukommt, ihre Beweiskraft nicht verlieren. Die Formatmigration digitaler Dokumente mit Signatur macht den genauen Nachweis von Authentizität und Integrität des Dokumentes erforderlich, damit die transformierten Unterlagen ihren Beweiswert behalten. Zum Nachweis der Authentizität ist die Gültigkeit der Signatur nach Erstellung bzw. Übermittlung des Dokumentes zu prüfen und anschließend sind das digitale Dokument sowie der Signaturschlüssel verfälschungssicher aufzubewahren.2 Daher sind im Archivierungskonzept für die Aufbewahrung von Dokumenten mit qualifizierter elektronischer Signatur gesonderte Abläufe zu definieren. Zum Nachweis der Integrität ist die richtige, vollständige sowie fehler- und manipulationsfreie Migration zu dokumentieren, da der Übertragungsvorgang prinzipiell die Möglichkeit des Datenverlustes bzw. der Datenmanipulation bietet. Ein rechtssicherer Migrationsprozess zeichnet sich aus durch eine verlustfreie Konvertierung bei der alle Verknüpfungen erhalten bleiben, eine klare Dokumentation des Migrationsverfahrens und der Identitätsmerkmale des Ausgangsdokuments, die Wahl eines geeigneten Formats3 abhängig vom Archivierungszweck und die Zuverlässigkeit der Konvertierungstools.4
5.1.2 Technische Maßnahmen Wird eine Archivierung außerhalb des Produktivsystems angestrebt, empfiehlt sich in vielen Unternehmen aufgrund der stetig wachsenden Datenmengen, der steigenden Bedeutung digitaler Informationen und zur Erfüllung gesetzlicher Vorgaben der Einsatz eines Archivsystems. Die Verwaltung der Archivierungsobjekte innerhalb eines Archivsystems erfolgt über eine
1
Welche Unterlagen bei der Archivierung neben der inhaltlichen auch die bildliche Gleichheit erfordern, wurde in Tabelle 13 aufgeführt. 2 Vgl. Odenthal, R. (2007), S. 39. 3 Siehe hierzu die Erläuterungen archivtauglicher Datenformate in Abschnitt 5.1.2.1. 4 Vgl. Hoppen, P. (2008), S. 679. 250
Datenbank. Diese ist in der Lage, große Datenmengen zu speichern. In der Regel wird über eine Referenzdatenbank mit Verwaltungs- und Indexkriterien auf externe Speichermedien zugegriffen, auf denen die zu archivierenden Daten abgelegt wurden. Es ist zu unterscheiden, ob das Archivsystem lediglich der Archivierung dient und zur Auswertung weiterhin ein operatives System durch das Wiedereinspielen der Daten genutzt wird oder ob die Auswertung der Daten nach der Archivierung außerhalb der produktiven Systeme erfolgt. Ist keine Verbindung zum Produktivsystem mehr gewünscht oder möglich, muss die Archivierungslösung in qualitativer und quantitativer Hinsicht die gleichen Auswertungsmöglichkeiten bieten wie das bisherige Produktivsystem. 1 Ein Archivsystem besteht aus einer Archivsoftware zur Datenverwaltung, welche Archivsystemfunktionalitäten zur Verfügung stellt, einer Indexdatenbank, welche die Zugriffsinformationen beinhaltet und dem Speichersystem.2 Archivsysteme haben die Aufgabe, basierend auf Indexmerkmalen beliebige Daten, Informationen und Unterlagen unabhängig vom jeweiligen Format, dem Ursprungssystem und dem Verwendungszweck zu speichern. Viele Archivsystemlösungen verfügen über integrierte Auswertungsfunktionalitäten. Verfügt das Archivsystem nicht über eine Auswertungslogik wie das Ursprungssystem, muss die von der Finanzverwaltung geforderte maschinelle Auswertbarkeit der Daten mit anderen Mitteln ermöglicht werden. In diesem Fall können beispielsweise Auswertungsprogramme eingesetzt werden, die in Verbindung mit dem Archivsystem Analysemöglichkeiten bieten, welche denen der ursprünglichen Anwendungssysteme entsprechen. Bei Einsatz eines universellen Auswertungsprogramms besteht prinzipiell die Möglichkeit, jedes Standardarchivsystem zur Archivierung steuerrelevanter Daten zu nutzen, auch wenn es keine Auswertungsfunktionalität zur Verfügung stellt.3 Zu beachten ist dabei lediglich, dass die Daten bei der Speicherung indiziert und in einem auswertbaren Format abgelegt werden. Die herausfordernde Aufgabe eines solchen Auswertungsprogramms besteht darin, die archivierten Daten, unabhängig von den jeweiligen Versionsständen, Betriebssystemwechseln und Datenstrukturänderungen der erzeugenden Anwendungssysteme, innerhalb des vorgeschrieben Aufbewahrungszeitraums sortieren und filtern zu können. Eine Möglichkeit besteht darin, das Auswertungsprogramm zu nutzen, mit dem auch die Finanzbehörden arbeiten. Die Finanzverwaltung verwendet die Prüfsoftware IDEA (Interactiv Data Extraction Analysis), welche 1985 als Revisionssoftware für den kanadischen Rechnungshof entwickelt wurde.4 IDEA ermöglicht das Schichten und Verbinden von Daten und bietet Import-, Selektions- und Analysefunktionen großer Datenmengen sowie mathematisch-
1
Vgl. BMF (2008), Abschnitt III Nr. 12, S. 11. Siehe hierzu genauer die Ausführungen des Abschnitts 5.1.1. Vgl. hierzu und im Folgenden Kampffmeyer, U. (2006), S. 457; vgl. Kampffmeyer, U. (2003), S. 12. 3 Vgl. Groß, S.; Kampffmeyer, U.; Matheis, P. (2004), S. 1083 und S. 1085 f. 4 Vgl. hierzu und im Folgenden Schult, B.; Vedder, R. (2005), S. 281; vgl. Groß, S. (2002), S. 35. 2
251
statistische Methoden.1 Da die Finanzverwaltung 14.000 Lizenzen erworben hat, steht die Software dem Prüfer auf seinem Laptop zum Sortieren, Filtern und Verknüpfen der auf einem Datenträger überlassenen Daten zur Verfügung. Diese Software kann auch von jedem Unternehmen frei am Markt erworben werden. Die gesetzlichen Anforderungen scheinen auf diese Weise erfüllt. Dennoch geht im Allgemeinen das Informationsbedürfnis der steuerlichen Betriebsprüfer über das Lesen, Filtern und Sortieren der Daten hinaus.2 Viele zur Prüfung erforderliche Listen, beispielsweise zu Abschreibungen, Inventuren oder Kontensalden, können nur mit unverhältnismäßig großem Aufwand aus Rohdaten rekonstruiert werden. Auswertungsprogramme sind in der Regel nicht in der Lage, den betriebswirtschaftlichen Zusammenhang in der gleichen Weise herzustellen wie zuvor das Produktivsystem. Daher empfiehlt es sich, in der Praxis von den wichtigsten prüfungsrelevanten Listen und Auswertungen, die der Steuerabteilung bekannt sind, eine digitale Kopie z. B. im ASCII- oder PDF-Format zu sichern.3 Die Prüfsoftware der Finanzverwaltung ist in der Lage, diese Formate einzulesen, und so kann im Bedarfsfall zusätzlich zu den Rohdaten auf diese alternative Datenquelle zugegriffen werden. Bei der Migration der aufbewahrungspflichtigen Daten vom Ursprungssystem in ein anderes Produktiv- oder ein Archivsystem ist die Unveränderbarkeit der Daten zu gewährleisten, sodass ausschließlich das Format der Daten umgesetzt werden darf und inhaltliche Änderungen der Daten auszuschließen sind. Veränderungen dürfen nur an einer Kopie des Dokumentes vorgenommen werden. Um den juristischen Beweiswert zu sichern, empfiehlt es sich, die im Archivsystem abgelegten Unterlagen mit einem elektronischen Zeitstempel und einer fortgeschrittenen digitalen Signatur zu versehen.4 Diese technische Maßnahme dient zudem der Datensicherheit und gewährleistet Authentizität und Integrität, da hierdurch ab dem Einstellungsdatum die Unveränderbarkeit sichergestellt ist. Um der Nachvollziehbarkeit zu entsprechen, sind bearbeitete Dokumente als Kopie zu kennzeichnen, alle Bearbeitungsschritte genau zu protokollieren und mit dem Dokument zu archivieren. Eine Protokollierung aller Verarbeitungsschritte im Archivsystem, die eine Änderung der Archivstruktur oder -organisation zur Folge haben, ist erforderlich, um das Herstellen des ursprünglichen Zustands zu ermöglichen und damit die erforderliche Reproduktionssicherheit zu gewährleisten.5 Der vom Gesetzgeber geforderte Datenzugriff sowie die ökonomische Nutzung der Archivdaten erfordern eine effiziente Wiederauffindbarkeit der digitalen Unterlagen und stellen für
1
Vgl. Hartmann, V. (2005), S. 18. ABC-Analysen, Altersstrukturanalysen, Zwischen- und Mehrfachbelegungsanalysen sind Beispiele für die Auswertungsmöglichkeiten, die IDEA bietet. 2 Vgl. Odenthal, R. (2007), S. 56. 3 Vgl. Odenthal, R. (2007), S. 55. 4 Vgl. Kornprobst, F.; v. Ehrenstein, C.; Frosch-Wilke, D. (2003), S. 57 f. 5 Vgl. Lui, B. (2003), S. 3. 252
viele Unternehmen ein entscheidendes technisches Problem dar. Die dafür notwendigen Informationen wie der Dokumententyp, das Erstellungsdatum und die Aufbewahrungsfrist lassen sich als Metadaten im Archivsystem verknüpft mit dem jeweiligen Dokument in auswertbarer Form ablegen.1 Dieses Vorgehen macht ein durchdachtes Metadatenkonzept erforderlich. Metadaten sind Daten über Daten; sie enthalten Informationen über die gespeicherten Daten, die zum Verwalten, Verarbeiten, Sichern, Recherchieren und Auswerten der elektronischen Unterlagen in ihrem Zusammenhang notwendig sind.2 Metadaten lassen sich in drei Bereiche untergliedern: • beschreibende Metadaten, die sich auf den Inhalt beziehen, • erhaltende Metadaten, die die technische Umgebung beschreiben und • verwaltende Metadaten, die der Verwaltung im Archiv dienen.3 Metadaten können in den verschiedenen Lebenszyklusphasen der Unterlagen generiert werden.4 Um das Wiederfinden der archivierten Unterlagen zu gewährleisten, sind die Daten eindeutig zu referenzieren und ergänzende Informationen zu den archivierten Daten als zugehörige Metadaten in Verzeichnissen zu verwalten.5 Zur Einhaltung der Aufbewahrungsfristen können die geplanten Archivierungszeiträume in den Metadaten hinterlegt werden. Für einen ökonomisch sinnvollen Einsatz von Archivsystemen im Tagesgeschäft bieten Metadaten den Mitarbeitern die Möglichkeit, den Wert einer Information im Voraus abzuschätzen.6 Des Weiteren tragen Metadaten entscheidend zur Recherchierbarkeit der archivierten Daten bei. Metadaten können sowohl in strukturierter als auch in unstrukturierter Form vorliegen.7 Speziell strukturierte Metadaten können zu einer automatischen Verarbeitung der Inhalte genutzt werden. Beim Einsatz eines Archivsystems empfiehlt es sich, auch die Metadaten in neutrale Formate zu exportieren, um hier ebenfalls eine Herstellerunabhängigkeit zu wahren. Für eine komfortable Recherchierbarkeit und zur betriebsinternen Informationstransparenz bietet es sich an, die Archivierungslösung in die zukünftige IT-Landschaft zu integrieren, um den Mitarbeitern eine bequeme und einfache Nutzung zu ermöglichen. Hier-
1
Vgl. Kittl, C.; Zeidler, C. (2007), S. 65. Mittels regelbasierter Systeme wird eine Regelauswahl und Konfiguration von Operationen auf Basis maschinenlesbarer Metadaten getroffen. Semantische Systeme interpretieren die Inhalte der Metadaten und nutzen sie für eine Weiterverarbeitung. Vgl. Kittl, C.; Zeidler, C. (2007), S. 59. 3 Vgl. Gutzmann, U. et al. (2007), S. 3 ff. 4 So gehört beispielsweise das Datum der Erstellung oder Schlagwörter bezüglich des Inhalts zu den beschreibenden Daten, das letzte Speicherdatum und das Übernahmedatum sowie Informationen zu Formatwechseln zu den erhaltenden Metadaten und die Aufbewahrungsfrist sowie die Archivierungsnummer zu den verwaltenden Metadaten. Zur Speicherung und Wahl geeigneter Formate von Metadaten siehe genauer Borghoff, U. M. et al. (2003) S. 52. 5 Vgl. Hoppen, P. (2008), S. 680. 6 Vgl. Kittl, C.; Zeidler, C. (2007), S. 60. 7 Metadaten werden als strukturiert bezeichnet, wenn sie in einem standardisierten Layout vorliegen. Ansonsten gelten sie als unstrukturiert. Vgl. Kittl, C.; Zeidler, C. (2007), S. 61. 2
253
aus ergibt sich jedoch ein weiteres technisches Problem, da elektronische Archive, vor allem wenn sie in eine Netzwerkumgebung eingebunden sind, schwieriger gegen unberechtigten Zugriff oder Computerviren zu schützen sind als klassische Archive. Daher besteht die Notwendigkeit, entsprechende Berechtigungskonzepte zu entwickeln und wirksame Schutz- und Sicherheitsmechanismen einzuführen.1 Hierbei ist ein stringent entworfenes Datensicherheitskonzept durch geeignete technische Maßnahmen zu verwirklichen. Die Archivlösung sollte über eine Speicherkapazität und -leistung verfügen, welche eine komfortable Suche und Recherchierbarkeit ermöglicht. Administratoren sollten entsprechende Tests durchführen, um die Leistungsanforderungen der zukünftigen IT-Landschaft abdecken zu können. Ein wesentliches technisches Problem der elektronischen Archivierung besteht darin, die Langzeitverfügbarkeit der Daten sicherzustellen, da die vorgeschriebenen Aufbewahrungsfristen in der Regel die Lebensdauer der im Unternehmen eingesetzten Technik überschreitet.2 Steuerliche Unterlagen sind zum Teil zehn Jahre und mehr auswertbar aufzubewahren. Im zivilrechtlichen Umfeld müssen teilweise sogar Zeithorizonte von über 30 Jahren überblickt werden. Bei der rasanten Entwicklung der Technik ist im Allgemeinen nicht davon auszugehen, dass die zum Zeitpunkt der Erzeugung bzw. des Empfangs aufbewahrungspflichtiger Dokumente eingesetzten •
Anwendungssysteme,
•
Infrastrukturkomponenten,
•
Speichermedien und
•
Datenformate
in einer funktionsfähigen Zusammensetzung bis zum Ablauf der Aufbewahrungsfrist zur Verfügung stehen. Hier sind vom IT-Bereich Regeln und Abläufe zu entwickeln, die sicherstellen, dass nicht nur die Datenträger während der Aufbewahrungsfrist über die gespeicherten Daten verfügen, sondern dass die notwendige Technik zur Lesbarmachung auch funktionsfähig zur Verfügung steht.3 Aufgrund der schnellen Veränderungen von Anwendungskomponenten, Betriebssystemen und Speicherformaten erfordert die Notwendigkeit zur elektronischen Archivierung eine rechtzeitige, verlustfreie, die Daten nicht verändernde, verständlich dokumentierte und nachvollziehbare Migration der Datenbestände. Hinzu kommt, dass die verwendeten Speichermedien nur eine begrenzte Zeit lesbar sind. Daher müssen die aufzubewahrenden Unterlagen regelmäßig auf neue Datenträger migriert werden. Zeichnet sich ab,
1
Vgl. Dauen, S. (2007), S. 23. Vgl. Hoppen, P. (2008), S. 675; vgl. Odenthal, R. (2007), S. 37; vgl. Hagenkötter, A.; Mülot, D.-M. (2002), S. 41. 3 Vgl. Hagenkötter, A.; Mülot, D.-M. (2002), S. 48. 2
254
dass die eingesetzten Speichermedien und Datenformate die Anforderungen an Verfügbarkeit und Lesbarmachung nicht mehr erfüllen, müssen die Datenbestände in eine andere technische Umgebung, die die Datenverfügbarkeit für die verbleibende Archivierungsfrist gewährleistet, migriert werden.1 Die Datenbestände der jeweiligen Datenbanken müssen nicht zwingend in dem Format archiviert werden, in dem sie in der Datenbank vorliegen. Der Einsatz kryptographischer Verfahren macht teilweise Umschlüsselungen aufgrund technischer Weiterentwicklungen zum Schutz sensibler Daten erforderlich. Zur Erfüllung der Unveränderbarkeit, Lesbarmachung und Langzeitverfügbarkeit muss bei der Wahl des Datenformats, des Speichermediums und der kryptographischen Verfahren darauf geachtet werden, dass eine Datenmanipulation oder ein Datenverlust verhindert wird. Gleiches gilt für die Durchführung von Migrations- und Umschlüsselungsvorgängen. Dies lässt sich durch zweckmäßige technische Migrations- und Kontrollverfahren realisieren. Die Herstellerunabhängigkeit ist in Bezug auf die elektronische Archivierung sehr wichtig. Bei einer bestehenden Abhängigkeit stellen beispielsweise erhebliche technologische Veränderungen oder eine Insolvenz des Herstellers die Unternehmen vor dem Hintergrund der langen Aufbewahrungsfristen vor große Probleme. Empfehlenswert ist daher die Verwendung herstellerunabhängiger Formate und Speichersysteme.2 Da bei der Ablösung von Anwendungssystemen in der Regel ein Teil der aufbewahrungspflichtigen Dokumente nicht in das zukünftige Anwendungssystem übernommen werden soll, erweist es sich als sinnvoll, die Daten in einem anwendungsunabhängigen Format zu archivieren. So ist es beispielsweise bei fast allen Buchhaltungsanwendungen möglich, die steuerrelevanten Daten beim Datenexport in ein einheitliches, neutrales Datenformat wie z. B. das XML-Format zu überführen und damit den Anforderungen der GDPdU zu entsprechen.3 Um die Langzeitverfügbarkeit zu garantieren, sollten die verwendeten Speichermedien über die erforderliche Lebensdauer verfügen. Anderenfalls sind die Daten rechtzeitig zu migrieren. Hierbei lassen sich mehrere Technologien von Medien und deren zugehörigen Speichersystemen differenzieren. Sowohl die Speichermedien als auch die Speicherformate variieren dabei bezüglich ihrer Archivtauglichkeit. Auf archivtaugliche Datenformate, Medien und Speichersysteme wird in den folgenden Abschnitten ausführlicher eingegangen.
5.1.2.1 Archivtaugliche Datenformate Die in vielen Unternehmen vorherrschende Vielfalt an Anwendungssystemen führt zu einer zum Teil unüberschaubaren Vielzahl an Datenformaten.1 Proprietäre Datenformate erfordern das Vorhalten der zur Lesbarmachung erforderlichen Softwareversionen und unter Umständen 1 2 3
Vgl. Hoppen, P. (2008), S. 678. Herstellerspezifische Datenformate werden in der Fachliteratur auch als proprietäre Formate bezeichnet. Vgl. Hoppen, P. (2008), S. 676.
255
sogar der alten Hardware und Betriebssysteme.2 Um diesen Aufwand herstellerspezifischer Formate zu vermeiden, besteht bei der Archivierung der Daten oftmals die Notwendigkeit des Formatwechsels.3 Zur Vereinheitlichung der Formate und Standardisierung der Kommunikation eignen sich Datenformate, deren Beschreibung offengelegt wurde.4 Derartige neutrale Datenformate mit einem offenen Standard haben den Vorteil, dass eine Archivierung der Datenbestände unabhängig von der aktuell verwendeten Anwendungssoftware und Hardware erfolgen kann.5 Auf diese Weise kann die Lesbarkeit der Datenbestände für die Dauer der Aufbewahrungsfrist besser gewährleistet, die Anzahl zu verwaltender Datenformate reduziert und Formatmigrationsintervalle in der Regel verkürzt werden. Neutrale, offene Datenformate sind beispielsweise die • Grafikformate: GIF (Grafics Interchange Format)6, JPEG (Joint Photografic Experts Group)7 und TIFF (Tagged Image File Format)8 sowie die • Dokumentenformate: PDF9 (Portable Document Format), sowie das eigens zum Zweck der Archivierung entwickelte PDF/A10- Format, ODF (Open Document Format)11 oder strukturierte XML (Extensible Markup Language)12-Formate.13 Welche Formate sich dabei langfristig als archivtauglich durchsetzen, ist noch nicht geklärt. Dateiformate verändern sich zum Teil in kurzen Zeitabständen. TIFF und PDF gelten als langlebige und stabile Formate. Bei der Archivierung in einem TIFF-Format wird eine exakte
1
Vgl. Borghoff, U.M. et al. (2003), S. 41. Vgl. Hartmann, D.; Böhn, M. (2008), S. 30. Vgl. Hoppen, P. (2008), S. 678. 4 Vgl. Borghoff, U.M. et al. (2003), S. 41. 5 Vgl. Hoppen, P. (2008), S. 677. 6 Dieses Grafikformat erlaubt die Kompromierung von Bildformaten mit geringer Farbtiefe. 7 JPEG wird als Bildformat für farbige Vorlagen oder Farbfotos verwendet. 8 Das TIFF-Format kann auch textuelle, weiterverarbeitbare Daten enthalten. In vielen Unternehmen wird das TIFF-G4-Format als ein Defacto-Standard zur Archivierung in schwarz-weiß genutzt. Vgl. Rath, M. (2008), S. 132. 9 PDF stellt ein intelligentes Druck- und Distributionsformat dar, welches Daten plattformunabhängig zur Verfügung stellt. Vgl. Kampffmeyer, U. (2006), S. 500. 10 Zertifiziert nach ISO 19005-1:2005. Vgl. Rath, M. (2008), S. 132, vgl. Hartmann, D.; Böhn, M. (2008), S. 31. 11 ODF ist ein Dateiformat für Office-Anwendungen. 12 XML dient der Darstellung hierarchisch strukturierter Daten in Textform und erlaubt die Beschreibung von Schnittstellen, Strukturen, Metadaten und Dokumenten. Vgl. Kampffmeyer, U. (2006), S. 500. 13 Vgl. Hoppen, P. (2008), S. 677; vgl. Hartmann, D.; Böhn, M. (2008), S. 30 ff. 2 3
256
grafische Kopie der Originalunterlagen erstellt.1 Daher ist das strukturierte Speichern von Objekten, welches in die Lage versetzt, archivierte Inhalte wieder zu verwenden, sowie die Einbettung von Metadaten mit dem TIFF-Format nicht möglich. Die Kombination von Text und Farbe auf einer Seite ist bei der Verwendung von TIFF-Formaten ebenfalls nicht realisierbar. Mit PDF/A wurde ein Standardformat zur Langzeitarchivierung konzipiert, das beispielsweise den TIFF-Standard ersetzen soll. Das visuelle Erscheinungsbild bleibt als exaktes Abbild des Originaldokumentes erhalten.2 Die Kombination von Text- und Graphikelementen auf einer Seite ist darstellbar, daher kann der Forderung nach Reproduzierbarkeit durch bildliche Gleichheit nachgekommen werden. Die Speicherung und Reproduktion von PDF/A-Dokumenten ist unabhängig von Werkzeugen und Systemen möglich. Die wichtigsten Leistungsmerkmale des PDF/A-Standards sind die Länge der Archivierungszeit, die Möglichkeit der Volltextsuche sowie die Hersteller-, Software- und Betriebssystemunabhängigkeit.3 Zudem können Metadaten beigefügt und elektronische Signaturen eingebettet werden.4 Daher scheint das PDF/A-Format für die Archivierung digitaler und digitalisierter Unterlagen, die in einem maschinell nicht auswertbaren Format vorliegen, äußerst geeignet. Bei der Archivierung von internen Unterlagen, die weder im Geschäftsverkehr zu Dritten noch zur Dokumentation ordnungsgemäßer Abläufe von Bedeutung sind, steht dem Unternehmen die Wahl des Archivformats vollkommen frei. Die GDPdU fordert, steuerrelevante Daten in auswertbarer Form zur Verfügung zu stellen, daher müssen maschinell auswertbare Unterlagen in entsprechenden Formaten archiviert werden. Die geforderte maschinelle Auswertbarkeit originär digitaler Daten verbietet damit nicht nur das Archivieren auf Mirkofilmen. Es wurde vielmehr unmissverständlich festgelegt, dass eine ausschließliche Archivierung in maschinell nicht auswertbaren Formaten wie dem PDF- oder TIFF-Format nicht zulässig ist. 5 Einige Formate verwenden spezielle Verarbeitungsregeln und ausführbare Funktionen.6 Bei Einsatz dieser Formate sind die Unternehmen über den Aufbewahrungszeitraum an die verwendeten Programme und die jeweiligen Versionen gebunden. Eine Transformation in neutrale Formate wie TIFF oder PDF führt zwar zur Unabhängigkeit von den ursprünglichen Anwendungen, ermöglicht jedoch nicht die maschinelle Auswertbarkeit, da die hinterlegten Regeln und Funktionen verloren gehen.7 Die Konvertierung originär digitaler, 1
Vgl. hierzu und im Folgenden Hartmann, D.; Böhn, M. (2008), S. 30. Alle Schriften, Farben, eingebettenen Bilder und Darstellungsstrukturen werden originalgetreu abgebildet. Dabei ist keine Verbindung zum Original oder zu den erstellenden Systemen erforderlich. Vgl. Hartmann, D.; Böhn, M. (2008), S. 31. 3 Vgl. Hartmann, D.; Böhn, M. (2008), S. 32. 4 Vgl. Kampffmeyer, U. (2006), S. 500. 5 Siehe GDPdU III, 1. Eine Liste der von der Finanzverwaltung als maschinell auswertbar akzeptierten Dateiformate enthält der Fragen- und Antwortenkatalog des BMF. Vgl. BMF (2008), Abschnitt II, Frage 2, S. 6. 6 Als Beispiel seien hier Formate von Tabellenkalkulationsanwendungen genannt. 7 Ob eine Archivierung dieser Daten im PDF-Format zulässig ist, wird in der Literatur unterschiedlich beurteilt. Oft wird die Auffassung vertreten, dass PDF-Formate die Anforderung der Auswertbarkeit nicht erfüllen und daher ebenso wie die Datenabbildung auf Mikrofilm nicht zulässig sind. Vgl. Schult, B.; Vedder, R. 2
257
auswertbarer Daten in grafische Formate zur Aufbewahrung ist somit aus GDPdU-Sicht generell nicht erlaubt, da diese Formate keinerlei Strukturinformationen enthalten und daher eine maschinelle Auswertung durch betriebliche Auswertungsprogramme oder die Prüfsoftware der Finanzverwaltung nicht möglich ist.1 Auf der anderen Seite sind diese Formate gut geeignet, um die bildliche und inhaltliche Übereinstimmung mit dem Original sicherzustellen. Gescannte Unterlagen, Textdateien und elektronische Faxdokumente lassen sich in diesen Formaten archivieren. Damit kann der PDF/A-Standard nur ein Baustein eines umfassenden Archivierungskonzeptes sein. Die Wahl des Archivformates sollte folglich auch vom Inhalt und der Struktur des Archivierungsobjektes abhängig gemacht werden. Die Finanzverwaltung fordert weiterhin, dass die steuerrelevanten Unterlagen zusätzlich im Originalformat archiviert werden. Daher sind die Unternehmen gezwungen neben der Archivierung in neutralen Langzeitformaten wie TIFF oder PDF/A auch in proprietären Originalformaten zu archivieren.2 Vor dem Hintergrund der stetig steigenden Speicherkapazitäten von Archivierungsmedien ist die Aufbewahrung der Unterlagen zu Nachweiszwecken im ursprünglichen und im migrierten Datenformat als unkritisch zu beurteilen.3
5.1.2.2 Archivierungsmedien und Speichersysteme Die Übertragung archivierungspflichtiger Daten auf einen anderen Datenträger wird als Medienmigration bezeichnet und kann sowohl technische als auch organisatorische Beweggründe haben. Da die Aufbewahrungsfristen in der Regel die Lebensdauer der Speichermedien übersteigen, sind kontrollierte und verlustfreie Medienmigrationen regelmäßig einzuplanen. Zudem ermöglicht der technische Fortschritt in kurzen Zeitabständen schnellere Zugriffsverfahren und größere Speicherkapazitäten bei Verwendung aktueller Speichersysteme und Medien.4 Die Daten sind selbstverständlich auch bei einer Medienmigration vollständig und unverändert zu überführen. Zum Nachweis sollten Dateiverzeichnisse der alten und neuen Medien vor und nach dem Migrationsvorgang erstellt und dem archivierten Datenbestand beigefügt werden.5 Zudem empfiehlt es sich, die Migration auf Fehlerfreiheit zu überprüfen und die Ergebnisse zu protokollieren. Abhängig vom Kopiervorgang können sich Metadaten ändern, was ebenfalls zu dokumentieren ist. Alle im Zuge des Migrationsvorgangs entstandenen Protokolle und Dokumentationen sind zu archivieren.
(2005), S. 276; vgl. Dauen, S. (2007), S. 33. Hoppen hält diesen Standpunkt aus technischer Sicht für nicht haltbar. Er argumentiert, dass die Daten zu einem späteren Zeitpunkt indiziert und recherchiert werden können, wenn sie bei der Datenüberführung nicht in eine bildliche Darstellung als Grafik konvertiert werden. Dabei räumt er jedoch ein, dass dieses Vorgehen mit einem gewissen technischen Aufwand verbunden ist. Vgl. Hoppen, P. (2008), S. 677. 1 Vgl. Dauen, S. (2007), S. 33; siehe auch BMF (2008), Abschnitt III, Frage 5, S. 9. 2 Vgl. Rath, M. (2008), S. 132. 3 Vgl. Hoppen, P. (2008), S. 679. 4 Vgl. Borghoff, U.M. (2003), S. 44. 5 Vgl. Hoppen, P. (2008), S. 679. 258
Ganz klar zu unterscheiden sind die Medien, auf denen die Unternehmen die Daten langfristig aufbewahren und die Datenträger, auf denen im Fall des Z3-Zugriffs1 dem Betriebsprüfer die steuerrelevanten Daten übergeben werden. In beiden Fällen wird von der Finanzverwaltung weder ein konkretes Dateiformat noch ein Medium vorgeschrieben. Für die Unternehmen besteht somit Wahlfreiheit, solange bei der Datenübertragung die Erfüllung der gesetzlichen Anforderungen gewahrt bleibt. Für die langfristige Aufbewahrung archivierungspflichtiger sowie archivierungswürdiger Unterlagen sind geeignete Datenträger und Speichersysteme auszuwählen, um den Verlust der Daten während der Aufbewahrungsfristen auszuschließen. Aus Unternehmenssicht lassen sich folgende Forderungen an Archivmedien und Speichersysteme formulieren: möglichst geringe Anschaffungs- sowie Pflege- und Wartungskosten, Langzeitstabilität, Schutz vor Veralterung und Robustheit, Hersteller- und Betriebssystemunabhängig, Änderungsschutz sowie die Möglichkeit zur Einbindung in ein Archivierungskonzept bei Erfüllung aller relevanten funktionalen Anforderungen. Zahlreiche Archivsysteme unterstützen Funktionen, die die Ordnungsmäßigkeit, Sicherheit und Unveränderbarkeit sowie einen Berechtigungsschutz und die Indizierung der Daten gewährleisten. Daher stellen sie eine Option dar, die gesetzlichen Anforderungen an eine sichere Aufbewahrung zu erfüllen. Der Einsatz eines elektronischen Archivsystems wird jedoch durch die GDPdU nicht vorgeschrieben. Archivsysteme verwenden üblicherweise spezielle Speichersysteme, die das Verändern, Überschreiben und Löschen der Archivierungsobjekte verhindern. Aus technischer Sicht lassen sich die verschiedenen Technologien der Datenträger und der zugehörigen Speichersystemen bei den Archivsystemen grob in drei Kategorien unterteilen:2
Magnetisch rotierende Datenträger wie z. B. Disketten oder Festplatten
Bandspeicher/Magnetbänder3
Optische Medien wie beispielsweise CD-R oder DVD-R4
Die durchschnittliche Lebensdauer der verschiedenen Speichermedien variiert. So kann es zu einem Datenverlust auch bei optimaler Lagerung von Disketten und Festplatten schon nach 5-
1
Siehe hierzu die Ausführungen in Abschnitt 3.3.4.1. Vgl. hierzu und im Folgenden Hoppen, P. (2008), S. 677. 3 Diese Speichermedien verwenden ebenfalls magnetische Oberflächen. 4 Die Compact Disc Recordable (CD-R) sowie die Digital Versatile Disc Recordable (DVD-R) sind nur einmal beschreibbar. 2
259
10 Jahren und bei CDs spätestens nach 10 Jahren kommen, wobei die Lebensdauer neu verfügbarer, qualitativ hochwertiger Rohlinge immer weiter steigt. Einige DVD-Hersteller versprechen von ihren Rohlingen eine Lebensdauer von über 100 Jahren, was derzeit natürlich nur mittels simulierter Alterungsprozesse prognostiziert werden kann. Magnetbänder verlieren ihre Speicherfähigkeit nach ca. 20 Jahren und sind die am häufigsten eingesetzten Archivmedien, da sie sich bezüglich Langlebigkeit und Ausfallsicherheit am Besten bewährt haben. Die individuelle Haltbarkeit von Archivierungsmedien wird vor allem durch Umgebungseinflüsse bestimmt. Problematisch ist insbesondere, dass der Übergang von einem lesbaren zu einem nicht lesbaren Zustand, im Gegensatz zur Aufbewahrung von Informationen in Papierform, nicht fließend verläuft. Für eine kurz- bis mittelfristige Speicherung von Daten sind magnetisch rotierende Datenträger von Vorteil, da sie eine hohe Verfügbarkeit garantieren. Für eine gesetzeskonforme Langzeitarchivierung sind die herkömmlichen magnetischen Speichermedien jedoch nicht geeignet, weil mit einem Datenverlust schon nach relativ kurzen Zeiträumen gerechnet werden muss und sie jederzeit geändert und überschrieben werden können. Um eine nachträgliche Manipulation der Daten beim Einsatz magnetischer Speichermedien mit wahlfreiem Zugriff auszuschließen, besteht jedoch die Möglichkeit, ergänzende Sicherheitsprozesse zu installieren. Dabei können verschiedene Verfahren eingesetzt werden, um die Integrität der Daten nachzuweisen. Die geringste Gefahr der Datenmanipulation bietet nach dem momentanen Stand der Technik das Versehen der gespeicherten Daten mit einem von einem neutralen Trust Center1 vergebenen Zeitstempel und einer elektronischen Signatur zum Authentizitätsnachweis.2 Für die langfristige Speicherung sind Magnetbänder aufgrund der langen Lebensdauer deutlich besser geeignet.3 Eine nachträgliche Änderung der archivierten Unterlagen ist bei der Verwendung von Magnetbändern im Allgemeinen nicht möglich. Ein Nachteil besteht jedoch darin, dass eine Datenlöschung nicht vollkommen ausgeschlossen werden kann und dass es bei starken Belastungen der Bänder über einen längeren Zeitraum zu Abnutzungen und magnetischen Überlagerungen kommen kann. Die Bandspeicherung empfiehlt sich somit bei relativ geringer Zugriffshäufigkeit. Während die Magnetbänder über eine Lebensdauer von zum Teil mehreren Jahrzehnten verfügen, unterliegt die notwendige Speichertechnologie einem raschen Wandel. Daher sollten auch hier offene Standards gewählt werden, um sowohl die Bänder als auch die Laufwerke von verschiedenen Herstellern beziehen zu können. Magnetische Speicher reagieren sehr empfindlich auf äußere Magnetfelder oder thermische Ein-
1
Dabei handelt es sich um Anbieter, die nach den Vorschriften des Signaturgesetzes und der Signaturverordnung zertifiziert sind. Vgl. Hagenkötter, A.; Mülot, D.-M. (2002), S. 38. 2 Vgl. hierzu ausführlich BSI (2008), Merkblatt zum geeigneten Einsatz von Signaturen bei der Archivierung M 2.265. 3 Vgl. hierzu und im Folgenden Hoppen, P. (2008), S. 677. 260
flüsse.1 Dieser Aspekt ist bei der Lagerung unbedingt zu beachten. Die aktuellen DVD-Nachfolger, wie Blu-Ray Disc und HD-DVD, zählen ebenso wie CDs und DVDs zu den optischen Speichermedien.2 Bei diesem Speicherverfahren werden die Informationen mit Hilfe eines optischen Verfahrens auf den Medien gespeichert, dabei brennt ein Laserstrahl die Informationsmuster als Erhöhungen und Vertiefungen in eine Metallschicht.3 Sie sind vergleichsweise kostengünstig und leicht handhabbar.4 Ein weiterer Vorteil optischer Datenspeicher liegt in ihrer Robustheit, da sie verglichen mit magnetischen Speichern relativ unempfindlich gegenüber äußeren Einflüssen sind. Ihre Fehlerrate ist von ihrer Qualität, dem Alter und den Umwelteinflüssen abhängig, dabei sind selbstbeschreibbare Medien (CD-R) und insbesondere wiederbeschreibbare Datenträger (CD-RW) besonders fehleranfällig. Die Unveränderbarkeit der Daten lässt sich technisch auf verschiedene Weise erreichen. Sie kann entweder losgelöst vom Medium durch Software, Systemumgebung und den ordnungsgemäßen Betrieb der Archivierungslösung oder durch das Medium verknüpft mit einem Laufwerk und spezieller Betriebssoftware oder durch das Speichermedium selbst sichergestellt werden.5 Alle drei Kategorien von Speichermedien existieren neben wiederbeschreibbaren Datenträgern auch als WORM (Write Once Read Many/Multiple times)-Technologien.6 Bei Content Adressed Storage handelt es sich z. B. um Festplatten, die durch spezielle Programme ein Überschreiben und Ändern der Daten verhindern. WORM-Tapes sind Magnetbänder, die durch spezielle Bandmedien, geschützte Kassetten und besondere Laufwerke die Einmalbeschreibbarkeit sicherstellen. CD-WORM und DVD-WORM sind nur einmal beschreibbar, da beim Schreiben die Speicheroberfläche irreversibel im Medium verändert wird. Diese Speichermedien sind durch ihre physikalische Beschaffenheit gegen Veränderungen geschützt. Die Unveränderbarkeit der Daten bzw. die Datenauthentizität lässt sich am Einfachsten auf der untersten technischen Ebene gewährleisten.7 Daher werden diese Medien oftmals für eine Langzeitspeicherung eingesetzt. Die Speichermedien variieren des Weiteren bezüglich ihrer Speicherkapazitäten und Zugriffszeiten.8 Die Prioritäten sind dabei unternehmens- und funktionsabhängig. Das optimale Speichermedium wird daher auch durch die fachseitigen Anforderungen je nach Archivierungszweck und Dateninhalt bestimmt.
1
Vgl. Bohringer, J.; Bühler, P.; Schlaich, P. (2008), S. 58. Vgl. Coy, W. (2006), S. 94 f. Vgl. Bohringer, J.; Bühler, P.; Schlaich, P. (2008), S. 58. 4 Vgl. hierzu und im Folgenden Coy, W. (2006), S. 95. 5 Vgl. Kampffmeyer, U. (2006), S. 462. 6 Vgl. hierzu und im Folgenden Kampffmeyer, U. (2006), S. 463 f. 7 Vgl. Hoppen, P. (2003), S. 678. 8 Vgl. Coy, W. (2006), S. 88. Für eine Übersicht der beschriebenen optischen und magnetischen Speichermedien mit Angaben zur Speicherkapazität siehe Bohringer, J.; Bühler, P.; Schlaich, P. (2008), S. 60. 2 3
261
5.1.3 Zusammenfassung der Lösungsansätze zur Erfüllung der funktionalen Anforderungen Die allgemeinen Anforderungen an eine elektronische Archivierungslösung wurden in den Abschnitten 3.3 und 3.4 aus den gesetzlichen und regulativen Vorschriften sowie den unternehmensinterner Zielsetzungen abgeleitet und anschließend in Tabelle 14 zusammengefasst. In diesem Abschnitt wurde dargelegt, dass aus den aufgelisteten Forderungen wiederum Vorgaben für die konzeptionelle und praktische Umsetzung der Archivierungslösung resultieren. Aufgrund der verschiedenen Zielsetzungen, der individuellen Aufbewahrungsfristen sowie der unterschiedlichen Archivformate und Speichertechnologien lässt sich die elektronische Archivierung nicht auf eine Lösung reduzieren. Zudem wird der Gestaltungsspielraum bei der Erfüllung der Aufbewahrungsanforderungen oftmals deutlich unterschätzt.1 Die Reflektion auf eine bestimmte Technik ist an dieser Stelle demzufolge nicht sinnvoll. Die Finanzverwaltung hat daher bewusst keine Vorgaben zur Verwendung spezieller Technologien gemacht.2 Vielmehr ist grundsätzlich jede Form der digitalen Aufbewahrung zulässig, die die gesetzlichen Anforderungen erfüllt. Die Rechtskonformität der Archivierungslösung wird dabei nicht allein von der eingesetzten Technik sondern von dem Zusammenspiel vieler verschiedener unternehmensinterner Faktoren bestimmt. Die Gesetzeskonformität erfordert die richtige Einbettung, Konfiguration und Verwendung der einzelnen Komponenten der ITLandschaft anhand eines den gesetzlichen Vorschriften entsprechenden Gesamtkonzeptes.3 Bei einer Betriebsprüfung wird das gesamte unternehmensindividuelle Archivierungsverfahren einschließlich Soft- und Hardware, Dokumentationen sowie der technischen und organisatorischen Umsetzungsmaßnahmen untersucht.4 Dabei reicht die Bandbreite der Lösungsalternativen vom Vorhalten der Daten im Produktivsystem über eine Ablageorganisation auf Festplattenlaufwerken bis hin zum Einsatz spezieller Archivierungssoftware und Archivierungsroboter.5 Abhängig vom jeweiligen Archivierungsobjekt lassen sich unterschiedlichste organisatorische und technische Umsetzungsalternativen entwickeln, die auch ergänzend miteinander kombiniert werden können. So kann die E-Mail-Archivierung beispielsweise ganz anders gelöst werden als die Aufbewahrung von Daten der Buchhaltungsanwendung. Daher sollte die Gestaltung der Archivierungslösung an den jeweiligen funktionalen Anforderungen und der IT-Strategie ausgerichtet werden und dabei die individuelle Unternehmenssituation sowie die gegebene IT-Landschaft berücksichtigen. Die folgende Tabelle fasst verschiedene Lösungsaspekte zusammen und stellt beispielhaft dar, wie die herausgearbeiteten funktionalen
1
Vgl. van Acken, J. et al. (2002), S. 9. Vgl. Groß, S. ; Lamm, M. (2008), S. 332. 3 Vgl. Groß, S. ; Lamm, M. (2008), S. 332. 4 Vgl. Odenthal, R. (2007), S. 77. 5 Vgl. Odenthal, R. (2007), S. 37. 2
262
Anforderungen durch organisatorische und technische Maßnahmen umgesetzt werden können. Es fällt auf, dass die verschiedenen Aspekte der funktionalen Anforderungen teilweise sich überschneidende organisatorische und technische Umsetzungsmöglichkeiten generieren.
Funktionale Anforderung
Organisatorische Umsetzung
Technische Umsetzung
Ordnung
• Konzept zur Historienverwaltung • Versionsmanagement: Verwaltung von Bearbeitungsständen • Historisierung: Sicherstellung, dass Verknüpfung zwischen Stamm- und Bewegungsdaten fehlerfrei erfolgt • Konzept zur Stammdatenverwaltung: zeitgerechte Zuordnung der jeweiligen Stammdaten • Metadatenkonzept • Geschäftliche Transaktionen sind eindeutig der jeweiligen Rechnungsperiode zuzuordnen • Geschäftliche Transaktionen sind zeitlich (Journal) und sachlich (Konten) zuzuordnen • Einzelpostennachweis ermöglichen • Daten nicht ausschließlich verdichtet archivieren • Dokumente inhaltlich zutreffend und formgerecht aufbewahren • Sicherung der inhaltlichen und z. T. bildlichen Gleichheit mit dem Original bei Migrationen • Manuelle Kontrollen • Archivierungskonzept und Ausarbeitung des Archivierungsworkflows • Installation von Mechanismen zum Nachweis der Unveränderbarkeit • Keine Änderung ohne verbleibende Prüfspur zulassen • Änderungs- und Löschschutz mittels Berechtigungskonzept • Abstimmkontrollen nach Datenübertragung
• Geordnete Archivorganisation • Eindeutige Kennzeichnung der Datenträger • Beschreibung der Ablageordnung • Indexdatenbanken • Automatische Erfassung von Metadaten und Kontextinformationen • Digitale Unterlagen mit allen Verknüpfungen archivieren • Einbindung von Unterlagen in Vorgangsketten durch Zuteilung eines unveränderbaren Index • Automatische Protokollierung von Verarbeitungsvorgängen • Kennzeichnung bearbeiteter Datensätze als Kopie • Fehler- und verlustfreie Übernahme der aufzubewahrenden Daten • Abgleichprozeduren; maschinelle Kontrollen bei Migrationen • Unterstützung einer Indexverwaltung und eines Versionsmanagements
Zeitgerechtigkeit Richtigkeit
Unveränderbarkeit
Vollständigkeit
• Datenidentifizierungskonzept • Alle relevanten Daten ohne Ausnahme entsprechend den Aufbewahrungsfristen archivieren • Metadatenkonzept: alle vorgangs- und dokumentenbezogenen Bearbeitungsinformationen im Zusammenhang erhalten • Überprüfung von Formats- oder Medienmigrationen zum Ausschluss von Datenverlust oder –zerstörung • Konzepte zur Aussonderung archivierungspflichtiger E-Mails und EDIDokumente • Sicherstellung der Verprobungsmöglichkeit zwischen Datenextrakt und Datenquelle
• Wahl geeigneter Speichermedien • Wahl geeigneter Formate • Automatische Überprüfung eines verlustfreien Datentransfers • Systemeigenschaften und -einstellungen • Einsatz von WORM-Verfahren • Logführung • Zugriffsberechtigungsverfahren • Automatische Zugriffskontrolle • Originalgetreue Übertragung des Abbildes bei Handels-/ Geschäftsbriefen und Buchungsbelegen auf das neue Speichermedium • Vollständige Übernahme der aufzubewahrenden Daten mit automatischer Überprüfung, um einen Datenverlust bei Übergabe auszuschließen • Verwaltung strukturierter Metadaten der Dokumente • Unterstützung einer Indexverwaltung und eines Versionsmanagements • Speicherung und Verwaltung verschiedener Informationsarten und Datenformate • Vollständigkeitskontrollen vor und nach dem Scannen von Papierdokumenten • Erstellung eines vollständigen und aktuellen Datenträgerverzeichnisses
Fortsetzung nächste Seite
263
Funktionale Anforderung
Organisatorische Umsetzung
Technische Umsetzung
(Langzeit-)Verfügbarkeit und Lesbarmachung
• Vorhandensein aller aufbewahrungspflichtigen Dokumente, der erforderlichen Hard- und Software zum Lesen der Archivformate und Archivmedien, der notwendigen Verfahrensbeschreibung, der entsprechenden Codes zur Entschlüsselung bei Einsatz kryptographischer Verfahren, von Mitarbeitern, die mit dem Verfahren vertraut sind und eines funktionsfähigen Zusammenspiels aller Komponenten • Festlegung erforderlicher Metadaten und Zugriffsmechanismen • Wahl eines geeigneten Aufbewahrungsortes • Erstellung eines Archivierungskonzeptes mit Migrations- oder Emulationsstrategien • Entwicklung eines Datenträger- und Format-Migrationskonzeptes • Zyklische Prüfungen der Medien-/Datenträger auf ihre Funktionsfähigkeit • Rücklaufkontrollen • Notfallkonzept • Geschäftsvorfälle lückenlos archivieren • Dokumente im Kontext zu den übrigen Unterlagen eines Geschäftsvorfalls ablegen • Das Ineinandergreifen automatischer Prozesse und steuernder Parameter in Tabellen nachvollziehbar und überprüfbar dokumentieren • Das Archivierungsverfahren nachvollziehbar beschreiben • Jedes Vor-, Neben- und Hauptsystem einzeln und im Zusammenspiel dokumentieren • Änderungen der Systemeinstellungen exakt erläutern • Gültigkeitszeiträume relevanter Tabelleneinstellungen dokumentieren • Programmprotokolle wie Umwandlungsund Übersetzungslisten archivieren
• Vorhalten historischer Hard- und Software, oder • Emulation (also Simulation der historischen Hard- und Softwareumgebung), oder • Migration/Technikwechsel; um das Veralten von Datenformaten und Archivmedien auszuschließen: Verwendung langzeitstabiler Speichermedien und Datenformate Nutzung offener, standardisierter, hersteller- und betriebssystemunabhängiger Formate, Archivmedien und Speichertechnologien Ggf. Durchführung von Format- und Medienmigrationen, um die einwandfreie Lesbarkeit der Formate und Archivmedien zu erhalten Verwendung von Konvertern zur Erzeugung langfristig stabiler Archivformate Verwendung von Viewern zum Anzeigen der Dokumente • Desaster-Recovery
Prüfbarkeit
Ermöglichung der drei Zugriffsarten
Zugreifbarkeit
Fortsetzung nächste Seite
264
• Identifizierungskonzept: Frühzeitiges Qualifizieren und Klassifizieren der Daten • Berechtigungskonzept mit Prüferprofil • Direkte Zugriffsmöglichkeit einrichten und Datenträgerüberlassung durch die Archivlösung ermöglichen, wenn das Wiedereinspielen der Daten ins Produktivsystem nicht geplant ist • Metadatenkonzept: Datentrennung in zwingend steuerrelevant, optional steuerrelevant und nicht steuerrelevant
• Unterstützung einer Indexverwaltung • Durch geeignete Migrationsverfahren und Datenformate muss der Originalzustand erkennbar sein • Keine Änderungsmöglichkeit zulassen • Umsetzung des Umschlüsselungs- und Migrationskonzeptes: bei Verwendung von Signaturprüfschlüsseln oder Kryptographietechniken: entsprechende Schlüssel aufbewahren bei Einsatz von Kryptographieverfahren: sowohl die verschlüsselten als auch die entschlüsselten Dokumente archivieren bei Migration der Datenformate: beide Versionen aufbewahren und gemeinsam mit Informationen zum Migrationsvorgehen unter demselben Index verwalten • Erstellung von sachlogischen und programmtechnischen Beschreibungen sowie Arbeitsanweisungen • Unterstützung unterschiedlicher Benutzerberechtigungen (Ausschluss von Löschungen und Änderungen) • Selektiver Datenzugriff • Prüferprofil mit Zugriff auf Auswertungsfunktionen und alle steuerrelevanten Daten ohne Änderungs- und Löschrechte • Exportfunktion, die die Übertragung ausgewählter Daten sowie notwendiger Strukturinformationen auf einen maschinenlesbaren Datenträger ermöglicht • Selektion nach Metadateninhalten
Funktionale Anforderung
Organisatorische Umsetzung
Technische Umsetzung
Datensicherheit
• Erstellung eines Datensicherheitskonzeptes • Orientierung am aktuellen Stand der Technik • Schutz vor Vernichtung durch katastrophensichere Aufbewahrungsorte • Systematische Verzeichnisse über gespeicherte Datenbestände und Programme • Rücklaufkontrollen • Erstellung von Notfallkonzepten; Absicherung gegen Ausfallrisiko • Konzept für eine verlustfreie Medien- und Formatmigration • Gewissenhafter Umgang mit Metadaten • Richtige und vollständige Datenidentifikation und manipulations- sowie fehlerfreie Datenübertragung • Organisation von Zutritts-/ Zugangs-und Zugriffskontrollen sowie –protokollen zur Absicherung der archivierten Unterlagen gegen unberechtigten Zugriff und gegen Veränderung • Ausschließlich zweckgebundene Aufbewahrung sensibler Daten • Schutz sensibler Daten mittels Berechtigungskonzept
• Systemeigenschaften und -einstellungen zum Änderungs- und Löschschutz nutzen • Anfertigung von Kopien/Backups • Richtige Lagerung (Raumklima, Umwelteinflüsse) • Wahl qualitativhochwertiger Speichermedien zur Reduzierung des Datenverlustrisikos • Verwendung aktueller und als sicher einzustufender Zeitstempel, Signatur- und Verschlüsselungsverfahren • Technische Zugriffkontrollen, LogProtokolle, Paginierung, Prüfziffern, Abstimmsummen • Unterstützung integrierter Zugriffsberechtigungsverfahren • Einrichtung von Benutzerprofilen • Workflow-Analysen, um Anwender zu identifizieren, die versuchen, unautorisierte Aktionen durchzuführen • Automatische Erhebung und Übernahme der Metadaten • Verwendung geeigneter Datenformate (bei Text- oder Grafikdateien z. B. PDF/a oder TIFF) zur Sicherung der bildlichen und inhaltlichen Übereinstimmung • Verwendung von Metadaten • Systemtechnische Kontrollroutinen • Bei Digitalisierung von Eingangsrechnungen: Sicherstellung der bildlichen Gleichheit (farbliche Speicherung ist empfehlenswert) • Wahl geeigneter Speicherformate • Verwendung digitaler Signaturverfahren mit ausreichendem Sicherheitsniveau, um etwaige Verfälschungen der Dateien zu erkennen bzw. auszuschließen • Unterstützung von Standards
inklusive Integrität, Autorisierung, Authentizität und Vertraulichkeit
Sicherung des Beweiswerts elektronisch signierter Dokumente
Rechtsverbindlichkeit und Gerichtsverwertbarkeit der Dokumente
Wiederauffindbarkeit gezielter Zugriff
• Aufbewahrung des digitalen Dokuments im Originalformat einschließlich des digitalen Signaturschlüssels • Rechtzeitige und beweiskräftige Signaturerneuerung • Archivierungskonzept: Definition eines Verfahrens zur Identifizierung aller Unterlagen, die neben der inhaltlichen Gleichheit auch die bildliche Gleichheit mit dem Original erfordern Bei geforderter bildlicher Gleichheit: Gewährleistung einer originalgetreuen, bildlichen Wiedergabe aller auf dem Originaldokumente enthaltenen Angaben zur Aussage- und Beweiskraft des Geschäftsvorfalls • Detaillierte Beschreibung der Ablageordnung • Datenbestände sind in systematischen Verzeichnissen zu führen • Verwendung von Metadaten • Genaue Dokumentation aller Veränderungen an Strukturen oder Datensätzen • Indexverwaltung
• Systeminterne Indizierung, die einen sachlichen Zusammenhang zwischen den verschiedenen Daten und Unterlagen eines Geschäftsvorfalls herstellt • Indexdatenbanken mit automatischer Zuteilung eines eindeutigen, unveränderbaren Indexes • Programmgestützter, direkter Zugriff auf einzelne archivierte Datensätze • Verwaltung der Datensätze • Verwaltung strukturierter Metadaten der Dokumente • Automatische Verfahren zur Metadatengenerierung • Geeignete Retrievalverfahren, um die Daten zeitnah und gezielt wieder zu finden • Unterstützung von Such-, Filter- und Recherchefunktionen
Fortsetzung nächste Seite
265
Funktionale Anforderung
Organisatorische Umsetzung
Technische Umsetzung
Transparenz
• Chronologische und logische Dokumentenablage • Gestaltung eines kontrollierbaren und beherrschbaren Archivierungsverfahrens • Protokollierung aller Änderungen in der Archivstruktur • Ausführliche und verständliche Dokumentation des Archivierungsverfahrens inklusive einer detaillierten Beschreibung der Format- und Medienmigrationen, des Metadatenkonzeptes sowie des Datensicherheitskonzeptes • Archivierung der Verfahrensdokumentation • Prozessinstallation zur Erstellung und stetigen Aktualisierung von Anwenderdokumentation Technische Dokumentation des Archivsystems Betriebsdokumentation • Berechtigungskonzept mit nachvollziehbaren Zugriffsrechten entsprechender Benutzerprofile • Datenidentifizierungskonzept: Trennung/ Aussonderung prüfungsrelevanter Daten
• Einsatz einer sicheren Protokollierungsfunktion • Automatische Dokumentation aller technischen Änderungen der Daten • Unterstützung von automatisierten, nachvollziehbaren und verlustfreien Migrationsverfahren • Automatische Verfahren zur Metadatengenerierung
Übersichtlichkeit Nachvollziehbarkeit
unverzüglicher/ zeitnaher Zugang
unverzügliche/ zeitnahe Bereitstellung Maschinelle Auswertbarkeit
• Wiedereinspielen der Daten in das Produktivsystem oder Nutzung eines Auswertungstools des Archivsystems oder Zukauf eines geeigneten universellen Auswertungsprogramms • Konzeption und Test des Auswertungsverfahrens • Übernahme von Tabellen mit steuernden Einstellungen wie Konditionen oder Konten- und Preisfindung
Reproduktionssicherheit
• Formatmigrationskonzept: Archivierung aller Dokumente im (proprietären) Originalformat sowie in einem Langzeitformat • Protokollierung aller Verarbeitungsschritte im Archivsystem, die zu einer Änderung der Archivstruktur oder –organisation führen • Datenidentifizierungskonzept: Identifizierung aller Unterlagen, die eine bildliche Gleichheit mit dem Original erfordern • Archivierungskonzept: Konzept für differenzierte, zeitraumbezogene Archivierung der Datenbestände • Identifizierungskonzept: Identifizierung der jeweiligen Aufbewahrungsfrist bzw. sinnvollen Aufbewahrungsdauer jedes Archivierungsobjektes • Metadatenkonzept: Hinterlegen der individuellen Aufbewahrungszeiträume in den Metadaten
Einhaltung von Aufbewahrungsfristen und sinnvoller Aufbewahrungszeiträume z. B. in Abhängigkeit von Produktlaufzeiten
Fortsetzung nächste Seite
266
• Verwaltung von Speichersystemen mit Zugriff auf alle Medien, die archivierte Daten enthalten • Ggf. übergreifende Verwaltung verschiedener Speichersysteme und Nutzung von Zwischenspeichern • Einheitliche, zentrale Speicherung • Vollständige und richtige Übergabe aller steuerrelevanten Daten inklusive aller dazugehörigen Stammdaten und Verknüpfungen/ Strukturinformationen (Aufbau und Struktur der Dateien und Schlüsselbeziehungen zu korrespondierenden Datenbeständen z. B. bei Stamm- und Bewegungsdaten) • Bei Formatmigrationen: Verwendung von Dateiformaten, die eine maschinelle Auswertung weiterhin ermöglichen • Eigenständige Recoveryfunktion, um inkonsistent gewordene oder gestörte Systeme verlustfrei wiederherstellen zu können • Bereitstellung der Datensätze unabhängig von der erzeugenden Ursprungsanwendung • Unterstützung der bildlichen Speicherung • Wahl geeigneter Formate, die eine bildliche Gleichheit zulassen • Metadaten in Verbindung mit regelbasierten Systemen ermöglichen • Automatische Löschvorgänge nach Ablauf der Aufbewahrungszeiträume
Funktionale Anforderung
Organisatorische Umsetzung
Technische Umsetzung
Datenschutz und Schutz sensibler/ personenbezogener Daten
• Archivierungskonzept: Identifizierung und Trennung sensibler Daten Konzept zum Umgang mit E-Mails und Logfiles Richtlinien zur Vernichtung von Daten und Unterlagen • Einrichtung wirksamer Verfahren zur Zugriffskontrolle • Berechtigungskonzept: Restriktive Vergabe von Zugriffsrechten; Definition von Berechtigungsprofilen; Editier- und Löschrechte den Administratoren vorbehalten • Einbindung der Archivlösung in die Anwendungslandschaft für einen komfortablen Zugriff der Anwender auf Archivdaten • Datensicherheitskonzept: dem durch die Vernetzung entstehenden Risiko ist durch Sicherheitsmaßnahmen zu begegnen • Datenidentifizierungskonzept: Definition, welche Daten- und Dokumenteninhalte zu welchem Zweck zu archivieren sind • Metadatenkonzept: Definition anforderungsgerechter Such- und Recherchekriterien; Klassifizierung der Dokumenteninhalte in Bezug auf Zugriffsanforderungen und Aufbewahrungsfristen
• Unterstützung einer differenzierten Rechtevergabe • Unterstützung von Zugriffsschutz- und Aufzeichnungsmechanismen • Verschlüsselte Übertragung sensibler Daten • Unterstützung von Routinen zur kontrollierten Löschung einzelner Datensätze nach Ablauf der Aufbewahrungszeiträume • Technische Beschränkung des Zugriffs auf ausgewählte Datenbestände
Lösch- und Entsorgbarkeit
Einfache Nutzung Recherchierbarkeit Auswertungsfunktionen für das Risikocontrolling
• Standardisierte Schnittstellen zur Übergabe der Datensätze an andere Programme • Wahl standardisierter und inhaltlich recherchierbarer Archivformate • Unterstützung von Indizierungs- und Such-/Recherchefunktionen • Komfortable Such-, Filter-, Sortier- und Auswertungsprogramme Volltextsuche mit verschiedenen Angaben Kontextuelle Suche mit Schlüsselwörtern Report- und Analysemöglichkeiten • Automatische Beschlagwortung der Dokumenteninhalte • Nutzung von Metadaten durch regelbasierte Systeme • Ausreichend Speicherkapazität und -performance, um komfortable Suchfunktionen zu ermöglichen
Tabelle 20: Organisatorische und technische Umsetzungsmöglichkeiten der funktionalen Anforderungen an eine Archivierungslösung Quelle: eigene Darstellung1
Die aufgeführten Maßnahmen sind teilweise alternativ und teilweise ergänzend umzusetzen. Wie gezeigt, gibt es keine einzig richtige, GDPdU-konforme Archivierungslösung, sondern nur allgemeingültige Umsetzungsempfehlungen. Die Gesetzeskonformität der Archivierungslösung ist immer vom Gesamtkonzept zur Erfüllung der funktionalen Anforderungen und damit auch von den originär datenerzeugenden Anwendungssystemen abhängig.2 Welche Verfahren und Technologien sich für ein Unternehmen am Besten eignen, ist abhängig von der IT-Strategie, IT-Landschaft und den jeweiligen funktionalen Anforderungen. Tabelle 20 liefert aufgrund ihrer Detaillierung eine Hilfestellung bei der Gestaltung einer Archivierungs-
1
Vgl. Kampffmeyer, U. (2003), S. 12; vgl. Lensdorf, L. (2008), S. 335; vgl. Anduleit, M. (2007), S. 28 f; vgl. Hoppen, P. (2008), S. 678.; vgl. Kampffmeyer, U. (2006), S. 467 ff.; vgl. Müller, K.-R. (2008), S. 104 ff; vgl. Koch, F. A. (2007), S. 142 ff.; vgl. Witt, B. C. (2008), S. 123 ff; vgl. Speichert, H. (2007), S. 271; vgl. Frost, M. (2007), S.1 f. ; vgl. Lui, B. (2003), S. 3 ff.; vgl. Gutzmann, U. et al. (2007), S. 1 ff.; vgl. Kittl, C.; Zeidler, C. (2007), S. 58 f.; vgl. Acken, J. et al. (2002), S. 21 ff. 2 Vgl. hierzu und im Folgenden Groß, S.; Kampffmeyer, U.; Matheis, P. (2004), S. 1086. 267
lösung im Spannungsfeld zwischen juristischen Anforderungen, wirtschaftlichen Erfordernissen und den organisatorischen und technischen Umsetzungsmöglichkeiten.
5.2
Vorgehenskonzept zur GDPdU-konformen Systemablösung
Es kann keinen GDPdU-konformen Königsweg zur elektronischen Archivierung geben. Die optimale Vorgehensweise muss in Abhängigkeit von der jeweiligen Unternehmenssituation ermittelt werden. In diesem Abschnitt wird ein Vorgehenskonzept erarbeitet, dass eine schrittweise GDPdU-konforme Systemabschaltung beschreibt und dabei ergänzend zum im Teil 4 erarbeiteten Phasenmodell alternative Vorgehensmöglichkeiten erläutert. Damit wird ein Abschaltungsfahrplan entwickelt, der alle relevanten Aspekte berücksichtigt und die ermittelten Anforderungen und Abhängigkeiten in einem Konzept zusammenfasst. Dieses Konzept setzt sich aus drei Teilen zusammen, die den drei Phasen des Phasenmodells zugeordnet sind und damit zeitlich eindeutig in den Integrationsprozess eingeordnet werden können. Das hier entwickelte Vorgehenskonzept bietet damit eine praxisorientierte Hilfestellung bei der Ablösung von Anwendungssystemen innerhalb einer IT-Integration.
5.2.1 Ermittlung abzulösender Anwendungssysteme Das Vorgehenskonzept der Phase 1 veranschaulicht, wie sich die Wahl einer Integrationsalternative und speziell einer Integrationsmethode auf die Anzahl der abzulösenden Anwendungssysteme auswirkt. Nach der Entscheidung für eine IT-Ziellandschaft lässt sich eine Liste abzulösender Anwendungssysteme (LaA) erstellen. Anwendungsindividuell ist eine Entscheidung über Weiterbetrieb oder Ablösung zu treffen. Außer bei der Wahl der KoexistenzMethode ist auf Grundlage dieser Liste die Ablösung der Anwendungssysteme vorzubereiten. Wählt das Unternehmen den Greenfield-Ansatz, sind sogar beide Anwendungslandschaften komplett abzulösen.
268
Abbildung 28: Vorgehenskonzept zur GDPdU-konformen Systemablösung in Phase 1 – Schaffung des Integrationsrahmens Quelle: eigene Darstellung
Auf die entstehende Liste wird in der zweiten Phase des Integrationsprozesses zurückgegriffen, um zu ermitteln, welche Anwendungssysteme für eine GDPdU-konforme Archivierung zu berücksichtigen sind.
5.2.2 Wahl einer grundlegenden Archivierungslösung In diesem Abschnitt sollen zunächst die alternativen Lösungswege zur GDPdU-konformen Systemablösung dargestellt werden. Anschließend wird die Vorgehensweise zur Entscheidungsvorbereitung sowie das aus der Entscheidung resultierende Umsetzungserfordernis beschrieben und eine Zusammenfassung zu einem Vorgehenskonzept für Phase 2 des Integrationsprozesses vorgenommen.
5.2.2.1 Alternative Lösungswege zur GDPdU-konformen Systemablösung Für alle Anwendungssysteme der LaA ist zu prüfen, ob sie steuerrelevante und zugleich originär digitale Daten enthalten, die nach dem 1. Januar 2002 erstellt wurden. Ist dieses der Fall, muss für diese Daten und Unterlagen eine Archivierungslösung gefunden werden, da sie innerhalb der Aufbewahrungsfristen für eine Betriebsprüfung in auswertbarer Form bereit269
gehalten werden müssen. Es ergeben sich vier alternative Lösungswege, um den Anforderungen der GDPdU gerecht zu werden: A1. Das Unternehmen stimmt sich mit den Finanzbehörden ab und vereinbart, eine vorgezogene Betriebsprüfung durchzuführen oder holt die Erlaubnis ein, bestimmte Daten und Unterlagen in Papierform oder in Form eines GDPdU-Outputs zur Verfügung zu stellen. A2. Das alte System wird in dem Umfang weiterbetrieben, dass es bei einer Betriebsprüfung problemlos wieder aktiviert werden kann. A3. Alle Daten des Anwendungssystems werden komplett in das zukünftige Produktivsystem migriert. Es sind dabei zusätzlich zu allen Stamm- und offenen Bewegungsdaten alle steuerrelevanten Daten entsprechend ihrer jeweiligen Aufbewahrungsfrist zu übernehmen. A4. Für aufbewahrungspflichtige Altdaten, die nicht in eine produktive Umgebung migriert werden, wird eine Archivierungslösung entwickelt. Zu A1: Die erste Alternative erscheint auf den ersten Blick besonders attraktiv. Die Finanzbehörden sind in der Lage, in einzelnen Fällen Erleichterungen zu bewilligen, wenn die Erfüllung der steuergesetzlichen Aufbewahrungspflichten Härten mit sich bringen und die Besteuerung durch die Erleichterung nicht beeinträchtigt wird. Derartige Ausnahmeregelungen sind jedoch nur für kleinere und mittlere Unternehmen oder geringe Datenmengen umsetzbar. Entsprechend begründeten Anträgen auf den Vorzug einer Betriebsprüfung kommen die zuständigen Betriebsprüfungsstellen, obgleich kein Rechtsanspruch besteht, gewöhnlich nach. Eine vorgezogene Betriebsprüfung kommt jedoch für ein Unternehmen üblicherweise nur in Frage, wenn die Integration nicht zeitkritisch ist und die Betriebsprüfung abgewartet werden kann. In der Regel wird sich kein Unternehmen freiwillig dieser Doppelbelastung aussetzen. In einem Gespräch bezüglich der steuerlichen Prüfung mit den Verantwortlichen des zuständigen Finanzamtes kann die Problematik geschildert und verschiedentliche Abstimmungen getroffen werden.1 Eventuell sind den Betriebsprüfern die kritischen Positionen der Gewinnermittlung bekannt und es besteht die Möglichkeit, konkrete Absprachen zu bestimmten Datenbereichen und Auswertungen für die anstehende Betriebsprüfung zu treffen. Das Ausweichen auf Papierausdrucke lässt die Finanzverwaltung nur in Ausnahmefällen und bei kleineren Datenmengen zu.
1
Vgl. hierzu und im Folgenden Odenthal, R. (2007), S. 78.
270
Zu A2: Bezüglich der zweiten Alternative können erneut folgende drei Varianten unterschieden werden: • A2V1: Entweder ist die vollständige Systemumgebung zu archivieren, oder • A2V2: es ist für die Lauffähigkeit der alten Software auf den zukünftigen Betriebssystemen bzw. der aktuellen Hardware zu sorgen, oder • A2V3: die alte Softwareumgebung ist in eine Simulationsumgebung zu überführen.1 Zu A2V1: Bei einem Weiterbetrieb der alten Hardware bestehen viele Risiken. Zum einen sind der Erhaltung der Systeme Grenzen gesetzt, wenn Datenträger nicht mehr erneuert werden können und es dadurch zum Verlust der Systemsoftware kommt. Zudem verlieren einzelne elektronische Bauteile durch Korrosionsprozesse oftmals ihre Funktionsfähigkeit. Es entstehen neben den Kosten für Hardware, Betriebssystem und Anwendungslösung zusätzliche Personalkosten, Lizenzgebühren sowie Kosten für Wartung und Reparaturen.2 Ein Parallelbetrieb der alten und neuen Systemumgebung in dieser Form ist aus technischer, organisatorischer und betriebswirtschaftlicher Sicht in der Regel nicht sinnvoll. Aufgrund langer Vertragslaufzeiten der Versicherungsverträge stellen z. B. IT-Integrationen in der Versicherungsbranche einen Sonderfall dar. Hierbei werden zum Teil beide Altsysteme weiterhin für bestehende Verträge genutzt und für die Abwicklung von Neuverträgen wird von beiden Integrationsparteien entweder ein neues oder eines der beiden alten Anwendungssysteme verwendet.3 Zu A2V2: Handelt es sich bei der abzuschaltenden und der zukünftigen Anwendung um die gleiche Software verschiedener Versionen, besteht unter Umständen eine Möglichkeit darin, die historische Softwareversion gemeinsam mit den Daten zu archivieren und bei einer Betriebsprüfung in der aktuellen Betriebsumgebung zu betreiben. Im Fall dieser zweiten Variante kann auf die Aufbewahrung der ursprünglichen IT-Infrastruktur verzichtet werden. Das Vorhalten mehrerer historischer Softwareversionen kann jedoch lizenzrechtlich problematisch sein und sollte gegebenenfalls in Absprache mit dem Hersteller gelöst werden.4 Zudem ist bei künftigen Anpassungen des produktiven Anwendungssystems immer zu prüfen, ob die archivierten Daten weiterhin lesbar gemacht und in auswertbarer Form zur Verfügung gestellt werden können. Zu A2V3: Die dritte Variante, von der zunehmend größere Unternehmen Gebrauch machen, besteht darin, die alte Hardwareumgebung zu simulieren. Ist die bisherige Anwendungssoftware auf der zukünftigen Infrastruktur nicht lauffähig, stellt diese Variante eine mögliche Op-
1
Vgl. hierzu und im Folgenden Hoppen, P. (2008), S. 679. Vgl. Odenthal, R. (2007), S. 78. 3 Vgl. Müller, R. (2000), S. 73. 4 Vgl. Hoppen, P. (2008), S. 680. 2
271
tion dar. Es existieren spezielle Emulatoren für die jeweiligen Betriebssysteme und verschiedene Virtualisierungsumgebungen. Mit sogenannten virtuellen Maschinen lässt sich durch einen im Betriebssystem ablaufenden Prozess eine historische Systemumgebung simulieren.1 Auf diesem Weg wird eine Plattformunabhängigkeit erreicht.2 Das abzuschaltende System kann in eine virtuelle Umgebung überführt werden und damit für die Aufbewahrungsdauer betriebsfähig bestehen bleiben. Im Vorwege ist die Lauffähigkeit der Software auf der simulierten Systemumgebung sicherzustellen. Beim Emulationsansatz werden nicht nur der Zeichenstrom und die Metadaten der aufzubewahrenden Unterlagen archiviert, sondern auch eine Emulator-geeignete Spezifikation der Hardware sowie die komplette Software der abzuschaltenden Anwendung aufbewahrt.3 Zur Vorbereitung der Emulationsmethode sind somit auch alle erforderlichen Daten und die notwendige Software zu archivieren. Dabei stellt z. B. das Kapselungsverfahren eine geeignete Methode dar.4 Hierbei wird neben den archivierungspflichtigen Daten und den zugehörigen Metadaten auch die Software, mit der die Dokumente angezeigt und ausgewertet werden können, in einer sogenannten Kapsel gespeichert.5 Virtuelle Maschinen sind deutlich langsamer als ihr physikalischer Gegenpart, jedoch erweist sich das Betriebssystem bei Verwendung einer virtuellen Maschine oftmals als eindeutig stabiler.6 Kann die Verfügbarkeit der Software nicht für die gesamte Dauer der Aufbewahrungsfrist gewährleistet werden, empfiehlt es sich, durch eine Überführung in neutrale Datenformate einen software- bzw. herstellerunabhängigen Zugriff auf die archivierungspflichtigen Daten sicherzustellen. Zu A3: Die dritte Alternative zur Sicherstellung der Verfügbarkeit aufbewahrungspflichtiger Dokumente ist die Migration der Unterlagen in die zukünftige Anwendungsumgebung. Um Originalität und Authentizität der Dokumente zu garantieren, muss nachgewiesen werden können, dass die Daten bei der Migration vollständig und unverändert übertragen wurden. Nach der Übertragung müssen die jeweiligen funktionalen Anforderungen erfüllt bleiben und dabei ist im Grunde unerheblich, ob die Daten in ein anderes Produktivsystem oder in ein Archivsystem migriert werden. Die Umsetzung der dritten Alternative kann aus unterschiedlichen Gründen zu Schwierigkeiten führen:7 Oftmals ist die zukünftige Anwendungssoftware nicht in der Lage, die historischen Datenbestände des abzuschaltenden Systems einzulesen bzw. lesbar aufzubereiten. Teilweise würde die Aufbewahrung von Altdaten in einem produktiven, geschäftskritischen Anwendungssystem die Leistung in einem nicht vertretbaren
1
Vgl. Zimmer, D. (2005), S. 31. Vgl. Zimmer, D. (2005), S. 30. 3 Vgl. Borghoff, U. M. et al. (2003), S. 18. 4 Vgl. Kampffmeyer, U. (2006), S. 465. 5 Für eine detaillierte Beschreibung des Archivierungsprozesses beim Emulationsansatz siehe Borghoff, U.M. et al. (2003), S. 76 ff. 6 Vgl. Zimmer, D. (2005), S. 49 f. 7 Vgl. Hoppen, P. (2008), S. 680; vgl. Odenthal, R. (2007), S. 56. 2
272
Ausmaß beeinträchtigen. Daher ist es in vielen Fällen erforderlich, die historischen Daten auf einem anderen Weg zu archivieren. Zu A4: In der vierten Alternative wird zur Erfüllung der Vorgaben und Anforderungen eine Archivlösung eingesetzt. Sind von den Archivierungserfordernissen umfangreiche Datenmengen betroffen, ist häufig der Einsatz eines Archivsystems die sinnvollste Lösung. Dabei müssen die Daten ebenso wie bei der dritten Alternative migriert und anschließend uneingeschränkt wieder auffindbar, anzeigbar und auswertbar bleiben. Wie bereits in Abschnitt 5.1.2 erwähnt wurde, ist zu unterscheiden, ob das Archivsystem allein der Aufbewahrung dient und zur Auswertung weiterhin ein operatives System verwendet wird oder ob die Auswertung der Daten nach der Archivierung außerhalb der produktiven Systeme erfolgt. Im ersten Fall ist sicherzustellen, dass die Daten des abzulösenden Anwendungssystems sowie bereits archivierte Daten auch durch das zukünftige Anwendungssystem verarbeitet werden können. Die maschinelle Auswertbarkeit kann bei der Speicherung auf Datenträgern z. B. durch die direkte Verlinkung der Dokumente in die produktive Buchführungsanwendung sichergestellt werden.1 Das Wiedereinspielen historischer Datenbestände erweist sich jedoch aus verschiedenen Gründen als problematisch: Der verlustfreie Datenimport in ein anderes Anwendungssystem stellt häufig ein unüberwindbares Hindernis dar.2 Selbst bei einer technologischen Übereinstimmung der Datenformate verhindern oftmals organisatorische Differenzen, wie unterschiedliche Prozesse oder Kontenrahmen, das Einspeisen anwendungsfremder Daten. Besondere Schwierigkeiten ergeben sich in der Regel bei dem Vorhaben, alte Datenbestände in ein Anwendungssystem eines anderen Herstellers einzuspeisen – insbesondere bei der Ablösung von Eigenentwicklungen durch Standardprodukte.3 Jedoch selbst bei differierenden Releaseständen des gleichen Herstellers kann die Datenmigration zu Problemen führen. Gelingt der Datenimport, kann das Einspielen der Datenbestände des Prüfungszeitraums von bis zu zehn Jahren die Verfügbarkeit des Produktivsystems erheblich beeinträchtigen.4 Wurden die betreffenden Daten jedoch bereits vor dem 1. Januar 2002 archiviert und ist die entsprechende Reaktivierung mit unverhältnismäßig hohem Aufwand verbunden, wird von der Finanzverwaltung nicht auf das Wiedereinspielen der Datenbestände bestanden.5 Ist das Wiedereinspielen von Altdaten in das Produktivsystem für eine Betriebsprüfung nicht gewünscht oder möglich, müssen die Daten dem Prüfer dennoch in auswertbarer Form zur Verfügung gestellt werden. Archivsysteme bestehen aus Archivsoftware, Indexdatenbanken und Speichersystemen.6 Zum Teil verfügt die Archivsoftware bereits über ein entsprechendes
1
Vgl. Rath, M. (2008), S. 130. Vgl. Hagenkötter, A.; Mülot, D.-M. (2002), S. 48. 3 Vgl. Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S. 1217. 4 Vgl. Groß, S. (2002), S. 35; Vgl. Kornprobst, F.; v. Ehrenstein, C.; Frosch-Wilke, D. (2003), S. 55. 5 Siehe GDPdU I. 3. a); vgl. Hartmann, V. (2005), S. 27. 6 Siehe hierzu genauer Abschnitt 5.1.2. 2
273
Anzeige- und Auswertungsprogramm. Teilweise lassen sich die Archivsysteme in die ITLandschaft derart integrieren, dass die verwendeten Anwendungssysteme die gespeicherten Daten des Archivsystems anzeigen und verarbeiten können. Verfügt das Archivsystem nicht über integrierte Auswertungsfunktionalitäten, die mit denen der abzuschaltenden Haupt-, Neben- oder Vorsysteme vergleichbar sind, und besteht die Notwendigkeit, Daten auswertbar vorzuhalten, muss die geforderte maschinelle Auswertbarkeit der Daten auf eine andere Weise ermöglicht werden.1 Alle funktionalen Anforderungen, die bei der Wahl der zweiten, dritten oder vierten Alternative zur Aufbewahrung der Daten zu erfüllen sind, wurden in der Tabelle 14 zusammengefasst. Entsprechende organisatorische und technische Lösungsansätze wurden in den Abschnitten 5.1.1 und 5.1.2 erläutert. Bei der Ablösung mehrerer Anwendungssysteme lassen sich die vier beschriebenen Alternativen auch kombinieren, da die Entscheidungen anwendungsindividuell getroffen werden können.
5.2.2.2 Vorgehensweise in der Planungs- und Konzeptionsphase Im Folgenden wird ein schrittweises Vorgehen für eine GDPdU-konforme Ablösung der Anwendungssysteme in der zweiten Phase des Integrationsprozesses beschrieben. I. Identifizierung relevanter Systeme und Datenbestände Die LaA ist ein Ergebnis der ersten Phase und dient als Ausgangsbasis für die Untersuchung der Archivierungserfordernisse. In Abstimmung der Bereiche Steuern und IT werden zunächst die von einer Ablösung betroffenen Anwendungssysteme, in denen steuerrelevanten Daten erzeugt oder verarbeitet werden, ermittelt. Im Rahmen der IT-Integration bietet sich diese systemorientierte Herangehensweise an, bei der nur bestimmte Komponenten der IT-Landschaft untersucht werden, um die Komplexität des Integrationsprojektes zu reduzieren. Im Zuge einer sachgerechten Abgrenzung sind anschließend die steuerrelevanten Datenbestände grob zu identifizieren.2 Das aufbewahrungspflichtige Datenmaterial wird überblickartig zusammengestellt. Dabei lässt sich eine funktions- und eine prozessorientierte Vorgehensweise unterscheiden.3 Bei einer funktionsorientierten Identifizierung erfolgt eine Eingrenzung der Archivierungsobjekte in Abhängigkeit von der Funktion (Buchhaltungsanwendung, Verkaufsprogramme, E-Mail-System) der jeweiligen Anwendungskomponente. Bei einer prozessorientierten Identifizierung werden sämtliche geschäftlichen Aufzeichnungen in ihrem Entstehungsprozess verfolgt, um auf alle relevanten Daten zu schließen. Datenflussanalysen
1
In Abschnitt 5.1.2 werden entsprechende Lösungsansätze aufgezeigt. Vgl. Groß, S. (2002), S. 34. Welche Daten als steuerlich relevant einzustufen sind, wurde in Abschnitt 3.3.4.2 konkretisiert. 3 Zur Unterscheidung zwischen system-, funktions- und prozessorientierten Betrachtungsweise vgl. Odenthal, R. (2007), S. 61f. 2
274
geben genauen Aufschluss über die Datenquellen und die Wege der Datenverarbeitung.1 Die beschriebenen Herangehensweisen lassen sich auch kombiniert eingesetzen. II. Entscheidung über einen sinnvollen Lösungsweg Wurden die aufbewahrungspflichtigen Datenbestände identifiziert, kann bezüglich der einzelnen Anwendungssysteme entschieden werden, welcher der alternativen Lösungswege zur GDPdU-konformen Ablösung der Altsysteme gewählt wird.2 Zu diesem Zweck werden die in Betracht kommenden Lösungswege auf ihre Machbarkeit untersucht, bezüglich ihrer IT-Strategie- und Zielorientierung bewertet und eine Auswahl getroffen. Entscheidet sich das Unternehmen für die Alternative A2V2 oder A2V3 werden in der Regel alle Altdaten archiviert. Anderenfalls sind ebenso wie bei Alternative A3 und A4 die relevanten Daten zu selektieren und zu extrahieren.3 Bei Wahl der Alternative A3 können die Migrationsanforderungen in das Migrationskonzept zur Übertragung der aktuellen Daten in das künftige Produktivsystem aufgenommen werden. Es ist daher kein separates Archivierungsprojekt erforderlich. Jedoch kann auch bei dieser Alternative nach dem im folgenden Abschnitt beschriebenen Migrationsleitfaden vorgegangen werden. III. Planung des Archivierungsprojektes (optional) Entscheidet sich das Unternehmen für die Alternative A4 besteht die Notwendigkeit, ein Archivierungsprojekt zu definieren. Der Lenkungsausschuss entscheidet darüber, ob und in welchem Umfang diese Archivierungserfordernisse mit anderen laufenden Archivierungsaktivitäten konsolidiert werden sollen.4 Anschließend ist das Archivierungsprojekt in das ITProjektportfolio und den IT-Masterplan aufzunehmen. IV. Erstellung eines Archivierungskonzeptes (optional) In die Konzeption der Archivierungslösung sind alle betroffenen Stellen zu involvieren.5 Es werden geeignete organisatorische und technische Maßnahmen bestimmt, um die relevanten funktionalen Anforderungen der Tabelle 14 erfüllen zu können. Die Ausführungen in Abschnitt 5.1 bzw. Tabelle 20 geben hierbei konkrete Hinweise für die technische und organisatorische Umsetzung. Die Erfüllung der gesetzlichen Vorschriften macht in der Regel ein Migrationskonzept notwendig, das als Bestandteil des Archivierungskonzeptes zu erstellen ist. Innerhalb des Archivierungskonzeptes sind der genaue Archivierungsumfang und die jeweiligen Aufbewahrungsfristen zu bestimmen sowie das Archivformat, die Archivmedien und der
1
Vgl. Hagenkötter, A.; Mülot, D.-M. (2002), S. 47. Die möglichen Alternativen wurden in Abschnitt 5.2.2.1 erläutert. 3 Dieser Vorgang wird genau in Abschnitt 5.2.3 beschrieben. 4 Siehe hierzu genauer die Ausführungen zur Projektdefinition des Archivierungsprojektes in Abschnitt 4.2.3.1. 5 Siehe hierzu die Ausführungen in Abschnitt 4.2.3.3 2
275
Archivierungsort festzulegen. Des Weiteren sind Entscheidungen über die organisatorische und technische Umsetzung der Archivierungsanforderungen zu treffen. Die Einigung auf künftige Archivformate und die Entscheidung für zu verwendende Speichermedien verlangen vorausschauendes Agieren.1
Abbildung 29: Vorgehenskonzept zur GDPdU-konformen Systemablösung in Phase 2 – Planung und Konzeption Quelle: eigene Darstellung
Das beschriebene Vorgehen zur Wahl einer Lösungsalternative wird in Abbildung 29 anschaulich dargestellt. Dieses Vorgehenskonzept kann anwendungsindividuell durchlaufen werden.
5.2.3 Migrations- und Archivierungsleitfaden In diesem Abschnitt wird ein Leitfaden für ein schrittweises Vorgehen zur Datenmigration bzw. -archivierung innerhalb der dritten Phase des Integrationsprozesses entwickelt. Dabei ist die GDPdU-konforme Aufbewahrung der Daten in den folgenden sechs Schritten umzusetzen: 2
1 2
Vgl. Odenthal, R. (2007), S. 60. Vgl. im Folgenden Groß, S.; Kampffmeyer, U.; Matheis, P. (2004), S. 1086.
276
I. Selektion: Qualifizierung steuerrelevanter Daten Im ersten Schritt wird eine exakte Bestimmung des archivierungspflichtigen Datenbestandes erforderlich. Es ist eine fachliche Qualifizierung der aufbewahrungspflichtigen Dokumente nach § 147 AO vorzunehmen. Dabei erweist sich sowohl eine inhaltliche als auch eine zeitliche Eingrenzung der Daten und Unterlagen als sinnvoll.1 Nach der groben Identifizierung steuerrelevanter Daten in der zweiten Integrationsphase erfolgt in diesem zweiten Durchgang eine konkrete Qualifizierung des relevanten Datenmaterials mittels der funktions- und prozessorientierter Herangehensweise.2 Für die elektronische Archivierung ist der relevante Datenbestand auf originär digitale Daten zu begrenzen. Es ist davon auszugehen, dass das identifizierte Datenmaterial in diese Kategorie fällt.3 Neben den qualifizierten steuerrelevanten Daten sind abhängig vom definierten Ziel und Zweck des Archivierungsprojektes gegebenenfalls weitere Daten zu selektieren. In der Regel werden zusätzlich zu den steuerrelevanten Daten andere Daten aus anderen Beweggründen als aufbewahrungswürdig eingestuft und ebenfalls für die Migration vorgesehen. Hier empfiehlt es sich, eine Trennung der Daten in "zwingend steuerrelevant", "optional steuerrelevant" und "nicht steuerrelevant" durch die Wahl geeigneter Metadaten zu ermöglichen, um dem Prüfer einen sukzessiven Zugriff auf die Daten gewähren zu können.4 Praktische Hinweise zur Identifizierung und Trennung der Daten werden im Abschnitt 3.3.7.1 gegeben. Schon bei der Selektion der Daten sollten datenschutzrechtliche Bestimmungen einbezogen werden, um diese beim Archivierungsverfahren und den Datenzugriffsberechtigungen berücksichtigen zu können. So sind beispielsweise bei Personalmanagement- oder E-MailSystemen personenbezogene Datenschutzpflichten zu beachten und bei E-Mail-, Auftragsabwicklungs- oder CRM-Systemen sollten kundenbezogene Datenschutzpflichten, die sich z. B. aus den AGBs ergeben, Berücksichtigung finden.5 Nach der Qualifizierung relevanter Daten und Unterlagen erfolgt die Ermittlung der jeweiligen Speicherorte und verwendeten Formate. Die beschriebenen Schritte führen aufgrund der Individualität der Ausgestaltung von IT-Landschaften zu unternehmensspezifischen Ergebnissen.6 Bei der Identifizierung der relevanten Stammdaten ist sicherzustellen, dass eine entsprechende Historienverwaltung lückenlos vorliegt, da alle Änderungen zu protokollieren sind.7
1
Vgl. Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S. 1214. Hilfestellung gibt hierbei die Tabelle 13 sowie die Ausführungen in den Abschnitten 3.3.4.2 und 3.3.7.1. Zur funktions- und prozessorientierten Herangehensweise siehe Abschnitt 5.2.2.2. 3 Siehe hierzu die Erläuterungen im Abschnitt 3.3.4.3. 4 Ebenso sollten die Daten nach Geschäftjahren und Prüfungsanlässen selekiert werden können. Vgl. Kornprobst, F.; v. Ehrenstein, C.; Frosch-Wilke, D. (2003), S. 61. 5 Der Schutz von Daten nach BDSG oder AGB kann durchaus konfliktionär zu dem Informationsbedürfnis der Finanzbehörde sein. 6 Vgl. Groß, S.; Kampffmeyer, U.; Eller, P. (2005), S. 1219. 7 Vgl. Schult, B.; Vedder, R. (2005), S. 286. 2
277
II. Extraktion: Auslesen der Daten Die aufbewahrungspflichtigen Datenbestände sind inklusive der zugehörigen Stammdaten und Strukturinformationen, wie sie bei der Qualifizierung bestimmt wurden, aus dem betreffenden Hauptsystem sowie den jeweiligen Vor- und Nebensystemen auszulesen. Die Daten werden üblicherweise in einer zur Anwendung gehörenden Datenbank gespeichert. Die relevanten Daten sind mittels einer Exportfunktion aus der Datenbank zu extrahieren und in archivierbare Datenobjekte zu transformieren.1 Dabei werden die Daten gemeinsam mit den Strukturinformationen über das Format und die Attribute der Daten als Datei exportiert. Zu diesen Strukturinformationen zählen auch die Regeln der im bisherigen Produktivsystem vorhandenen Auswertungsmöglichkeiten. Wie bereits erläutert, ist unter Umständen die Überführung in ein neutrales Datenformat ratsam. Dabei erweist es sich als sinnvoll, für die Datenaufbereitung den vom Finanzministerium empfohlenen Beschreibungsstandard zu verwenden.2 Im Allgemeinen unterstützen die betreffenden Anwendungssysteme einen solchen Datenexport. Technisch besteht jedoch auch die Möglichkeit, ohne Verwendung der Anwendungssoftware die zu archivierenden Datenbestände durch einen direkten Zugriff auf die Datenbank gezielt auszulesen.3 III. Validierung: Überprüfung der extrahierten Daten Die Vollständigkeit, Richtigkeit und Auswertbarkeit der Daten sollte durch einen ersten Migrationstest vor der Übertragung an das zukünftigen Produktiv- bzw. Archivsystem untersucht werden. Die Auswertbarkeit lässt sich am Einfachsten mittels eines separaten, übergeordneten Auswertungsprogramms testen. Ebenso sollte überprüft werden, dass die Daten durch das Extraktionsverfahren nicht verändert wurden. Diese Überprüfung der extrahierten Daten empfiehlt sich insbesondere, wenn das Archivsystem nicht über ein eigenes Auswertungsprogramm verfügt. Erweisen sich die ausgelesenen Datenbestände als unvollständig oder nicht auswertbar, sind entsprechende Anpassungen an der Datenauswahl bzw. am Extraktionsvorgehen vorzunehmen. IV. Übergabe, Indizierung und Speicherung Anschließend sind die extrahierten Daten inklusive der dazugehörigen Strukturinformationen in das zukünftige Produktiv- bzw. Archivsystem zu importieren. Dort sind die Informationen zusammenhängend zu indizieren, um eine periodengerechte Verknüpfung von Stammdaten und Bewegungsdaten zu gewährleisten. Das Archivsystem sollte mittels der Verwaltungssoftware und der verwendeten Speichermedien für die eindeutige Indizierung und die vollständige und unveränderbare Speicherung der Daten sorgen. Ferner ist die Protokollierung
1
Vgl. Hoppen, P. (2008), S. 676. Siehe BMF (2002) Informationen zum "Beschreibungsstandard für die Datenträgerüberlassung". 3 Vgl. Hoppen, P. (2008), S. 676. 2
278
von Import, Indizierung und Speicherung der Daten durch das empfangende System zu empfehlen, um den Migrations- bzw. Archivierungsvorgang sowie die veränderungs- und verlustfreie Speicherung zu dokumentieren. Die Protokolldatei sollte ebenfalls gespeichert werden. V. Überprüfung der Datenqualität und Zugriffsmöglichkeiten Die Erfüllung aller relevanten funktionalen Anforderungen, die in Tabelle 14 zusammengefasst wurden, ist nur in einem zweiten Migrationstest ausführlich zu testen, um auf diese Weise die Zielerreichung des Archivierungsprojektes zu überprüfen. Des Weiteren ist zu empfehlen, vor einer tatsächlichen Abschaltung der Systeme eine Betriebsprüfung zu simulieren. Nach der Speicherung ist beispielsweise sicherzustellen, dass dem Prüfer alle drei Zugriffsarten gewährt und die als steuerrelevant identifizierten Daten in auswertbarer Form zur Verfügung gestellt werden können. Wurden auch "nicht maschinell auswertbare" Unterlagen archiviert, wie eingescannte Dokumente, digital eingegangene Faxmitteilungen, EMails oder selbst erzeugte digitale Textdateien, ist zu überprüfen, ob über die Indexdatenbank und die definierten Metadaten die zu einem Datensatz gehörenden Dokumente gefunden und lesbar gemacht werden können. VI. Erstellen der GDPdU-Verfahrensdokumentation Der gesetzeskonforme Prozess von der Entstehung, dem Wiederfinden, der Bereitstellung bis zur Entsorgung der Daten und Dokumente ist nach den GoBS in einer Verfahrensdokumentation zu beschreiben. Die durch § 147 Abs. 1 Nr. 1 AO, die GoBS und die GDPdU vorgeschriebene Verfahrensdokumentation fördert den Prozessgedanken und die prozessorientierte Sicht im Unternehmen.1
1
Vgl. Philipp, M. (1998), S. 312 ff. 279
Die Dokumentation des Archivierungsvorgehens sollte die folgenden Inhalte haben:1 Datenidentifizierungskonzept:
Darstellung der Qualifizierung und Identifizierung steuerlich relevanter Daten
Beschreibung der Aufbewahrungsinhalte
Metadatenkonzept:
Beschreibung der Metadaten; Begründung für die Auswahl; Erläuterungen zur Verwendung
Datenmigrationskonzept:
Beschreibung des Datentransfers
Arbeitsanweisung zur Transformation der Datenformate und Archivmedien; Erläuterungen zu Migrationsplänen
Datensicherheitskonzept (inklusive Berechtigungskonzept):
Organisatorische und technische Regelungen zur Sicherstellung der Vollständigkeit und Überwachung des Archivierungsvorgehens; Erläuterung maschineller und manueller Kontrollen der Datenübertragung
Beschreibung installierter Schutzmechanismen; Erläuterungen der Fehlermeldungen und Anweisungen zur Fehlerbehandlung; Beschreibung eines Notfallplans
Arbeitsanweisung zum Umgang mit Archivierungsmedien; Inventarisierung der Archivdatenträger, Protokollierung von Aussagen zur Lebensdauer der verwendeten Archivierungsmedien, gegebenenfalls weitere Details zur Lagerung der Archivmedien
Arbeitsanweisung zur Entsorgung von Archivdaten
Beschreibung der Vergabe von Zugriffs- und Zugangsrechten; Erläuterungen zur Umsetzung des späteren Z1-, Z2- und Z3-Datenzugriffs auf Archivdaten; Darstellung der Schutzmechanismen bezüglich personenbezogener Daten
Allgemeine Angaben zum Archivierungskonzept:
Eine genaue Auflistung der abgeschalteten Anwendungssysteme; nicht steuerrelevante Anwendungssysteme, die ohne Datenarchivierung abgeschaltet wurden, werden mit einer entsprechenden Begründung ebenfalls aufgeführt
Darstellung, durch welche organisatorischen und technischen Maßnahmen die einzelnen funktionalen Anforderungen erfüllt werden; Beschreibung der Vorgehensweise für Wiederauffinden, Wiederherstellung, Verfügbarmachung, Lesbarmachung und Auswertung des Datenbestandes
Erläuterungen zur verwendeten sachlogischen, programmtechnischen Historienverwaltung
Dokumentation der Schnittstellen zu anderen Systemen
Beschreibung des organisatorischen Vorgehens einer digitalen Betriebsprüfung mit Angabe der verantwortlichen Ansprechpartner der jeweiligen Bereiche
Einzelangaben zu den jeweiligen Archivierungsläufen:
Datum der einzelnen Archivierung Archivierungsumfang (Informationen zum Originalformat, Verzeichnis der archivierten Daten) Herkunft der Daten (Anwendungssystem / Datenträger, auf dem die Daten gespeichert waren) die für die Archivierung verwendete Hard- und Software sowie die eingesetzten Archivdatenträger
Protokolle der Datenmigrationen inklusive Format- und Medienmigrationen Tabelle 21: Inhalt der Verfahrungsdokumentation zum Archivierungsvorgehen Quelle: eigene Darstellung
1
Vgl. Hoppen, P. (2008), S. 680; vgl. Brand, T. (2006), S. 6.
280
Auch die Verfahrensdokumentation ist aufbewahrungspflichtig und muss regelmäßig aktualisiert und an die unternehmensinternen Verfahrens- und Systemänderungen angepasst werden.1 Dokumentierte und qualitätsgesteuerte Prozesse minimieren die IT-Risiken, die auf die Datenintegrität einwirken.2 Die Verfahrensdokumentation dient dem Beleg der Ordnungsmäßigkeit des Archivierungsverfahrens, der Erläuterung des Archivierungskonzeptes sowie der ausführlichen Dokumentation und Protokollierung des Archivierungsvorgehens. Die aufeinander folgenden Schritte der Datenmigration werden in dem folgenden Vorgehenskonzept der Phase 3 noch einmal visualisiert:
Abbildung 30: Vorgehenskonzept zur GDPdU-konformen Systemabschaltung in Phase 3 – Integrationsumsetzung und –abschluss Quelle: eigene Darstellung
Falls nicht bereits geschehen, sollte nach Abschluss des Projektes ein IT-Compliance-Management eingerichtet werden, das dauerhaft die GDPdU-Konformität der IT-Landschaft überwacht. Dabei sind die personelle Zuordnung von Verantwortlichkeiten und die Installation personalunabhängiger IT-Complianceprozesse erforderlich. So ist beispielsweise die laufende Aktualisierung der Verfahrensdokumentationen bei Prozess- und Systemänderungen vorzusehen.
1 2
Vgl. Hoppen, P. (2008), S. 680. Vgl. Acker, O. et al. (2006), S. 24. 281
5.3
Zusammenfassung des Vorgehenskonzeptes
Nur wenige Verantwortliche sind sich darüber bewusst, welche gesetzlichen Vorschriften bei der Ablösung von Anwendungssystemen zu beachten sind und wie sich die Anforderungen umsetzen lassen.1 Um den Unternehmen für diese konkrete Problemstellung eine praktische Hilfestellung zu liefern, wurden in diesem Teil der Arbeit Lösungsansätze zur Umsetzung der Archivierungsanforderungen aufgezeigt und anschließend ein Vorgehenskonzept entwickelt, das ein schrittweises Vorgehen zur GDPdU-konformen Systemablösung beschreibt. Dabei wurden organisatorische und technische Umsetzungsmaßnahmen zur Erfüllung der funktionalen Anforderungen erläutert und in der Tabelle 20 zusammengefasst. Das Vorgehenskonzept baut auf den Erkenntnissen des dritten und vierten Teils auf und stellt klare Lösungsalternativen und konkrete Handlungsempfehlungen für eine GDPdU-konforme Systemablösung dar. Dabei bindet das beschriebene Verfahren die Entscheidungsfindung in den Integrationsprozess unter Berücksichtigung strategischer, organisatorischer und technischer Gesichtspunkte ein.
1
Vgl. o.V. (2008c), S. 1 f.
282
Teil 6: Zusammenfassung und Implikationen In diesem Teil der Arbeit werden die Ergebnisse zusammengefasst, Implikationen des Forschungsvorhabens für Wissenschaft und Praxis herausgearbeitet und ein gestaltungsorientierter Ausblick gegeben.
6.1
Zusammenfassung der Ergebnisse
Die vorliegende Arbeit ist der betriebswirtschaftlichen Forschung mit dem Schwerpunkt der Informationstechnologie zuzuordnen. Ziel des Forschungsvorhabens war es, ein umfassendes Modell zur IT-Integration zu entwickeln, das insbesondere IT-Compliance-Anforderungen berücksichtigt. Dabei sollten die bekannten Methoden und Verfahrensweisen des Integrationsmanagements um einen ganzheitlichen Ansatz erweitert werden, der den Aufbau und Ablauf einer IT-Integration beschreibt und ein Vorgehenskonzept zur gesetzeskonformen Systemablösung aufzeigt. Die Innovationsleistungen dieser Arbeit begründen sich insbesondere in der wissenschaftlichen Auseinandersetzung mit den rechtlichen Aspekten, die im Rahmen von ITIntegrationen von Relevanz sind. Dabei wird ein zentraler Aspekt – die Einhaltung von Aufbewahrungspflichten bei geplanten Systemabschaltungen – besonders hervorgehoben. Es wurden dreizehn zweckmäßige Parameter zur Bewertung der IT-Landschaften und zur Abschätzung des Integrationsaufwandes erarbeitet sowie über zwanzig funktionale Anforderungen an die elektronische Archivierung aus den relevanten gesetzlichen Regelungen abgeleitet. Dies ermöglichte die erstmalige Entwicklung eines Modells, das eine praktikable, gesetzeskonforme Vorgehensweise und alternative Lösungswege aufzeigt. Dieser Abschnitt dient dazu, noch einmal die gewonnenen Erkenntnisse und erarbeiteten Ergebnisse zusammenzufassen. Einleitend wurden die Motivation der Arbeit beschrieben und sechs forschungsleitende Fragen entwickelt. Zur Annäherung an das Thema wurde zunächst eine begriffliche Grundlegung vorgenommen, um auf ein problemadäquates terminologisches Instrumentarium zurückgreifen zu können. Ausgehend von der Annahme, dass es das einzig richtige Integrationsvorgehen nicht geben kann, sondern die Handlungsempfehlungen für die Managementpraxis eine situative Relativierung erfordern, wurde ein theoretischer Bezugsrahmen geschaffen. Dabei wurden die wesentlichen Ausgangssituationen, die Anlass einer IT-Integration sind, beschrieben, die elementaren Zielsetzungen einer IT-Integration erläutert, und darauf aufbauend die relevanten Parameter einer IT-Integration herausgearbeitet. Die Bedeutung rechtlicher Vorschriften für den unternehmensinternen IT-Einsatz wurde im dritten Teil der Arbeit dargestellt. Dabei wurde aufgezeigt, welche gesetzlichen Regelungen bei der Ablösung von Anwendungssystemen zu beachten sind und welche Konsequenzen und
J. M. Guggenberger, Aufbau und Ablauf einer IT-Integration, DOI 10.1007/978-3-8349-8920-8_6, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2010
283
Problemstellungen sich daraus für die Aufbewahrung von elektronischen Daten und Unterlagen ergeben. Zwei Aspekte, die in der Unternehmenspraxis zu besonderen Schwierigkeiten führen – die Identifizierung steuerrelevanter Daten und die Aufbewahrung von E-Mails – wurden genauer untersucht und konkrete Lösungsmöglichkeiten aufgezeigt. Neben den gesetzlichen Aufbewahrungspflichten wurden anschließend auch wirtschaftliche Beweggründe berücksichtigt, um auf die funktionalen Anforderungen an eine Archivierungslösung zu schließen. Die gewonnenen Erkenntnisse wurden genutzt, um im vierten Teil ein Phasenmodell zu entwickeln. Dabei konnten für den Modellentwurf die relevanten Aspekte der IT-Integration sowie die Strukturierung der Teilaktivitäten, Rahmenbedingungen und Restriktionen des ausgearbeiteten theoretischen Bezugsrahmens genutzt werden. Das Phasenmodell gliedert den Integrationsprozess in drei Hauptphasen, die wiederum in einzelne Prozessschritte unterteilt sind. Dabei wurden die Aufgaben des IT-Integrationsmanagements strukturiert, ein Fokus auf die Einhaltung gesetzlicher Vorgaben gelegt und eine ganzheitliche Betrachtungsweise durch die Berücksichtigung der vier Gestaltungsebenen der IT-Integration geschaffen. Ergänzend wurde im fünften Teil ein Konzept entworfen, das ein systematisches Vorgehen für eine GDPdU-konforme Ablösung der Anwendungssysteme beschreibt. Damit wurde ein wesentlicher IT-Compliance-Aspekt, der bei IT-Integrationsprozessen von großer Bedeutung ist, herausgegriffen. Basierend auf den erarbeiteten funktionalen Anforderungen wurden organisatorische und technische Lösungsansätze abgeleitet und entsprechende Umsetzungsmöglichkeiten diskutiert. Im Ergebnis wurden damit die relevanten rechtlichen und innerbetrieblichen Aspekte zusammengetragen, bezüglich ihrer Anforderungen an die Umsetzung einer elektronischen Archivierungslösung untersucht und realistische Lösungswege aufgezeigt. Die Ergebnisse der Arbeit bieten der Managementpraxis zahlreiche Orientierungshilfen und Hinweise zur besseren Bewältigung der Aufgabenstellungen im Rahmen von IT-Integrationen. Durch diverse Checklisten und konkrete Handlungsempfehlungen werden klare und praxisorientierte Hilfestellungen zur Berücksichtigung relevanter IT-Compliance-Aspekte geliefert. Das entwickelte Vorgehenskonzept trägt zu einem besseren Verständnis der Handlungsalternativen und -konsequenzen bei der Aufgabenstellung einer GDPdU-konformen Systemabschaltung bei.
6.2
Implikationen für Wissenschaft und Praxis
Im letzten Abschnitt dieser Arbeit sollen die theoretische und praktische Relevanz des Forschungsgebietes sowie der weitere Forschungsbedarf, der sich aus dem Forschungsvorhaben ergibt, aufgezeigt werden.
284
Gesetzliche Anforderungen an eine IT-Integration blieben bislang in der wissenschaftlichen Literatur nahezu unberücksichtigt. Die Zahl gesetzlicher Regelungen, die sich direkt oder indirekt auf den Einsatz der IT in Unternehmen beziehen, nimmt stetig zu. Die Einführung der elektronischen Betriebsprüfung durch die Änderung der Abgabenordnung und die Formulierung der GDPdU ist ein Beleg dafür, dass auch rechtliche Vorschriften die Gestaltung unternehmensinterner IT-Strukturen zunehmend bestimmen werden. Der Einfluss gesetzlicher Anforderungen auf die Ausgestaltung von IT-Landschaften und IT-Organisationen in Veränderungsprozessen wurde bisher dennoch stark vernachlässigt. Diese Arbeit leistet einen Beitrag zur Schließung der Lücke zwischen praktischer Relevanz und wissenschaftlichem Kenntnisstand zur gesetzeskonformen IT-Integration. Sie ergänzt die wissenschaftliche Literatur um eine theoretisch fundierte, anwendungsorientierte Auseinandersetzung mit der grundlegenden Neugestaltung der IT in Veränderungsprozessen bei einer konsequenten Berücksichtigung gesetzlicher Anforderungen. Ein wesentliches Synergie- und Einsparungspotenzial bei IT-Integrationen bietet die Zusammenführung und Abschaltung von Anwendungssystemen. Viele Unternehmen suchen im Rahmen von IT-Integrationen überstürzt und unstrukturiert nach möglichen Lösungen für eine schnelle GDPdU-konforme Ablösung einzelner Anwendungen. Wird dieser Aspekt von Anfang an innerhalb eines übergreifenden IT-Compliance-Ansatzes in die Integrationsplanung mit einbezogen, kann die Abschaltung der Anwendungen wie geplant stattfinden und die angestrebten Synergieeffekte lassen sich zeitnah realisieren. Bisher ist eine systematische und langfristig geplante Vorgehensweise für eine gesetzeskonforme Abschaltung in der Praxis jedoch selten anzutreffen, da die gesetzlichen Aufbewahrungspflichten den IT-Verantwortlichen in der Regel nicht bekannt sind und diese somit nicht rechtzeitig berücksichtigt werden. Hinzukommt, dass aufgrund der Fülle gesetzlicher Regelungen, die die Aufbewahrung elektronischer Dokumente betreffen, kaum Transparenz über die relevanten Anforderungen besteht. Aus diesem Grund wurde ein Phasenmodell entwickelt, das IT-Compliance-Aspekte einer IT-Integration vom Beginn an mit einbezieht. Die drei Phasen der IT-Integration wurden in einzelne, aufeinander folgende Prozessschritte gegliedert. Die dargestellten Prozessschritte beinhalten die Beschreibung von Schlüsselaktivitäten, zu berücksichtigenden Umfeldbedingungen sowie gestaltbaren Parametern, weisen auf Abhängigkeiten hin und listen die relevanten Ergebnisse auf. Die Beschreibung der einzelnen Prozessschritte wurde zusätzlich erweitert um praxisorientierte Empfehlungen. Und abschließend wurde das Phasenmodell um ein konkret anwendbares Vorgehenskonzept zur GDPdU-konformen Systemabschaltung ergänzt. Aus dem entwickelten Phasenmodell sowie dem Vorgehenskonzept ergeben sich vielfältige Ansatzpunkte für empirische Untersuchungen. Die entwickelten Lösungsansätze sollten beispielsweise durch die Fallstudienforschung exploriert und verfeinert werden. Zudem
285
sollten weitere IT-Compliance-Aspekte wie z. B. die Anforderungen des Sarbanes-OxleyActs im Rahmen von IT-Integrationen oder die Zusammenführung internationaler und regionaler Datenschutzbestimmungen zu einem einheitlichen Standard genauer theoretisch erforscht werden.
286
Literaturverzeichnis Abele, E.; Elzenheimer, J.; Bundschuh, M. (2004): Post-Merger-Integration. Ein kritischer Erfolgsfaktor bei Unternehmenszusammenschlüssen, in ZWF, 99. (2004) 5, S. 239-242. Accenture (2002): Keys to the Kingdom: How an Integrated IT Capability Can Increase Your Odds of M&A Success, Results of an Exclusive Accenture Research Initiative, 2002. Accenture (2004): Harmonizing ERP Architecture to create new value, Finance & Performance Management (F&PM) Service Line, 2004. Achleitner, A.-K.; Wirtz, B. W.; Wecker, R. M. (2004): M&A-Managements, in WISU, 33. (2004) 4, S. 476-486. Achleitner, A.-K.; Wecker, R. M.; Wirtz, B. W. (2004): Akteure und Phasen des M&AManagements (II), in WISU, 33. (2004) 12, S. 1504-1509. Acken, J. van et al. (2002): Aufbewahrungspflichten und –fristen nach Handels- und Steuerrecht. Schriftgut – Mikrofilm – Optischen Archivierung – EDI – EDV-Dokumentation, 8. Auflage, Berlin, 2002. Acker, O. et al. (2006): Einleitung, in Rüter, A.; Schröder, J.; Göldner, A. (Hrsg.), IT-Governance in der Praxis. Erfolgreiche Positionierung der IT im Unternehmen. Anleitung zur erfolgreichen Umsetzung regulatorischer und wettbewerbsbedingter Anforderungen, Heidelberg, u. a., 2006, S. 1-6. Acker, O. et al. (2006): Corporate Governance, in Rüter, A.; Schröder, J.; Göldner, A. (Hrsg.), IT-Governance in der Praxis. Erfolgreiche Positionierung der IT im Unternehmen. Anleitung zur erfolgreichen Umsetzung regulatorischer und wettbewerbsbedingter Anforderungen, Heidelberg, u. a., 2006, S. 7-11. Acker, O. et al. (2006): Die veränderte Rolle der IT im Unternehmen, in Rüter, A.; Schröder, J.; Göldner, A. (Hrsg.) IT-Governance in der Praxis. Erfolgreiche Positionierung der IT im Unternehmen. Anleitung zur erfolgreichen Umsetzung regulatorischer und wettbewerbsbedingter Anforderungen, Heidelberg, u. a., 2006, S. 13-26. Adams, H. W. (2007): Bürde aus Papier. Beweislastumkehr bei der Produkthaftung, in Qualität und Zuverlässigkeit 52. (2007) 5, S. 38-39.
J. M. Guggenberger, Aufbau und Ablauf einer IT-Integration, DOI 10.1007/978-3-8349-8920-8, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2010
287
Adidas (2006): Erste Erfahrungen mit der digitalen Betriebsprüfung – Verhältnismäßigkeitsaspekte beim Zugriff auf Individualanwendungen, Unterlagen der Fachkonferenz zur digitalen Betriebsprüfung, 12.11.2006. Aier, S.; Schönherr, M. (2005): EAI in der Praxis. Eine empirische Studie, in Industrie Management, 21. (2005) 4, S. 60-62. Albrecht, S. (1994): Erfolgreiche Zusammenschlußstrategie. Eine empirische Untersuchung deutscher Unternehmen, zugl. Diss. Universität Göttingen, Wiesbaden, 1994. Alpar, P.; Grob, H.L.; Weimann, P.; Winter, R. (2005): Anwendungsorientierte Wirtschaftsinformatik, Wiesbaden, 2005. Allwermann, R. (1993): Synergiepotenziale in der Informatik, in Diebold Management Report, 13. (1993) 5, S. 3-6. Andresen, K.; Gronau, N. (2005): Die Gestaltung von Unternehmensarchitekturen – Wie viel Flexibilität ist notwendig? in ERP Management, 1. (2005) 1, S. 30-32. Anduleit, M. (2008): Datenarchivierung – ganz nach Vorschrift, in Computerwoche, 34. (2007) 5, S. 28-29. Ansoff, H. I. (1966): Management-Strategie, München, 1966. Ansoff, H. I. (1987): Corporate Strategy, London u. a., 1987. Arthur D. Little (2002): Wie können Unternehmen IT-Kosten in den Griff bekommen? Presseinformation vom 29.06.2002, S. 1-3. Auer. G. (2007): Ein Trend wird zur Pflicht: Konsolidierung und Virtualisierung, in Computerwoche, 17.05.2007, Internet: http://www.computerwoche.de/5930005; Abruf: 13.11.2007, 21:14. Azarmi, T.; Häcker, C. (2004): Mergers & Acquisitions, in WISU, 33. (2004) 7, S. 887. Bamberger, B. (1994): Der Erfolg von Unternehmensakquisitionen in Deutschland. Eine theoretische und empirische Untersuchung, zugl. Diss. Universität Bamberg, Bergisch Gladbach u. a., 1994.
288
Baumol, W. J.; Panzar, J. C.; Willig, R. D. (1982): Contestable Markets and The Theory of Industry Structure, New York u. a., 1982. Baumöl, U. (2003): Ansätze zur Anpassung des betrieblichen Rechnungswesens bei Unternehmensbeteiligungen, in Wurl, H.-J. (Hrsg.), Industrielles Beteiligungscontrolling, Stuttgart, 2003, S. 241-260. Baur, A. (2004): IT-Restrukturierung als Hebel für die nachhaltige Sanierung von mittelständischen Unternehmen, in HMD, 41. (2004) 240, S. 23-31. Baur, H.; Kuhnert, M. (2003): Ansätze zur Anpassung des betrieblichen Rechnungswesens bei Unternehmensbeteiligungen in Wurl, H.-J. (Hrsg.), Industrielles Beteiligungscontrolling, Stuttgart, 2003, S. 395-425. Becker, J.; Winkelmann, A. Vering, O. (2008): ERP ist "das" Thema, in Lebensmittelzeitung, 61. (2008) 8, S. 67. Becker, J.; Wiese, J. (2000): Informationsmanagement, in Corsten, H.; Reiß, M. (Hrsg.), Übungsbuch zur Betriebswirtschaftslehre, 2000, S. 233-257. Becker, J.; Hoeren, T. (2007): IT-Sicherheit – rechtliche Vorgaben und Implikationen für die Systemgestaltung, in HMD, 44. (2007) 258, S. 98-108. BenDaniel, D. J.; Rosenbloom, A. H.; Hanks Jr., J. J. (2002): International M&A, Joint Ventures & Beyond. Doing the Deal, 2. Auflage, New York, 2002. Bender, K.; Ammann, C.; Meitner, H. (2000): Beherrschung von IT-Kosten in Post-Merger-Situationen, in Information Management & Consulting, 15. (2000) 3, S. 24-28. Bentley, R. (2002): IT key to integration success, in Computer Weekly, 31.1.2002, S. 32. Berensmann, D.; Spang, S. (1998): IT-Integration nach Unternehmenszusammenschlüssen – eine Herausforderung auch an das Topmanagement, in Information Management & Consulting, 13. (1998) 4, S. 35-42. Berndt, R.; Altobelli, C. F.; Sander, M. (2005): Internationales Marketing-Management, 3. Auflage, Berlin u. a., 2005.
289
Bernhard, M.G.; Blomer, R. (2003): Entwicklung einer IT-Strategie, in Blomer, R.; Bernhard, M.G.; Bonn, J. (Hrsg.) Strategisches IT-Management, Band 2, Fallbeispiele und praktische Umsetzung, Düsseldorf, 2003, S. 19-47. Biethahn, J.; Mucksch, H.; Ruf, W. (2004): Ganzheitliches Informationsmanagement Band 1: Grundlagen, 6. Auflage, München, 2004. Bisani, F. (1990): Synergiemanagement: Ein Begriff macht Karriere, in Gablers Magazin, 4. (1990) 3, S. 10-16. Blomer, R.; Bernhard, M.G. (2003): Einführung – IT-Management als strategische Aufgabe, in Blomer, R.; Bernhard, M.G.; Bonn, J. (Hrsg.) Strategisches IT-Management, Band 2, Fallbeispiele und praktische Umsetzung, Düsseldorf, 2003, S. 13-15. BMF (2002): Information zum „Beschreibungsstandard für die Datenträgerüberlassung, 15.8.2002; Referat IV D 2. BMF (2008): Fragen- und Antworten zum Datenzugriffsrecht der Finanzverwaltung, 23.1.2008; Referat IV A 7. Bodendorf, F.; Durst, M. (2006): Umsetzung von IT-Strategien bei IT-Projekten, in WISU, 35. (2006) 11, S. 1415-1423. Böhm; M., et al. (2007): Grundlagen, in Fröhlich, M.; Glasner, K. (Hrsg.) IT-Governance. Leitfaden für eine praktische Implementierung, Wiesbaden, 2008, S. 23-60. Böhm; M. (2008): IT-Compliance als Triebkraft von Leistungssteigerung und Wertbeitrag der IT, in HMD, 45. (2008) 263, S. 15-29. Boehm, D. C. (1985): An acquiree´s viewpoint: Problems, concerns, coping with changes, in Johnson, C. H. (Hrsg.), Integrating Acquired Companies, New York, S. 97-117. Borghoff, U. M.; Rödig, P.; Scheffczyk, J.; Schmitz, L. (2003): Langzeitarchivierung, Heidelberg, 2003. Boringer, J.; Bühler, P.; Schlaich, P. (2008): Kompendium der Mediengestaltung. Produktion und Technik für Digital- und Printmedien, 4. Auflage, Berlin u. a. 2008. Brand, T. (2004): Aufbewahrungspflichten heute und morgen, in Computerwoche, 31. (2004) 47; S. 36-37.
290
Brand, T. (2005): Beim Archivieren die Gesetze beachten, in Computerwoche, 32. (2005) 39; S. 28. Brand, T. (2006): Checkliste GDPdU-Verfahrensdokumentation, Internet: http://www.elektronische-steuerpruefung.de/verfahrensdokumentation/brand_ checkliste.pdf, Abruf: 5.5.2009, 20:49. Brand, T. (2007): Was Betriebsprüfer vom DMS fordern, in Computerwoche, 34. (2007) 39; S. 16-17. Bredow, F. von; Kampffmeyer, U. (2001): GDPdU – Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen, in nfd. Information – Wissenschaft und Praxis, 52. (2001) 8, S. 459-462. Brüning, I.; Pedain, C.; Deasley, P. J. (2002): Managing Business Processes and Information Technology in Mergers: An Interdependency Focussed Approach to Merger Integration, in M&A Review, 12. (2002) 3, S. 137-144. Brun, R. (2008): Planen – Messen – Steuern: Kernprozesse von IT-Governance und ITControlling, in Information Management & Consulting, 23. (2008) 2, S. 60-68. Brunner, H.; Gasser, K.; Pörtig, F. (2003): Strategische Informationsplanung – Ein Erfahrungsbericht, in HMD, 40. (2003) 232, S.25-36. BSI (2008): IT-Grundschutz-Kataloge, im gshb/deutsch/index.htm Abruf: 7.2.2009, 21:33.
Internet
unter
http://www.bsi.bund.de/
Buchinger, G. (1974): Akquisitionsprogramme: Unternehmensentwicklung durch Zusammenschluss, in Der österreichische Betriebswirt, 24. (1974) 1, S. 1-13. Budzinski, O., Kerber, W. (2003), Megafusionen, Wettbewerb und Globalisierung, Stuttgart, 2003. Bühner, R. (1985): Strategie und Organisation. Analyse und Planung der Unternehmensdiversifikation mit Fallbeispielen, Wiesbaden, 1985. Bühner, R. (1989): Bestimmungsfaktoren und Wirkungen von Unternehmenszusammenschlüssen, in WiSt, 18. (1989) 4, S. 158-165.
291
Bouno, A. F.; Bowditch, J. L. (1989): The Human Side of Mergers and Acquisitions, San Francisco, 1989. Butters, I. (2005): IT-Standardisierung senkt Kosten im gesamten Unternehmen, CIO vom 25.07.2005, Internet: http://www.cio.de/strategien/811624/, Abruf: 5.11.2008, 13:05. Büttgenbach, M. (2000): Die erfolgreiche Integration nach Firmenübernahmen. Wie Fehler vermieden werden können, Marburg, 2000. Buxmann, P.; Miklitz, T. (2006): IT-Standardisierung und -Integration bei M&A-Projekten, in Wirtz, B. W. (Hrsg.), Handbuch Mergers & Acquisitions Management, Wiesbaden, 2006, S. 1063-1083. Buzzell, R. D. (1984): Bringt vertikale Integration Vorteile?, in Harvard Manager, 6. (1984) 1, S. 51-59. Chamoni, P.; Gluchowski, P. (2004): Integrationstrends bei Business Intelligence-Systemen. Empirische Untersuchung auf Basis des Business Intelligence Maturity Model, in Wirtschaftsinformatik, 46. (2004) 2, S. 119-128. Clever, H. (1993): Post-Merger-Management, Stuttgart u. a., 1993. Conrad, S.; Hasselbring, W.; Koschel, A.; Tritsch, R. (2006): Enterprise Application Integration. Grundlagen . Konzepte – Entwurfsmuster – Praxisbeispiele, München, 2006. Cooke, T. E. (1986): Mergers and Acquisitions, Oxford, 1986. Coy, W. (2006): Speicher-Medium, in Reisig, W.; Freytag, J.-C. (Hrsg.) Informatik. Aktuelle Themen im historischen Kontext, Berlin u. a., 2006, S. 79-104. Dabui, M. (1998): Postmerger-Management. Zielgerichtete Integration bei Akquisitionen und Fusionen, zugl. Diss. Universität München, Wiesbaden, 1998. Dahlke, K.; Volmering, T. (2003): Das Drehkreuz. Prozessintegration mit SAP NetWeaver, in SAP Info 10. (2003) 8, S. 56-59. Dauen, S. (2007): Aufbewahrungspflichten nach Handels- und Steuerrecht. Von Originaldokumenten bis zur elektronischen Archivierung – Vorschriften, Fristen, Nachweispflichten, Vernichtung, 3. Auflage, Freiburg u. a., 2007.
292
Davenport, T. H.; Short, J. E. (1990): The New Industrial Engineering: Information Technology and Business Process Redesign, in Sloan Management Review, 31. (1990) 4, S. 11-27. Deloitte (2000): Solving the Merger Mystery. Maximizing the Payoff of Mergers and Acquisitions, Deloitte Reseach, 2000. Deloitte (2008): M&A: Erfolgsfaktor IT; Pressemitteilung zur Deloitte-Studie vom 31.7.2008, Internet: http://www.presseportal.de/meldung/1238188/, Abruf: 4.8.2008, 23:14. DePamphilis, D. M. (2005): Mergers, Acquisitions and other Restructuring Activities. An Integrated Approach to Process, Tools, Cases, and Solutions, 3. Auflage, Amsterdam u. a., 2005. Dern, G. (2003): Management von IT-Architekturen, Wiesbaden, 2003. Devine, M. (2002): Successful Mergers, London, 2002. Donner, A. (2007): Aus Informationstechnologie (IT) wird Business Technology (BT) – Forrester IT Forum EMEA 2007; Internet: http://www.searchnetworking.
de/index.cfm?pid=3761&pk=69094; Abruf: 24.01.2008, 22:53. Drinkewitz-Latschenberger, M. (2003): Qualitätsmanagement – ein weites Feld. Teil 8: Dokumentationsanforderungen im Qualitätsmanagement, in MTA A Dialog, 4. (2003) 6. S. 526-527. Durst, M. (2007): Wertorientiertes Management von IT-Architekturen, zugl. Diss. Universität Erlangen-Nürnberg, Wiesbaden, 2007. Duthoit, C.; Dreischmeier, R.; Kennedy, S. (2004): Clusters and Nuggets: Mastering Postmerger IT Integration in Banking, The Boston Consulting Group, 2004. Eckhardt, J. (2008): Archivierung von E-Mails in Datenschutz und Datensicherheit, 32. (2008) 2, S. 103-109. Engelbrecht, M; Wegelin, M. (2005): EAI-Programmierung mit mySAP. Schnittstellenentwicklung mit ABAP, C, Java und C#, München, 2005. Ensthaler, J.; Strübber, K.; Bock, L. (2007): Zertifizierung und Akkreditierung technischer Produkte. Ein Handlungsleitfaden für Unternehmen, Berlin u. a., 2007.
293
Eppler, M. J. (2003): Das Management der Informationsqualität – Ein Ansatz zur Steigerung des Informationswertes in wissensintensiven Produkten und Prozessen, in Österle, H.; Winter, R. (Hrsg.), Business Engineering, Berlin, u. a., 2003, S. 203-222. Ernst & Young (2006): Handeln wider besseres Wissen. Warum viele Transaktionen scheitern, ohne es zu müssen, Studie, Internet: http://www.ey.com/Publication/vwLUAssets/ Studie_HandelnwiderWissen/$FILE/Handeln_2006_k.pdf, Abruf: 27.8.2009, 0:04. Everling, W. (1963): Der Verbundeffekt und seine Erfassung, in Betriebswirtschaftliche Forschung und Praxis, 15. (1963) 4, S. 203-214. Faltin, T. (2002): Wandel erfolgreich gestalten, in Detecon Management Report, 1. (2002) 8, S. 12-15. Feldman, M. L.; Spratt; M. F. (2000): Speedmanagement für Fusionen, Wiesbaden, 2000. Ferstl, O. K.; Sinz, E. J. (1994): Grundlagen der Wirtschaftsinformatik, 2. Auflage, München, 1994. Fischer, G.; Sommer, C. (2001): Schluckbeschwerden, in Brand eins, 3. (2001) 9, S. 78-81. Forscht, P. (2006): Unternehmensportale zur Integration verschiedener Anwendungen, in ERP Management, 2 (2006) 3, S. 46-49. Frank, G. M.; Stein, I. (1993): Management von Unternehmensakquisitionen, Stuttgart, 1993. Frentz, C. von (2007): M&A-Deals: Die Gejagten werden zu Jägern, Internet: http://www. vermoegenszeitung.de/2007/08/27/manda-deals-die/, Abruf: 21.07.2009, 21:57. Fröhlich, M.; Glasner, K. (2007): Einleitung, in Fröhlich, M.; Glasner, K. (Hrsg.) IT-Governance. Leitfaden für eine praktische Implementierung, Wiesbaden, 2008, S. 17-22. Frost, M. (2007): Das elektronische Archiv ist nur ein Teil einer GDPdU-Lösung, Internet: http://www.computerwoche.de/topics/compliance/592721/, Abruf: 31.08. 2009, 23:30. Gabriel, R.; Beier, D. (2003): Informationsmanagement in Organisationen, Stuttgart, 2003. Garimella, K. (2001): Integration Challenges in Mergers and Acquisitions, in EAI Journal, 2. (2001) 8, S. 36-39.
294
Gartner (2006): The Gartner Scenario 2006: The Current State and Future Direction of IT, 2006. Gartner (2007): Mastering IT Portfolio Management, 2007. Gaughan, P. A. (2002): Mergers, Acquisitions, and Corporate Restructurings, 3. Auflage, New York, 2002. Gerpott, T. J. (1993): Integrationsgestaltung und Erfolg von Unternehmensakquisitionen, Stuttgart, 1993. Gerpott, T. J. (2003): Organisatorische und personalbezogene Gestaltung der Integration von Unternehmensakquisitionen, in Wurl, H.-J. (Hrsg.), Industrielles Beteiligungscontrolling, Stuttgart, 2003, S. 461-480. Gerpott, T. J.; Schreiber, K. (1994): Integrationsgestaltungsgeschwindigkeit nach Unternehmensakquisitionen. Revolutionäre Veränderung oder evolutionäre Anpassung?, in DU, 48. (1994) 2, S. 99-116. Giera, J. (2005): The impact of M&A on IT, Best Practice, in Forrester Research, 31. März 2005. Glöckle, H. (2007): IT-Integration und Migration – Konzepte und Vorgehensweisen, in HMD, 44. (2007) 257, S. 7-19. Glöckner, J. (2006): Standardsoftware verringert Kosten, in Handelsblatt, Nr. 53, vom 15.03.2006, Beilage S. c07. Goeken, M. (2006): Entwicklung von Data-Warehouse-Systemen: Anforderungsmanagement, Modellierung, Implementierung, Wiesbaden, 2006. Gomez, P.; Weber, B. (1989a): Akquisitionsstrategie – Die Führung des Übernahmeprozesses, in Die Unternehmung, 43. (1989) 2, S. 66-77. Gomez, P.; Weber, B. (1989b): Akquisitionsstrategie: Wertsteigerung durch Übernahme von Unternehmen, Stuttgart, 1989 . Gomez, P. (1989): Wertsteigerung durch Akquisition, in Die Unternehmung, 43. (1989) 6, S. 441-452.
295
Gort, M. (1969): An economic disturbance theory of mergers, in Quarterly Journal of Economics, 83. (1969) 4, S. 624-642. Gottwald, M. (2008): Aufbruchstimmung auf dem Markt für ERP-Software, in IS Report, 12. (2008) 3, S. 18-23. Greipl, D. (2007): Compliance-Anforderungen an Integrations- und Migrationsprojekte, in HMD, 44. (2007) 257, S. 47-54. Grewe, A.-K. (2004): Integration akquirierter Unternehmen. Eine mitarbeiterzentrierte Analyse, zugl. Diss. Universität Göttingen, Frankfurt am Main, 2005. Grochla, E. (1995): Grundlagen der organisatorischen Gestaltung, Stuttgart, 1995. Grohmann, H. H. (2003): Prinzipien der IT-Governance, in HMD, 40. (2003) 232, S. 17-23. Groß, S. (2002): Umsetzungsprobleme in der Praxis, in SteuerConsultant, 7. (2002) 4, S. 3435. Groß, S.; Kampffmeyer, U.; Eller, P. (2005): Klärungsbedarf in der praktischen Umsetzung des Datenzugriffs, in DStR, 43. (2005) 29, S. 1214-1219. Groß, S.; Kampffmeyer, U.; Matheis, P. (2004): Die Vorbereitung auf die digitale Außenprüfung – ein Lösungsansatz, in Betriebs Berater, 59. (2004) 20, S. 1083- 1087. Groß, S.; Lamm, M. (2008): Sicherung des Vorsteuerabzugs bei digitalisierten Eingangsrechnungen, in UR – Umsatzsteuer-Rundschau, 57. (2008) 9, S. 331-334. Grüter, H. (1991): Unternehmensakquisitionen. Bausteine eines Integrationsmanagements in Unternehmensakquisitionen, zugl. Diss. Universität Zürich, Bern u.a., 1991. Gurbaxani, V.; Kemerer, C. F. (1990): An agency theory view of the management of enduser computering, in Proceedings of the 11th International Conference on Information Systems (ICIS), Kopenhagen, 1990, S. 279-289. Gutzmann, U. et al. (2007): Praktische Lösungsansätze zur Archivierung digitaler Unterlagen: "Langzeitarchivierung" und dauerhafte Sicherung der digitalen Überlieferung, Internet: http://www.wirtschaftsarchive.de/akea/handreichung.htm, Abruf am 21.01.2009, 14:13.
296
Habeck, M. M.; Kröger, F.; Träm, M. R. (2000): After the Merger. Seven strategies for successful post-merger integration, Harlow u. a., 2000. Hafner, M.; Winter, R. (2005): Vorgehensmodell für das Management der unternehmensweiten Applikationsarchitektur, in Ferstl, O. (Hrsg.), Wirtschaftsinformatik, Heidelberg, 2005, S. 627-646. Hagenkötter, A.; Mülot, D.-M. (2002): Die Digitale Betriebsprüfung. Neue Formen des Datenzugriffs der Finanzverwaltung ab dem 1. Januar 2002, Berlin, 2002. Handschuh, M.; Buchta, D. (2000): Schnelle und erfolgreiche Umsetzung der IT-Post-Merger-Integration, in Information Management & Consulting, 15. (2000) 3, S. 29-33. Hansen, H. R. (1996): Wirtschaftsinformatik 1. Grundlagen betrieblicher Informationsverarbeitung, 7. Auflage, Stuttgart, 1996. Hansmann, K.-W. (2006): Industrielles Management, 8. Auflage, München u. a., 2006. Hartmann, D.; Böhn, M. (2008): PDF/A – Der Standard zur Langzeitarchivierung in is report, 12. (2008) 1+2, S. 30-33. Hartmann, V. (2005): Digitale Betriebsprüfung -Datenzugriff der Finanzverwaltung- Neue Anforderungen, Rechte und Pflichten für Unternehmen, Hamburg, 2005. Haspeslagh, P. C.; Jemison, D. B. (1992): Akquisitionsmanagement. Wertschöpfung durch strategische Neuausrichtung des Unternehmens, Frankfurt am Main u. a., 1992. Hauschka, C. E. (2006): Von Compliance zu Best Practice, in Zeitschrift für Rechtspolitik, 39. (2006) 08, S. 258-261. Heilmann, H. (2007): Dauerbrenner Integration und Migration, in HMD, 44 (2007) 257, S 4-5. Heinen, E.; Dill, P. (1990): Unternehmenskultur aus betriebswirtschaftlicher Sicht, in Simon, H. (Hrsg.), Herausforderung Unternehmenskultur. Schriften für Führungskräfte, Band 17, Mainz, 1990, S. 12-24. Heinrich, L. J. (2002): Informationsmanagement. Planung, Überwachung und Steuerung der Informationsinfrastruktur, 7. Auflage, München u.a., 2002.
297
Hermsen, C. (1994): Mergers & Acquisitions: Integrationsmanagement von Akquisitionsobjekten – dargestellt anhand der Aufgabe des Personalmanagements, zugl. Diss. Hochschule St. Gallen, St. Gallen, 1994. Herold, J. T. (2003): Neuausrichtung der Informationsverarbeitung bei Unternehmensakquisitionen. Eine strategische Controllingkonzeption, zugl. Diss. Technische Universität Braunschweig, Aachen, 2003. Herz, S.; Koch, O.; Schellhase, J.; Winand, U. (2008): Strategiebasierte Bewertung von Anwendungslandschaften, in HMD, 45. (2008) 262, S. 70-77. Herzog, P. (2008): Business Process Management, in ERP Management, 4. (2008) 1, S. 61-62. Hildebrand, K. (2007): Glossar, in HMD, 44. (2007) 257 S. 117. Hinterhuber, A.; Hinterhuber, H. H. (2003): Die Analyse der strategischen Anforderungen an Unternehmensakquisitionen, in Wurl, H.-J. (Hrsg.), Industrielles Beteiligungscontrolling, Stuttgart, 2003, S. 15-34. Hofmann, E. (2004): Strategisches Synergie- und Dyssynergiemanagement, zugl. Diss. Technische Universität Darmstadt, Köln, 2004. Hofmann, K.; Reiners, W. (2007): Mr. Compliance, Leitfaden zur IT-Compliance im Mittelstand, Nr. 2, Digitale Archivierung, 17.12.2007. Höreth, U.; Schiegl, B. (2001): Zugriff der Finanzverwaltung auf die EDV-Systeme – Zweifelsfragen, in Betriebs Berater, 56. (2001) 49, S. 2509-2513. Hövelmanns, N.; Baumgart, W. (1999): Merger erfolgreich gestalten!, in Diebold Management Report, 19. (1999) 5/6, S. 12-15. Holzwart, G. (2000): IT und Mergermania: Für Demokratie ist hier kein Platz, in Computerwoche, 27. (2000) 4, S. 56. Homburg, C.; Bucerius, M.. (2004): Marktorientierte Post Merger Integration, in M&A Review, 14. (2004) 4, S. 153-161. Hoppen, P. (2008): Datenarchivierung, in Computer und Recht, 24. (2008) 10, S. 674-680.
298
Hoyningen-Huene, J. von (2004): Integration nach Unternehmensakquisitionen, zugl. Diss. Universität Duisburg-Essen, Wiesbaden, 2004. Hübner, H. (1996): Informationsmanagement und strategische Unternehmensführung: Vom Informationsmarkt zur Innovation, München u. a., 1996. IT Governance Institut (2003): IT Governance für Geschäftsführer und Vorstände, 2. Auflage, Internet: http://www.itgi.org/Template.cfm?Section=Home&CONTENTID=33261& TEMPLATE=/ContentManagement/ContentDisplay.cfm, Abruf: 5.1.2009, 09:13. Jacob, O. (2008) Vorwort, in Jacob, O. (Hrsg.) ERP Value. Signifikante Vorteile mit ERPSystemen, Berlin u. a., 2008, S. V-VII. Jansen, S. A.; Körner, K. (2000): Fusionsmanagement in Deutschland. Eine empirische Analyse von 103 Unternehmen mit deutscher Beteiligung zwischen 1994 und 1998 unter spezifischer Auswertung der Erfolgswirkungendes Typus der Fusion, der (Inter-) Nationalität, der Branche und der Unternehmensgröße, Witten/Herdecke, 2000. Jansen, S. A. (2000a): Post Merger Management in Deutschland – Ergebnisse einer empirischen Untersuchung (I), in M&A Review, 10. (2000) 9, S. 334-338. Jansen, S. A. (2000b): Post Merger Management in Deutschland– Einzelergebnisse einer empirischen Untersuchung (II), in M&A Review, 10. (2000) 10, S. 388-392. Jansen, S. A. (2001): Mergers & Acquisitions – Unternehmensakquisitionen und –kooperationen, 4. Auflage, Wiesbaden, 2001. Jansen, S. A. (2002a): Die 7 K’s des Merger-Managements, in zfo, 71. (2002) 1, S. 6-13. Jansen, S. A. (2002b): Post Merger Audit: Unternehmenstraining. Kontrolle von Unternehmenszusammenschlüssen, in M&A Review, 12. (2002) 5, S. 265-271. Jensen, M. C. (1986): Agency Costs of Free Cash Flow, Corporate Finance, and Takeovers, in American Economic Review, 76. (1986) 2, S. 323-329. Johannsen, W.; Goeken, M. (2006): IT-Governance – neue Aufgaben des IT-Management, in HMD, 43. (2006) 250, S. 7-20.
299
Johnston, K. D.; Yetton, P. W. (1996): Integrating information technology divisions in a bank merger. Fit, compatibility and models of change, in Journal of Strategic Information Systems, 5. (1996) 3, S. 189-211. Jung, W. (1993): Praxis des Unternehmenskaufs. Eine systematische Darstellung der Planung und Durchführung einer Akquisition, 2. Auflage, Stuttgart, 1993. Kabst, R. (2000): Steuerung und Kontrolle internationaler Joint Ventures, zugl. Diss. Universität Paderborn, Paderborn, 2000. Karrner, H; Eckert, R. (2005): Post Merger Integration wertorientiert betrachten – die Spielregeln verstehen, in M&A Review, 15. (2005) 8/9, S. 372-378. Kaib, M. (2001): Enterprise Application Integration (EAI). Gastvortrag im Rahmen der Vorlesung "Informations- und Kommunikationssystem-Architekturen", SS 2001, Philipps Universität Marburg, 8. Mai 2001. Kampffmeyer, U. (2003): GDPdU und elektronische Archivierung, Vortragsunterlagen zur Konferenz: Digitale Betriebsprüfung und elektronische Archivierung – GDPdU in der Praxis, vom 26. und 27. 11. 2003 in Darmstadt. Kampffmeyer, U. (2006): Dokumentenmanagement in der Verwaltung, in Wind, M.; Kröger, D. (Hrsg.), Handbuch IT in der Verwaltung, Berlin, u. a., 2006, S. 445-501. Kampffmeyer, U. (2007): Ansätze und Marksätze der elektronischen Archivierung, Internet: http://www.documanager.de/magazin/artikel_1286_elektronische_ archivierung.html, Abruf: 19.1.2009, 11:42. Kampffmeyer, U.; Rogalla, J. (1997): Code of Practice. Grundsätze der elektronischen Archivierung. VOI-Kompendium Band 3, Schriftenreihe des VOI e.V., Bonn, 2. Auflage, 1997. Kampmann, S.; Sulzbach; S. (2007): Effizienz durch Integration, in Die Bank, 37. (2007) 5; S. 62-67. Keller, M.-L. (2008): Datenschutz bei eMail-Archivierung, in IT-Business, 18. (2008) 23, S. 52. Kittl, C.; Zeidler, C. (2007): User Generated Content und Metadatenmanagement, in HMD, 44. (2007) 258, S. 57-67.
300
Klaus, H.; Rosemann, M.; Gable, G. G. (2000): What is ERP?, in Information Systems Frontiers, 2. (2000) 2, S. 141-162. Kley, M. D. (2000): Feindliche Übernahme – (K)ein Modell für Deutschland?, in Picot, A.; Nordmeyer, A.; Pribilla, P. (Hrsg.), Management von Akquisitionen. Akquisitionsplanung und Integrationsmanagement. Kongress-Dokumentation 53. Deutscher BetriebswirtschafterTag 1999, Stuttgart, 2000, S. 79-91. Klotz, M.; Dorn, D.-W. (2008): IT-Compliance – Begriff, Umfang und relevante Regelwerke, in HMD, 45. (2008) 263, S. 5-14. Knolmayer, G. F. (2007): Compliance-Nachweise bei Outsourcing von IT-Aufgaben, in Wirtschaftsinformatik, Sonderheft, 49. (2007) S, S. 98-106. Knolmayer, G. F. ; Disterer, G. W. (2007): Anforderungsgerechte Dokumentation der Email-Kommunikation: Rechtliche Vorschriften, technische Lösungen und betriebliche Regelungsbedarfe; Institut für Wirtschaftsinformatik der Universität Bern; Arbeitsbericht Nr. 192, Mai 2007. Koch, F. A. (2007): IT-Projektrecht. Vertragrechtliche Gestaltung und Steuerung von ITProjekten, Best Practice, Haftung der Geschäftsführung, Berlin, u. a., 2007. Kogeler, R. (1992): Synergiemanagement im Akquisitions- und Integrationsprozess von Unternehmen. Eine empirische Untersuchung anhand branchenübergreifender Fallstudien, zugl. Diss. Universität Basel, München, 1992. Köppen, J. (2004): Synergieermittlung im Vorfeld von Unternehmenszusammenschlüssen, zugl. Diss. Universität Bamberg, Wiesbaden, 2004. Komus, A.; Reiter, O. (2000): Risiken und Chancen bei der Zusammenführung von ITStrukturen, in Information Management & Consulting, 15. (2000) 3, S. 34-41. Kor, A. (2002): ERP-Systeme zur Verbesserung der Geschäftsprozesse, in WISU, 31. (2002) 12, S. 1521-1524. Kornprobst, F.; von Ehrenstein, C.; Frosch-Wilke, D. (2003): Die GDPdU und ihre Konsequenzen für die ASP-Dokumentenarchivierung, in HMD, 40. (2003) 233, S. 52-62. KPMG (1999): Mergers and Acquisitions: Global Research Report, 1999.
301
Krauß, H.-U. (1992): Fusionsmanagement aus Sicht des Organisators, in Bank und Markt, 21. (1992) 8, S. 27-33. Kratz, J. (2003): Vereinheitlichung des IuK-Systems bei der T-Systems International GmbH, in Controlling, 15. (2003) 11, S. 641-645. Kromer, G.; (2001): Integration der Informationsverarbeitung in Mergers & Acquisitions, Köln, 2001. Kromer, G.; Stucky, W. (2002): Die Integration von Informationsverarbeitungsressourcen im Rahmen von Mergers & Acquisitions, in Wirtschaftsinformatik, 44. (2002) 6, S. 523-533. Kupper, H. (1993): Zur Kunst der Projektsteuerung: Qualifikation und Aufgaben eines Projektleiters – aufgezeigt am Beispiel von DV-Projekten, München, u. a., 1993. Lazanowski, M.; Huther, H. (2003): Ansätze zur Integration der Planungs- und Kontrollsysteme bei industriellen Beteiligungen, in Wurl, H.-J. (Hrsg.), Industrielles Beteiligungscontrolling, Stuttgart, 2003, S. 365-392. Lassmann, W. (2006): Wirtschaftsinformatik. Nachschlagewerk für Studium und Praxis, Wiesbaden, 2006. Lauritzen, S. (2000): IT-Integration nach Mergers & Acquisitions, in Information Management & Consulting, 15. (2000) 3, S. 19-23. Lehmann, H. (1969): Integration, in Grochla, E. (Hrsg.), Handwörterbuch der Organisation, Stuttgart, 1969, Sp. 768-774. Lehmann, H. (1980): Integration, in Grochla, E. (Hrsg.), Handwörterbuch der Organisation, 2. Auflage, Stuttgart, 1980, Sp. 976-984. Lehmann, J.; Scheuse, T. (2000): Organisatorische Herausforderungen bei strate-gischen Allianzen und Fusionen, in Information Management & Consulting, 15. (2000) 3, S. 13-18. Lehner, U.; Schmidt, M. (2000): Akquisitionsmanagement: Integration von Rechnungswesen und Controlling, in Picot, A.; Nordmeyer, A.; Pribilla, P. (Hrsg.), Management von Akquisitionen. Akquisitionsplanung und Integrationsmanagement. Kongress-Dokumentation 53. Deutscher Betriebswirtschafter-Tag 1999, Stuttgart, 2000, S. 181-193.
302
Lindner, U.; Risch, R. (2004): Enterprise Resource Planning – 7 Spezialisten und ERP-Anbieter konkurrieren bei Lösungen zur Applikationskopplung, in Computerwoche, 31. (2004) 15, S. 36. Lensdorf, L.; Steger, U. (2006): IT-Compliance im Unternehmen, in Der IT-Rechts-Berater 6. (2006) 9, S. 206-210. Lensdorf, L. (2007): IT-Compliance – Maßnahmen zur Reduzierung von Haftungsrisiken von IT-Verantwortlichen, in Computer und Recht, 23. (2007) 7, S. 413-418. Lensdorf, L. (2008): E-Mail Archivierung: zwingend oder nur "nice to have"?, in Computer und Recht, 24. (2008) 5, S. 332-337. Lucks, K. (2002): M&A: Nur systematisches Vorgehen bringt Erfolg, in Kaden, W. (Hrsg.), Harvard Businessmanager, 24. (2002) 3, S. 44-50. Lui, B. (2003): Revisionssichere elektronische Archivierung, Internet: http://www.forumfuer-it.de/fachwissen/archivierung, Abruf 11.3.2009, 12:11. Matuschka, A. Graf (1990): Risiken von Unternehmensakquisitionen, in BFuP, 42. (1990) 2, S. 104-113. McKiernan, P.; Merali, Y. (1995): Integrating Information Systems After a Merger, in Long Range Planning, 28. (1995) 4, S. 54-62. Meier, A.; Spang, S. (2000): Merger Readiness als Erfolgsfaktor in der New Economy, in Information Management & Consulting, 15. (2000) 3, S. 7-11. Meitner, H. (2003): Effizienzvorteile durch die wertorientierte IT Strategie – Anforderungen an eine konsistente IT Strategie, das Vorgehen bei der Strategiedefinition, Erfolgsfaktoren, Beispiele aus internationalen Konzernen; Präsentation bei der CIO Matinee 2003. Mellert, C. R. (2008): Due Diligence: Comliance bei M&A Transaktionen in: Wecker, G.; van Laak, H. (Hrsg.), Compliance in der Unternehmenspraxis. Grundlagen, Organisation und Umsetzung, Wiesbaden, 2008, S. 77-83. Mertens, P. (2007): Integrierte Informationsverarbeitung 1. Operative Systeme in der Industrie, 16. Auflage, Wiesbaden, 2007.
303
META Group (1999): ERM-Services in Branchen; Eine Analyse der META Group Deutschland GmbH, 1999. Metz, M. (2002): Controlling des Integrationsprozesses bei Mergers & Acquisitions, zugl. Diss. Universität Lüneburg, Wiesbaden, 2002. Mitchell, D. (1989): The importance of speed in post-merger reorganization, in M&A Europe, 1. (1989) 3, S. 44-48. Möller, W.-P. (1983): Der Erfolg von Unternehmenszusammenschlüssen. Eine empirische Untersuchung, zugl. Diss. Universität Saarbrücken, München, 1983. Müller, K.-R. (2008): IT-Sicherheit mit System. Sicherheitspyramide, Sicherheits-, Kontinuitäts- und Risikomanagement – Normen und Practices – SOA und Softwareentwicklung, 3. Aufl., Wiesbaden, 2008. Müller, R. (2000): Fusionen: IT-Integration ist die halbe Miete, in Computerwoche, 27. (2000), 5, S. 73-74. Müller-Stewens, G. (2003): Top-Management – Bezahlung und Integrationserfolg, in M&A Review, 13. (2003) 4, S. 155. Müller-Stewens, G. (2006): Konzeptionelle Entscheidungen beim Post-Merger-Management, in Wirtz, B. W. (Hrsg.), Handbuch Mergers & Acquisitions Management, Wiesbaden, 2006, S. 785-803. Nahavandi, A., Malekzadeh, A. R. (1993): Organizational Culture in the Manage-ment of Mergers, Westport u.a., 1993. Nicolaus, M. (2006), Bebauungsplan für IT-Landschaften, in InformationWeek, 10. (2006), 3/4, S. 25-27. Nimz, B. (2000): Elektronische Archivierung, Internet: http://www.lwl.org/waa-download/ archivpflege/heft53/nimz.html, Abruf: 27.8.2008, 14:45. Nolte, N.; Becker, T. (2008): IT-Compliance, in Betriebs Berater, Beilage 5, 63. (2008) 25; S. 23-27. Odenthal. R. (2007): Digitale Archivierung – Leitfaden, Frechen, 2007.
304
Österle, H.; Winter, R. (2003): Business Engineering in: Österle, H.; Winter, R. (Hrsg.): Business Engineering – Auf dem Weg zum Unternehmens des Informationszeitalters, 2. Auflage, Berlin u. a., 2003, S. 3-19. Ohmann-Sauer, I. (2007): Compliance-Audit im Arbeitsrecht – Handlungsempfehlungen für den Compliance-Beauftragten, in Arbeit und Arbeitsrecht, 62. (2007) 9, S. 520-524. Ortgies, M. (2008): In sechs Schritten zur Compliance-Lösung, in Computerwoche, 35. (2008) 40, S. 40-41. Osterloh, M.; Frost, J. (2006): Prozessmanagement als Kernkompetenz, 5.Auflage, Wiesbaden, 2006. Oswald, O. (2003): Die adaptive IT-Architektur als fundamentale Voraussetzung für komplexe Restrukturierungsprojekte, zugl. Diss. Universität Essen, Essen, 2003. Ott, J. (1990): Akquisition und Integration mittelständischer Unternehmungen, zugl. Diss. Hochschule St. Gallen, St. Gallen, 1990. Ottersbach, D.; Kolbe, C. (1990): Integrationsrisiken bei Unternehmensakquisitionen, in Betriebswirtschaftliche Forschung und Praxis, 42. (1990) 2, S. 140-150. o. V. (2004): Licht im Dschungel der Buzzwords, in Schweizer Bank, 19. (2004) 7, S. 53. o. V. (2008a): Was CIOs 2008 von Mitarbeitern erwarten, in Computerwoche, 35. (2008) 3, S. 26-28. o. V. (2008b): Deutsche CIOs ticken anders, in Computerwoche, 35. (2008) 5, vom 01.02.2008, S. 9. o. V. (2008c): GDPdU-relevante Auswertbarkeit. Firmen müssen bei der ERP-Ablösung auf Steuerdaten achten, in Computerwoche vom 08.09.2008, Internet: http://www. computerwoche.de/1870226, Abruf: 28.9.2008, 12.30. Pack, H. (2005): Due Diligence, in Picot, G. (Hrsg.), Handbuch Mergers & Acquisitions. Planung, Durchführung, Integration, 3. Auflage, Stuttgart, 2005, S. 287-319. Papathanassis, A. (2004): Post-Merger Integration and the Management of Information and Communication Systems. An analytical framework and its applica-tion in tourism, zugl. Diss. Universität Hannover, Wiesbaden, 2004.
305
Paprottka, S. (1996): Unternehmenszusammenschlüsse – Synergiepotenziale und ihre Umsetzungsmöglichkeiten durch Integration, zugl. Diss. Universität Hamburg, Hamburg, 1996. Pausenberger, E. (1989): Zur Systematik von Unternehmenszusammenschlüssen, in WISU, 18. (1989) 11, S. 621-626. Penzel, H.-G. (1999): Post Merger Management in Banken – und die Konsequenzen für das IT-Management, in Wirtschaftsinformatik, 41. (1999) 2, S. 105-115. Penzel, H.-G. (2000): Klare Strategie und Zielausrichtung: Erfolgsfaktoren für das Post Merger-Management in Banken, in zfo, 69. (2000) 1, S. 25-36. Penzel, H.-G.; Pietig, C. (2000): MergerGuide. Handbuch für die Integration von Banken, Wiesbaden, 2000. Petersen, J.; Zesch, W. (2000): Die wichtigsten Schritte für eine erfolgreiche IT-Integration; Handelsblatt, Beilage Nr. 082 vom 27.04.2000; Seite B01. Pfeifer, A.; Holtschke, B. (2003): Der Netto-IT-Aufwand – ein Beitrag zum wertorientierten Management, in Blomer, R.; Bernhard, M.G.; Bonn, J. (Hrsg.), Strategisches IT-Management, Band 2, Fallbeispiele und praktische Umsetzung, Düsseldorf, 2003, S. 81-113. Pfohl, H.-C.; Hofmann, E. (2003): Integration akquirierter Unternehmen aus Sicht der Logistik, in Wurl, H.-J. (Hrsg.), Industrielles Beteiligungscontrolling, Stuttgart, 2003, S. 303335. Philipp, M. (1998): Ordnungsmäßige Informationssysteme im Zeitablauf – Umsetzung der GoBS im Informationssystem-Lebenszyklus, in Wirtschaftsinformatik, 40. (1998) 4, S. 312317. Picot, G. (2005a): Wirtschaftliche und wirtschaftsrechtliche Parameter bei der Planung der Mergers & Acquisitions, in Picot, G. (Hrsg.), Handbuch Mergers & Acquisitions. Planung, Durchführung, Integration, 3. Auflage, Stuttgart, 2005, S. 3-39. Picot, G. (2005b): Personelle und kulturelle Integration, in Picot, G. (Hrsg.), Handbuch Mergers & Acquisitions. Planung, Durchführung, Integration, 3. Auflage, Stuttgart, 2005, S. 449490. Pletschacher, S. (2002): Digitale Archivierung von Daten und Zugriff der Finanzverwaltung, in Zeitschrift für das gesamte Kreditwesen, 55. (2002) 9, S. 411-415.
306
Porter, M. E. (1986): Wettbewerbsstrategie, Frankfurt am Main u. a., 1986. Porter, M. E. (1987): Diversifikation – Konzerne ohne Konzept, in Harvard Manager, 9. (1987) 4, S. 30-49. Preßmar, D. B.; Wall, F. (1993): Technologische Gestaltungsansätze für das betriebliche Informationsmanagement, in Preßmar, D. B. (Hrsg.), Schriften zur Unternehmensführung: Informationsmanagement, Wiesbaden, 1993, S. 93-121. Pribilla, P. (2000): Personalmanagement bei Mergers & Acquisitions: Therapeut oder Notarzt?, in Picot, A.; Nordmeyer, A.; Pribilla, P. (Hrsg.), Management von Akquisitionen. Akquisitionsplanung und Integrationsmanagement. Kongress-Dokumentation 53. Deutscher Betriebswirtschafter-Tag 1999, Stuttgart, 2000, S. 63-76. PriceWaterhouseCoopers (1999): Speed makes the Difference: A Survey of Mergers and Acquisitions, PricewaterhouseCoopers, 1999. Rath, M. (2006): PC hinter Gittern? IT-Compliance im Unternehmen, in Compliance Report, 1. (2006) 12, S. 2-6. Rath, M. (2007): Law and Order: Was ist IT-Compliance?, in Computerwoche, 34. (2007) 11, vom 16.3.2007, S. 54. Rath, M. (2008): Rechtliche Aspekte von IT-Compliance, in Wecker, G.; van Laak, H. (Hrsg.), Compliance in der Unternehmenspraxis. Grundlagen, Organisation und Umsetzung, Wiesbaden, 2008, S. 119-143. Rathjen, P. (2006): Unternehmensinterne Mergers – Der Carve-Out als Grundlage der organisatorischen Integration am Beispiel einer internen Service-Gesellschaft, in Keuper, F.; Häfner, M; von Glahn, C. (Hrsg.), Der M&A-Prozess. Konzepte, Ansätze und Strategien für die Pre- und Post-Phase, Wiesbaden, 2006, S. 414-441. Ravenscraft, D. J.; Scherer, F. M. (1987): Merger, Sell-offs and econimic efficiency, The Brookings Institution, Washington DC, 1987. Recklies, O. (2001): Die Vision als Schlüsselfaktor im Fusionsprozess, Internet: http://www.themanagement.de/pdf/Vision%20Fusion.PDF; Abruf: 18.08.2008, 21:09. Reitbauer, A. (2006): IT-Konsolidierung und Informationsintegration, in Pellegrini, T.; Blumauer, A. (Hrsg.) Semantic Web, Berlin, u. a. (2006), S. 387-404.
307
Renneke, L. (2007): Zwischenbetriebliche Integrationsprozesse bei der Internationalisierung von Softwareentwicklungen, zugl. Diss. Universität Berlin, Online Dissertation, 2006. Rentrop, C. E. (2004): Informationsmanagement in der Post-Merger Integration, zugl. Diss. Universität Duisburg, Berlin, 2004. Reuß, A.; Fill, C.; Fritsch, W. (1999): IT-Fusion. Motor des Mergers, in Informationweek, 11. (1999) 6, S. 26-31. Rigall, J.; Hornke, M. (2007): Post Merger Integration: Synergiehebel Informationstechnologie, in M&A Review, 17. (2007) 11, S. 496-502. Robert, J. (2002): IT-Systemintegration bei Unternehmensfusionen, Lohmar, 2002. Rohloff, M. (2007): Ein Referenzmodell für die Prozesse der IT-Organisation, in HMD, 44. (2007) 256, S. 27-36. Rohloff, S. (1994): Die Unternehmenskultur im Rahmen von Unternehmenszusammenschlüssen, zugl. Diss. Universität Göttingen, Bergisch Gladbach u. a., 1994. Roll, R. (1986): The Hubris Hypothesis of Corporate Takeovers, in Journal of Business, 59. (1986) 2 Teil 1, S. 197-216. Rosenkranz, F. (2002): Geschäftsprozesse. Modell- und computergestützte Planung, Berlin, u. a., 2002. Roth, B.; Schneider, U. K. (2005): IT-Sicherheit und Haftung, in Der IT-Rechts-Berater, 5. (2005) 1, S. 19-22. Roth, F. (2008) Die Grenzen klassischer ERP-Systeme, in Jacob, O. (Hrsg.) ERP Value. Signifikante Vorteile mit ERP-Systemen, Berlin u. a., 2008, S. 61-74. SAP (2004): IT-Integration: Basis für Collaborative Business; Internet: HTTP://WWW.SAPSI.COM/FILES/INTEGRATION_STUDIE_FINAL.PDF; Abruf: 24.01.2008, 12:31. Sautter, M. T. (1989): Strategische Analyse von Unternehmensakquisitionen. Entwurf und Bewertung von Akquisitionsstrategien, zugl. Diss. Universität Augsburg, Frankfurt am Main u. a., 1989.
308
Schäfer, M. (2001): Integrationscontrolling – Bausteine zur Beobachtung der Integration von Akquisitionen, zugl. Diss. Hochschule St. Gallen, St. Gallen, 2001. Schaffry, A. (2007): Die wichtigsten IT-Trens für 2007, Internet: http://www.cio. de/834277, Abruf: 13.11.2007. Scheer, A.-W. (1996): Data Warehouse und Data Mining: Konzepte der Entscheidungsunterstützung, in Information Management 11. (1996) 1, S. 74-75. Scheer, A.-W. (1998): ARIS-Modellierungsmethoden, Metamodelle, Anwendungen, 3. Auflage, Berlin, 1998. Scherer, E. (2008): Globale ERP-Projekte managen, in IS Report, 12. (2008) 4, S. 24-27. Scheiter, D. (1989): Die Integration akquirierter Unternehmungen, zugl. Diss. Hochschule St. Gallen, St. Gallen, 1989. Schilken, K. (2002). Mangelnde Systemintegration hemmt Effizienz der IT-Infrastruktur: Zauberformel EAI, in geldinstitute, 33. (2002) 4-5, S. 44-45. Schmidt, G. (1994): Methoden und Techniken der Organisation, 10. Auflage, Gießen, 1994. Schmidt, G. (1995): Grundlagen der Aufbauorganisation, 3. Auflage, Gießen, 1995. Schott, K.; Mäurer, R. (2001): Auswirkungen von EAI auf die IT-Architektur in Unternehmen, in IMC, 16. (2001) 1, S. 39-43. Schroder, D. (2004): Betriebliche Informationssysteme; Foliensatz zur Vorlesung im Rahmen der Allgemeinen Wirtschaftsinformatik, WS 04/05, Universität Köln, 2004. Schröder, D. (2005): Betriebliche Informationssysteme – Strategie, Anwendung, Integration, Management, Vorlesungsunterlagen der Vorlesungen im Rahmen der Allgemeinen Wirtschaftsinformatik, Universität zu Köln, 2005. Schröder, H.; Kesten, R. (2006): Vorgehensmodell zur Nutzenbewertung von IT-Investitionen, in IMC, 21. (2006) 4, S. 63-68. Schröder, H.; Kesten, R.; Hartwich, T. (2007): Produktorientierte IT-Leistungsverrechnung bei der K+S Gruppe, in HMD, 44. (2007) 254, S. 50-60.
309
Schubert, W.; Küting, K. (1981): Unternehmungszusammenschlüsse, München, 1981. Schult, B.; Vedder, R. (2005): Die Digitale Betriebsprüfung, in Brecht, U. (Hrsg.) Neue Entwicklungen im Rechnungswesen: Prozesse optimieren, Berichtswesen anpassen, Kosten senken, Wiebaden, 2005, S. 273-287. Schultze-Melling, J. (2007): Aus dem Dickicht ins Licht – Fünf Schritte für ein erfolgreiches Post Merger IT Restructuring, Internet: http://www.competence-site.de/wirtschaftsrecht.nsf/ 26A35FAD3923746CC125729C00532549/$File/post_merger_it_restructuring.pdf, Abruf 12.3.2007, 20:44. Schuster, M. (2005): Integration von Organisationen. Ein Beitrag zur theoretischen Fundierung, zugl. Diss. Universität Eichstätt-Ingoldstadt, Wiesbaden, 2005. Schwarze, L. (2006): Ausrichtung des IT-Projektportfolios an der Unternehmensstrategie, in HMD, 43. (2006), 250, S. 49-58. Schwarze, L.; Röscheisen, F.; Mengue, C. (2007): IT-Integration im Kontext von Unternehmensfusionen, in HMD, 44. (2007) 257, S. 55-67. Schwarze, L.; Holzhammer, U. Kleine, A. (2008): Mit strategischem Controlling gezielt den IT-Wertbeitrag verbessern, in HMD, 45. (2008) 260, S. 104-117. Schwimm, A. (2006): Entwurfsmusterbasierter Ansatz zur Systematisierung von Applikationsbeziehungen im Business Engineering, in Schelp, J.; Winter, R. (Hrsg.), Integrationsmanagement. Planung, Bewertung und Steuerung von Applikationslandschaften, Berlin, u. a., 2006, S. 31-59. Scott Morton, M. S. (1991): The Corporation of the 1990s. Information Technology and Organizational Transformation, New York u. a., 1991. Seibert, K. (1981): Joint Venture als strategisches Instrument im internationalen Marketing, Berlin, 1981. Seidel, B. (2004): Best-of-Breed kontrovers. Kosten sprechen gegen neue Technologien für die Integration von Drittanbieter-Lösungen, in IS Report, 8. (2004) 11, S. 14-22. Sherman, A. J.; Hart, M. A. (2006): Mergers & Acquisitions from A to Z, 2. Auflage, New York u.a., 2006.
310
Shrivastava, P. (1986): Postmerger Integration, in Journal of Business Strategy, 7. (1986) 1, S. 65-76. Simmons, J.; Choudhury, A. (2007): Shareholders Get Poorer as Record M&A Pay Bankers Record Fees, Internet: http://www.bloomberg.com/apps/news?pid=20601109&sid= aCnYtsEGB4eY&refer=home, Abruf: 27.6.2007, 11:03. Sneed, H. M. (2002): Integration statt Migration. Warum es besser ist, alte IT-Systeme so zu lassen, wie sie sind, in HMD, 39. (2002) 225, S. 3-4. Söbbing, T. (2007): IT-Rechtliche Aspekte bei M&A, in M&A Review, 17. (2007) 4, S. 166172. Sommer, S. (1996): Integration akquirierter Unternehmen – Instrumente und Methoden zur Realisierung von leistungswirtschaftlichen Synergiepotenzialen, zugl. Diss. Universität Göttingen, Frankfurt am Main u. a., 1996. Specht, G. (2003): Gestaltungsdimensionen und Intensität der Integration industrieller Vertriebssysteme bei internationalen Unternehmensakquisitionen, in Wurl, H.-J. (Hrsg.), Industrielles Beteiligungscontrolling, Stuttgart, 2003, S. 337-363. Speichert, H. (2007): Praxis der IT-Rechts. Praktische Rechtsfragen der IT-Sicherheit und Internetnutzung, 2. Auflage, Wiesbaden, 2007. Spill, J. (2007): Warum jede zweite Transaktion scheitert, in M&A Review, 17. (2007) 1, S. 1-6. Staehle, W. H. (1999): Management, eine verhaltenswissenschaftliche Perspektive, 8. Auflage, München, 1999. Staerkle, R. (1985): Wechselwirkungen zwischen Organisationskultur und Organisationsstruktur, in Probst, G. J. B.; Siegwart, H. (Hrsg.), Integriertes Management – Bausteine des systemorientierten Managements, Bern, 1985. Stafflage, E. (2005): Unternehmenskultur als entscheidender Faktor – Modell zur Zusammenführung bei Grenzüberschreitenden Mergers & Acquisitions, Diss., Universität Göttingen, Göttingen, 2005. Stahlknecht, P.; Hasenkamp, U. (2005): Einführung in die Wirtschaftsinformatik, 11. Auflage, Berlin u. a., 2005.
311
Staud, J. (2001): Geschäftsprozessanalyse, 2. Auflage, Berlin, 2001. Steger, U. (2007): Rechtliche Verpflichtung zur Notfallplanung im IT-Bereich, in Computer und Recht, 23. (2007) 3, S. 137-143. Strand, R. (2008): Die Quintessenz des EDI, in Logistik heute, 30. (2008) 1/2, S. 32-33. Stegkemper, B.; Seisl. P. (2002): EADS – It takes three to tango, in M&A Review, 12. (2002) 1, S. 20-28. Steimle, V.; Dornieden, G. (2008): Praxistipps Produkthaftung, in Wecker, G.; van Laak, H. (Hrsg.), Compliance in der Unternehmenspraxis. Grundlagen, Organisation und Umsetzung, Wiesbaden, 2008, S. 65-76. Steinbock, H.-J. (2000): Management in Zeiten der Diskontinuität. Postmerger-Management bei der UBS AG, in zfo, 69. (2000) 1, S. 37-40. Steinöcker, R. (1993): Akquisitionscontrolling. Strategische Planung von Firmenübernahmen. Konzeption – Transaktion – Integration, Berlin u. a., 1993. Steinöcker, R. (1998): Mergers & Acquisitions: Strategische Planung von Firmenübernahmen. Konzeption – Transaktion – Controlling, Düsseldorf u.a., 1998. Strahringer, S.; Zdarsky, F. (2003): IT-Integration bei strategischen Unternehmensbeteiligungen. Technologische Optionen und Vorgehensweisen, in Wurl, H.-J. (Hrsg.), Industrielles Beteiligungscontrolling, Stuttgart, 2003, S. 523-554. Strahringer, S.; Gmeiner, R. (2004): Auswahlstrategien für Standardsoftware in Banken, in HMD, 41.(2004) 239, S. 95-101. Strohmer, M. F. (2001): Integration nach Merger and Acquisition. Erfolgskonzeption für das Post Deal Management, zugl. Diss. Universität Linz, Wiesbaden, 2001. Stylianou, A. C.; Jeffries, C. J.; Robbins, S. S. (1996): Corporate mergers and the problem of IS integration, in Information & Management, 31. (1996) 4, S. 203-213. Sury, U. (2005): IT-Governance, in Informatik Spektrum, 28. (2005) 1, S. 69-71. Theusinger, I.; Liese, J. (2008): Rechtliche Risiken der Corporate Governance-Erklärung, in Der Betrieb, 61. (2008) 26, S. 1419-1423.
312
Thiemann, J. (2004): Die Bewertung von Unternehmensnetzwerken auf Basis vertraglicher Kooperation, Berlin, 2004. Thole, S. (2007): IT-Leiter wandelt sich vom Cheftechnologen zum Business-Partner: Sourcing wird zur Kernaufgabe für den CIO, in Computer Zeitung, 38. (2007) 49, S. 9. Tiemeyer, E. (2008a): IT-Strategieentwicklung – Reifegrad hängt von Planung ab, Internet: Abruf am http://www.computerwelt.at/detailArticle.asp?a=114331&n=22&s=114330, 1.7.2009 um 0:59. Tiemeyer, E. (2008b): IT-Projektportfolio – Konzepte und praktische Lösungen, in HMD, 45.(2008), 260, S. 43-52. Töpfer, A. (2000): Merger & Acquisitions: Anforderungen und Stolpersteine, in zfo, 69. (2000) 1, S. 10-17. Tolkmit, G.; Teusch, W. (1998): Komponentenorientierung als Denkmethode, in Preßmar, D. B.; Scheer, A. W. (Hrsg.), Schriften zur Unternehmensführung: SAP R/3 in der Praxis, Wiesbaden, 1998, S. 3-21. Trapp, R. C.; Otto, A. (2002): Einsatzmöglichkeiten von EAI bei Mergers & Acquisitions, in HMD, 39. (2002) 225, S. 102-113. Trautwein, F. (1990): Merger motives and merger prescriptions, in Strategic Management Journal, Vol. 11, S. 283-295. Tritschler, C.; Horky, B.; Voigtländer, D. (2007): Praxisprojekt: Dokumentenmanagementsystem – Anforderungsanalyse und Auswahl, in HMD, 44. (2007) 258, S. 68-77. Uder, H. L.; Kramarsch, M. H. (2001): Buying is Fun, Merging is Hell – Mergers & Acquisitions managen durch erfolgreiche Integration der Human Resources, in M&A Review, 11. (2001) 7, S. 324-331. Ulrich, H. (1984): Die Betriebswirtschaftslehre als anwendungsorientierte Sozialwissenschaft, in Ulrich, H.; Dyllick, T.; Probst, G (Hrsg.), Management, Bern, 1984, S. 183-204. Umek, A./ Tannhäuser, C. (2006): Wert schaffen durch nutzenorientiertes Architekturmanagement in EAI Projekten, in Aier, S./ Schönherr, M. (Hrsg.), Enterprise Application Integration: Serviceorientierung und nachhaltige Architekturen, 2. Auflage, Berlin, 2006, S. 53-77.
313
Vetter, E. (2008): Compliance in der Unternehmenspraxis in: Wecker, G.; van Laak, H. (Hrsg.), Compliance in der Unternehmenspraxis. Grundlagen, Organisation und Umsetzung, Wiesbaden, 2008, S. 29-42. Vielba, F.; Vielba, C. (2006): Reducing the M&A Risk: The Role of IT in Mergers and Acquisitions, Palgrave Macmillan, Houndmills u. a., 2006. Vogel, D. H. (2002): M&A – Ideal und Wirklichkeit, Wiesbaden, 2002. Vogler, P. (2006): Prozess- und Systemintegration. Evolutionäre Weiterentwicklung bestehender Informationssysteme mit Hilfe von Enterprise Application Integration, zugl. Habil. Universität St. Gallen, Wiesbaden, 2006. Vollmer, M. (2008): Post-Merger-Integration im Vertrieb – Praxisbeispiel einer europaweiten Vertriebsintegration im Konzern, in Keuper, F.; Hogenschurz, B. (Hrsg.), Sales & Service. Management, Marketing, Promotion und Performance, Wiesbaden, 2008, S. 404-431. VOI (2003): Leitfaden für die Durchführung eines Projektes zur Abdeckung der Anforderungen der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen, im Internet unter http://www.elektronische-steuerpruefung.de/checklist/ voi_leitf.pdf; Abruf: 29.1.2009; 12:33. Voß, S.; Gutenschwager, K. (2001): Informationsmanagement, Berlin u. a., 2001. Weber, J. (2003): Wie können Innovationen in der betrieblichen IT integriert werden, in Blomer, R.; Bernhard, M. G.; Bonn, J. (Hrsg.) Strategisches IT-Management, Band 2, Fallbeispiele und praktische Umsetzung, Düsseldorf, 2003, S. 49-79. Wecker, G.; Galla, S. (2008): Pflichten der Geschäftsleitung & Aufbau einer Compliance Organisation in: Wecker, G.; van Laak, H. (Hrsg.), Compliance in der Unternehmenspraxis. Grundlagen, Organisation und Umsetzung, Wiesbaden, 2008, S. 43-64. Welge, M. K.; Al-Laham, A. (1999): Strategisches Management. Grundlagen – Prozess, Implementierung, 2. Auflage, Wiesbaden, 1999. Weston, J. F.; Chung, K. S.; Hoag, S. E. (1990): Mergers, Restructuring, and Corporate Control, Englewood Cliffs, 1990. Wildemann, H. (2003a): Programm zur Realisierung von Synergien nach Mergers & Acquisitions, Teil I in WiSt, 32. (2003) 10, S. 596-602.
314
Wildemann, H. (2003b): Programm zur Realisierung von Synergien nach Mergers & Acquisitions, Teil 2 in WiSt, 32. (2003 )11, S. 660-664. Winter, R. (2006): Ein Modell zur Visualisierung der Anwendungslandschaft als Grundlage der Informationssystem-Architekturplanung, in Schelp, J.; Winter, R. (Hrsg.), Integrationsmanagement. Planung, Bewertung und Steuerung von Applikationslandschaften, Berlin, u. a., 2006, S. 1-29. Wirtz, B. W. (2003): Mergers & Acquisitions Management – Strategie und Organisation von Unternehmenszusammenschlüssen, Wiesbaden, 2003. Witt, B. C. (2008), Datenschutz kompakt und verständlich. Eine praxisorientierte Einführung, Wiesbaden, 2008. Wittwer, A. (1995): Innerbetriebliche Kommunikation bei Unternehmenszusammenschlüssen. Eine Untersuchung über Strategien zur Mitarbeiterintegration, zugl. Diss. Universität München, München, 1995. Wöhe, G. (2005): Einführung in die Allgemeine Betriebswirtschaftslehre, 22. Auflage, München, 2005. Wolle, B.; Müller, V. (2003): Prozessorientiertes IT-Qualitätsmanagement, in HMD, 40. (2003) 232, S. 66-78. Wurl, H.-J. (2003): Integrationsplanung bei industriellen Beteiligungen nach dem Konzept der Balanced Scorecard, in Wurl, H.-J. (Hrsg.), Industrielles Beteiligungscontrolling, Stuttgart, 2003, S. 217-240. Zaddach, M. (2007): Reorganisation der IT und ISO 20.000-Einführung – Lessons Learned, in Information Management & Consulting, 22. (2007) 2, S. 87-90. Zimmer, D. (2005): VMware und Microsoft Virtual Server, Bonn, 2005. Zimmermann, R. (2002): Interne und externe Kommunikation bei Fusionen, in M&A Review, 12. (2002) 2, S. 80-87.
315