- -
- 100%
- +
81
In einem zweiten Schritt ist der Parameter Zeit der in der Ablaufplanung festgelegten Ablauffolge zuzufügen. Hierzu ist zunächst die Bearbeitungsdauer für die einzelnen Arbeitspakete abzuschätzen (Durchlaufzeit). Auf Basis dieser Durchlaufzeiten lassen sich Start- und Endtermin für das jeweilige Arbeitspaket ermitteln und unter Berücksichtigung der in dem Ablaufplan enthaltenen Abhängigkeitsbeziehungen die terminliche Lage des Arbeitspaketes auf der Zeitachse bestimmen. Aus dem in dieser Weise erweiterten Ablaufplan ist dann auch die relative Priorität der Arbeitspakete ersichtlich, denn aus dem Terminplan ergeben sich nicht nur die sachlich-logischen Abhängigkeiten zwischen den Aufgaben, sondern auch die zeitlichen (Wartezeiten, Vorziehzeiten). Dieser Terminplan[35] stellt die unerlässliche Basis für alle weiteren Planungsschritte dar, insbesondere die Ressourceneinsatzplanung sowie die Kostenplanung. Weitere Abhängigkeiten bspw. aufgrund von Kapazitätsengpässen werden erst im Rahmen der Projektplanung berücksichtigt. Wie die Aufbauorganisation sind der Ablauf- und Terminplan während der Internal Investigation ggf. fortzuschreiben. Gründe können Ergänzungen der Projektaufgaben, Erkenntnisse aus der Projektüberwachung, Änderungen hinsichtlich der Ressourcenverfügbarkeit sowie Kostenüberschreitungen und Terminverspätungen sein.
c) Gestaltung des Informationsflusses
82
Durch den vorangehend skizzierten Ablauf- und Terminplan sind die Projektabläufe noch unzureichend determiniert. Erforderlich sind zusätzlich Regelungen zum administrativen Ablauf der Internal Investigation, insb. in Bezug auf das Informationswesen. Nur durch eine sorgfältige Planung der Informationsflüsse lässt sich sicherstellen, „dass alle am Projekt Beteiligten die für ihre Arbeit nötigen Informationen rechtzeitig, in der entsprechenden Form und Detaillierung und in einer transparenten Struktur erhalten, um die übertragenen Aufgaben effizient erfüllen zu können.“[36] Festzulegen ist deshalb
– wer (in erster Linie der Projektleiter), – wem (u.a. Projektlenkungsausschuss, Arbeitskreise/Fachausschüsse), – welche Informationen (z.B. Projektstatusbericht, ad-hoc-Bericht, Review), – in welcher Art (mündlich, schriftlich, standardisierte Form), – und Häufigkeitweiterzugeben hat. Auf diese Weise wird die formalisierte Informationsweitergabe geregelt. Daneben werden die Projektbeteiligten auch auf informelle Weise miteinander kommunizieren. Zwar ist diese Form der Informationsweitergabe für den Erfolg von Projekten nicht zu unterschätzen, doch lässt sie sich nicht planen.
83
Zur Gewährleistung von Datensicherheit, Geheimhaltung und Funktionsfähigkeit sind sowohl für die formale, als auch die informelle Informationsweitergabe Konventionen/Standards vorzugeben (siehe Rn. 22), wie z.B. zu
– einer einheitlich zu verwendenden Projektsprache, – Formaten/Anwendungen für den Informationsaustausch, – zulässigen Speichermedien, – einzusetzender Verschlüsselungssoftware und Passwortschutz.4. Sonderaspekte zur Verzahnung von Projekt und Unternehmensorganisation
84
Auf allgemeine Aspekte der Eingliederung einer Projekt- in die bestehende Unternehmensorganisation wurde voranstehend bereits eingegangen, so z.B. auf die Frage der Kompetenzverteilung.[37]An dieser Stelle soll in Ergänzung dazu noch auf zwei Sonderaspekte eingegangen werden, hinsichtlich derer im Rahmen der organisatorischen Ausgestaltung einer Internal Investigation eine besondere Sensibilität erforderlich ist.
85
In Abhängigkeit von Untersuchungsziel und -aufgaben kann es sinnvoll sein, zur Durchführung einer Internal Investigation auf die Mitarbeiter der internen Revision zurückzugreifen. Aufgrund ihrer Prüfungstätigkeit verfügen sie über Kenntnisse zum Aufbau der Unternehmensorganisation, der Struktur von Geschäftsprozessen etc., aber auch aus Revisionsprüfungen in der Vergangenheit. Der Rückgriff auf dieses Wissen kann die Effizienz einer Internal Investigation deutlich erhöhten. Sollte die Internal Investigation jedoch – wie in dem mehrfach gebildeten Beispielsfall – parallel zu einem staatsanwaltschaftlichen Ermittlungsverfahren geführt werden und die Weitergabe von Untersuchungsergebnissen auf Basis einer Kooperationszusage wahrscheinlich sein, könnte die Vertrauensstellung des Revisionsmitarbeiters gegenüber anderen Unternehmensangehörigen durch seine Mitwirkung an der Internal Investigation deutlich beschädigt werden. In der Praxis sind Revisionsprüfungen regelmäßig von einem kooperativen Ansatz geprägt. Die von der Revisionsprüfung betroffenen Unternehmensangehörigen sind sich darüber bewusst, dass eine solche Prüfung insbesondere der Ordnungsgemäßheit und Effizienz von Geschäftsprozessen dient und damit letztlich einem kontinuierlichen Verbesserungsprozess innerhalb des Gesamtunternehmens. Nach dem (Selbst-)Verständnis der internen Revision eines Unternehmens erbringt diese „unabhängige und objektive Prüfungs-(,assurance‚)“ und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft.“[38] Das Klima einer Revisionsprüfung ist deshalb grds. von Vertrauen und gegenseitigem Respekt geprägt. Es ist zu erwarten, dass sich dies nachhaltig ändert, wenn derselbe Revisionsmitarbeiter Unternehmensangehörigen im Rahmen einer deutlich konfrontativeren Internal Investigation gegenübertritt (zum diesbzgl. Konfliktpotential siehe Rn. 12).
86
Neben diesem, in der Praxis eher schwierig einschätzbarem verhaltenspsychologischen Aspekt können auch konkrete rechtliche Aspekte gegen die Einbindung von Revisionsmitarbeitern in eine Internal Investigation sprechen. Ist bspw. nach der Konzeption der Internal Investigation die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten geplant, so ist es in der erforderlichen datenschutzrechtlichen Gesamtabwägung möglicherweise von Bedeutung, ob die Datenauswertung durch einen Revisionsmitarbeiter oder einen externen Berater erfolgt. Aus Sicht eines betroffenen Arbeitnehmers kann es erheblich sein, dass die Prüfung der Daten durch einen zur Berufsverschwiegenheit verpflichteten Rechtsanwalt oder Wirtschaftsprüfer erfolgt, der insbesondere Bagatellverstößen und nicht untersuchungsbezogenen Zufallsfunden nicht nachgehen und solche Vorfälle auch nicht dokumentieren soll. Ob dies bei Einsatz eines Revisionsmitarbeiters in gleichem Maße gewährleistet werden kann, könnte zweifelhaft sein, weil dieser jederzeit auch seiner planmäßigen Revisionstätigkeit nachgehen und in diesem Rahmen die ihm zur Kenntnis gelangten Sachverhalte aufgreifen könnte. Solche rechtlichen Aspekte sind bei der Entscheidung über die Zusammensetzung des Projektteams ebenfalls zu berücksichtigen.
Anmerkungen
[1]
ICB = IPMA COMPETENCE BASELINE Version 3.0, in der Fassung als DEUTSCHE NCB 3.0 NATIONAL COMPETENCE BASELINE der PM-ZERT Zertifizierungsstelle der GPM e.V., unter Gliederungspunkt 4.1.6. Projektorganisation, S. 63, abrufbar unter www.gpm-ipma.de/fileadmin/user_upload/Qualifizierung_Zertifizierung/Zertifikate_fuer_PM/National_Competence_Baseline_R09_NCB3_V05.pdf, Stand 20.4.2016.
[2]
Vgl. Patzak/Rattay S. 143; Litke Kap. 2.1, S. 63.
[3]
Zu diesem, dem instrumentellen Organisationsbegriff innewohnenden Ziel vgl. Wöhe/Döring Kap. B.IV.1, S. 109.
[4]
Vgl. Drees/Lang/Schöps Kap. 3.1, S. 10.
[5]
Vgl. IPMA COMPETENCE BASELINE Version 3.0, in der Fassung als DEUTSCHE NCB 3.0 NATIONAL COMPETENCE BASELINE der PM-ZERT Zertifizierungsstelle der GPM e.V., unter Gliederungspunkt 4.1.6. Projektorganisation, S. 63, abrufbar unter www.gpm-ipma.de/fileadmin/user_upload/Qualifizierung_Zertifizierung/Zertifikate_fuer_PM/National_Competence_Baseline_R09_NCB3_V05.pdf, Stand 20.4.2016.
[6]
Vgl. Litke Kap. 2.1, S. 63.
[7]
Wöhe/Döring Kap. B.IV.1, S. 110.
[8]
Vgl. Patzak/Rattay S. 172 ff.; Litke Kap. 2.3, S. 69 ff.; Kuster/Huber/Lippmann/Schmid/Schneider/Witschi/Wüst Kap. 2.6, S. 106 ff.
[9]
Daneben nennen Patzak/Rattay S. 175, noch die sog. Pool-Organisation, die jedoch nicht durch ein Nebeneinander von Projekt- und Stammorganisation gekennzeichnet ist; vielmehr ist die permanente Organisation des Unternehmens insgesamt in Form einer reinen Projektorganisation aufgebaut. Wöhe/Döring Kap. B.IV.2, S. 124 führen zusätzlich noch die sog. Kollegienlösung auf. Zu organisatorischen Lösungsansätzen eines Multiprojektmanagements vgl. außerdem Litke Kap. 2.3.4, S. 80.
[10]
Nach Kuster/Huber/Lippmann/Schmid/Schneider/Witschi/Wüst Abb. III-6, S. 107.
[11]
Vgl. Litke Kap. 2.3.1.3, S. 71.
[12]
Vgl. Kuster/Huber/Lippmann/Schmid/Schneider/Witschi/Wüst Kap. 2.6.1, S. 108.
[13]
Nach Kuster/Huber/Lippmann/Schmid/Schneider/Witschi/Wüst Abb. III-7, S. 108.
[14]
Nach Kuster/Huber/Lippmann/Schmid/Schneider/Witschi/Wüst Abb. III-8, S. 109.
[15]
Vgl. Kuster/Huber/Lippmann/Schmid/Schneider/Witschi/Wüst Kap. 2.6.3, S. 110; ähnlich Litke Kap. 2.3.1.4, S. 73.
[16]
Vgl. zur Definition der Aufbauorganisation einer Unternehmensorganisation Wöhe/Döring Kap. B.IV.1, S. 110; im Folgenden dort auch Darstellung der allgemeinen Vorgehensweise.
[17]
Vgl. Kuster/Huber/Lippmann/Schmid/Schneider/Witschi/Wüst Kap. 2.3, S. 100.
[18]
Vgl. Patzak/Rattay S. 85 ff.
[19]
Eine vom Aufsichtsrat in Auftrag gegebene interne Untersuchung ist auf Basis des § 111 Abs. 2 AktG vorstellbar.
[20]
Vgl. IPMA COMPETENCE BASELINE Version 3.0, in der Fassung als DEUTSCHE NCB 3.0 NATIONAL COMPETENCE BASELINE der PM-ZERT Zertifizierungsstelle der GPM e.V., unter Gliederungspunkt 4.2 PM-Verhaltenskompetenz-Elemente, S. 94 ff., abrufbar unter www.gpm-ipma.de/fileadmin/user_upload/Qualifizierung_Zertifizierung/Zertifikate_fuer_PM/National_Competence_Baseline_R09_NCB3_V05.pdf, Stand 20.4.2016.
[21]
Vgl. Litke Kap. 5.2.1, S. 165 f.
[22]
IPMA COMPETENCE BASELINE Version 3.0, in der Fassung als DEUTSCHE NCB 3.0 NATIONAL COMPETENCE BASELINE der PM-ZERT Zertifizierungsstelle der GPM e.V., unter Gliederungspunkt 4.1.12 Ressourcen, S. 75, abrufbar unter www.gpm-ipma.de/fileadmin/user_upload/Qualifizierung_Zertifizierung/Zertifikate_fuer_PM/National_Competence_Baseline_R09_NCB3_V05.pdf, Stand 20.4.2016.
[23]
Vgl. dazu ausführlich Kuster/Huber/Lippmann/Schmid/Schneider/Witschi/Wüst Kap. 4.3.3, S. 166 ff.
[24]
Vgl. IPMA COMPETENCE BASELINE Version 3.0, in der Fassung als DEUTSCHE NCB 3.0 NATIONAL COMPETENCE BASELINE der PM-ZERT Zertifizierungsstelle der GPM e.V., unter Gliederungspunkt 4.1.7 Teamarbeit, S. 65, abrufbar unter www.gpm-ipma.de/fileadmin/user_upload/Qualifizierung_Zertifizierung/Zertifikate_fuer_PM/National_Competence_Baseline_R09_NCB3_V05.pdf, Stand 20.4.2016.
[25]
IPMA COMPETENCE BASELINE Version 3.0, in der Fassung als DEUTSCHE NCB 3.0 NATIONAL COMPETENCE BASELINE der PM-ZERT Zertifizierungsstelle der GPM e.V., unter Gliederungspunkt 4.1.7 Teamarbeit, S. 65, abrufbar unter www.gpm-ipma.de/fileadmin/user_upload/Qualifizierung_Zertifizierung/Zertifikate_fuer_PM/National_Competence_Baseline_R09_NCB3_V05.pdf, Stand 20.4.2016.
[26]
Vgl. ausführlicher dazu Patzak/Rattay S. 183 ff.
[27]
Vgl. Patzak/Rattay S. 183; Litke Kap. 5.3.3, S. 181 f. m.w.N.
[28]
Vgl. Patzak/Rattay S. 189 ff.
[29]
Zu den in diesem Zusammenhang veränderten Anforderungen an die Einstellungen und Verhaltensweisen aller beteiligten Teammitglieder vgl. weiterführend Patzak/Rattay S. 190-193.
[30]
Als strukturierte (elektronische) Daten werden bspw. Daten aus den Buchhaltungssystemen bezeichnet. Im Unterschied dazu werden solche Daten, die in Dateiordnern auf Festplatten von Computern, externen Datenträgern, File-Servern oder E-Mail-Servern abgelegt sind, als unstrukturiert bezeichnet.
[31]
Vgl. Wöhe/Döring Kap. B.IV.3, S. 124.
[32]
Vgl. ICB = IPMA COMPETENCE BASELINE Version 3.0, in der Fassung als DEUTSCHE NCB 3.0 NATIONAL COMPETENCE BASELINE der PM-ZERT Zertifizierungsstelle der GPM e.V., unter Gliederungspunkt 4.1.9. Projektstrukturen, S. 69, abrufbar unter www.gpm-ipma.de/fileadmin/user_upload/Qualifizierung_Zertifizierung/Zertifikate_fuer_PM/National_Competence_Baseline_R09_NCB3_V05.pdf, Stand 20.4.2016.
[33]
Drees/Lang/Schöps Kap. 6.2, S. 45.
[34]
Zu den unterschiedlichen Möglichkeiten der Herleitung eines solchen Projektstrukturplanes – u.a. Zerlegungsmethode (top down) und Zusammensetzungsmethode (bottom up) – vgl. Patzak/Rattay S. 224 ff.
[35]
Zu den unterschiedlichen Terminplanungsmethoden siehe Übersicht bei Patzak/Rattay S. 249 ff.
[36]
Patzak/Rattay S. 341.
[37]
Vgl. dazu ausführlich Kuster/Huber/Lippmann/Schmid/Schneider/Witschi/Wüst Kap. 2.8, S. 112 f.; Patzak/Rattay S. 169 ff.; zum Konflikt um sog. „Informationsinseln“ siehe Rn. 20.
[38]
Deutsches Institut für Interne Revision (IIR), IIR Revisionsstandard Nr. 1, Zusammenarbeit von Interner Revision und Abschlussprüfer.
1. Teil Ermittlungen im Unternehmen › 4. Kapitel Projektorganisation, Projektplanung, Projektsteuerung und Reporting › III. Projektplanung und -steuerung
III. Projektplanung und -steuerung
87
Unternehmen werden heute aufgrund des raschen technologischen, wirtschaftlichen und gesellschaftlichen Wandels zunehmend vor Aufgaben gestellt, die sich mit bestehenden Strukturen oder im laufenden Tagesgeschäft nicht oder zumindest nicht schnell und effektiv genug lösen lassen. Das Projektmanagement als Unternehmen auf Zeit hat sich als interdisziplinäre Führungsform für die Abwicklung solch komplexer, weitgehend einmaliger, zeitkritischer und innovativer Aufgaben besonderer Bedeutung sehr bewährt. Gerade „Interne Untersuchungen“ können – wie eingangs dargestellt – eine spezielle Planung, Steuerung, Organisation und Kontrolle verlangen.
88
Die Projektplanung ist ein Hauptbestandteil der Projektabwicklung. Neben der Aufgabenplanung und der Terminplanung ist die Ressourcen- und Kostenplanung das dritte Standbein einer integrierten Projektplanung.
89
Gerade bei „Internen Untersuchungen“, die mit großer Unsicherheit behaftet sind, ist eine gründliche Planung ein entscheidender Erfolgsfaktor für das Gelingen, da sie für die Koordination der Projektaufgaben und für die Abschätzung der benötigten Ressourcen und der Zeit wesentlich ist. Die Projektplanung ist jedoch keine einmalige Aufgabe, sondern ein permanenter Prozess, da der genaue Projektablauf oft noch kaum abschätzbar ist. In der Praxis hat sich die rollierende Planung bewährt – es wird mit einer Grobplanung begonnen und die jeweils anstehende Phase wird dann detailliert geplant. Somit fließen Erkenntnisse aus der Realisierung einer Phase direkt in die Detailplanungen der nächsten Phase(n) ein.
90
Ziel der Projektplanung ist es, die im Projektauftrag geforderten Ergebnisse in konkrete delegierbare Arbeitspakete (sog. Workstreams) überzuführen. Die Projektplanung legt dazu fest:
– welche Arbeitspakete durchzuführen sind, – wer diese Arbeitspakete bearbeitet, – wie viel Zeit pro Arbeitspaket zur Verfügung steht, – wie die zeitliche und logische Abfolge der Arbeitspakete aussieht, – welche Ressourcen (Mitarbeiter, Betriebsmittel, etc.) benötigt werden, – wie hoch der erforderliche Kapitaleinsatz ist.1. Untersuchungskonzeption
91
Die interne Aufklärung/Untersuchung (Investigation) verfolgt das Ziel, Verstöße und ihre Ursachen vollumfänglich aufzuklären sowie die dafür verantwortlichen Personen zu identifizieren. Das sofortige Einleiten einer eigenen Internal Investigation ist aus mehreren Gründen angeraten: Neben dem Aspekt der Kontrolle, der Schadensbegrenzung und des positiv gewerteten pro-aktiven Verhaltens geht es darum, Anfragen durch Aufsichtsbehörden zeitnah und professionell mit aufbereiteten Ergebnissen zu beantworten und damit regulatorische Untersuchungen hinsichtlich Inhalt und Dauer zu steuern.
92
Untersuchungen erweisen sich häufig als komplex. Voreiliges sowie unstrukturiertes Vorgehen gefährdet vielfach den gesamten Ermittlungserfolg, da die Beteiligten hierdurch in die Lage versetzt werden, Beweise zu vernichten oder Mittäter zu informieren. Im Fall einer „Compliance-Krise“ (vgl. dazu 22. Kap.) kommt es darauf an schnell, diskret und entschlossen vorzugehen. Es müssen möglicherweise Autorisierungskonzepte umgehend überarbeitet, Konten gesperrt, große Datenmengen gesammelt und analysiert sowie gerichtsverwertbare Beweise dokumentiert werden. Daher sollte die Internal Investigation wie bereits dargestellt durch einen unabhängigen Untersuchungsausschuss koordiniert und gegebenenfalls mit Unterstützung externer forensicher Sachverständiger erfolgen.
93
Zur Bewältigung der Untersuchung als auch der sich anschließenden Aufarbeitung (Remediation) ist ein strukturiertes Vorgehen (Untersuchungskonzept) notwendig, das mit einer gründlichen und objektiven Untersuchung der zugrunde liegenden Sachverhalte/Vorfälle (Cases) beginnt.
94
Das Untersuchungsmandat sollte bei einem „Compliance-Vorfall“ vom Vorstand des Unternehmens (als Lenkungs- und Steuerungsorgan) im Einvernehmen mit dem Prüfungsausschuss des Unternehmens (als Aufsichts- und Kontrollorgan) erteilt werden, wenn es sich um Vorgänge von einiger Bedeutung für das Unternehmen handelt. Ist im Unternehmen eine unabhängige Compliance-Funktion bereits eingerichtet, sind in der Regel bereits Fallermittlungsprozesse installiert, so dass eine Einschaltung des Prüfungsausschusses außerhalb der Regelberichterstattung dann notwendig wird, wenn sich ein begründeter Verdacht gegen Mitglieder des Managements richtet. [1]
95
Um einen optimalen Untersuchungsablauf zu gewährleisten, sollten der Zweck der Internal Investigation, daraus folgende klare Untersuchungsziele und die damit verbundenen Ermittlungsschritte definiert werden. Die Projektplanung hat ferner zu berücksichtigen, dass die Untersuchung möglicherweise länderübergreifend stattfindet und somit unterschiedliche Rechtsrahmen und kulturelle Besonderheiten berücksichtigt werden müssen.
96
Insbesondere sollte in einem solchen Fall rechtlich geprüft werden, ob und in welcher Weise sichergestellt werden kann, dass weder die Untersuchungsergebnisse noch weitere im Rahmen der Untersuchung gewonnene Erkenntnisse zukünftig im Falle von Gerichtsverfahren offen gelegt werden (siehe Rn. 32). Dies ist insbesondere für Verfahren und Sammelklagen im angelsächsischen Raum relevant. Hier kann es erforderlich sein, die Untersuchungsergebnisse durch die Beauftragung einer externen Rechtsanwaltskanzlei privilegiert und vertraulich zu halten.
a) Analyseobjekte
97
Die Aufgaben der eigens für die Internal Investigation einzurichtenden Projektorganisation leiten sich direkt aus der Reichweite des zu untersuchenden Sachverhalts ab. In jedem Fall ist es empfehlenswert, einen detaillierten Projektplan zügig zu erstellen und zu kommunizieren. Er sollte die wesentlichen Rahmenbedingungen und Grundsätze festhalten wie auch Aufgaben und Verantwortlichkeiten der Projektbeteiligten, die Zusammensetzung der Gremien, die Frequenz ihrer Zusammenkunft sowie Inhalte und den Ablauf der einzelnen Maßnahmenpakete (siehe dazu im Einzelnen Rn. 52 ff.).
b) Vorgehensweise in sachlicher/fachlicher Hinsicht
98
In der Praxis hat sich eine Kombination aus einer Einzelfalluntersuchung, einer Handlungsmusteranalyse sowie eines Compliance Reviews besonders gut bewährt.
99
Im Rahmen der Einzelfalluntersuchung findet eine umfassende Untersuchung compliance-relevanter – insb. korruptionsrelevanter – Vorgänge (z.B. Einkauf, Vertrieb) sowie eine Bewertung aller identifizierten Vorfälle und Kreditorenbeziehungen statt. Dabei beginnt die Einzelfalluntersuchung mit der Sammlung notwendiger Informationen darüber, wo etwas vorgefallen ist, was im Detail vorgefallen ist und wer beteiligt war. Hierzu werden sowohl schriftlich niedergelegte Arbeitsanweisungen und Prozessbeschreibungen eingesehen als auch Gespräche mit den an den Prozessen beteiligten Mitarbeitern und möglichen Zeugen geführt. Es gilt auch zu ergründen, ob weitere Untersuchungseinheiten betroffen sind. Sofern hinreichend sicher ist, dass das lokale Management an den dolosen Handlungen nicht beteiligt ist, sollte dieses über die Internal Investigation unterrichtet und in den Prozess der Sachverhaltsaufklärung mit einbezogen werden.
100
In diesem Abschnitt der Internal Investigation müssen häufig große Datenmengen (strukturiert/unstrukturiert) gesammelt, verarbeitet, analysiert und für Berichtszwecke aufbereitet werden. Es muss sichergestellt werden, dass relevante Daten, z.B. aus IT-Systemen, Archiven oder Ablagen nicht absichtlich oder unabsichtlich vernichtet werden. In der Praxis hat es sich als notwendig erwiesen, eine sog. „Preservation Order“, also das Verbot jegliche Daten oder Akten selbst nach Ablauf der gesetzlichen Aufbewahrungsfristen zu verändern oder zu vernichten, zu erlassen. Unerlaubter Zugriff auf Daten und Datenmanipulation muss ebenfalls verhindert werden.