tine weirsøe om styring af den forretningskritiske information
DESCRIPTION
VidenDanmark Seminar: Elektronisk Dokumenthåndtering Best Practice 2009, 2.6.2009. Tine Weirsøe - Scandinavian Information Audit - fortæller om vigtigheden af at have styr på den forretningskritiske information - specielt i krisetider.TRANSCRIPT
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Records management i en krisetid
Tine Weirsøe, Scandinavian Information Audit
VidenDanmark, 2. juni 2009
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Indhold
0. Hvad arbejder jeg med og hvad er forretningskritisk dokumentation?
1. Klarer virksomheder med styr på den forretningskritiske dokumentation og viden sig bedre gennem krisen end virksomheder, der ikke har fokuseret på records management?
2. Hvordan ser fremtidens trends ud?
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Scandinavian Information Audit
• Vi er specialister i records management og håndtering af den forretningskritiske dokumentation:• Records- & information management audits eller udarbejdelse af en ”tilstandsrapporter” • Analyse af records management programmer i forbindelse med du diligence, M&A’s og
virksomhedsoverdragelse• Implementering af ISO 15489• Records retentionplaner• Records management i relation til e-discovery, legal holds, e-mail management, SOx,
EuroSox, FDA/GXP, CSR, MiFID, Persondataloven m.m.• ”Tilskæring” af ESDH-systemer• Sparring og strategi• Kurser, undervisning og foredrag
• Vores ramme er ISO 15489-familien, men vi har et pragmatisk forhold til standarder og bruger også andre • Vi er uafhængige af IT-leverandører og andre konsulenter, men vi har et godt netværk • Vi arbejder i Danmark, Norge, Sverige, Island, Holland og USA• Vores kunder er regulerede virksomheder og organisationer indenfor:
• Medicinalindustrien, medikoteknik, biotek, fødevare• Olie, gas, vind, energi• Den finansielle sektor• Transport og luftfart• Den offentlige sektor• IT-branchen (software)• Advokater og revisorer• Organisationer
Lidt om os…
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Den brændende platform under dokumenthåndteringssystemet
• Den forretningskritiske dokumentation er ikke identificeret
• Manglende klassifikation af viden, information, data, dokumentation og record
• Behovet for records management er ikke identificeret, derfor intet records management program
• Intet samarbejde mellem Records Management, IT-sikkerhed, Legal og Risk Management og den forretningskritiske dokumentation
• Ingen politikker eller teknologi til understøttelse af e-mails management – eller en e-mail teknologi, der håndterer alle e-mails ens
• Ingen politikker og procedurer for records management, kassation, opbevaringstid, ansvar, valg af opbevaringsmedier, klassifikation osv.
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Den brændende platform i en krisetid
Udfordringer i relation til recordsmanagement i en krisetid:• Manglende styring af den
forretningskritiske dokumentation kan være dødsstødet i en virksomhed, der har alvorlige problemer
• Records management omfattes ikke af krisestrategien
• Records management sidestilles med andre IT-projekter og nedprioriteres eller lukkes
• Manglende interne kompetencer - ingen mulighed for at bruge konsulenter
• AT SE MULIGHEDERNE
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Records management
Arbejdsområde med ansvar for effektiv og systematisk
kontrol med opretholdelsen, modtagelsen,
vedligeholdelsen, brug og kassation af dokumenter,
inklusive processer til at opsamle og vedligeholde bevis
for og information om forretningsaktiviteter og
transaktioner baseret på dokumenter.
Kilde: ISO 15489- Information and documentation – records management
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Hvad er en record?
Dokumentation der er skabt, modtaget og bevares
som bevis og information af en organisation eller
person i overensstemmelse med juridiske forpligtelser
eller forretningsmæssige årsager.
Kilde: ISO 15489- Information and documentation – records management
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Krav til records management programmet
GovernanceTeknologi
Styring af dokumentation
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Krav til records management programmet
GovernanceTeknologi
Styring af dokumentation
•Politik•Procedurer•Placering af ansvar•Ledelsens opbakning•Ressourcer•Retention•Compliance•Risikoanalyse•Forretningsprocesanalyse•Livscyklus•Auditering•Træning
•Klassifikation•Capture•Indeksering•Søgning og genfinding•Metadata
•Bevaring af medier•Sikkerhed•Audit trail/revisionsspor•Adgang
Krav til en record:•Authenticity (ægthed)•Reliability (pålidelighed)•Integrity (ubestikkelighed)•Useability (brugbarhed)
Krav til RM-systemet:•Reliability (pålidelighed)•Integrity (ubestikkelighed)•Compliance (efterlevelse af krav)•Comprehensiveness (rummelighed)•Systematic (systematisk)
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Records Management vs. Document Management vs. Knowledge Management
Records management
Document management
Knowledgemanagement
Rationale BevisStyret af lovgivning og forretningsbehov
Levende dokumentation
Knowledge containerEfter behov!
Værdi Statisk, historisk Genbruges, videre- bearbejdes, opdateres
Transparens, videndeling
”Attitude” Udfør risiko-vurderinger og kasser så meget som muligt
Valid dokumentation skal være tilgængelig
Alle skal have nem adgang til alt relevant. Gem så meget som muligt!
Traditionelt ESDH-system
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Punkt 1
1. Klarer virksomheder med styr på den forretningskritiske dokumentation og viden sig bedre gennem krisen end virksomheder, der ikke har fokuseret på records management?
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Cases
• Svensk finansiel virksomhed• Norsk biotek virksomhed• IT Factory
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Case 1: Svensk finansiel virksomhed
• Ca 1150 ansatte• Bankforretning • Filialer i 4 lande• Decentral
dokumenthåndtering:– 7 ESDH-systemer– 16 papirarkiver– Avancerede og godkendte
banksystemer til håndtering af transaktioner, underskrifter m.m
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Case 1: Brændende platform
• Banken er hårdt ramt af krisen:– Alle IT-projekter er udsat, herunder et records management
projekt, der var identificeret af en myndighed med høj prioritet– Afskedigelser, inkl. risk manager og nyansat compliance
manager
• Ingen fokus på den forretningskritiske dokumentation• Efter 6 måneder med krise og afskedigelser kan
bankens kommunikationschef og ledelse ikke afklare baggrund for nogle vigtige beslutninger
• Dette medfører stor interesse fra mediernes side, dårlig omtale og et påbud fra myndighederne.
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Case 2: Norsk biotekvirksomhed
• 240 ansatte • På vej mod børsnotering• Biotek – patenter • Decentral arkivering og
dokumenthåndtering: – 4-5 administrative systemer– Papirarkiver i hvert team– Et laboratorium bruger
elektronisk labnote-book– Et andet laboratorium har
udviklet egen e-labnote-book (ikke i compliance med FDA CFR Part 11)
– Ingen e-mail management– Masser af lokale
folderstrukturer og små egen- udviklede systemer
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Case 2: Brændende platform
• Virksomheden har pludselig fået problemer med at få patenteret sine opfindelser, bl.a. på grund af bortkommen dokumentation og overholdelse af ”god dokumentationspraksis”
• Virksomheden kan ikke sælge sine patenter – det går bedre for konkurrenterne. Skyldes det krisen eller er de andre bedre?
• Børsnotering foreløbig udsat 1-2 år
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Case 4: IT Factory
• Havde IT Factory et records management program?
• Eksisterede den forretningskritiske dokumentation?
• Var den genfindelig/søgbar?• Overholdt den krav til records:
– Authenticity (ægthed)
– Reliability (pålidelighed)
– Integrity (ubestikkelighed)
– Useability (brugbarhed)
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Punkt 2
Hvordan ser fremtidens
trends ud?
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Fremtiden?
• Mere regulering?• Løbende opstramning af lovgivninger om privacy
og corporate governance?• Brug af sociale teknologier som
beslutningsgrundlag?• Flere elektroniske kommunikationsmetoder?• Gen28 – et faktum
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Lessons learned
• ESDH og SharePoint løser ikke udfordringerne med den forretningskritiske dokumentation
• Teknologi er altid overvurderet – teknologi er kun et værktøj
• Change management er altid undervurderet – den menneskelige adfærd og forandringsparathed er helt vitalt
• Ved ESDH: 80% er gode procedurer, arbejdsgange og kultur - resten er teknologi
• Det rykker ikke uden 200% ledelsesopbakning.
2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk
Contact information for Scandinavian Information AuditE-mail: [email protected] or [email protected]: (+45) 7023 1404Homepage: www.information-audit.dk