tine weirsøe om styring af den forretningskritiske information

2. juni 2009 ©Scandinavian Information Audit www.information-audit.dk

Records management i en krisetid

Tine Weirsøe, Scandinavian Information Audit

VidenDanmark, 2. juni 2009


Indhold

0. Hvad arbejder jeg med og hvad er forretningskritisk dokumentation?

1. Klarer virksomheder med styr på den forretningskritiske dokumentation og viden sig bedre gennem krisen end virksomheder, der ikke har fokuseret på records management?

2. Hvordan ser fremtidens trends ud?


Scandinavian Information Audit

• Vi er specialister i records management og håndtering af den forretningskritiske dokumentation:• Records- & information management audits eller udarbejdelse af en ”tilstandsrapporter” • Analyse af records management programmer i forbindelse med du diligence, M&A’s og

virksomhedsoverdragelse• Implementering af ISO 15489• Records retentionplaner• Records management i relation til e-discovery, legal holds, e-mail management, SOx,

EuroSox, FDA/GXP, CSR, MiFID, Persondataloven m.m.• ”Tilskæring” af ESDH-systemer• Sparring og strategi• Kurser, undervisning og foredrag

• Vores ramme er ISO 15489-familien, men vi har et pragmatisk forhold til standarder og bruger også andre • Vi er uafhængige af IT-leverandører og andre konsulenter, men vi har et godt netværk • Vi arbejder i Danmark, Norge, Sverige, Island, Holland og USA• Vores kunder er regulerede virksomheder og organisationer indenfor:

• Medicinalindustrien, medikoteknik, biotek, fødevare• Olie, gas, vind, energi• Den finansielle sektor• Transport og luftfart• Den offentlige sektor• IT-branchen (software)• Advokater og revisorer• Organisationer

Lidt om os…


Den brændende platform under dokumenthåndteringssystemet

• Den forretningskritiske dokumentation er ikke identificeret

• Manglende klassifikation af viden, information, data, dokumentation og record

• Behovet for records management er ikke identificeret, derfor intet records management program

• Intet samarbejde mellem Records Management, IT-sikkerhed, Legal og Risk Management og den forretningskritiske dokumentation

• Ingen politikker eller teknologi til understøttelse af e-mails management – eller en e-mail teknologi, der håndterer alle e-mails ens

• Ingen politikker og procedurer for records management, kassation, opbevaringstid, ansvar, valg af opbevaringsmedier, klassifikation osv.


Den brændende platform i en krisetid

Udfordringer i relation til recordsmanagement i en krisetid:• Manglende styring af den

forretningskritiske dokumentation kan være dødsstødet i en virksomhed, der har alvorlige problemer

• Records management omfattes ikke af krisestrategien

• Records management sidestilles med andre IT-projekter og nedprioriteres eller lukkes

• Manglende interne kompetencer - ingen mulighed for at bruge konsulenter

• AT SE MULIGHEDERNE


Records management

Arbejdsområde med ansvar for effektiv og systematisk

kontrol med opretholdelsen, modtagelsen,

vedligeholdelsen, brug og kassation af dokumenter,

inklusive processer til at opsamle og vedligeholde bevis

for og information om forretningsaktiviteter og

transaktioner baseret på dokumenter.

Kilde: ISO 15489- Information and documentation – records management


Hvad er en record?

Dokumentation der er skabt, modtaget og bevares

som bevis og information af en organisation eller

person i overensstemmelse med juridiske forpligtelser

eller forretningsmæssige årsager.

Kilde: ISO 15489- Information and documentation – records management


Krav til records management programmet

GovernanceTeknologi

Styring af dokumentation


Krav til records management programmet

GovernanceTeknologi

Styring af dokumentation

•Politik•Procedurer•Placering af ansvar•Ledelsens opbakning•Ressourcer•Retention•Compliance•Risikoanalyse•Forretningsprocesanalyse•Livscyklus•Auditering•Træning

•Klassifikation•Capture•Indeksering•Søgning og genfinding•Metadata

•Bevaring af medier•Sikkerhed•Audit trail/revisionsspor•Adgang

Krav til en record:•Authenticity (ægthed)•Reliability (pålidelighed)•Integrity (ubestikkelighed)•Useability (brugbarhed)

Krav til RM-systemet:•Reliability (pålidelighed)•Integrity (ubestikkelighed)•Compliance (efterlevelse af krav)•Comprehensiveness (rummelighed)•Systematic (systematisk)


Records Management vs. Document Management vs. Knowledge Management

Records management

Document management

Knowledgemanagement

Rationale BevisStyret af lovgivning og forretningsbehov

Levende dokumentation

Knowledge containerEfter behov!

Værdi Statisk, historisk Genbruges, videre- bearbejdes, opdateres

Transparens, videndeling

”Attitude” Udfør risiko-vurderinger og kasser så meget som muligt

Valid dokumentation skal være tilgængelig

Alle skal have nem adgang til alt relevant. Gem så meget som muligt!

Traditionelt ESDH-system


Punkt 1

1. Klarer virksomheder med styr på den forretningskritiske dokumentation og viden sig bedre gennem krisen end virksomheder, der ikke har fokuseret på records management?


Cases

• Svensk finansiel virksomhed• Norsk biotek virksomhed• IT Factory


Case 1: Svensk finansiel virksomhed

• Ca 1150 ansatte• Bankforretning • Filialer i 4 lande• Decentral

dokumenthåndtering:– 7 ESDH-systemer– 16 papirarkiver– Avancerede og godkendte

banksystemer til håndtering af transaktioner, underskrifter m.m


Case 1: Brændende platform

• Banken er hårdt ramt af krisen:– Alle IT-projekter er udsat, herunder et records management

projekt, der var identificeret af en myndighed med høj prioritet– Afskedigelser, inkl. risk manager og nyansat compliance

manager

• Ingen fokus på den forretningskritiske dokumentation• Efter 6 måneder med krise og afskedigelser kan

bankens kommunikationschef og ledelse ikke afklare baggrund for nogle vigtige beslutninger

• Dette medfører stor interesse fra mediernes side, dårlig omtale og et påbud fra myndighederne.


Case 2: Norsk biotekvirksomhed

• 240 ansatte • På vej mod børsnotering• Biotek – patenter • Decentral arkivering og

dokumenthåndtering: – 4-5 administrative systemer– Papirarkiver i hvert team– Et laboratorium bruger

elektronisk labnote-book– Et andet laboratorium har

udviklet egen e-labnote-book (ikke i compliance med FDA CFR Part 11)

– Ingen e-mail management– Masser af lokale

folderstrukturer og små egen- udviklede systemer


Case 2: Brændende platform

• Virksomheden har pludselig fået problemer med at få patenteret sine opfindelser, bl.a. på grund af bortkommen dokumentation og overholdelse af ”god dokumentationspraksis”

• Virksomheden kan ikke sælge sine patenter – det går bedre for konkurrenterne. Skyldes det krisen eller er de andre bedre?

• Børsnotering foreløbig udsat 1-2 år


Case 4: IT Factory

• Havde IT Factory et records management program?

• Eksisterede den forretningskritiske dokumentation?

• Var den genfindelig/søgbar?• Overholdt den krav til records:

– Authenticity (ægthed)

– Reliability (pålidelighed)

– Integrity (ubestikkelighed)

– Useability (brugbarhed)


Punkt 2

Hvordan ser fremtidens

trends ud?


Fremtiden?

• Mere regulering?• Løbende opstramning af lovgivninger om privacy

og corporate governance?• Brug af sociale teknologier som

beslutningsgrundlag?• Flere elektroniske kommunikationsmetoder?• Gen28 – et faktum


Lessons learned

• ESDH og SharePoint løser ikke udfordringerne med den forretningskritiske dokumentation

• Teknologi er altid overvurderet – teknologi er kun et værktøj

• Change management er altid undervurderet – den menneskelige adfærd og forandringsparathed er helt vitalt

• Ved ESDH: 80% er gode procedurer, arbejdsgange og kultur - resten er teknologi

• Det rykker ikke uden 200% ledelsesopbakning.


Contact information for Scandinavian Information AuditE-mail: [email protected] or [email protected]: (+45) 7023 1404Homepage: www.information-audit.dk

tine weirsøe om styring af den forretningskritiske information

Education