Få kontroll på virksomhetens kritiske dokumentasjon med ISO 30300-serien

Tvister vindes af dem, der har de bedste beviser og ikke altid af dem, der har ret.
Sitat: Advokat Claus Sørensen, Dahl Advokatfirma, Danmark.

Scandinavian Information Audits Tine Weirsøe holdt kurs i Oslo 6. september 2012 der tema var hvordan man kan få kontroll på den kritiske dokumentasjonen i virksomheten, med utgangspunkt i ISO 30300-serien. Temaer på agendaen var modenhetsmodeller og drivere for records management, i tillegg til ISO-rammeverkets interne og eksterne relasjoner og innhold. Flere eksempler ble også gjennomgått (eksempler er alltid nyttig!).

Kurset – og kursholder – imponerte. Tine Weirsøe klarte på en utmerket måte å få et tema som kan være fryktelig tørt (standarder og standardisering), til å bli interessant og givende å høre om en hel dag. Anbefales!

Den brennende plattform
Virksomheter kan nærme seg records management på en av to måter. Enten velger man den proaktive/forebyggende tilnærmingen («Intet tab skal os ramme, som ved rettig omhu kunne afværges» (sitat A. P. Møller)), ellers går man for å forsøke å håndtere «den brennende (olje)plattform», dvs. at man velger en korrigerende tilnærming. Vanlige brennende plattformer er fysiske uhell, dårlige økonomiske resultater, myndighetsinspeksjoner, rettslige tvister, press fra media/offentligheten osv.

Mangelfull informasjonsstyring og -kontroll, manglende håndtering av records som aktiva (strategisk ressurs) og manglende klassifikasjon av informasjon som records (med tilhørende kontrollert og dokumentert bevaring og kassasjon) ble trukket frem som typiske brennende plattform-skapende situasjoner.

Kritikalitet
Vurdering av risiko er et sentralt element i records management. Reell kontroll med dokumentasjonen innebærer at man vet hvilken dokumentasjon som er viktig – dvs. kritisk – for den enkelte virksomhet, følgelig hvilken dokumentasjon det knytter seg størst strategisk eller operasjonell risiko til å rote bort. Ferielister, avdelingsbudsjetter og tidsskrifter ble nevnt som eksempler på lite kritisk dokumentasjon, mens persondata, saksbehandlingstransaksjoner og finansielle data ofte har høy grad av kritikalitet. I mellomsjiktet finner vi f.eks. kalenderavtaler som dokumenterer middagsavtaler med konkurrerende virksomheter (som også var kjernen i ett av Weirsøes konkrete eksempler).

Modenhetsmodeller
En modenhetsmodell synliggjør hvor virksomheten befinner seg i forhold til hvor man ønsker å være, og kan således være et kraftig kommunikasjonsverktøy. Det finnes flere RM-modenhetsmodeller der ute (f.eks. modellene til ARMA, AIIM og Gartner). Weirsøes modell besto av elementene risikovurdering, politikk/prosedyrer, bevaring/kassasjon, RM-systemer, opplæring og revisjon, og hvert enkelt element ble vurdert på en skala fra 1-5 der 1 var «Need for RM not acknowledged» og 5 var «Fully implemented 2. generation RM». Modenhetsmodellen hører hjemme i DIRKS-rammeverkets første og siste trinn (forundersøkelsen og post-implementasjonsrevisjonen).

Kritiske suksessfaktorer og synliggjøring av gevinster
Hva som er et RM-implementasjonsprosjekts kritiske suksessfaktorer avhenger av hvor skoen trykker i den enkelte virksomhet. Dersom ledelsens involvering er det det skorter på, må man jobbe for å få ledelsen med på laget. Dersom det er slik at man har utdaterte systemer som vanskeliggjør arbeidet med records management, er det systemene som må få oppmerksomhet.

Jeg kunne ønsket meg noe mer fokus på synliggjøring (måling) av hvilke gevinster godt implementerte RM-systemer gir. Weirsøe påpekte i den forbindelse at investeringer i records management gjerne har svært lang tilbakebetalingstid. I tillegg er det heller ikke utenkelig at enkelte av gevinstene (besparelsene) aldri blir mulige å synliggjøre nettopp fordi kontroll med den virksomhetskritiske dokumentasjonen fører til at plattformen aldri tar fyr. Et verdifullt poeng!