Kurs i Compliance - EDOK Informasjonshavet Kurs i Compliance - EDOK

Informasjonshavets Utfordringer Del 1 Informasjonshavets Utfordringer

Visste du at… En amerikansk undersøkelse viser at 2 av 3 amerikanere føler at de ikke lenger mestrer informasjonsflommen. En interessant undersøkelse gjengitt i DN avslørte at 60% av norske ledere mener det finnes informasjon som pressen ville slått stort opp dersom de fikk tilgang til informasjonen – snakk om å leve farlig!

Fra EDB til IKT Den første digitale bølgen vokste seg stor på 1960-tallet og baserte seg på svært dyre maskiner. Den primære årsaken til å kjøpe dataanlegg var økt effektivitet ved at rutineoppgaver kunne utføres raskere og billigere. Den andre bølgen var data og integrasjonsbasert, og innebar at maskinene som hadde vokst nedover i pris og størrelse, nå ble forsøkt koblet sammen. Det handlet ikke lenger bare om effektivitet, men også om å oppnå IT-gevinster – riktig data ga muligheter for å gjøre bedre valg. Gevinstene lot imidlertid vente på seg, og ikke sjelden forsvant de ønskede gevinstene i store svarte hull i form av flerårige IT-prosjekter som kostet blod, svette og tårer. Nå opplever vi starten på den tredje store bølgen. Denne bølgen er talent-, kunnskaps- og innovasjonsbasert, og drives frem av virksomhetens behov for økt fleksibilitet og økt konkurransekraft, samt brukernes ønske om økt kommunikasjons- og informasjonstilgang. Utviklingen vil gjøre at programvare blir mer standardisert og det vil bli mer åpen kildekode – trenden er klar ingen vil fremover betale dyrt for å bruke programvaren, men for den faktiske bruk.

Hva skjer i kunnskapssamfunnet? Vi mener at vi snakker om tre ulike revolusjoner. Kompetanse- og talentrevolusjonen: Skal man lykkes i en tid kjennetegnet av høy usikkerhet, kortere produktsykluser, og økte krav til innovasjonsevne er den viktigste innsatsfaktoren kompetente, motiverte og endringsvillige medarbeidere. Kunnskaps- og informasjonsrevolusjonen: Den andre teknologirelaterte revolusjonen du trenger innsikt i, handler om endringene intelligent informasjons- og kunnskapsdeling muliggjøre og informasjonens økende betydning for din virksomhets konkurransekraft. Kreativitets- og innovasjonsrevolusjonen: Konkurransen blir global, marginene skvises og tidsvinduene åpnes og lukkes raskere enn billettlukene på Oslo S. Den tredje revolusjonen handler om den økende verdien av de gode ideer og innovasjonens økende betydning for din virksomhets konkurransekraft. Markedet byr på nye utfordringer relatert til helhetlig informasjonsstyring knyttet opp til både lovoppfyllelse og gjennomsiktighet i virksomheten. Løsningen vi har tro på for å møte omverden og markedet er information intelligence. Hvor målsettingen er en intelligent utnyttelse av informasjonsresursene innenfor kritiske forretningsområder. Løsningen for medarbeideren vil være å bli en og verdiskaper dvs.. Se boksen over.

Ledernes frykt? Manglende lovoppfyllelse Forbannede eksmedarbeider, utro tjenere, sløvhet rundt informasjonshåndteringen, samt manglende fokus på nye lover og krav er tikkende bomber. Mange norske ledere er i fare for å havne i fengsel om ikke de får kontroll på disse tikkende bombene. Manglende gjennomsiktighetskontroll Vi lever i et åpent samfunn og informasjon flyter allerede på tvers av firmagrensene, og kan raskt havne i feil hender, eller mistolkes. Mange norske ledere risikerer å havne på avisenes forside om de ikke snart skaffer seg økt informasjonskontroll, men de negative konsekvensene dette har for børsverdi og virksomhetenes omdømme. Manglende informasjonsstyring Evnen til å håndtere informasjonens livssyklus er svært mangelfull de fleste steder. Det handler om å sikre virksomhetshukommelsen både for de ansatte, kundenes og partnernes behov og påse at informasjonen behandles i samsvar med interne regler.Mange norske ledere risikerer å havne i skammekroken fordi informasjonsstyringen i dag er for dårlig.

En overskrift å våkne til? Hydro sjefen kan ha brutt loven Hydro sjef Eivind Reiten kan ha brutt loven, fastslår en utredning fra advokatfirmaet BA-HR ifølge VG.no. Bakgrunnen er at han skal ha deltatt i forberedelsene av opsjonsløsningen. Advokatfirmaet mener ifølge avisen at det ikke er forenlig med inhabilitetsregelen at Reiten skal ha deltatt i forberedelsene til løsningen på Hydros opsjonsprogram. Hydro-aksjen straffes med et fall på 2,42 prosent til 211,75 kroner i mandagens ettermiddagshandel. I denne saken valgte styreformannen å gå pga saken. Ingen drømmesituasjon å våkne opp til kan man med trygghet si.

Corporate Governance Information Governance Corporate Compliance Gilde Tine Hanekleivtunnelen Tsunamiulykken Risks Enron Hydro Siemens SAS Wallmart Corporate Transparancy

Nytt risikobilde !

Corporate Transparancy Utgangspunktet for CSR-pyramiden er at en organisasjon må tjene penger for å overleve, den er forpliktet til å maksimere aksjonærenes inntjenning og drive effektivt. Kjernen i forskjellen mellom filantropisk og etisk nivå i pyramiden er interessentenes forventning legger sterkere føringer på virksomheten. Med etisk ansvarlig mener vi at virksomheten må opptre etisk i det den foretar seg, og at den gjør det som er riktig, nødvendig og rettferdig og forsøker å minimere eller unngå at aksjeeierne påføres skade. Med filantropisk ansvarlighet menes at virksomheten skal være en god medborger dvs at den handler for fellesskapet, og forbedre livskvaliteten i samfunnet. Carroll & Bushholtz (2002) pyramide

Visste du at… 2 ledere måtte gå Siemens måtte betale Forsvaret 19,5 millioner 2 ledere måtte gå Siemens måtte kvitte seg med SBS etter korrupsjonssak Siemens tok seg for godt betalt etter hvert som prisene på utstyret de solgte falt fortere enn forventet av Forsvaret SBS-ledelsen gjorde minst tre viktige valg. Ved hvert av valgene kunne de ha avsluttet saken, men SBS traff i stedet beslutninger som gjorde galt verre. Tabbe 1: Etter Enron og Worldcom-skandalene har et av de store temaene i det internasjonale næringslivet har vært bedre rutiner for å plukke opp varslinger fra egne ansatte. Men SBS begynte jakten på lekkasjen i stedet for å rydde opp i selve problemet, som om å finne lekkasjen ville løse problemet når den allerede var slått opp i VG. Tabbe 2: SBS sier opp Per Yngve Monsen, mannen som slo alarm, med en dårlig unnskyldning. Tabbe 3: SBS kunne enda ha reddet seg ved å inngå et forlik med Monsen og så Forsvaret. SBS lar i stedet saken gå til retten og det blir en fullblåst, offentlig skittentøyvask med full seier til Monsen. SBS får i tillegg mot seg fra dommeren at de har forsøkt å ødelegge bevis i saken.

De sju skjærene Manglende Informasjonseierskap Livssyklus forståelse Retningslinjer/policyer Opplæring/support Verktøy Automatikk Endringsevne Lovverket stiller krav til informasjonshåndteringen. Krav relatert til opprettelse og lagring, tilgang, endringshåndtering, distribuering og makulering. Slike beslutninger kan ikke tas på en ad-hoc basis, men må være godt forankret i arkivdanningsretningslinjer (rekord management). Virksomheter i dag trenger derfor i stor grad økt fokus på retningslinjer og oppfølging av overholdelsen av disse retningslinjene. Om virksomheten skal kunne stole på bevisverdien relatert til informasjonsforvaltning så er man avhengig av gode retningslinjer og praksis. I tilfelle en rettssak må en virksomhet kunne dokumentere hvem gjorde hva når i forhold til relevant dokumentasjon og er dokumentasjonen troverdig. I følge forskningsprosjektet InterPares er pålitelig rekords avhengig av å vurdere en rekords integritet og identitet. En sund rekord management policy vil være å sikre pålitelighet og derav bevisverdi av virksomhetens rekords.

Manglende informasjonseierskap Informasjonseierskapet må være forankret hos toppledelsen Informasjonseierskap bør deles i tre hovedområder: Teknologieier Informasjonseier Applikasjons-/funksjonalitetseier (Forretnings-/fagansvarlig/prosesseier) Eierne må sikre virksomheten en god informasjonsstruktur/gode metadata

Manglende informasjonseierskap Suksessfaktorer for de ulike eierne: Et tydelig mandat fra toppledelsen God opplæring Har erfaring fra flere supportfunksjoner/forretningsområder God personlig egenskaper som f eks autoritet

Manglende livssyklusforståelse Krav fra lover, kontraktkrav og bestemmelser ifht til informasjonsforvaltningen/livssyklusen Sikre et godt samspill mellom juridisk, RM, IT og forretningssiden Sikre fullstendighet, nøyaktighet, integritet og pålitelighet Identifisere relevant informasjon

Manglende livssyklusforståelse Eksempler på hvordan du kan sikre samme mening over tid: Dokumentet bør være tilgjenglig under hele levetiden Endringer i dokumentene må kunne gjøres når som helst under levetiden Sikkerhets og tilgangskontroll må vedlikeholdes under hele levetiden Sikre lovoppfyllelse og håndtering av operasjonelle driftsrisikoer Hardware og software må håndteres gjennom hele levetiden

Manglende policyer og prosedyrer Overordnet informasjonspolicy En tydeliggjøring av ledelsens forventninger, den enkeltes ansvar og konsekvenser det vil ha dersom de ikke etterleves Gode retningslinjer vil kunne dokumentere orden i eget hus ifht etterforskere, rettsvesenet eller media Informasjonsfyrtårn: ivareta helhetsbehovet relatert til en rekord dvs er det flere deler av en digital rekord som må tas vare på, etc?

Manglende policyer og prosedyrer Innfør et informasjonsfyrtårn Tar rollen som premissgiver/rådgiver for all dokumentfaglig I prosjektsammenheng utarbeider informasjonsplaner og driver oppfølging Produserer rapporter og statistikker som bidrar til fokus, styring og kontroll Tar rollen som lederens forlengende arm og proaktiv pådriver Fronter endringer og fungerer som en endringsagent Aktivt styrer, kontrollerer dokument-/informasjonshåndteringen

Manglende opplæring og support Tydelig formidling av hvilken konsekvens mislighold vil ha for selskapet og den enkelte Sikre entydig forståelse av retningslinjer og policyer Sikre kvalitet på informasjonen som registreres og at det registreres riktig Regelmessig support og oppdatering til verktøy, metadata og policyer

Manglende verktøy Samhandling på tvers internt og eksternt Verktøy for å dele, analysere og presentere informasjon universelt Brukervennlighet Et standardisert dokumenthåndteringsverktøy, gruppevareløsninger, søkemotorer etc

Manglende automatikk Informasjon skal kun registreres en gang for deretter evt å gjenbrukes Det er bedre med god kvalitet på 3 felter enn dårlig på 10 – færrest mulig felter ved registrering Lovverket oversettes til ulike kontroller i datasystemene Standarder; CobiT, Coso kan vurderes (gir føringer for å kunne sikre at data forblir komplett, nøyaktig og lovlig) Automatisk overvåking, inkl rapportering av avvik Plukke ut relevante områder til revidering

Manglende automatikk Momenter som bør inngå er: Myndighetskrav og lovkrav Langtidslagringsrammebetingelser Ansvarsforhold relatert til informasjonsforvaltningen Gjenfinning og sporbarhet av informasjon Sikring av informasjon, informasjonsflyt g kontroller

Manglende endringsevne Knytte endringene til klare forretningsmål Tydelig formidling av konsekvensene dersom målene ikke nås for den enkelte og virksomheten Være åpne med både fiasko og suksess Ledelsen må gå i front GENERELT HVA SKAL GJØRES OG HVORFOR

Manglende endringsevne Som leder må man kunne svare på: Hva ønsker vi å oppnå ved å gjøre denne endringen? Hvordan skal vi få til denne endringen? Hvorfor skal de berørte godta endringen – hav er deres motivasjon?

Veien til suksess - styr unna de sju skjærene!

Oppgave 1 Pr skjær har vi laget en sjekkliste (deles ut). Burde det vært andre punkter på sjekklista? Diskuter med sidemann i 2 minutter. Del kommentarene i plenum

Kjøp boken for å lære mer om Information Intelligence!

Virksomhetsverdier Helhetlig informasjonsstyring Del 2 Virksomhetsverdier Helhetlig informasjonsstyring

Hva mer enn finansiell rapportering må ivaretas?

Visste du at… ”Of all the information that we gather and store, only up to 7% is used to take better decision” IBM Global Services i 2002 I 2006 påpeker norske politikere at selv om norske olje reserverer nå utgjør over 1000 Milliarder er det fortsatt slik at intellektuell kapital utgjør 4/5 deler av vår totaleøkonomi.

Virksomhetshukommelsen

Hvordan forvalte verdiene? Lovverket stiller krav til informasjonshåndteringen. Krav relatert til opprettelse og lagring, tilgang, endringshåndtering, distribuering og makulering. Slike beslutninger kan ikke tas på en ad-hoc basis, men må være godt forankret i arkivdanningsretningslinjer (rekord management). Virksomheter i dag trenger derfor i stor grad økt fokus på retningslinjer og oppfølging av overholdelsen av disse retningslinjene. Om virksomheten skal kunne stole på bevisverdien relatert til informasjonsforvaltning så er man avhengig av gode retningslinjer og praksis. I tilfelle en rettssak må en virksomhet kunne dokumentere hvem gjorde hva når i forhold til relevant dokumentasjon og er dokumentasjonen troverdig. I følge forskningsprosjektet InterPares er pålitelig rekords avhengig av å vurdere en rekords integritet og identitet. En sund rekord management policy vil være å sikre pålitelighet og derav bevisverdi av virksomhetens rekords.

Kritiske faktorer for å sikre kvalitet Tabeller

Fortsettelse…

Fortsettelse…

Fortsettelse…

Fortsettelse …

Overordnete forretningsstrategier og -mål Teknisk infrastruktur, hardware og drift av systemer Information Management = forvaltning av intern/ekstern informasjon IM Business Intelligence BI = beslutningsstøtte Knowledge Management = både strukturert (eksplisitt) og human (taus) kapital i organisasjonen KM Enterprise Content Management = innholdshåndtering for hele virksomheten CM Content Management = innholdshåndtering Document Management DM = dokumenthåndtering Records Management RM = arkivforvaltning/danning Dra gjennom begrepsskissen fra i fjor og si noe om hvilke begreper vi skal fokusere på i år. Hovedutfordringene ligger i RM Samhandling er gjennomgående i forhold til alle elementene i figuren. Definisjon på samhandling. Verktøy i denne sammenhengen der resultatene blir implementert. En del av samhandlingen skal inn i RM. Records Management = Arkivforvaltning,danning, håndtering av arkivverdig dokumentasjon Document Management = Dokumenthåndtering, behandling av alle typer dokumenter, både arbeidsdokumenter og arkivverdige dokumenter Content Management = Innholdshåndtering, behandling av all type innhold (dokumenter og data) i en organisasjon Knowledge Management = Kompetanseledelse, bevisst utvalg og forvaltning av eksplisitt informasjon og human kapital Information Management = Innformasjonsstyring, styring av virksomhetens interne informasjon og kontakt utad (Internett, tilgang til ekstern informasjon) Business Intelligence = Anvendelse av firma/markedsinformasjon, som underlag for viktige forretningsvurderinger og beslutninger (forretninganalyse)

Virksomheten kontra omverdenen

Helhetlig informasjonsstyring

Oppgave 2 Pr intelligence område har vi laget en rollebeskrivelse, et program og en indeks. Kunne dette fungert i din virksomhet? Hva burde evt vært gjort annerledes? Diskuter med sidemann i 10 minutter. Del kommentarene i plenum

Kjøp boken for å lære mer om Information Intelligence!