Records Management - Paradigmenwechsel oder neue Orthodoxien?1 Jürg Hagmann Inhalt 1. 2. 3. 4.
Vorbemerkungen Herausforderungen im Informationsmanagement Grundlagen des Records Managements - Fundament Neue Paradigmen und Trends a. Information Governance (Information Lifecycle Management) b. Records Management 2.0 - "Systems of Engagement" 5. Orthodoxien - Was bleibt? 6. Fazit Lead Der Beitrag befasst sich mit dem Spannungsfeld zwischen den fundamentalen Anforderungen des Records Managements –keine Organisation kommt ohne Dokumentenverwaltung aus – und spezifischen Problemen der Umsetzung vor dem Hintergrund einiger Trends und Herausforderungen im Informationsmanagement. Der neue Begriff der Informationslenkung und –steuerung (Information Governance, IG) wird kritisch hinterfragt und es wird versucht das Records Management im grösseren Kontext der Informationslenkung (IG) zu positionieren bzw. einzuordnen. Schliesslich wird noch kurz der Frage nachgegangen welche Auswirkungen das Web 2.0 und die Sozialen Medien auf das Records Management haben und was von gewissen Orthodoxien, insbesondere von der Fixierung auf herkömmliche EDRMS2, übrig bleibt. 1. Vorbemerkungen Nicht erst seit dem letzten Handbuch von Peter Toebak3 wissen wir, dass Records und Information Management (RIM) innerbetrieblich einen schweren Stand hat. Im deutschsprachigen Raum reden wir von Aktenführung oder Schriftgutverwaltung4 (öffentlicher Sektor) oder Dokumentenverwaltung (Privatsektor), was sich als Begriff leichter verkaufen lässt. So richtig angekommen ist die Disziplin jedoch weder in Deutschland noch in der Schweiz (Kampffmeyer5). Dazu nur zwei Beispiele aus der Praxis, die bezeichnend sind für die RIM-Realität. 2008 brannte in Lausanne das Archivlager der Firma "securarchiv" vollständig aus6. In der Tat der Super GAU für ein Unternehmen dessen Kernkompetenz die sichere Aufbewahrung von Geschäftsakten ist. Laut Aussagen eines Firmenvertreters verlor der Anbieter bloss einen Kunden; man stelle sich dies vor! Beweismittel sind 1
Der Artikel basiert auf einem Referat und Workshop anlässlich der 15. Tagung des VdWArbeitskreises „Elektronische Archivierung“, am 18. Juni 2012 in der Stiftung Rheinisch Westfälisches Wirtschaftsarchiv, Köln 2 Electronic Document and Records Management System 3 vgl. Peter M. Toebak, Records Management. Gestaltung und Umsetzung, Baden 2010, S.30ff 4 Ich empfehle diesen Begriff abzuschaffen, da er im Multimedia-Zeitalter (es gibt auch Bilder (bewegte, unbewegte) sowie Audio) denkbar ungünstig wahrgenommen wird. 5 Ich denke nicht, dass dies an der Begrifflichkeit liegt. vgl. Kampffmeyer U., Wasniewski A.: Records Management: Prinzipien, Standards und Trends, Hamburg 2012, S.88 6 vgl. J.J. Eggler: L’incendie d’un dépôt d’archives à Lausanne : quels enseignements ?, in: Arbido Revue 4/2010 (der Autor behandelt die Sicherheitsaspekte). 1
unwiderbringlich verloren, aber dies hat keine Konsequenzen weil der Wert der Akten praktisch als null taxiert wird. Viele Kunden sagten, dass die meisten verbrannten Akten entweder kurz vor Ablauf der Aufbewahrungsfrist gestanden seien oder wenig Evidenzwert gehabt hätten. Im zweiten Beispiel geht es um die Kampagne "ECM Jetzt !", die vor einigen Jahren durch Deutschland gerauscht ist - mit wenig Wirkung allerdings. Das Fazit der Kampagne "ECM - Jetzt" war im Urteil der meisten Experten vernichtend, die Aktion ist ohne nachhaltige Wirkung verpufft. Die beiden Beispiele erinnern an Dilbert, der einen leichten Job hat, seitdem er als Records Manager alle im Records Center eingereichten Dokumente grad sofort vernichtet, da sowieso nie jemand danach fragt.
Effektiv steht die Frage im Raum, wen kümmert das Ganze? "Who really cares, does anybody care?"7 Weshalb wird überhaupt noch Records Management betrieben und gefordert, muss man etwas pessimistisch fragen? Wie kann ich etwas vertreten und propagieren, das niemand so richtig will oder zumindest so tut als brauche es dies alles nicht? Weil wir Gesetze, Behörden und Regulatorien haben die dies zwingend verlangen! Man hat keine Wahl. Compliance, also Konformität mit den gesetzlichen Aufbewahrungsfristen ist nach wie vor der Haupttreiber von Records Management weltweit (s. Grafik).
Source: AIIM Industry Watch – Records Management Strategies . Plotting the changes, 2011
7
vgl. die Debatte im Blog von B.T. Blair - http://barclaytblair.com/2012/07/13/can-we-really-changeorganizations-cultural-engineering-and-information-governance/ 2
Der Satz eines amerikanischen Anwalts hat Schule gemacht: "If you think compliance is expensive, try non-compliance."8 Nun, Tatsache ist jedoch auch, dass trotz der abschreckenden Wirkung einiger Fälle, die die Firmen teuer zu stehen kamen (Glaxo9, Novartis10 u.a.m.), nicht mehr Budgets in die Prävention, sprich Records Management gesteckt werden. Dies ist der springende Punkt. Trotz den oft massiven Sanktionen und zunehmendem Behördendruck werden in den meisten Risikomanagement Erwägungen auf der Führungsebene die Kosten eines Vergleichs im Prozessfall in Kauf genommen. Oft heisst es, dass der Präventionsaufwand auf die Dauer höher sei als die Kosten eines Vergleichs in einem seltenen Gerichtsfall. Hier wird z.B. eindeutig der Faktor Reputation unterschätzt (in den USA inzwischen weniger). Die Schweizer Bank UBS zum Beispiel hat einen immensen Reputationsschaden durch all ihre Fälle und Auseinandersetzungen mit den amerikanischen Steuerbehörden. Dies sind immaterielle Werte, die oft verkannt werden (intangible assets). Solange das Risikomanagement bei einer Güterabwägung zwischen Präventionskosten und Folgekosten durch Gerichtsfälle davon ausgeht, dass es günstiger ist mit den möglichen Folgekosten im Litigationsfall zu leben, solange geschieht wenig im Bereich Records und Document Management, zumindest in der Privatwirtschaft. Für Europa und Asien trifft dies noch mehr zu, da hier der juristische Druck weit geringer ist als in den USA. Vor dem Hintergrund einer solch widrigen Praxis gilt also für das Records Management nach wie vor die Devise: "Successfully selling what nobody wants"11. 2. Herausforderungen im Informationsmanagement Ausgehend von den oben erläuterten Umständen, gilt es die neuen Herausforderungen bzw. den raschen Wandel der Bedingungen im Informationsmanagement anzunehmen. Allerdings wird es in Zukunft auch nicht leichter eine effiziente Dokumentenverwaltung einzuführen und zu pflegen, im Gegenteil. Wir erleben zur Zeit einen noch nie gekannten Kontrollverlust von Daten und Information nicht nur aufgrund der Informationsflut (Big Data), sondern vor allem auch wegen der Diversität der Kanäle ("Consumerization of IT") was unglaubliche Redundanzen und eine Entropie von Daten bewirkt. Die IT muss sich innerhalb einer Organisation immer mehr den Wünschen der End-User beugen (immerhin zugunsten der Flexibilität), dieser Trend ist nicht aufzuhalten12, sei dies nun betriebswirtschaftlich sinnvoll oder nicht (Stichwort "Bring Your Own Device" (BYOD). Die folgenden Hauptfaktoren werden in Zukunft den Wandel nachhaltig beeinflussen13: “Big Data” ist ein Buzzword, das seit 2011 umhergeistert und vor allem auf die Probleme der Auswertung von grossen Datenmengen für Business Zwecke hinweist ("analytics"). Im Alltagsgeschäft geht es jedoch auch darum, dass die IT das Datenwachstum (und die kontrollierte Datenvernichtung) in den Griff bekommt , da dieses oft schon so dramatisch
8
Deputy US Attorney General Paul McNulty, as quoted by Alex B. Howard, “Financial Crimes Resulting in Increased Compliance Enforcement,” SearchCompliance.com, June 8, 2009. Online at, http://searchcompliance.techtarget.com/news/article/0,289142,sid195_gci1358669,00.html?track=NL-‐1166&ad=707674&asrc=EM_NLS_7535574&uid=8552802 9 http://www.compliancezen.com/compliance_zen/2009/10/another-real-world-lesson-on-having-arecords-retention-policy.html 10 Medikamentenpreise je nach Kaufkraft, in: Tages-Anzeiger, 17.3.2012, mit Hinweisen auf die Vorfälle bei Novartis; "Wenn die Pharmaindustrie in schweren Zeiten Sparmassnahmen unternimmt, wird nicht zuletzt bei der Dokumentation der Produktionsprozesse angesetzt." 11 Titel eines Vortrags des damaligen Records Managers des CIA (2004 ARMA Konferenz). 12 Private Daten lassen sich auch immer weniger von geschäftlichen Daten trennen. vgl.http://www.computerwoche.de/software/bi-ecm/2490266/?r=6616293715963949 13 John Mancini (AIIM): Too much information in the digital universe. Extreme information management (Vortrag gehalten am ECM-Forum, Zürich 8.5.2012) 3
ist, dass die geplanten IT Budgets bereits während des Jahres laufend gesprengt werden14. Die Prozess- und Datenredundanz wird zunehmen, wenn die Transparenz über die Geschäftsprozesse inkl. darunterliegende Systeme nicht besser wird bzw. Kontrollmechanismen via Taxonomien und Metadaten durchgesetzt werden. Die Technologieabfolge beschleunigt sich dramatisch, sodass die User zunehmend überfordert werden durch die rasch wechselnden Applikationen und Betriebssysteme. Die Regulierungsdichte nimmt zu, was in der Folge zu Zielkonflikten führt (Datenschutz vs Verfügbarkeit von Daten und Records). Die Einhaltung der Normen und Regeln wird beliebig je nach Hygieneanspruch und Ressourcen um die Regeln durchzusetzen. Das Diktat der Mobilität (Stichworte Social Media, BYOD) sowie der Virtualisierung (Cloud) beeinträchtigen zunehmend die Informations- und Rechtssicherheit und führen zu weiteren Unsicherheiten im täglichen Umgang mit Information.
Nun ist es ja nicht so, dass in Unternehmen und Verwaltung keine Vorschriften, Richtlinien, Regeln etc. erlassen werden um diese Probleme bzw. Herausforderungen zu meistern, aber das wahre Problem liegt hier im Durchsetzungsdefizit. Man beachte folgende Umfrageresultate15: 66% der befragten Firmen haben eine Informationsmanagement Strategie, aber bloss 22% wenden sie an. 79% haben eine Aufbewahrungsrichtlinie, aber bloss 32% setzen sie durch. 58% geben an ihr Ziel sei ein unternehmensweites Records Management Modell mit allen darunterliegenden Content Systemen, aber bloss 9% haben dies schon effektiv umgesetzt. 70% haben Regeln (Policies) für Social Media und mobile Geräte, aber nur 30% setzen sie durch. Ohne Durchsetzung der beschlossenen Regeln wird also gar nichts geschehen. Wir müssen uns zwischen Ordnung und Chaos16 entscheiden. Die menschliche Natur neigt zwar zur Bequemlichkeit im Umgang mit Information, gleichzeitig ist ihr jedoch ein gewisser Ordnungssinn inhärent. 3. Records Management Grundsätze - das Fundament Records Management ist Risikomanagement und Einhaltung von gesetzlichen und andern Vorgaben (Compliance). Streng genommen gibt es neben den physischen Gefahren17 nur zwei Risikofälle bei der Aufbewahrung (unabhängig vom Medium): Lücken und Fehler in den vorhandenen Dokumenten und Daten oder zu viele Dokumente und Akten, die zulange aufbewahrt werden. Beide Fälle können zu Compliance Problemen führen. Im ersten Fall fehlt mir die Evidenz, im zweiten Fall können schlafende Hunde unnötig geweckt werden
14
According to IDC – Between now and 2020… 44X growth in information, 75X growth in information “containers”, BUT…only 1.4X growth in IT professionals (Mancini ebenda) 15 Source: AIIM, Process Revolution: Moving Your Business from Paper to PC to Tablet, 2012 16 Ob dies nur durch Anordnung von oben durchzusetzen ist, bleibt fraglich; vgl. Kampffmeyer ebenda Fussnote 3, S.95 : "Ordnung für andere schaffen, die man vielleicht gar nicht kennt, von denen man nicht weiß, ob sie die Ordnung und die geordneten Objekte jemals nutzen werden, ist nur durch Anordnung von oben durchzusetzen. Anordnen heißt, andere zur Ordnung anhalten. Ordnung halten funktioniert hier nur dann, wenn das Einhalten der Ordnung kontrolliert wird und die Kontrolle nachkontrolliert wird und über die Kontrollen selbst wieder Ordnung geschaffen wird. Unsere genetische Disposition hilft uns einerseits Ordnung zu schaffen in dem wir die Welt und ihre Objekte klassifizieren, andererseits sind die Ordnungen in unserem Kopf sehr individuell und volatil." 17 Hazards wie Feuer, Wasser, Pilzbefall, Erdbeben, magnetische Wellen u.a. äussere Einwirkungen 4
oder jemand kann - meist unter grossem Aufwand - zur Rechenschaft gezogen werden für etwas was längst gegessen schien18. Sinn eines Records Management Programms19 ist es also, sämtliche Risiken der Aufbewahrung über geeignete Massnahmen entweder zu vermeiden oder zumindest stark zu mindern. Dabei sind die wesentlichen Prinzipien einer rechtskonformen und ordnungsgemässen Aufbewahrung gemäss ISO-Norm 1548920 zu beachten. Verantwortlichkeit und Rechenschaftsfähigkeit21: Es sollte unterschieden werden zwischen a. Rollen (Personen), die strategisch und operativ verantwortlich sind für die Methode der Gestaltung, Umsetzung und Durchführung der Programmelemente und b. Senior Management Rollen, die für das ganze Programm haften, die Durchsetzung kontrollieren lassen (Revisionen) und juristisch zur Rechenschaft gezogen werden können wenn etwas schief geht. Integrität: Nachweis, dass Unterlagen nicht verändert wurden und vollständig sind (durch Zeitstempel, Zertifikate, Hashwerte, Unterschrift u.a.m.) Authentizität: das „Original“ muss juristisch anfechtbar sein (echt). Die Evidenz muss das halten was sie vorgibt zu sein. Verfügbarkeit (Nutzbarkeit): der Zugang, die Suche, Lesbarkeit, Reproduzierbarkeit und Haltbarkeit der Information müssen gewährleistet sein. Verlässlichkeit: die Unterlagen erlauben eine glaubwürdige, vollständige und genaue Wiedergabe der nachgewiesenen Transaktionen, Aktivitäten oder Tatsachen. Neben diesen Hauptprinzipien gibt es noch weitere Grundsätze, die u.a. im GARP-Modell22 entwickelt worden sind. So etwa Transparenz oder Sicherheit (darüber mehr weiter unten in Abschnitt 4.1). Die wesentlichen Bausteine eines Records Management Programms aus organisatorischer Sicht finden sich in der amerikanischen RIM-Bibel, die seit mindestens einem Jahrzehnt als Credo der Content-orientierten Informationsmanager gilt: Information Nation23 von Randy Kahn und Barclay T. Blair. Sieben Schlüsselelemente sind darin zielführend und auch für Manager verständlich: 1. Leadership: Bei den obersten Führungskräften muss Autorisierung und Sponsorship für ein RIM-Programm erlangt werden; Leadership und Verantwortung müssen klar definiert sein, und die wichtigsten Partner, IT, Rechtsdienst, Governance u.a.m. müssen ins Boot geholt werden. RIM Programme gelingen nur gut orchestriert mit einem multidisziplinären Ansatz (Richtlinien kommen von oben). 2: Richtlinien und Standards: Bindende Regeln und Abläufe (Prozeduren) nach Bedarf entwickeln und in Kraft setzen. Sofern möglich auf bestehende Standards zurückgreifen24.
18
vgl. den Fall Glaxo, oben Fussnote 6; klassisch auch die Affäre um die nachrichtenlosen Vermögen in den Schweizer Banken (1996-2000) wo Unmengen von Akten aus der Zeit vor 1945 noch kostspielig aufgearbeitet werden mussten, damit man wusste was man zu untersuchen hatte. All dies hätte man sich ersparen können, wenn die Unterlagen ordnungsgemäss vernichtet worden wären. 19 Ein Programm wird im Unterschied zu einem Projekt für immer etabliert und unterhalten. RIM muss Teil der Organisation werden. 20 ISO-15489: ISO 15489 (Teil 1&2): dt. im http://www.archivschule.de/forschung/schriftgut/manual/; s. neu auch die ISO Norm 30300: http://www.iso.org/iso/catalogue_detail?csnumber=53732 21 Das Englische unterscheidet zwischen "Accountability" (Rechenschaftsfähigkeit) und "Responsibility" (Verantwortlichkeit) 22 General Accepted Record Keeping Principles (ARMA: vgl. https://www.arma.org/garp/metrics.cfm) 23 vgl http://infonation.kahnconsultinginc.com/ - In der zweiten Auflage von 2009 wurden weitere Aspekte des Records Managements beigefügt. Obwohl gewisse Teile und Beispiele aus diesem Werk stark in der US-amerikanischen Kultur begründet liegen, lassen sich die meisten Anforderungen generisch in jede Organisationskultur übertragen. Es ist praxisorientiert, prägnant und klar strukturiert und formuliert ohne ins Detail zu gehen; vgl. auch den Blog von R. Kahn: http://infonation.kahnconsultinginc.com/ 24 eine gewisse Uebersicht bietet: Normenkatalog VSA 5
3: Klare Definition und Delegation von Programmrollen: sämtliche Rollen zur Umsetzung und Unterhaltung des Programms müssen bestimmt und klar sein (Profile mit Pflichtenheften). 4: Kommunikation und Training: die Richtlinien und Abläufe müssen durch die Rollen vermittelt und trainiert werden. Dies ist einer der am meisten vernachlässigten und unterschätzten Punkte. 5: Überwachen und Auditieren: sämtliche Anforderungen der Programmelemente und Abläufe müssen anhand von Kontrollpunkten überwacht und regelmässig revidiert werden (jährlich). Compliance und Programmnutzen müssen messbar sein (Messmethoden entwickeln). 6: Durchsetzung der Programmrichtlinien: es gilt Steuerungsmechanismen mit Sanktionen und Massnahmen zu entwickeln um das Programm durchzusetzen. 7: Kontinuierliche Verbesserung: anhand von Reifemodellen und Assessments sollte das Programm laufend verbessert werden. Diese (ideal-)typische Vorgehensweise hat sich bewährt. Sie beantwortet die meisten Fragen zum Warum, Was, Wer und Wie eines RIM-Programms. Natürlich müssen sie die Anforderungen entsprechend den Prozessen und der Kultur in ihrer Organisation adaptieren. Für spezifische Prozesse und Aktivitäten können spezielle Handbücher und Consultants beigezogen werden25. Umsetzung Das Fundament jedes RIM-Programms besteht aus einem Aufbewahrungsplan (retention schedule inkl. Klassifikation bzw. Taxonomie26) und einem Ablageplan der das Ordnungssystem des Aufbewahrungsplans übernimmt (file plan). Damit ich diese Hilfsmittel entwickeln kann muss ich zuerst alle Record Typen in der Organisation identifizieren (Inventar) und herausfinden welchen Aufbewahrungsanforderungen diese unterliegen (Anforderungskataloge mit allen gesetzlichen, regulatorischen oder eigenen Geschäftsanforderungen betr. Aufbewahrungsfristen). Damit kommen wir zum Haus und Fundament eines RIM-Programms. Ohne Fundament wird das Haus nicht stehen bleiben. (s. Grafik)
25
z.B. für elektronisches Records Management: Saffady William: Managing electronic records, London 2009 (4. edition, facet) 26
6
Sobald sie das Fundament erstellt haben, können sie an die Umsetzung der weiteren Programmpunkte gehen. Sie brauchen eine IT-Lösung um ihre elektronischen Records zu verwalten; dies kann ein einfaches Dokumentenverwaltungssystem sein mit Funktionen um den Lifecycle zu kontrollieren27 oder ein anspruchsvolleres EDRMS28 (ECM). Dies hängt vom Mengengerüst und der Komplexität der zu verwaltenden Unterlagen ab. Ein ECM-Projekt besteht in der Regel zu 80% Organisation und Logik und bloss zu 20% ausTechnologie. Evaluieren sie ein IT-Produkt erst, wenn sie alle Anforderungen, den Geltungsbereich sowie die Prozesse, Rollen und Abläufe genau definiert haben. Eine wesentliche Frage ist auch Teil der Orthodoxie die weiter unten in Frage gestellt wird. Wer deklariert und klassifiziert jeweils die abzulegenden Records innerhalb eines bestimmten Geschäftsprozesses? Sind es operationelle Records Manager oder ist es der End-User (bzw. Informationseigner)? Ist der User überhaupt in der Lage zuverlässig und konsistent Records zu qualifizieren und zu klassifizieren. Leidet darunter nicht die Datenqualität? Könnte man diesen Prozess nicht weitgehend automatisieren? Sollen überhaupt noch Records deklariert werden? Solche und ähnliche Fragen kreisen um die klassische Arbeit des Records Managers. Bei der Umsetzung von ECM ist folgendes Gesamtbild vorgesehen: Gemäss dem definierten und etablierten Ordnungssystem (Klassifikation, Taxonomie) werden die Aufbewahrungsregeln / Policies (Fristen) technisch den entsprechenden Aktivitäten / Record Typen (above item level) zugeordnet. Danach werden die Record Typen korrekt mit den darunterliegenden Dokumenten (item level) verknüpft um den Lifecycle zu kontrollieren. Dabei steuert die RIM-Logik die folgenden Prozesse im System: Aufbewahrungsplan (Lifecycle) o Was wird wann gelöscht? o Anwendung der Aufbewahrungsregeln auf alle Dokumente Vernichtungsstop (legal hold) o Umsetzung der Vernichtungsstops gem. Anforderungen Deklaration o Dokumente sind vor jedem löschen geschützt (lock down) o Vernichtung nur durch def. Aussonderungs- und Genehmigungsprozess möglich Klassifikation o Es werden die richtigen Aufbewahrungsregeln zugewiesen bzw. angewandt Aussonderung (Vernichtung) o Aus werden nur Unterlagen aus genehmigten Schedules vernichtet o Vernichtungsprotokolle werden aufbewahrt (audit trail) Die ECM-Technologie kümmert sich dann um den Rest. Ablage, Speicherung (repository) o Lokation (Server, Drive, oder Referenz auf physisches Objekt) Suche / Retrieval Sicherheit und Zugriff o Wer darf was? Versionskontrolle o Tracking garantiert (Entstehung, Versionen) Kollaborationsnachweis o Wer hat was gemacht mit dem Dokument? Workflow o Der Erstellungs- und Genehmigungsprozess ist definiert
27 28
z.B. Sharepoint Records Center Electronic Document and Records Mgmt System (allg. Enterprise Content Mgmt System, ECM) 7
Im folgenden werden noch kurz die aus meiner Erfahrung am häufigsten auftretenden Probleme im Bereich Records Management dargestellt (Dauerbrenner). 1. Verantwortlichkeit (ownership) Die Ursache aller Probleme im Informationsmanagement gründet in der Frage: Wer ist zuständig und verantwortlich für welche Information auf welchem Level und in welchem Stadium des Lenebszyklus?29 In der Regel unterscheidet man zwischen dem Eigner (business ownership) und einem Verwalter (custodian, IT (data steward), Records Center etc.). Wieviele Rollen (Personen) dazu definiert werden ist Sache der Organisation, entscheidend ist jedoch, dass die Rollen personenunabhängig über die Zeit nachvollziehbar sind (via Application Design oder dokumentarisch) , damit wichtige Information nicht verwaist. Stellen sie sicher dass dies passiert und kontrollieren sie es! Leider werden solche Rollen oft wie eine heisse Kartoffel hin und hergeschoben und zuletzt sitzt jemand auf irgendeinem Informationsbestand von dem er/sie keine Ahnung hat bzw. nicht einmal weiss dass er noch existiert. Der häufigste Fall ist derjenige, wenn Mitarbeiter die Firma verlassen oder ihre Funktion wechseln, danach folgen Umzüge, Firmenübernahmen und Migrationen von Daten (inkl. neue Datencenters). In all diesen Fällen können wichtige Dokumente verloren gehen, werden nicht mehr gefunden, sind gelöscht worden (home drives, Mailboxen) oder der Kontext der Evidenz kann nicht nachvollzogen und verstanden werden. Wie vorbeugen? a. Stellen sie sicher, dass jeder Informationseigner für jeden Geschäftsprozess eine verantwortliche Person bestimmt, die für die ordnungsgemässe Ablage (Archiv) zuständig ist (elektronisch, physisch). Die Nachfolgeregelung muss Teil des Prozesses sein ebenso das Vorhandensein eines Stellvertreters bei Abwesenheit. Diese Massnahme ist auch nötig, wenn sie die Aufbewahrung ausgelagert haben (custodianship), denn es braucht eine Kontaktperson aus der Organisation, die den Dokumentenstransfer koordiniert und bei Bedarf die entsprechende Information organisiert (unabhängig ob physisch oder elektronisch). b. Wenn jemand die Firma verlässt soll er die relevanten Unterlagen seinem Nachfolger übergeben oder an den/die zuständige Vorgesetzte/n; zudem muss ein Handover Formular zu Handen des Personalwesens und/oder der Fachstelle mit einer Liste der übergebenen Unterlagen erstellt werden (Nachvollziehbarkeit). 2. Retention Schedule Compliance Ein weiterer kritischer Aspekt ist die Frage, ob dem Aufbewahrungsplan auch wirklich nachgelebt wird; prüfen sie stets, ob die im Plan aufgestellten Fristen effektiv mit dem real existierenden Lebenszyklus übereinstimmen. Allgemein werden Unterlagen und Daten viel zu lange aufbewahrt (v.a. in Europa), auch wenn die Frist gemäss dem Plan schon längstens abgelaufen ist. Setzen sie deshalb die regelmässige Aussonderung und Vernichtung der Unterlagen durch, damit sie konform gehen mit den Anforderungen des Aufbewahrungsplans. Seien sie in diesem Punkt besonders hartnäckig, denn der Plan degeneriert sonst zum Wunschzettel und das RIM-Programm verliert entsprechend an Glaubwürdigkeit. Letztlich geht es auch um die juristische Anfechtbarkeit des RIMProgramms (legal defensability). Erlauben sie Ausnahmen nur in begründeten Fällen (laufende Gerichtsverfahren, eDiscovery, anhaltende Risiken). Neben den oben genannten Punkten gibt es natürlich eine ganze Reihe von weiteren kritischen Aspekten die es bei Umsetzung und Unterhalt eines RIM-Programms zu beachten gilt (Datenqualität, Metadaten, Datenschutz etc.), aber der Raum verbietet es hier weitere Bereiche aufzugreifen30. Abschliessend sei hier nur gesagt, dass alle Aktivitäten, die geeignet sind die Nachvollziehbarkeit von Geschäftstransaktionen und -handlungen zu 29
vgl. Gartner: "The word that matters most is accountability." in: Debra Logan (blog): http://blogs.gartner.com/debra_logan/2010/01/11/what-is-information-governance-and-why-is-it-sohard/ 30 konsultieren sie Handbücher über Records Management, mit Vorzug solche aus dem angelsächsischen Raum; diverse Papers von U. Kampffmeyer sind auch hilfreich (vgl. Fussnote 3) 8
unterstützen sowie die Auskunftsfähigkeit der RIM-Fachstelle zu verbessern nachhaltig zum Erfolg des Records Management Programms beitragen. 4.a. Neue Paradigmen und Trends - Information Governance (IG) In den letzten paar Jahren haben insbesondere amerikanische Berufsverbände und Interessengruppen immer wieder die Frage aufgebracht, ob a. die Konzepte des Records Managements sowie der Begriff noch zeitgemäss sind und ob man b. all die Anforderungen des Lifecycle Managements nicht in einer erweiterten Perspektive quasi holistisch betrachten sollte in Zusammenhang mit den Abhängigkeiten, die aus verwandten Disziplinen des Informationsmanagements stammen? Zur Frage a. : viel deutet darauf hin, dass es effektiv keinen Sinn mehr macht, die Probleme nur im engen Fokus der Aufbewahrung und Vernichtung anzugehen. Ich glaube nicht, dass wir in Zukunft noch danach fragen werden, ob irgendeine relevante Information oder ein bestimmtes Dokument als "record“ qualifiziert oder deklariert wird; wir müssen bloss fragen: Wie lange brauchen wir die (Business relevante) Information (speziell wenn es keine gesetzliche oder regulatorische Anforderungen gibt) Warum brauchen wir die Information? Wie und wie oft brauchen wir die Information und was ist erlaubt während wir sie verwalten? Viele Experten empfehlen deshalb den Begriff "Records Management" abzuschaffen, zugunsten des offeneren Begriffs "Information Lifecycle Management"31 (ILM) oder noch besser "Information Lifecycle Management & Governance (ILMG)32. Jenseits der Semantik bleibt trotzdem die Frage im Raum, anhand welcher Kriterien denn "relevante Information" bewertet, klassifiziert und aufbewahrt wird, da es ja unmöglich ist alle Information aufzubewahren. Da bleibt dann in der Regel nur wieder der Rückgriff auf altbewährte Rezepte und Normen33. Zur Frage b.: man kommt in der heutigen Diskussion kaum mehr um den Begriff der "Information Governance" (IG) oder zu deutsch Informationslenkung herum, obwohl die entsprechenden Konzepte noch sehr unreif sind und jede Organisation ihr eigenes Verständnis darüber entwickelt34. Weit verbreitet ist zum Beispiel der fundamentale Fehler, dass in der Praxis nicht zwischen IT Governance35 und Information Governance unterschieden wird. Gartner spricht hier deutliche Worte36 und empfiehlt IG auch als Subset von Corporate Governance zu behandeln.
31
die Gefahr bei ILM besteht in der Verwechslung mit dem in der IT bekannten Begriff, der da bedeutet: abgestufte Speicherung (tiered storage). 32 vgl. CGOC: http://www.cgoc.com 33 vgl. Blog Chris Walker und Kritik von B.T. Blair: http://christianpwalker.wordpress.com/2011/02/23/records-matter-declaration-doesnt/ 34 Neben den einschlägigen Consulting Firmen (Gartner etc.) hat sich an der Universität Amsterdam eine Forschungsgruppe systematisch damit befasst, vgl.: http://jhagmann.twoday.net/stories/97003434/ 35 IT Governance befasst sich primär mit den Risiken und Konformität der IT Architektur, der Systeme und Infrastruktur (Kanäle), während sich die Information Governance mit den Informationsflüssen, dem Lebenszyklus sowie deren Bedeutungsinhalte im Geschäftskontext befasst (business Anforderungen). Abgesehen von IT Governance gibt es immer noch Information in analoger Form. 36 "The overall objectives of good governance are to improve the speed and effectiveness of decisions and processes (efficiency), to make maximum use of the information in terms of value creation, and to reduce the costs and risks to the business or organization. Information governance is a subset of corporate governance. In other words, information governance should not be thought of as part of "IT governance." Why? Because such a view reinforces the notion that information is the responsibility of 9
Alter Wein in neuen Schläuchen An sich sind nun die Prinzipien und Bausteine der Informationslenkung (IG) nicht neu. Richtig verstandenes Informationsmanagement (heute "Enterprise Information Management", EIM) hatte schon immer den Anspruch zusammenhängende Disziplinen der Informationsverarbeitung integriert zu planen und zu verwalten, es geht ja gar nicht anders. Neu ist höchstens der höhere Anspruch an den ganzheitlichen Steuerungsansatz und die orchestrierte Umsetzung im Sinne eines zumutbaren Business Alignments (miteinander reden) unter dem Motto "Silos überwinden"37. Bereits in der ersten Ausgabe von „Information Nation“ ( 2004)38 bezogen sich die Autoren praktisch auf fast alle Disziplinen und Aspekte die heute in den IG-Konzepten auftauchen. Records Management Document Management ECM / Solutions Management Knowledge Management Information Security / IT Security Storage Management / Digital Preservation (archiving) Data Mining / Warehousing Library Services (IuD)
Information Risk Management Data Privacy Management Disaster Recovery & Business Continuity Management Customer Relationship Management (CRM) Web Governance, WCM Competitive Intelligence/ Analytics ...
Neben der Integration der Disziplinen - heute wirken sie meist neben- oder gegeneinander statt miteinander - ist auch der Governance Aspekt nicht neu. Bereits vor vielen Jahren wurden das sog. GRC Konzept entwickelt: Governance, Risk and Compliance39.
Governance bedeutet die Setzung von Weisungen und Regeln, Organisation, Prozesse sowie die Ueberprüfung von deren Einhaltung im Rahmen der Corporate Governance. Risk Management bedeutet die Balance zwischen internen / externen Unsicherheiten bzw. Bedrohungen und den Geschäftsmöglichkeiten zu finden (Risikotoleranz). Compliance bedeutet die Einhaltung von Gesetzen, Regulierungen und selbst gesetzten Geschäftsregeln.
"Die Führung von Unternehmen, die Einhaltung gesetzlicher Vorschriften und die Bewertung von Risiken gehen dabei Hand-in-Hand."40 Die Uebertragung dieser im Verbund wirkenden Konzepte ins Information Management ergibt Information Governance. Im Kontext der Wertschöpfung heisst dies: Bindung von Wertzuschreibungen (immateriell) und Sorgfaltspflichten an informationelle Vermögenswerte, sodass 1.) die IT routinemässig und rechtskonform die Daten verwalten kann, und 2.) die Geschäftseinheiten basierend auf optimalen Informatiossystemen/-ressourcen ihre Entscheide fällen können (s. Grafik). IT. It isn't. (...) Information governance is NOT the province of IT, or at least not the province of IT alone." in: Gartner. Information Governance project Toolkit, April 2009, p.3 37 Gartner meint: "How is EIM different from plain old information management? Isn't that what we do? Yes and no. We do practice information management in our organizations; we just don't do it in a connected way. As with almost everything else in business, information management is siloed." Gartner ebenda 38 vgl. oben Fussnote 19 39 vgl. ausführlich: U. Kampffmeyer: GRC. Governance, Risk Management und Compliance, Hamburg 2007 40 ebenda, S.2 10
Vor dem Hintergrund dieser Grafik ist es wichtig die holistische unternehmensweite Perspektive zu verfolgen. Wieso ist Records Management allein nicht mehr ausreichend? Weil es gilt alle möglichen Informationsrisiken konzertiert zu meistern mit denen die User täglich zu kämpfen haben41; jedes folgende Zitat umschreibt ein bekanntes Phänomen: “Wir haben es nicht aufbewahrt” (nicht erfasst und oder gespeichert gem. Plan) “Es war auf der Platte die gecrasht ist” (Verlust) “Dies ist nicht meine Unterschrift” (Fälschung) “Maerz.xls – aber welcher Betreffzeitraum?” (Attribute, Properties, Metadaten) “Woher hast du denn dies?” (Unauthorisierter Zugriff) “Das System ist unten” (Nicht-Verfügbarkeit) “Wo ist es denn?” (Findbarkeit) “Hat hier jemand Admin Rechte?” (keinen Zugriff) Diese kurze Auswahl der kritischsten Fälle aus der kollektiven Erfahrung verdeutlicht die Dringlichkeit von IG. In der Annahme, dass nämlich IG unter anderem dazu da ist ein Business und ein rechtliches Problem zu lösen, ist es sehr wichtig darauf zu fokussieren wie den Endnutzern in ihrer täglichen Informationsarbeit beizustehen ist. Wenn es gelingt diesen ausgewählten Phänomenen sichtbar und wirksam vorzubeugen ist viel gewonnen. Es erhöht die Visibilität ihres IG-Programms Dafür muss aber jemand verantwortlich zeichnen und zwar nachhaltig. Die Minderung dieser Risiken gelingt nur mit einem orchestrierten und multidisziplinären Governance Programm. Dies geht nicht ohne Kosten. Versuchen sie deshalb IG dem Business zu verkaufen, der schwierigste Part von allen, denn "information governance will not succeed unless the business understands it, buys into it and supports it."42 Governance messen Inzwischen gibt es verschiedene Reifemodelle um IG zu messen. ARMA43 hat dazu eigens das GARP® Modell entwickelt, um einerseits das Records Management aus dem muffigen Ablage- und Administratorenkontext herauszuführen andererseits um es unter dem neuen Etikett "Information Governance" als Gesamtkonzept dem Management besser verkaufen zu 41
AIIM: 8 things you have to know about information risk. http://aiim.typepad.com/aiim_blog/2009/06/8-things-you-need-to-know-about-information-risk.html 42 vgl. S. Soares: Selling Information Governance to the Business. Ketchum (MCPress) 2011; s. meine Rezension: http://jhagmann.twoday.net/stories/96992943/ 43 Association of Records Managers and Administrators, http://arma.org. ARMA will damit bewusst ein Gegengewicht zum mehr technischen control Framework von ISACA (COBIT) aufbauen. 11
können. Das Reifemodell für RIM / Information Governance zeichnet ein vollständiges Bild wie umfassendes Informationsmanagement realisiert werden sollte. Es basiert auf den 8 GARP® Prinzipien44 und den Grundlagen der einschlägigen Standards (z.B. ISO 15489) und Best Practice sowie rechtlichen und regulatorischen Anforderungen. IBM hat auch ein interessantes Modell entwickelt, in dem RIM unter dem Begriff "Information Lifecycle Management" abgehandelt wird45. Die Kategorien im IBM Modell umfassen: Organisationsstrukturen & Sensibilisierung "Stewardship" (definierte Rollen und Prozesse die sich um die Datenobhut und Datenqualität kümmern) Policy (Richtlinien) Value Creation Risikomanagement & Compliance Informationssicherheit und Datenschutz Daten- und Informationsarchitektur Datenqualitätsmanagement Klassifikation und Metadaten Information Lifecycle Management (RIM) Audit Information, Logging & Reporting aufgrund der Enormität und der Auswirkungen ist neu noch das Thema "Big Data" als Kategorie hinzugekommen; es zielt v.a. auf die Analyse von grossen Datenmengen die z.B. aus sozialen Netzwerken heraus generiert werden; darüber hinaus geht es aber auch um die Frage wie wir mit den Mengen umgehen und wie wir sie wieder loswerden ohne in massive Compliance Probleme zu laufen Ähnlich wie bei GARP gibt es dann fünf Reifestufen nach denen der Stand des Programms bewertet wird: Initial (1), managed (2), defined (3), quantitavely managed (4), optimized (5) Schliesslich sei hier noch das "Unified Governance Model" bzw. "Information Governance Reference Model "(IGRM) von EDRM46 ewähnt, da es in den letzten zwei Jahren an Bedeutung gewonnen hat, insbesondere durch die Aktivitäten von CGOC47.
44
vgl. http://www.arma.org/garp/garp.pdf vgl. IBM - The IBM Data Governance Council Maturity Model: Building a roadmap for effective data governance, Oct 2007 46 Electronic Discovery Reference Model - http://www.edrm.net; IGRM: 47 Compliance Governance and Oversight Council - eine US-based Fachorganisation (von IBM gesponsert), die jedoch auf praktische und wissenschaftliche Art versucht das Governance Thema in die Chefetagen zu bringen und vor allem Brücken zu schlagen zwischen den relevanten Stakeholdern (Business, IT, RIM, Legal). Die CGOC Konferenzen sind sehr reichhaltig, gut dokumentiert und empfehlenswert. http://www.cgoc.com 45
12
Duty: Gesetzliche Pflichten und Anforderungen an spezifische Information
Value: Nutzen oder Zweck von Geschäftsinformation
Asset: Inhalt und Träger der Information
4.b. Neue Paradigmen und Trends - Records Management 2.0 Während Information Governance Antworten auf die organisatorischen Herausforderungen im Informationsmanagement liefert, geht es in diesem Abschnitt eher um den Paradigmenwechsel im technischen Bereich und um die Auswirkungen der sozialen Medien auf das Records Management. Neben Steve Bailey48 hat in der letzten Zeit vor allem Geoffrey Moore49 mit seinem Begriff "Systems of Engagement" die Entwicklung analysiert und Aussagen zu diesen Trends gemacht. Die These von Moore ist, dass sich das Informationsmanagement in den letzten Jahren rasant von den eher statischen "Systems of Records" zu den sozialen bzw. kollaborativen Web 2.0 Technologien gewandelt hat und zwar weil sie die klassischen Wertschöpfungsketten in den Bereichen Innovations- und Designmanagement, Beschaffung, Verkauf und Vertrieb sowie Marketing revolutioniert haben. Im Zentrum steht dabei immer die Erhöhung der operationellen Flexibilität im Dienste des Kunden und letztlich geht es wie immer um eine Gewinnsteigerung und bessere Positionierung im Markt. Die treibenden Kräfte im Sog der steigenden Datenvolumen (gewisse Netzwerke verzeichnen bereits wieder einen Rückgang50) sind dabei: Senkung der Informationskosten (Cloud) und Verbesserung der Informationsnutzung (Zugriff, Analyse und Auswertung). (s. Grafik51)
48
Bailey Steve: Managing the crowd. Rethinking records management for the web 2.0 world, London 2008 49 Geoffrey Moore: Systems of engagement and the future of enterprise IT. A sea change in enterprise IT - http://www.aiim.org/futurehistory 50 bei den grossen sozialen Netzwerken wie Facebook ist offenbar der Peak des Hypecycle erreicht, die Nutzungszahlen gehen zurück; vgl. The raise and fall of social media, NY Times, 3.9.2012 (essay by James B. Stewart) 51 vgl. Moore ebenda 13
Während "Big Data" eine riesige Herausforderung für die IT Infrastruktur bedeutet , geht es dem Records Manager eher um die Frage der Auswirkungen der sozialen Netze auf die Compliance der Aufbewahrung. Im wesentlichen geht es um zwei Aspekte und zwei Fragen: a. Um die Bewertung und Identifizierung von Unterlagen mit Records Charakter auf Social Media Plattformen? Entsteht auf diesen Plattformen überhaupt Compliance relevante Information (records)? Wie steht es mit der Frage der Verantwortung und des Eigners von relevanter Information auf Blogs? b. Wie werden ECM-Lösungen zur Unterstützung des Informations- und Wissensmanagements nutzbar gemacht? Zum ersten Punkt gibt es zwei Untersuchungen52 und beide kommen zum Schluss, dass hier ein grosses Loch aufgeht, das kaum mehr kontrollierbar ist. Natürlich wird auf vielen sozialen Plattformen (intern und extern) relevante Information gespeichert, die ggf. in einem Gerichtsfall herangezogen werden kann. In diesem Zusammenhang machen die Gerichte keinen Unterschied auf welcher Plattform relevante Information (ESI53) gespeichert ist. Es gibt dazu in den USA auch schon einschlägige Rechtsfälle und -entscheide54. Wichtig für den Records Manager ist hier, dass er mithilft, dass in seiner Organisation entsprechende
52
NARA: A report on federal Web 2.0 use and record value - 2010 (http://www.archives.gov/recordsmgmt/resources/web2.0-use.pdf) ARMA: Helen Streck: Social networks and their impact on records and information management, 2011 (Jan.) - http://www.armaedfoundation.org/pdfs/Social_Networks_Impact_on_RIM_Streck.pdf Die Empfehlungen in der Konklusion sind allerdings von der Realität überholt worden. 53 Electronically Stored Information 54 suchen sie hier nach "Social Media": http://www.ediscoverylaw.com 14
Richtlinien erlassen und durchgesetzt werden55. Die User müssen sich bewusst sein, dass sie eine grosse Verantwortung tragen in Bezug auf die Inhalte auf solchen Plattformen. Programmmässig kontrollieren (z.B. via Aufbewahrungsplan) lässt sich der Lifecycle auf solchen Plattformen kaum. Das Problem ist auch nicht gelöst, wenn man die Inhalte auf solchen Plattformen a priori als non-records deklariert, weil jede noch vorhandene Information im eDiscovery Fall als Beweismittel herangezogen werden kann. Im Sinne einer Risikominimierung wäre es noch am besten, die Inhalte automatisch nach einer relativ kurzen Periode (z.B. ein Jahr) zu löschen basierend auf einer Richtlinie (policy). In jedem Fall haftet jedoch die Organisation, ihre Sorgfaltspflicht gilt auch betreffend Social Media. Im zweiten Punkt geht es um den Dauerbrenner der Nutzbarmachung vorhandener Datenbestände bzw. Inhalte aus ECM-Systemen unter Berücksichtigung und Einbezug der neuen sozialen Technologien und Prozesse. Bailey plädiert in seinen "10 Principles of Records Management 2.0"56 für einen sanften Wandel, indem die zentralen Anforderungen, die durch den Veränderungs- und Transformationsdruck entstehen, einfach nach Bedarf in die klassischen RIM-Prinzipien eingebaut werden ("in addition"). Das Fundament der klassischen RIM-Zielsetzungen (ISO 15489) bleibt bestehen, aber es wird einfach ergänzt durch die neuen Errungenschaften. Ein wichtiger Punkt ist zum Beispiel die Übernahme gewisser Web 2.0 Services (Prinzip 757) wie das Popularitätsprinzip oder das Ähnlichkeitsprinzip (Amazon, Google) in eine ECM-Umgebung. Stellen sie sich eine solche Suchumgebung innerhalb der Firma vor: Nutzer oder Kunden die nach X gesucht haben, haben auch Y gesucht; Nutzer die das Dokument X angeschaut haben, haben auch Y angeschaut58. Das Prinzip basiert auf derselben Motivation wie wenn ein privater User innerhalb einer Community etwas mitteilen oder teilen will. Es entsteht ein persönlicher Bezug, ein Empowerment, ein vernetzter Sog durch Partizipation, all das was das Web 2.0 so attraktiv macht. Aus Sicht der Compliance und Unternehmenskommunikation bleibt die Frage ob eine solche Transparenz überhaupt gewünscht ist. Innerbetriebliche Richtlinien und Kulturen verhindern oft solche Innovationen. Einige Untersuchungen59 haben gezeigt, dass der kollaborative Umgang mit sozialen Medien in der Arbeitsumgebung einer Organisation viel schlechter funktioniert als ausserhalb der Unternehmensgrenzen im persönlichen Leben. Trotz diesem Befund sollten solche Ansätze weiterverfolgt werden. 5. Orthodoxien - Was bleibt? "Is records management no longer fit for purpose?" Zu dieser Frage von Steve Bailey60 gibt es keine einfachen Antworten. Im Kontext der Information Governance wurde oben dargestellt, dass sich die RIM-Community und die Disziplin den neuen Anforderungen anpassen muss im Sinne eines holistischen Ansatzes. Ob dies unter dem neuen Label "Information Lifecycle Management" oder "Information Governance" passiert ist zweitrangig. Begriffe prägen zwar eine Disziplin, aber es gilt offen zu sein für den Wandel der unerbittlich durch die Technologien vorangetrieben wird. Das 55
Social Media Richtlinien werden in der Regel vom Rechtsdienst oder der Unternehmenskommunikation erlassen; die Records Manager sollten sich hier einbringen und dafür sorgen, dass die Aufbewahrungsanforderungen berücksichtigt werden 56 vgl. Bailey Steve: Managing the crowd: Rethinking records managaement for the web 2.0 world, London 2008, p. 125ff 57 Bailey ebenda, p. 151ff: "Principle 7: A benefits-led experience for users that offers them a positive incentive to participate" 58 vgl. Bailey Steve: Forget electronic records management, it's automated records management that we desperately need, in: Records Management Journal, No.2, 2009, p.95 59 Harvard Business Review blog: Tammy Erickson: Why we use social media in our personal lives but not for work - http://blogs.hbr.org/erickson/2012/02/why_we_use_social_media_in_our.html 60 vgl Bailey ebenda, "The need for critical professional self-examination", p. 53ff 15
klassische Records Management hat in seinen Grundprinzipien nach wie vor seine Berechtigung, aber seine Experten und die Disziplin selbst müssen sich selbstkritisch neu erfinden und die Records Manager müssen ihre IT Kenntnisse erweitern. Die wohl grösste und problembehaftetste Orthodoxie der letzten zehn Jahre war wohl der technologielastige Glaube an ein seligmachendes "Electronic Document and Records Management System (EDRMS). Dies hat regelrecht zu einer Art Anbieter-gerechten Profession geführt61. Was ist da schief gelaufen? Weshalb ist daraus keine Erfolgsgeschichte geworden? Sämtliche Forschungsergebnisse kommen zum Schluss, dass es am Humanfaktor liegt. Der User hat weder Zeit noch Lust seine Information gemäss vorgegebenen Regeln zu klassifizieren und abzulegen, ausser er ist dazu gezwungen innerhalb eines behördlichen Regelwerks wie etwa eine Registrierungsdokumentation in der Pharma Industrie. Dies gilt primär für sog. unstrukturierte oder semi-strukturierte Information, die jedoch je nach Firma und Branche zwischen 70-80% ausmacht. Die folgenden Gründe sind in der Grafik ersichtlich:
Source: Bruce Miller, RIMtech
62
Die Botschaft ist klar. Man darf den User wenn immer möglich nicht in den Ablage-Prozess einbeziehen. Was wären also mögliche Wege aus der EDRMS-Falle? Es gilt zwischen Technologieoptionen und organisatorischen Optionen zu unterscheiden. Technologieoptionen: - In-place Records Management – Repository Modell (z.B. CMIS63) Lappin meint in seinem Aufsatz, dass sich möglicherweise das sog. "Records Repository Modell"64 zu einer zukünftigen Orthodoxie65 entwickeln könnte. Das Modell meint, dass die
61
"As far as the average user is concerned, the EDRMS is something they didn’t want, don’t like and can’t use. As such, its no wonder that so few users accept them – as one person once said to me “making me use an EDRMS is like asking a plasterer to use a hammer!" "And now, finally, it is time to turn our eyes to the records management profession itself. In my opinion, we have come within a whisker of allowing our blind obsession with EDRMS to turn us into an intellectually-sterile, vendor-led profession. (...)" ( RMS Debate: The case against EDRMS Has EDRMS been a success? The case for the prosecution, RMS Conference, Edinburgh 22 April 2007) vgl. Wikipedia: http://en.wikipedia.org/wiki/Records_management. Einen guten Überblick bietet auch: Bruce Miller: http://dev.rimeducation.com/pdf/M12S02.pdf 62 http://www.archivists.org/saagroups/ers/Miller.ppt 63 Content Management Interoperability Services; vgl. http://en.wikipedia.org/wiki/Content_Management_Interoperability_Services 16
Software und Regeln, die den Lifecycle und die Business Klassifikation der Records kontrollieren in generischer Weise zu den Daten geht, also die Funktionalität in irgendeine Applikation oder auf Shared Drives hineinpropagiert (repository) via ein Protokoll; d.h. der Lifecycle der Daten muss nicht mehr in einem zentralen Gefäss verwaltet werden wo auch die Primärdaten liegen, sondern kann dezentral via Schnittstellen oder Konnektoren, eben "In-Place" sichergestellt werden. Die Frage ist jedoch wieviele Hersteller sog. CMIS Layers entwickeln; zudem dürfte der Entwicklungsaufwand für die Verlinkung relativ hoch sein (Anpassungen der Data Dictionaries). Darüber gibts auch noch wenig Erfahrung66. - Automation: z.B. automatische Klassifizierung (zero click declaration) Trotz vieler Beteuerungen ist man auf dem Gebiet der automatischen Klassifizierung und Ablage nicht wirklich weitergekommen. Das Problem liegt vor allem darin, dass in einem regulierten Bereich bei gewissen Branchen Nulltoleranz herrscht in Bezug auf Recall Raten (Finanz, Pharma, Gesundheitswesen u.a.m.). Es darf nicht sein, dass gewisse Dokumente bei einer Suche durch das Raster fallen. - One Click Deklaration oder Massendeklaration (bulk) Die User müssen z.B. nur einen Folder in einem Workspace von A nach B in ein Repository schieben (cut and paste) und alle entsprechenden Dokumente erben automatisch alle Metadaten die sie benötigen. Bei gleichförmigen Massenakten kann eine Software auch im Sinne des In-Place Pozesses die entsprechende Metadatierung in der Business Applikation vornehmen. Organisatorische Optionen: - Operationelle Fachstellen wickeln die Prozesse unsichtbar für die Linie im Hintergrund ab Verantwortliche Custodians oder Daten Stewards (operationelle Records Manager) kümmern sich um die sichere Übernahme von Daten aus dem Business gemäss definierten Prozeduren. Wenn dies auf Stufe Gesamtorganisation angestrebt wird (globales oder regionales Records Center) ist die Chance höher dass dadurch die Wirtschaftlichkeit gegeben ist (adoption through governance); ansonsten ist dies ein kritischer Kostenpunkt. Was bleibt? Tatsache ist vorläufig, dass wir weiterhin in einer hybriden Dokumentenwelt leben werden in welcher die physischen Papierobjekte länger und beharrlicher überleben werden als manchem lieb ist. Gemäss der AIIM-Umfrage von 2011 ist das Papieraufkommen immerhin das erste Mal seit Beginn der Umfragen rückläufig67. Vor allem im mittelständischen KMU Bereich ist Papier noch King. Was sind die Gründe? (s. Grafik)
64
Lappin James: What will be the next records management orthodoxy?, in: Records Mgmt Journal, No.3, 2010, p.252-264 65 Es Bedarf einer Vielzahl von Kriterien, die ein Modell als Orthodoxie qualifizieren; u.a. eine solide theoretische Grundlage (z.B. DIRKS – Design and Implementation of Record Keeping Systems, Australien), technisch anerkannte Spezifikationen, Best Practice Anleitungen, Machbarkeit u.a.m. (vgl. ebenda, p.260/61) 66 z.B. OpenText hat am letzten DLM-Forum in Brüssel 2011 ein Projekt vorgestellt: Jens Huebel, CMIS and Moreq 2010 - To benefit by combining (http://dlmforum.eu - Triennial conference) 67 vgl. AIIM Industry Watch – Records Management Strategies . Plotting the changes, 2011, p.4 17
Source: AIIM-Industry Watch - Process Revolution - moving your business from paper to PCs to tablets (2012)
Nun, ein Teil der Orthodoxien basiert tatsächlich auf dem langsamen Medienwechsel. Ein grosser Teil der klassischen Records Administratoren bewegt sich nach wie vor im Papierbereich. Der Trend zu den elektronischen Records dürfte sich aber weiter beschleunigen. Was auch bleibt sind die fundamentalen Prinzipien wie sie in der ISO-Norm 15489 zugrundegelegt wurden und in der Norm 30300 fortgeschrieben und erweitert wurden. Wie diese Prinzipien in einer elektronischen Umgebung sichergestellt werden ist technisch offener geworden. Ob es dazu Orthodoxien braucht bleibt dem Leser überlassen. Sicher ist jedoch, dass sich das klassische Berufsbild des Records Managers in den nächsten Jahren stark wandeln wird. Sicher ist jedoch auch, dass trotz aller Technologie und neuen Tools sich der Lebenszyklus von Geschäftsinformation nicht von selbst lenken und steuern lässt. Die menschliche Interaktion des Spezialisten bleibt ein Muss, ob mit oder ohne technische und organisatorische Paradigmenwechsel. 6. Fazit Aus organisatorischer und konzeptioneller Sicht ist Informationslenkung (Information Governance) durchaus in der Lage einen Paradigmenwechsel im Informationsmanagement einzuleiten. Informationslenkung (IG) ist indessen nicht wirklich neu, weil die meisten konstituierenden Elemente und Prinzipien unter einem richtig verstandenen Informationsmanagement bereits existieren. Neu ist höchstens der verstärkte Ruf nach der effizienten und effektiven Integration und einer verlässlichen sowie gleichberechtigten Interaktion68 und Kommunikation aller relevanten Akteure im Verbund und Konzert des Enterprise Information Managements. Es sollte aufgrund meiner obigen Ausführungen auch offensichtlich geworden sein, dass Records Management bzw. "Information Lifecycle Management" ein Teil einer grösseren 68
vgl. : M. Kooper, On the governance of information: Introducing a new concept of governance to support the management of information, in: International Journal of Information Management (31) 2011, p.197. Das “interaction” Konzept stammt von J. Kooiman: Governing as governance, London 2003 18
Initiative oder eines Programms sein muss. Im Idealfall profitiert der RIM-Bereich von IGAktivitäten was seine Visibilität erhöht , wenn die Integration gleichberechtigt zwischen allen Stakeholdern auf Augenhöhe erfolgt. Entscheidend ist dabei die Unterscheidung zwischen Information Governance und IT Governance69; Gartner und auch das Forschungsteam aus Amsterdam haben darauf hingewiesen70. Die IT selbst hat keinen intrinsischen Wert, sondern nur im Hinblick auf einen definierten Geschäftszweck, dies gilt ebenso für eine bestimmte Geschäftsinformation (content). Es hat keinen Sinn daraus einen Gegensatz zu konstruieren, das technische und inhaltsorientierte Informationsmanagement funktioniert nur komplementär im Verbund und Konzert mit dem Business um ein Unternehmen oder eine Organisation erfolgreich zu machen. Es ist wie in einem Orchester: der Takt muss gelernt sein, der Taktstock ist nur ein Werkzeug, aber es braucht Diplomatie, gegenseitige Rücksicht und Einflussnahme mit Disziplin, um das wünschbare Verhalten zu erreichen. Diktat und Anordnung von oben wird nicht funktionieren. Ebenso wenig wenn die IT das IGProgramm allein führt, dann ist dies wie wenn die Instrumentenbauer das Orchester dirigierten71. Es wird schief gehen. Ebenso unzulässig wäre es, ein bestehendes RIMProgramm einfach umzufirmieren in ein IG-Programm, dies wäre natürlich ein Etikettenschwindel, kann aber bereits beobachtet werden72. Prüfen sie sorgfältig eine Informationslenkungsinitiative (IG-Programm) auf ihren Gehalt und Geltungsbereich. Geht es nur um Einzeldisziplinen oder einseitige (technische) Prioritäten ohne integrative Absichten und Aktionen, die an einzelnen Akteuren hängen, dann ist Vorsicht geboten. Als Lackmustest dient das Gesamtbild, ob am Schluss die Einzelteile zu einem Ganzen gefügt werden können. Beantworten sie folgende Frage: Liefert das IG-Programm wirklich die Mittel und Wege, um ausgewogene und verständliche Informationsmanagement Entscheide in den Fällen zu treffen, wo unabhängige Gruppen oder Bereiche dies nicht können oder nicht sollten? Wenn ja, ist die Informationslenkung klug und erfolgreich73.
69
s. oben Fussnote 35 s. oben Fussnoten 68, sowie 34 und 36 71 Erhellend dazu AIIM: Occupy IT. A manifesto (2012) http://pages2.aiim.org/OccupyITWebBanners_Get_OccupyIT_eBook.html 72 Etikettenschwindel wird auch bei Information Governance Software betrieben (reines Marketing) 73 Kooper (s. oben Fussnote 68) formuliert in seiner ersten Hypothese ebenfalls ein Erfolgsmass: „Implementation of information governance may be considered successful when it has led to an acceptable balance of the information value for the three groups of actors involved (the creators, the receivers and the governing actor).“ p.197 70
19