Ledningssystem för verksamhetsinformation en introduktion

Transkript

1 1 (8) Ledningssystem för verksamhetsinformation en introduktion För de flesta organisationer idag är information en förutsättning för att skapa affärsvärde eller verksamhetsnytta. Information som måste vara korrekt, användbar och lätt tillgänglig för dem som behöver den. Ledningssystem för verksamhetsinformation, ISO (LVI) innehåller krav och principer för styrning och hantering av verksamhetsinformation. Att införa ett LVI i en organisation bidrar till att säkerställa öppenhet, spårbarhet och effektivitet i hanteringen av verksamhetsinformation, t ex dokumentation av beslut som fattas av organisationen och dess ledning.. Med verksamhetsinformation menar vi all information som påverkar och dokumenterar vad som sker i verksamheten. Det kan vara allt från avtal, beslut och ansökningar till journaler, och fakturor till uppgifter i ett IT-system. Vad menas med verksamhetsinformation? I standarden används begreppet verksamhetsinformation. Det är information som skapas, tas emot och underhålls som bevis och/eller som en tillgång av en organisation eller person för att uppfylla legala förpliktelser eller för att utföra transaktioner i verksamheten, oavsett typ av medium och format. Med bevis avses i LVI all form av dokumentation av transaktioner och således inte enbart dokumentation för att uppfylla legala förpliktelser. Med tillgång avses i LVI samma sak som även den närliggande ledningssystemstandarden för informationssäkerhet (LIS) avser, dvs. allt som är av värde för organisationen, t.ex. information. I denna introduktion avser vi verksamhetsinformation i standardens mening när vi i fortsättningen talar om verksamhetens information, eller information i verksamheten. Förutom LVI finns standarder för hantering av information i verksamheten såsom dokumenthantering (ISO 15489), metadata (ISO 23081) och processanalys (ISO 26122). Exempel på andra ledningssystem som följer standarder från ISO är ledningssystem för informationssäkerhet (LIS, ISO 27000), ledningssystem för tjänster (ISO 20000), miljöledningssystem (ISO 14000) och kvalitetsledningssystem (ISO 9000). SIS, Swedish Standards Institute SIS is the Swedish member of ISO and CEN Postadress: STOCKHOLM Besöksadress: Sankt Paulsgatan 6, Stockholm Organisationsnr: Telefon: Telefax: E-post: info@sis.se

2 2 (8) Även andra ledningssystem och system för styrning, som inte följer standarder från ISO förekommer ofta hos företag och myndigheter, t.ex. system för finansiell styrning och ekonomistyrning samt system för hantering av personalresurser (HR). En organisation som inför LVI får hjälp att uppfylla målen för även dessa andra ledningssystem. Det rör t.ex. kvalitet, riskhantering, följsamhet och säkerhet samt krav på styrning av informationsförvaltning LVI ger på så sätt organisationen stöd i att nå verksamhetsmålen. Det finns många vinster att uppnå för en organisation med att integrera LVI i ett gemensamt övergripande ledningssystem för organisationen. En väl genomförd integration kan förväntas bidra till att bl.a. optimera processer i organisationen och genom processerna för verksamhetsinformation i integreras i andra aktiviteter. Hur förhåller sig LVI till ledningssystem för informationssäkerhet (LIS)? LVI har ett särskilt nära samband med ledningssystemet för informationssäkerhet (ISO , LIS), genom att även LIS syftar till att stödja hanteringen av informationstillgångar. LIS är en del av den informationstekniska standardiseringen och är utformat för att säkerställa säkerhetsåtgärder som ger skydd för informationstillgångar och som ger förtroende för organisationens intressenter. LVI syftar till att skapa och styra verksamhetens information, i form av både informationstillgångar och bevis, så att den blir både tillförlitlig, äkta, fullständig och användbar. LVI och LIS kompetterar varandra på olika sätt vad gäller system för ledning av hanteringen av informationstillgångar. I denna introduktion kommenterar vi därför också på några punkter särskilt hur tillämpningen av LIS kan komplettera tillämpningen av LVI. LIS har också ett nära samband till den informationstekniska standardiseringen av ledningssystem för tjänster (ISO 20000). Processer enligt LIS kan anses utgöra även processer till stöd för tjänster som en it-organisation levererar enligt ISO varför det t.o.m. finns en särskild standard med vägledning för integrerat införande av dessa båda ledningssystem i en organisation (ISO 27013). I denna introduktion behandlar vi inte närmare utformningen av tekniska tjänster för hantering av verksamhetsinformation i tekniska system (it-system). Ledningssystemets uppbyggnad LVI är en relativt ny standard som publicerades Den första delen av standarden ISO behandlar principer och terminologi som förklarar syftet med att skapa ett LVI. Den andra delen ISO 30301beskriver de krav som behöver ställas på hanteringen av informationen inom verksamheten. Avsikten är att kraven ska uppnås genom att processer, rutiner och system tas fram för organisationens hantering av informationen inom verksamheten. Liksom andra ledningssystem förutsätter LVI ett ständigt förbättringsarbete i syfte att stödja organisationens förmåga att utföra sitt uppdrag och nå sina uppställda mål.

3 3 (8) LVI kan beskrivas enligt nedanstående bild. Den illustrerar sambanden mellan externa och interna krav och förväntningar på organisationen. Det rör sig främst om krav på måluppfyllelse och resultat i verksamheten. Tillförlitliga dokument Väl underbyggda beslut i linje med policyer och affärskrav Nedan ges en kort beskrivning av de olika delarna i LVI. Organisationens sammanhang Varje organisations unika behov är drivande vid genomförandet av LVI. Hur organisationen ska tillämpa och genomföra LVI beror bl.a. på organisationens storlek, karaktär, komplexitet och mognadsgrad. Genomförandet av LVI förutsätter därför att arbetet inleds med en analys av organisationens förutsättningar och sammanhang. Analysen ska redovisa såväl fördelar och nackdelar som det mervärde en effektiv hantering av information i verksamheten medför för organisationen. Förstå organisationen och dess sammanhang Analysen kan utgå från olika informationskällor det kan vara externa källor så som lagstiftning, marknadsanalys, rättspraxis m.m. Interna källor för analysen kan vara

4 4 (8) bolagsordning, stadgar, instruktioner, etc. Ett lämpligt sätt att identifiera vilka informationskällor som finns är att göra en intressentanalys. Analysen bör utmynna i ledningens bedömning av i vilken utsträckning organisationens verksamhet förutsätter ett väl fungerande LVI och hur mycket kunder eller andra intressenter värderar att organisationen har kontroll över informationen i den egna verksamheten. Det förberedande arbetet ska dokumenteras på lämpligt sätt. Att identifiera krav på verksamheten Utifrån från analysen ska de mer specifika kraven identifieras. Verksamhetskrav som behöver identifieras är rättsområden (nationellt, EU, multinationellt) och associationsform (stiftelse, aktiebolag, förening, myndighet). Andra exempel på verksamhetskrav kan vara hur outsourcing av organisationens tjänster styrs och krav på återanvändning och bevarande av information. I arbetet med att ta fram krav kan det behövas stöd från jurister/rättsliga experter, verksamhetsexperter, arkivarier, it-experter, revisorer m.fl. Kraven dokumenteras lämpligen i en kravspecifikation eller som en del i en handledning för införande. Ledarskap En uppgift för ledningen är att fastställa avgränsningen av LVI i organisationen. Avgränsningen omfattar vilka delar eller funktioner i organisationen som berörs och hur LVI förhåller sig till andra ledningssystem inom organisationen. Ledningens beslut dokumenteras på lämpligt sätt. Avgörande för ett bra resultat är ledningens tydliga mål med och stöd för genomförandet. Det kan uttryckas genom beslut i styrelseprotokoll, direktiv och verksamhetsplaner m.m. Ledningen kan också besluta en övergripande strategi för styrning av information i verksamheten. Som en förutsättning för genomförandet behöver ledningen besluta policys, tilldela resurser, organisera utbildning och förbereda utvärdering av införandet av LVI. En utpekad person bör ha särskild kompetens kring hanteringen av informationen i verksamheten och utses att ansvara för de processer som LVI syftar till att stödja.

5 5 (8) Planera Det är viktigt att betona att LVI inte sätter upp några specifika krav på själva informationen i en organisation utan krav på hanteringen av informationen. Planeringen för att uppnå målen bör inkludera val av lämplig projektmetodik, samt andra planeringsverktyg. Om organisationen har infört ett riskhanteringsprogram bör även detta omfatta hanteringen av informationen i verksamheten. Stödja För att säkerställa att LVI ska få avsedd effekt inom organisationen behöver kommunikations- och kompetenshöjande insatser planeras och genomföras. För de som arbetar med LVI behöver ledningen också säkerställa att det finns tillräckliga resurser med rätt kompetens. Ett lyckat genomförande av LVI förutsätter att kunskapen om LVI får en bred spridning inom organisationen och att den interna kompetensen och förståelsen av LVI säkerställs. För att säkerställa att de tekniska systemen för hantering av informationen är tillförlitliga och säkra krävs det finns särskilt utpekade personer som har ett ansvar för processer, styrmedel, utbildning, m.m. It-ansvariga inför och driftar den tekniska infrastrukturen och de system som behövs för att hantera verksamhetens information på ett säkert sätt. Genomföra Organisationen behöver identifiera, dokumentera och fastställa processerna för att hantera information i verksamheten. Dessa processer syftar till att säkerställa att ledningens mål för hanteringen uppnås, beslutade policys och strategier följs samt att risker hanteras. LVI utgår från att styrprocesserna för hanteringen av information integreras samordnat med övriga styrprocesser och med organisationens verksamhetsprocesser och dess informationssystem. Kartlägga verksamhetsprocesserna För att förstå var i verksamhetsprocesserna verksamhetens information behöver integreras krävs en kartläggning av processerna. För genomförandet av LVI räcker det att kartläggningen identifierar var i processen som information hanteras. Kartläggningen av processerna kan se olika ut i olika organisationer.

6 6 (8) Antingen utgår den från befintliga processbeskrivningar och kraven från LVI läggs på som ytterligare en aspekt på befintliga processer, eller så behöver en ny processkartläggning göras utifrån dokumentationskraven som identifierats i analysfasen. Som stöd för analys av processer med syfte att identifiera hur information hanteras finns ISO:s tekniska rapport Analys av verksamhetsprocesser för hantering av verksamhetsinformation (ISO 26122). Styrprocesserna För att framgent kunna styra och märka den information som identifierats i processerna behöver ett antal styrprocesser utformas, exempel på sådana processer är: Processer för att identifiera metadata som beskriver informationen med dess sammanhang med verksamhetsprocesser och tidpunkt när de uppstår. Processer för klassificering av information och beskriva hur informationen hanteras över tid med avseende på spårbarhet mm. Processer för att säkerställa tillgången till information, utifrån bl.a. lagkrav på dokumentation, bevarande, arkivering och gallring av information. Till stöd för att identifiera metadata finns standarden om metadata för dokumentation (ISO 23081). Kraven på arkivering varierar stort mellan olika samhällssektorer Krav på arkivering finns för myndigheter i arkivlagen och arkivförordningen och för företag främst i bokföringslagen. Myndigheternas arkivering äger rum redan så snart ett ärende slutbehandlats eller en allmän handling, som inte hör till ett ärende, färdigställts och oavsett om handlingen bevaras eller gallras. Myndigheters arkiv utgör därför även information i verksamheten och inte endast information som upphört ha direkt betydelse i verksamheten och som tagits omhand för bevarande. Riksarkivets föreskrifter om arkivredovisning innefattar även processbeskrivning och klassifikationsstruktur som syftar till att stödja sådana styrprocesser för att hantera verksamhetens information och som ingår i LVI. I andra organisationer kan det finnas olika syften för att bevara och arkivera information, exempelvis som ett sätt att säkerställa uppfyllandet av specifika branschkrav på dokumentation inom t ex bank, försäkring, läkemedel eller tillverkande industri. I andra fall arkiveras verksamhetens information först sedan den upphört att ha direkt betydelse för verksamheten och i stället endast utgöra information som bevaras av andra skäl. Införa informationssystem LVI utgår från att informationshanteringen är en integrerad del av verksamhetsprocesserna. Dessa processer stöds oftast av fler än ett informationssystem, vilka kan antas påverkas av

7 7 (8) införandet av ett LVI. Det innebär sannolikt att verksamhetens befintliga informationssystem behöver anpassas eller kompletteras. Vid val av tekniska system för hanteringen av verksamhetens information måste en mängd aspekter beaktas, såväl funktionella som tekniska, som ett konsekvens av styrprocessernas utformning. Exempel på informationssystem som kan behöva införas för att säkerställa tillgången till information över tid kan vara arkivinformationssystem. En referensmodell för utformning av arkivinformationssystem är OAIS-modellen enligt standarden ISO Förhållandet mellan LVI och OAIS ISO definierar en referensmodell för Oberoende Arkivinformationssystem, OAIS. Ett OAIS omfattar en arkivorganisation, som kan vara en del av annan organisation, med ett system för att bevara information och göra den tillgänglig. Standarden riktar sig till organisationer som ska etablera, förbättra eller ställa krav på ett särskilt arkivinformationssystem fristående från verksamhetssystemen. OAIS kan i likhet med LVI, användas oberoende av typ av information, teknik eller organisation. OAIS utgör ett ramverk av modeller för ökad förståelse för långsiktigt bevarande och tillhandahållande av information. De tekniska system som hanterar verksamhetens information, bör regelbundet övervakas ur LVI-perspektivet. Det gäller såväl särskilda tekniska system för att hantera verksamhetens information, som andra system i verksamheten (verksamhetssystem). Aktiviteterna resulterar i Förteckning över tekniska system som hanterar information i verksamheten Dokumentation av införande och förvaltning av systemen Rutiner för drift av systemen Regler för åtkomst till systemen Har LIS (ISO 27000) implementerats bör kraven enligt LVI hanteras samordnat med kraven enligt LIS. Utvärdera Att följa upp LVI För att systemen för hantering av informationen i verksamhetenska kunna förvaltas och utvecklas behövs rutiner för uppföljning och utvärdering av det LVI som införts. Ibland kan det bli fråga om helt nya rutiner, ibland kan befintliga rutiner för uppföljning av systemen behöva anpassas. I ISO finns en checklista som kan användas som stöd för vilka uppgifter som behöver följas upp och mätas. Exempel på sådant som behöver följas upp är om ledningens mål med genomförandet av LVI uppnåtts.

8 8 (8) Checklistan kan kompletteras med användarundersökningar, observationer (inspektioner), insamling och analys av användarstatistik samt analys av driftinformation (driftavbrott, dataförluster m.m.). Har organisationen infört LIS kan analysen av driftinformation med fördel ta stöd i rutiner för övervakning enligt denna standard. Intern revision Den löpande uppföljningen och utvärderingen av LVI är tänkt att följas upp av den interna revisionen vid givna tillfällen. Standarden ISO ger råd och idéer när det gäller revisioner av ledningssystem och kan användas också som stöd för revision av LVI. En revision av ett LVI är tänkt att resultera i en revisionsrapport, enligt samma praxis som tillämpas för revisionsrapporter från internrevision i övrigt i organisationen. Intern revision kan vara olika organiserad I en del organisationer har styrelsen ett särskilt revisionsutskott som bl.a. ser till att internrevision finns organiserad. Förvaltningsmyndigheter under regeringen har normalt internrevision organiserad enligt de bestämmelser som finns i internrevisionsförordningen. I kommuner och landsting väljer fullmäktige i stället revisorer enligt kommunallagens bestämmelser. Ledningens genomgång I den utsträckning organisationen tillämpar ett integrerat ledningssystem granskas revisionsrapporterna samordnat för de olika delarna av ledningssystemet, inklusive LVI. Statliga myndigheters ledningsgenomgång av LVI kan därför med fördel samordnas med genomgången med LIS, vilken följs upp och utvärderas minst en gång per år. Frågor som ledningen kan behöva ta ställning till kan vara i vilken utsträckning tillämpningen av LVI stämmer med organisationens strategiska inriktning och hur LVI bidrar till organisationens resultat, vilket kan leda till beslut om ändringar i policy och mål m.m. Förbättra En cykel för ständiga förbättringar uppstår och som bidrar till Fortgående resultatförbättringar Vidtagna korrigerande åtgärder Vidtagna förebyggande åtgärder Reviderade policys och mål Fortgående analyser av omvärldsfaktorer och risker