Málastjórnun sem viðnámsinnviðir
Við höfum lengi talað um málastjórnun sem leið til að halda utan um mál, skjöl, fresti og ákvarðanir. Það er rétt, en það er ekki lengur nægileg lýsing.
Í stafrænu samfélagi er málastjórnun líka hluti af viðnámsþrótti stofnunar. Hún segir til um hvort stofnun geti treyst eigin gögnum, sýnt fram á hvernig ákvörðun varð til, endurheimt mikilvægar upplýsingar eftir áfall og haldið áfram að starfa þegar kerfi, birgjar eða aðstæður breytast.
Andrew Potter, sem skrifar undir heitinu Metaarchivist, hefur fjallað um hvernig hefðbundin hugmynd um „vital records“ breytist þegar skjalaskápar hverfa og gögn verða dreifð yfir skýjaþjónustur, API-tengingar, auðkenningarkerfi og stafræna verkferla (Andrew Potter, Metaarchivist). Kjarninn er ekki aðeins að skjölin lifi af, heldur að traustið á þeim lifi af: samhengi, lýsigögn, uppruni, breytingasaga, aðgangur og tengsl milli kerfa (Andrew Potter, Metaarchivist).
Þessi hugsun á fullt erindi við íslenska stjórnsýslu. Við erum að færa samskipti, umsóknir, ákvarðanir, undirritanir, skjöl, tilkynningar og varðveislu inn í sífellt flóknara stafrænt umhverfi. Þá dugir ekki að vita að skjal sé „einhvers staðar í kerfi“. Við þurfum að vita hvort það sé rétt skjal, í réttri útgáfu, tengt réttu máli, með réttum aðgangi, réttum lýsigögnum og varðveitt þannig að hægt sé að treysta því síðar.
Frá varðveislu skjala yfir í varðveislu trausts
Á pappírstímanum var auðveldara að hugsa um mikilvæg gögn sem hluti af safni: skjöl í möppu, möppur í skáp, skápar í húsnæði. Á stafræna tímanum er mikilvægasta „skjalið“ oft ekki eitt skjal. Það er samspil skjals, lýsigagna, kerfisskráningar, undirritunar, auðkenningar, breytingasögu, aðgangsstýringar og tengsla við önnur kerfi.
ISO 15489-1:2016 leggur grunn að þessari hugsun með því að fjalla um gerð, föngun og stjórnun skjala óháð formi, uppbyggingu eða tæknilegu umhverfi (ISO 15489). Staðallinn nær meðal annars til skjalakerfa, lýsigagna, ábyrgðar, stefnu, eftirlits, þjálfunar, greiningar á rekstrarsamhengi og ferla fyrir gerð, föngun og stjórnun skjala (ISO 15489).
ISO 23081 tekur þetta skref lengra með því að sýna hvernig lýsigögn styðja áreiðanleika, heilleika, uppruna og nothæfi rafrænna skjala yfir tíma (ISO 23081). Með öðrum orðum: það þarf ekki aðeins að varðveita skjalið, heldur líka söguna um hvað gerðist, hver gerði hvað, við hvaða stafræna hlut og í hvaða samhengi (ISO 23081).
Þetta er lykilatriði í óvissutímum. Eftir netárás, kerfisrof, birgjaskipti, neyðarástand eða stjórnsýslulegan ágreining getur verið gagnslaust að endurheimta hrá gögn ef stofnunin getur ekki sýnt fram á hvað þau þýða, hvaðan þau komu eða hvort þeim hafi verið breytt.
Viðnámsþróttur er ekki bara tæknilegt mál
Viðnámsþróttur er oft ræddur sem rekstraröryggi, netöryggi eða neyðarviðbúnaður. Það er skiljanlegt, en of þröng sýn. Stofnun getur haft afrit, eldveggi, varaumhverfi og viðbragðsáætlanir, en samt verið veik ef hún veit ekki hvaða gögn eru mikilvægust, hvaða samhengi þau þurfa til að vera nothæf eða hvaða kerfi þarf til að sanna áreiðanleika þeirra.
ISO 22301 fjallar um stjórnkerfi rekstrarsamfellu og leggur áherslu á að stofnanir skipuleggi, innleiði, reki, vakti, endurskoði og bæti skjalfest kerfi til að bregðast við röskun og endurheimta starfsemi (ISO 22301). Slík hugsun verður mun sterkari þegar hún er tengd skjalastjórn: ekki aðeins hvaða þjónusta þarf að komast aftur í gang, heldur hvaða gögn, lýsigögn, heimildir og sönnunargögn þurfa að lifa af til að þjónustan sé trúverðug.
NIS2-tilskipun Evrópusambandsins setur einnig aukna áherslu á netöryggi, áhættustjórnun, atvikameðhöndlun, samvinnu, aðfangakeðjur og vernd mikilvægra þjónusta, og nær meðal annars til opinberrar stjórnsýslu á miðlægu og svæðisbundnu stjórnsýslustigi innan ESB (European Commission: NIS2 Directive). Þótt Ísland þurfi að innleiða og aðlaga slíkar kröfur í gegnum sitt eigið EES-samhengi, sýnir þróunin skýrt hvert stjórnsýslan stefnir: gögn, kerfi, birgjar, rekstur og ábyrgð eru ekki lengur aðskilin viðfangsefni.
Góð málastjórnun tengir þessi atriði saman. Hún svarar ekki aðeins spurningunni „hvar er skjalið?“ Hún svarar líka: hvað er þetta, hvaðan kom það, hver hefur breytt því, hver hefur séð það, hvaða máli tengist það, hvaða reglum lýtur það, hvar er það hýst, hvernig verður það afhent og hvort hægt sé að treysta því eftir áfall.
Stafrænt fullveldi byrjar í eigin gögnum
Stafrænt fullveldi er stundum rætt á mjög stórum nótum: gagnaver, skýjastefna, evrópsk innviðaþróun, erlendir birgjar og lagaleg yfirráð. Allt skiptir það máli. En fyrir einstaka stofnun byrjar fullveldið miklu nær daglegum rekstri.
Það byrjar á því að vita hvaða gögn stofnunin á, hvar þau eru vistuð, hvaða þjónustuaðilar koma að þeim, hvaða undirvinnsluaðilar hafa hlutverk, hvaða lögsaga gildir, hvernig aðgangi er stýrt og hvort stofnunin getur tekið gögnin með sér ef þjónustu lýkur. Ef þessi atriði eru óljós er stofnunin ekki með fulla stjórn á eigin stjórnsýsluminni.
Þetta tengist ekki tortryggni gagnvart skýinu. Skýjaþjónusta getur verið örugg, hagkvæm og faglega rekin. Vandinn verður til þegar skýið er notað án skýrra krafna um hýsingu, afritun, undirvinnsluaðila, aðgangsstýringu, útgönguleið, afhendingu og varðveislu.
Í málastjórnun þýðir fullveldi ekki endilega að allt þurfi að vera á eigin vélbúnaði. Það þýðir að stofnunin viti hvar gögnin eru, hvaða reglur gilda um þau, hvernig hún endurheimtir þau, hvernig hún sannar gildi þeirra og hvernig hún heldur áfram að starfa ef þjónusta rofnar.
Varnartengdur tilgangur og strangari kröfur
Sama hugsun verður enn mikilvægari þegar verkefni eru varnartengd, öryggistengd eða tengjast viðkvæmum innviðum. Þá er ekki nóg að kerfi sé þægilegt í notkun. Það þarf að vera hægt að treysta uppruna gagna, stýra aðgangi nákvæmlega, rekja ákvarðanir, verja upplýsingar, greina háð kerfum og birgjum og sýna fram á hvað gerðist síðar.
Í slíkum verkefnum verða skjalastjórn, málastjórnun og upplýsingaöryggi hluti af sama öryggisramma. Málaskráning sýnir hvað var gert. Lýsigögn sýna samhengi. Aðgangsstýring sýnir hver mátti sjá hvað. Ferilskráning sýnir hvað breyttist. Varðveisla tryggir að gögn glatist ekki. Rekstrarsamfella tryggir að þjónusta geti haldið áfram.
Þetta er líka ástæðan fyrir því að staðlar skipta máli. ISO 15489 gefur ramma um skjöl sem sönnun um starfsemi, ISO 23081 styrkir samhengi og áreiðanleika með lýsigögnum, ISO/IEC 27001 styður áhættumiðað upplýsingaöryggi og ISO 22301 styður rekstrarsamfellu og viðbragðsgetu (ISO 15489, ISO 23081, ISO/IEC 27001, ISO 22301).
Þegar þessi viðmið eru lesin saman sést að góð málastjórnun er ekki jaðarverkefni. Hún er hluti af getu stofnunar til að starfa undir álagi, verja hagsmuni, sýna ábyrgð og viðhalda trausti.
Gervigreind eykur þörfina fyrir rekjanleika
Gervigreind breytir þessu enn frekar. Þegar kerfi taka saman gögn, flokka skjöl, leggja til svör eða styðja ákvarðanir þarf að vera hægt að rekja hvaða gögn lágu til grundvallar. Annars getur vélgerð samantekt skyggt á frumgögnin og veikja möguleika stofnunar til að rökstyðja ákvörðun.
Í hefðbundinni málastjórnun þurfti að vita hvaða skjöl tilheyrðu máli. Í AI-studdri málastjórnun þarf einnig að vita hvaða skjöl voru sótt, hvaða útgáfur voru notaðar, hvaða niðurstaða var lögð til, hver fór yfir hana og hvort hún hafði áhrif á málsmeðferð.
Þetta er ekki fyrst og fremst spurning um tækni. Þetta er spurning um stjórnsýslulega ábyrgð. Ef stofnun getur ekki útskýrt hvernig niðurstaða varð til, þá getur hún ekki treyst því að gervigreindin hafi styrkt málsmeðferðina. Hún gæti þvert á móti hafa gert hana óskýrari.
Hvað ætti stofnun að spyrja sig?
Stofnun sem vill styrkja viðnámsþrótt sinn ætti að byrja á nokkrum einföldum spurningum:
- Hvaða mál, skjöl og gagnasöfn eru lífsnauðsynleg fyrir áframhaldandi starfsemi?
- Eru þau tengd réttum málum, ferlum, ábyrgðaraðilum og varðveislureglum?
- Er hægt að sýna fram á uppruna, breytingasögu, aðgang og samhengi gagna?
- Hvar eru gögnin vistuð, þar með talin afrit, lýsigögn, atvikaskrár og kerfisgögn?
- Hvaða birgjar, skýjaþjónustur, auðkenningarkerfi og API-tengingar eru nauðsynleg til að gögnin séu nothæf?
- Getur stofnunin flutt gögnin, lesið þau og treyst þeim ef kerfi er lagt niður eða þjónustuaðili skiptist út?
- Eru gervigreindarverkfæri að nota gögn sem eru rétt flokkuð, rétt varðveitt og rekjanleg?
- Hefur verið prófað hvort hægt sé að endurheimta ekki aðeins skjöl, heldur líka samhengi þeirra?
Þessar spurningar eru ekki fræðilegar. Þær ráða því hvort stofnun getur haldið áfram að starfa þegar eitthvað fer úrskeiðis.
Niðurstaða
Góð málastjórnun er ekki bara leið til að uppfylla lög. Hún er leið til að byggja upp traust, viðnámsþrótt og stjórn á eigin gögnum.
Í óvissutímum skiptir ekki aðeins máli að skjöl séu til. Það skiptir máli að þau séu skiljanleg, rekjanleg, aðgengileg, varin og nothæf þegar mest á reynir.
Þess vegna ætti málastjórnun að vera hluti af umræðu um stafrænt fullveldi, rekstrarsamfellu, netöryggi, gervigreind og varnartengdan viðbúnað. Ekki vegna þess að skjalastjórn eigi að taka yfir þessi svið, heldur vegna þess að ekkert þeirra virkar til lengdar ef stofnunin getur ekki treyst eigin gögnum.
Sterk stjórnsýsla þarf ekki aðeins góð kerfi. Hún þarf kerfi sem þola skoðun, álag og tíma.
Heilsufarsmat málastjórnunar gefur fyrstu vísbendingu um stöðuna á þinni málaskrá!
